מנהלים ממלאים תפקיד ייחודי בארגון שלהם - פתרון בעיות, ניהול סיכונים והתממשקות בין מנהיגות בכירה לעובדים מהשורה הראשונה. מנהלים הם אלו שהופכים אסטרטגיה להצלחה מבצעית על ידי מעקב, הנעה והובלה של הצוותים שלהם. ומנהלים הם אלה שגם מספקים תובנה קריטית במעלה שרשרת הפיקוד אם משהו לא עובד. לכן, זה צריך לעורר דאגה מסוימת שמחקר שנערך לאחרונה על ידי המכון לניהול Chartered (CMI) מצא הרוב המכריע (85%) של המנהלים בבריטניה מודאגים מהסלמה ברמות איומי הסייבר.
למרבה המזל, מנהלים יכולים גם להיות חלק מהפתרון - על ידי סיוע בבניית תרבות מודעת סייבר בארגון שלהם.
בריטניה אינה מאובטחת לפי עיצוב
Secure by Design נחשב יותר ויותר לצו אסטרטגי בארגונים במגזר הציבורי והפרטי. למעשה, זו גישה שדגלה ב- לב הממשלה ובאופן דומה, מקודם על ידי רגולטורים של GDPR. ברמה גבוהה, זה אומר להבטיח שלכל פרקטיקה עסקית עם אלמנט IT או דיגיטלי ישנה אבטחת סייבר מבוססת סיכונים מההתחלה. עם זאת, בדרך כלל נדרשים שינוי תרבותי גדול והעלאת מודעות בתוך הארגון כדי לגרום לו לעבוד.
נכון לעכשיו, נראה שבריטניה רחוקה מלהיות בטוחה בעיצובה. של הממשלה סקר פריצות אבטחת סייבר 2024 מדגיש רבים אתגרים, מלבד העובדה ש-50% מהעסקים (עלייה ל-70% מהחברות הבינוניות ו-74% מהחברות הגדולות) סבלו מהפרה במהלך 12 החודשים האחרונים. החסרונות העיקריים שהוא חושף כוללים:
- פחות משליש (31%) מהעסקים הפעילו הערכות סיכוני סייבר בשנה האחרונה. ורק שליש (33%) פרסו ניטור אבטחה
- רק 11% מהעסקים בוחנים סיכונים בשרשרת האספקה
- רק ל-30% מהעסקים יש חברי דירקטוריון האחראים ישירות על הסייבר כחלק מתפקידם, נתון ללא שינוי במשך שנה
- רק ל-58% מהחברות הבינוניות ול-66% מהעסקים הגדולים יש אסטרטגיית אבטחת סייבר רשמית.
- רק לחמישית (22%) מהחברות יש תוכניות תגובה לאירועים
- רק 41% מהחברות מחפשות מידע או הדרכה בנושא אבטחת סייבר מחוץ לארגון, ירידה לעומת נתוני 2023 (49%)
- רק אחד מכל 10 מודע למרכז הלאומי לאבטחת סייבר 10 שלבים הדרכה (13%) ו יסודות סייבר (% 12)
- רק 18% מהעסקים מספקים הדרכת עובדים
על רקע זה, זה אולי לא מפתיע שמנהלי בריטניה מודאגים מאיומי סייבר. אחרי הכל, נראה שהארגונים שלהם לא מוכנים להתמודד עם סיכון סייבר הולך וגובר. אמנם זה מעודד ש-79% טוענים שהשתתפו בהדרכה או תוכניות מודעות לאבטחת סייבר בשנה האחרונה, אך רק שלוש חמישיות (59%) אומרים שהמעסיק שלהם מציע הדרכות אבטחת סייבר קבועות לכל העובדים.
המפתח לארגון בעל מודעות בטוחה יותר
עם זאת, מנהלים יכולים לשחק תפקיד קריטי בהחזרת הדברים למסלול הנכון, אומר איאן קמפבל, מהנדס תפעול אבטחה בכיר ב-DomainTools.
"הטון וסדרי העדיפויות היומיומי נקבעים על ידי ההנהלה, כמו גם האצלה והעצמה. כל אלה מציגים הזדמנויות תרבותיות וטכניות נהדרות לאבטחת הארגון", הוא אומר ל-ISMS.online. "סי-סוויטה והמנהלים נתנו את הטון; ההנהלה מבצעת עליו במפלס הקרקע. זה מציב את ההנהלה להשפיע באופן ישיר ומידי על תרבות האבטחה של הקו הקדמי".
כדמויות סמכות, למנהלים יכולה להיות גם השפעה פסיכולוגית משמעותית על העובדים, מה שיכול לעזור לבנות תרבות מודעת סייבר בתוך ארגונים, טוען עוז אלאשה, מנכ"ל ומייסד CybSafe.
"מנהלים מחזיקים בעמדת סמכות בתוך הארגון, מה שמשחק בהטיית סמכות - עיקרון פסיכולוגי שבו יש סיכוי גבוה יותר שאנשים יפעלו לפי ההנחיה של מישהו שהם תופסים כדמות סמכותית", הוא אומר ל-ISMS.online.
"כאשר מנהלים נותנים סדר עדיפויות ומדגימים שיטות אבטחת סייבר טובות, יש סיכוי גבוה יותר לעובדים ללכת בעקבותיהם".
לכן, זה צריך להיות מדאיג שלמרות שמודעות המנהלים לאבטחת הסייבר משתפרת - כאשר 93% טוענים שיש להם הבנה "בינונית" או "מתקדמת" של נוהלי בטיחות מקוונים - 80% מאמינים כי כישוריהם הדיגיטליים עדיין טעונים שיפור.
מובילים לדוגמא
אז מה יכולים ארגונים לעשות כדי להעצים את המנהלים שלהם להניע תרבות מאובטחת לפי עיצוב? הצעד הראשון נראה די ברור: ודא שמנהלים אלה עברו הכשרה נאותה. עליהם להבין מושגים ושיטות עבודה מומלצות הקשורות לסייבר כמו מודעות להנדסה חברתית, הצורך בסיסמאות חזקות ואימות רב-גורמי (MFA), ואת החשיבות של תיקון. כמו כן צריכים להיות להם המשאבים, הכלים, המדיניות והתהליכים העומדים לרשותם כדי להפיץ מודעות ולקדם שיטות עבודה מומלצות.
חלק מזה מסתכם בהובלת דוגמה, לפי אלאשה.
"מנהלים נמצאים בעמדה ייחודית להשפיע על התנהגות, לא רק באמצעות הוראה ישירה אלא גם באמצעות הפעולות שלהם. כשמנהלים מפגינים התנהגות אבטחה טובה - כמו דיווח על הודעות דוא"ל חשד להתחזות - הם מציבים סטנדרט שאחרים צריכים לרצות לעקוב אחריהם", הוא מסביר.
"בנוסף, מנהלים יכולים למנף הוכחה חברתית - שבה אנשים מסתכלים על ההתנהגות של הסובבים אותם כדי להנחות את הפעולות שלהם. על ידי יצירת סביבה שבה עמידה במדיניות האבטחה היא הנורמה ומתורגלת באופן גלוי, מנהלים יכולים לעזור לבסס תרבות שבה התנהגות מאובטחת היא ברירת המחדל, ולא היוצאת מן הכלל."
קמפבל של DomainTools מסכים, בטענה שמנהלים צריכים לחפש ליצור "תרבות של אמון וחקירה" שבה מעודדים את הצוות לדווח על אירועים חשודים, ומשבחים על כך שהם עושים זאת ללא קשר לתוצאה הסופית.
"השילוב של זה עם תמריצים ללכת בשיח הביטחוני ולא רק להטיף למודעות כמנדט נוסף, ללא מימון, ייצור תוכנית אבטחה הוליסטית מלמטה למעלה", הוא מוסיף. "העצמת עובדים לשים לב לאירועים חדשים ולפקפק בהם היא צעד ענק קדימה."
מנהלים צריכים גם לפעול כ"לינצ'פין" בין כוח העבודה, התמיכה הטכנית ופעולות האבטחה, הוא מוסיף.
"הם ה'סופרנוד' שיכול - וצריך - להעביר ל-TechOps ול-SecOps דוחות של בעיות טכניות וחיכוך זרימת עבודה, אפילו כשהם מעבירים לדוחות שלהם את ההנמקה לחיכוך וכיצד לעבוד טוב יותר בתוך המערכת." קמפבל ממשיך. "תת-רשת התקשורת הזו חשובה במיוחד במדידה וצמצום של צל-IT, אחד מאיומי השטח הגדולים ביותר שכל ארגון מתמודד איתו".
זו משימה לא פשוטה גם עם מנהלים מעורבים ודינמיים. שינוי תרבותי יכול להיות מאתגר ולוקח זמן. ביסודו, זה חייב להתחיל באמון, שמשמעותו לחזור ליסודות הניהוליים ולבנות ולתחזק קשרים מהימנים עם חברי הצוות.
"מצאו את האנשים הנכונים, העצימו אותם ובנו מהבסיס הזה", מסכם קמפבל.
