המדריך ל- CISO: איך תיכנס מוכן לחדר ישיבות הדירקטוריון – ותצא ממנו מנצח

סמנכ"ל הכספים של ExtraHop חולק 5 אסטרטגיות מנצחות לדרך בה יש לתדרך את הדירקטוריון ולהשיג תקציבים, ומבלי ש- CISO יהפוך לקיצור של Career Is Soon Over.

מאת: טיפני ליו, סמנכ"ל כספים, ExtraHop

בקצרה:

1. מקד את הדירקטוריון באפיקי הפריצה השכיחים והמסוכנים ביותר, ולא באלה שקראו עליהם בעיתון
2. לעולם אל תבטיח שהארגון מוגן ב- 100% – זה מתכון לאובדן מקום העבודה. דבר על שרידות.
3. השתמש ב- frameworks כדי להציג בצורה לוגית ומסודרת את מצב האבטחה ופערים קיימים
4. הסבר כיצד סיכונים ותהליכי אבטחה תורמים או פוגעים ביעדים עסקיים
5. אבטחה אינה חסם לטכנולוגיה – הראה כיצד אבטחה יכולה לתמוך בהפעלת יוזמות IT רצויות

ככל שארגונים הפכו לתלויים יותר בטכנולוגיה לניהול כל תחום בפעילותם, כך בכירים בתחום הטכני, כגון CIO ו- CISO, מצאו את עצמם במעמד חדש לחלוטין בפעילות הארגונית: חדר ישיבות הדירקטוריון. היציאה הזו מאזור הנוחות של מרכז תפעול האבטחה וה- IT מהווה עבורם אתגר משמעותי. בעוד חברי דירקטוריון אינם מתמצאים בתהליכי אבטחה וטכנולוגיה, שלא לדבר שליטה בשפה הטכנולוגית, ה- CISO חסרים לעיתים קרובות את הניסיון של שיח במונחים שהדירקטוריון מבין. התוצאה היא יצירת דיון טכני שההנהלה הבכירה לא יודעת כיצד  לעבד.

לשיבוש הזה בתקשורת יכולות להיות השפעות מנוגדות. מצד אחד חברי דירקטוריון יכולים שלא להבין  את סיכוני האבטחה שנוצרים מיוזמה חדשה. מצד שני, לאור המספר ההולך וגדל של פריצות אבטחה מביכות ויקרות, המנהלים עלולים לנקוט בזהירות מופרזת ולבחור במזעור סיכונים אשר יבוא על חשבון התקדמות טכנולוגית חשובה.

כמנהל בכיר ותיק בתעשייה הטכנולוגיה, ביליתי זמן רב בישיבות דירקטוריון. אני יודע כיצד הם תופסים סיכון, וכיצד יש לתקשר את הסיכון בצורה יעילה. להלן, 5 אסטרטגיות מובילות ל- CISO ליצירת שיח נכון ברמת הדירקטוריון לגבי מזעור סיכונים לרמה המתאימה לארגון.

אסטרטגיה 1: נהל את "גורם הפחד"

כותרות בתקשורת אודות דליפות נתונים מושכות היטב את תשומת הלב של חברי דירקטוריון, שלא רוצים למצוא את עצמם במצב דומה. אבל לא כל הפריצות נוצרו שוות. חלק מהפריצות, כמו אלה שנוצרות כתוצאה מבעיות בהגדרה של שירותי ענן או מתוכנות כופר, הן נפוצות מאוד. אחרות, כגון אלה הנגרמות מפגיעה של עובד פנימי, מושכות תשומת לב רבה, אך הן נדירות מאוד.

עבור ה- CISO, ניהול של גורם הפחד הוא השלב הראשון לקראת מפגש מוצלח עם הדירקטוריון. חשוב לבוא מוכנים כדי לשכך דאגות הקשורות באפיקי תקיפה שאינם נפוצים, תוך הכנסת הסיכון לפרספקטיבה. במקביל, יש לשמור את חברי הדירקטוריון ממוקדים בסיכונים הגדולים ביותר ובתרחישי התקיפה הסבירים ביותר. הדבר מסייע להבטיח כי משאבי האבטחה יזרמו לטיפול בדברים בהם ניתן לשלוט.

