alt image

מתווה ניהול סיכוני סייבר לדירקטוריון

מאת צחי לביא, מומחה אסטרטגיית סייבר (EX-CISO)

תחום אבטחת המידע וההגנה מפני מתקפות סייבר, או בשמו האחר "ניהול סיכון הסייבר", הולך ותופס מקום משמעותי בשולחנות הדירקטוריון העכשוויים.

הסיבות העיקריות לכך: דרישות חוקיות ודרישות רגולטוריות עדכניות המטילות אחריות על הדירקטוריון, יחד עם הגידול במספר ובעוצמת תקיפות הסייבר על חברות מכל המגזרים.

הדירקטוריון בעת הזו נדרש להיות גורם פעיל בניהול סיכון הסייבר ולא רק גורם מדווח. ניהול סיכון סייבר אמור להיות קבוע ומתמשך ולא פרויקט חד פעמי ובהתאם, גם פעילות הדירקטוריון בנושא, צריכה להיות רצופה ומתמשכת.

alt image

תחום אבטחת המידע וההגנה מפני מתקפות סייבר, או בשמו האחר "ניהול סיכון הסייבר", הולך ותופס מקום משמעותי בשולחנות הדירקטוריון העכשוויים.

הסיבות העיקריות לכך: דרישות חוקיות ודרישות רגולטוריות עדכניות המטילות אחריות על הדירקטוריון, יחד עם הגידול במספר ובעוצמת תקיפות הסייבר על חברות מכל המגזרים.

הדירקטוריון בעת הזו נדרש להיות גורם פעיל בניהול סיכון הסייבר ולא רק גורם מדווח. ניהול סיכון סייבר אמור להיות קבוע ומתמשך ולא פרויקט חד פעמי ובהתאם, גם פעילות הדירקטוריון בנושא, צריכה להיות רצופה ומתמשכת.

מה הם הסיכונים

כלל הארגונים חשופים לשני סיכוני סייבר בולטים: פגיעה במוניטין ודליפת מידע פנימי שמסכנת אותם בהפרת תקנות הגנת הפרטיות.

אם מדובר בארגון שהוא חברה ממשלתית או חברת תשתיות לאומית, הסיכונים ממתקפת סייבר, בסדר עולה הם: פגיעה בשירות לאזרחים, פגיעה בשגרת החיים במדינה וסיכון חיים. אם מדובר בארגון עסקי, יצרני, פיננסי, מתקפת סייבר מסכנת את הכנסות העסק, חושפת את העסק לירידה בשווי המניות ולפגיעה בהשאת הערך לבעלי המניות. אם מדובר בארגון המבוסס על קניין רוחני, כגון מעבדות מחקר ופיתוח וחברות סטראט-אפ, הסיכון העיקרי ממתקפת סייבר היא דליפת הקניין הרוחני הייחודי, שיכול להביא לחיסול הארגון.

לאילו נושאי מפתח יש להתייחס

משום כך נדרש הדירקטוריון לתוכנית עבודה שמתכללת את חובות ופעילויות הדירקטוריון בנושא הגנת סייבר וכוללת את נושאי המפתח הבאים:

  • ממשל תאגידי

  • עמידה בחוקים, התקנים והרגולציות המחייבים את הארגון

  • ניהול סיכון הסייבר (הערכת רמת הסיכון ותכנית לצמצום שלו)

  • פיקוח ובקרה

  • הערכות ומוכנות למשבר סייבר, כחלק מתוכנית ההמשכיות העיסקית/תפקודית

הפעילות בכל אחד מהתחומים שלעיל, היא שונה בין הארגונים השונים ונקבעת לפי רמת סיכוני הסייבר של הארגון והחוקים והרגולציות להם הוא מחויב.


נהלים נחוצים

הפעולה הראשונה אותה נדרש הדירקטוריון לבצע היא לימוד סיכון הסייבר העיקרי של הארגון. הדבר יעשה על ידי סקירה מפורטת של כל אחד מהתהליכים המתבצעים בארגון, יחד עם מיפוי נכסי הסייבר של הארגון.

סקירה כזו יכולה להתבצע על ידי מנהל.ת הסיכונים בארגון ביחד עם מחזיק.ת תיק הסייבר בארגון, או על ידי גורם מקצועי חיצוני. הפורום בפניו תוצג הסקירה, צריך לכלול את חברי הדירקטוריון וההנהלה.

במקביל, יילמד הדירקטוריון מה הם החוקים, התקנים והרגולציות, בארץ ובחו"ל, המחייבים את הארגון ובאיזו מידה, הארגון עומד בהם.

הדירקטוריון זקוק לסקירה מפורטת מהיועץ המשפטי של הארגון, ביחד עם קצין הציות ומחזיק תיק הסייבר בארגון. גם סקירה זו צריכה להיות מוצגת בפני חברי הדירקטוריון וההנהלה.

על הדירקטוריון לקבוע אם רמת סיכון הסייבר של הארגון היא נמוכה, בינונית או גבוהה. לפי קביעה זו, יחליט הדירקטוריון אם יש לו ידע וכלים כדי לממש את אחריותו, או שהוא נזקק לליווי חיצוני. כמו כן יקבע הדירקטוריון מי מטעמו אחראי לניהול הפעילות. האם ועדת הביקורת של הארגון תהיה אחראית לניהול סיכון הסייבר, או שיש למנות ועדת סייבר או מספר אחראים. האחראי לניהול הפעילות, יוודא שהמידע המובא בפניו ובפני הדירקטוריון הוא איכותי, מקיף ומשמעותי ויקבע את תוכנית העבודה הנדרשת.

דגשים לסיום

לסיום, להלן מספר דגשים וטיפים לעבודת הדירקטוריון בנושא אבטחת המידע והגנת הסייבר.

  • ממשל תאגידי - לחברות וארגונים שלא מחויבים לרגולציות או תקנים בנושא סייבר, מומלץ לאמץ את עיקרי אחד התקנים, או מסגרות העבודה, המקובלים, כגון iso27001, תורת ההגנה של מערך הסייבר, שאלון יוב"ל של מערך הסייבר וכדומה. הדבר ייתן מסגרת לדברים עיקריים בנושא הממשל התאגידי.

  • ציות ועמידה בחוקים, רגולציות ותקנים - יש לזכור שכל חברה מחויבת לחוק המחשבים ולחוק הגנת הפרטיות וכי להם מתווספים חוקים נוספים, רגולציות ותקנים המחייבים חברות שונות.

  • ניהול סיכון הסייבר - אבטחת המידע והגנת הסייבר, צריכים להיות פרופורציונליים למידת הסיכון של הארגון. נקודה חשובה: אבטחת המידע והגנת הסייבר צריכים להיות גורם מאפשר לפעילות הארגון ולא גורם מדכא. על הדירקטוריון לקבל, לפחות אחת לשנה, הערכת סיכון למתקפת סייבר והערכה של הנזקים האפשריים לשרשרת האספקה של הארגון ועוד, וכן תוכנית עבודה שנותנת מענה לתרחישי הנזק.

  • פיקוח ובקרה – על ועדת הביקורת של הדירקטוריון ביחד עם המבקר הפנימי, לקבוע פרמטרים מדידים ובעלי משמעות לבחינה שוטפת של הביצועים והסיכונים בחברה. key performance indicators : KPI מדדים המודדים את ביצועי החברה ו- key risk indicators : KRI מדדים תפעוליים או סטטיסטיים. על הדירקטוריון לקבל, בצורה סדירה, את הדיווחים התקופתיים של מנהל אבטחת המידע לוועדת ההיגוי או להנהלה ואת הדיווחים על אירועים שקרו והתחקיר שלהם.

  • מוכנות למשבר סייבר – הדירקטוריון צריך לוודא שלארגון יש תוכנית מסודרת ומפורטת לטיפול במשבר סייבר ולהתאוששות ממנו. מומלץ כי האחראי לנושא בדירקטוריון ישתתף כאורח בתרגילי ההנהלה בנושא, כדי על מנת להבין למה עשוי הדירקטוריון להידרש באירוע משברי.