יישום ממשל אבטחת מידע

פורסם בתאריך January 25, 2012 על ידי orenh

בשבועות האחרונים פורסמו מקרים רבים של כשלים באבטחת מידע.
חשיפת נתוני כרטיסי האשראי, הפלת אתרי הבורסה ואל על ע”י ההאקר הסעודי, ואפילו צווי ניתוק מהאינטרנט לכ- 1700 בתי עסק, בהוראת בית משפט.
אז מה יהיה בסוף? האם הנהלת ארגון יכולה לומר, “לנו זה (כנראה) לא יקרה”?
איך ארגון יודע אם הוא מאובטח דיו?

התשובה היא יישום ממשל אבטחת מידע!! איך עושים זאת, המשיכו לקרוא…

כבר בפוסטים הראשונים שפרסמתי, השתמשתי בתחום אבטחת המידע כדוגמא לאחת מצורות ממשל.
למה? כי זה נושא רלוונטי לכל ארגון וארגון. לא משנה מהו תחום העיסוק, כארגון, תמיד יש מידע שעליו עלינו להגן וחשיפתו מהווה סיכון עבורנו. זה יכול להיות פרטים אישיים של העובדים, פרטי לקוחות, פרטי ספקים, נתונים פיננסיים, ובאותה מידה המידע שעלינו להגן עליו הוא קניין רוחני או אפילו תוכנית אסטרטגית של הארגון. ומנגד, יש מידע שאנו מכילים שהוא בחזקת הכלל. המידע מפורסם, נגיש ולא מהווה שום איום עבורנו.

בקצרה, מהו ממשל אבטחת מידע? קביעת עקרונות על (קווים מנחים) לניהול אבטחת המידע, התאמתו לצרכים ולמטרות הארגוניות, ניהול הסיכונים שבחשיפתו ועמידה בדרישות חיצוניות אליהן הארגון מחויב (ולעיתים מעוניין לעמוד בהן). ובמקביל, ולא פחות חשוב, מדידת התוצרים והתפעול של יישום מערך אבטחת המידע במדדים עסקיים.

איך עושים זאת? ראשית, קובעים מיהו הגורם המטפל.
רצוי וכדאי שיהיה בכיר ככל הניתן. מוודאים שהמינוי יינתן וייתמך ע”י ההנהלה הבכירה ובמידת הרלוונטיות והאפשרות, יש לעגן (ולהציג) פעילות זו מול מועצת המנהלים.
לאחר מכן, חושבים ומבינים מהם הצרכים של הארגון.
יש לזהות מהו המידע שעליו אנו רוצים להגן. במידת הצורך מבצעים ניתוח וסיווג למידע הארגוני (Data Classification), ומכאן נגזר הצורך להגן על המידע באופן שונה בין רמה לרמה. על מידע קריטי נגדיר הגנות אינטנסיביות יותר לעומת מידע שהוגדר כזמין (בלמ”ס, בעגה הצבאית) עליו נגן במינימום אמצעיים (בהתאם לצרכים הארגוניים).
חשיבה זו מהווה את התשתית לעקרונות ממשל אבטחת המידע.
ההגדרה מהו מידע קריטי ומהם אמצעי המיגון הנדרשים, לעומת הגדרת מידע זמין והמיגון הנדרש בגינו הם בדיוק עקרונות העל. אח”כ ביישום, בתוכנית הניהולית, נגדיר באילו כלים נשתמש ומי נגיש לכל רמת מידע שקבענו.
החשוב ביותר בתהליך, הוא להבין מהם הסיכונים הכרוכים במידע הקיים בארגון ולטפל בסיכונים בהתאם לצרכים. כמובן שיש להתחשב גם בנושא הרגולציה. עלינו להבין כי אם המידע הקיים נופל בהגדרת רגולציה זו או אחרת (לדוגמא: נתונים אישיים תחת פרטיות, נתונים פיננסיים תחת PCI וכדומה) עלינו לפעול בהתאם להנחיות הרגולציה.

ברשותכם, אני עוצר בברוטאליות (ובחוסר אובייקטיביות מעליבה) ואומר – אל תמציאו את הגלגל.
קחו יועצים שכבר עשו זאת. השתמשו בתקנים ובמסגרות עבודה קיימות.
היעזרו בארגונים שכבר בצעו פעילות שכזו, ובמיוחד, אל תתנו למתחרים / קולגות שלכם להקדים ולהשיג עליכן יתרון עסקי.

וחזרה ליישום.
אחרי שהגדרנו את עקרונות הממשל – הקווים המנחים, ואחרי שבנינו תוכנית ניהולית ליישום, נותר החלק האחרון והלא פחות חשוב, קביעת ממדים עסקיים לאיכות תוכנית אבטחת המידע הארגוני .
מדדים ברמה הגבוהה כגון: האם זוהתה פריצה למידע הארגוני? האם מידע מסווג נחשף לגורמים שאינם מורשים לכך? האם השירות שאנו נותנים נפל עקב כשל באבטחת מידע? ודומיהם אינם מספקים ארגונים ו/או מנהלים כיום. אלו שאלות שאכן חשוב שנעלה, אך הם נותנים מענה של שחור ולבן בלבד ולא מזהים מגמות ו/או שינויים באיכות וביעילות תוכנית אבטחת מידע.
כאן המקום לקחת את אותם יועצים ואותן מתודולוגיות שכבר שימשו אותנו בתכנון ולנצלם לקביעת מדדים שאכן נותנים אינדיקציות של שינוי ושל מגמתיות.
למשל: תוכנית אבטחת מידע טובה תכלול גם הדרכות לעובדים, ולכן מדד כמות עובדים שעברו הכשרה, בדיקת ערנות עובדים לכשלים יזומים, מספר קריאות מצד העובדים לסיכונים ו/או כשלים קיימים, כמות טעויות האנוש שדווחו וכדומה יהוו מדדים יותר איכותיים ממדד על האומר האם בוצעו הדרכות לעובדים.
תוכנית אבטחת מידע טובה גם תכלול עדכונים שוטפים לעובדים / לקוחות.
יחד עם זאת, מדד של כמות העדכונים אינה מספקת, יש לחשוב על כמות הפניות בתשובה לעדכון, כמות התיקונים שנעשו בעקבות עדכוני אבטחה, איכות העדכונים עצמם, כמות הגורמים המקבלים / מבקשים לקבל עדכונים וכדומה.
ודוגמא אחרונה, תוכנית אבטחת מידע תכלול גם דוחות פרטניים.
האם דוחות אלו מספקים תשובה ראויה למנהלים? לא תמיד.
ראשית, מנהלים רבים אינם עוברים על דוחות אלו.
שנית, הדוחות הם בלא מעט מקרים מהווים מידע גולמי. עלינו להפוך את המידע לידע ולספר את הסיפור שלנו מתוך המידע הקיים.
לנתח, להסביר, לפרט, ולעיתים אך לפרש את המידע למשמעות עסקית טהורה על מנת לקבל התייחסות ראויה לנתונים שהעלנו. הדוגמאות הן רבות כגון: ניתוח לוגים מתוך מערכות אבטחת המידע (אי אפשר להבין כלום מדוח לוגים, יש לפרט ולהסביר משמעות), דוחות גישה לנתונים מסווגים (למשל, סימון כל הלא מורשים שהגיעו למידע המסווג) ועוד.

השורה התחתונה היא להתאים את המדדים לתוכנית העסקית.
ארגון הרוצה לגדול במכירות, ישים דגש על מדדים הקשורים לשיווק המוצר / השירות שהוא מספק. אם התוכנית השיווקית היא בנוגע לאיכות אזי, על המדדים להיות בתחום איכות המוצר / שירות ואם התוכנית השיווקית היא על אופי השירות הניתן, אזי,  יש להתאים מדדים לאיכות השירות וכן הלאה.
בסופו של דבר הכל מתחבר. הפעילות הארגונית והיעדים העסקיים מהווים ספינת הדגל ובכך, משפיעים על כל רבדי הארגון, לרבות תוכנית אבטחת המידע שלו.
כאשר אנו מתאימים תוכנית ממשל אבטחת מידע (טכנולוגיית המידע או כל ממשל אחר), היא חייבת להיות בהתאמה לתוכנית העסקית. אחרת דינה להפוך להוצאה ולא להשקעה (מה שבעולם שלנו הופך להיחשב ככישלון)

חושבים אחרת? יש לכם דוגמאות נוספות?
אני בטוח שכולם ישמחו לשמוע…

פורסם בקטגוריה אבטחת מידע, כללי, ממשל

Leave a Reply

Your email address will not be published. Required fields are marked *