עד כה הפוסטים שכתבתי הדגישו את תחום הממשל וברובם ניסיתי להסביר במה שונה השימוש בעקרונות ממשל מהניהול השוטף. בפוסט הזה אני רוצה להתרכז דווקא בניהול השוטף ולהציג את היתרונות בשימוש ובהטמעת תקני עבודה בינלאומיים, וכמו תמיד בכפוף לצרכים הארגוניים.
ישנם עשרות מתודולוגיות, מסגרות עבודה, תקנים, שיטות עבודה ועזרים אחרים לניהול אפקטיבי ונכון לטכנולוגיית המידע. עקב קוצר היריעה, בפוסט הזה אני אתרכז בתחום אבטחת מידע בלבד.
למה? כי זהו נושא הרלוונטי לכל ארגון ללא קשר לתחום עיסוקו ולגודלו, עולם אבטחת המידע והגנת הסייבר זה אחד הנושאים החמים ביותר, ובנוסף, אני כרגע מייעץ בכמה פרויקטים בתחום ממשל אבטחת מידע (להפתעתי ובעיקר לשמחתי, הנושא צובר תאוצה ומודעות), כך שנוח לי להציג את מסקנותיי בתחום אבטחת המידע.
אז בואו נתחיל:
בעולם הטכנולוגי שלנו, אבטחת מידע נדרשת בכל ארגון, בכל תהליך, לכל עובד.
מהרגע שהשירותים ו/או המוצרים שניתנים הינם מבוססי ידע כלשהו (ואני לא מצליח לחשוב על כאלה שאינם) הרי עלינו להגן על המידע שבאמצעותו אנו מספקים את התוצר/ים (אפילו אם הוא נמצא רק בראש של ראש הארגון).
אם כך, מתי אנו מוגנים מספיק?
או כמו שכתבתי בפוסט יישום ממשל אבטחת מידע, מתי ארגון יכול לומר: “לנו זה לא יקרה?”
התשובה לשאלה הזו היא סובייקטיבית לחלוטין. לאחד זה עכשיו ולשני זה אף פעם לא. אנשי אבטחת מידע יודעים שתפקידם לוודא כי אבטחת המידע תקפה 24 X 7 X 365, עכשיו נשאלת השאלה איך עושים את זה?
בלא מעט ארגונים (שלא נגיד רובם), מנהלי אבטחת המידע / האחראיים על יישום בקרת אבטחת המידע, הם אנשי אבטחה שהצליחו בעבודתם, הוכיחו את עצמם והתקדמו לתפקידים ניהוליים.
יתרה מזאת, מרבית הארגונים מחפשים אנשי ניהול אבטחת מידע בעלי ידע ביצועי (Hands On) בכלים הטכנולוגיים העיקריים שהארגון משתמש לאבטחת המידע שלו.
כנסו למודעות דרושים, מנהלי אבטחת מידע ובד”כ תמצאו דרישות “ידע וניסיון בתפעול מערכות פיירוול מסוג X או מערכת מניעת זליגה מסוג Y” וכדומה.
וכל זה למה? מהסיבה הפשוטה שכך הארגון פעל ומבחינתו, עליו להמשיך ולפעול באותו אופן.
אני חושב וטוען כי זוהי הטעות (!!!) שארגונים רבים (גדולים כקטנים) עושים.
אבטחת מידע אינה כלי זה או אחר. אבטחת מידע הוא תהליך. תהליך רוחבי ועליו להיות חלק במכלול התהליכים העסקיים. הרי הסיכונים משתנים, אמצעי הפריצה והיכולות משתפרים כל הזמן, הצרכים הארגוניים מתחלפים, התהליכים העסקיים משודרגים… למה אבטחת המידע נשארת במצב הקיים ומתבססת על הכלים הקיימים?
איך מקדמים את אבטחת המידע במקביל לשינויים הפנימיים והחיצוניים שהארגון חווה?
לדעתי המקצועית, הדרך הנכונה ביותר היא יישום מתודולוגיה / תקן לניהול אבטחת המידע.
אני אסביר:
אבטחת מידע אינה תהליך עצמאי. על אבטחת המידע להיות:
ברמה הארגונית – לארגון צריכה להיות מודעות ותפיסה ברורה של מה נחשב מותר ומה אסור בהקשר לנגישות / שימוש / הצגה ושמירה על המידע הארגוני, חבר הנהלה המשמש (לפחות) כספונסר לנושא ובנוסף, חיבור ליעדים העסקיים המשתנים.
כל המתודולוגיות / תקנים מדגישים את הדרג הניהולי (עסקי) כחלק בלתי נפרד ממערך אבטחת המידע הארגוני.
ברמת התהליכים העסקיים – על בקרות האבטחה להיות מוטמעות בתהליכים עצמם ולא כבקרה חיצונית לתהליך. בקרות המוטמעות בתהליכים לא רק משפרות את סביבת הבקרה הכללית, אלא הן מאפשרות יכולת קבלת החלטות נכונה יותר בהינתן הסיכונים והחשיפות בתהליך הספציפי.
