עד לפני זמן לא רב המושג "cybersecurity" כלל לא נשמע בחדרי הישיבות של דירקטוריונים. אם בכלל, עולם הסייבר נתפס כמרחב אקזוטי, שובב או אפל, באחריותו הבלעדית של המנמ"ר או של מנהל אבטחת המידע. הימים האלה חלפו; לאחר רשימה ארוכה של "פריצות פרופיל גבוה" (eBay ,Home Depot, JP Morgan, Sony Pictures, BNP – אלו רק כמה דוגמאות בולטות) אשר גרמו לירידה בערך המניות של החברות המותקפות, להפסדים כספיים, לאיבוד קניין רוחני, לחקירות מצד הרגולטור ולתביעות משפטיות, מתברר כי סיכון הסייבר מאתגר באופן ייחודי ומחייב התייחסות ישירה של הדירקטוריון.
 
חברי הדירקטוריון מתמצאים בתחומי הכלכלה, הניהול והמשפט, אולם רובם עשויים להידרש להשלמות ידע בהיבטים הטכנולוגיים הרלוונטיים לעולם הסייבר - תחום אשר עדיין אינו מובן באופן אחיד וקוהרנטי אפילו למומחי אבטחת המידע. הפרספקטיבה הנכונה הנדרשת להבנת השלכות בתחום טכני זה מאלצת את הדירקטוריון להיות יותר משכיל, קשוב ומעמיק בניהול סיכוני הסייבר. ללא בקיאות מספקת בתחום ובהעדר מנגנוני ממשל (governance) יעילים, החלטות משמעותיות עלולות להתקבל על סמך מיתוסים, הנחות שגויות ומושגים לא מוגדרים היטב, הקובעים את מה שאפשר, את מה שכדאי או את מה שראוי להתבצע כהערכות הארגון לאיומי סייבר.
 
על כן, על מנת לפתח גישה מתוחכמת והולמת להגנת הארגון בפני איומי הסייבר החדשים ולהיערך מבעוד מועד למסגרת החוק והרגולציה המעוצבת בימים אלו בארץ ובעולם, עבור מרבית החברות זהו הזמן לשקול להקים ועדה ייעודית לתחום הסייבר, מקבילה לוועדות הביקורת והטכנולוגיה. להלן שלושה טיעונים מרכזיים התומכים ברעיון זה:
 
א. הנתונים הנשמרים במאגרי המידע משקפים יותר ויותר את "מציאות הארגון" ולמעשה, מה שהארגון "שווה" ומסוגל לבצע תלוי באופן ישיר ומוחלט במהימנות, בשלמות, בסודיות ובזמינות נתונים אלו. פגיעה או חשיפה בלתי מורשית של מידע רגיש או קריטי לארגון, או שיבוש משמעותי של מערכות טכנולוגיית המידע התומכות בתהליכי העבודה המרכזיים, עלולים, במצבים קיצוניים אך ריאליים, להוות איום להמשכיות הארגון (ולראיה, תרגילי המשכיות עסקית שמשרד האוצר הנחה את הגופים המוסדיים לבצע לאחרונה, כללו אירוע סייבר). על כן, על דירקטורים להתייחס לסיכון הסייבר כסיכון תפעולי מובהק ולפקח באופן הדוק וישיר על פעילויות ההנהלה למזעור סיכון זה.  
 
ב. כיום התקפות הסייבר הינן שכיחות, מתוחכמות וקטלניות יותר מבעבר, והמגמה הזאת הולכת ומתעצמת; חברי הנהלות ודירקטוריונים של כל הארגונים אינם יכולים להתעלם מאיום הסייבר על ארגוניהם. ב"נוף הסייבר" מתרחש שינוי של כללי המשחק: התוקפים עובדים ביחד, משתפים משאבים, עורכים תהליכי אבטחת איכות ל"מוצריהם", מציעים "חנויות בוטיק" בהם ניתן לרכוש תוכנות עוינות ולהזמין התקפות, פתחו כלכלה מחתרתית, מסנכרנים את ההתקפות שלהם תוך מהלכים של אופטימיזציה השיטות והתזמון ומגנים זה על זה בפני רשויות חוק. בשנים האחרונות אנו עדים להתפוצצות כמותית אדירה של malware (לפי מעבדות Sophos נוצרים מעל 150,000 תוכניות malware חדשים ביום!) ולהופעת התקפות ה- ransomware. המספרים האלה אכן מדאיגים אך הפסיקו לרגש; תחכום והרסניות של התקפות אשר מצליחות, במקרה הקל, להביך את החברה המותקפת, ובמקרה הקשה יותר, לגרום לנזקים כספיים ותדמיתיים מהותיים, הפך להיות ההיבט המעניין יותר עבור רוב הארגונים. רוב ה- malware חודר היום באמצעות התקפות spear phishing, מדוא"ל או מאתרים מכובדים ולגיטימיים לגמרי. אפילו תהליך חיפוש באמצעות מנוע לגיטימי כמו google חשוף ל"חטיפה", כאשר קוד עוין גורם למנוע החיפוש של google לבצע redirection לכל מני אתרי phishing.
 
