רוב ה-CISOs נכנסים לחדר הדירקטוריון עם מצגת מלאת דשבורדים. מפות חום, ספירת פגיעויות, אחוזי הקלקה על פישינג, מגמות MTTR. ויוצאים מהחדר תוהים למה הדירקטוריון עדיין שואל את אותה שאלה כמו ברבעון הקודם: "אז - האם אנחנו מאובטחים?"
התשובה היא לא דשבורדים טובים יותר. זו שיחה אחרת לחלוטין.
למה הדשבורד לא משכנע את ה-CEO
דירקטוריונים לא מבקשים הוכחה לפעילות. הם מבקשים עמדה. מדדי פעילות ("טיפלנו ב-12,000 פגיעויות הרבעון") מספרים להם שאתם עסוקים. הם לא מספרים אם החברה יותר או פחות סבירה לסבול מאירוע מהותי לעומת הרבעון הקודם. זו השאלה שהדירקטוריון באמת שואל, וזו השאלה שרוב דוחות האבטחה נמנעים ממנה.
חלק מההימנעות הוא מבני. צוותי אבטחה נמדדים פנימית על פעילות, כי פעילות זה מה שהם שולטים בו. דירקטוריונים נמדדים חיצונית על תוצאות - שווי מניה, פעולה רגולטורית, אמון במותג. התרגום בין השניים הוא תפקיד ה-CISO, ורוב ה-CISOs מעולם לא הוכשרו לעשות את זה. הם הוכשרו לנהל SOC.
התוצאה היא הפגישה שכולם ישבו בה: ה-CISO מעביר את הדירקטוריון בחמישה-עשר שקפים של בקרות צבועות, הדירקטוריון מהנהן בנימוס, וה-CEO רוכן ל-CFO אחר כך ושואל: "האם משהו ממה שראינו אומר שאנחנו בסיכון נמוך יותר מקודם?" אף אחד לא יודע לענות.
ממדדים לכיוון: "מנצחים" או "מפסידים"
המעבר שמשנה את השיחה הוא מצילומי מצב לכיוון. דירקטוריונים לא צריכים לדעת את המספר המוחלט של פגיעויות פתוחות היום. הם צריכים לדעת אם המגמה נעה בכיוון הנכון, ואם ל-CISO יש עמדה הניתנת להגנה לגבי הסיבה.
כיוון פירושו להתחייב. פירושו לומר, בשפה ברורה: "בחשיפה לרנסומוור - אנחנו מנצחים. זמן ההתאוששות שלנו ירד מ-14 ימים לפחות מ-48 שעות, והגיבויים נבדקים חודשית. בסיכון צד שלישי - אנחנו מפסידים. מספר הספקים עם גישה לנתוני לקוחות גדל ב-40% ב-18 חודשים, ולא הספקנו לבצע סקירות אבטחה. הנה מה שצריך כדי להפוך את המגמה."
הצהרה כזו עושה שלושה דברים בו-זמנית. היא מספרת לדירקטוריון שיש לכם עמדה. היא מספרת להם איפה למקד את תשומת הלב שלהם. והיא מספרת להם איזו פעולה תזיז את המחט - שזו הסיבה היחידה שהם בחדר.
דירקטוריונים יושבים בכמה חברות. הם ראו כל וריאציה של הדשבורד האבטחתי. מה שהם כמעט לא רואים זה CISO שיכול לעמוד מאחורי קו מגמה כיווני ולומר "אנחנו מנצחים" או "אנחנו מפסידים, והנה מה שצריך כדי להפוך את המגמה." ל-CISO הזה מתקשרים ראשון כשפורץ המשבר הבא.
מסגרת הסיכון של עמוד אחד
אחרי שני עשורים בחדרי דירקטוריון, התמקמתי על פורמט אחד שעובד. עמוד אחד, ארבעה רבעים, מגמות כיווניות. כל יותר מזה הופך לרעש; כל פחות מזה נשאר מעורפל.
בשפה עסקית, לא טכנית. לא "CVEs לא מתוקנים" אלא "חשיפת נתוני לקוחות דרך ספק צד שלישי."
חץ אחד לכל סיכון: ↑ מחמיר, → יציב, ↓ משתפר. החץ הוא הכותרת.
3-5 פריטים. לכל אחד אחראי, deadline, ותוצאה צפויה. מראה תנועה ובעלות.
מה אתם צריכים מהדירקטוריון הרבעון הזה: תקציב, מנדט, או החלטה ספציפית. דירקטוריונים קיימים כדי להחליט.
ארבעה כללים גורמים לפורמט הזה לעבוד:
1. עמוד אחד. בלי שקפי נספח. אם זה לא נכנס, זה לא חשוב מספיק לדירקטוריון. פירוט שייך לוועדת הביקורת, לא לדירקטוריון המלא.
2. צבעים לא אומרים כלום אלא אם הגדרתם אותם. אדום/צהוב/ירוק בלי סקאלה זה אסטרולוגיה. או שתקשרו כל צבע לסף מדיד ("אדום = זמן ממוצע לתיקון CVEs קריטיים מעל 30 ימים"), או שוותרו על הצבע. שימועי הפריצה ל-Change Healthcare של UnitedHealth ב-2024 חשפו כמה פעמים דשבורדים "ירוקים" הסתירו סיכונים שלאף אחד לא הייתה הגדרה שלהם.
