תפקידו של ה-CISO עובר שינוי מהותי ומעמיק בשנים האחרונות, וב"עידן הסייבר" הופך למאתגר עוד יותר – מאיש בעל יכולת מקצועית גבוהה שנדרש לשמור על המידע בארגון למנהל סיכונים שנדרש להבנה טכנולוגית עם ראיה עסקית ואף משפטית. מגמה זו ממשיכה להתרחב לאיטה וה-CISO נדרש לדבר בשפה ניהולית ועסקית תוך שהוא מתרגם את מסקנותיו לתהליכים טכנולוגים, להובלה ולפיקוח של צוותי תפעול שונים, הן פנימיים לארגון והן חיצוניים כדוגמת ספקי שירות שונים.
על ה-CISO להפוך בזמן הקרוב להיות מנהל עסקי הנדרש להוות חלק ממקבלי ההחלטות הניהוליות בארגון הפועל למימוש הצרכים והפעילות העסקית תוך התמודדות וצמצום הסיכונים העסקיים (שמקורם בתהליכים ובטכנולוגיה) ולאפשר קיום פעילות במרחב הסייבר באמצעות הנחיה ובקרה (לאו דווקא בביצוע עצמו).
כל תחום ניהול הסיכונים מחייב כיום את ה-CISO (ואף צפוי להתרחב משמעותית בעתיד) להכרות ואף הבנה מעמיקה בעולמות הרגולציה החלים עליו באשר הם. חשובים במיוחד הם היבטי הפרטיות הצומחים ועולים כסיכון לכל דבר ועניין בפעילויות הארגון ולאו דווקא רק בראיית אבטחת מידע. על ה-CISO להיות מעורב באופן אקטיבי ולקחת חלק פעיל בהנעת הארגון לעמידה בדרישות הרגולציה השונות הכוללות חלקים משמעותיים ברמה המשפטית, תהליכית וטכנולוגית, כאשר בכל אחד מתחומים אלה מצופה שה-CISO ישכיל להבין מהן חבויות הארגון ולהדגיש את האחריות של כל אחד מבעלי העניין ויכולות ההחלטה הרלוונטיים בארגון.
על ה-CISO להבין שכבר היום הוא נכנס מאוחר למשחק הרגולציה... ועליו לעשות מאמץ מודע מתחילת הדרך לחבור לקציני הרגולציה הקיימים, לבסס איתם דיאלוג משותף וליצור שותפויות עבודה שיאפשרו לו לתפקד בסביבת הרגולציה שהיא מאוד מובנית ומוסדרת (ולא דווקא תואם לאופי ולדרכי העבודה שה-CISO רגיל בהם) מבלי שיסנדלו אותו.
מנקודת מבטי, CISO טוב הוא כזה שמבין שהמגמה ההולכת ומתהווה של מיזוג של רגולציה מצד אחד, אבטחת מידע וטכנולוגיה מצד שני, בפרט בעולמות ה-RegTech, רק הולכת להתעצם ולגדול. על ה- CISO להפנים שמצפים לו סיכונים ואתגרים נוספים שעליו לסמן על מפת הדרכים שלו לשנים הבאות לכן, עליו להכיר ו-״לנשום״ את החזון, האסטרטגיה והתכנית הנוגעים לעולמות הרגולציה ובפרט לנושא הפרטיות המקבל דגש מיוחד בתקופה האחרונה. עליו להגן על המידע והנכסים בארגון, תוך כדי הבנת הראיה וקיום דו-שיח עם עמיתיו, ה-DPO/CPO (קצין/מנהל הגנת הפרטיות) וה-CRO (מנהל הסיכונים), תוך הימנעות ממאבקי כח והתנגשויות לצורך יצירת ״שפה משותפת״ וחזית אחידה אל מול הארגון ובפרט אל מול ההנהלה.
< אם אתם רוצים לשמוע על אבטחת מידע בעידן המודרני ובענן? האזינו עכשיו לפודקאסט בנושא סוגי מתקפות סייבר נפוצות
:בשנים הקרובותCISO -להלן רשימה של מספר נושאים שמחייבים התייחסות של ה
• ה-CISO יידרש למקצועיות מורחבת בתחומים מולטידיסיפלינריים ולאו דווקא בהיבטים טכניים של אבטחת מידע. הנושא "יתגלגל" מהדירקטורים (ומחששם לשאת באחריות וחוסר הבנתם בתחום והריחוק מהעשייה בפועל) לפתחו של ה-CISO שיידרש למענה ואחריות. כיום, דירקטורים מבינים שציות (Compliance) לבדו אינו מספק ומבקשים להבין מהו הסיכון או לפחות מה מתבצע בעולמות אבטחת מידע וכמובן, איך יצאו הם נשכרים ממהלכים אלו. נקודה זו אף נכונה עוד יותר עבור מנהלי חטיבות עסקיות הנמדדים על ביצועים עסקיים נטו, ולכן יש עליהם אחריות מצד אחד אבל גם המון כוח ומשאבים מצד שני - הם ישמחו לשיתוף פעולה ולהורדת הצורך להתעסק עם ״סייבר״ באופן ישיר.
• ל CISO כדאי לנצל את המומנטום שהולך וצומח בתקשורת הציבורית להקניית ערכים ולחיזוק מעמדו בהנהלת הארגון. ניתן לקבלת אסמכתא לכך בצמיחה במספר ההסמכות – הסמכות מגוונות שמכשירות אף דירקטורים בתחומים של סייבר. מדינות רבות (וישראל ביניהן) אף התחילו בהגדרה רגולטיבית של הכשרת בעלי מקצוע בתחומי הסייבר ואבטחת המידע, לרבות דרישות סף לתפעול, ניהול וכיו"ב הכוללים דרישות סף כגון רקע אקדמי, ניסיון תעסוקתי, רקע אישי ועוד.
• קיצור המרחק בין ה-CISO לבין הנהלת הארגון - ה-CISO חייב למצוא את ״דרך המלך״ שלו להנהלה, בכדי שיוכל להבהיר את החשיבות של היבטי אבטחת המידע והגנת הסייבר לארגון לצורך קיום הפעילות העסקית, ולא באמצעות ״שליחים״. מבחינת מטרה לתפקיד בחיים - להתייצב במקום כ-TIER2 של ההנהלה הבכירה תחת המנכ"ל ומועצת המנהלים (פחות חשוב מה יהיה ה-Title המקצועי ויותר חשוב שכולנו נשאף להגיע ליעד הזה כ-CISO.
* נקודה למחשבה: לשאוף לשימוש בדוגמאות ותרחישי סייבר אפשריים והגיוניים העלולים לפגוע בקיום הפעילות העסקית ופחות בטקטיקות הפחדה (עידן קריאות ה-״זאב, זאב״ חלף ועבר מזמן).
• ה- CISO יידרש לחבוש מספר ״כובעים״ תוך כדי תפקידו (מבחינת משימות מגוונות ותחומי אחריות נרחבים) – מצד אחד דרישה ל- ״הבנה עסקית״ ופחות התמקדות בטכנולוגיה, ומצד שני ציפייה ליכולת הנעה והבנה טכנולוגית מעמיקה במתן מענה לאירועים שונים (טכנולוגיים, תהליכיים ובעיקר אנושיים) העלולים לחשוף את הארגון לסיכונים ו/או איתור מוקדם שלהם ככל האפשר.
* לדוגמא: ה-CISO יידרש להבין בתחום הממשל התאגידי וניהול "החבות המשפטית" של החברה בתחומי הסייבר השונים, עובדה שתשפר את מעמדו בארגון ואף תאפשר לו לשבת סביב שולחן ההנהלה.
* נקודה חיונית: ככל הנראה ה-CISO לא יהיה כפוף יותר ל-CIO - כיום מבחינה ארגונית (עקב מומנטום היסטורי) אין סיבה שה-CISO ישב תחת ה-CIO - אך עדין זה המצב הרווח שכבר היום רואים ניצנים של שינוי חיובי. ה-CIO ימשיך להחזיק בצוות אבטחת מידע קטן (יישומי), שיהיה כפוף רשתית אליו אבל ההנחיה המקצועית תשאר בידי ה-CISO.
• תפקידו של ה-CISO, ביחס לתחומי האחריות והחפיפה ל-CIO יתבהר והגדרת התפקיד תחודד. ה-CISO יחווה צמיחה במעמדו, בין היתר כתוצאה מהגדלת התקציב לטובת הרחבת אבטחת המידע והגנת הסייבר (עקב דרישת תקציב מינימלית מצד הרגולציה וגיבוי מצד הדירקטורים וההנהלה בארגון בעקבות צורך ממשי ואחריות אישית). באמצעות כפיפות ישירה להנהלה וגיבוי בהובלת תהליכים, יוגדר באופן ברור יותר תפקידו של ה-CISO ויחודד ההבדל בינו לבין ה-CIO באופן מיטבי.
