This is the second in a series of articles and interviews on the subject of improving cyberresilience—the ability of companies, organizations, and institutions to prepare for, respond to, and recover from cyberattacks. To discuss how companies can maintain vigilance, BCG spoke with Yosi Shneck, the senior vice president of information and communication for Israel Electric, a company that has seen its share of cyberattacks. The series is a product of BCG’s work with the World Economic Forum. The first article examined how the federal government can assist at state and local levels with cybersecurity. Future articles will explore how boards of directors and senior managers should approach cybergovernance and how businesses undergoing digital transformation can ensure that cybersecurity is considered deliberately, rather than on an ad hoc basis.
About Yosi Shneck
Yosi Shneck is senior vice president of information and communication at Israel Electric. In addition, he is the chief information officer, overseeing the ITC and Broadband Communication divisions, and the chief compliance officer, managing the cyberreadiness organization.
Shneck passou mais de 40 anos na indústria de serviços públicos, e seu conhecimento de sistemas de computadores e tecnologia inclui experiência com sistemas de informação, aplicações científicas, supercomputação e comunicação, sistemas de controle, infraestrutura e arquiteturas e a tecnologia de cibersegurança. Dada a importância de garantir a infraestrutura crítica, Shneck está envolvido em muitas iniciativas de segurança cibernética em todo o país.
As chief compliance officer, he is responsible for preparing the company for cyberattacks, including ones that target the company’s information technology and operational technology environments. Given the importance of securing critical infrastructure, Shneck is involved in many cybersecurity initiatives nationwide.
Shneck ingressou na Israel Electric em 1995 e ocupou muitos cargos, incluindo o chefe da divisão de sistemas de informação e comunicação, chefe da unidade nacional de comunicações e eletrônicos e vice dos sistemas de informação e divisão de teleprocessamento. Ele também atuou como membro do comitê de seleção que estava buscando um investidor em uma nova empresa de infraestrutura de comunicação.
Shneck has an MBA and a BSc in computer science.
Leia mais na série de segurança cibernética
- A assistência de segurança cibernética necessidade dos governos locais
- Cybergovernance and the Role of the Board: An Interview with Kaiser Permanente’s George DeCesare
- Giving Cybersecurity Its Due in the Boardroom: An Interview with Standard Chartered’s Cheri McGuire
- Avançando a resiliência cibernética no ecossistema de eletricidade: uma entrevista com o Rosa Kariger de Iberdrola
Can you share some of what you’ve learned about managing an organization that is constantly addressing advanced, persistent threats?
I think there are two things that we do that are perhaps uncommon. First, we don’t separate our operational technology (OT) and information technology (IT) environments. Many companies do, but this is a mistake! The target of the attackers is the OT system, but the highway is the IT system. Second, we have a distributed yet integrated organizational model for cybersecurity. The distributed part is this: every business unit has its own cyberunit with its own local security operations center, its own local response team, and its own cyberanalyst.
Toda unidade de negócios tem sua própria unidade cibernética com seu próprio Centro de Operações de Segurança Local, sua própria equipe de resposta local e seu próprio ciberanalista.
Todo mundo em uma unidade cibernética tem dois conjuntos de competências: um no processo de negócios e outro em segurança cibernética. Por exemplo, os membros do CyberTeam em nossa unidade de negócios de geração de potência são engenheiros de usina com habilidades avançadas de segurança cibernética. As unidades de negócios e as cibernitudes distribuídas são integradas em um centro de ciberfusão, que coleta dados que vêm não apenas de ciberunidades, mas também de reguladores governamentais e inteligência, sensores de equipamentos e outras fontes de informação exclusivas. Todos os dados são analisados usando modelos e técnicas de análise de alto nível. O Cyberfusion Center é responsável por criar uma imagem contínua e em tempo real da cibersegurança organizacional e apoiar as ciberunidades distribuídas em qualquer situação, seja rotina ou emergência. (Consulte a exposição.)
We also believe in cybersecurity by design. That is, the cybersecurity aspect of everything should be understood and taken into account at the design stage. To this end, we have mapped out most of our business processes and screened them for the cybersecurity aspect. For example, if we want to change a procurement policy, it is screened by the cyberrisk side, and proper cyberdefense prerequisites are considered from the initial stage and across the whole process. If we want to change a recruitment process, it’s the same thing.
Cyberdefense, like most other issues, depends on three main factors: people, policies and processes, and technology. And people are the weakest link. At the end of the day, most issues can be ameliorated if people act better. For that, we decided to train, train, train. We invest a lot in training people—even if they come from the army or secret service and have extended experience in cyberdefense. And not only cyberprofessionals are trained. Management, office workers, technicians—everyone receives cybertraining.
Why is Israel so effective at securing critical infrastructure? Are there particular policies that the country has pursued to make its critical infrastructure more resilient?
Não se trata tanto de política, mas da mentalidade independente e autossuficiente que é o resultado de nossa geopolítica. Viver em um ambiente de tensão criou a crença de que você deve estar preparado para qualquer cenário e depender de si mesmo o máximo possível.
Com isso dito, é importante ser honesto. Esses cyberevents realmente acontecem e o risco está sempre lá. Obviamente, não durmo bem como resultado disso, mas sei que, se algo acontecer, é minha responsabilidade, e devo estar preparado para isso na maior parte possível. Não há outra opção, além de lidar com isso. Israel parece ter navegado nessa tensão - a segurança foi considerada a responsabilidade de paz da agência de segurança israelense (Shabak), em vez das forças de defesa de Israel. Existem lições desse acordo para outros países que tentam facilitar a cooperação público-privada? A principal lição que todas essas organizações aplicaram é que é altamente importante evitar ter fronteiras ou barreiras entre ou entre elas. Todos eles promovem um alto nível de cooperação entre suas camadas técnicas, funcionais, de inteligência e conhecimento. Eles usam protocolos e canais de comunicação comuns e frequentes para cooperar em todos os níveis.
Many countries have grappled with the difficulty of whether to assign responsibility for securing critical infrastructure to civilian or military organizations. Israel seems to have navigated this tension—security has been deemed the peacetime responsibility of the Israeli Security Agency (Shabak) rather than the Israel Defense Forces. Are there any lessons from that arrangement for other countries trying to facilitate public-private cooperation?
There are a few principal players in Israel: the National Cyber Bureau, the secret services, the army, and the nondefense stakeholders (civil enterprises and organizations, for example). The main lesson that all these organizations have applied is that it is highly important to avoid having any borders or barriers between or among them. They all foster a high level of cooperation among their technical, functional, intelligence, and knowledge layers. They use common and frequent communication protocols and channels to cooperate at every level.
The main lesson is to foster a high level of cooperation among the technical, functional, intelligence, and knowledge layers.
Recentemente, mudamos, como resultado de uma decisão do governo, para uma autoridade civil para regular as entidades civis, e estamos encontrando benefícios nesse acordo. As autoridades civis entendem processos civis; Eles apreciam e entendem a cultura e o gerenciamento de empresas comerciais, ambas diferentes das das autoridades militares ou de serviço secreto. As agências militares e de defesa podem aplicar seu profundo conhecimento e experiência em segundo plano, quando necessário.