לדוגמא: מתן הרשאות גישה למידע חייב להינתן ע”י המנהל העסקי האמון על אותו מידע ולא לפי שיקול דעת חיצוני של אנשי מערכות מידע / אבטחת מידע או כל גורם אחר. “בעל הנתונים” הוא הישות העליונה ביותר בקבלת החלטות אלו. הגיוני וסביר שהוא ירצה להתייעץ ולהסתמך על מידע מקצועי שיינתן לו ע”י מנהל / אנשי אבטחת המידע אך עליו לקבל את ההחלטה הסופית האם לאשר או לא נגישות למידע שבבעלותו.
גם כאן, כל המתודולוגיות / תקנים מדגישים את הטבעת (Embedded) בקרות אבטחת המידע בתהליכים העסקיים ואת האחריות של הדרג הניהולי (עסקי) לוודא כי התהליכים עליהם הם אמונים אכן כוללות סביבת בקרת אבטחת מידע נאותה.
ברמת העובד – כל עובד חייב לדעת מהן הסיכונים הבסיסיים שהוא נושא בחובו מהרגע שהמידע הארגוני (חלקו או כולו) זמין לו (אפילו אם מדובר בצפייה בלבד) וחשוב לא פחות על העובד לדעת מהם הכלים הבסיסיים מבחינתו לטיפול במקרה שבו קיים חשש לפריצת מערך האבטחה הארגוני. מפעולות שעליו לעשות, דרך כלים שעליו להפעיל ועד לגורמים שעליו לפנות על מנת לדווח כל אירוע הקשור בצורה ישירה ו/או עקיפה לסיכוני אבטחת מידע.
ושוב, אין מתודולוגיה / תקן שאינו מתייחס לגורם האנושי ולידע הנדרש ממנו ליישום מערך אבטחת מידע ארגוני.
שימוש ויישום מתודולוגיה / תקן מאפשר:
1. הנהלת הארגון יודעת כי אכן אבטחת המידע מוטמעת בתהליכים העסקיים.
2. מנהל אבטחת המידע (או המנהל האחראי) מוודא כי כל נושאי אבטחת המידע הרלוונטיים לארגון מנוהלים (באופן שיטתי וקבוע) ובקרות מומלצות מיושמות עפ”י הצרכים הארגוניים.
3. התבססות על ניהול סיכונים, בחינה עקבית והתאמות לשינויים.
ביצוע סקר ראשוני מאפשר לארגון לקבל תמונת מצב עדכנית ושימוש במדדים לבדיקת יעילות מערך האבטחה באופן תמידי (בסקר הארגון נמצא במצב מסוים והמדדים משמשים לשיפור מתמיד באמצעות בדיקה שאחרי פעולות שהוגדרו לשיפור המערך המצב השתנה לטוב יותר וכך ניתן להעלות את רף המדד גבוה יותר).
אני בטוח שישנם סיבות נוספות ראויות לשימוש במתודולוגיה / תקן מוכר.
יחד עם זאת, ולסיכום, שימוש במתודולוגיה סדורה ו/או תקן מוכר אינו מבטיח יעילות למערך אבטחת המידע. יישום של סימון וי ברשימת המטלות (יישום “עיוור”) הוא לא בהכרח פתרון (וברב המקרים הוא ממש לא פתרון) בל נשכח שאם אנו עומדים בפני תקיפה, גם התוקף יודע ומכיר את בקרות התקן. השימוש בבקרות “המוכרות” מהווה הגנה נגד טעויות ובעיקר מסגרת שעל הארגון לקחת בחשבון כשהוא מבקש לאבטח את המידע החשוב לו.
תפקידי הממונים על אבטחת המידע הוא קודם כל לחשוב!!!
יש להפעיל שיקול דעת ולהתאים את הנחיות אבטחת המידע למצב הארגוני.
אבטחת המידע של היום משתנה באופן כל כך מהיר ששום מתודולוגיה אינה יכולה לתת צ’ק ליסט של בקרות שברגע שארגון מיישם אותן הוא מוגן. אסור לארגון לקפוא על השמרים בנושא, תמיד להיות עם היד על הדופק, להיות קשובים לשינויים, ולהעריך את הסכנות והסיכונים המתחדשים לאבטחת המידע הארגוני.
כאשר אנו מטמיעים מתודולוגיה / תקן עלינו לחשוב ולהבין את המשמעות של הבקרות המוצעות, לבחון האם הן מתאימות ורלוונטיות לארגון שלנו ולהתאים את יישומן לצרכים הספציפיים של הארגון.
חושבים אחרת? יש לכם תובנות נוספות? נשמח מאוד לשמוע אותן בתגובות כאן למטה.
רוצים לשמוע יותר, מעוניינים בפגישת ייעוץ ללא תשלום וללא התחייבות, צרו קשר במייל info@know-it.co.il או בטלפון 076-5436466, ונשמח לתאם.
