שם הכותב: תאריך: 20 פברואר 2013

מהי אבטחה ארגונית?  

כשבאים לדון בהגדרת המושג "אבטחה ארגונית" יש להבין קודם מהו המושג "אבטחה". ובאמת יש לאבטחה הגדרות והיבטים רבים. כל אחד רואה את תחומו כנקודה המרכזית בנושא אבטחה.

כל מנעולן ממוצע יודע שמקום מאובטח הוא מקום עם דלתות וחלונות עמידים לפריצה לפי תקן מסויים. אם נשאל בוגר קורס אבטחה, הוא בודאי יתאר מקום מאובטח כמקום עם כוחות אבטחה ואמצעים המכסים את האתר. לאנשי תקשורת מחשבים תהיה תשובה שונה וכן גם לאנשי אבטחת מידע, אנשי בטיחות אש וכיו"ב.

כל יועץ או איש מקצוע מזהה סכנות מסוג מסויים ומנסה להגן על הלקוח מפניהן.

המושג "אבטחה ארגונית" בא לאגד את כל הכיוונים האפשריים ולתפור חליפת אבטחה שתתמודד עם הסכנות הטמונות לארגון בדגש על הסכנות המהוות איום על התהליך העסקי של הארגון ועל הרווחים שלו.

כל ארגון עובד בסביבה עסקית ייחודית ולפני שיועץ אבטחה ארגונית ניגש לתכנן חליפת אבטחה כוללת הוא חייב לסקור את הסביבה העסקית החיצונית והפנימית ולערוך סקר סיכונים מחושב. תהליך זה חיוני להבנת הגורם המאובטח וגם לרמת הסכנה אליה חשוף העסק.

security

חליפת אבטחה כוללת

אבטחה ארגונית, כחלק מחשיבה אסטרטגית כוללת, לוקחת בחשבון את כל הסכנות המאיימות על הארגון, על התהליכים העסקיים ועל הנכסים (הפיזיים והרוחניים) של הארגון. מאחר ואבטחה הארגון עומדת לנגד עיניו של יועץ האבטחה, הוא לא מוגבל לטכנולוגיה מסויימת או לגישת אבטחה ספציפית. חליפת האבטחה תיתפר על פי צרכי הארגון. במשרד עורכי דין לרוב, לא יהיה צורך במצלמות אבטחה אך יש לשים דגש על אבטחה של המחשבים והחדרים בהם מאוכסן מידע רגיש ואסטרטגי על לקוחות.

החזר השקעה חיובי (Positive ROI)

כשאנו דנים באבטחה ובסכנות שיש להתגונן מפניהן, יש לנו נטיה לראות בכל הסכנות ענן שחור של סכנה ולהחזיק בגישה של הכל או לא-כלום. אימוץ של גישה זו גורם לנו להפסיד פעמיים: בפעם הראשונה, כשאנו מעריכים הוצאה גדולה מכפי מוכנותינו להשקיע – אנו מוותרים לגמרי על רעיון האבטחה. בפעם השניה, אם כבר החלטנו להשקיע, נקבל את הצעות האבטחה כמקשה אחת והערכת הכדאיות שלנו תהייה כוללת ומעורפלת.

כמו בכל השקעה גם על השקעה זו, ההחזר הצפוי צריך להיות חיובי. אם קיימת סכנה מזערית (סיכון של 5% לדוגמה) של פגיעה במידע ששווה לעסק 10,000 ש"ח ועלות האבטחה היא 5,000 ש"ח בכל שנה, הרי ההשקעה באבטחה לא מצדיקה את עצמה.

על בעל העסק להיות מעורב אסטרטגית בתהליך תכנון מערך האבטחה בעסק ולבקש מהיועץ להוכיח החזר השקה חיובי.

