תפקיד מנהל/ת אבטחת המידע במשבר סייבר

27.3.24

רפאל פרנקו

מייסד ומנכ”ל
Code Blue

צופית שחר

CISO אל-על

אביטל לונקה

CISO דיפלומט

מה תפקיד ה CISO במניעת המשבר?

ה CISO צריך לצאת מנקודת הנחה שאי אפשר להימנע במאת האחוזים ממשבר סייבר, לכן המטרה היא לצמצם את ההסתברות למשבר.

יש לCISO תפקיד כפול, מצד אחד הבנת הסיכונים ולמזער אותם ומצד שני להיות מחובר לליבה העסקית. ה CISO אמור לאפשר לארגון להתנהל תחת הסיכון. לאפשר בלי להתפשר.

המניעה כוללת: ניתוח מרחבי האיום, ניהול הסיכונים, הצבת אמצעי הגנה, בדיקת יעילות הכלים, עדכון ושיפור, הפקת לקחים מתמדת ועוד.

במקביל, האיומים מאוד דינאמיים ולכן עם הזמן תפקיד ה CISO התפתח, ה CISO אמור להיות מחובר הרבה יותר לתהליכים העסקיים, מיפוי תהליכי ליבה עסקיים וקריטיים.  האחריות היא על המניעה אבל היא קיימת לצד הפן העסקי.

ה CISO חייב לכוון את הארגון לתרבות סייבר מודעת ולקיים תכנית מוכנות כי קו ההגנה לעולם יפרץ.

 

מה תפקיד ה CISO במוכנות למשבר?

הנחת היסוד היא שאם אין תוכנית כנראה שהארגון יכשל ברגע המשבר.

ל CISO אחריות רבה בפיתוח התוכנית למוכנות ארגונית להתאוששות ממשבר.

למעשה הוא המנהל בארגון שצריך להכין את החברה למשבר סייבר בראייה עסקית.

המשימה שלו לחבר את הארגון לחשיבות הנושא וליצור תרבות ארגונית שמכירה באפשרות התרחשות משבר סייבר והצורך במוכנות גבוהה.

אחראי על קבלת המשאבים הרלבנטיים כדי ליצור תוכנית שכזו ולהיות החוט המקשר בין הצד הטכנולוגי לעסקי. להסביר לצד העסקי את המורכבות הטכנולוגית ולתווך לאנשי הטכנולוגיה את התעדוף העסקי.

בין היתר יש לתרגל את ההנהלה למצבי משבר, לתרגל את הצוותים הטכניים, לשפר את שיתוף הפעולה בארגון בין היחידות השונות ולפתח יכולות בין אישיות בכדי להגיע להחלטות מהירות בזמן לחץ.

ה CISO צריך לזהות את הנכסים הקריטיים, להבין את ההשלכות של פגיעה בהם ולמפות את התהליכים הקריטיים בארגון שיכולים להיפגע תוך כדי שיקוף מלא להנהלה.

משבר סייבר הוא אירוע מורכב, לכן התוכנית חייבת לכלול גורמים רבים במציאות של חוסר ודאות ולערב בעלי עניין רבים.

 

האם ה CISO אחראי על ניהול המשבר?

התשובה הנכונה היא לא!

אם ה CISO מנהל את האירוע כנראה שלא הייתה הכנה נכונה.

כאמור, ה CISO הוא החוט המקשר בין הצד הטכנולוגי לעסקי וההנהלה הבכירה ביותר חייבת לקחת את המושכות ולנהל את המשבר.

בניגוד לאירוע סייבר שמתחיל ומסתיים בפן טכנולוגי בלבד, בו ה CISO אמור לטפל מקצה לקצה. משבר סייבר משבית החברה או גורם לנזק תדמיתי חמור. מצב זה הוא מעבר להגדרת התפקיד של ה CISO וכולל התייחסות למשמעויות הפיננסיות, עלויות, רציפות עסקית, מוניטין, תביעות חיצוניות ועוד.

ה CISO הוא קצין המבצעים שהכין את הארגון, מכיר את התהליכים ודואג לקשר בין היחידות.

 

מה עוד מצופה מה CISO בזמן משבר?

ל CISO  תפקיד מרכזי בניהול המשבר, מצופה ממנו:

להחזיר את העסק לפעילות בהקדם האפשרי.

לתת ודאות לצד העסקי מה הצעד הבא בהתאוששות.

לתאם בין הצד הטכנולוגי לעסקי.

הבנת המצב, דיווח ואסקלציה.

לטפל בכשלים הטכניים ולנהל את ה IR.

להבין את שורש המשבר.

להפיק לקחים ולתעד את האירוע.

והתפקיד הקשה ביותר הוא להחליט מתי אפשר לעלות שוב לאוויר.

בסיום המשבר על ה CISO להפיק לקחים וליצור תוכניות עבודה חדשות. לנהל סיכונים מחדש, לתעדף תקציבים ופעולות, להבין את המשמעויות העסקיות של המשבר ולצמצם את הפערים שהתגלו בזמן המשבר.

 

מהן הטעויות הנפוצות של CISO  בזמן משבר סייבר?

אי נקיטת פעולה מיידית.

שגיאה בהערכות זמן וקצב התאוששות.

אי תקשורת יעילה בתוך הארגון ומחוץ לו.

איבוד קור הרוח וקפאון.

לדבר טכנולוגיה עם הצד העסקי.

ככל שההכנה הייתה יותר מקיפה ואפקטיבית ל CISO יש את היכולת להתמודד עם משבר אמיתי. כאשר הארגון מתורגל ויש לו נהלי עבודה סדורים הבלבול והלחץ קטנים. חשוב לערב את ההנהלה ולא לאפשר לה להתנער מאחריות לפני המשבר.

משבר סייבר הוא אירוע מכונן, פרוטוקולים למקרי חירום הכרחיים בכדי לשמור על תפקוד הולם.

קביעת KPI  מוגדרים ועמידה בהם יתנו ל CISO אפשרות למדוד ביעילות את אפקטיביות פעולותיו.

 

אז מה הכי חשוב לזכור?

קו ההגנה לעולם יפרץ.

מה שלא עובד בשגרה לא יעבוד בחירום.

ארגונים חייבים למדוד את היכולת שלהם להתאושש ממשבר.

במשבר כל חלקי הארגון באותה סירה לכן צריך לתת ל CISO את המשאבים הרלבנטיים למוכנות ארגונית.

משבר סייבר הוא שאלה של זמן ועל ה CISO להכין את הארגון ליום מעונן.

מיפוי נכסים, השלכות עסקיות, המשכיות עסקית, IR, מוניטין, תקשורת ארגונית הם רק חלק מהדברים שצריך לקחת בחשבון במהל משבר סייבר.

לכן חשוב מאוד לרתום את ההנהלה לטובת מאמצי ה CISO ולשתף פעולה.

לתרגל, לתרגל ועוד פעם לתרגל.

Skip to content