האם יש קשר בין גודל התקציב לאיכות האבטחה?
על שאלה זו ונוספות השיבו מנהלות אבטחה בפאנל שנערך במסגרת מפגש פורום CSC של אנשים ומחשבים
"אני חושבת שאנחנו אחרי עידן ה-ROI. אצלנו, באופן נקודתי, כמובן שהתפקיד שלי בשירותי בריאות כללית הוא להיות מאלה שמסייעים שאף אחד לא ימות, אבל גם אצלנו יש היבטים כלכליים, כולל של חלוקת התקציב, אבל אי אפשר למדוד ב-ROI, ולא רק בגלל שאנחנו גוף ציבורי ואצלנו אולי ההיבט של ניהול סיכונים שונה", כך אמרה אביבית קוטלר, מנהלת אבטחת המידע הראשית של שירותי בריאות כללית בפאנל מנהלי הסייבר שנערך בסוף השבוע שעבר כחלק ממפגש מועדון אבטחת הסייבר, CSC, של אנשים ומחשבים.
"אחת הסיבות לכך שאי אפשר למדוד ROI היא, שיש סיכונים שכבר הורדנו למינימום, אבל הם חוזרים מחדש, ואם צריכים להתמודד איתם מחדש, אז זה בא לידי ביטוי בתקציב? הבעיה העיקרית בעולם התקצוב היא להגדיר את הסיכונים הקריטיים ואת רמת הסיכון הנגזרת מהם. אני ממליצה בהיבט של הקצאת התקציב, וזה מוכיח את עצמו, לא לשכוח את האנשים. הטכנולוגיות מצוינות, ויש הרבה, אבל בסופו של דבר אם אין את האנשים הנכונים לעשות את העבודה, זה לא יעזור. שימו מספיק כסף באנשים טובים", היא הוסיפה.
את הפאנל הובילה צופית שחר, מנהלת אבטחת המידע של אל על, שכיוונה אל המשתתפים שאלות כדי ללמוד היבטים שקשורים לנושא הכינוס, ובראשם כיצד בונים ומנהלים תקציב סייבר שנתי בתקופה הנוכחית, שבה סיכוני הסייבר כה רבים, באופן גלובלי ועוד יותר מקומי. בנוסף היא ביקשה מהמשתתפים לספר כיצד קובעים יעדים ואיך מציגים אותם לחבר המנהלים, וכן לקבוע את הקשר בין גודל התקציב לאיכות האבטחה.
"לפחות מהניסיון שלי, במסגרת השאלות העיקריות שההנהלה שואלת לא נמצאת השאלה מה ה-ROI. זה לא ממש רלוונטי", הוסיפה לדיון על שאלת היבט ההחזר על ההשקעה אביאת בר סימון, מנהלת אבטחת המידע הגלובלית של איווק (Evoke). "השאלה הראשית היא איך תמנעי את האירוע הבא, ולפי זה אני צריכה לבנות את התקציב. בסוף בונים תקציבים על סמך הסיכונים לארגון שלנו, וזה לא משהו כללי, זה סיכונים שמשתנים – וכן צריך לתעדף את הסיכונים החשובים יותר לאותה שנה".
"אני לא חושבת שיש איזה דירקטוריון שחושב לרגע שאנחנו נביא לו רווחים", היא הוסיפה בחיוך, " לגבי גודל התקציב, אני כן חושבת שיש קשר בין רמת התקציב לשכבות ההגנה שאני יכולה לספק. בסוף אני צריכה להחליט מה חסר לי מבחינת התקציב כדי להשיג את היעדים, ומה הם המשאבים שאני צריכה לוותר אולי, כמו, לדוגמה, השקעה בכוח אם, ולכן יש קשר ישיר אפילו בין התקציב לרמת האבטחה שאני יכולה לתת".
איציק מנשה, סגן נשיא גלובלי לסייבר ו-IT בטליט (Telit), התייחס לשאלה מה השימוש בבינה מלאכותית ולימוד מכונה עושה לחיים הארגוניים ולאבטחת המידע, והאם אפשר לאמץ זאת כמנוע צמיחה.
"יש סיכונים חדשים בהתאם לטכנולוגית החדשות שנכנסו לשוק. אנחנו כבר לא יכולים להיות יותר רק מאפשרים ולרוץ בלי להסתכל לצדדים. אנחנו ידועים שחייבים לדאוג באופן ברור גם להגנה. אני באופן אישי עובד קצת שונה מאחרים, כי אני 50% חי על הגנה אבל ב-50% אני נמצא בעולם הפרודוקטיביות, וזה מאפשר לנו בצורה אפקטיבית לוודא שלא פוגעים בפרודוקטיביות תוך די הגנה", הוא אמר. "לגבי הבינה המלאכותית, הרעיון הוא להבין קודם כל את הטכנולוגיה ולנסות להבין, וזה קצת קשה, איך לסגור פערים בהגנה. אנחנו גם מקדמים יותר פתרונות, בעיקר של סטארט-אפים, שאמנם מאפשרים הגנה קודם כל, אבל גם מאפשרים במקביל בעולמות הללו לספק חינוך. השורה התחתונה היא, שאנחנו לא חוסמים את הבינה המלאכותית, אלא מלווים את השימוש בהכשרה, ויש לכך כלים".
אורן כריף, מנהל גלובלי בכיר בתחום האבטחה וה-IT בחברת QMD, התייחס לשאלת התקצוב בהיבט של המחסור באנשי סייבר טובים שסובלים ממנו בענף, וכיצד אפשר להתמודד עם פער הכישרונות. "מה שקורה במדינה שלנו הוא, שכוח האדם המיומן עולה הרבה כסף וזה גורם להרבה הנהלות לתקצב את ההיבט הזה בחוסר. אין יכולת לבוא לתקצב מנהל אבטחה שמאוד מיומן בעבודה שלו, כי המשכורת מאוד גבוהה. התוצאה היא שפונים לגורמים חיצוניים, באופן היברידי או בכלל חלקי, כך שאין מנהל אבטחה פנימי בארגון, ולכן הסיכון השורשי קיים מאוד", הוא אמר.
לדעתו, מצליחים לגשר על הפער שזה גורם בניהול הסיכונים. "כאמור, אין תקציב שיביא את הגורם המיומן שיסגור את הפער הזה כמה שיותר מהר. איך מתקדמים עם חוסר התקצוב הזה, או החלקיות לפחות? להתחיל לבדוק את כוח האדם שכן יש – וזה אנשי IT. העובדים הללו יש להם יכולות נפלאות, וגם כך החיבור בין ה-IT לסייבר הוא כמעט בלתי נפרד. מה שאפשר לעשות זה להכשיר את כוח האדם הקיים, העובדים מרוויחים וגם הארגון מרוויח. הם מתפתחים כסייברטיסים ויש גם סגירת פערי אבטחת לטובת הארגון, ובתקציב שאפשר לעמוד בו", סיכם כריף.
תגובות
(0)