תפריט נגישות

סקירת כנס: אבטחת מידע

בכנס, שהתקיים במסגרת מועדון המנמ"רים – Business Alignment, נסקרו היבטים שונים של אבטחת מידע: תקינה, אבטחת תוכן ארגוני, אבטחה ו-Mobility, זליגת מידע ועוד.

 גדעון לופז, מנכ"ל IDC ישראל, סקר בהרצאתו: "אבטחת מידע – אסטרטגיה בעידן של תמורות", את תמונת אבטחת המידע המתהווה ופיתוח של גישה עסקית להתמודדות עם נושא מאתגר זה.

 גדעון לופז ציין כי תם עידן הארגון המגודר פיסית, כיום גדרות הארגון בכל מקום והאבטחה הטובה ביותר אינה ב-ש.ג. מוקדי התקיפה האפשריים מגוונים ומורכבים: רשתות חברתיות, טלפונים ניידים, טאבלטים, דואר אלקטרוני, יישומי "ענן" ועוד. נפח המידע ממשיך לגדול מהיקף של 1.8 זטה-ביט בשנת 2011 לצפי של 7 זטה-ביט ב-2014.

 ארגונים משקיעים באבטחת מידע בכדי לשמר נכסים שונים: 

·יכולת תפעול של המערכות ותהליכים עסקיים

·קניין רוחני

·מוניטין

מאידך, סביבת האיומים מאתגרת כתוצאה מ: 

·ארכיטקטורה וטכנולוגיה של מערכות ארגוניות מתחלפת

·אביזרי מידע והתנהגות עובדים משתנים חליפות

·שינויים תכופים  - לא ניתן לדעת מה יהיה האיום של מחר

·תקציב מוגבל והבעייתיות של תרופה מונעת

·הערכת חסר תמידית של הגורם האנושי

  

 ניתוח עסקי

 ·הארגון וייעודו

·תהליכים עסקיים ומיקומם

·כוח אדם לסוגיו השונים ומיקומו בתהליכים

·אתרים ותשתיות

·מחשוב (תשתיות, יישומים, מידע)

·רגולציה

 ניתוח איומים

 ·זליגת מידע – סוגי המידע והשלכותיהם על תהליכים עסקיים

·כוח אדם – נגישות למידע ולתהליכים, ידע עסקי

·רשת – הגישות השונות לרשת הארגונית על חלקיה

·אביזרים – אביזרי המידע לרבות אביזרים מ"הבית"

·התפתחות – שינויים בתהליכים עסקיים, איומים, טכנולוגיות והשלכותיהם

 התאמת הפתרון

  • גמישות – לקחת בחשבון שכל הנחות היסוד של הפתרון במגמת שינוי
  • זמן אמת – על המערכות להגיב בזמן אמת לשינויים באיום ו/או בתהליכים העסקיים
  • תהליכים עסקיים – התאמה בין התהליכים העסקיים שיש להגן עליהם לבין הפתרונות
  • תקציב – השקעה בניתוח ותכנון תחסוך ממון רב בציוד
  • אופי המידע – לא כל המידע הארגוני חשוב באותה מידה. הן טוב על מה שקריטי
  • מדיניות – ציוד משרת מדיניות 

יישום, אכיפה וניהול

  • תקשור פנימי – לאחר יישום טכני, נדרש תקשור פנימי של מדיניות האבטחה
  • ניהול, בקרה, ניתוח והצגה – מרכיבי הניהול והבינה העסקית הכרחיים
  • ניתוח שינויים – קיום מנגנון מובנה של ניתוח השלכות האבטחה של שינויים ארגוניים
  • אכיפה – הצד האחר של המדיניות 

בחירת שותפים

  • לשותפים עסקיים ביישום הפתרון תפקיד מהותי בכל השלבים
  • רגישות לתהליכים עסקיים – שותף חשוב בעיקר בתמיכה בתהליכי הניתוח והתכנון
  • כוח אדם – ניסיון והיכרות עם ספקי הציוד
  • חדשנות – בסביבה משתנה חליפות, על השותף להציג גישה פרואקטיבית עם מבט אל השינויים והשלכותיהם 

ארגונים מוציאים על אבטחת מידע היקף של בין 3% ל- 9% מתקציב המחשוב. בישראל הוציאו ארגונים בשנת 2011 היקף של 4.9% מתוך סך ההוצאה החיצונית על מחשוב – היקף של 270 מיליון דולר.  

 

לסיכום:

  •  ימי הארגון בעל הגבולות הברורים, התהליכים הקבועים ומערכות ההגנה הסטטיות – עברו בלי שוב
  • יעילותה של מערכת אבטחת מידע תלויה יותר בניתוח העסקי ובניתוח האיומים העומדים בבסיסה, מאשר בטכנולוגיה
  • כמו בשאר החלקים של מערכת המידע הארגונית ואולי יותר מהם, על מערכת אבטחת המידע להיות בנויה מראשיתה לתגובה מהירה ולהתמודדות עם שינוי
  • רוב הארגונים ייאלצו להיעזר בשותפים ברוב או בכל שלבי הבנייה והיישום של תפיסת אבטחת מידע ארגונית
  • הניסיון מלמד כי כל מערכת אבטחת מידע קמה ונופלת על תקשור ואכיפה של מדיניות. כמו בכל תהליך עסקי, הטכנולוגיה לא מחליפה את הגורם האנושי. 

בין ההרצאות הנוספות שהועברו בכנס:

 

"אבטחת מידע – הלכה למעשה", מר מוני גבעול, יח' אבטחת מידע במשטרת ישראל

 

"התמודדות עם בעיות באבטחת מידע", דניאל זוהר, CIO, בית חולים פוריה

 

"עולמו של האקר מאחורי הקלעים", שרון נימרובסקי, יועץ אבטחת מידע בכיר, אבנת

 

"אבטחת מידע בעידן הסייבר", אשר גניחובסקי, יועץ אבטחת מידע, סימנטק

 

המפגש הסתיים בדיון "שולחן עגול" בהשתתפות מנהלי מערכות המידע והמומחים שהשתתפו במפגש.

 

לרשימת אירועי מועדון המנמ"רים Business Alignment 2012 – לחץ כאן

 

הסיקור בוצע על ידי שמואל מרדלר, מנכ"ל פעילות ERP.ORG

ליצירת קשר: shmuel.merdler@erp.org.il