מיומנו של CISO #5 – כשהכאוס פוגש את שולחן הדירקטוריון

כותב: עומרי סגרון, CTO, המרכז להגנת סייבר, BDO
 

בקצרה

אשר ארגון מתמודד עם כאוס בתחום הסייבר, הצעד הראשון אינו רכישת כלי אבטחה נוספים, אלא הבנת הצרכים העסקיים והנכסים הקריטיים. באמצעות Business Impact Analysis (BIA) מזהים את התהליכים המרכזיים ואת "יהלומי הכתר" של הארגון, ובהתאם קובעים סדרי עדיפויות להגנה. לאחר מכן, סקר סיכונים ומבדק בשלות מספקים תמונת מצב אובייקטיבית של רמת ההגנה והפערים הקיימים. במקום להסתמך על תחושות בטן, מתקבלת תמונה מבוססת נתונים המאפשרת קבלת החלטות מושכלת. הממצאים מתורגמים למפת דרכים הכוללת טיפול בסיכונים מיידיים, חיזוק התשתיות ובניית חוסן ארגוני לטווח הארוך. כך הופך תפקיד ה-CISO מניהול תגובתי לניהול אסטרטגי של סיכוני סייבר, ומאפשר להנהלה ולדירקטוריון לפעול בביטחון על בסיס תוכנית עבודה ברורה.


 

מאיפה באמת מתחילים?

השעה הייתה שמונה בבוקר, והקפה על שולחן חדר הישיבות כבר התחיל להתקרר. ישבתי מול מנכ"ל של חברת תעשייה גדולה שפנתה אלינו ב-BDO כדי שניקח את המושכות ונשמש כ-CISO as a Service של הארגון.

הוא נאנח, הניח על השולחן ערימה עבה של חשבוניות והצביע עליהן בעיניים עייפות. "עומרי, קנינו את הפיירוול הכי יקר שיש. רכשנו מערכות EDR שמהבהבות בכל צבעי הקשת. שפכנו הון תועפות. ואתה יודע מה הבעיה? אין לי מושג אם אנחנו באמת מוגנים, או שמחר בבוקר איזה האקר בן 16 ינעל לי את רצפת הייצור ואנחנו נפשוט רגל. הכול פה זה בליל של מערכות והתראות. מאיפה לעזאזל מתחילים לעשות פה סדר?"

התחושה הזו אינה ייחודית לאותו מנכ"ל. כל CISO שנכנס לתפקיד חדש, או כל הנהלה שמנסה להקים מערך אבטחת מידע מאפס, מכירים את התחושה הזו היטב. התחושה שאתה עומד מול כאוס של מערכות, התראות, דרישות עסקיות וטכנולוגיות שאינן מתקשרות זו עם זו.

האינסטינקט הטבעי במצב כזה הוא לרוץ לכבות שריפות. אבל אחד הלקחים המשמעותיים ביותר שלמדתי לאורך השנים הוא שדווקא ברגעי כאוס, הצעד הראשון אינו לרכוש עוד פתרון אבטחה. הצעד הראשון הוא לעצור, להבין את התמונה המלאה ולבנות מפת דרכים.


 

מתחילים מהביזנס - לא מהטכנולוגיה

אחת הטעויות הנפוצות ביותר של CISO בתחילת הדרך היא הניסיון להגן על כל שרת, מחשב ומדפסת באותה רמת חשיבות. בפועל, לא כל נכס בארגון שווה באותה מידה. מי שמנסה להגן על תפריט חדר האוכל באותה רמת אבטחה שבה הוא מגן על קוד המקור של החברה, יבזבז משאבים יקרים וייצר מורכבות מיותרת.

לכן, השלב הראשון הוא ביצוע BIA (Business Impact Analysis). במקום להתחיל מהתשתיות, מתחילים מהפעילות העסקית. יושבים עם מנהלי היחידות העסקיות ומבינים מהם התהליכים שמייצרים את הערך האמיתי לארגון, אילו פעילויות אינן יכולות להיעצר אפילו ליום אחד, ואילו נכסים מהווים את "יהלומי הכתר" של הארגון – בין אם מדובר בפטנטים, מידע פיננסי, נתוני לקוחות או מערכות ייצור קריטיות.

רק כאשר מבינים מה באמת קריטי להמשכיות העסקית, ניתן להחליט היכן נכון להשקיע את מירב המאמצים והמשאבים.


 

להפוך תחושות בטן לעובדות

לאחר שמזהים את הנכסים הקריטיים, מגיע השלב שבו בוחנים עד כמה הם באמת מוגנים. כאן נכנסים לתמונה סקר הסיכונים ומבדק הבשלות, שמספקים תמונת מצב אובייקטיבית של הארגון.

בשלב הזה בוחנים כיצד ניתן לתקוף את הארגון, מהם וקטורי התקיפה האפשריים, האם קיימים סיכונים הנובעים מספקי צד שלישי, האם קיימות חשיפות בסביבות הענן ומהי רמת ההגנה בפועל. במקביל, נבחנת הבשלות של מנגנוני האבטחה מול מסגרות מקובלות כגון NIST ו-ISO. השאלה אינה האם הארגון רכש כלי אבטחה כזה או אחר, אלא האם אותם כלים מנוהלים, מנוטרים ומתוחזקים בצורה אפקטיבית, האם קיימים תהליכי גיבוי ושחזור שנבדקו בפועל, והאם הבקרות אכן מספקות את ההגנה שהארגון מצפה לה.

זהו השלב שבו תחושות כמו "נראה שאנחנו במצב סביר" מתחלפות בממצאים ברורים, מדידים ומבוססי נתונים, המאפשרים להבין היכן נמצאים הסיכונים המשמעותיים ביותר.


 

מממצאים לתוכנית עבודה

בסופו של תהליך, הדירקטוריון והמנכ"ל אינם מחפשים מסמך עב כרס שמפרט את כל הבעיות בארגון. הם מחפשים ודאות ותוכנית פעולה.

לכן, לאחר השלמת סקר הסיכונים, בונים מפת דרכים מסודרת המבוססת על סדרי עדיפויות. תחילה מטפלים בסיכונים הקריטיים ביותר שמחייבים טיפול מיידי, כגון סגירת חשיפות לאינטרנט, הפעלת אימות רב-שלבי במערכות ליבה וטיפול בפרצות מהותיות. לאחר מכן עוברים לפרויקטים שמחזקים את התשתית הארגונית, כמו שיפור תהליכי ניהול הרשאות, השלמת פתרונות חסרים והפחתת החוב הטכנולוגי. במקביל, מתכננים את הפעולות ארוכות הטווח שמטרתן לבנות חוסן ארגוני, ובהן הטמעת ממשל אבטחת מידע, חיזוק מודעות העובדים, הכשרות מקצועיות ותרגילי הנהלה.

כך הופך מסמך הסיכונים מתיאור של בעיות לתוכנית עבודה ישימה, המאפשרת להנהלה לקבל החלטות מושכלות ולהתקדם בצורה מבוקרת.


 

ובהיבט האישי

להיכנס לתפקיד ה-CISO ולנסות לנהל אבטחת מידע ללא BIA, סקר סיכונים ומפת דרכים, דומה לניסיון לנווט בשדה מוקשים באמצע הלילה בעיניים קשורות. אפשר להתקדם, אבל קשה לדעת כמה רחוק תגיעו לפני שתדרכו במקום הלא נכון.

סקר הסיכונים ומפת הדרכים הם המצפן של ה-CISO. הם מאפשרים להפוך את התפקיד מתגובה בלתי פוסקת לאירועים לניהול אסטרטגי של סיכונים. הם מעניקים את היכולת לעמוד מול הדירקטוריון, להסתכל למנכ"ל בעיניים ולומר בביטחון: "זו תמונת המצב שלנו, אלה הפערים שזיהינו, וזו הדרך שבה נוביל את הארגון כדי להמשיך לפעול בצורה בטוחה ויציבה."