יועץ אבטחת מידע   |   דצמבר 17, 2025

Lean Cybersecurity: מאמר מרתק על הפרדוקס כיצד הגדלת השקעות בסייבר מגדילים סיכוני סייבר

האם עוד תקציב ועוד מנהלים באמת שווים יותר הגנה? מחקר חדש חושף: מורכבות ניהולית דווקא מגדילה את סיכוני הסייבר בארגון שלכם.

כשהפתרון הופך לבעיה

מתי עוד אנשים ועוד שכבות הנהלה מחלישים את ההגנה?

במשך שנים רבות שלטה בארגונים תפיסה פשוטה: כדי להגן על עצמנו מפני איומי סייבר, אנחנו צריכים להשקיע יותר. יותר כסף, יותר מנהלים בכירים ויותר במבנים ניהוליים מסועפים.
אבל מחקר עדכני שפורסם במגזין היוקרתי MIT Sloan Management Review מערער על ההנחה הזו.
המחקר, שכלל ראיונות עם 34 מנהלי אבטחה בכירים (כמו CISO ו־CIO), מצא כי דווקא הרחבת ההיררכיה הניהולית בתחום הסייבר עלולה ליצור אשליה של ביטחון. במקום לשפר את החוסן של הארגון, המורכבות הניהולית הזו יוצרת סיכון תהליכי – סוג של סיכון שלא יופיע בכלי סריקה או בדוחות טכניים.

מלכודת הביטחון העצמי

שלוש דרכים שבהן ריבוי שכבות ניהול מחמיר סיכון

המחקר מזהה הטיה פסיכולוגית מרכזית – תחושת "עליונות מדומה" (Illusory Superiority) – שמתחזקת ככל שמערך הניהול גדל.
הנה שלושת הסיכונים המרכזיים שנגרמים מכך:

  1. אשליית מוכנות כוזבת: ככל שהאיום נתפס כחמור יותר (למשל מתקפת כופרה גדולה), כך מנהלים נוטים להיות בטוחים יותר ביכולתם להתמודד איתו – אפילו יותר מארגונים אחרים. דיון תכוף באיומים יוצר תחושה של שליטה ומוכנות, גם אם בפועל לא נבדקה היכולת האמיתית להתמודד עם האירוע.
  2. טשטוש אחריות: ריבוי שכבות הניהול גורם לכל אחד להניח שהאחר מטפל בנושא. עובדי השטח מניחים שמנהלי ה־IT אחראים, ה־IT מניחים שהמנהלים הבכירים אחראים, והבכירים מניחים שדרג הנהלת העל אחראי. התוצאה? אף אחד לא מרגיש שהוא הבעלים הבלעדי של הסיכון, והפערים נשארים פתוחים.
  3. התעלמות מהשטח: מנהלים בכירים נוטים להמעיט בערך הידע והניסיון של אנשי הטכנולוגיה בשטח. ההנחה שדרגה ניהולית משקפת את המומחיות הגבוהה ביותר, עלולה להוביל להתעלמות מאזהרות או מהמלצות קריטיות מצד העובדים שמכירים את המערכות לעומק.

פחות מורכבות, יותר חוסן

איך בונים הנהגת סייבר אפקטיבית?

המחקר לא מאבחן את הבעיה בלבד, אלא גם מציע פתרון מעשי:
ניהול רזה (Lean): במקום להוסיף שכבות, מומלץ לאמץ מודל ניהול רזה ובהיר. עבור מרבית הארגונים, מבנה שבו מנהל בכיר אחד אחראי באופן מוחלט וברור על נושא הסייבר (עם סמכות מלאה) – הוא יעיל יותר ממערך היררכי מסועף.
השוואה חיצונית אנונימית (Benchmarking): הדרך הטובה ביותר לשבור את אשליית הביטחון העצמי היא באמצעות מדידה מול אחרים. שיתוף מודיעין איומים ונתוני מוכנות עם ארגונים דומים – בצורה אנונימית ומבוקרת – מספק תמונת מציאות אמינה יותר ומראה היכן הארגון באמת עומד, ולא רק איך הוא רואה את עצמו.

המלצות מאת אנשי אבטחת מידע של IPV Security

  1. לצמצם שכבות ניהול ולחדד אחריות ברורה לסיכון סייבר (מי בדיוק אחראי על מה).
  2. לעודד תרבות שבה מידע מהשטח מגיע להנהלה ללא חסמים ועיכובים.
  3. למדוד מוכנות בפועל באמצעות תרגילים ובדיקות, ולא רק באמצעות מצגות והצהרות.
  4. להשוות יכולות מול ארגונים דומים, ולא להסתמך רק על "תחושת בטן" פנימית.
  5. להפריד בין הצורך ב"הקרנת ביטחון" כלפי הלקוחות או המשקיעים, לבין הערכת סיכון פנימית, כנה ובלתי מתפשרת.

לסיכום,

המסקנה המרכזית של המחקר ברורה: חוסן סייבר אינו תוצאה של מערך גדול ומנופח, אלא של הנהגה מודעת, צנועה ונטולת אשליות. ארגונים שיזהו את ההטיות האנושיות בתהליכי קבלת ההחלטות ויבנו את המערך סביב בהירות, אחריות והקשבה – יהיו מוכנים הרבה יותר לאירוע הסייבר הבא.
בעידן שבו איומי הסייבר רק מתעצמים, ייתכן שהשאלה הנכונה איננה כמה כסף השקענו – אלא איך אנחנו מנהלים את הסיכון הזה.

למידע נוסף: https://cisoteria.com/lean-cybersecurity-reduce-risk/

 

מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה