SECURITY AS A BUSINESS ENABLER

מאת דני אברמוביץ', סגן נשיא האיגוד הישראלי לאבטחת מידע (ISSA)

שימוש במערכות מידע הינו מחויב במציאות ולא ניתן לדמיין כיום כיצד לתפעל עסק בלעדיהן. יחד עם זאת, שימוש במערכות מידע גם חושף ארגונים לסיכונים רבים אשר עלולים לאיים על העסק, החל מפגיעות אשר יש בהן כדי לשתק באופן חלקי ו\או זמני את פעילות החברה, ועד כדי פגיעות אשר יש בהן כדי למוטט אותה.

רוב הארגונים בעולם הגיעו לתובנה שתחום ה-IT הינו חלק בלתי ניפרד מהשירותים שהם מספקים ושקיימת חשיבות להערכות ה-IT בהתאם לצרכים העסקיים של הארגון. ה-IT חייב להיות שזור במארג היעדים העסקיים של כל ארגון וארגון בכדי לאפשר מיקסום תהליכים ולאפשר פעילות שוטפת של הארגון במינימום זמני השבתה.חשיבות ה-IT בארגונים (גדולים וקטנים כאחד) גדלה מאוד ומשפיעה רבות על יכולתו של הארגון להיות תחרותי וזמין בעולם העסקים של היום – לכן יש לנקוט בפעולות ייחודיות ולנקוט באמצעים ותהליכים מתאימים שיאפשרו ל-IT לספק את הסחורה באיכות, בזמן ובתקציב המתאים.

אחת הבעיות המוכרות לנו בעולם אבטחת המידע היא השקעת תקציבי ענק ללא כל יכולת מדידה אמיתית של הערך העסקי הגלום בהשקעה זו. קבלת החלטות בנושאי אבטחת מידע אינם מתבססים, בעיקרם, על שיקולי כדאיות עסקית (עלות תועלת) אלא על האיומים הנפוצים ו\או פתרונות טכנולוגיים קיימים בשוק. כשלים הנובעים מאירועי אבטחת מידע ואחריות המנהלים, מחייבים חשיבה נוספת ומתמשכת של מנהלי חברות ומנהלי אבטחת מידע כיצד לבחון את ההשקעה במערכות מידע בעתיד.

הנהלת החברה אחראית (עד כדי אחריות אישית) לנקוט בפעולות מניעה אשר יש בהן כדי לזהות את הסיכונים הקיימים ולהפחית משמעותית את החשיפה להם. הדרך הנכונה לעשות זאת היא ע"ע תהליך נכון של ניהול סיכונים בעולם ה-IT. בכנס ISSA נלמד כיצד נוכל להתמודד עם הבעיות הללו, ע"י בניית תוכנית ניהול סיכונים, ושיווק התוכנית להנהלת הארגון ע"י כך שנדבר בשפה שהם מבינים. נבחן איומים שונים, שטרם נתנו להם את הדעת, ונלמד כיצד נוכל לנתח ולהעריך את האיומים השונים, ולנהל את הסיכונים בצורה נאותה.