דעה: ניתן למדוד החזר השקעה של ה-CISO בארגון
עינת מירון רואה במנהלי אבטחת המידע לא פחות מאשר גיבורי על, אלו שבלעדיהם פגיעה במוניטין ובהכנסות, שעלולה אפילו להוביל לסגירת הפעילות העסקית, היא תרחיש ריאלי
עינת מירון
| 29/10/2020
bigstock
בעולם העסקי, ROI הוא המלך. אחרי שלמדנו להכיר בערך אנשי השיווק שמוציאים אבל לכאורה לא מכניסים, הגיע הזמן להכיר בערך של מנהלי אבטחת המידע. האנשים שבלעדיהם פגיעה במוניטין ובהכנסות, שעלולה אפילו להביא לסגירת הפעילות, היא תרחיש ריאלי. מנכ"ל יקר, לא חושב שמנהל אבטחת המידע מביא ROI? תתפלא! הוא ה-ROI הכי גבוה לארגון ועושה עבודה מקצועית של בעלי תפקידים רבים אחרים. בעיני הוא לא פחות מאשר גיבור על. אם לא יותר.
בוא נדבר על החזר השקעה וערך שניתן למדוד בכסף. כמה לקוחות ושותפים חדשים הצטרפו לאחרונה לארגון? האם בדקת מה היו הדרישות שלהם טרום החתימה? האם אתה יודע כמה שעות שרף ה-CISO במענה לשאלון צד ג' שהם העבירו, כל אחד מהם, כל פעם מחדש?
האם אתה יודע שבלעדי התשובות שלו, סבירות גבוהה שהלקוח לא היה חותם איתכם כלל? כי יש משמעות לשאלון ספקי צד ג'. זה וקטור רציני בשאלות אבטחת מידע והלקוח שלך, אם בגלל מחויבות רגולטורית או אם בגלל דרישות של לקוחות אחרים שלו, חייב לדעת שאתה בסדר. האם אתה יודע שאלמלא הרף שהציב מנהל אבטחת המידע שלך ארגונים לא היו מתחילים אפילו לדבר על ממשק עסקי איתך? כל לקוח כזה הוא לא כסף מדיד?
האם אתה מכיר בעובדה שאלמלא היה ה-CISO שלך עובד מאות שעות בעמידה בתקינת ISO ובלמידה לעומק של הרגולציות הרבות המחייבות אתכם, היית מפספס לקוחות ונאלץ לשלם הון עתק בקנסות לרגולטור? קנסות זה לא כסף מדיד? האם אתה מבין שבכך שה-CISO שלך עובר רשימה רשימה במערכות שלו ומוודא שהוא לא מפספס אף מתקפה קטנה, שהיא אולי מסך עשן למתקפה גדולה יותר, הוא מאפשר לך להמשיך לעבוד? שעת עבודה רציפה, של יום עבודה מלא, היא לא כסף מדיד?
ואם כבר ימי עבודה: כשבכל 14 שניות נשלחת הודעת פישינג שמטרתה לפלס דרך לנכסי המידע החשובים של הארגון ולגרום לו נזק, ה-CISO הוא זה שמתמודד עם נפח הפעילות הבלתי נתפס הזה. כשעובר עוד יום מבלי שנדרשת לכנס צוות תגובה ולחשוב איך אתה מתמודד עם המשבר שנפל עליך, תחשב עלות ממוצעת למשבר, כל יום מחדש. כן, כל יום, ותגיד תודה ל- CISO שלך שהוא חוסך לך את העלויות האלה.
אגב, אתה יודע כמה עולה משבר? כמה עולה יועץ משפטי? עכשיו תכפיל. הרי תמיד צריך צוות, נכון? למשך שנתיים. לפחות. ואם תפסיד במשפט? יחד עם העלויות של צוות פורנזיקה ייעודי, שתצטרך בנוסף, במהלך האירוע עצמו – מדובר בערך ב- 3-4 אנשים לכמה ימים ארוכים. עלות פרימיום של צוות מחשוב כזה ושל שאר היועצים, זה לא כסף מדיד?
