"החיבור בין אנשי הסייבר, הביקורת וניהול הסיכונים חיוני לארגונים"

כתב: שהם יריב

"ISACA מאגד את אנשי הסייבר, הביקורת וניהול הסיכונים, ועל ידי כך מאפשרת חדשנות דיגיטלית. החיבור בין אנשי המקצוע בשלושה תחומים אלה חיוני לארגונים", כך אמר אסף ויסברג, נשיא ISACA ישראל, בראיון לאנשים ומחשבים לקראת הכנס השנתי של האיגוד, שכותרתו היא "לאפשר חדשנות" – Enabling Innovation. במסגרת הכנס ייערכו הרצאות משותפות ושני מסלולים, המיועדים לכל אחת מהקבוצות.

לדבריו, למרות השוני בפעילות השוטפת של העוסקים בכל אחד מהתחומים, "אנשי הסייבר מזה ואנשי הביקורת וניהול הסיכונים מזה צריכים להכיר את התחומים האחד של השני, במטרה להבטיח חוסן סייבר ארגוני המאפשר יישום שירותים עסקיים חדשים במרחב הדיגיטלי ".

"תפקידם של אנשי ניהול סיכוני ה-IT הינו זיהוי איומים, חולשות ופגיעויות והערכת הסיכון הגלום בהם. אנשי הסייבר אמונים על יישום מערכות הגנה בפני האיומים והחולשות אשר זוהו ואנשי הביקורת מוודאים כי יישום הגנות ותהליכים תומכים מתבצע באופן יעיל ואפקטיבי. שיתוף פעולה בין גורמים אלה הוא המאפשר לארגונים לספק שירותים חדשניים תוך צמצום הסיכונים הכרוכים בכך", ציין.

הסמכות חדשות בתחום הסייבר

ISACA מוכר מזה עשרות בשנים בתחומי הביקורת וניהול הסיכונים. לפני כשנתיים, לאור המחסור הגובר באנשי מקצוע בתחום ההגנה בסייבר, החליטו ב-ISACA להעמיד את הניסיון רב השנים גם לעוסקים בתחום ההגנה בסייבר, במטרה לספק להם בית מקצועי וכלים שיאפשרו להם לפתח ולשמר יכולות מקצועיות גבוהות במהלך הקריירה, והכריזו על יוזמת CSX – Cybersecurity Nexus.

ויסברג אמר כי "במטרה לפתח מתודולוגיה עדכנית והסמכות רלוונטיות לתחום ההגנה בסייבר, חבר ISACA ל-NIST – National Institute of Standards and Technology, גוף מוביל בתחום ההגנה בסייבר. כחלק משיתוף הפעולה, יושבים אנשי המקצוע של ISACA כחברים קבועים בוועדות מקצועיות של NIST". אחד התוצרים המרכזיים של שיתוף הפעולה הינו פיתוח משותף של Cybersecurity Framework.

"נכון להיום", ציין, "ISACA פרסם מספר רב של פרסומים מקצועיים ומסמכי מתודולוגיה בהיבטים שונים של תחום הסייבר, הנסמכים בין היתר על עקרונות NIST".

כמו כן, בנוסף להסמכות המוכרות בתחומי הביקורת וניהול הסיכונים, פיתח ISACA הסמכה ייחודיות לתחום הסייבר: CSX – Cybersecurity Practitioner. מתוך הבנה כי אנשי ההגנה בסייבר, נדרשים להפגין יכולת מקצועית גבוהה, גיבש ISACA את התפיסה המחייבת מועמדים לעבור בחינה מעשית, במסגרתה הם נדרשים להתמודד עם מתקפת סייבר בסביבת רשת וירטואלית. על פי ISACA, מבחנים המבוססים על שאלות אמריקאיות רב תשובתיות אינם יכולים לבחון את הכישורים האמיתיים להם נדרש מגן בסייבר.

עם זאת, ויסברג מדגיש שלצד ההתרחבות לתחום הסייבר, ISACA ממשיך לפעול בתחומים שהוא מזוהה עימם. "כבעבר, אנחנו ממשיכים לספק לאנשי המקצוע בתחומי הביקורת וניהול סיכוני טכנולוגיות המידע מעטפת מקצועית התומכת בניהול הקריירה", אמר. "מה גם שאיומי הסייבר מעסיקים רבות גם את אנשי הביקורת וניהול הסיכונים: זהו איום מרכזי על ארגונים וגם הם נדרשים להכיר מקרוב את הסיכונים והאיומים בתחום זה, כדי להמשיך ולהיות רלוונטיים, ולספק ערך לארגון בתחום שלהם. גם אנשי ביקורת וניהול הסיכונים חייבים להסתכל לסייבר בלבן של העיניים".