3. מגמות מנצחות צילומי מצב. סיכון שמחמיר לאט יותר מעניין דירקטוריון מסיכון גבוה-אבל-יציב. דירקטוריונים מנהלים מהירות, לא גובה. לכן רבע 2 נושא את המשקל - החץ הוא הכותרת.
4. הבקשה היא הפואנטה. אם אתם יוצאים מישיבת דירקטוריון בלי החלטה, בזבזתם את הזמן של כולם, כולל שלכם. כל רבעון, הביאו בקשה קונקרטית אחת: אישור לשורת תקציב, מנדט להחיל MFA על חברת בת שלא יישרה קו, החלטה על השתתפות עצמית בביטוח סייבר. דירקטוריונים קיימים כדי להחליט. תנו להם משהו להחליט עליו.
הפורמט הזה משעמם בכוונה. זה הפיצ'ר. עד הרבעון השלישי, הדירקטוריון מפסיק לשאול "על מה אני מסתכל?" ומתחיל לשאול "מה השתנה, ומה אתם עושים בקשר לזה?" זו השיחה שאתם רוצים. זו גם השיחה שעם הזמן מקנה ל-CISO מקום בהחלטות שחשובות - לא רק בתחקירי האירועים.
טעויות נפוצות וכיצד להימנע מהן
גם CISOs שמבינים את המסגרת מפסידים את חדר הדירקטוריון בדרכים שאפשר היה למנוע. ארבעה דפוסים חוזרים שוב ושוב.
טעות 1: להתחיל מפעילות במקום מתוצאות. "חסמנו 2.3 מיליון ניסיונות פישינג הרבעון" זה מדד פעילות. הוא לא אומר לדירקטוריון כלום על סיכון. הדירקטוריון רוצה לדעת אם איבדנו נתונים, אם עצרנו הונאה, אם הקטנו את הזמן הממוצע לזיהוי. תרגמו כל מספר להשלכה עסקית. אם אי אפשר - המספר לא שייך לשקף.
טעות 2: לקבור חדשות רעות. כל CISO מתפתה לרכך מגמה מחמירה, במיוחד כשהסיבה חלקית מחוץ לשליטתו - חברת בת חדשה, מערכת legacy שירש, אירוע אצל ספק. אל תיכנעו. דירקטוריונים מענישים על הפתעות, לא על בעיות. חץ מגמה שעולה, מוכר ברבעון הראשון, קונה לכם אמינות ותקציב. אותה מגמה שמתגלה במהלך פריצה ברבעון השלישי הורסת את שניהם. תחקירי SolarWinds, MGM, ו-Change Healthcare מכילים גרסה של אותו משפט: לדירקטוריון נאמר שהמצב בסדר.
טעות 3: להגיע בלי בקשה. דוח סטטוס הוא לא שיחת דירקטוריון. אם בכל רבעון אתם מציגים מידע בלי לבקש החלטה, אתם הופכים לפונקציית דיווח, לא למנהיגות. הדירקטוריון מפסיק להקשיב כי שום דבר לא דורש את תשומת הלב שלו. כל רבעון, הביאו בקשה קונקרטית אחת - תקציב, מנדט, או החלטה - אפילו קטנה. זה משנה את הדינמיקה מ"עדכנו אותנו" ל"ייעצו לנו."
טעות 4: להיכנס למגננה תחת שאלות. כשחבר דירקטוריון שואל שאלה ספקנית - "האם באמת אנחנו מוגנים מפני רנסומוור?" - האינסטינקט הוא להגן על התוכנית. אל תעשו את זה. השאלה היא ההזדמנות. "זו השאלה הנכונה. הנה מה שאנחנו יודעים, הנה מה שעוד לא ידוע לנו, והנה מה שאנחנו עושים כדי לסגור את הפער" עובד טוב יותר מכל סיור בבקרות. דירקטוריונים סומכים על CISOs שמכירים באי-ודאות; הם לא סומכים על אלה שמשדרים ביטחון מוחלט.
סיכום
ה-CISOs שזוכים באמון ברמת הדירקטוריון הם לא אלה עם הדשבורדים הטובים ביותר. הם אלה שמתרגמים מורכבות לכיוון, שמגיעים עם עמדה, ושמתייחסים לדירקטוריון כשותף בהחלטות במקום כקהל לדוחות.
התרגום הזה הוא התפקיד. כל השאר - הכלים, המסגרות, המדדים - קיימים כדי לשרת אותו. תשלטו בו, ותפסיקו להיות האדם שמזעיקים אחרי הפריצה. תהפכו לאדם שהדירקטוריון מתקשר אליו ראשון.
נכתב על ידי
אסף לוי
מומחה אבטחת סייבר עם 30+ שנות ניסיון. לשעבר CISO של אל על, CTO, מייסד שותף של Cybecs ו-RedRok. מייעץ לדירקטוריונים ולצוותי הנהלה על תרגום אבטחה להחלטות עסקיות.