כמו כל מוסד בנקאי גדול, גם בנק הפועלים מתמודד עם אתגרי הציות לרגולציה, שמגיעה ממקורות שונים כדוגמת המפקח על הבנקים בבנק ישראל. הדבר מחייב ניהול מושכל של הדרישות הרגולטוריות, שמגיעות בתדירות גבוהה, תוך הנחלת תרבות ציות הולמת בארגון בקרב כל המחלקות הרלוונטיות. הדבר מחייב גם בקרה מתמדת כדי להטמיע בכל רגע נתון את ההנחיות החדשות.
קיום נהלים מוסדרים ומבוקרים בתחומי הסייבר ואבטחת המידע הוא כיום אחד מהנושאים הקריטיים שנדרשים על-ידי הרגולציה, ובהקשר זה עולה הצורך לוודא כי הבנק עומד בכל ההוראות וההנחיות - לא רק הכמותיות אלא גם האיכותיות. כך למשל, כאשר הבנק נשאל על הפעלת אנטי-וירוס הוא אינו יכול להסתפק רק בתשובה לקונית :"כן/לא". עלינו לוודא שאנו ממצים את יכולתנו, שהאנטי-וירוס מופעל בכל התחנות, שהוא מקונפג כראוי, שאנחנו מעדכנים טלאים כל הזמן ועקב כך לבדוק מהי איכות ההגנה שהוא מספק ולוודא שהרגולציה מקוימת בכל שכבות ההגנה. לא מדובר במהלך פשוט. כדי לוודא קיומה של הגנת סייבר נאותה נדרש מערך היודע לחבר בין נתונים עסקיים ולוגיים ובין פונקציות טכנולוגיות לפונקציות ניהוליות - כדי לוודא למשל שילוב של הטמעת טכנולוגיות בתוכניות העבודה.
לשפר את ההגנה על הארגון
הואיל וניהול תחום הסייבר הוא חלק מניהול הסיכונים הכללי בארגון הוא מתחבר לתחום ה-GRC) Governance, Risk management, Compliance), שהוא דיסציפלינה ארגונית שנועדה לסנכרן מידע ופעילות בין היבטי ממשל תאגידי, ניהול סיכונים וציות על מנת להבטיח השגת מטרות ארגוניות, להבטיח אמינות ויושרה ולטפל באי-ודאות בארגון. אם נפריד זאת למקטעים הרי ממשל תאגידי הוא שילוב של תהליכים שנקבעו ומבוצעים על-ידי ההנהלה הבכירה המשתקפים במבנה הארגון, לרבות סוגיות ניהול והובלה להשגת מטרות ויעדים ארגוניים;ניהול סיכונים הוא חיזוי וניהול סיכונים, אשר יכולים לעכב את הארגון להשגת מטרותיו באופן אמין תחת אי ודאות;ציות מתייחס לדבקות בגבולות חוקיים (חוקים ותקנות) וגבולות מרצון (מדיניות החברה, נהלים וכדומה).
GRC בתחום אבטחת המידע והגנת הסייבר קיים כבר שנים ונתפס בין השאר כגורם האחראי לקיום ומימוש נהלים ורגולציות. בשנים האחרונות, הודות להתפתחות טכנולוגית משמעותית של מערכות ה-Compliance ויכולות ניתוח המידע הרב הנאגר במערכות איסוף הנתונים, התחום עבר לשלב הבא באבולוציה והפך להיות גורם פרואקטיבי המניע תהליכים ארגוניים לצורך עמידה ביעדי ההגנה שהוגדרו.
אם גם אתם שואפים לשפר את איכות ההגנה בארגון שלכם, זהו הזמן להכיר את ה- T-GRC החדש. (ה-T=TECH) הוא התוספת הטכנולוגית, אבל גם התפיסתית, ל-GRC.
מדידה רציפה וממוכנת
בתפיסת ההפעלה הישנה, תחום ה-GRC היה ממוקד בקיום דרישות הרגולציה וסיפק תמונת מצב רגעית, אחת לתקופה. חלק משמעותי מהבקרות השוטפות נעשה בעבר באמצעות תשאול אנושי של גורמי האבטחה השונים, כך שהתקבלה תמונת בקרה המשקפת תפיסה סובייקטיבית של אחראי ההגנה והייתה נכונה לרגע התשאול בלבד. בתפיסה החדשה, בנוסף לתשאול האנושי, מתבצעת מדידה רציפה וממוכנת, המאפשרת בניית תמונת מצב אובייקטיבית בכל עת שנדרש. בנוסף למדידות הכמותיות המסורתיות כדוגמת KPI, KRI ובדיקת ביצוע פעילות, מתווספת מדידה כמותית ואיכותנית באופן רציף.
