מדידת בשלות סייבר נשמעת לפעמים כמו תרגיל בירוקרטי, אבל בפועל זה אחד הכלים הניהוליים החשובים ביותר בארגון. היא לא נועדה רק לענות על השאלה אם קיימות בקרות אבטחה, אלא אם הן באמת פועלות, מנוהלות, נבדקות ומשתפרות לאורך זמן.
ארגון בוגר בתחום הסייבר אינו בהכרח הארגון עם הכי הרבה כלים. זהו ארגון שיודע לקשר בין סיכונים עסקיים, תהליכים, אנשים וטכנולוגיה, ולתרגם את כל אלה ליכולת עקבית לזהות איומים, להגיב אליהם ולהמשיך לפעול בבטחה. לכן מדידה טובה אינה מסתיימת בציון. היא מתחילה ממנו.
למה בכלל למדוד בשלות סייבר
רבים מערבבים בין תאימות לבין בשלות. תאימות בודקת אם דרישה מסוימת מולאה. בשלות בודקת באיזו רמה התהליך חי, עקבי, מתועד, נמדד ומשפיע על המציאות הארגונית. אפשר לעמוד בסעיפים רבים של תקן ועדיין להישאר עם יכולת תגובה חלשה, מודעות עובדים חלקית או ניהול זהויות לא יציב.
זו גם הסיבה שמודל בינארי של "יש או אין" כמעט אף פעם לא מספיק. הוא נותן תמונת מצב שטוחה. לעומתו, מודל מדורג חושף אם בקרה קיימת רק על הנייר, אם היא מיושמת חלקית, אם היא מנוהלת היטב, ואם הארגון כבר מפיק ממנה מדדים לשיפור רציף.
כשמציגים זאת כך, מדידת בשלות הופכת לשפה משותפת בין הנהלה, IT, אבטחת מידע, סיכונים, רגולציה ותפעול. במקום ויכוח כללי על "האם אנחנו מאובטחים", אפשר לדבר על פערים מדויקים, על סדרי עדיפויות ועל השקעה שמחוברת לחשיפה האמיתית של הארגון.
מה בעצם מודדים
בשלות סייבר נמדדת לרוחב כמה שכבות במקביל. לא רק טכנולוגיה, ולא רק נהלים. המטרה היא להבין אם המערכת הארגונית כולה מחזיקה מעמד תחת לחץ.
התחומים הנפוצים ביותר כוללים ממשל ובקרה, ניהול סיכונים, ניהול זהויות והרשאות, הגנת תחנות קצה, ניהול פגיעויות, גיבויים והתאוששות, ניטור וגילוי, תגובה לאירועים, מודעות עובדים, אבטחת ספקים, ועמידה בדרישות רגולציה. בכל אחד מהם לא די לשאול "האם יש כלי", אלא גם "האם יש תהליך", "האם יש בעלים", "האם יש מדידה", ו"האם יש תוצאה".
הטבלה הבאה מציגה דרך פשוטה לחשוב על מדידת בשלות:
| תחום | שאלת ליבה | מדדים אפשריים | מקור מידע |
|---|---|---|---|
| ממשל ובקרה | האם יש מדיניות, אחריות וניהול עקבי | קיום ועדת סייבר, תדירות סקירות הנהלה, שיעור בקרות מתועדות | מסמכים, ראיונות, ביקורת |
| ניהול פגיעויות | האם חולשות מזוהות ומטופלות בזמן | אחוז פגיעויות קריטיות שטופלו ב-SLA, גיל ממוצע של פגיעות פתוחה | סריקות, דוחות צוותים |
| זיהוי ותגובה | כמה מהר מזהים ומטפלים באירועים | MTTD, MTTR, שיעור אירועים שטופלו לפי נוהל | SIEM, SOC, תחקירים |
| מודעות עובדים | האם הגורם האנושי משתפר בפועל | שיעור השלמת הדרכות, תוצאות סימולציות פישינג, שיעור דיווחים | מערכות הדרכה, קמפיינים |
| זהויות והרשאות | האם הגישה נשלטת ומבוקרת | שימוש ב-MFA, ביקורות הרשאה, זמן סגירת חשבונות עובדים שעזבו | IAM, AD, ביקורת |
| התאוששות | האם הארגון חוזר לפעילות בזמן סביר | הצלחת בדיקות שחזור, עמידה ב-RTO/RPO, זמינות גיבויים | DR, גיבויים, תרגילים |
היופי במדידה הזו הוא שהיא מאפשרת לראות תמונה מלאה. ארגון יכול לקבל ציון גבוה בהגנה היקפית, אבל להישאר חלש בהיבטים של תגובה, התאוששות או משילות. דווקא שם מתקבל ערך אמיתי.
באיזו מסגרת נכון להשתמש
אין מסגרת אחת שמתאימה לכל מצב. בחירה טובה תלויה בגודל הארגון, בסקטור, בדרישות הרגולציה, במורכבות הטכנולוגית ובשאלה מה רוצים לעשות עם התוצאה.
מסגרות כמו NIST CSF מתאימות מאוד לארגונים שרוצים מפת דרכים גמישה לפי תחומי פעילות ברורים, כולל זיהוי, הגנה, גילוי, תגובה, התאוששות וממשל. ISO/IEC 27001 מתאים כאשר יש צורך במערכת ניהולית מסודרת סביב סיכונים, מדיניות, בקרות וביקורת. מודלים מבוססי רמות, כמו CMMI או מודלים ייעודיים לענפים מסוימים, טובים במיוחד כאשר רוצים להראות התקדמות מדרגה לדרגה.
הבחירה הנכונה לא צריכה להיות דת. ארגונים רבים משלבים בין מסגרת אחת כבסיס ניהולי לבין סט מדדים משלים שנבנה לפי הסיכון העסקי. זה לרוב פתרון בוגר יותר מאשר ניסיון להידבק באופן קשיח למסגרת אחת בלבד.
איך בונים מדידה שבאמת משקפת את המציאות
כדי שמדידת הבשלות תהיה אמינה, היא חייבת להתבסס על כמה סוגי ראיות במקביל. אם מסתמכים רק על שאלון עצמי, מתקבלת לעיתים תמונה אופטימית מדי. אם מסתמכים רק על סריקות אוטומטיות, מחמיצים את ההקשר הניהולי והאנושי. האיזון בין השניים הוא המפתח.
בפועל, ארגון רציני בונה את ההערכה סביב שילוב בין ראיונות, מסמכים, תצפיות, נתוני מערכות ובדיקה עצמאית של יישום בפועל. כך אפשר להבדיל בין נוהל שקיים בתיקייה לבין תהליך שמתבצע באופן עקבי.
מקורות המידע השימושיים ביותר הם בדרך כלל:
- נתונים טכנולוגיים: לוגים, דוחות SIEM, סריקות פגיעויות, מצב תחנות קצה, ניהול הרשאות
- עדויות תהליכיות: נהלים, טבלאות אחריות, רישומי תרגולים, פרוטוקולי ועדות
- בדיקה אנושית: ראיונות עם בעלי תפקידים, סקרי מודעות, סימולציות פישינג
- בקרה עצמאית: מבדקי חדירה, ביקורת חיצונית, הערכת פערים בלתי תלויה
כדאי גם לקבוע מראש סולם מדידה ברור. דוגמה נפוצה היא סולם בן חמש רמות:
- ראשוני
- חלקי
- מוגדר
- מנוהל ונמדד
- מותאם ומשתפר באופן עקבי
סולם כזה מונע ויכוחים פרשניים. כאשר כולם יודעים מה מבדיל בין רמה 2 לרמה 4, קל יותר לייצר תמונה אחידה ולהשוות בין מחלקות, תקופות ויחידות עסקיות.
מדדים טובים הם מדדים שמחוברים לסיכון עסקי
אחת הטעויות השכיחות היא להסתפק במדדים טכניים בלבד. למשל, מספר פגיעויות פתוחות, מספר התראות, או שיעור התקנת עדכונים. אלה מדדים חשובים, אך בלי הקשר עסקי קשה לדעת מה באמת דחוף.
אם שרת קריטי לייצור, למערך הכספים או למאגר מידע רגיש סובל מחולשות שלא תוקנו בזמן, המשמעות שונה לגמרי מאותה חולשה בסביבה פחות קריטית. אותו עיקרון נכון לגבי זמני תגובה, זכויות גישה, זמינות גיבויים ותלות בספקים.
מדדים טובים נבנים סביב שאלות כמו:
- מהו הסיכון העסקי אם הבקרה הזו נכשלת
- כמה פעמים כבר ראינו סימנים לכשל דומה
- האם ניתן לזהות שיפור לאורך זמן
- האם יש בעל תפקיד שיכול להשפיע על התוצאה
כאן נוצר החיבור החשוב בין אבטחת מידע לניהול. מדידת בשלות אמורה לעזור להנהלה להחליט, לא רק לצוותים הטכניים לנתח.
איך מפרשים את התוצאה בלי ליפול לציון כללי מטעה
ציון ממוצע אחד הוא התחלה, לא יעד. ארגון שמקבל "3.4 מתוך 5" עדיין לא יודע מה עליו לעשות מחר בבוקר. הפרשנות צריכה לרדת לרמת התחום, התהליך והשליטה בפועל.
נניח שהארגון מציג רמה גבוהה יחסית בתחום הזיהוי, אך רמה נמוכה בתחום התגובה. המשמעות אינה "מצב טוב". המשמעות היא שהארגון רואה יותר, אבל לא בהכרח יודע לבלום מהר, לתחקר נכון ולהחזיר פעילות. זהו פער עם משמעות עסקית עמוקה.
בקריאת התוצאה כדאי לחפש בעיקר שלושה דברים:
- פערים בין תחומים
- פערים בין המדיניות ליישום
- פערים בין החשיבות העסקית לרמת הבשלות בפועל
בשלב הזה שימוש בגרפים, מפת חום או תרשים רדאר יכול לעזור מאוד. להנהלה קל יותר לראות תחומים באדום, צהוב וירוק מאשר עשרות עמודים של טבלאות. לצוותים מקצועיים, לעומת זאת, נדרש פירוט עמוק יותר: אילו תהליכים חלשים, מי הבעלים, איזה מדד לא עומד ביעד, ומה רמת הדחיפות.
מה עושים עם התוצאה
כאן מתחיל החלק החשוב באמת. המטרה אינה "לסמן וי" על הערכת בשלות, אלא לבנות תוכנית פעולה מדויקת, ריאלית ומדורגת. לא כל פער צריך להיסגר מיד, ולא כל חולשה מצדיקה השקעה זהה. צריך לתעדף.
אחרי ניתוח התוצאות, מקובל לגבש מפת שיפור שמחברת בין חומרת הסיכון, מורכבות היישום, עלות משוערת ותועלת צפויה. לעיתים צעד פשוט יחסית, כמו הפעלת MFA לכלל המשתמשים או קיצור זמני סגירת חשבונות, נותן ערך גבוה יותר מפרויקט יקר וממושך.
תוכנית טובה כוללת כמה שכבות פעולה:
- מהלך מהיר: טיפול בפערים קריטיים שאפשר לסגור בתוך שבועות
- שיפור תהליכי: עדכון נהלים, הקצאת אחריות, חיזוק בקרות ניהוליות
- השקעה טכנולוגית: כלים לניטור, אוטומציה, ניהול פגיעויות, ניהול זהויות
- חיזוק אנושי: הדרכות, תרגולים, שיפור תרבות דיווח, העלאת מודעות
כדי שהתוכנית תצליח, כל יוזמה צריכה לקבל בעלים, תקציב, לוח זמנים ומדד הצלחה. אחרת, גם דו"ח מצוין יהפוך למסמך שאין לו השפעה.
מי צריך להיות מעורב בתהליך
בשלות סייבר אינה תחום של צוות אבטחת מידע בלבד. כאשר המדידה נעשית נכון, היא מחייבת שיחה רחבה יותר על אחריות ארגונית. הנהלה בכירה נדרשת לקבוע רמת סיכון מקובלת, לאשר השקעות ולהסיר חסמים. ה-IT אחראי למימוש תשתיתי. בעלי מערכות עסקיות נדרשים להגדיר קריטיות, תלות והשפעה. משאבי אנוש, משפטית, רכש ותפעול הם חלק מהתמונה.
זה גם הרגע שבו מתברר אם האבטחה היא נושא טכני מבודד או חלק מתרבות הניהול. ארגונים שמטפלים בבשלות כבשאלה רוחבית נוטים להתקדם מהר יותר, משום שהם מחלקים אחריות נכון ולא מטילים את כל הנטל על פונקציה אחת.
תדירות, עקביות ושיפור לאורך זמן
הערכת בשלות חד פעמית יכולה לתת תובנות יפות, אבל הערך האמיתי נוצר ממדידה מחזורית. ברוב הארגונים נכון לבצע הערכה מלאה לפחות פעם בשנה, ובתחומים קריטיים גם סקירות ביניים רבעוניות או חצי שנתיות.
המעגל הרצוי פשוט למדי: מדידה, ניתוח, תעדוף, יישום, בדיקה מחדש. זהו דפוס ניהולי בריא שמתאים מאוד גם לתקנים ולמסגרות בקרה מקובלות. כאשר שומרים על אותה שיטת מדידה לאורך זמן, אפשר סוף סוף לראות מגמות במקום תמונת מצב בודדת.
כדאי לעקוב אחר מדדים קבועים, למשל:
- זמן גילוי ותגובה לאירועים
- שיעור טיפול בפגיעויות קריטיות
- עמידה בהדרכות ובתרגולים
- כיסוי MFA והרשאות
- הצלחת שחזור מגיבויים
עם הזמן, מדידת הבשלות מפסיקה להיות "פרויקט" והופכת למנגנון ניהולי. זהו שינוי חשוב. במקום להגיב רק לאחר אירוע, הארגון בונה שריר קבוע של בחינה עצמית, תיקון ושיפור.
כשמדידה טובה משנה את איכות קבלת ההחלטות
הערך הגדול ביותר של מדידת בשלות סייבר אינו רק בהפחתת סיכון, אלא בשיפור איכות הניהול. היא מאפשרת לדבר על אבטחת מידע בשפה של עדיפויות, פערים, יעדים ותוצאות. היא מבהירה מה בשל, מה חלקי, מה קריטי, ומה כדאי לחזק קודם.
וכאשר המדידה מבוצעת באופן עקבי, עם מתודולוגיה ברורה ועם חיבור אמיתי לצרכים העסקיים, היא נותנת לארגון הרבה יותר מציון. היא נותנת כיוון.