• המגמה שהולכת ופורחת, של תקיפה תוך שימוש בהנדסה חברתית, תקיפה דרך רשתות תפעוליות ותקיפה שמטרתה פגיעה פיזית ברכיבים ותשתיות, תחייב את ה-CISO להעמיק את הידע וההבנה בקשרים שבין העולם הקיברנטי למידע, עובדה שתחדד את ההבדל, ההגדרה והסמכות של ה-CISO אל מול ה-CIO.
• ה-CISO ישאף לשלב מודיעין סייבר כחלק אינטגרלי בתהליך קבלת ההחלטות לניהול נכון של סיכוני סייבר, בכדי לשפר את הבנת הנראות החיצונית והאיומים (הגלויים והחבויים) בעיני התוקף, ואף לצורך הקניית הכרות מקדימה של הארגון מבעוד מועד על-ידי ספקי תגובה והתערבות חיצוניים כדוגמת צוותי CIRT וצוותי משא ומתן וניהול משברים. שיקוף המידע להנהלת הארגון בצורה נהירה וברורה יעזור לֹ CISO להעביר ולהסביר את מטרותיו.
• כחלק מאסטרטגיית פיתוח ההגנה על המידע, חלק מהתקציב יושקע בהגברת מודעות העובדים ויצירת תרבות ארגונית המודעת לאבטחת סייבר. לאור מורכבותו של תחום הסייבר ופריסתו לרוחב הארגון, וכן הדרישה לממשקים אל מול המחלקות השונות והתפקידים המגוונים הנדרשים בארגון לצורך יישום מדיניות הסייבר, נדרש ה-CISO להעמיק את כישוריו בתחומי הניהול של צוותי הגנת מידע בארגון, המורכבים מעובדים פנימיים, שותפים עסקיים ומנותני שירות במיקור חוץ.
• כחלק מפיתוח הגנה בארגון, ההכשרה של צוותי ההגנה תחייב מעבר למסגרת מסודרת ומובנת של כח-אדם מקצועי העובד לא רק מכוח תורה שבע"פ, וזאת על מנת לשמר את הכשירות הנדרשת תוך הסתמכות מינימלית בגורמים מחוץ לארגון.
• אימוץ מסגרות ותקנים בינלאומיים כדוגמת: NIST Cyber Security Framework, תוה״ג של מערך הסייבר בישראל, רימון ודומיהם יאפשרו מעבר להקניית "שקט" מול ההנהלה בביטחון של הקניית מסגרת אבטחה נאותה, סט כלים, המלצות והנחיות ליישום שכבות הגנה מגוונות, הכוללות בין היתר: שילוב מוקדם של תכנון לאבטחת מידע כחלק מתכנון מקדים, בחינת רכש, נוהגים מיטביים ועוד. פיתוח והקמה של מסגרת משילות מקצועית, מתוקפת ומוכרת בארגון תאפשר ל-CISO חשיפה וחובת ביצוע בכל התהליכים לאורך ורוחב הארגון. גם אם לא מרצון אלא אף כצורך וקבלת "חותמת" כנגד כשלים עתידיים.
• כיום המידע כבר אינו נמצא רק בין כותלי הארגון. חלק מהמידע שוכן בענן – נושא זה מקשה הן מהפן המשפטי ו/או רגולטורי והן מההיבט האבטחתי. כשאין גבולות גזרה ברורים וכשמגמות ה- Global Mobility, Cloud ו-BYOD מטשטשים את השליטה והבקרה שיש לארגון על המידע, החומרה והתוכנה, ה-CISO מחויב למצוא פתרונות טכנולוגיים מתקדמים שיאפשרו לנתח את האיומים השונים ולחשב את רמת הסיכון מול היעדים העסקיים של הארגון אל מול הקדמה שאינה עוצרת לרגע.
• במקביל לרכש או פיתוח שירותי הגנה וטכנולוגיה להתמודדות עם אירועי סייבר, ה-CISO יידרש ליישום יכולות מתקדמות לזיהוי מוקדם של תקיפות, לנהל ביעילות ובמהירות את התגובה, לפתח יכולת עצירה והכלת התקיפה, ניהול מעבר מהיר למערכות גיבוי, וניהול ההתאוששות וחזרה לתפקוד.
