כיצד מנהלים תקציב בניהול סיכוני סייבר?

ניהול תקציב בתחום הסייבר הוא משימה מורכבת שדורשת איזון עדין בין הצרכים המידיים לבין השקעות ארוכות טווח, במיוחד כאשר נדרשים להתמודד עם איומים שהולכים ומשתכללים כל הזמן. אמנם קל לחשוב שתקציב גדול יותר מוביל לרמת הגנה גבוהה יותר, אבל בפועל זה הרבה יותר מסובך. ההגנה על ארגון מפני מתקפות סייבר לא מסתכמת רק בכסף שמושקע בטכנולוגיה, אלא גם באנשים, בתהליכים וביכולת להתאים את עצמך לשינויים בלתי צפויים.

 

האתגר הגדול ביותר הוא הקושי במדידת ההחזר על ההשקעה (ROI) באבטחת סייבר. לעיתים קשה לראות מה נמנע כתוצאה מהשקעה נכונה, כי ברוב המקרים, כאשר הכל עובד כשורה, אין אירועים שימחישו את הערך של ההשקעה. ועדיין, ארגונים חייבים לנסות להעריך את התועלת מהשקעה באבטחה באמצעות בחינת עלויות פוטנציאליות של מתקפות מוצלחות, כמו השבתת פעילות, אובדן מידע, פגיעה במוניטין, ועלויות תיקון הנזק. כך, השקעה באבטחה נחשבת כמעין ביטוח – היא לא תמיד מצילה ישירות רווחים, אבל היא מונעת הפסדים כבדים.

 

במקום לנסות לקשור ישירות בין גודל התקציב לרמת ההגנה, יש להסתכל על איכות הניהול של התקציב והיכולת להגיב במהירות לאיומים חדשים. כלים טכנולוגיים מתקדמים בהחלט חשובים, אבל חשוב לא פחות להבטיח שיש לך כוח אדם איכותי, מיומן וגמיש, שיודע להשתמש בכלים הללו בצורה מיטבית. בנוסף, על הארגון ליישם שיטות עבודה מסודרות, כמו תרגול ותחזוקה שוטפת של התשתיות, וכן להקפיד על שיתוף פעולה עם ספקים ואינטגרטורים חיצוניים במידת הצורך.

 

שדרוגים וחידושים של ציוד הם חלק בלתי נפרד מהתחום, שכן טכנולוגיות משתנות במהירות. מומלץ לשקול החלפה של ציוד אבטחה כל שלוש עד חמש שנים, תלוי בקצב השינויים בטכנולוגיות ובצורכי הארגון. מעבר לכך, חשוב לוודא שציוד קיים מתוחזק ומתעדכן בצורה שוטפת (בין אם באופן מקוון ובין אם ידני לפי נהלים), מכיוון שאפילו הטכנולוגיות המתקדמות ביותר עלולות להפוך לפגיעות אם לא דואגים לתחזוקה נכונה (ארכיטקטורת אבטחת המידע היא עניין חשוב). חלק ניכר מהתקציב צריך להיות מוקדש לא רק לקניית ציוד חדש, אלא גם לתחזוקה שלו, ולשדרוגים תכופים, מה שדורש עבודה מול ספקים ומומחים מטעם היצרן או האינטגרטור. שעות העבודה הללו הן חלק בלתי נפרד מהעלות הכוללת של ניהול מערכות אבטחת המידע (העלויות גבוהות גם במידה ונדרש 24.7, תגובה מיידית או תוך X שעות, רמת שירות יהלום \ גולד \ פלטינום \ Back 2 Back מול היצרן).

 

מעבר לתחזוקה טכנית, יש לקחת בחשבון את הזמן והמשאבים הנדרשים לאינטגרציה ושיפור המערכות, בין אם מדובר בשעות עבודה מול ספקים חיצוניים או מול מומחים בתוך הארגון. כאשר עולה צורך לבצע שדרוגים משמעותיים, לעיתים יש צורך להפעיל כוח אדם חיצוני, אשר מתמחה בטכנולוגיות הספציפיות או בביצוע האינטגרציה המורכבת עם מערכות אחרות בארגון (לשקול גם מערכות שקל מאוד לשדרג אותן ולא לשכוח לברר על המוצר היטב גם אצל לקוחות קיימים).

 

בסופו של דבר, ניהול התקציב בתחום הסייבר דורש גמישות, התעדכנות מתמדת ויכולת לעבוד בצורה יעילה עם גורמים פנימיים וחיצוניים. ניהול נכון כולל הבנה עמוקה של האיומים הקיימים והבנת ההסתברות וההשלכות של תקיפה פוטנציאלית, השקעה בכוח אדם איכותי (מה עדיף ? להחליף עובד או לשפר עובד קיים? מי יותר קשה לגייס ? עובד קצה או מנהל עובדים ?), תכנון תקציבי לתחזוקה שוטפת, ולעיתים קרובות – תגובה מהירה לשינויים בטכנולוגיות ובתשתיות. התוצאה היא מערכת הגנה דינמית, שמצליחה להתאים את עצמה למציאות המשתנה, עם מינימום סיכון ומקסימום הגנה.

 

יש הנוהגים לנהל את התקציב לפי נושאים ולפי סמל תקציב: תחזוקה | פיתוח | ציוד | רישיונות | שירות | מנהלתי | כוח אדם. להגדיר דחיפות התקציב באותה השורה: נמוכה | בינונית | גבוהה | מיידית.

לא לשכוח – סטאטוס עבור כל שורת תקציב, נושא, תחום, פירוט, הערות, סמל סעיף (מהיכן יורד התקציב).

במהלך השנה כמובן.. לעקוב אחר הניצול בפועל של התקציב..