לייצר ערך ארגוני מעבר לעמידה בדרישות הרגולציה
תפיסת ההפעלה החדשה של תחום ה-T-GRC שואפת לייצר ערך ארגוני מעבר לווידוא עמידה בדרישות הרגולציה. T-GRC מאפשר לנו היום לוודא עמידה בפועל של הארגון במדיניות שנקבעה וזאת באמצעות:
· ווידוא עמידה של תחנות הקצה והשרתים הארגוניים במדיניות הארגונית. למשל, וידוא התקנת טלאי אבטחה משמעותי, זיהוי תוכנות בלתי מורשות, שיתופים פתוחים ועוד.
· ווידוא עמידה של מערכות ההגנה הארגוניות בהגדרות המערכת ובהגדרות האבטחה בהתאם ל-Best practices למוצר המסוים או לתהליכים (כדוגמת NIST, ISO, COBIT וכדומה). כך מושגת שקיפות ביחס לעמידה במדיניות הארגון.
במסגרת הפעילות לכל בקרה, מוגדר אחראי בארגון, שמדווח על עמידה בבקרה (לא רק קיים / לא קיים) ומגדיר מדדי בשלות ואיכות יחד עם גוף ה-T-GRC והחזון הוא שהערכת העמידה בבקרות תהיה ממוכנת ככל שניתן. שיח זה משפיע על פעילות תחום ה-T-GRC בהחלטה אילו נתונים נדרשים לצורך הערכת הבקרה.
מיקוד פעילות באזורי הסיכון
בתפיסה החדשה התחום פועל כגוף בקרתי פרואקטיבי לשיפור יכולות ההגנה אל מול היעדים שהוגדרו, ומסייע לארגון למקד את המשאבים באזורי הסיכון המשמעותיים ביותר.
בכדי לייצר את תמונת הסיכון לזמן נתון, נדרש לייצר מצד אחד מטריצת סיכון, המורכבת מאיום הייחוס הרלוונטי לארגון המסוים, ומצד שני את תורת ההגנה המורכבת ממערכות, תהליכים ואנשים, כפי שהוגדרה בתקני אבטחת מידע בין-לאומיים, ברגולציות השונות ובסטנדרטים מקובלים. אל מול תמונת הסיכון יש לבצע הערכת מצב של רמת הסיכון באזורים השונים של הארגון, תוך שימוש במערכות הטכנולוגיות המשקפות אזורים בהם הסיכון גבוה ונדרשת פעולה מתאימה.
איסוף מידע מקבצי הלוג של התחנות והמערכות השונות, מאפשר יצירת דוחות והפקת תובנות מבוססות נתונים טכנולוגיים ועסקיים. מאגר מידע שכזה מאפשר לייצר קורלציות נתונים המובילות למיקוד מאמצי האבטחה באזורים הנדרשים ביותר, כדוגמת מיקוד במשתמש פריבילגי שנכשל בתרגולי פישינג ועובד בתחנה שאינה עומדת בדרישות האבטחה הנדרשות.
תמונת המצב החדשה והעשירה בנתונים המתקבלים באופן שוטף, מאפשרת לגוף ה-GRC לנהל עבור הארגון את סיכון הסייבר באופן מושכל, דבר המאפשר להנהלה לייצר תוכנית עבודה מותאמת לסיכון הארגוני.
לזהות פערים, לתקן ליקויים באופן רציף
אז כיצד תוכלו לייצר תהליכי T-GRC בארגון שלכם?
השלב הראשון הוא תודעתי, כלומר שינוי ה-Mindset לגבי תפקיד ויכולות ה-GRC באמצעות יצירת מדידה רציפה ואיכותנית של הפרמטרים האבטחתיים בארגון. הדרך להגיע ליכולות המדידה האלו היא באמצעות הקמת בסיס נתונים המשלב מידע ממערכות סריקה לצרכי ציות, קבצי לוגים - מקיפים ככל הניתן -וטכנולוגיות הגנת סייבר מתקדמות.
לאחר יצירת תשתית הנתונים נייצר לוגיקה, שתאפשר לנו להפיק תובנות על אזורי סיכון, אי עמידה בבקרות וכיוצ"ב. תמונת המצב הרציפה הזו תאפשר לכם ולארגון שלכם לזהות ולהתמודד עם הפערים ולתקן ליקויים באופן רציף, תוך עמידה בקצב של התפתחות האיום.
הכותבת היא מנהלת תחום TGRC במערך אבטחת מערכות מידע והגנת הסייבר של בנק הפועלים
בשיתוף בנק הפועלים