ומה עם השרתים ועמדות העבודה, המסופונים, המדפסות שיש לך בארגון? אחרי אירוע, הסבירות היא שתצטרך ציוד חדש. נניח 100 שרתים ו-700 עמדות מחשב – אתה יודע כמה ציוד יש אצלך – זה לא כסף מדיד? ובכלל, בזמן הזה שבגלל שחסכת או לא התייחסת ברצינות, ואתה בעיצומו של משבר כתוצאה ממתקפת סייבר, האם אתה יכול להמשיך לנהל את הפעילות ללא פגיעה? כל העובדים ממשיכים בתפוקה רגילה? כנראה שלא, נכון? כמה עולה להקים מערך שירות לקוחות חלופי או להסית את הקיים ללוקיישן אחר? זה לא כסף מדיד?
ותקציב השיווק שנדרש פתאום לצאת מגדרו כי המוניטין נפגע? והפיצוי ללקוחות? כמה לקוחות יש לך? ועובד שסרח? ותביעות יצוגיות? ותביעות של לקוחות על הפרת חוזה? פיצוי על הנזק שנגרם הוא לא כסף מדיד? והקריירה שלך? היא תעמוד במשבר שכזה? כי אתה, כמנכ"ל או חבר דירקטוריון נושא באחריות. הקריירה שלך היא לא כסף מדיד?
אתה איש של מספרים. בוא נחשב את הכל ביחס לארגון שלך, היקף הלקוחות והעובדים, עלות השבתה ליום, עלות קנסות בשל אי עמידה בזמנים בהתחייבות החוזית שלך לספקים וללקוחות, וניקח בחשבון שיש 365 ימים בשנה. 365 ימים שבהם הארגון שלך מאויים. יום יותר, יום פחות, אבל איום יומיומי.
אבל בא לרגע ונחשוב חיובי. אין בכלל אירוע. הכל בסדר. כמה כסף חסכת על רציפות תפקודית, על עיצום שהרגולטור לא הפיל עליך, על לקוחות ששמחים לעבוד איתך ולסמוך עליך שתשמור עליהם? והכל כי מנהל אבטחת המידע שלך עושה את העבודה שלו. זו הרי השורה התחתונה בכל דיון הנהלה, זה כסף מדיד. כל יום שה-CISO שלך לא מודיע לך על מתקפה שפוגעת בארגון, הוא יום שאתה צריך להוסיף לו לשכר תוספת סיכון ובונוס על הצלחה. כי ה-CISO הוא כסף מאוד מדיד.
*עינת מירון היא יועצת מומחית בתחום Cyber Resilience – הערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים.
עינת מירון רואה במנהלי אבטחת המידע לא פחות מאשר גיבורי על, אלו שבלעדיהם פגיעה במוניטין ובהכנסות, שעלולה אפילו להוביל לסגירת הפעילות העסקית, היא תרחיש ריאלי
bigstock
בעולם העסקי, ROI הוא המלך. אחרי שלמדנו להכיר בערך אנשי השיווק שמוציאים אבל לכאורה לא מכניסים, הגיע הזמן להכיר בערך של מנהלי אבטחת המידע. האנשים שבלעדיהם פגיעה במוניטין ובהכנסות, שעלולה אפילו להביא לסגירת הפעילות, היא תרחיש ריאלי. מנכ"ל יקר, לא חושב שמנהל אבטחת המידע מביא ROI? תתפלא! הוא ה-ROI הכי גבוה לארגון ועושה עבודה מקצועית של בעלי תפקידים רבים אחרים. בעיני הוא לא פחות מאשר גיבור על. אם לא יותר.
בוא נדבר על החזר השקעה וערך שניתן למדוד בכסף. כמה לקוחות ושותפים חדשים הצטרפו לאחרונה לארגון? האם בדקת מה היו הדרישות שלהם טרום החתימה? האם אתה יודע כמה שעות שרף ה-CISO במענה לשאלון צד ג' שהם העבירו, כל אחד מהם, כל פעם מחדש?
האם אתה יודע שבלעדי התשובות שלו, סבירות גבוהה שהלקוח לא היה חותם איתכם כלל? כי יש משמעות לשאלון ספקי צד ג'. זה וקטור רציני בשאלות אבטחת מידע והלקוח שלך, אם בגלל מחויבות רגולטורית או אם בגלל דרישות של לקוחות אחרים שלו, חייב לדעת שאתה בסדר. האם אתה יודע שאלמלא הרף שהציב מנהל אבטחת המידע שלך ארגונים לא היו מתחילים אפילו לדבר על ממשק עסקי איתך? כל לקוח כזה הוא לא כסף מדיד?
האם אתה מכיר בעובדה שאלמלא היה ה-CISO שלך עובד מאות שעות בעמידה בתקינת ISO ובלמידה לעומק של הרגולציות הרבות המחייבות אתכם, היית מפספס לקוחות ונאלץ לשלם הון עתק בקנסות לרגולטור? קנסות זה לא כסף מדיד? האם אתה מבין שבכך שה-CISO שלך עובר רשימה רשימה במערכות שלו ומוודא שהוא לא מפספס אף מתקפה קטנה, שהיא אולי מסך עשן למתקפה גדולה יותר, הוא מאפשר לך להמשיך לעבוד? שעת עבודה רציפה, של יום עבודה מלא, היא לא כסף מדיד?
ואם כבר ימי עבודה: כשבכל 14 שניות נשלחת הודעת פישינג שמטרתה לפלס דרך לנכסי המידע החשובים של הארגון ולגרום לו נזק, ה-CISO הוא זה שמתמודד עם נפח הפעילות הבלתי נתפס הזה. כשעובר עוד יום מבלי שנדרשת לכנס צוות תגובה ולחשוב איך אתה מתמודד עם המשבר שנפל עליך, תחשב עלות ממוצעת למשבר, כל יום מחדש. כן, כל יום, ותגיד תודה ל- CISO שלך שהוא חוסך לך את העלויות האלה.
אגב, אתה יודע כמה עולה משבר? כמה עולה יועץ משפטי? עכשיו תכפיל. הרי תמיד צריך צוות, נכון? למשך שנתיים. לפחות. ואם תפסיד במשפט? יחד עם העלויות של צוות פורנזיקה ייעודי, שתצטרך בנוסף, במהלך האירוע עצמו – מדובר בערך ב- 3-4 אנשים לכמה ימים ארוכים. עלות פרימיום של צוות מחשוב כזה ושל שאר היועצים, זה לא כסף מדיד?
ומה עם השרתים ועמדות העבודה, המסופונים, המדפסות שיש לך בארגון? אחרי אירוע, הסבירות היא שתצטרך ציוד חדש. נניח 100 שרתים ו-700 עמדות מחשב – אתה יודע כמה ציוד יש אצלך – זה לא כסף מדיד? ובכלל, בזמן הזה שבגלל שחסכת או לא התייחסת ברצינות, ואתה בעיצומו של משבר כתוצאה ממתקפת סייבר, האם אתה יכול להמשיך לנהל את הפעילות ללא פגיעה? כל העובדים ממשיכים בתפוקה רגילה? כנראה שלא, נכון? כמה עולה להקים מערך שירות לקוחות חלופי או להסית את הקיים ללוקיישן אחר? זה לא כסף מדיד?
ותקציב השיווק שנדרש פתאום לצאת מגדרו כי המוניטין נפגע? והפיצוי ללקוחות? כמה לקוחות יש לך? ועובד שסרח? ותביעות יצוגיות? ותביעות של לקוחות על הפרת חוזה? פיצוי על הנזק שנגרם הוא לא כסף מדיד? והקריירה שלך? היא תעמוד במשבר שכזה? כי אתה, כמנכ"ל או חבר דירקטוריון נושא באחריות. הקריירה שלך היא לא כסף מדיד?
אתה איש של מספרים. בוא נחשב את הכל ביחס לארגון שלך, היקף הלקוחות והעובדים, עלות השבתה ליום, עלות קנסות בשל אי עמידה בזמנים בהתחייבות החוזית שלך לספקים וללקוחות, וניקח בחשבון שיש 365 ימים בשנה. 365 ימים שבהם הארגון שלך מאויים. יום יותר, יום פחות, אבל איום יומיומי.
אבל בא לרגע ונחשוב חיובי. אין בכלל אירוע. הכל בסדר. כמה כסף חסכת על רציפות תפקודית, על עיצום שהרגולטור לא הפיל עליך, על לקוחות ששמחים לעבוד איתך ולסמוך עליך שתשמור עליהם? והכל כי מנהל אבטחת המידע שלך עושה את העבודה שלו. זו הרי השורה התחתונה בכל דיון הנהלה, זה כסף מדיד. כל יום שה-CISO שלך לא מודיע לך על מתקפה שפוגעת בארגון, הוא יום שאתה צריך להוסיף לו לשכר תוספת סיכון ובונוס על הצלחה. כי ה-CISO הוא כסף מאוד מדיד.
*עינת מירון היא יועצת מומחית בתחום Cyber Resilience – הערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים.
