מה לימד אותי ביקור אצל מנכ"ל בכיר על אבטחת מידע?
מאת:
אילן סגלמן, 2.4.19, 19:33
למדתי שיעור המשקף את ההתמודדות המקצועית והפוליטית של צוותי אבטחת המידע בכל ארגון, גדול כקטן. מה על ה-CISO לעשות בקרב ההנהלה הבכירה, שיכולה לשים מקלות בגלגלי אבטחת המידע?
אבטחת מידע מהווה נושא מורכב ומעניין דווקא משום שהוא משתנה ומתעדכן כל העת. נושא זה מאפשר לעוסקים בדבר להיות במצב של למידה תמידית ומעודד סקרנות. במאמר זה אספר על שיעור חשוב, שלמדתי בביקור קצר אצל מנכ"ל חברה בכיר, שיעור המשקף על קצה המזלג את ההתמודדות המקצועית והפוליטית של צוותי אבטחת המידע בכל ארגון, גדול כקטן.
לפני תקופה קצרה ביקרתי אצל אחד הלקוחות של החברה שלנו לאחר סיום פרויקט מוצלח. מדובר בארגון גדול במשק, שמפאת פרטיות לא אפרסם את שמו כאן. צוות אבטחת המידע, האינטגרטור ומנהל אבטחת המידע בראשו, עמלו מזה חודשים על אסטרטגית אבטחת מידע, בניית תשתית הולמת, נהלים המתאימים לדרישות המחמירות של אותו ארגון והטמעת פתרונות אבטחת מידע.
לאחר סיום הפרויקט, ביקרתי במשרדו של המנכ"ל באחת ההזדמנויות ולמדתי, שאצלו ואצל מספר מנהלים מקרב ההנהלה הבכירה
ניתנו הקלות ברמת אבטחת המידע, עקב דרישתם לאפשר להם גלישה נוחה באתרי אינטרנט מסוימים. האינטגרטור נאלץ להיעתר ללקוח
ולהוריד הגנות לבקשתו.
מופתע ומבולבל חזרתי למשרדי - איך ייתכן שהנהלה בכירה בארגון שמה את האינטרס הצר שלה על פני האינטרס הרחב של הארגון? החלטתי, שיש בידי ללמוד מהחוויה המוזרה ואף להעביר מסר חשוב באמצעותה.
המקרה הזה הוא תיאור מדויק של טעויות אנוש המובילות לפריצות חמורות לארגונים. שיקול דעת מוטעה, חוסר מודעות וסדרי עדיפות שלא במקומם - כל אלה ועוד נכללים תחת קטגוריה של "טעויות אנוש", והם עדיין מהווים את הגורם מספר 1 לפריצות לארגון.
החלק הארי האחראי על פריצות סייבר לארגונים מקורו בטעויות אנוש, וללא ספק, המנהלים הבכירים בחברות לוקים בהן - אחרי הכל, גם הם אנושיים. במקרה דנן, מנהל אבטחת מידע מוכשר ומיומן בעל כל הידע בעולם בתחום לא היה מצליח להציל את הארגון הזה מטעות אנוש אחת, החלטה שגויה ואולי אנוכית, שנכפתה ע"י מנכ"ל החברה וההנהלה הבכירה.
דו"ח שהתפרסם לאחרונה ע"י The Bunker מדגיש, שמנהלים בכירים עדיין מהווים את החוליה החלשה באבטחת המידע ושפושעי הסייבר מתמקדים בפגיעות הזאת כדי לבצע פריצות רציניות ביותר למידע. הדו"ח מציין, שמנהלים בכירים רבים מתעלמים מהאיום, שנוצר ע"י האקרים ופושעי סייבר, ומרגישים פעמים רבות, מנקודת מבטם, שנוהלי האבטחה אינם חלים עליהם בתפקידם הייחודי.
הסיבה שמנהלים בכירים, דוגמת מנכ"לים, סמנכ"לי כספים, סמנכ"לי תפעול וסמנכ"לי שיווק, עדיין מרגישים מנותקים מעולם הסייבר ויכולים לשים מקלות בגלגלי אבטחת המידע היא, שזאת פשוט לא אשמתם.
הם ברוב המקרים לא משתתפים בהדרכות אבטחת המידע הניתנות לסגל הזוטר יותר, הם לא הודרכו מספיק בנוגע לסכנות התקפות הסייבר, לא יודעים איך להימנע מהתקפה או אפילו איזה אימיילים כדאי להם להוציא מהארגון ואיזה לא.
דווקא ההנהלה הבכירה, שחשופה לידע רוחבי רב בשלל תחומים והיא בעלת גישה למידע הרגיש ביותר, עדיין לא משכילה מספיק כשזה נוגע לאבטחת מידע.
פושעי הסייבר אינם בוחלים בשום אמצעי בבואם לחדור לארגון והם עיוורים לדרגות בבואם לנצל גורם אנושי חלש, בין אם מדובר באיש מערכות מידע, מזכירה או מנכ"ל. אולם, בשל גישתם הנרחבת של אנשי הנהלה בכירה למידע רגיש מאד, חשוב לתת על כך את הדעת ולעשות מאמצים גדולים יותר לשנות את התמונה בנוגע להם.
אם הדרכות לסגל הזוטר אינן מתאימות לסגל הבכיר בשל אורכן, התוכן הנכלל בהן או הרכב המשתתפים, יש לבנות באופן פרואקטיבי תכניות לימוד מיוחדות למנהלים, שמתוכננות על פי הצרכים המיוחדים של ההנהלה הבכירה. הדרכות אלו חייבות לכלול רקע אודות אבטחת מידע ארגונית ואישית, השלכות של התקפה על הארגון, דרכי התגוננות ראויות, תהליכי התמודדות בעת התקפה ועוד.
גם ההנהלה הבכירה חייבת להיות מודעת לסיכוני אבטחת המידע ואם לא מביאים את הנושא לידיעתה, עליה לדרוש מאנשי אבטחת המידע מידע והדרכות בנושא.
מאידך, אנשי אבטחת המידע חייבים לעמוד על כך, שההנהלה הבכירה תעבור הדרכות ממוקדות. אם יש נושא, שאנשי אבטחת מידע חייבים לדרוש מההנהלה שיטופל - מדובר בנושא זה. רק כך אפשר למנוע חורי אבטחה אצל בעלי התפקידים הבכירים. כך, כל הארגון ירוויח מאבטחה טובה והדוקה יותר.
מאת: אילן סגלמן, אפריל 2019.
סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications המפיצה את פתרונות Sophos בישראל