לאורך שנים מי שעסק בתחום אבטחת המידע ונמצא בתוך ארגון ה-IT קיווה שראש הארגון, ה-CIO, יזמין אותו או אותה לפגישה אחת לתקופה. פגישה זו עסקה על-פי-רוב בבקשות לרכש של מוצרים שונים או צורך בקבלת החלטה הנוגעת למחלקות אחרות. מאז חלה התקדמות משמעותית בהתייחסות לתחום הסייבר בארגונים. האחראים על התחום קיבלו הגדרה פורמלית של CISO, שעל אף שעדיין איננו באמת מנהל ברמת C-level, ההתייחסות אליו/ה שונה לגמרי. לא רק שה-CIO מזמין את האחראי על התחום לפגישות תכופות, אלא שגם הנהלת הארגון מזמינה לדיונים בנושא ואיננה מנהלת את הנושא רק דרך ה-CIO. ה-CISO ממשיך לדווח, ברבים מהארגונים, לCIO- כיוון שזהו מנהל בכיר המבין בתחומים הטכנולוגיים, אולם מתקיימים מנגנונים בחברות גדולות רבות שיוצרים שיח סייברי חוצה סמנכ"לים המובל על-ידי מנכ"ל או גורם בכיר אחר. הנהלות מקיימות שיח ותהליכים המוודאים את התאמת תוכנית הסייבר לאסטרטגיה הארגונית, ובוחנים האם הסייבר מנוהל בהלימה לפרויקטים המרכזיים של הארגון וליעדים השנתיים שלו, וערוך בצורה נכונה כדי לתמוך בהם.
החלטות של מדיניות
דור שלם של CISOים גדל כשהשיח הסייברי התבצע באופן בלעדי בקהילה הסייברית-הטכנולוגית, כשההבדלים בין המשתתפים בשיח היה האם הגיעו מרקע של תשתיות, אבטחת רשת, תקשורת, פיתוח מאובטח או אחר. פרופיל ה-CISOים הזה הורגל לשוחח עם מומחי תוכן כמוהו ולהגיע מהר מאד, בכל הסבר, לנתונים טכניים עמוקים. כל דיון הגיע ל-Malwares, לפרוטוקולים, לCVE’s, לIOC’s ועוד.
עם עליית רמת השיח לשולחן ההנהלה הגבוהה השתנו מספר מאפיינים מהותיים. הפורום איננו כולל בעיקר חובבי התחום עם רקע טכנולוגי עמוק, ולכן אין אפשרות להגיע במהירות לאזורים טכנולוגיים. משתתפי שולחן ההנהלה לא ימצאו עניין בדיונים טכנולוגיים נרחבים. לא רק בגלל הרקע שלהם, אלא מכיוון שהתפקיד והמנדט שיש להנהלה הם דווקא לקבל החלטות רחבות לגבי הארגון כולו. החלטות אסטרטגיות על כיווני הפעולה של הארגון או החברה, החלטות של מדיניות, של הקצאת משאבים, של תרבות ושל מבנה הפעילות של החברה.
דור ה-CISOים נדרש ללמוד ולתקשר לרמת ההנהלה הבכירה של הארגון את נושא הסייבר. דיוני תקציב בעבר, שבהם השיח הצליח להגיע בסך הכל לרמת השאלה האם ה-CISO יצליח להסתדר עם פחות 10% או צריך עוד 20% לתקציבו, מנסים היום להיות יותר משוכללים וכאלה שעל שולחן ההנהלה מבקשים להבין את האבנים הגדולות שמרכיבות את תוכנית העבודה של הסייבר.
שיח של עדיפויות
כיוון שכל אחד מחברי ההנהלה חווה חוויות הקשורות לסייבר, מתקיים גם שיח של עדיפויות בין נושאים שונים בהם הארגון יכול להשקיע. מניעת תקיפות סייבר אל מול היערכות ליכולת תגובה אליהם, פתרונות הגנה מול גיבוי המידע, תרגיל הנהלה מול קמפיין מודעות לעובדים - כל אלה הופכים להיות חלק מהשיח סביב שולחן ההנהלה. הCISO- צריך להיות מומחה התוכן שיכול להיות מציג הנושא והמביא את הדילמות הנכונות לשולחן ההנהלה, באופן שחברי ההנהלה יוכלו להיות שותפים לדיון, לתרום מניסיונם ומהזויות הארגוניות המגוונות שמביאים ולהיות חלק מהחלטה ארגונית שמתקיימת בפורום ההנהלה. באופן כזה ההנהלה אמנם עוסקת בתחום ושותפה לדילמות ולאחריות להחלטות המשותפות שהתקבלו. ההנהלה של 2023 מצפה מה-CISO שיהיה מסוגל לאפשר לה לשקול בין סיכונים שונים שיש לחברה - בין סיכוני מטבע לסיכוני שוק, בין סיכוני רגולוציה לסיכוני הסייבר.
האופן שהסייבר היה מוצג בעבר - או שהכל יהיה מצויין או שתהיה קטסטרופה - איננו תיאור סיטואציה שמאפשר לקיים שיח אינטליגנטי בהשוואה בין הסיכונים, ולא מאפשר להנהלה לקבל החלטות מושכלות לגבי ניהול החברה והקצאת המשאבים שלה. באופן פרדוקסלי, ה-CISO - שנהנה במידה מסויימת מאי ההבנה של חברי הנהלה מסויימים בתחום ומהמורכבות בהצגת הסייבר בשפה פשוטה ומובנית - חייב להיות זה שמוצא את הדרך להציג את הנושא כך שיאפשר להנהלה לקיים שיח רחב ולהגיע להחלטות משותפות. זה נכון לארגון ובטווח ארוך נכון לסייבר, גם אם יגרום לירידה מסויימת בתקציב שיקבל בשנה מסויימת.
הגדרת מעטפת האיומים
בשנים האחרונות הסייבר מגיע גם לשולחן הדירקטוריון. חברי הדירקטוריון, המזהים את חשיבות הנושא ונושאים אף באחריות אישית להיבטים מסויימים, מזמינים את נושא הסייבר להגיע לסדר היום של פגישות הדירקטוריון. אתגרו של ה-CISO עולה מדרגה נוספת כשצריך למצוא את סוג התכנים הנכון להביא לרמה התאגידית הזו. האתגר פעמים רבות נובע מכך שלדירקטוריון לפעמים אחריות שמגיעה ישירות לנושאים בתפקיד, ועם זאת מובן שסוג הבקרה והניהול אינם אמורים להיות קרובים להחלטות השוטפות של הארגון. דירקטוריונים מפלסים בתקופה זו את הדרך הנכונה לממש את אחריותם על אף המרחק מרצפת העשייה.
הגדרת מעטפת האיומים להם הארגון מחליט לשאוף לתת מענה היא דוגמה מובהקת לסוג ההחלטה שצריכה לקבל מקום בדירקטוריון. גם ההגדרה של איזו רמת פגיעה הארגון או החברה מוכנים לשאת היא החלטת מדיניות. ההחלטה האם חברה יכולה לספוג מספר שעות של הפסקת פעילות או שירות מסוג מסויים ולא מסוג אחר, היא דוגמה להכוונה חשובה שניתן לתת לקבוצת הסייבר. דוגמה אחרת - החלטה שהחברה תתמודד מול איומים של פשיעת סייבר, אך לא תהיה ערוכה לסוגי תקיפה מדינתית מסויימים. שאלות אחרות שמחייבות החלטה: איך החברה מתעדפת את חשיבות השמירה על מידע הלקוחות, על ה-IP של החברה ועל המידע של עובדיה; מהי הסבלנות של החברה לפגיעה באתר האינטרנטי; למעילת סייבר בהיקף נמוך; ולנעילת רשתות הארגון ודרישת כופר. כל אלה הן דוגמאות להחלטות מדיניות שגם אם לא נידונות לעומק בדירקטוריון, נכון שיוצגו ויאושרו או יתואמו איתו. יש לדירקטוריון יותר מקום לתרום ברמה הזו מאשר באישור עסקת רכישת פריט אבטחה כזה או אחר.
להפעיל שיקול דעת
על הדירקטוריון לבחון באיזו מידה תוכנית הסייבר רלוונטית ומותאמת לתוכנית האסטרטגית של החברה, ולוודא שניתנים המשאבים ותשומת הלב הניהולית כדי ליישם אותה. מהזווית בה הוא בוחן את הדברים, המבט על הסיכון ועל הדרכים שהחברה פועלת לצמצום סיכון הסייבר בדרכים שונות מגוונות היא דרך טובה להסתכל הפעילות.
בשנים האחרונות, הגופים המפקחים על חברות התפתחו בהתייחסות שלהם לסייבר. בסקטורים מסויימים כדוגמת הבנקאות, הגופים המפקחים מפרסמים הנחיות מפורטות בתחום. רשות ניירות ערך פרסמה גילוי דעת שנוגע לתאגידים בכל הסקטורים. הנחיות כאלה מחדדות את האחריות ומסייעות בהעמדת רשימות קונקרטיות של המלצות, אולם דירקטוריונים אינם צריכים לחכות לקבל את רשימת ההנחיות. באחריותם להפעיל את שיקול הדעת וההבנה האסטרטגית ולעסוק בתחום הסייבר ברמה המתאימה, כדי לממש את האחריות ולתת את הליווי הבכיר ל-CISO ולמחלקות הסייבר העוסקות במלאכה.
הכותב משמש כ-CSO של מרכז הסייבר באוניברסיטת תל-אביב וכחוקר במרכז. הוא מכהן ב-Advisory Boards של חברות סייבר וכן מלווה דירקטוריונים כיועץ סייבר. בעברו היה מנכ"ל קבוצת פתרונות הסייבר של DELL וסמנכ"ל בכיר בחברת SYGNIA
