בני אדם הם גרועים להפליא בהערכת סיכונים, כן – גם מנהלי מחשוב

תמונה: dreamstime

הערכת סיכונים אמורה להיות פעולה רציונלית ואובייקטיבית, אך אנו, כבני אדם עם רגשות, יכולים לעיתים להיות לא רציונליים ו"ליפול" לסובייקטיביות. כאנשי מקצוע בתחום האבטחה נראה שזה מנוגד לחובתנו להעריך, לנהל ולמזער סיכונים באופן אובייקטיבי.

סובייקטיביות עלולה להכניס הטיות שיכולות לעוות את הערכת הסיכונים, ויותר מדי ממנה יוצרת תמונת סיכונים שאינה מייצגת נאמנה את המציאות, מה שמוביל למצב אבטחה כללי ירוד יותר. אז כיצד יכולים אנשי מקצוע בתחום האבטחה לנטרל כמה שיותר סובייקטיביות מהערכת הסיכונים? יש ככל הנראה גישות רבות ושונות שניתן לנקוט בהן, אך אני רוצה להציע שבעה צעדים שצוותי אבטחה יכולים להשתמש בהם כדי להבטיח שההערכה, הניהול וצמצום הסיכונים שלהם יהיו אובייקטיביים ככל האפשר.

1. משאבים ונתונים קריטיים

כאשר אנו חושבים על סיכונים באופן אובייקטיבי, אנו מבינים שעלינו להתמקד במקומות בהם קיים פוטנציאל לנזק ואובדן לעסק. נזק מתממש לרוב עקב אובדן כספי הנגרם על ידי נתונים שנפגעו, משאבים (מערכות) שנפגעו או חשבונות שנפגעו. אובדן כספי זה יכול להתבטא, בין היתר, בצורה של אובדן הכנסות (עקב חוסר זמינות אפליקציה, פגיעה במוניטין המותג וכו'), קנסות רגולטוריים, עלויות גילוי, עלויות תיקון פרצות, הונאה ועוד. לפיכך, הצעד הראשון לקראת הערכת סיכונים אובייקטיבית הוא מניית משאבים ונתונים קריטיים אשר עשויים להיות בעלי השפעה כספית על העסק אם ייפגעו באירוע אבטחה.

2. השפעה פוטנציאלית

לאחר מניית משאבים ונתונים קריטיים, יש להבין את ההשפעה הפוטנציאלית של כל אחד מהם, ואנו מתכוונים להשפעה כספית. במקרים מסוימים, זה עשוי להיות קל יותר לקבוע מאשר באחרים. בכל מקרה, השפעה זו תידרש להיקבע כצעד חשוב הבא בתהליך זה.

3. נוף האיומים

אין מחסור באיומי אבטחה בחוץ. חלק מאיומים אלו רלוונטיים ומתאימים לעסק יותר מאחרים. אלו שרלוונטיים יידרשו להימנות כדי להמשיך את תהליך הערכת הסיכונים.

4. מיפוי

סיכונים ואיומים לעסק אינם קיימים בוואקום. כאמור לעיל, חלקם רלוונטיים ומתאימים לעסק יותר מאחרים. יתר על כן, לא כל הסיכונים והאיומים רלוונטיים ומתאימים לכל המשאבים והנתונים הקריטיים שנמנו. לכן, חשוב למפות במדויק את הסיכונים והאיומים המתאימים למשאבים ולנתונים שיש להם פוטנציאל להיפגע. זהו תרגיל חשוב ההכרחי לפני שניתן יהיה למדוד חשיפה אמיתית לסיכונים.

5. חשיפה

נזק לעסק לאחר אירוע אבטחה נובע מחשיפה לסיכונים ולא מסיכון במונחים מוחלטים. חשיפה לסיכונים מוגדרת כמכפלה של ההסתברות שהסיכון יתממש * ההשפעה אם הסיכון יתממש. אם הפוטנציאל להשפעה גדול, אך ההסתברות שהסיכון יתממש נמוכה (או להיפך), החשיפה לסיכונים תהיה נמוכה בהרבה מהסיכון במונחים מוחלטים. זה עשוי לקחת רגע להתרגל לכך, אבל חשיפה לסיכונים היא דרך אובייקטיבית ורציונלית הרבה יותר לניהול סיכונים. אם אתם זקוקים לעזרה נוספת כדי להגיע לשם, חשבו על ההשפעה של זכייה בלוטו. עצומה, נכון? אף על פי כן, ההסתברות לזכייה בלוטו כה נמוכה שאני לא מכיר אף אחד שפרש מעבודתו מיד לאחר רכישת כרטיס לוטו.

6. תרגום

המנהלים והדירקטוריונים שלנו מבינים סיכונים דרך הפריזמה של נזק ואובדן כספי לעסק. זה נכון לגבי כל הסיכונים לעסק, כולל סיכוני אבטחה. אם עשינו עבודה טובה לאורך שלבים 1-5, עלינו להיות מסוגלים לחשב את ההשפעה הכספית הפוטנציאלית של הסיכונים והאיומים שמנינו. כדי לעשות זאת, נצטרך להשתמש בכל נקודות הנתונים לעיל, ובמיוחד, ההשפעה הכספית שערכנו.

7. צבירה

בעוד שלמנהלים ולדירקטוריונים יש הבנה טובה של סיכונים, איננו יכולים לצפות מהם להיות מסוגלים להבין את העבודה המפורטת שעשינו בשלבים 1-6. לכן, עלינו לזהות קבוצות שאליהן נוכל לצבור סיכונים ואת הפוטנציאל לאובדן. לדוגמה, עלינו לצבור ליחידות עסקיות, קווי מוצרים, יישומים וכו'. ברגע שנעשה זאת, נוכל להציג חשיפה לסיכונים למנהלים ולדירקטוריונים שלנו בשפה שהם מצפים לראות אותה בה.

תהליך מתמשך

לסיכום: הוצאת כמה שיותר סובייקטיביות מתהליך הערכת הסיכונים דורשת השקעה משמעותית בזמן, כסף ומשאבים. עם זאת, זוהי השקעה ראויה. מעבר לעבודה הראשונית, הערכת סיכונים היא תהליך מתמשך שיהיה צורך לעשות אותו שוב ושוב על מנת לשמור על עמדת האבטחה של העסק ולפעול לשיפורה. כבונוס נוסף, ברגע שהערכת סיכונים נעשית באופן אובייקטיבי ובמונחים שמנהלים ודירקטוריונים יכולים להתייחס אליהם, היא הופכת לפלטפורמה להצגת הערך של צוות האבטחה והשקעות האבטחה עבור אנשים, תהליכים וטכנולוגיה נחוצים.

הכותב הוא Field CISO ב-F5