על אף ההד התקשורתי החזק בנושא התקפות הסייבר, מחקרים מראים כי ברוב הארגונים לא קיימת מודעות לנזק הפוטנציאלי של התקפות אלו עליהם וכי תקציבי ההיערכות לאיומי סייבר אינם מספקים. לפיכך, תפקיד הדירקטוריון בשינוי סדר העדיפויות בכל הנוגע להשקעות ולהיערכות לאיומי הסייבר הינו רלוונטי ביותר ויכולתו לממש תפקיד זה באופן אפקטיבי תגדל משמעותית אם הפיקוח והבקרה בנושא יבוצעו באמצעות ועדה ייחודית.    
 
ג. המרחב הטכנולוגי-הרגולטורי "בשל": קיים עדיין פער לא קטן בין ההתפתחויות הטכנולוגיות בתחום טכנולוגית המידע – וכפועל יוצא, התפתחות איום הסייבר – לבין הכלים אשר עומדים לרשות גורמי החוק והאכיפה, אך הצעדים הנעשים לאחרונה בנושא מהווים כבר היום בסיס  להתייחסות ולהיערכות הארגונים, הן כאמצעי הגנה והן כערוץ להשגת יתרון תחרותי.    
בין הצעדים האלו ניתן למנות מהלך הקמת מרכז ה- CERT הלאומי הישראלי, חוזר בנק ישראל בנושא Cyber, קידום חוק CISPA Cyber Intelligence Sharing and Protection Act ע"י נשיא ארה"ב ופרסום ה-  NIST Cybersecurity Framework ע"י מכון התקנים האמריקאי. צעדים אלו אמורים לתת פתרון לאיומי הפשע הקיברנטי מחד ולמורכבות סוגית אבטחת המידע אשר איננו מוגן בתוך "פרימטר" אירגוני מוגדר, עם תופעות Internet-of-things, BYOD, מחשוב הענן, שימוש בטלפוניה סלולרית, או מגמת איחוד ה- IT עם ה- (OT SCADA).
 
בהתבסס על שלושת הארגומנטים הנ"ל, מדירקטורים נדרשת ראיה כוללת של האיומים ושל "מחזור החיים של ההתקפות", בקרת מדיניות ההנהלה בנושא סייבר (היערכות, גילוי, תגובה, דיווח, חקירה, נקיטת צעדים משפטיים וכו'), ניהול וניטור סיכון הסייבר, הבטחת רמת בקרה פנימית הולמת את האיומים על נכסי המידע ואף רכישת ביטוח סייבר מתאים.
 
לסיכום, להלן "רשימת תיוג גנרית" שאנו מציעים לדירקטוריון, בנושא סייבר:

1. מדיניות ונהלי החברה בנושא סייבר; גורמים אחראיים לנושא סיבר
2. עמידה בדרישות רגולטוריות
3. שימוש במודל בקרה/אבטחה (NIST, COBIT, PCI-DSS)
4. מיפוי נכסי המידע
5. ניהול סיכוני סייבר (פנימיים וחיצוניים)
6. עריכת מבחני חדירה
7. ארכיטקטורת אבטחה והכנת תגובה לאירוע
8. מיקור חוץ / שירותי ענן
9. גיבוי המידע / DR / BCP / מדיניות אירכוב
10. ביטוח סייבר
11. פיתוח יכולות חקירתיות (forensics)
12. אבטחה פיזית
13. יעוץ משפטי בנושא סייבר
14. שמירת לוגים
15. הסקת מסקנות לאחר אירוע סייבר
16. תוכנית מודעות משתמשים