ג'וש גולדפרב | צילום: F5
הגעתם של בוטים והונאות לחדרי ישיבות המנהלים
מנהלי אבטחה וסיכונים צריכים לדבר בשפת הדירקטוריון כדי לתרגם סיכוני אבטחה לסיכונים פיננסים עבור הארגון
רובנו בתחומי האבטחה והונאה מבינים את החשיבות של עבודה עם בעלי עניין מרכזיים בתוך החברה. ייתכן שנשכח לפעמים שאנשים אלה לא תמיד מדברים בשפה שלנו. עם זאת, הם אינטליגנטים ואנליטיים. אם נלמד לתקשר בצורה שהם יכולים להבין, להפנים ולפעול לפיה, זה יועיל לנו מאוד. לפיכך, לימוד איך לדבר בשפה עסקית נראה כמו השקעה כדאית של הזמן שלנו. לדוגמה, הבנת הגורמים המשפיעים על מנהלים ודירקטוריונים יכולה לעזור לנו במגוון דברים: קבלת התקציב הנדרש, השגת התמיכה הנדרשת והצגת הערך שלנו כצוות, בין היתר.
כדי לתקשר עם הנהלה, כדאי לזכור שהיא מונעת בעיקר משורת הרווח. אני לא מתכוון לזה בצורה שלילית – הם צריכים לוודא שהעסק מרוויח רווח בריא ולא לוקח על עצמו סיכונים, הוצאות ו/או הפסדים מיותרים. לכן, תרגום מושגים של אבטחה לסיכון כספי תורם רבות לתקשורת יעילה עם ההנהלה הבכירה.
אם השינוי בעולם המסחר, משקל רב יותר ניתן לעסקאות אונליין. זו סיבה טובה מתמיד להתמקד בערוצים הדיגיטליים (אתר ונייד) שבהם היישומים המקוונים שלנו משתמשים. כאנשי אבטחה, אנחנו יודעים שאנחנו צריכים להגן על היישומים שלנו מפני בוטים והונאות. עכשיו צריך לתרגם את הסיכונים ואמצעי ההגנה הנדרשים, להנהלה העסקית של הארגון.
בואו נסתכל על שמונה נקודות שיכולות להשפיע על העסק:
הפסדי הונאה: הונאה יכולה להיות בעלת השלכות כלכליות חמורות. על פי דו"ח של חברת המחקר Juniper Research, ההפסדים מהונאות מקוונות צפויים לעלות על 48 מיליארד דולר בשנה עד 2023. הבנה של גודל ההפסדים הצפוי מהונאות, יכולה להיות דרך מצוינת להצדיק את התקציב הנדרש למיגור סיכון זה. עם נתונים אובייקטים ביד, הדיון הזה הופך לחישוב פשוט של תשואה על ההשקעה (ROI).
עלויות גניבת נתונים: בתחומי שיפוט רבים, גניבת נתוני לקוחות ונתונים אישיים רגישים אחרים (PII) עלולה להוביל לעלויות גילוי וקנסות רגולטוריים. זאת כמובן בנוסף לנזק התדמיתי שגורמים אירועים מסוג זה. חישוב עלויות אלה יכול לעזור לטעון שצריך לנקוט בצעדים כדי להקל על הסיכון שמציבה גניבת נתונים.
עלויות חקירה: לאחר אירוע אבטחה כמו מתקפת בוטים או הונאה, ארגונים סופגים עלויות חקירה משמעותיות. בפרט, כאשר מגלים את הבעיה בדיעבד, הצוות צריך להתרוצץ כדי למצוא את מקורות המידע המתאימים, לחקור מה קרה ולשחזר את התמונה המלאה. אם יש חוסר בראייה כוללת, האתגר הופך להיות יותר יקר וגוזל זמן. אמנם מדובר במשימה מורכבת, אך איתור פערים בראייה, תרגום פערים אלה לעלויות חקירה נוספות והבנת עלות כוללת לחקירה וטיפול לפי אירוע, יכולים לתרום רבות להצדקת התקציב לטיפול בבעיות אלה מבעוד מועד.
עלויות תשתית: יש אנשים שאולי לא מודעים לכך שבוטים אחראים עד 40% מכלל התעבורה המקוונת והם גורם מוביל למתקפות סייבר, על פי דו"ח של קבוצת Aite-Novarica. וזה אומר שחלק ניכר מעלויות התשתית שלכם מושקע בשירות לתעבורה מבקשות אוטומטיות שאינן מגיעות מהלקוחות שלכם. הבנת העלות הנגרמת לעסק היא דרך נהדרת לתקשר להנהלה ולדירקטוריון את הסיכון של מתקפות בוטים,.
עלויות ביצועים: כאשר בוטים תוקפים, ביצועי היישום המקוון שלכם ייפגעו. מעקב אחר כמות המשתמשים הנוטשים את האתר וכתוצאה מכך גודל ההכנסה הפוטנציאלית ההולכת לאיבוד, חיוני, כאשר רוצים לתקשר עלויות ביצועים כלפי מעלה.
מניפולציה במלאי: חלק מהתוקפים מוכשרים במיוחד בשימוש בבוטים כדי לעשות מניפולציה במלאי הארגון. כאשר תוקפים מרוקנים את המלאי שלכם, יש לכך עלות. הבנת עלות זו היא ככל הנראה דבר שידבר טוב יותר לבכירים.
עלויות תמיכת לקוחות: במקרים של השתלטות על חשבון (ATO) וסוגים אחרים של מתקפות, לעתים קרובות נוצרות עלויות תמיכה, כאשר משתמשים ננעלים מחשבונותיהם. עלות זו שלעתים קרובות מתעלמים ממנה, היא עלות שההנהלה תרצה להבין.
פגיעה במוניטין: לאחר השתלטות על חשבון (ATO), ייתכן שחלק מהלקוחות יאבדו אמון ביישום המקוון. כתוצאה מכך, כצפוי, תהיה ירידה בהכנסות. חישוב גודל ההכנסות האבודות עקב אובדן אמון, הוא דרך נהדרת לתקשר את הסיכון של פגיעה במוניטין להנהלה.
לסיכום, דיבור בשפתם של מנהלים ודירקטוריון חשוב. מנהלי אבטחה שלומדים לתרגם סיכוני אבטחה לסיכונים כספיים עבור העסק , מצליחים יותר לקבל תקציב ותמיכה ולתקשר את הערך שלהם לבכירים . אמנם, נדרשת כאן מעט עבודה כדי להיות מסוגלים לעשות זאת , אך זוהי השקעה כדאית.
ג'וש גולדפרב הוא ארכיטקט פתרונות גלובאלי בחברת F5