האם אבטחת מידע שווה את ההשקעה

עם בוא עונת הדוחות הכספיים, ארגונים מתמודדים עם מאבק מתמיד בין צמיחה ליעילות. זוהי מטוטלת הלוך ושוב הנעה בין שינויים מאקרו, תוצאות עסקיות, אתגרים והצלחה. עסקים תוהים ללא הרף האם עליהם להאיץ את הוצאות השיווק, לחפש דרכים לקצץ בעלויות, ולהעריך האם התקציב הנוכחי שלהם מכוון ביעילות להשגת תשואה הולמת על ההשקעה (ROI). בדרך כלל, בחדרי דירקטוריון ובצוותי הנהלה, מערכות כלליות ומנהליות (G&A) נתפסות כעלויות תקורה: אלמנט עלות הדרוש כדי להפחית סיכונים ולעמוד בתקני תאימות, ולא כזה שמייצר תשואה.

לעסקים יש לעתים קרובות תקציב IT ואבטחה גדול יחסית – אך רק קומץ אנשים בארגון יודעים כיצד תקציב זה משמש בפועל. למרבה הצער, אפילו פחות אנשים יכולים לזהות באמת את החזר ההשקעה (ROI) מכל חלק במערך הבנייה המרכיב את התקציב הזה. עבור עסקים המנסים לקבוע תקציב אבטחת סייבר מתאים, מחשבה על החזר השקעה (ROI) לא צריכה להיות מחשבה שלאחר מעשה – היא צריכה להיות נקודת התחלה. הוצאה של 100,000 דולר בשנה עשויה להרגיש הרבה – אך זוהי השקעה טובה אם היא מונעת הפסדים שנתיים של מיליון דולר ממתקפות סייבר.

מדוע אבטחת סייבר חסינה מפני מיתון

חברות מכל הגדלים חשופות למתקפות סייבר, לא משנה כמה שכבות הגנה יש להן. על פי מחקר של Harvard Business Review, ארגונים עם 10,000 עובדים או יותר מתחזקים בדרך כלל כמעט 100 כלי אבטחה – אך למרות זאת, אפילו חברות גלובליות מבוססות ממשיכות להיות קורבנות של מתקפות סייבר. האמת המצערת היא שפשוט לא ניתן לעצור 100% מההתקפות. כתוצאה מכך, רוב הארגונים מתחילים להסיט את חשיבתם ממניעה לכיוון התמקדות בהגבלת הנזק הפוטנציאלי שתקיפה עלולה לגרום והבנה טובה יותר של נקודות התורפה האמיתיות שלהם.

מנהלי מערכות מידע (CIO), מנהלי מערכות מידע (CISO) ושאר צוות ההנהלה אחראים בסופו של דבר להגנה על נכסי החברה שלהם. ארגונים מוציאים מיליוני דולרים על אבטחת סייבר מדי שנה, שכן שוק האבטחה הכולל מתקרב לשוק כולל פוטנציאלי (TAM) של 300 מיליארד דולר. לאור זאת, מנהלי מערכות מידע (CISO) מחפשים גמישות תקציבית רבה יותר כדי להבטיח שהם עומדים ביעדי החברה שלהם. ככל שמספר מתקפות הסייבר עולה והתקפות אלו הופכות מתוחכמות יותר, מנהלי מערכות מידע רבים מדי עדיין מתקשים לענות על שאלות בסיסיות לגבי האם החברה שלהם מאובטחת ועד כמה מוגנים הנכסים שלהם בפועל.

על מנת לענות במדויק על שאלות אלו, מנהלי מערכות מידע (CISO) צריכים להיות מסוגלים למדוד ולהדגים באופן רציף את יעילות הסייבר להנהלה. עליהם להמחיש סיכונים, לאמת בקרות, להבין חשיפות הממופות למסגרות אבטחה, ולמקסם את הוצאות האבטחה תוך ניהול עלויות. החדשות הטובות עבור צוותי אבטחה? אבטחת סייבר תמיד תהיה קריטית לעסקים. אפילו בתקופות רזות יותר, עסקים תמיד יצטרכו להשקיע בפתרונות אבטחת סייבר כדי לשמור על אבטחת הנתונים ונכסים אחרים שלהם. כל עוד צוותי אבטחה יכולים להשתמש בנתונים כדי להצדיק אילו פתרונות חיוניים לפעילותם, אבטחת סייבר היא למעשה חסינה מפני מיתון.

קביעת תוכנית תקציבית לאבטחת סייבר

עם דרישות הדיווח שהושקו לאחרונה על ידי ועדת ניירות הערך (SEC) לטיפול באירועי סייבר, נרשמים חייבים לגלות בסעיף 1.05 החדש של טופס 8-K כל אירוע סייבר שה-SEC מגדיר כמהותי. חברות חייבות גם לתאר את ההיבטים המהותיים של אופי האירוע, היקפו ותזומו, יחד עם השפעתו על הנרשם. הגילויים בטופס 10-K ו-20-F יהיו מועדים החל מהדוחות השנתיים לשנים כספיות המסתיימות ב-15 בדצמבר 2023 או אחריו. הגילויים בטופס 8-K ו-6-K יהיו מועדים החל מהמאוחר מבין 90 יום לאחר תאריך הפרסום ב-Federal Register או 18 בדצמבר 2023.

מידע זה אינו מופיע באופן קסום, ואיסוף המידע דורש שיהיו לכם המשאבים הנכונים לא רק כדי לזהות אירועי אבטחה פוטנציאליים, אלא גם כדי לתעד ביעילות הן את המסלול שתוכנן על ידי התוקף והן את מאמצי ההפחתה שמבצע הארגון. משמעות הדבר היא שחשוב לארגונים להיות בעלי נראות מלאה על פני הסביבות הדיגיטליות שלהם, עם יכולות ניטור רציפות שיכולות לזהות ולתעד שינויים כשהם מתרחשים. יכולות נראות וניטור רציפות אלו לא רק מאפשרות לעסקים לדבוק בהנחיות תאימות חדשות – הן גם עוזרות ליצור בסיס איתן עליו ניתן לבנות תוכנית אבטחת סייבר מוצלחת. על ידי מיפוי יעיל של הסביבות הדיגיטליות שלהם ובדיקתן לאיתור פגיעויות ידועות, ארגונים יכולים לקבל תמונה מדויקת יותר של פרופיל הסיכון הייחודי שלהם ולהבין טוב יותר את הצעדים שעליהם לנקוט כדי לשפר את מצב האבטחה שלהם.

בפועל, משמעות הדבר היא שמנהיגים חייבים תחילה לערוך רשימה של נכסי הנתונים שלהם וערכם לחברה. לאחר מכן, עליהם לשקול מה עליהם לעשות כדי לעמוד בתקנות התעשייה שעשויות לחול על העסק שלהם, כגון חוק HIPAA בתחום הבריאות או תקנת הגנת המידע הכללית (GDPR) של האיחוד האירופי. האם הם זקוקים לפתרונות חדשים כדי לאפשר נראות נוספת? הגנות חזקות יותר על נקודות קצה? יכולות ניהול זהויות מורחבות? לאחר שיש להם הבנה מוצקה של מטרותיהם והצעדים הדרושים להשגתן, מנהיגים צריכים לבחון מהו תקציב ה-IT הכולל של החברה שלהם. אם מה שחברה צריכה הוא כ-20-25% או פחות מתקציב ה-IT הכללי שלכם, אז כנראה שיש לכם נתון שימושי להתחיל איתו. לאחר השלמת זה, הגיע הזמן להתעמק בהערכה ובאימות של מה עובד ומה אין לו החזר השקעה. רק בגלל שחברה מוציאה כסף, זה לא אומר שהכסף מושקע במקומות הנכונים.

התאמת אבטחה לעסקים

אחריות זו תוטל במידה רבה על כתפי מנהל ה-CISO או מנהל ה-CTO, והם יצטרכו להיות מסוגלים להציג ולהדגים ביעילות את טיעונם בפני מנהל הכספים, מנהל התפעול הראשי, המנכ"ל ובעלי עניין אחרים. בהתחשב בכך שרוב המנהיגים העסקיים נוטים לחשוב במונחים של האופן שבו החלטותיהם משפיעות על שורת הרווח של העסק, חשוב להיות מסוגלים לנסח כראוי את החזר ההשקעה (ROI) שיכולות להניב השקעות באבטחת סייבר. בין אם תשואות אלו מגיעות בצורה של ביטול פתרונות מיותרים, ייעול תהליכי אבטחה או מניעת פרצות יקרות, מסגור דברים בהקשר עסקי הוא הדרך היעילה ביותר להבטיח שמנהיגי אבטחה ומקבלי החלטות עסקיים יוכלו להתייצב ביוזמות שלהם.