סייבר בעולם ניהול הסיכונים

מאת רו"ח עדי ירימי, שותף במשרד חייקין, כהן רובין ושות' ודניאל גנזר, MBA

השנים האחרונות היו לשנות "הפריצה" של המושג סייבר. אין הכוונה כי האיום הנ"ל לא היה קיים בתודעה אך בשנים האחרונות החשש ממושג זה רק הולך ומתעצם.

מדינות העולם משקיעות סכומי עתק בניסיון ליצור מערכות הגנה יעילות אותם לא יצליחו לפרוץ, ובד בבד משקיעות הון מכספם במטרה ליצור מערכות וכוח אדם שיוכלו לפעול בעת מלחמה או לצורכי השגת מידע מהאויב בשגרה.

המציאות של ניהול הסיכונים היא שאי אפשר לבטל כליל את הסיכונים, משאבי החברה מוגבלים ופרופיל הסיכון משתנה, אדרבה נכון הדבר לסיכוני הסייבר ומשום כך על החברה למקד את משאביה על הגנת נכסי המידע הקריטיים ביותר הנמצאים בחברה.

בחברות רבות יש מושג מוטעה לגבי רמת ההגנות הקיימות בארגון וזאת ניתן לייחס בעיקר לטרמינולוגיה מוטעית של מושג הסייבר. סייבר או מתקפת סייבר איננה פריצה למערכת טכנולוגית לבדה, אלא פעמים רבות לא נדרשת מיומנות טכנולוגית לביצוע המתקפה.

מערכות ה-IT בחברות רבות עובדות בצורה גנרית במקצת ולא מבוססות הערכת סיכוני המערכת וחשיבותה לחברה, דבר אשר עלול לגרום נזק לנכסי מידע קריטיים אשר מדורגים בחשיבותם לנכסים "חשובים פחות" להמשך קיומה התקין של החברה. על מנת שחברה תוכל להתאים את מערכות ההגנה שלה, לרבות מערכות ה-IT , על האמונים על אסטרטגיית החברה, לרבות הדירקטוריון, לגבש דירוג לנכסי החברה בשימת דגש על חשיבותם להמשך קיומה התקין והיציב של החברה.

מספר שאלות יעזרו לחברה לדרג את נכסי המידע שלה ולמצוא את אותם נכסי המידע הקריטיים ביותר:

מה הם נכסי המידע הקריטיים ביותר בחברה? מהן מערכות המידע הקריטיות ביותר? מדוע הם דורגו כך? איך ניתן לקבל גישה לאותם נכסים שזוהו? למי יש הרשאה לגשת לאותם נתונים בין הרשאה לצפייה בלבד ובין הרשאה לצפייה ולעריכה?

לאחר שהחברה תוכל לתת ביטוי לדירוג הנ"ל על החברה להעריך את הסביבה העסקית המשתנה ובהתאם את סביבת הסיכונים המשתנה.

מומלץ כי החברה תשאל עצמה את השאלות הבאות:

מי הם יריביה העסקיים? באיזה צורה הם יכולים לתקוף אותה? מה הן החולשות העיקריות של החברה? רמת האפקטיביות של הבקרה הפנימית בחברה? האם החברה מבצעת טסטים לתרחיש אמת? אילו נושאים ומסקנות עלו מדוחות מבקרי הפנים והחוץ של החברה?

שאלות אלה ואחרות יעזרו לחברה לזהות את סביבת הסיכונים המשתנה.

בתוספת למענה על השאלות הנ"ל על החברה להיות ערוכה לתרחיש אמת ולתגובת מנע אקטיבית תוך כדי האירוע על מנת שתוכל לצמצמם את הנזקים שנגרמו. תוכניות לשעת חירום הינן הכרחיות להמשך תקין של החברה והנושא מומלץ כי יהיה בפסגת ענייני החברה והנהלתה. כך לדוגמא, מומלץ כי החברה תעסיק מנהל יחידת מחשוב אשר ייתן מענה מיידי לבעיות לכשייווצרו.