אין ספק שאיומי הסייבר הולכים ומתגברים מדי שנה. פשיעת הסייבר ממוקדת יותר מתמיד בנושאים פיננסיים והמטרה הבולטת ביותר היא גופים המוסדיים, שעד כה לא הוגדרה להם רגולציית הגנת סייבר מחייבת.
את זאת באה לתקן רגולציית הסייבר שוק ההון "ניהול סיכוני סייבר בגופים מוסדיים" המכתיבה כללים ונהלים ליישום הגנת סייבר בארגונים מוסדיים. הרגולציה מהדקת ומחמירה את דרישות אבטחת המידע ודורשת מגופים אלה להגדיר מדיניות לניהול כולל של סיכוני סייבר הכוללת פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר במטרה לצמצם את השפעתם והנזק הנגרם מהם, בטרם התרחשותם, במהלכם ולאחריהם.
הרגולציה מגדירה תחומי אחריות של ממשל תאגידי הכוללים את מנהל הגנת הסייבר, המנכ"ל, הדירקטוריון, וועדת ההיגוי של הארגון המוסדי ומשיתה עליהם אחריות אישית להגנת המידע.
הרגולציה שחלק גדול ממנה יכנס לתוקף ב-2 באפריל 2017 , והגופים המוסדיים המחויבים לה נדרשים לעשות שינויים מהותיים במערכי אבטחת המידע והגנת הסייבר.
עיקרי הרגולציה של ניהול סיכוני סייבר בגופים מוסדיים
מדיניות
הארגון המוסדי יגדיר מדיניות לניהול סיכוני סייבר הקובעת עקרונות מנחים להגנת סייבר ליישום בארגון וימנה מנהל הגנת סייבר בעל מומחיות וניסיון מוכחים בתפקיד ניהולי בתחום הגנת הסייבר שהיה כפוף לאחד מחברי ההנהלה החברים בוועדת ההיגוי.
הערכת סיכונים
תעשה הערכה של סיכוני הסייבר כדי לספק תמונת מצב עדכנית של מכלול הסיכונים שיש להתמודד עמם. ייאסף מידע ממקורות מודיעין סייבר וינותח לצורך יצירת תפיסה כוללת ועדכנית של איום הסייבר וחשיפת הארגון למול האיום.
יערכו סקרי סיכונים תקופתיים ותיבנה תכנית עבודה לטיפול בממצאים.
ניטור ובקרה
התכנית תגדיר נהלי איסוף ושמירת קבצי לוג מכלל הרכיבים במערכות המידע הכוללים ניטור הפעולות המתבצעות במערכות המידע והצלבת אירועי המערכת שנתגלו תוך כדי הניטור עם מקורות מודיעין סייבר בעולם.
מוכנות לתגובה לאירועי סייבר
הרגולציה מכתיבה גם הגדרה ברורה של נהלי התמודדות עם אירועי הסייבר Incident Response אותם הארגון צריך ליצור, הכוללים גם הכנת תכנית להמשכיות עסקית – BCP, יכולת תגובה לאירוע סייבר לשם נטרולו וכן הערכת נזק.
ההערכות הנדרשת לרגולציה אינה פשוטה ודורשת השקעה מרובה הן במשאבים והן במומחי סייבר מיומנים. חברת Experis Cyber מספקת פתרון חדשני של "הגנת סייבר כשירות" הנותן מענה לדרישות הרגולציה ומאפשר לארגון לקבל שירותי הגנת סייבר מהמומחים הטובים ביותר עם הטכנולוגיה הטובה והמעודכנת ביותר ללא צורך השקעת משאבים בהקמת מערכי הגנה פנימיים בארגון ובעלות חודשית נוחה.
- בניית אתרים