אני ממשיך לקבל תגובות לפוסט יישום ממשל אבטחת מידע שפורסם כאן בינואר.
לפיכך, החלטתי להרים את הכפפה ולהתחיל לפרוט את המשמעויות של יישום ממשל אבטחת מידע בארגונים.
התחלת יישום ממשל הוא בקביעת עקרונות העל. במקרה שלנו, עקרונות אבטחת המידע ובמקרים רבים נתעד אותם במסמך מדיניות אבטחת מידע ארגוני.
למה דווקא במסמך מדיניות, מאוד פשוט, מסמך זה מייצג את עקרונות “המה” עלינו לעשות. בעוד ניהול אבטחת המידע הוא בנהלים האומרים “איך” לעשות זאת.
אם כך, איך כותבים מסמך מדיניות אבטחת מידע?
כמו כל דבר, מתחילים מההתחלה. כל עסק, בין אם הוא נולד היום, או קיים ונושם, בין אם מדובר במפעל יצרני, או מתחם משרדים, בצפון או בדרום, עלינו לקחת בחשבון שלושה פרמטריים עיקריים במדיניות אבטחת המידע שלנו:
אבטחה פיזית, אבטחה לוגית והגורם האנושי (המשתמשים ובעיקר עד כמה אנחנו סומכים עליהם).
שיטות הניהול של היום, מציבות ארגונים רבים באתגרים לא פשוטים.
אתגר האבטחה, ברוב המקרים, נדחק לפינה ומקבל עדיפות נמוכה יחסית בתקצוב ובמשאבים. כתוצאה מכך, הארגון מתחיל באבטחה פיזית מינימאלית (בד”כ בהתאם לדרישות חברות הביטוח), הגישה הלוגית מכוסה בפיירוול והגורם האנושי מסתכם בראיונות משאבי אנוש ולא באנשי ביטחון המתמחים בזיהוי בעיות אמינות. במילים פשוטות, קו ההתחלה אינו מזהיר…
מצד שני, חלק מהאתגרים העומדים בפני ארגון הוא להיזהר גם מאפשרויות תקיפה, הן מצד מתחרים עסקיים, הן פושעי מחשוב ובמדינתנו אפילו טרוריסטים.
לכן, כמו בכל מודל עסקי אחר, ראשית עלינו להעריך את הסיכונים העומדים בפני הארגון, הן הסיכונים הצפויים ובמידת האפשר הסיכונים הלא צפויים.
לכל סיכון שזוהה, עלינו להצמיד “תג מחיר”, וסליחה על האנלוגיה, שיהיה על הארגון לשלם במקרה של התממשות הסיכון. הכפלת אותו “מחיר” (זהירות: לא להשתמש במושג הקודם שוב), בהסתברות שהסיכון אכן יתממש נותן לנו אינדיקציה עד כמה נדרשת אבטחת המידע ומה התעדוף שעלינו לבצע בין הסיכונים השונים. הערכה זו בצירוף מגבלות תקציביות יאפשר לנו להבין מול אילו סיכונים אנחנו עומדים, מתמודדים או במקרים מסוימים אפילו מודעים לכך שאנו לא מוגנים מפני אותם סיכונים.
כנגד הסיכונים העיקריים שזיהינו, עלינו לקבוע מהם קריטריוני הסף לבקרות אבטחת המידע הארגוני:
לפני שאני מתחיל לפרוט את אופן ההתייחסות לשלושת הקריטריונים, אני מבקש להדגיש:
יש להתייחס לאבטחת מידע כתהליך עסקי לכל דבר. כמו בכל תהליך עסקי אחר, עלינו להבין מהם הצרכים הנדרשים בארגון שלנו ולהתאימם לתוכנית אבטחת המידע.
תפקיד אבטחת המידע הוא להגן ולשפר את התהליך העסקי ולא לעכב אותו. המשמעות היא, ניהול הסיכון בתהליך ובאותה נשימה התאמה לצרכי התהליך. יתר אבטחה ימנע מהתהליך להיות יעיל ושימו לב: מחיר “אבטחה בכל מחיר” תמיד יהיה גבוה מדי.
אבטחה פיזית – מגוון הפתרונות הקיימים בשוק, הוא לא נתפס. מצלמות, חיישנים, חומרים כימיים כאלה ואחרים ועוד ועוד. השאלה הנשאלת היא: מה אנחנו באמת צריכים?
האבטחה הפיזית היא חלק ממארג האבטחה, היא לא עצמאית ועליה לתת פתרונות ליותר מחדר השרתים. זה נכון שעיקר ההנחיות צריכות להיות סביב משאבי הטכנולוגיה המרוכזים בדרך כלל בחדר אחד מרכזי, אך גם הגישה הפיזית לתחנות עבודה, לסביבת הייצור, למתחם המשרדים עצמו יכולים במקרים רבים להוות סיכון לארגון.
עקרונות העל חייבים להתייחס למכלול האבטחה הפיזית. במקומות מסוימים יש חשיבות למיקום חדר השרתים, ובמקומות אחרים תהיה התייחסות לעובי הקירות במשרדים, סוגי ורמות המנעולים, בקרת כניסה נרשמת וכדומה.
אל תשכחו, היום (כמעט) כל התהליכים העסקיים מנוהלים בצורה ממוחשבת. מתן גישה פיזית ברוב המקרים מאפשר גישה לוגית!! לכן, האבטחה הפיזית תכלול התייחסות לגישה פיזית למשאבי המחשוב, לרבות (ואולי אפילו בדגש) על גישה של גורמים פנים ארגוניים. כמו שציינו, עלינו לקחת בחשבון גם את הגורם האנושי.
אבטחה לוגית – תחום האבטחה הלוגית עובר שינויים במהלך השנים האחרונות והתמחויות חדשות נכנסות לתחום הגדל הזה. הסיכונים העומדים בפני ארגונים הם פועל יוצא של רמת ההתבססות על טכנולוגיה. גם כאן, ישנם כל כך הרבה כלים ואפשרויות שהיום כל ארגון מתפעל לפחות 3-4 מערכות / כלים בתחום (אתם מכירים ארגון ללא פיירוול, נתבים בעלי רשימות גישה, אנטי וירוס ו/או רשימות משתמשים מוגבלות ברשת הארגון? כי אני לא מכיר…) בדגש על לפחות. במסמך מדיניות אבטחת המידע עלינו להגדיר מהו המינימום הנדרש כנגד הסיכונים שזיהינו בתחילת התהליך.
במרבית הארגונים שאני נתקלתי, ישנם סוגי מידע רגישים יותר ורגישים פחות ולכן המומלץ ביותר הוא לבצע סיווג מידע ולהגדיר מינימום נדרש למידע הכי פחות רגיש ומשם להמשיך בקריטריוני סף יותר מאובטחים ככל שאנו עולים ברמת הרגישות ו/או הסיכון בחשיפת המידע הרגיש ביותר.
דוגמא קלאסית היא הגדרת רשת בסיסיות כמינימום למידע שהוגדר כאינו רגיש במיוחד אל מול אבטחת מידע רגיש בסגמנט נפרד ברשת, אליו הנגישות מצומצמת ודורשת אמצעי זיהוי שלישי, בד”כ אמצעי פיזי (טוקן כלשהו ולעיתים אפילו ביומטרי).
הגורם האנושי – האמת, גם כאשר אבטחת המידע הפיזית והלוגית מתוחזקים בצורה מושלמת, הגורם האנושי הוא הסיכון הגדול ביותר. טעויות אנוש, גורמי בצע או תסכול, רוע ולעיתים אף פלילי ייזום (ריגול תעשייתי פנימי) הם מראות שאנו רואים יותר ויותר בשנים האחרונות.
בדיקות וראיונות אבטחה מקצועיים לפני קליטת עובדים, ובעיקר הגברת מודעות וידיעה הם הפתרונות העיקריים כנגד הגורם האנושי. יצירת מודעות נעשית ע”י תדרוך, מיילים תקופתיים, חיוב X שעות הדרכה בנושא אבטחת מידע, הסברים על משמעות הנזק שעלול להיגרם ותרגול הם כולם כלים הניתנים לתחזוק ולמדידה במדיניות אבטחת המידע הארגוני.
לסיכום: מדיניות אבטחת מידע ארגוני מוודא שתהיה מינימום תוכנית פעולה בשלושת הפרמטרים הללו, בדגש על אפשרויות מדידה בצורה פשוטה ככל האפשר.
ודבר אחרון. לא משנה כמה מאובטח הארגון שלכם, עם הזמן, המשאבים והרצון תמצא הפרצה. לפיכך, גם על מסמך מדיניות אבטחת המידע הארגוני כדאי ורצוי לעבור תקופתית על מנת לוודא שהיא עדיין אקטואלית ומשרת את הצרכים הארגוניים.
לארגונים בכלל, ובתחום אבטחת המידע בפרט, אסור לקפוא במקום!!
משפטים כגון: “לנו זה לא יקרה”, “אני סומך על העובדים שלי”, “אין לי בעיה שהם נגישים להכל”, הם משפטים ששמעתי כל כך הרבה פעמים ממנהלים. ומנגד, מעילות שנתקלתי בארגונים, השבתות מלאות של מערכות עקב פרצות וחשיפות שלא נוהלו, נזקים למידע עקב טעויות אנוש… בארגונים הללו שומעים הרבה פחות אמירות שכאלה.
אל תתנו לארגונכם להיקלע למצב שכזה.
הקדימו תרופה למכה ותנו גם למקרים אלו “מחיר” עבור ההנהלה.
בסופו של דבר זה מתפקידם להחליט ולאשר מה יבוצע בפועל ומה ייספג בנייר.
רוצים ליישם ממשל אבטחת מידע בארגונכם?
צריכים סיוע בבניית מדיניות אבטחת מידע ארגוני?
סיוע והרחבה בנושא האחריות (נשיאה באחריות ותחומי אחריות)?
איך המבנה הארגוני קשור ליישום ממשל אבטחת מידע?
חברת Know-IT מתמחה ביישום עקרונות ממשל.
צרו קשר בטלפון 076-5436466 או שלחו מייל לכתובת info@know-it.co.il ונשמח לבדוק כיצד אנו יכולים לסייע.
