הגורם האנושי היה וימשיך להיות הגורם המכריע במלחמת הסייבר
מאת דני אברמוביץ, המשנה לנשיא האיגוד הישראלי לאבטחת מידע (ISSA)
בעקבות אירועי הסייבר בעולם ובארץ, מה מקום אבטחת המידע בארגון כיום?
למרבה הפלא, אנו יכולים דווקא "להודות" ל"רעים" על כל אירועי הסייבר שאירעו לאחרונה בעולם ובארץ. זה סייע למנהלי אבטחת המידע מבחינת שיווק ומיתוג חשיבות אבטחת המידע בארגון. פעם התייחסו למערכות המידע כ-Business Enabler בלבד, וכיום מתחילים להסתכל על ה-IT כעל יחידה עסקית לכל דבר. מקום אבטחת המידע ביחידה העסקית של מערכות המידע, היה – ויישאר – בראש ובראשונה כגורם המאפשר את הפעילות העסקית. ב"מערב הפרוע" בו המגזר העסקי עובד עם ועל אוטוסטראדת המידע הציבורית והחשופה להתקפות – הפכה אבטחת המידע להיות יותר מתמיד "מאפשרת עסקית". ללא האפשרות לקיים העברת נתונים בצורה מאובטחת – לא נוכל לספק את רשת הביטחון הדרושה לתפקוד העסק.
החזר השקעה על פעילות בתחום אבטחת המידע (Return on Security Investments – ROSI)
מושג ה-ROSI הפך להיות טרנד בקרב מנהלי אבטחת המידע, בעת הצגת תוכנית עבודה שנתית להנהלת הארגון. קשה למנהלי ה-IT ולמנהלי אבטחת המידע להצדיק פרויקטי אבטחת מידע, המצטיירים להנהלות כהוצאה בלבד. כך, גם אם פרויקטי האבטחה מקבלים תקציבים גדולים יחסית, הם נותרים ללא ROSI מוכח. מומלץ לכל מנהל אבטחת מידע בארגון לאמץ ולגבש לעצמו מתודולוגיה לניהול ROSI ולניהול סיכונים בארגון.
מה לגבי ה-"גורם האנושי"?
חשוב להבין, שאין דבר כזה "אבטחה מוחלטת". לכן נדרש להגביר את אבטחת המידע, בשילוב בין טכנולוגיה וכח מיומן. בעולם אבטחת המידע, האיומים מתחדשים ללא הרף. אבטחת מידע אפקטיבית מתרכזת בבני אדם, בתהליכים ובהבנת הדרך הנכונה לאבטחת נכסי הארגון. הגורם האנושי היה וימשיך להיות הגורם המכריע בתחום.
אנו, באיגוד הישראלי לאבטחת מידע (ISSA), דואגים לעדכון מתמיד של מנהלי אבטחת המידע בארגונים, כדי שימשיכו לבצע את עבודתם בצורה המיטבית. לארגון ISSA ניסיון המצטבר מעל עשרים שנה בתחום אבטחת המידע וניהול סיכונים, עם עשרות אלפי מקצועני אבטחת מידע ברחבי העולם. האיגוד פועל משנת 1982, ומהווה ציר מרכזי לכל העוסקים בתחום. האיגוד, שאינו למטרות רווח, מספק לחבריו תוכניות העשרה מקיפות, מפגשים, סדנאות והסמכות מקצועיות. בנוסף, פועל האיגוד להעלאת המודעות לתחום, לסיכונים הנובעים מבעיות אבטחת מידע ולסיוע בחקיקה רגולטורית.
להרשמה לאיגוד, והשתתפות בפעילות האיגוד, צרו קשר בכתובת המייל הבאה.