מול אלו איומים ניצבים מנהלי IT היום?
אחד האיומים שמולם ניצבים מנהלי IT הוא מנהלים בכירים שעוקפים החלטות אבטחה קריטיות. לפעמים ההחלטות לא עומדות בד-בבד מול היחס של יתרונות לעומת עלויות ומידת הסיכון. לכן, מנהלי IT צריכים לוודא שההחלטות שלהם לא כוללות דרישות שהן לא סבירות מבחינת צרכי העסק. בתקופה האחרונה זה הפך לאתגר ממשי לאור הצמיחה של הרשתות החברתיות והאפשרויות העסקיות שהן מציעות. קרוב לוודאי שלא כל עובד זקוק לגישה לרשתות החברתיות, אך מדיניות גורפת אשר מונעת גישה לאתרים אלו יכולה להוריד עסק לעמדה נחותה לעומת המתחרים.
איום נוסף שקיים היום הוא חוסר המודעות לצורך החיוני בחינוך ובהדרכה מתמשכת גם למשתמשי הקצה וגם של המקצוענים בתחום. מנהלי IT מקצועיים צריכים להגיע לכינוסים ולתערוכות על-מנת לפתח קשרים עם קולגות בתחום שיכולים לחלוק מניסיונם, לשתף בידע, ולהיחשף לטכנולוגיות ולאפשרויות חדשות. הכשרה מקצועית בנושא אבטחת מידע למשתמשי הקצה, שלרוב אינם מומחים בתחום אבטחת המידע, יכולה להפחית מעומס העבודה של מנהלי ה-IT ולמנוע טעויות יקרות שניתן להימנע מהן בקלות עם חינוך מונע. הונאות שמתבצעות באמצעות מייל או רשתות חברתיות הופכות ליותר ויותר נפוצות, וחינוך בנושא זה הוא הכרחי אך כמעט שאינו קיים. מעבר לכך, ברור לנו היום יותר מתמיד שאבטחת מידע תלויה גם בטכנולוגיה וגם באכיפת מדיניות על-ידי משתמשים, ואת זה עושים דרך הגברת מודעות וחינוך.
ניהול של עידכוני אבטחה במערכות הפעלה ותוכנות הוא נושא בעייתי בארגונים כיום. התולעת קונפיקר, שפרצה לראשונה ב-2008 והדביקה מיליוני מחשבים ורשתות בעולם, היא הוכחה לחומרת הבעיה.
המניע העיקרי של מפתחי הווירוסים בימינו, ולאן הם מכוונים את התקפותיהם
המניע העיקרי, אם לא היחידי, הוא כסף. "הבחורים הרעים" מכוונים את התקפותיהם לכל מקום שיש בו כסף, כמו שנמר מכוון את התקפותיו לכל מקום שיש בו אוכל. יש הרבה כסף בריגול עסקי, מדינות וממשלות משלמות הרבה כסף להאקרים שמועסקים אצלן. יש כסף בגניבת זהויות. יש כסף בגניבת זהויות במשחקי און-ליין ויש כסף בפריצה לחשבונות מדיה חברתית. לא מדובר יותר ב"תהילה" שמגיעה בעקבות איזו פריצה אלגנטית או וירוס שנכתב בצורה מתוחכמת. ברוכים הבאים למציאות הטרור הקפיטליסטי המקוון.
הגדרת המונח "ניהול סיכונים"
ניהול סיכונים הוא המדע והאומנות בקבלת ההחלטות של כמה להשקיע ואיפה להשקיע, כדי למנוע אובדן של מידע. אם הפתרון לאיום מסוים הוא כל-כך יקר שהעסק נופל בגללו, סימן שאותו הסיכון לא נוהל כהלכה. אם נראה שהעסק מצליח, אך נאלץ להתמודד עם קנסות כבדים שנובעים מאי-עמידה בדרישות הרגולטור (כמו לדוגמה פרסום באמצעות ספאם או שימוש בתוכנות ללא רישיון) סימן שמדיניות ניהול הסיכונים לא יושמה בצורה נכונה. הטובים ביותר בתחום ניהול הסיכונים הם ממש אמנים, מעבר להיותם מדענים.
כיצד ליישם מדיניות של ניהול סיכונים בארגון
אני לא יכול להגיד שאני מוסמך להנחות באופן כללי איך לנהל את זה נכון. זה מאוד משתנה מחברה לחברה, מתחום לתחום וממגזר למגזר. ניהול סיכונים צריך להיות מיושם באופן אחד בחברה למוצרים רפואיים ובאופן אחר ברשת מזון מהיר. זה מתייחס לרמת החשיפה של מידע על לקוחות, קניין רוחני, מידע משפטי ואיזה נזק תדמיתי עלול להיגרם (קחו לדוגמה את טויוטה). לאחר סיכום כל הגורמים הללו, יש ליצור משוואה של עלות/תועלת שמתחשבת גם בדברים כמו סביבה, משפחה, שימור עובדים וכו', ועל הפתרון להתאים לתקציב הארגון.
עצות והמלצות למנהלי IT בהקשר של ניהול סיכונים
אל תחשוב רק על הערך הכספי הישיר של המידע עליו אתה מנסה להגן. העלות שנחסכת על אבטחת המידע לא משתווה לערך הישר של המידע שנמצא בסיכון. במקרים רבים עלות הכשל והנזק עולה בהרבה על ערכו הישיר של המידע: על העלות הישירה צריך להוסיף את הנזק התדמיתי, אובדן של עובדים חיוניים, קנסות ועוד.
ולסיום, עצה נוספת שאני בדרך-כלל נותן לעובדים שלנו שניתן ליישם אותה למעשה בכל תחום בחיים. אחד הציטוטים האהובים עלי הוא "אם יש לך רק פתרון אחד לבעיה, כנראה שלא הבנת את כל ההשלכות של הבעיה". כשאני רואה שקיים רק פתרון אחד לבעיה נתונה, אני לוקח צעד אחורה ושואל את עצמי מה פספסתי והאם אכן הגדרתי את הבעיה בצורה מדויקת. למעשה, זו גם המשמעות האמיתית של ניהול סיכונים נכון.