• לפעול במטרה משותפת בראייה ארגונית אחודה של קידום רמת האבטחה והיכולת להתמודדות עם אירועים בארגון באמצעות שיתוף פעולה עם גופי הביקורת (פנימי וחיצוני כאחד) – הנושא יאפשר ל-CISO להניע תהליכים שלאו דווקא נמצאים תחת אלומת אור הפנס אך עלולים להשפיע על תפיסת ההגנה אותה הוא מנסה לקדם בארגון.
• ליזום ולהניע את ראיית ההנהלה –מעבר מתכנית עבודה המונעת מפחד ו/או ציות, לתכנית עבודה המונעת על-מנת לאפשר אבטחה מובנית המיושרת לראיה עסקית תוך ניצול הזדמנויות בדינמיקה הארגונית.
• קידום Cyber Resilience ארגוני, ה-CISO יניע לבניית ארגז כלים שיאפשר לארגון יכולת התמודדות עם אירועים שונים (חרום, סייבר, רציפות תפקודית, אובדן נתונים ואחרים), באמצעות הבנה ומיפוי האיומים אליהם חשוף הארגון באופן שמתעדכן בהתאם לשינויים הדינמיים שחווה הארגון כך שבסוף התהליך לארגון (ול-CISO) יש בנמצא ״הכלי המתאים״ – לדוגמא Playbook / סד״פ / תו״ל בו ניתן להשתמש במידה והתממש אחד האיומים ביום פקודה... ה-CISO יעבור שינוי ל-״דור 3״ - לתפקיד של מפקד חדר מצב שמנהל ומתמודד עם אירועי סייבר כבדרך שגרה.
• על ה-CISO לפעול ליצירת תרבות ארגונית כוללת המודעת לנושא אבטחת מידע והמיושרת ומוגדרת (לפחות בחלקים ממנה) על-ידי אבטחת מידע והגנת סייבר.
זכרו – אבטחת מידע צריכה להיות מאפשרת, מאבטחת, כלכלית, מדידה ומבוקרת.
CyberTeam360 מאת: אורן אלימלך, חוקר ומומחה סייבר - מייסד ומנכ״ל
תפקידו של ה-CISO עובר שינוי מהותי ומעמיק בשנים האחרונות, וב"עידן הסייבר" הופך למאתגר עוד יותר – מאיש בעל יכולת מקצועית גבוהה שנדרש לשמור על המידע בארגון למנהל סיכונים שנדרש להבנה טכנולוגית עם ראיה עסקית ואף משפטית. מגמה זו ממשיכה להתרחב לאיטה וה-CISO נדרש לדבר בשפה ניהולית ועסקית תוך שהוא מתרגם את מסקנותיו לתהליכים טכנולוגים, להובלה ולפיקוח של צוותי תפעול שונים, הן פנימיים לארגון והן חיצוניים כדוגמת ספקי שירות שונים.
על ה-CISO להפוך בזמן הקרוב להיות מנהל עסקי הנדרש להוות חלק ממקבלי ההחלטות הניהוליות בארגון הפועל למימוש הצרכים והפעילות העסקית תוך התמודדות וצמצום הסיכונים העסקיים (שמקורם בתהליכים ובטכנולוגיה) ולאפשר קיום פעילות במרחב הסייבר באמצעות הנחיה ובקרה (לאו דווקא בביצוע עצמו).
כל תחום ניהול הסיכונים מחייב כיום את ה-CISO (ואף צפוי להתרחב משמעותית בעתיד) להכרות ואף הבנה מעמיקה בעולמות הרגולציה החלים עליו באשר הם. חשובים במיוחד הם היבטי הפרטיות הצומחים ועולים כסיכון לכל דבר ועניין בפעילויות הארגון ולאו דווקא רק בראיית אבטחת מידע. על ה-CISO להיות מעורב באופן אקטיבי ולקחת חלק פעיל בהנעת הארגון לעמידה בדרישות הרגולציה השונות הכוללות חלקים משמעותיים ברמה המשפטית, תהליכית וטכנולוגית, כאשר בכל אחד מתחומים אלה מצופה שה-CISO ישכיל להבין מהן חבויות הארגון ולהדגיש את האחריות של כל אחד מבעלי העניין ויכולות ההחלטה הרלוונטיים בארגון.
