תקציר פרק: ממשל אבטחת מידע (Governance)
עד כה, תיארנו שכבות אנכיות שונות שיש להגן עליהן, תחומים אופקיים שונים שיש לטפל בהם, דיברנו על "עקרונות", והזכרנו אין-ספור "בקרות" (בעיקר טיפלנו בבקרות טכנולוגיות – כלים).
איך ה-CISO מנהל את כל זאת? מה מעמדו בארגון, ומה סמכויותיו? מה מצוי באחריותו, ומה מצוי במחלקת ה-IT או ביחידה אחרת בארגון? כיצד מחליטים על תקציבים? על רכישה של אמצעי אבטחה? על גיוס כח אדם מקצועי?
מצד אחד, ל-CISO יש כמה "בוסים": המנכ"ל שמחזיק ביעדים עסקיים שחייבים להתממש, ההנהלה והדירקטוריון, שלעיתים משקפים דרישות מעט שונות או נוספות, הלקוחות, שלעיתים "דורשים" תנאי אבטחת מידע מסוימים, בקשר הישיר שלהם עם ה-CISO, והמדינה, בין אם ישירות באמצעות חוק ורגולציות, ובין אם דרך דרישות מגזריות מיוחדות (נהוג בתחומים רגישים כמו אנרגיה, בריאות, ביטחון וכו').
מצד שני, עומד בפניו מבחר שוק עצום של מאות ואלפי טכנולוגיות להגנת סייבר, שעליו להחליט איזה מהם לרכוש, כיצד להשתמש, ולוודא כי יהיה מי שיפעילם באופן מושכל.
מצד שלישי, ה-CISO חייב להתחשב במחלקת ה-IT, במשתמשים ובעוד גורמים, כי "גזרות הגנת סייבר" נוטות להיות מאוד בלתי נוחות, ולכן נדרש שיתוף פעולה משמעותי, אוהד, ומודעות גבוהה של העובדים.
כדי להסביר את המרחב שבו יפעלו הארגון וה-CISO, נהוג להשתמש בראשי התיבות GRC.
GRC הם ראשי תיבות של Governance, Risk Management, and Compliance (ממשל, ניהול סיכונים ותאימות). זהו מודל ניהול כולל המשלב את שלושת ההיבטים האלה כדי ליצור ארגון מאובטח יותר. השילוב של שלושת הרכיבים הללו מאפשר לארגון לנהל את נושאי האבטחה באופן מושכל ואפקטיבי, תוך כדי דאגה להתאמה לדרישות החוקיות והתעשייתיות, ולזיהוי וניהול סיכונים בצורה יעילה.
השילוב מאפשר לראות את אבטחת המידע כחלק אינטגרלי מכל הפעילות העסקית של הארגון. GRC מאפשר לארגון ליצור אסטרטגיה כוללת לאבטחת המידע שלו, המבוססת על שלושת רכיבי היסוד של GRC (סודיות, שלמות וזמינות).
ממשל / ניהול, הוא החלק האסטרטגי של GRC, והוא עוסק בקביעת הכיוון, המדיניות והמטרות של הארגון. בהקשר של אבטחת סייבר, זה כולל את הקביעה של מדיניות האבטחה, נהלים וסטנדרטים לצורך שמירה על מידע רגיש ונכסי מידע. המונח "ממשל" מתייחס לדרכים שבהן הארגון מנוהל. ממשל אבטחת מידע טוב מבטיח שהארגון פועל באופן מאובטח ושהעובדים שלו יודעים מה לעשות כדי להישאר בטוחים. ממשל תאגידי כולל גם את הגורמים הבאים:
-
הגדרת היעדים והמטרות של אבטחת המידע בארגון
-
קביעת הסמכות והאחריות של גורמי האבטחה בארגון
-
קביעת תהליכי בקרה ואכיפה של אבטחת המידע
הפרק על Governance באבטחת מידע מתמקד בחשיבות ההנהלה והבקרה בתחום אבטחת המידע. Governance, או "מימשל" בתחום אבטחת המידע, מתייחס למערכת ההחלטות והמדיניות שמנחה את הארגון בנושאים ובהיבטים הרב ממדיים של אבטחת מידע.
בפרק זה, אנו מדגישים את חשיבות ה-Governance בקביעת מדיניות ברורה והנחיות לאבטחת המידע. מתוך הבנת העקרונות הבסיסיים של אבטחת המידע והידע בנושא בקרות טכנולוגיות, מובאים דוגמאות, כיצד הנהלה טובה יכולה לשפר את ההגנה על המידע ולמנוע סיכונים.
הפרק מדגיש את הצורך בשילוב של עקרונות אבטחת מידע ובקרות טכנולוגיות במדיניות ה-Governance. תהליך זה מאפשר לארגונים להגיב ביעילות לאיומים מתמידים ולשמור על רמת אבטחה גבוהה. ממשל הגנת סייבר מתייחס למסגרת, לתהליכים ולמנגנונים שבהם משתמשים ארגונים כדי להבטיח את הסודיות, השלמות והזמינות של נכסי המידע שלהם. זה כרוך בהקמת מערך של מדיניות, נהלים ובקרות שמתאימות למטרות העסקיות ועומדות בדרישות החוק, הרגולציה והתעשייה.