לא המערכות נפרצות – אלא הפערים ביניהן

התמונה באדיבות אלון בראל, יוצר ומעבד תוכן חזותי בAI

לא המערכות נפרצות – אלא הפערים ביניהן.

שלום אסיסקוביץ על עתיד ה-Corporate Security עידן ה-AI המפגש בין אבטחה פיזית לסייבר, ומדוע הסיכונים הגדולים ביותר נמצאים דווקא במקומות שאף אחד לא מנהל. בעולם שבו הגבולות בין אבטחה פיזית, סייבר, שרשרת אספקה, רציפות עסקית ובינה מלאכותית הולכים ונעלמים, ארגונים נדרשים לחשב מסלול מחדש. תפיסות שבעבר היו נכונות כבר אינן מספקות מענה למציאות המורכבת של היום. לאחר למעלה מחצי יובל בסביבה גלובלית מורכבת כבכיר בהנהלה העולמית של חברת אינטל, שלום אסיסקוביץ פותח פרק חדש בפעילותו המקצועית כיועץ בינלאומי בתחומי Corporate Security , ניהול סיכונים, חוסן ארגוני (Resilience) וניהול משברים. בשיחה עם מגזין “מצודה” הוא מציג תפיסת עולם עדכנית, שלפיה ביטחון ארגוני אינו רק פונקציית הגנה אלא מנוע המאפשר לארגון לצמוח, להתפתח ולקבל החלטות טובות יותר.

בתמונה: שלום אסיסקוביץ

ראיין: עירד גיל

Security הוא החלטה עסקית 

“אחת הטעויות הנפוצות ביותר היא לחשוב שביטחון ארגוני עדיין עוסק בעיקר בגדרות, מצלמות ושומרים”, אומר אסיסקוביץ. “העולם השתנה. כיום מנהל ביטחון נדרש להבין שרשרת אספקה, סייבר, בינה מלאכותית, ניהול משברים, רציפות עסקית, עבודה היברידית, רגולציה וסיכונים גיאופוליטיים. מי שממשיך לראות בביטחון פונקציה תפעולית בלבד מפספס את התמונה הגדולה”. לדבריו, מנהלי ביטחון נדרשים כיום להבין את הארגון כולו ולא רק את תחום האחריות המסורתי שלהם. Security“ שלא מחובר לביזנס פשוט אינו רלוונטי. התפקיד שלנו הוא לא לעצור את העסק אלא לאפשר לו לצמוח בצורה בטוחה, אחראית ומבוקרת.”

לא המערכות נפרצות – אלא הפערים ביניהן

כאשר נשאל היכן נמצאים הסיכונים הגדולים ביותר בארגונים כיום, תשובתו מפתיעה: “רוב הארגונים משקיעים מאמצים רבים בהגנה על מערכות, אתרים, תהליכים ותשתיות. אבל מרבית האירועים המשמעותיים אינם מתרחשים בתוך המערכות עצמן – אלא בממשקים שביניהן”. לדבריו, זהו האזור שאותו הוא מכנה “מרחב הביניים” – אותו Gray Space ארגוני שבו האחריות אינה תמיד ברורה, והפיקוח אינו תמיד מלא.

“תוקפים לא שוברים מערכות. הם מנצלים את הרווחים שבין המערכות. הם מזהים פערים בין ספק לארגון, בין אבטחה פיזית לסייבר, בין תהליך עסקי לטכנולוגיה או בין יחידות ארגוניות שונות”. הוא מוסיף כי: “הסיכון הגדול ביותר בארגון אינו מה שמנוהל – אלא מה שאף אחד לא מנהל”.

הארגון כבר השתנה. מבנה הביטחון עדיין לא.

לדברי אסיסקוביץ, אחת הבעיות המרכזיות בארגונים רבים היא שמבנה ניהול הסיכונים נותר מפוצל, בעוד שהאיומים עצמם הפכו משולבים. “במקומות רבים אבטחה פיזית, סייבר, חקירות, בטיחות, חירום, רציפות עסקית ושרשרת אספקה עדיין מנוהלים בנפרד. האיומים, לעומת זאת, אינם מכבדים את הגבולות האלה.” לדבריו, העתיד שייך לארגונים המאמצים תפיסה של Converged Security – ניהול כלל הסיכונים כמערכת אחת. “העתיד אינו נמצא בעוד מחלקה ועוד מנהל. הוא נמצא ביצירת תמונת סיכון אחת והבנה כוללת של הארגון.”

Data Centers – המקום שבו הפיזי והדיגיטלי נפגשים

אחד התחומים הממחישים היטב את השינוי הוא עולם ה- Data Centers. “רבים עדיין חושבים על Data Center כחדר שרתים גדול. בפועל מדובר בלב הפעילות העסקית של ארגונים רבים”. לדבריו, כאשר Data Center מושבת, הארגון אינו מאבד רק תשתית טכנולוגית. “הוא מאבד יכולת לייצר, לשרת לקוחות, לספק שירותים ולעיתים אף להמשיך לפעול”.

כאן, לדבריו, נעלם לחלוטין הגבול בין אבטחה פיזית לסייבר. “גישה פיזית לא מורשית, תקלה בתשתיות אנרגיה, כשל בקירור, ספק חיצוני או אירוע סייבר – כולם יכולים לייצר את אותה תוצאה עסקית”. לכן, הוא מסביר, לא ניתן עוד להפריד בין התחומים. “מי שלא רואה את התמונה מקצה לקצה, משאיר דלת פתוחה”.

AI משנה את חוקי המשחק

בשנים האחרונות הפכה הבינה המלאכותית לנושא מרכזי כמעט בכל דיון ניהולי. לדברי אסיסקוביץ, השאלה איננה האם AI ישפיע על עולם האבטחה, אלא עד כמה עמוק יהיה השינוי. “ AI הוא מכפיל כוח לשני הצדדים. הוא הופך תוקפים למהירים יותר, מדויקים יותר וזולים יותר. במקביל הוא מעניק לארגונים יכולות זיהוי, חיזוי ותגובה שלא היו קיימות בעבר”. עם זאת, הוא מזהיר מפני התמקדות בטכנולוגיה בלבד: “האתגר האמיתי אינו הטכנולוגיה – אלא השליטה בה.” לדבריו, העולם עובר מתקופה שבה הבעיה הייתה מחסור במידע לתקופה שבה הבעיה היא עודף מידע. “Deepfakes, התחזויות מתוחכמות, מניפולציות מידע ותהליכי קבלת החלטות אוטומטיים יוצרים סוג חדש של סיכון”. והוא מוסיף תובנה שמעסיקה כיום הנהלות רבות: “בעולם החדש השאלה אינה רק האם המידע מאובטח. השאלה היא האם אפשר בכלל לסמוך עליו”.

מנהל הביטחון חייב להיות חלק מהנהלת הארגון

אסיסקוביץ סבור שאחד השינויים החשובים ביותר הוא במעמדו הארגוני של מנהל הביטחון. “מנהל ביטחון שלא יושב סביב שולחן ההנהלה מתקשה להבין את ההחלטות העסקיות שמעצבות את פרופיל הסיכון של הארגון”.
לדבריו, סיכונים רבים נוצרים דווקא כתוצאה מהחלטות עסקיות לגיטימיות לחלוטין – כניסה לשווקים חדשים, עבודה עם ספקים חדשים, אימוץ טכנולוגיות חדשות או שינויים במודל העבודה. “אם מנהל הביטחון אינו חלק מהשיח הזה, הוא תמיד יגיב באיחור.” לכן הוא רואה במנהל הביטחון המודרני שותף עסקי לכל דבר. התפקיד שלנו אינו לומר ‘לא’. התפקיד שלנו הוא לומר ‘כן’, ואיך עושים זאת נכון”.

