קוד הנוהג של ממשל סייבר בבריטניה

מה המשמעות של קוד הנוהג של ממשל סייבר של ממשלת בריטניה עבור העסק שלך?

הייתה תקופה שבה אבטחת סייבר נתפסה מאוד כפונקציה טכנולוגית. כבר לא. ממשלות ורגולטורים ברחבי העולם מחייבים יותר ויותר מועצות המנהלים לקחת על עצמן אחריות רבה יותר על ניהול סיכוני הסייבר. זה בחדש הכללים של SEC הוצג בשנה שעברה ובעתיד הנחיית 2 שקלים, מה שיטיל אחריות אישית על ההנהלה הבכירה להפרות חמורות. שלא להתעלם מכך, ממשלת בריטניה הולכת בעקבות הצעה חדשה קוד בפועל עבור ממשל סייבר.

למרות שזה בהתנדבות, הממשלה הצהירה על כוונתה להטמיע את הקוד ב"נוף הרגולטורי הקיים". טוב יעשו מועצות אם ישימו לב.

מה כתוב בהדרכה?

פורסם בינואר בטיוטה, הקוד מגיע על רקע מרגיז של הפרות. על פי ממשלה, למעלה ממחצית עסקים בינוניים (59%) וגדולים (69%) בבריטניה סבלו ממתקפת סייבר או פרצה חמורה ב-12 החודשים עד אפריל 2023. אותו מחקר מגלה כי למרות שכמעט שלושה רבעים (71%) מהמנהלים הבכירים אומרים שהם רואים באבטחת סייבר "עדיפות גבוהה", רק ל-30% מהעסקים יש חברי דירקטוריון או נאמנים שאחראים במפורש לסייבר כחלק מתפקידם.

עם זאת, קוד הנוהג מחולק לחמישה עמודי תווך:

ניהול סיכונים: הבטחת התהליכים, הנתונים והשירותים הדיגיטליים הקריטיים ביותר של החברה זוהו, תועדפו והוסכמו. זה כולל הערכות סיכונים קבועות ושלבי הפחתה, החלטות לגבי רמות סיכונים וניהול סיכונים של ספקים.

אסטרטגיית סייבר: ניטור ובדיקה של אסטרטגיית חוסן סייבר בהתאם לתיאבון הסיכון, האסטרטגיה העסקית והחובות החוקיות והרגולטוריות. זה כולל להבטיח שהמשאבים המתאימים מוקצים בהתאם לסיכון העסקי המשתנה ללא הרף.

אנשים: מתן חסות לתקשורת על החשיבות של חוסן סייבר לעסק, אספקת מדיניות אבטחת סייבר ברורה התומכת בתרבות אבטחה חיובית, והנעה ולקחת חלק בתכניות הכשרה לאבטחה.

תכנון ותגובה לאירועים: להבטיח שלארגון יש תוכנית להגיב ולהתאושש מתקריות סייבר המשפיעות על תהליכים ושירותים עסקיים קריטיים. זה כולל בדיקה שוטפת של התוכנית, סקירות לאחר תקרית ולקיחת אחריות על חובות רגולטוריות.

הבטחה ופיקוח: הקמת מבנה ממשל המיישר קו עם הארגון, כולל הגדרה ברורה של תפקידים ואחריות, ובעלות על חוסן סייבר ברמת המנהלים. מעקב רגולטור אחר חוסן סייבר, יצירת דיאלוג דו-כיווני עם מנהלי מפתח ודיווח רבעוני רשמי, והבטחת אסטרטגיית חוסן סייבר משולבת על פני מנגנוני הבטחה קיימים.

איך ארגונים צריכים להגיב?

דארן אנסטי, CTO ב-Netscout, טוען שהדירקטוריונים נאבקו באופן מסורתי עם תכנון אירועים.

"ההנחיה היא שבדיקה של תוכנית הטיפול באירועים של ארגון, וההדרכה הנלווית, צריכה להתרחש לפחות אחת לשנה. רוב הארגונים עושים את זה עכשיו, וזה הרבה יותר טוב מאשר לפני עשור, אבל רק לעשות את זה מדי שנה זה לא תדיר מספיק", הוא אומר ל-ISMS.online.

"אנחנו רוצים בדיקות כדי לקדם היכרות ואופטימיזציה של תהליכים - זה לא צריך להיות רק על גילוי היכן צריך לעדכן את התוכנית כי היא כבר לא תואמת את התהליכים והטכנולוגיה של הארגון. זה הסיכון בבדיקה שנתית.

Anstee מוסיפה כי לוחות יכולים גם לשפר את הבטחון והפיקוח שלהם.

"האתגר כאן אינו חדש, בכך שתרגום מה שקורה במונחים של הגנת איומים וסיכוני סייבר למשהו משמעותי ברמת הסיכון העסקי יכול להיות קשה", הוא טוען.

"זה בדרך כלל אומר חיבור של מערכי נתונים מרובים יחד כדי ליצור מדדים והמחשות מובנות. זה אפשרי, וחשוב מאוד אם אנחנו רוצים שסיכון הסייבר ינוהל היטב, אבל לארגונים רבים אין את המשאבים לעשות זאת בצורה טובה".

קווין קוראן, חבר בכיר ב-IEEE ופרופסור לאבטחת סייבר באוניברסיטת אלסטר, טוען שלעיתים קרובות מועצות המנהלים נכשלות בניהול הולם את סיכוני הסייבר מכיוון שהם חסרים מעורבות, מומחיות ומיקוד.

"חלק מהתחומים שבהם ארגונים נכשלים כוללים אי ביצוע הערכות סיכונים יסודיות או הקמת אסטרטגיות ברורות של אבטחת סייבר, מה שמותיר אותם חשופים לאיומים. תחומים אחרים הם השקעה לא מספקת, מדיניות מיושנת, תקשורת לקויה בין מחלקות וגישה ממוקדת ציות יכולים גם לערער את ממשל אבטחת הסייבר", הוא אומר ל-ISMS.online.

"בסופו של דבר הקוד צריך לעזור לארגונים להקים מסגרות ממשל חזקות, לערב מנהיגות בהחלטות אבטחת סייבר, לערוך הערכות סיכונים סדירות, להקצות מספיק משאבים, לטפח תרבות מודעת לאבטחת סייבר ולשפר ללא הרף את נוהלי הממשל באבטחת הסייבר שלהם כדי להסתגל לאיומים המתפתחים".

השלבים הבאים עם ISO 27001

עמידה בתקנים ובמסגרות של שיטות עבודה מומלצות כמו ISO 27001, NIST Cybersecurity Framework, CIS Controls ו-COBIT עשויה לעזור לדירקטוריונים לעבור דרך ארוכה כדי לעמוד ביעדים שלהם תחת חמשת עמודי התווך, טוען Curran.

"ISO 27001 מציע גישה שיטתית לזיהוי, הערכה והפחתת סיכוני אבטחה, מסייעת בתעדוף נכסים דיגיטליים ובשילוב ניהול סיכונים בממשל. זה גם יועיל לאסטרטגיית הסייבר שכן היא מיישרת מערכת ניהול אבטחת מידע (ISMS) עם האסטרטגיה העסקית, ומבטיחה הקצאת משאבים יעילה לניטור וסקירה של אסטרטגיית אבטחת סייבר", הוא מסביר.

"ISO 27001 מקדם את תרבות האבטחה באמצעות מדיניות והדרכה, תוך שיפור אוריינות הסייבר של העובדים בהתאם לאסטרטגיית האבטחה של הארגון. זה גם מעודד תכנון תגובה לאירועים... והוא מסייע בהגדרת תפקידים, ניטור, דיווח ותקשורת עם מנהלים בכירים - ומקל על שילוב אבטחת סייבר במבני ממשל."

למרות שהוא וולונטרי, הקוד ימלא תפקיד חשוב בנוף הרגולטורי המתפתח, מסבירה שרה פירס, שותפה בהנטון אנדרוז קורת'.

"חוק החברות 2006 וקוד הממשל התאגידי של בריטניה מכילים דרישות מסוימות ואני מבינה שהקוד הזה וההנחיות הנלוות אמורים להתעדכן כדי להבטיח עקביות עם קוד הנוהג המוצע של הממשלה [ממשל סייבר]", היא אומרת ל-ISMS.online.

"הממשלה אמרה שהיא מכירה בכך שהקוד "אינו מספיק בפני עצמו כדי להניע את השיפורים הנדרשים בניהול סיכוני סייבר ברמת הדירקטוריון". הוא בוחן את השימוש בו בתמיכה ברגולטורים כדי להבין כיצד ניתן להשתמש בו כדי לסייע בעמידה ברגולציה, כולל עם תקנות ה-GDPR ו-NIS בבריטניה."

 

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 15 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף