משנים את התפיסה: כך תחברו את צוותי הסייבר לביזנס של הארגון

תארו לכם עולם שבו מחלקת סייבר אינה ישות מעכבת שמורידה הנחיות, אלא אנשיה הם יועצים אמינים שמובילים לצמצום ריסק יעיל

בן חכמון

8.5.25

תמונה: נוצרה בשימוש Dall-E

מחלקות אבטחת המידע נתפסות כגורם מעכב ומגביל. עובדי IT נאנחים כשנוחת מייל ממחלקת הסייבר, מנהלים מתוסכלים מההגבלות וצוותי הפיתוח מרגישים כבולים. ברוב הארגונים, צוותי אבטחת המידע מוכרים כישויות סמכותיות שמורידות הנחיות ודורשות ציות, ללא הקשר לביזנס. המודל הזה יוצר חיכוך וחוסר יעילות לארגון ולצוותים, ותסכול בעבודה של אנשי הסייבר. בכל זאת הוא מאוד שכיח. מה אם אפשר היה לשנות את זה?

תארו לכם עולם שבו אנשי הסייבר הם חלק מה-workflow של הארגון, פעולות התיקון נעשים יחד עם הצוותים המקצועיים (IT, פיתוח, דבאופס) תוך כדי העבודה השוטפת, ולא כרעם ביום בהיר; עולם שבו מחלקות הסייבר הן חלק מהקשר עסקי ואנשי אבטחת המידע הם יועצים אמינים שמובילים לצמצום ריסק יעיל. יש שיטה כזו, היא נקראת TrustOps, ואני הגיתי אותה.

איך זה התחיל?

כשהייתי יועץ לנושאי אבטחה, נשלחתי לבצע הערכת סיכונים בארגון אנטרפרייז גדול. במשך שבועיים חייתי ונשמתי את המשימה. בסופה הגשתי דוח איכותי במיוחד, שנכשל קשות. הלקוח לא הסכים לקבל שום ממצא, למרות שהוכח כחשוב וקריטי, בעיקר משום שלא היה ברור הקשר בין הריסק לערך העסקי. זה הוביל למשימה אישית – שלוש שנים חקרתי מדוע הדיסוננס בריסק סייבר ובביזנס גדול כל כך, ואט אט התבשלה לה מתודולוגיה שלמה.

התחלתי לאתגר כמה תפיסות עתיקות באבטחת מידע. למשל, בניגוד לאמונה הרווחת, מתברר שארגונים הם למעשה די מיומנים בטיפול בסיכונים – הם מנהלים סיכונים משפטיים, פיננסיים ורגולטוריים מדי יום ובהצלחה מרובה. גיליתי עוד כמה נושאים שאנחנו לוקחים היום כמובן מאליו, אבל אם רק נשנה את התפיסה שלנו אפשר יהיה להפיק תועלת גדולה, ולא חייבים להתחיל בגדול. הנה 5 הנחות שכדאי לבחון מחדש כדי לחבר את אנשי הסייבר לביזנס של הארגון.

רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן

1. סייבר אינו תחום נפרד

התובנה המרכזית בשיטה היא שיש לשלב את סיכון הסייבר כחלק מאסטרטגיית ניהול הסיכונים הקיימת, במקום להתייחס לתחום כנפרד. מה הכוונה לחבר? במקום צוות אבטחה מרכזי שמטפל בהגדרה ותיקון בכל הארגון, האחריות מתחלקת בין כל הצוותים. ובמילים אחרות: מי שאחראי על מערכת – אחראי גם על האבטחה שלה. במקום לקבל משימות מצוותי הסייבר, כל מחלקה מטמיעה אבטחה כחלק משגרת העבודה שלה. האפקט הוא משמעותי:

אנשי פיתוח, IT ודבאופס מקבלים ליווי מצוותי הסייבר ומבינים טוב יותר את הסיכון הנובע מהפעולות שלהם – וזה אפקטיבי יותר מכל הדרכה עיונית.
שיפור האבטחה הופך לתהליך עסקי טבעי, לא למשהו חיצוני ומנותק.

התחלתי לאתגר כמה תפיסות עתיקות באבטחת מידע. למשל מתברר שארגונים הם למעשה די מיומנים בטיפול בסיכונים – הם מנהלים סיכונים משפטיים, פיננסיים ורגולטוריים מדי יום ובהצלחה מרובה

2. תעדוף מותאם עסקית

אחד ההיבטים הקריטיים בגישה הוא הגדרה מחדש של תיעדופים. אם כיום מסתמכים בעיקר על רמת קריטיות גנרית, ציוני פגיעות או מודיעין איומים – שאינם תמיד מדויקים – הגישה משלבת הקשר עסקי קריטי בהחלטות אבטחה. למשל:

– אילו נכסים חשופים לאינטרנט ובאיזו רמה?

– מה הרלוונטיות האסטרטגית של אותם נכסים?

– עד כמה רגיש הדאטה בנכסים והאם יש אימפקט של פרטיות?

– מה הערך הכספי של הנכסים והאם יש להם כיסוי ביטוחי?

אלו שאלות שחייבים לשאול בכל חטיבת סייבר, אחרת נישאר מרכז עלות, במקום להפוך למאפשרים עסקיים.

3. לשבור Silos באמצעות אמון

ה-Trust הוא לא רק חלק מהשם – זהו עיקרון פעולה בסיסי. ההנחה היא שניהול ריסק סייבר יעיל באמת דורש שיתוף פעולה עמוק בין צוותי אבטחת המידע ליחידות עסקיות. שיתוף פעולה זה מבוסס על כמה שיטות מפתח:

– להבין את הפעילות וכלי הליבה של כל צוות – למשל, אנו לא יכולים להתיימר לאבטח פעילות פיתוח קוד אם איננו יודעים כיצד התהליך עובד ברמתו הבסיסית, מה זה CI/CD וכיצד הביזנס מיישם את תהליך הפיתוח.

– הובלה אמפתית ומודעות לצרכים עסקיים – התהליכים העסקיים והאנשים המבצעים אותם הם הנכס היקר ביותר לארגון. נדרשת גישה אנושית ו-soft skills כאשר חוקרים ומציגים ממצאים לקולגות שלנו – הם הלקוח ולא המערכות.

– להגיע בכובע של Trusted Advisors – הדרך שבה מצמצמים את הריסק חייבת להיות הגיונית לארגון ולא לנגוד את האסטרטגיה העסקית

– ההצלחה נמדדת באמצעות השפעה עסקית ולא רק מדדים טכניים – כיום נהוג למדוד צמצום פגיעויות בלבד, יש צורך בגישה המודדת צמצום מורכבות ו-ROI כחלק ממדד אבטחת המידע.

התהליכים העסקיים והאנשים המבצעים אותם הם הנכס היקר ביותר לארגון. תמונה: pexels

4. טרנספורמציה ארגונית

עד עכשיו דיברנו על שינוי "גרילה", שלא מחייבים שינויים גדולים ברמה הארגונית, אבל ההיבט המהפכני ביותר של TrustOpsהוא הפוטנציאל לשנות את המבנה הארגוני. חלק מהארגונים המיישמים איחדו את כל פונקציות הנחיית אבטחת המידע תחת צוות אחד, כאשר בקרת התיקונים וניהול זמן שירות נשארים ברמת הצוותים המקצועיים, כלומר IT, דבאופס ופיתוח. הארגון החדש הזה מבטל סילואים מסורתיים ויוצר תהליכי עבודה יעילים יותר.

כדי להצליח בשינוי כזה גדול מנהלי אבטחת מידע צריכים לאמץ דפוס חשיבה חדש – כזה שמעריך השפעה על פני שליטה; שיתוף פעולה על פני סמכות. זה דורש מאנשי התחום לפתח מיומנויות שלרוב אינן מכוסות במסלולי הסמכה מסורתיים, כמו חשיבה אסטרטגית וניהול אנשים.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

5. מדידת הצלחה

אם כיום הצלחה של צוותי סייבר נמדדת על ידי הפחתת סיכון סייבר ישיר, בגישה החדשה נוספים מדדים נוספים:

– הפחתת מורכבות ניהול: האם התיקון הביא לשיפור תהליכים ארגוניים?

– הפחתת עלויות ישירה – האם מניעת הפגיעות הובילה לחיסכון כספי? בין שדרך הורדת מערכות ישנות, שילוב סביבות, או כל פעולה אחרת שחסכה כסף ישירות לארגון.

הפחתת סיכון סייבר, שיפור תהליך ארגוני והפחתת עלויות – אלה שלושה אספקטים מדידים, שיבהירו לבעלי העניין את הערך של תיקוני אבטחה במונחים הקשורים ישירות ליעדים עסקיים.

בן חכמון הוא מפתח שיטת TrustOps ו-CISO בפריון נטוורקס

Geektime Insider

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

משנים את התפיסה: כך תחברו את צוותי הסייבר לביזנס של הארגון

איך זה התחיל?

1. סייבר אינו תחום נפרד

2. תעדוף מותאם עסקית

3. לשבור Silos באמצעות אמון

4. טרנספורמציה ארגונית

5. מדידת הצלחה

Geektime Insider

אירועים קרובים

Axis Tel Aviv

BYNET EXPO 2025

BYNET EXPO 2025

May 2025 Node.js Monthly Meetup #2

Scale-Up Nation

משרות

משרות פתוחות

קטגוריות

רוצים שנעשה לכם פינג?