מאפיין Predictive Prioratization של Tenable מספק לך דירוג של פרצות בארגון על פי רמת הדחיפות, ומאפשר לך להציג לדירקטוריון את המצב המדויק

אסטרטגיה 2: הובלה באמצעות שרידות

לומר לדירקטוריון כי הארגון מאובטח ב- 100%, זהו כשלון בטוח של צוות האבטחה. אמירה כזו הופכת  את ה- CISO לראשי תיבות אחרים: Career Is Soon Over. זו הסיבה, שבנוסף להכנסת הסיכון לפרספקטיבה, CISO צריכים לבוא מוכנים כדי לדבר על שרידות (Resiliency) – כיצד הארגון יתאושש במקרה של דליפה, אילו אמצעים קיימים כדי להגיב במהירות, וכיצד צוות האבטחה יכול לחקור ולהשתמש ביעילות במידע הזה כדי להמשיך קדימה בצורה יעילה ומאובטחת יותר.

למולטיפוינט מגוון פתרונות ליצירת שרידות באמצעות גיבוי, בהם ALTARO המתמחה בגיבוי סביבות וירטואליזציה

אסטרטגיה 3: היזהר מהפער  – Mind the Gap

CISO צריכים להיות מוכנים להסביר את מצב האבטחה במונחים של פערים הקיימים בתוכניות האבטחה ובמודל הכיסוי שלהם. לשם כך, מינוף של fameworks קיימים יכול להיות יעיל. בעוד בעלי העניין יכולים שלא להבין את הדקויות של מודלים כגון CIS Controls, MITRE ATT&CK ו- NIST, המודלים האלה מספקים דרך לוגית ומסודרת כדי להעריך את שלמות התוכנית אל מול סטנדרטים של התעשייה.

באמצעות שימוש ב- frameworks האלה, CISO יכולים לספק מבט כולל לגבי הטכנולוגיות שהם מפעילים (כגון פיירוול הדור הבא, SIEM ונקודות הגנת קצה), וכן טכנולוגיות שהם מתכננים להטמיע כדי לסגור פערים בארכיטקטורה (כגון ברוקרים לאבטחת גישה לענן ויכולות זיהוי ותגובה ברשתות).

אסטרטגיה 4: מיקוד בסיכונים ותגמולים עסקיים

אחד מגורמי ההצלחה הגדולים ביותר עבור ה- CISO בחדר הדירקטוריון, טמון ביכולת למפות  העדיפויות של צוות האבטחה על פי יעדי ליבה עסקיים. בעוד צוות האבטחה יכול לראות בתעודת  SSL ללא תפוגה כהישג חשוב, הדירקטוריון מצדו, יכול שלא להבין את ההשלכות העסקיות של המהלך. עבור ה- CISO, הצגת המידע הזה בהקשר של יעדים עסקיים, יכול לעשות הבדל גדול. במקרה של תעודות SSL, ניתן להציג את ההשלכות על אמון הצרכן, אמינות השירות, דירוג במנועי חיפוש, ומעורבות באתר והמרות. כאשר הדברים מוצגים בדרך זו, שמירה על תעודות SSL נתפסת פתאום כמנוע חשוב להשגת תוצאות עסקיות.

תעודות SSL הן רק דוגמא אחת לדרך בה ה- CISO יכול לתדרך את הדירקטוריון דרך העדשה של היעדים העסקיים החשובים ביותר לארגון, להציג כיצד הם תומכים בהם, ולהפוך את השיח לפרודקטיבי בהרבה.

אסטרטגיה 5: בניית מפת הדרכים אל ה"כן"

גם כאשר תקציבים ארגוניים זורמים אל פרויקטים של אבטחת מידע, ברמת הדירקטוריון, אבטחה לעיתים קרובות נתפסת כרע במיעוטו, ולעיתים היא בכללת נתפסת כפוגעת בפעילות העסקית. כמעט לכל אחד יש סיפור על הדרך בה דרישת אבטחה "דרקונית" מנעה ממנו להשתמש בטכנולוגיה שסייעה לו בביצוע העבודה. נקודת הכאב הזו פותחת את הדרך לקטגוריה שלמה של "Shadow IT" – כאב ראש אבטחתי בפני עצמו.

עבור הדירקטוריון, סיפורים שכאלה יכולים לגרום לחברים בו להרגיש כאילו אבטחה היא חסם לחדשנות. זו הסיבה שחיוני עבור ה- CISO  להגיע מוכן עם מפתח הדרכים ל"כן". אם CISO, ביחד עם ה- CIO, יכולים להראות שהם מבינים את הדרישות והיעדים העסקיים, ומדברים על הדרך בה אמצעי אבטחה צריכים לפעול דווקא כדי להשיג אותם, זה מחזק את השיח של "מתי" ולא של "האם".

למד יותר כיצד ExtraHop מספקת שקיפות מלאה לפעילות ברשת – ותגובה מהירה לאיומים