בשנתיים האחרונות, עקב מגפת הקורונה, העולם העסקי חווה שינויים ארגוניים מהותיים במעבר לעבודה היברידית, אשר הצריכה את התאמת התשתיות הארגוניות ומערך אבטחת המידע והסייבר למציאות החדשה שהתהוותה. עובדים קיבלו גישה מרחוק למערכות הארגוניות על מנת לקיים עסקים כסידרם ורובם מתחברים ממחשבים ביתיים, אשר לא עומדים בדרישות אבטחת מידע וכאשר הם מתחברים לרשת הארגונית, הם יכולים לגשת כמעט לכל סגמנט שבה. מומחי אבטחת מידע גילו עליה של 1,500% במתקפות על ה- VPN (חיבור רשת מאובטח להתחברות מהבית למחשבי החברה) בעקבות עבודה מרחוק.
מנהלי אבטחת המידע נדרשו לבחון מחדש את מערך ההגנה על נכסי המידע הארגוניים ואת סיכוני הסייבר בתהליכים עסקיים מהותיים. הצורך של לקוחות Enterprise בהגנה על הארגון התגבר, לצד הרגולציות שהחמירו באופן משמעותי. התקינה (InfoSec Compliance) דורשת הטמעה, פיקוח, בקרה ותחזוקה שוטפת וכתוצאה מכך, נוצר על מנהלי אבטחת המידע ועל מנהלי תהליכים עסקיים עומס רב ביותר. רוב הארגונים לא מחברים את שני העולמות הללו ומבצעים מינימום פעילות על מנת לעבור מבדקי תאימות לתקנים, תוך שהם מאמצים מערכות אבטחת מידע מבלי למפות סיכונים בתהליכים עסקיים בארגון.
המציאות בשטח מראה כי מרבית מנהלי אבטחת מידע לא משתמשים כיום במערכות טכנולוגיות ומנהלים חלקית את הבקרות והמשימות שלהם בטבלאות אקסל, ללא יכולת שליטה, בקרה ותיעוד של התהליך. מאחר ומרבית הארגונים נדרשים לעמוד בתקנים שונים, בהתאם לשוק שבו הם פועלים, לעיתים קרובות נוצר מצב שבו הם מבצעים את אותן הבקרות מספר פעמים על ידי גורמים שונים בארגון ועל ידי כך משקיעים בעצם משאבים רבים בעבודת בקרה כפולה ומיותרת, הגורמת להם להסית את תשומת לב הארגון מעיסוקו העיקרי.
רוב הארגונים מבצעים את הבקרות שלהם בצורה ידנית, בתהליך איטי, מסורבל ולא מדוייק. כתוצאה מכך, הם אף פעם לא מגיעים למיצוי מלא של התהליך, כך שהם לא מסוגלים לנהל את הסיכונים בצורה יעילה ולהבטיח לארגון ולבעלי העניין הגנה מיטבית במציאות המשתנה.
כהקבלה, אפשר לומר שהמצב בעולם אבטחת המידע דומה מאוד למה שהיה לפני 30 שנה באגף הכספים, שבו ניהלו את העבודה באופן ידני. קשה לדמיין היום מצב שבו הארגונים ינהלו את הפעילות הכספית שלהם בטבלאות אקסל ולא במערכת ERP, שהפכה לחלק אינטגרלי מהנוף הארגוני.
מהם הפתרונות לכמות האיומים המתגברת, לצד ההחמרה בדרישות הרגולציה והדרישות מלקוחות Enterprise?
מנהלי אבטחת המידע זקוקים לפתרונות וכלים טכנולוגיים שיעזרו להם לנהל את מערך אבטחת המידע במקום אחד ולא באופן מבוזר. כל מנהל אבטחת מידע צריך לעקוב אחרי מפת חום עדכנית, לפעול באופן קבוע להורדת סיכונים ולוודא שיש לו תוכנית התאוששות עסקית העובדת במצב חרום.
הפתרונות הטכנולוגיים צריכים לשלב כלים מבוססי בינה מלאכותית (AI), הלומדת את נתוני הארגון, מנתחת אותם ומאחדת אותם במקום אחד וכל זאת תוך ביצוע שלושה תהליכים מהותיים:
הערכת סיכונים ונכסי הארגון – זיהוי סיכונים ואיומים פוטנציאליים, מול תקיפות וסכנות אשר עלולות להשפיע על מוניטין הארגון, פגיעה באמון, נזק כספי ואף עזיבת לקוחות. הדרך להשיג זאת היא על ידי ביצוע בקרות ותכניות הפחתה מבוססות Data Driven – Risk Evaluationהמאפשרות ניתוח סיכונים מבוסס נתוני מערכות, המאפשר לארגון לאתר את החשיפות, את רמות הסיכון ואת ההשלכות בזמן אמת, תוך שימוש בבינה מלאכותית.
מילת המפתח היא מיפוי. הבסיס להצלחה מתחיל במיפוי נכסים, תהליכים עסקיים והתאוששות, שרשת אספקה, ניהול סיכוני סייבר ועמידה בתקנים, תוך כדי ניהול תוכנית עבודה מוסדרת ומעקב אחר הביצועים.
על מנת להוריד את העומס יש לבצע גם מיפוי בקרות, על מנת לזהות בקרות חופפות. בשלב הבא יש למכן את הבקרות, כולל שמירת עדויות במערכת – מרכיב חשוב ביותר להתייעלות ודיוק הבקרות. זאת בדומה לעולם ה- DevOps ששינה ואיפשר לארגונים לבצע תהליכי CI\CD באופן אוטומטי, מה שגרם להאצה ושיפור האיכות באופן משמעותי.
עמידה בתקנים (כגון: GDPR, ISO 27001,2 SOC, ITGC, NIST ,CMMI)- מימוש הבקרות, ניהולן תוך יצירת קישור בין בקרות דומות ומשותפות כמנוע לעבודה יעילה ופרואקטיבית, ניהול משימות שוטף תוך מנגנון ביצוע בקרות בצורה אוטומטית.
ביצוע בקרות אוטומטיות על מערכות המותקנות בארגון ובענן (Asure, AWS, GCP) אשר תורמות לחסכון זמן בעבודה ידנית, דיוק והעצמת התהליכים בארגון.
סיימון צ’ולסקי, מנכ”ל TopGRC מקבוצת Top קרדיט: יח”צ
אנחנו רואים מגמה חזקה בחברות סטארטאפ ובקרב ספקי פתרונות גדולים בעולם הסייבר, שמציעים כלים למיכון הבקרות מבוססי Data Driven בשימוש בטכנולוגיות AI & ML. בסופו של יום, כל הכלים צריכים לדווח ולתעד את הבדיקה ואת הממצאים בצורה אוטומטית למערכת אבטחת מידע מרכזית. הקשר בין מערכות כגון SIEM לתיעוד וטיפול באירועי סייבר ואבטחת מידע לבין מערכת InfoSec Compliance הכרחי, מאחר וחיבור זה יאפשר שיפור מתמיד ויחזק את מערך אבטחת המידע בארגון. קשר זה יאפשר להזין את הסיכונים ולקבל החלטות מושכלות לגבי תכניות הפחתה, שמטרתן הפחתת ההסתברות להתממשות הסיכון וצמצום הנזקים הפוטנציאליים.
לסיכום: הדרישות שמגיעות מבעלי עניין ומהדריקטוריון גוברות, מאחר והארגון חייב לעמוד בתקינה המחמירה, זאת לצד מחוייבותו לשמירה על המוניטין ועל נכסי המידע. עבודה מרחוק מכבידה אף היא, כך שמנהלי אבטחת המידע חייבים להיעזר בכלים טכנולוגיים מותאמים למצב החדש, שיסייעו להם לטפל ולנהל את כל מערך אבטחת המידע, בצל הסיכונים ההולכים ומתרבים. כתוצאה מכך, מורכבות תפקידו של מנהל אבטחת המידע הפכה להרבה יותר משמעותית. בכדי להתייעל ולבצע את התפקיד כנדרש תוך ערבות ואחריות על התהליך יש לאמץ מערכת Infosec Compliance , לחבר את הנכסים והתהליכים העיסקיים לסיכונים ולמכן את הבקרות.
