הדבר האחרון שאתם צריכים בארגון זה עוד כלי אבטחה
בעולם שבו לכל בעיית סייבר יש מוצר חדש ארגונים כבר טובעים בכלים, אבל לא בתשובות. ריבוי מערכות, מחסור בכוח אדם ולחץ להוכיח ROI הופכים את תפקיד ה-CISO למורכב מאי פעם. הדרך קדימה אינה עוד כלי, אלא שינוי חשיבה: מניהול מערכות לניהול תשובות
נוצר באמצעות AI
התפקיד של מנהל אבטחת המידע (CISO) הופך למורכב במיוחד. מנהלי אבטחת מידע כיום מתמודדים עם סביבה טכנולוגית שרק מתפתחת, צורך לענות על ציפיות עסקיות, מחסור מתמיד בכוח אדם איכותי וריבוי כלים וממצאים שיש לטפל בהם. כמנהל אבטחת מידע בחברת סייבר שנותנת שירותים למנהלי אבטחת מידע בעולם, אני שומע מדי יום על הקשיים בתחום. אך בעוד שהתגובה הטבעית של רבים בתפקיד היא עוד ועוד כלי אבטחה, אני טוען שזו בדיוק הבעיה – לכל בעיה יש מוצר חדש והארגונים מוצפים בכלים, אבל לא בתשובות. אפשר לתמצת את האתגרים העיקריים לשלושה.
1. קונים מהר מדי
האתגר הראשון והמשמעותי ביותר הוא ההיקף והמורכבות של הסביבה הדיגיטלית. תשתיות פיזיות, תשתיות ענן, אפליקציות מסוגים שונים, מכשירי OT, IoT וסוכני בינה מלאכותית מתרחבים ומתפתחים בקצב שמערכי הסייבר מתקשים להדביק. עם כל התקדמות טכנולוגית, מגיעים גם סיכוני אבטחה חדשים, ובהיעדר הידע המתאים והצורך המיידי, ממהרים מובילי האבטחה לרכוש מוצרים מחברות סטארטאפ שקמו לצורך המאוד מסוים והחדש ומרחיבים את סל הכלים של הארגון.
בדיוק ככה נוצרת סביבה סייברית שבה המידע מפוזר בין מערכות רבות: כל אחת רואה חלק מהתמונה ואף אחת אינה מספקת הקשר מלא. למעשה, נוצרו “איי מידע” (data silos), שרק מקשים על קבלת החלטה מושכלת בזמן אמת.
לדוגמה, לארגון ממוצע יש מספר מערכות אבטחה – כל אחת מחזיקה רשימה משלה של נכסים, זהויות וחשיפות. כאשר מתגלה פגיעות בשרת מסוים, נדרש זמן רב ויקר רק כדי להבין אם השרת עדיין פעיל, למי הוא שייך, אם יש בקרות מפצות ואם הפגיעות כבר טופלה בכלים אחרים. מעבר לעיכוב התפעולי, הפערים בין מערכות הנתונים מקשים גם על ההנהלה לקבל תמונה אחת מוסכמת של מצב הסיכון הארגוני.
כאשר מתגלה פגיעות בשרת מסוים, נדרש זמן רב ויקר רק כדי להבין אם השרת עדיין פעיל, למי הוא שייך, אם יש בקרות מפצות ואם הפגיעות כבר טופלה בכלים אחרים
2. קונים הרבה מדי
האתגר השני הוא תוצאה של האתגר הראשון – יותר מדי כלים. כל כלי שנרכש דורש למידה, הטמעה ויכולת תפעול, כדי לקבל ממנו ערך שהוא בעצמו זה עוד ממצאים פוטנציאלים שיש לתחקר, לוודא ולנסות לתעדף לצוותי הפיתוח לתיקון. צוותי האבטחה נדרשים לתעדף חולשות ולטפל בהן, אבל כדי לעשות זאת עליהם להבין לעומק את כל מערכות הארגון, לחבר נתונים ממקורות שונים ולנסות להסיק מהם קונטקסט אחד.
במילים אחרות, יש המון דאטה, אבל מעט תשובות. החלטות ארגוניות – מאבטחה ועד החלטות עסקיות – מתקבלות על בסיס תחושות, ולא על בסיס נתונים. כך נוצר פער ביטחון (confidence gap) שמחלחל לכל רמות הניהול ויוצר לא פעם תסכול בצוותי האבטחה והפיתוח שנקרעים בין צורכי הביזנס לתיקוני החולשות. התחושה הזו – של מרוץ בלתי נגמר בין רעש למידע – מוכרת כמעט לכל מנהל אבטחה, וזה לא משתנה גם כשהכלים משתפרים. יתרה מכך – התחושה של חוסר שליטה לפעמים רק גוברת.
במקביל, אחרי שנים של השקעות בתקציבי אבטחה, מגיע השלב שבו בהנהלה רוצים לראות תוצאות ן-ROI, וכאן מספר הכלים או כמות הדשבורדים אינם מדד להצלחה. מה כן? איכות התשובות: כמה מהר אפשר לדעת מה באמת בסיכון? כמה מדויקת התמונה? אלו השאלות שעליהן חשוב לענות.
3. עובדים עם מעט מדי
האתגר השלישי וכנראה הקשה מכולם הוא המחסור בכוח אדם מיומן. השוק התחרותי, היעדר אנשי מקצוע מיומנים מספיק והקפאת תקציבים שמגבילים גיוסים, מאלצים את ה-CISOs לשנות אסטרטגיה. אם בעבר הפתרון היה להוסיף כוח אדם שיטפל ידנית בעומס הממצאים, כיום זה כבר בלתי אפשרי. האסטרטגיה החדשה והבלתי נמנעת היא הישענות גוברת על אוטומציה ובינה מלאכותית כדי להחליף עבודה ידנית ולשמש מכפיל כוח עבור הצוותים המצומצמים.
אך גם כאן צץ אתגר נוסף – AI ואוטומציה יעילים רק אם הם מתבססים על נתונים מדויקים ומהימנים. לכן, לפני שמאמצים את הדור הבא של אוטומציה כפתרון למצוקת כוח האדם, יש לוודא קודם כל שהבסיס – הנתונים עצמם – אמין, מאוחד ונגיש. במילים אחרות, אי אפשר להכניס אוטומציה לסביבה שלא מבינים אותה עד הסוף, משום שכל החלטה שמתקבלת על בסיס דאטה לא מהימן – תתבצע מהר יותר, אבל גם תטעה מהר יותר.
זוהי הזדמנות מצוינת לבחון מחדש את הכלים הקיימים. הבעיה של צוותי האבטחה כיום אינה מחסור בכלים, אלא מחסור בתשובות. כאשר מתרחש אירוע או כשההנהלה שואלת "האם אנחנו בסיכון?", הצוותים חייבים לספק תשובה מבוססת נתונים, לא השערות. המפתח הוא פלטפורמה אחידה המספקת תמונת מצב אוטומטית ומעודכנת בזמן אמת של כלל הנכסים ללא כפילויות או ממצאים חלקיים, ומאפשרת תגובה מהירה ובטוחה.
תנהלו תשובות, לא כלים
זהו הזמן לעבור מחשיבה של "ניהול כלי" לחשיבה של "ניהול תשובות". פלטפורמה אחידה שאוספת נתונים מכלל מערכות האבטחה, מסירה כפילויות ומייצרת קונטקסט בזמן אמת – מאפשרת לצוותים לדעת בכל רגע אילו נכסים קיימים, מה מצבם, ומה דורש טיפול מיידי. לא עוד ריבוי דאשבורדים, אלא תמונה אחת מהימנה שמאפשרת פעולה.
אירועי סייבר הם למעשה אירועים המשבשים את הפעילות העסקית, ולכן ה-CISO נוגע כיום ישירות בהמשכיות עסקית. מעמדו בהנהלה לא נקבע עוד על ידי גודל התקציב או היקף האחריות, אלא על ידי יכולתו לתרגם סוגיות טכנולוגיות לשפה עסקית, ומי שמצליח להסביר כיצד אבטחת מידע תורמת ישירות ליעדים העסקיים, מנהלת סיכונים ומגינה על ערך החברה, מבסס את השפעתו כמנהיג אסטרטגי וההנהלה מפסיקה לראות באבטחה "מחסום", אלא מנוע צמיחה.
בסופו של דבר, כל האתגרים פה הם הזדמנות לאחד את כלל הצוותים בארגון – מתפעול IT, DevOps ועד אבטחה – סביב תמונת מצב משותפת של נכסים וסיכונים, כזו שתאחד נתונים, תצמצם רעש ותעניק לצוותים את התשובות שהם צריכים כדי לפעול במהירות, בדיוק ובבטחה.
מיכאל גוברמן הוא Sr. Director, Product Security בחברת הסייבר Axonius