שותפויות אסטרטגיות: כאשר ספק הופך לשותף

אחת התובנות המרכזיות של אסיסקוביץ היא שארגונים מורכבים אינם יכולים, ואינם צריכים, להחזיק את כל הידע והמומחיות בתוך הבית. “ניהול ביטחון מודרני אינו עוסק רק בבניית יכולות פנימיות. הוא עוסק גם ביכולת לזהות שותפים נכונים, לבנות איתם אמון ארוך טווח ולייצר יחד ערך עסקי”. לדבריו, אחד המקרים הבולטים לכך לאורך שנות פעילותו היה שיתוף הפעולה רב-השנים עם קבוצת צוות 3.
עם השלמת הקמת מפעל אינטל בקריית גת, יצאה החברה לתהליך מקצועי ומעמיק לבחירת שותף אסטרטגי בתחום האבטחה. אף שלא הייתה מחויבת לכך, אינטל בחרה לקיים תהליך סדור ומקיף, מתוך תפיסה שבחירת שותף בתחום הביטחון היא החלטה ארוכת טווח בעלת השפעה ישירה על פעילות הארגון. “צוות 3 זכתה בתהליך, ומהר מאוד הוכיחה שהיא מסוגלת לספק הרבה מעבר לשירותי אבטחה. לאורך השנים היא הפכה לשותף
משמעותי בפעילות הביטחון של אינטל בישראל.” לדבריו, הצלחת שיתוף הפעולה לא נבעה רק מיכולות מקצועיות או תפעוליות, אלא בראש ובראשונה מהתאמה תרבותית יוצאת דופן לסביבה של ארגון טכנולוגי גלובלי. “הרבה חברות יודעות לספק שירות. הרבה פחות חברות יודעות ללמוד, להשתנות ולהתאים את עצמן לעולם חדש. צוות 3 הגיעה עם גישה של סקרנות, פתיחות ורצון אמיתי להבין את הסביבה שבה היא פועלת”. אסיסקוביץ מבקש לציין באופן מיוחד את מנכ”ל החברה, ניר גלבוע, ואת צוות ההנהלה של החברה. “אני נותן קרדיט גדול מאוד לניר גלבוע. לאורך השנים התרשמתי מהיכולת שלו לזהות מגמות, לאתגר תפיסות קיימות ולהוביל את הארגון שלו קדימה. במקום לחפש פתרונות מוכרים, הוא בחר שוב ושוב ללמוד, להתפתח ולהתאים את החברה למציאות משתנה”. לדבריו, כאשר חברות רבות העדיפו להישאר באזורי הנוחות שלהן, גלבוע וצוותו בחרו לאמץ גישה שונה. היו חברות שהגיעו עם תפיסות מסורתיות שעבדו היטב במקומות אחרים. ניר וצוות ההנהלה שלו הגיעו עם גישה אחרת לחלוטין. הם אמרו: אם מדובר באתגר חדש, נלמד אותו. אם מדובר בעולם חדש, נבין אותו לעומק. הגישה הזאת עשתה את ההבדל”. העבודה עם אינטל חייבה לאורך השנים התאמה לסטנדרטים גלובליים, שילוב טכנולוגיות מתקדמות, עבודה בסביבה עסקית דינמית ויכולת לתת מענה לצרכים שלא תמיד היו קיימים בעולם האבטחה המסורתי. “לא פשוט לעבוד בסביבה כמו אינטל. נדרשת גמישות מחשבתית, יכולת למידה מהירה ונכונות מתמדת להשתפר. צוות 3 הצליחה לעשות זאת לאורך שנים, ובמקרים רבים אף הרחיבה את פעילותה והוכיחה את עצמה גם במסגרות ובפעילויות בינלאומיות”. מבחינתו של אסיסקוביץ, זהו שיעור חשוב לכל מנהל. “בעולם של היום, ארגונים לא מצליחים בזכות מה שהם יודעים לעשות לבד. הם מצליחים בזכות היכולת שלהם לבנות רשת של שותפים מצוינים שחולקים ערכים, מקצוענות וראייה ארוכת טווח.”

Security אינו Cost Center

תפיסה נוספת שאסיסקוביץ מבקש לאתגר היא ההתייחסות לביטחון כהוצאה הכרחית בלבד. “ארגונים רבים עדיין מסתכלים על Security כמרכז עלות. בעיניי זו תפיסה מיושנת”. לדבריו, ביטחון איכותי מאפשר לארגון לצמוח.
“הוא מאפשר כניסה לשווקים חדשים, עבודה עם לקוחות אסטרטגיים, הגנה על שרשרת האספקה, שמירה על רציפות עסקית וחיזוק אמון הלקוחות”. במילים אחרות: “Security טוב אינו עוצר את העסק. הוא מאפשר לעסק להתקדם בביטחון”.

העתיד אינו טכנולוגי בלבד – הוא תרבותי

כאשר נשאל מהו האתגר המרכזי של העשור הקרוב, אסיסקוביץ אינו מתחיל בטכנולוגיה. “אני חושב שהאתגר הגדול ביותר הוא תרבותי.” לדבריו, בדיוק כפי שבעולם הבטיחות התפתחו לאורך השנים תפיסות של Injury Free Culture, כך גם בעולם ה- Corporate Security נדרש שינוי דומה.
“אני מאמין שהשלב הבא הוא Risk Aware Culture – תרבות מודעת סיכונים”. בתרבות כזו, האחריות אינה מוטלת רק על מחלקת הביטחון. “ארגון בטוח באמת אינו ארגון עם הכי הרבה נהלים. הוא ארגון שבו אנשים יודעים לזהות סיכון, להבין אותו ולפעול נכון בזמן אמת”. לדבריו, בעידן של סייבר, התחזויות, Deepfakes והנדסה חברתית, המודעות האנושית הופכת לקו ההגנה החשוב ביותר. “אפשר לקנות טכנולוגיה. אי אפשר לקנות מודעות”.

הגורם האנושי: החוליה החלשה או היתרון הגדול ביותר

לדברי אסיסקוביץ, חרף ההתקדמות המרשימה בטכנולוגיות אבטחה, בינה מלאכותית ואוטומציה, הגורם האנושי נותר הגורם המשפיע ביותר על רמת הסיכון הארגוני. “לאורך השנים למדתי שרוב המשברים אינם מתחילים בכשל טכנולוגי אלא בכשל אנושי – בתקשורת, בקבלת החלטות, בהבנת מציאות משתנה או בהיעדר נכונות להתמודד עם סימני אזהרה מוקדמים”. הניסיון שצבר בהובלת מנהלים, צוותים ותהליכי שינוי חיזק אצלו את ההבנה כי חוסן ארגוני אינו נבנה רק באמצעות מערכות ונהלים, אלא באמצעות אנשים. “בסופו של דבר, הטכנולוגיה מספקת מידע, אך בני האדם הם שמעניקים לו משמעות, מקבלים החלטות ופועלים בזמן אמת. לכן ארגונים שרוצים להיות בטוחים יותר חייבים להשקיע לא רק במערכות, אלא גם בפיתוח יכולות אנושיות של חשיבה ביקורתית, מנהיגות, שיתוף פעולה ופתרון בעיות”. לדבריו, דווקא בעידן של AI , שבו המידע זמין יותר מאי פעם, הערך של שיקול הדעת האנושי הופך לחשוב יותר, לא פחות. “את הטכנולוגיה אפשר לרכוש. את היכולת האנושית לזהות הזדמנות, להבין סיכון ולהוביל שינוי – צריך לפתח”.

פרק חדש

לאחר יותר משני עשורים וחצי בסביבה גלובלית מורכבת, הכוללת רילוקיישן לארה”ב מיד לאחר פיגוע התאומים ב-11 ספטמבר 2001, אסיסקוביץ פועל כיום כיועץ בינלאומי לארגונים המבקשים להתמודד עם אתגרי ה- Corporate Security של העשור הבא. הוא מלווה הנהלות, מנהלי ביטחון וארגונים בתהליכי ניהול סיכונים, חוסן ארגוני Converged Security , ניהול משברים והיערכות לעידן הבינה המלאכותית.מבחינתו, אין מדובר בסיכום קריירה אלא בהמשך טבעי של אותה שליחות מקצועית. “העולם משתנה מהר מדי מכדי להסתפק במה שעבד אתמול. האתגר שלנו הוא לזהות את הסיכונים של מחר לפני שהם הופכים למשברים”.

מבט קדימה

“עתיד ה- Corporate Security לא ייקבע על ידי עוד מצלמה, עוד גדר או עוד מערכת. הוא ייקבע ביכולת של ארגונים להבין את הקשרים בין אנשים, תהליכים, טכנולוגיות והחלטות”. לדבריו, ארגונים שימשיכו לנהל כל תחום בנפרד ימצאו את עצמם מגיבים למשברים. ארגונים שידעו לחבר בין התחומים, לזהות את מרחבי הביניים וליצור תרבות מודעת סיכונים – ייהנו מחוסן, מאמון ומיתרון תחרותי. ובסופו של דבר, הוא מסכם: “לא המערכות נפרצות – אלא הפערים ביניהן”.

 

x
סייען נגישות
הגדלת גופן
הקטנת גופן
גופן קריא
גווני אפור
גווני מונוכרום
איפוס צבעים
הקטנת תצוגה
הגדלת תצוגה
איפוס תצוגה

אתר מונגש

אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.

סייגי נגישות

למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר

רכיב נגישות

באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.