על ה-CISO להבין שכבר היום הוא נכנס מאוחר למשחק הרגולציה... ועליו לעשות מאמץ מודע מתחילת הדרך לחבור לקציני הרגולציה הקיימים, לבסס איתם דיאלוג משותף וליצור שותפויות עבודה שיאפשרו לו לתפקד בסביבת הרגולציה שהיא מאוד מובנית ומוסדרת (ולא דווקא תואם לאופי ולדרכי העבודה שה-CISO רגיל בהם) מבלי שיסנדלו אותו.
מנקודת מבטי, CISO טוב הוא כזה שמבין שהמגמה ההולכת ומתהווה של מיזוג של רגולציה מצד אחד, אבטחת מידע וטכנולוגיה מצד שני, בפרט בעולמות ה-RegTech, רק הולכת להתעצם ולגדול. על ה- CISO להפנים שמצפים לו סיכונים ואתגרים נוספים שעליו לסמן על מפת הדרכים שלו לשנים הבאות לכן, עליו להכיר ו-״לנשום״ את החזון, האסטרטגיה והתכנית הנוגעים לעולמות הרגולציה ובפרט לנושא הפרטיות המקבל דגש מיוחד בתקופה האחרונה. עליו להגן על המידע והנכסים בארגון, תוך כדי הבנת הראיה וקיום דו-שיח עם עמיתיו, ה-DPO/CPO (קצין/מנהל הגנת הפרטיות) וה-CRO (מנהל הסיכונים), תוך הימנעות ממאבקי כח והתנגשויות לצורך יצירת ״שפה משותפת״ וחזית אחידה אל מול הארגון ובפרט אל מול ההנהלה.
< אם אתם רוצים לשמוע על אבטחת מידע בעידן המודרני ובענן? האזינו עכשיו לפודקאסט בנושא סוגי מתקפות סייבר נפוצות
:בשנים הקרובותCISO -להלן רשימה של מספר נושאים שמחייבים התייחסות של ה
• ה-CISO יידרש למקצועיות מורחבת בתחומים מולטידיסיפלינריים ולאו דווקא בהיבטים טכניים של אבטחת מידע. הנושא "יתגלגל" מהדירקטורים (ומחששם לשאת באחריות וחוסר הבנתם בתחום והריחוק מהעשייה בפועל) לפתחו של ה-CISO שיידרש למענה ואחריות. כיום, דירקטורים מבינים שציות (Compliance) לבדו אינו מספק ומבקשים להבין מהו הסיכון או לפחות מה מתבצע בעולמות אבטחת מידע וכמובן, איך יצאו הם נשכרים ממהלכים אלו. נקודה זו אף נכונה עוד יותר עבור מנהלי חטיבות עסקיות הנמדדים על ביצועים עסקיים נטו, ולכן יש עליהם אחריות מצד אחד אבל גם המון כוח ומשאבים מצד שני - הם ישמחו לשיתוף פעולה ולהורדת הצורך להתעסק עם ״סייבר״ באופן ישיר.
• ל CISO כדאי לנצל את המומנטום שהולך וצומח בתקשורת הציבורית להקניית ערכים ולחיזוק מעמדו בהנהלת הארגון. ניתן לקבלת אסמכתא לכך בצמיחה במספר ההסמכות – הסמכות מגוונות שמכשירות אף דירקטורים בתחומים של סייבר. מדינות רבות (וישראל ביניהן) אף התחילו בהגדרה רגולטיבית של הכשרת בעלי מקצוע בתחומי הסייבר ואבטחת המידע, לרבות דרישות סף לתפעול, ניהול וכיו"ב הכוללים דרישות סף כגון רקע אקדמי, ניסיון תעסוקתי, רקע אישי ועוד.
• קיצור המרחק בין ה-CISO לבין הנהלת הארגון - ה-CISO חייב למצוא את ״דרך המלך״ שלו להנהלה, בכדי שיוכל להבהיר את החשיבות של היבטי אבטחת המידע והגנת הסייבר לארגון לצורך קיום הפעילות העסקית, ולא באמצעות ״שליחים״. מבחינת מטרה לתפקיד בחיים - להתייצב במקום כ-TIER2 של ההנהלה הבכירה תחת המנכ"ל ומועצת המנהלים (פחות חשוב מה יהיה ה-Title המקצועי ויותר חשוב שכולנו נשאף להגיע ליעד הזה כ-CISO.
