אחריות הדירקטוריון בנושא סייבר

 

מה הקשר בין דירקטוריון לסייבר? זאת לא האחריות של מחלקת האבטחה?

ישנה עלייה מגמתית באירועי אבטחת מידע בארץ ובעולם. פריצות לארגונים מתרחשות באופן קבוע ללא אבחנה של סקטור מסוים או גודל חברה. במגביל הרגולציות השונות מצביעות על מחויבות ההנהלה בהתנהלות של החברות להתמודד עם האיומים הללו.

לאנשי האבטחה יש ניסיון וידע בתחום אך הם לא יכולים להתמודד ולהתנהל בתוך הארגון ללא התמיכה והמחויבות של הדירקטוריון. ההנהלה של הארגון היא זאת שקובעת לבסוף את התהליכים וההתנהלות מול גורמי הסיכון השונים ומובילה את התרבות הארגונית.

זאת האחריות של הדירקטוריון לשמור על האינטרס של החברה והמשקיעים ולשמור על הארגון מהסיכונים הרלבנטיים בנושא הסייבר. אי אפשר לחשוב יותר שלי זה לא יקרה. מודעות להגנת סייבר והבנה של הסיכון צריכה להוביל לפעולה וקביעת מתווה להתנהלות בארגונים.

אנשי האבטחה לא יכולים להעמיס את הסיכון על גבם, ההקשר של ההגנות השונות תלוי באופי העסק וחייב להיות מגובה בקרב חברי ההנהלה. בסופו של דבר בעלי הסיכון הם חברי ההנהלה ולא מחלקת האבטחה שתפקידה לאפשר להם להתמודד ולמזער את הסיכון.

תרבות ארגונית מכוונת סייבר מתחילה בדוגמה אישית של ההנהלה שמובילה את הארגון ומחלחלת הלאה.

אז איך בעצם מתייחסים לסיכון הזה?

ניהול סיכונים בסייבר אינו שונה מכל ניהול סיכונים אחר. יש לזהות את גורמי הסיכון וההשלכות שלהם על העסק מבחינת הרציפות העסקית, השלכות פיננסיות, מוניטין, רגולציה ושירות ללקוחות.

הדירקטוריון לא צריך להפוך להיות מומחה לסייבר. דיאלוג עם אנשי המקצוע ו/או יועצים חיצוניים צריך לתת להם את הכלים להבין את הפערים הקיימים ואת התרחישים הרלבנטיים ובכך לאפשר להם לבחון את רמת התיעדוף של מתן התקציב, נהלים וסדר העדיפויות.

התהליך אמור להתחיל בהבנה של הסיכונים עצמם וממה הארגון הכי חושש. יש ארגונים שחייבים להיות זמינים במתן השירות ויש ארגונים שדואגים לשמירה על המידע. הבנת הסיכונים תוביל לתיאבון הסיכון לגבי כל סיכון ודרכי ההתמודדות אתו.

כאמור, לחברי ההנהלה יש את הכלים הטובים ביותר להבנת המשמעות של הנזקים האפשריים שנובעים ממתקפה. הבנת הנזק תוביל להחלטה לגבי דרכים להתמודדות.

 

מה אומרת הרגולציה בעניין?

ישנה מגמה ברורה בדרישות הרגולציות השונות לניהול הסיכון הכרוך באיומי סייבר ע"י חברי ההנהלה. המפתח הוא קיום דיאלוג שותף, שיטתי וקבוע שיעסוק באיומים האפשריים והדרכים להתמודד איתם. בסופו של דבר החבות היא של הדירקטוריון להבנות את המדיניות בעניין בכדי לשמור על העסק מהסיכון.

הרגולציות השונות מכתיבות דרכי פעולה ונותנות דגשים להתנהלות תקינה של חברי דירקטוריון. אין ספק שחבות זו עוזרת להפנמת המציאות ומחייבת את חברי ההנהלה לפעול בהתאם.

 

איך מנהלים את התקשורת עם מחלקת האבטחה?

החלק החשוב ביותר לתחילת הדיאלוג הוא המודעות לנושא. כאשר ישנה מודעות אנשי האבטחה לא נתפסים כפרנואידים או כאנשים שמנסים לשבש את הפעילות השותפת של הארגון. אנשי האבטחה אמורים לאפשר את הפעילות של הארגון תחת הסיכונים.

המפתחות לדיאלוג הם שקיפות, הכלה, שיתוף ומידדיות. לא מדובר בשתי קבוצות בעלות אינטרסים מנוגדים. הידברות נכונה תוביל להתייעלות הולמת בנושא.

אנשי האבטחה צריכים לשקף את המציאות ,לתת כלים לחברי ההנהלה להבנת המציאות הקיימת ולהציע דרכי פעולה אפשריים למזעור הנזקים. ההנהלה חייבת לרתום משאבים, להכתיב נהלים ולכוון לתרבות ארגונית מכוונת סייבר.

 

מה הכי חשוב לזכור?

 

המציאות משתנה והאתגרים בתחום הסייבר נהיים מורכבים יותר. לדירקטוריון יש אחריות לשמור על הארגון מפני הסיכונים הכרוכים בכך.

תרבות ארגונית מכוונת סייבר מתחילה בהנהלה. הנהלה מודעת תמצא את הפתרונות הרלבנטיים להתמודדות עם הסיכונים השונים ותטווה את הדרך.

חברי ההנהלה אינם צריכים להפוך למומחי סייבר. מחלקת האבטחה ויועצים חיצונים נועדו כדי לתת מענה בנושא אך הם תלויים בהתנהלות של חברי ההנהלה.

קישור לגילוי דעת איגוד הדירקטורים בישראל