אסטרטגיה ארגונית

רוב הרעיונות העסקיים לא כוללים בתוכם אלמנטים של אבטחה, בדיוק כמו שהם לא כוללים אלמנטים של חשבונאות. יוזמה עסקית באה לקדם רעיון מסויים וכל המאמצים מושקעים במינוף אותו רעיון – שיווק, מכירות, תכניות עסקיות וכיוצא באלה. המשאבים של החברה, בייחוד בשלביה הראשונים מצומצמים מאוד ולכן לרוב, מקימי העסק ישקיעו רק במה שלפי הגדרתם חיוני ביותר להצלחת העסק.

למה לי אבטחה ארגונית בכלל?

לקוחות רבים מדי דחו השקעה בנושא האבטחה הארגונית משתי סיבות עיקריות:

  1. תקציב – הטמעה של פתרון אבטחה נתפסת כיקרה מדי ובייחוד כשכל המשאבים מופנים לקידום הרעיון העסקי.
  2. חוסר עניין – האיומים לעסק נראים רחוקים ולא ממשיים.

לקוחות אלה הבינו את הצורך באבטחה ארגונית רק לאחר שאתר האינטרנט שלהם הופל או שמידע רגיש בארגון דלף לידיים "עוינות".

דחייה של יישום פתרונות אבטחה ארגונית גורמת לכך שעסקים רבים בתחילת דרכם פועלים בחשיפה מלאה להתקפות סייבר ואחרות בדיוק בתקופה הכי רגישה לעסק. יתרה מזאת – שלב ההקמה והחודשים הראשונים מקבעים צורות עבודה של העובדים וההנהלה. ללא אסטרטגיית אבטחה ארגונית תהליכי העבודה שיתקבעו חושפים גם הם את החברה לבעיות אבטחה ארגונית.

המידע העסקי \ ארגוני רגיש מאוד בחלקו. העברה של מידע רגיש זה לידיים לא נכונות יכול לגרום לעסק אבדן הזדמנויות עסקיות, אבדן היתרון התחרותי ועוד. בשלב זה של הקמת העסק ייתכן כי המכה תהיה קשה כל כך עד שלא יהיה מנוס מלסגור את החברה. כל בעל עסק יודע שהוא צריך להמנע מחשיפת מידע רגיש אך מה נעשה בנדון?

אז למה באמת?

הסיבות לדחיית יצירה והטמעה של אסטרטגית אבטחה ארגונית נובעות בעיקר מאי הבנה לעומק של אותן סיבות.

  1. מבחינה תקציבית, כמו בכל פרוייקט יש להתחיל בסקר סיכונים שיכמת את הסכנות ואז לפי עלותן לעסק יהיה ניתן לתעדף את הפתרונות. כל פתרון של אבטחה ארגונית חייב לעמוד בתנאים של ROI (החזר על ההשקעה) חיובי. כמו פוליסת ביטוח, אין טעם להשקיע 150 ₪ בהגנה על מידע בשווי 100 ₪. לעומת זאת אם נגלה שחשיפה של מידע מסויים תגרום לחברה נזק ב2 מיליון ₪ כל ארגון ישמח להשקיע 50,000 ₪ בהגנה על המידע הזה.
  2. רוב בעלי העסקים רואים את סכנות האבטחה הארגונית כ"ענן" של בעיות כשלמעשה, אבטחה ארגונית יודעת לפרק את הסכנות לגורמים ולתת ערך כספי לחשיפה שמאיימת על הארגון מכל סכנה. כהשערך הכספי של כל חשיפה נתון וברור, הרבה יותר פשוט להתמודד מול כל סכנה, לתעדף את הפתרונות ולפרוס את פריסת אסטרטגית האבטחה הארגונית על פני זמן ארוך יחסית.
    חלק מהפתרונות ובכללם הדרכת עובדים, פשוטים ליישום ולא דורשים תקציבים גדולים.

כל אסטרטגיה ארגונית שאינה מכילה בתוכה אסטרטגית אבטחה ארגונית לוקה בחסר ובסופו של דבר, תעמיד את החברה מול כורח לפתרונות מהירים, שיהיו בדיעבד ובמטרה לסגור פרצות שכבר נוצלו על ידי תוקפים. את הנזק התדמיתי לארגון לא ניתן יהיה להשיב.

שייך לנושאים: אסטרטגיה, משקיעים, פיתוח