* נקודה למחשבה: לשאוף לשימוש בדוגמאות ותרחישי סייבר אפשריים והגיוניים העלולים לפגוע בקיום הפעילות העסקית ופחות בטקטיקות הפחדה (עידן קריאות ה-״זאב, זאב״ חלף ועבר מזמן).
• ה- CISO יידרש לחבוש מספר ״כובעים״ תוך כדי תפקידו (מבחינת משימות מגוונות ותחומי אחריות נרחבים) – מצד אחד דרישה ל- ״הבנה עסקית״ ופחות התמקדות בטכנולוגיה, ומצד שני ציפייה ליכולת הנעה והבנה טכנולוגית מעמיקה במתן מענה לאירועים שונים (טכנולוגיים, תהליכיים ובעיקר אנושיים) העלולים לחשוף את הארגון לסיכונים ו/או איתור מוקדם שלהם ככל האפשר.
* לדוגמא: ה-CISO יידרש להבין בתחום הממשל התאגידי וניהול "החבות המשפטית" של החברה בתחומי הסייבר השונים, עובדה שתשפר את מעמדו בארגון ואף תאפשר לו לשבת סביב שולחן ההנהלה.
* נקודה חיונית: ככל הנראה ה-CISO לא יהיה כפוף יותר ל-CIO - כיום מבחינה ארגונית (עקב מומנטום היסטורי) אין סיבה שה-CISO ישב תחת ה-CIO - אך עדין זה המצב הרווח שכבר היום רואים ניצנים של שינוי חיובי. ה-CIO ימשיך להחזיק בצוות אבטחת מידע קטן (יישומי), שיהיה כפוף רשתית אליו אבל ההנחיה המקצועית תשאר בידי ה-CISO.
• תפקידו של ה-CISO, ביחס לתחומי האחריות והחפיפה ל-CIO יתבהר והגדרת התפקיד תחודד. ה-CISO יחווה צמיחה במעמדו, בין היתר כתוצאה מהגדלת התקציב לטובת הרחבת אבטחת המידע והגנת הסייבר (עקב דרישת תקציב מינימלית מצד הרגולציה וגיבוי מצד הדירקטורים וההנהלה בארגון בעקבות צורך ממשי ואחריות אישית). באמצעות כפיפות ישירה להנהלה וגיבוי בהובלת תהליכים, יוגדר באופן ברור יותר תפקידו של ה-CISO ויחודד ההבדל בינו לבין ה-CIO באופן מיטבי.
• המגמה שהולכת ופורחת, של תקיפה תוך שימוש בהנדסה חברתית, תקיפה דרך רשתות תפעוליות ותקיפה שמטרתה פגיעה פיזית ברכיבים ותשתיות, תחייב את ה-CISO להעמיק את הידע וההבנה בקשרים שבין העולם הקיברנטי למידע, עובדה שתחדד את ההבדל, ההגדרה והסמכות של ה-CISO אל מול ה-CIO.
• ה-CISO ישאף לשלב מודיעין סייבר כחלק אינטגרלי בתהליך קבלת ההחלטות לניהול נכון של סיכוני סייבר, בכדי לשפר את הבנת הנראות החיצונית והאיומים (הגלויים והחבויים) בעיני התוקף, ואף לצורך הקניית הכרות מקדימה של הארגון מבעוד מועד על-ידי ספקי תגובה והתערבות חיצוניים כדוגמת צוותי CIRT וצוותי משא ומתן וניהול משברים. שיקוף המידע להנהלת הארגון בצורה נהירה וברורה יעזור לֹ CISO להעביר ולהסביר את מטרותיו.
• כחלק מאסטרטגיית פיתוח ההגנה על המידע, חלק מהתקציב יושקע בהגברת מודעות העובדים ויצירת תרבות ארגונית המודעת לאבטחת סייבר. לאור מורכבותו של תחום הסייבר ופריסתו לרוחב הארגון, וכן הדרישה לממשקים אל מול המחלקות השונות והתפקידים המגוונים הנדרשים בארגון לצורך יישום מדיניות הסייבר, נדרש ה-CISO להעמיק את כישוריו בתחומי הניהול של צוותי הגנת מידע בארגון, המורכבים מעובדים פנימיים, שותפים עסקיים ומנותני שירות במיקור חוץ.
• כחלק מפיתוח הגנה בארגון, ההכשרה של צוותי ההגנה תחייב מעבר למסגרת מסודרת ומובנת של כח-אדם מקצועי העובד לא רק מכוח תורה שבע"פ, וזאת על מנת לשמר את הכשירות הנדרשת תוך הסתמכות מינימלית בגורמים מחוץ לארגון.
• אימוץ מסגרות ותקנים בינלאומיים כדוגמת: NIST Cyber Security Framework, תוה״ג של מערך הסייבר בישראל, רימון ודומיהם יאפשרו מעבר להקניית "שקט" מול ההנהלה בביטחון של הקניית מסגרת אבטחה נאותה, סט כלים, המלצות והנחיות ליישום שכבות הגנה מגוונות, הכוללות בין היתר: שילוב מוקדם של תכנון לאבטחת מידע כחלק מתכנון מקדים, בחינת רכש, נוהגים מיטביים ועוד. פיתוח והקמה של מסגרת משילות מקצועית, מתוקפת ומוכרת בארגון תאפשר ל-CISO חשיפה וחובת ביצוע בכל התהליכים לאורך ורוחב הארגון. גם אם לא מרצון אלא אף כצורך וקבלת "חותמת" כנגד כשלים עתידיים.
• כיום המידע כבר אינו נמצא רק בין כותלי הארגון. חלק מהמידע שוכן בענן – נושא זה מקשה הן מהפן המשפטי ו/או רגולטורי והן מההיבט האבטחתי. כשאין גבולות גזרה ברורים וכשמגמות ה- Global Mobility, Cloud ו-BYOD מטשטשים את השליטה והבקרה שיש לארגון על המידע, החומרה והתוכנה, ה-CISO מחויב למצוא פתרונות טכנולוגיים מתקדמים שיאפשרו לנתח את האיומים השונים ולחשב את רמת הסיכון מול היעדים העסקיים של הארגון אל מול הקדמה שאינה עוצרת לרגע.
• במקביל לרכש או פיתוח שירותי הגנה וטכנולוגיה להתמודדות עם אירועי סייבר, ה-CISO יידרש ליישום יכולות מתקדמות לזיהוי מוקדם של תקיפות, לנהל ביעילות ובמהירות את התגובה, לפתח יכולת עצירה והכלת התקיפה, ניהול מעבר מהיר למערכות גיבוי, וניהול ההתאוששות וחזרה לתפקוד.
• לפעול במטרה משותפת בראייה ארגונית אחודה של קידום רמת האבטחה והיכולת להתמודדות עם אירועים בארגון באמצעות שיתוף פעולה עם גופי הביקורת (פנימי וחיצוני כאחד) – הנושא יאפשר ל-CISO להניע תהליכים שלאו דווקא נמצאים תחת אלומת אור הפנס אך עלולים להשפיע על תפיסת ההגנה אותה הוא מנסה לקדם בארגון.
• ליזום ולהניע את ראיית ההנהלה –מעבר מתכנית עבודה המונעת מפחד ו/או ציות, לתכנית עבודה המונעת על-מנת לאפשר אבטחה מובנית המיושרת לראיה עסקית תוך ניצול הזדמנויות בדינמיקה הארגונית.
• קידום Cyber Resilience ארגוני, ה-CISO יניע לבניית ארגז כלים שיאפשר לארגון יכולת התמודדות עם אירועים שונים (חרום, סייבר, רציפות תפקודית, אובדן נתונים ואחרים), באמצעות הבנה ומיפוי האיומים אליהם חשוף הארגון באופן שמתעדכן בהתאם לשינויים הדינמיים שחווה הארגון כך שבסוף התהליך לארגון (ול-CISO) יש בנמצא ״הכלי המתאים״ – לדוגמא Playbook / סד״פ / תו״ל בו ניתן להשתמש במידה והתממש אחד האיומים ביום פקודה... ה-CISO יעבור שינוי ל-״דור 3״ - לתפקיד של מפקד חדר מצב שמנהל ומתמודד עם אירועי סייבר כבדרך שגרה.
• על ה-CISO לפעול ליצירת תרבות ארגונית כוללת המודעת לנושא אבטחת מידע והמיושרת ומוגדרת (לפחות בחלקים ממנה) על-ידי אבטחת מידע והגנת סייבר.
זכרו – אבטחת מידע צריכה להיות מאפשרת, מאבטחת, כלכלית, מדידה ומבוקרת.
CyberTeam360 מאת: אורן אלימלך, חוקר ומומחה סייבר - מייסד ומנכ״ל
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר