לא רק מגני תשתיות: CISOs צריכים להתקדם ולהיות מנועי צמיחה קריטיים

מנהלי אבטחת מידע בכירים מתמודדים כיום עם שפע של כלים ומידע, אך אין להם סטנדרט ברור של מדידת ביצועים שיקל על קביעת אסטרטגיה וביצוע החלטות

{ אבטחה וסייבר }

ליאור גרסון

11.2.25

תמונה: dreamstime

CISOs הם שומרי סף של אבטחת המידע בארגונים, אבל הם גם מנועי צמיחה עסקיים קריטיים – הם מגנים על הנתונים, מבטיחים רציפות תפעולית ומצמצמים איומים מתפתחים. עם זאת, בניגוד למנהלים בכירים אחרים, הביצועים שלהם כמעט אף פעם לא נמדדים באמצעות KPI ברורים. היעדר הסטנדרט הזה מגביל את יכולתם לתקשר את ההשפעה שלהם בארגון, ליישר קו עם היעדים ולקבל החלטות אסטרטגיות על בסיס דאטה וביצועים.

עומס מידע, מחסור בתובנות

תעשיית הסייבר, במיוחד בישראל, פורחת. בשנים האחרונות אנחנו רואים זרם בלתי פוסק של מוצרים חדשניים שמספק ל-CISOs יכולות חסרות תקדים לזיהוי ונטרול איומים. כלים מתקדמים המבוססים על בינה מלאכותית ולמידת מכונה מאפשרים ניתוח מתקדם של התנהגות רשת, איתור חריגות והתראה מוקדמת על מתקפות סייבר.

רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן

השפע הטכנולוגי הזה הוביל לתוצאה בלתי צפויה: שטף מידע עצום על אבטחת מידע, אך ללא תובנות ברורות וניתנות לפעולה עבור ה-CISOs. הכלים המתקדמים מדווחים על חולשות, אירועים ומצב המערכות, אך הם אינם מצליחים לאגד את כל המידע לכדי KPI אסטרטגיים שמגדירים את רמת האבטחה, היעילות והשפעתם העסקית.

KPI מסורתיים של CISOs: הכרחיים אך לא מספקים

איומי הסייבר רק הולכים וגדלים, והיומיום של CISO הולך ונהיה מורכב ולחוץ יותר. מנהלי אבטחת מידע נדרשים לא רק להפעיל מערכות מתקדמות ולנטר איומים בזמן אמת, אלא גם להתמודד עם מגוון רחב של משתנים שמשפיעים על החלטות אסטרטגיות והמשכיות העסק, והמדדים המסורתיים שעומדים לרשותם הם רק הבסיס להערכת ביצועי מערך האבטחה. במסגרת עבודתם, CISOs משתמשים במדדים תפעוליים חשובים, אך לעיתים אינם משקפים את התמונה האסטרטגית הכוללת של מצב האבטחה בארגון. בין המדדים הללו נמצאים לרוב:

– זמן ממוצע לזיהוי (MTTD) – המהירות שבה מזוהים איומים.
– זמן ממוצע לתגובה (MTTR) – משך הזמן הממוצע למיגור איומים שהתגלו.
– אחוז קליקים על ניסיונות דיוג (Phishing Click Rate) – אחוז העובדים שנפלו קורבן להונאות פישינג.
– אחוז תאימות לעדכוני אבטחה (Patch Compliance Rate) – אחוז המערכות שעודכנו במסגרת מדיניות האבטחה.
– כמות תקריות אבטחה לכל תקופת דיווח – מספר ההפרות שזוהו בתקופה נתונה.

כאמור, מדדים אלה הם חשובים אך מספקים תמונה חלקית בלבד: הם מודדים מהירות תגובה, ולא בשלות אבטחה פרואקטיבית; הם עוקבים אחר ביצועים טכניים אך אינם משקפים את תרומת האבטחה לעסק; והחשוב ביותר – הם אינם מביאים בחשבון את ההיבטים האנושיים והתפעוליים שיכולים לשפר או לפגוע במערך האבטחה.

רוב ה-CISOs כיום בעצם מגיבים לאיומים, אך כדי לחזק את המעמד כמנהיגים עסקיים, צריך לשלב KPI. במילים אחרות, מה ש-CISO צריכים עוד למדוד זה:

– ROI של הכשרת אבטחה: מידת היעילות של תוכניות ההדרכה והשפעתן על צמצום סיכונים.
– יעילות אבטחת מידע בתהליכים תפעוליים (OpSec Efficiency): כיצד אמצעי אבטחה משפיעים על תהליכי רכש, שותפויות עסקיות ותהליכים פנימיים.
– יחס הוצאות אבטחה מול הפחתת סיכונים: למדוד אם העלות של כלים וצוותי אבטחה עומדת בקנה אחד עם שיפור ממשי בצמצום סיכונים.
– מדד מוכנות לרגולציה: רמת המוכנות של הארגון לביקורות ודרישות רגולטוריות משתנות.
– השפעת מדיניות האבטחה על הפעילות העסקית: האם מדיניות האבטחה מאפשרת או מעכבת צמיחה וגמישות עסקית?

העתיד: משומרי סף למובילים עסקיים

CISOs שרוצים לתת לארגון ערך אמיתי לטווח ארוך חייבים להגדיר מחדש את תפקידם, ולהפוך ממגני תשתיות למובילי ערך עסקי מבוסס אבטחה. לשם כך, הם זקוקים למדדים שמציגים את תרומתם האסטרטגית, ולא רק את יכולתם להתמודד עם איומים. כדברי תומר סמולנסקי, CTO ב-CyberSafe: "אבטחה אינה רק מניעה של תקיפות; היא מאפשרת לארגונים לפעול בביטחון. KPI נכונים עושים את כל ההבדל". CISOs צריכים KPI – לוחות מחוונים מתקדמים, יעדים ברורים, והבנה רחבה יותר של תפקיד האבטחה מעבר לטכנולוגיה, והגיע הזמן להגדיר סטנדרט חדש בתעשייה.

הכותב הוא מייסד שותף ו-CEO ב-TargetBoard