איך להציג תקציב הגנה בסייבר

השנה המסתיימת שינתה את חוקי המשחק. כלום לא אותו דבר וסביר להניח שגם לא יחזור להיות אותו דבר.
בין אם נתייחס לשנה כשנת הקורונה או שנת הטרנספורמציה הדיגיטלית ובין אם נפשט את הדברים לשנת העבודה מרחוק, הדברים לא יחזרו להיות כקדמותם.

למנהלי הגנה בסייבר, השינוי אפילו גדול יותר. אין ספק שהשינוי המהותי ביותר בצורה שאנו עושים עסקים היא המעבר הכמעט אבסולוטי לפעילות מרחוק. גישה לנתונים, קולבורציה טכנולוגית והעברת מידע לפעמים רגיש על קו אינטרנט ציבורי, בעיקר כי אין ברירה אחרת. כל אלה היו גם קודם, אך לא בהיקפים ובצרכים שנוצרו עקב הקורונה.

מנגד, הבלבול וההאטה העסקית של החציון הראשון של השנה, יצרה רגישות גבוהה אצל מרבית העסקים ואינה מאפשרת השקעות ובטח לא כניסה לשינויים עמוקים בטכנולוגיות תומכות. שנת הקורונה יצרה חור תקציבי וקושי לאשר הוצאות שאינן הכרחיות לתפעול הארגוני. מנהלי הגנה בסייבר יודעים שהם יתקשו לקבל תקציבים ומשאבים לאור קשיי השנה האחרונה.

על מנת להפוך את זה לסוג של קטסטרופה אמיתית, נוסיף למשוואה שפשיעת סייבר עלתה בשנה האחרונה במאות אחוזים ואנחנו עדים, כמעט ברמה היומית, לדיווחים על אירועי כופרה או זליגת מידע רגיש לאינטרנט שגורמים לארגונים גדולים וקטנים כאחד להיות מושבתים לשעות ולפעמים לימים ללא יכולת תגובה בעיקר ללא יכולת לייצר הכנסה (ואני מתעלם לרגע מהפגיעה במוניטין או בירידה בשער המניה של אותה חברה).

איך עוצרים את הנפילה?

איך מתקדמים מכאן? אפשר בכלל להתקדם? התשובה היא בהחלט כן. חייבים להתקדם !!

על מנת להתקדם ולהסתגל, על ארגונים לשנות את הגישה שלהם לתהליכי ההגנה בסייבר.

ההגנה על תהליכים עסקיים הופכת לחובה ולא לרשות. אין טעם להתקדם צעד קדימה ולסכן אותו בשניים אחורה. הנהלה שלא תשכיל להגן על התהליכים, המערכות ובעיקר על המידע הארגוני, עלולה למצוא עצמה ממציאה תירוצים לבעלים, לרגולטור ובעיקר ללקוחות שלה. אולי אפילו לספקים שלה.

איך מנהל הגנה בסייבר יכול לעזור להנהלה? ראשית ובלי ספק החשוב ביותר הוא לקחת אחריות.
זה התפקיד, קחו עליו אחריות. המשמעות היא לא לפחד לעמוד מול מקבלי ההחלטות ולהסביר, בפשטות ככל הניתן, מה עומד מולנו. לזהות נקודות כשל פוטנציאליות ולהסביר את הסיכון הכרוך בהן. מנהל הגנה בסייבר שמכיר את הפעילות העסקית, יכיר גם את נקודות הכשל. לא מכירים מספיק את העסק, הנה הצעד הראשון – לימדו את הצד העסקי של הארגון. עדיין צריכים הכוונה, הוסיפו לארסנל שלכם את המדריך לתקשורת אפקטיבית בתהליכי ניהול סיכונים.

מכירים את הבטן הרכה? יופי. עכשיו זהו את התהליכים העתידיים של הארגון. לאן הוא הולך עסקית? מהי שגרת העבודה החדשה? מפו את התהליכים החדשים, המערכות המשולבות והמידע הנדרש על מנת לעמוד במטרות העסקיות. זה המיקוד שלכם לשנה הקרובה.

עכשיו שאתם יודעים לאן הארגון הולך, בנו מעטפת הגנה ראויה שקודם כל, מונעת ככל האפשר, פגיעה בתהליכים העסקיים ולא פחות חשוב, מאפשרת זיהוי ותיחום מהיר של פגיעה במידה וזו אכן מתקיימת.

אני יודע מה אתם חושבים. זה ברור מאליו. לא חידשת לנו כלום. או מחשבות של "קל להגיד אבל איך עושים את זה?" התשובה שלי תהיה – אתם צודקים, אבל מה לעשות, אין תשובה אחת גנרית שמתאימה לכולם.

תכנית פעולה ודרישות משאבים:

הנה מספר פעולות שיכולות לעזור לכל אחד ואחת מכם על כיצד לתקשר את הצרכים של מעטפת ההגנה להנהלה:

כתבו את השלבים שאתם מאמינים שאתם חייבים ליישם על מנת שתוכלו להמשיך את האחריות הארגונית שלכם ושבצו בתוך המצגת הבאה:

שקופית ראשונה – אני אישית מאמין בלהתחיל מהסוף. לכן, אני אציג בשקופית הראשונה את המצב לאחר הטמעת מעטפת ההגנה הנדרשת ואציין כי על מנת להגיע למצב הנדרש נדרשים X משאבים ו- Y השקעה. כשאציג את המצגת, אסביר בע"פ ובקצרה את הצרכים ואיך הגעו למספרים הללו. לאחר מכן אמשיך ואפרט כל שלב ושלב.

שקופית שניה – תיאור מצב קיים. מומלץ מאוד לבצע השוואה לשוק, לסקטור, לארגונים הדומים לנו. נסו להמעיט במילים, תנו לתמונות ו/או לגרפים להראות את התמונה המלאה.

שקופית שלישית – הציגו את הבטן הרכה. סמנו את התהליכים / המערכות / המידע שפגיעה בהם תיצור את השפעה המשמעותית ביותר. במילים מקצועיות, זהו את הסיכונים המהותיים ביותר לארגון שלכם והציגו בצורה הבהירה ביותר עד כמה קל לפגוע בנקודות הללו. הכי חשוב - דברו בשפה עסקית, לא טכנולוגית.

שקופית רביעית – הראו את הטרנדים האחרונים בפשיעת סייבר שהסיכוי שלהם להיפגע גבוה מאחרים. העלייה בתקיפות פישינג או תוכנות כופרה הן דוגמאות שמתאימות לכולם. במידה ויש דברים יותר קונקרטיים, זו השקופית לציין אותם. שוב, אל תכנסו להסברים טכנולוגיים, הסבירו משמעות עסקית.

שקופית חמישית – מה התוצאה שאתם רוצים להשיג? ציינו מה יהיה המצב לאחר הטמעת מעטפת האבטחה שבניתם. אילו סיכונים הפחתתם ואם זה אפשרי, מהי המשמעות העסקית ואפילו הכלכלית של יישום המעטפת. גם כאן, ככל שאתם מכירים את הצד העסקי טוב יותר ועמוק יותר, תוכלו לפרט ולציין משמעויות רחבות ומובנות יותר.

שקופית שישית ואחרונה – פרטו את תכנית הפעולה בלוחות זמנים ואבני דרך. אין צורך לפרט בשקף זה יותר מדי, אך היו מוכנים לענות על שאלות פרטניות במידה ועולות. רמת העומק תבוא לידי ביטוי בהתאם לידע הטכנולוגי של מנהלי הארגון. תהיו מוכנים לכל שאלה. זה בסדר לענות בבקשה למענה מקיף מאוחר יותר, אך ברור לכולנו שהרושם הוא פחות טוב. מיותר לציין שעל השקופית האחרונה להיות בהתאמה מלאה לשקופית הראשונה. זו סגירת המעגל וסגירת המצגת. מכאן כל המוסיף גורע.

לסיכום:

שלושה אלמנטים סופר חשובים בהצגת תקציב, משאבים ותכנית עבודה להגנה בסייבר בשנת 2021:

  1. קשרו את הפעילות שלכם לפעילות העסקית - התקציב והמשאבים שאתם מבקשים קשורים בצורה קוהרנטית לתהליך ההתאמה העסקי של הארגון. חייבת להיות סינרגיה בין הדברים. שוב, גם קודם זה היה חשוב, עכשיו זה אקוטי.
  2. התמקדו במעטפת הגנה שמאבטחת את תהליכי יצירת הכסף של הארגון - כרגע, זה הדבר היחיד שמעניין מנהלים ודי בצדק.
  3. דברו בשפה העסקית - הלחץ והשינויים שנכפו על ארגונים ועל מנהלים מצמצמים סבלנות לנושאים שקשה להבין. ככל שתדברו יותר בשפה העסקית כך יש יותר סיכוי לקבל תמיכה ומשאבים לטרנספורמציה הנדרשת גם בהיבטי ההגנה בסייבר.

המודעות לסיכוני סייבר אצל מקבלי ההחלטות עלתה באופן משמעותי. נצלו זאת במובן החיובי של המילה. התמקדו בהגנה על העיקר והציבו דרישות תקציב ריאליות.

צריכים עזרה בלתכנן את השנה הבאה? בלהציג תכנית להנהלה?  בלמקד את העשייה? תאמו איתנו שיחה.

נצלו את הניסיון הרב שלנו בבנייה והצגה של תוכניות עבודה, נשמח לסייע ולייעץ בכל שאלה ועניין.

 

נכתב ע״י Oren Hadar

CyberSecurity Methodology Expert

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

פוסטים נוספים

03/12/2020
איך להציג תקציב הגנה בסייבר

השנה המסתיימת שינתה את חוקי המשחק. כלום לא אותו דבר וסביר להניח שגם לא יחזור להיות אותו דבר. בין אם נתייחס לשנה כשנת הקורונה או שנת הטרנספורמציה הדיגיטלית ובין אם נפשט את הדברים לשנת העבודה מרחוק, הדברים לא יחזרו להיות כקדמותם. למנהלי הגנה בסייבר, השינוי אפילו גדול יותר. אין ספק שהשינוי המהותי ביותר בצורה שאנו […]

20/10/2020
כיצד להיות מנהל הגנה מבריק?

עם 20 שנות ניסיון, זכיתי לעבוד עם מגוון מנהלים עסקיים וטכנולוגיים. חלקם רגילים וחלקם מבריקים. מה בעצם מבדיל בין מנהל מבריק למנהל רגיל? אם תשאלו מנכ"ל ממוצע, או חבר דירקטוריון מיהו אותו מנהל מבריק, סביר להניח שהתשובה תכלול סופרלטיבים כגון: מנהיג, מקבל החלטות מצוין, מוביל להישגים ואני מניח שיהיו עוד מחמאות סביב ההישגיות, תוך שימוש […]

22/09/2020
הגנה על API Keys

האם יצא לכם לאבד אי פעם את המפתח לבית? למשרד? או לכל דבר אחר? אם גם לכם זה קרה, אז אני משוכנע שהדבר הראשון שהייתם טורחים לשקול הוא להחליף מנעול, כדי שחלילה לא יחדרו לנו למקומות הפרטיים והרגישים שלנו. בדיוק כפי שחשוב לנו להגן על המפתחות שלנו בחיים האמיתיים, כך עלינו לשמור על המפתחות שלנו […]

לפוסטים נוספים

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram