תפריט נגישות

גישה מבנית לאבטחת מידע

ארגונים מאבטחים מידע משלוש טעמים עיקריים: הגנה על קניין רוחני, הגנה על מערכות תפעוליות, והגנה על מוניטין.IDC סבורה כי הדרך היחידה לפתח אסטרטגיית אבטחת מידע ארגונית קוהרנטית


ארגונים מאבטחים מידע משלוש טעמים עיקריים: הגנה על קניין רוחני, הגנה על מערכות תפעוליות, והגנה על מוניטין. קניין רוחני מהווה את הבסיס ליתרון התחרותי ומתייחס גם לנושאי ליבה וגם לתהליכים עסקיים (לקוחות, שותפים, כוח אדם). מידע הוא המרכיב היסודי בתפעול השוטף של העסק. לנפילות, או אבדן מידע נזק כספי ישיר או עקיף. לבסוף, מוניטין משפיע על ערך המניה, נושאי משרה, נכונות לקיים קשרים עסקיים עם הארגון, ומעמד הארגון מול הרגולציה. ככל שמערכות מידע נעשות קריטיות עבור העסק, כך גם עם אסטרטגיית אבטחה. במאמר זה נסקור את המרכיבים ההכרחיים בקביעת אסטרטגיית אבטחה לארגון מודרני, אסטרטגיה שנגזרת ממספר אמיתות יסוד.

  • לא ניתן להגן על הכל
  • לא כל המידע הארגוני דורש את אותה רמת הגנה
  • טכנולוגיה עוזרת אך לא מחליפה אנשים
  • חשיבות המידע המוגן ואופי האיומים משתנים תדיר
  • גבולות הארגון הם בכל מקום

עידן של תמורות ומרכיבי אסטרטגיית האבטחה

בעולם בו תשתיות מחשוב, פלטפורמות שירות ויישומים עסקיים נמצאים בענן או בגוונים אחרים של שירותים מנוהלים לא ניתן להגדיר את גבולות הארגון וברור שגם לא תהיה שליטה מלאה בסוגיות האבטחה. עם התעצמותה של מהפכת הניידות רוב ארגוני ה- IT ימצאו את עצמם תומכים ומאבטחים ציוד ויישומים שאינם בבעלות הארגון מחד אך שותפים למידע ותשתיות ארגוניות מאידך. ממבט ראשון נראה אתגר האבטחה כמשוכה בעלת מורכבות עצומה.

IDC סבורה כי הדרך היחידה לפתח אסטרטגיית אבטחת מידע ארגונית קוהרנטית, אפקטיבית וברת מימון חייבת להיות מבוססת על תהליך מעגלי העושה שימוש עמוק במומחיות פנימית וחיצונית.

ניתוח עסקי

ניתוח עסקי נועד לסייע במיקוד אופיו ותפקידיו של המידע עליו אנו רוצים להגן. לעיתים קרובות ארגונים מדלגים על שלב זה בהנחה "שכולנו יודעים מה אנחנו עושים" וזה יהיה בזבוז זמן להתחיל משם. אך לדעתנו ללא ניתוח עסקי משמעותי לא ניתן להשיב בצורה סבירה על השאלה מדוע להגן על מידע זה ולא על אחר – כלומר מה באמת חשוב ומה פחות. על ניתוח זה לכלול באופן טיפוסי נושאים כמו:

  • הארגון וייעודו
  • תהליכים עסקיים ומיקומם
  • כוח אדם לסוגיו השונים ומיקומו בתהליכים
  • אתרים ותשתיות
  • מחשוב (תשתיות, יישומים, מידע)
  • רגולציה

ניתוח איומים

לא כל המידע הארגוני שלנו מאוים באותה עוצמה ולכן ללא ניתוח איומים שוב לא ניתן להצדיק השקעה אינטליגנטית באבטחה. ברור שניתוח האיומים הוא תהליך מתמשך וחייב להיעזר בשותפים מתמחים. ניתוח נקודות תורפה יכולות להיות בתשתיות, תהליכים ואנשים ולכל אחת מהן השפעה על חשיפת הארגון. גם בתחום זה לדעתנו יש להיעזר בשותפים מתמחים חיצוניים אך לא לשכוח שגם לעובדי הארגון תובנות עמוקות בנושא זה. ניתוח סיכונים כולל בין השאר:

  • זליגת מידע – ניתוח סוגי המידע והשלכותיהם על תהליכים עסקיים
  • כוח אדם – נגישות למידע ולתהליכים, ידע עסקי
  • רשת – הגישות השונות לרשת הארגונית על חלקיה
  • אביזרים – אביזרי המידע לרבות אביזרים "מהבית"
  • התפתחות – שינוים בתהליכים עסקיים, איומים, טכנולוגיות והשלכותיהם

התאמת אמצעים

ניתוח עסקי וניתוח איומים נועדו לתת בידי מנהלי הארגון תובנות מוגדרות באשר למה המידע הקריטי באמת ומה הם האיומים המשמעותיים על מידע זה. על בסיס תובנות אלה ניתן לגשת לבחינת הטכנולוגיות הזמינות ולהשוות ביניהן באופן יעיל. נתקלנו בהרבה מקרים בהם המנמ"ר מתחיל את שיקולי האבטחה בהשוואה סטרילית בין תכונות של ציוד או תוכנה. זה לא שהטכנולוגיה לא מספקת מגוון של הגנות ממגוון גדול של איומים, אך ללא ניתוח עסקי מקדים לעולם לא נדע אם אנחנו מגינים על מה שצריך מפני מה שצריך. לאור האופי המשתנה של התחום ומגבלות תקציביות, יש לתת את הדעת לנושאים הבאים בניתוח היצע הטכנולוגיות:

  • גמישות – לקחת בחשבון שכל הנחות היסוד של הפתרון במגמת שינוי
  • זמן אמת – על מערכות להגיב בזמן אמת לשינויים באיום ו/או בתהליכים עסקיים
  • תהליכים עסקיים – התאמה בין התהליכים העסקיים שיש להגן עליהם לבין הפתרונות
  • תקציב – השקעה בניתוח ותכנון תחסוך ממון רב בציוד
  • אופי המידע – לא כל המידע הארגוני חשוב באותה המידה. הגן טוב על מה שקריטי
  • מדיניות – ציוד משרת מדיניות ולא להיפך

יישום, אכיפה וניהול

בסופו של יום לא הטכנולוגיה (בלבד) תעשה את העבודה והאחריות נופלת על המנהלים שבידם לקבוע מדיניות ולאוכפה. קיים צורך קריטי בתקשור המדיניות לעובדים, במעקב על רמת ביצוע המדיניות ובאכיפה היכן שזו לא מתבצעת. בתחום מרכזי זה הארגון נדרש לבניין ותחזוק של מערכת יחסים עם העובדים מחד אך גם למערכות בינה עסקית על מנת לנתח את יישום המדיניות. על הארגון להיערך לניתוח שינויים מתמיד המבוסס על קיום מנגנון מובנה של ניתוח השלכות האבטחה של שינויים ארגוניים ו/או תהליכים עסקיים. מידת הצלחת אסטרטגיית אבטחה תלויה באופן קריטי בניהול המשאב האנושי, מה ששום טכנולוגיה לבד לא יכולה לעשות.

בחירת שותפים עסקיים

בכל אחד מהתהליכים הבונים את אסטרטגיית האבטחה יש תפקיד מהותי לשותפים העסקיים. האופי המשתנה של התחום הן במימדיו העסקיים והן אלה הטכנולוגיים מחייבים הסתמכות על גורמים מתמחים. סוג הדברים אותם צריך לבדוק בבחירת שותף עסקי בתחום האבטחה יכלול:

  • רגישות לתהליכים עסקיים – שותף חשוב בעיקר בתמיכה בתהליכי הניתוח והתכנון
  • כוח אדם – ניסיון והיכרות עם ספקי הציוד
  • חדשנות – בסביבה משתנה חליפות, על השותף להציג גישה פרואקטיבית עם מבט אל השינויים והשלכותיהם

היבטים תקציביים

הרבה מנהלי מחשוב שואלים על היחס הנאות של ההשקעה באבטחת מידע מתוך כלל הוצאות המחשוב. לדעתנו הדבר תלוי מאד בענף הפעילות, גודל הארגון, אופי וכמות האיומים ויכול לנוע בין 3% ל-9% מתקציב המחשוב. בישראל של 2011 הוציאו ארגונים על אבטחת מידע בממוצע כ-4.9% מתוך סך ההוצאה החיצונית על מחשוב. סך זה הגיע לכ-270$ מיליון. יש להתייחס ליחס זה בזהירות מסויימת היות והדבר תלוי מאד באופי מערכות המידע של הארגון. כמובן שאין כל קשר בין היקף ההוצאה לבין איכות האבטחה ולא כל דולר קנה את אותה מידת אבטחה.

ניתן לסכם ולומר שימי הארגון בעל הגבולות הברורים, התהליכים הקבועים ומערכות ההגנה הסטטיות עברו לבלי שוב. יעילותה של מערכת אבטחת מידע תלויה יותר בניתוח העסקי ובניתוח האיומים העומדים בבסיסה מאשר בטכנולוגיה. כמו בשאר החלקים של מערכת המידע הארגונית ואולי יותר מהם, על מערכת אבטחת המידע להיות בנויה מראשיתה לתגובה מהירה ולהתמודדות עם שינוי. רוב הארגונים ייאלצו להיעזר בשותפים ברוב או בכל שלבי הבנייה והיישום של תפיסת אבטחת מידע ארגונית. הניסיון מלמד כי כל מערכת אבטחת מידע קמה ונופלת על תקשור ואכיפה של מדיניות. כמו בכל תהליך עסקי, הטכנולוגיה לא מחליפה את הגורם האנושי.

כותב המאמר : גדעון לופז, מנכ"ל IDC ישראל
ליצירת קשר: GLopez@idc.com