אבטחת מידע ארגונית – 5 נקודות למחשבה

טכנולוגיות מידע חדשות, כמו AI ו IOT, מגדילים את איכות וכמות המידע המסופק ע"י מערכות המידע הארגוניות. בעוד המידע הנוסף עוזר לארגון לשפר את חווית הלקוח, הוא גם מציב אתגרים חדשים בכל האמור לאבטחת מידע. עם BI מצוין באה אחריות גדולה.

מידע על לקוחות הוא בדרך כלל מועיל הן לארגון והן ללקוח, אבל לעיתים, הוא יכול להיות גם נטל. למשל, זליגת מידע על לקוח יכול לעלות לארגון הרבה מאד כסף בהוצאות משפטיות ואובדן עסקים. הארגון יכול גם לאבד לקוחות, אם אלו מרגישים שהפרטיות שלהם יכולה להיפגע ע"י השימוש של הארגון במידע שאגר לגביהם. הכלת הסיכונים הללו דורשת הבנה של סכנות אבטחת המידע הפוטנציאליות וכן של רגולציות ותקנים כמו HIPPA ו GDPR.

איך יכול הארגון להיות פרואקטיבי בזיהוי הסיכונים, ועדיין לתמוך ביוזמות מכוללות הכנסה במערכות המידע שלו? להלן חמש נקודות למחשבה.

התרבות הארגונית

תרבות ארגונית ממוקדת לקוח מקדמת את אבטחת המידע, כיון שהיא מעודדת את העובדים להקשיב לחששות של הלקוח הנוגעים לפרטיותו, ולשתף בהם את ההנהלה. אנשי מערכות המידע צריכים לשמש כמגשרים בין נציגי הלקוחות לבין ההנהלה כדי לקבוע תהליכי מידע וסטנדרטים של אבטחת מידע.

חשוב לפתח אסטרטגית ניהול השינוי שתומכת בתרבות בה אבטחת המידע היא האחריות של כל אחד בארגון. מערכות מידע ארגוניות, כמו ERP, משלבות מידע מכל הארגון, כך שסביר שנתוני לקוחות יהיו גלויים במספר מחלקות. גישה משופרת למידע היא רכיב חיוני לטרנספורמציה הדיגיטלית, ולכן הגבלת הגישה אינה התשובה. אבטחה יותר טובה היא התשובה הנכונה.

הבנת התפקיד של האחראי על אבטחת המידע (CISO)

ה CISO בארגון מאפשר את האסטרטגיה הדיגיטלית של הארגון ע"י הובלת השינוי התרבותי, כמו עידוד התקשורת הפתוחה ומתן עדיפות לחינוך והכשרות. בהיבט ההכשרות, על ה CISO לקיים הכשרות סייבר ולספק מידע לימודי במספר פורמטים, מספר פעמים בשנה.

התקשורת הפתוחה חשובה במיוחד בין ה CISO לבין מנהלים אחרים בארגון. באמצעות פגישות סדירות הנוגעות להיבטים המשפטיים והגנת הפרטיות, יכול ה CISO לבנות יחסים טובים לרוחב הארגון. בסיס של אמון הופך את עבודתו לקלה יותר וכן מקלה על הוכחת הערך של אבטחת המידע. על ה CISO להציג את המצב הנוכחי וכן את הצעדים הבאים לשיפורו. הגישה הפרואקטיבית מבוססת על ניתוח סיכונים. על ה CISO להשתמש ב BI, כדי להגן על ה BI.

פיתוח נהלי אבטחת מידע

ה CISO חייב לקבל גישה לכל המידע במערכות הארגוניות, כך שיוכל להעריך טכנולוגיות חדשות מהיבט אבטחת המידע. ע"י פיתוח ניהול הספקים, יכול ה CIAO לעקוב אחרי ספקי התוכנה ואתגרי אבטחת המידע הקשורים אליהם. מעקב זה ושימוש בניתוח סיכונים מאפשר לארגון לאתר סיכונים חדשים במהירות גדולה יותר ומניעתם.

נהלי אבטחת מידע נדרשים גם כדי לעמוד בתקנים בינלאומיים כמו ISO.

IOT – מקור לדאגה

IOT (Internet of Things) תופס חלק גדל והולך במידע של הארגון. חברות אנלסטים טוענות ששילוב IOT ומערכות מידע ארגוניות, כמו ERP, יהפוך לנפוץ יותר ויותר. IOT משפר את התובנות שניתן להפיק מהמידע ומשפר תהליכים רבים, ולכן לא מפליא שהשימוש בו מושך את הארגונים.

התקני IOT חשופים להתקפות סייבר, כיון שהם מתקשרים עם סביבתם באמצעות האינטרנט. בכך הם הופכים למטרה מועדפת ל האקרים, שדרכם ינסו לגשת למידע הארגוני. התקנים אלו אינם רק מטרה מועדפת, אלא גם מטרה קלה. רוב הארגונים לא מוכנים להתקפה כזו ואין להם הגנות לכך. בנוסף, על הארגון להבין שהתקן שמנוהל ע"י ספק חיצוני יכול להיות בעל חשיפה שונה מאלו שמנוהלים ע"י הארגון.

האקרים מודעים לכך שהתקני IOT לעיתים מגיעים ללא הגנה, כי היצרנים שלהם היו להוטים להוציא את המוצר לשוק לפני המתחרים שלהם.

איך אפשר להגן על המידע שנאסף או מאוחסן בהתקן ה IOT? אפשרות אחת היא באמצעות פלטפורמת ניהול התקני IOT. פלטפורמות אלו מאפשרות להתקין תוכנה חיונית בכל התקני ה IOT.

השקעה באבטחת מידע

אבטחת מידע עולה כסף. קשה להוכיח את החזר ההשקעה. הצדקתה מחייבת את הבנת ההנהלה במרחב האיומים, הסיכוי להתקפה וההפסד הפוטנציאלי. נתונים אלו עוזרים ל CISO לשכנע את ההנהלה בצורך ובמחיר.

תהליך זה הוא תהליך שלא נגמר. אמנם כל טכנולוגיה חדשה מגיעה עם הגנה טובה יותר, אך בתוכה טמונים גם סיכונים חדשים.