כתיבת אסטרטגיית אבטחת מידע

לאור התגובות לפוסט הקודם, הצגת אסטרטגיית אבטחת מידע להנהלת הארגון, בפוסט הזה ננסה להבין מהם האתגרים האסטרטגיים באבטחת מידע ואיך עלינו לענות עליהם. או במילים אחרות, מה כותבים באסטרטגיית אבטחת מידע.

כיוון שכמות האתגרים והשפעתן על הארגון משתנות מארגון אחד למשנהו, אשתדל לפרט אתגרים בצורה כללית יחסית, כאשר על כל אחד מכם, לעשות את ההתאמות, בהתאם לצורכי הארגון בו הוא פועל…

בסקר שפורסם ביולי האחרון, ע”י חברת ESG – חברת מחקר ואסטרטגיה בעולם הטכנולוגיה, תחת הכותרת – “שינויים באופק ניהול ותפעול אבטחת מידע“, נמצא כי האתגר הגדול ביותר של מנהלי מערכות מידע ומנהלי אבטחת מידע הוא אילוצי תקציב (כמה מפתיע, נכון?), אם כך, כיצד מתגברים על אילוצי תקציב?
לפני שנענה על האתגר הראשון, להלן ארבעת האתגרים הנוספים המרכיבים את רשימת חמשת האתגרים המשמעותיים ביותר, עפ”י הסקר, העומדים בפני מנהלי מערכות מידע ואבטחת מידע:

2. מעבר מניהול הגנתי (כמענה למקרה) לניהול אקטיבי מקדים, לרבות תכנון.

3. היעדר ידע וכישורים בתחומי אבטחת המידע במחלקת הטכנולוגיה.

4. ריבוי כלי אבטחה נקודתיים

5. היעדר ידע וכישורי אבטחה במחלקת אבטחת מידע עצמה.

אז מה ניתן לעשות? איך בונים אסטרטגיית אבטחת מידע העונה על חמשת האתגרים המובילים הללו?

ראשית, אין ספק שנושא התקציב הוא האתגר הקשה ביותר, ולא רק בתחום אבטחת המידע.
כולנו יודעים שבסופו של דבר הכל מסתכם בעלות. או בשפה הניהולית – עלות מול תועלת ובמקרים אחרים החזר השקעה (ROI).

כפי שהצגתי בפוסט הקודם, כאשר אנו מציגים צרכים להנהלה, עלינו לדבר במונחים של השקעה ולא מונחי עלות. העלייה באיומי הסייבר (בעולם בכלל ובארצנו בפרט), הנעשים מתוחכמים יותר ויותר מצד אחד והעלייה בדרישות הרגולציה מאידך, מייצרים אף הם דרישות השקעה באבטחה ובמיגון. מכאן, כאשר אנו כותבים אסטרטגיה לאבטחת מידע, עלינו לשלב שינויים אלו הן בצרכים והן בכדאיות הכלכלית של השקעות באבטחה. יש לקחת בחשבון שחברי הנהלה, שאינם בהכרח בעלי הבנה מעמיקה בטכנולוגיה, מבינים כי על מנת שהיחידות העסקיות יוכלו להמשיך ולתפקד, עליהם ליישר קו עם אותן דרישות רגולציה ואיומים טכנולוגיים משתנים. פעילות זו תתבצע בצורה אפקטיבית אך ורק באמצעות תאימות בין הצרכים העסקיים להשקעה באבטחה.

בנקודה זו אציין כי מניסיוני, אני מוצא יותר ויותר מנהלים עסקיים המבקשים נתונים ועדכונים בנושאי אבטחה באופן שוטף, מה שמגביר מודעות מצד כל המשתתפים וחשוב אף יותר, הבקרות, המדדים ובסופו של דבר העדכונים הופכים להיות יותר עסקיים ואפילו פיננסיים ופחות טכנולוגיים.

אם כך, בתוכנית האסטרטגית אנו רוצים להראות את התאימות בין הדרישות העסקיות לפעילות האבטחה. אחת הדרכים האפקטיביות ביותר ליישום התאימות היא באמצעות תכנון מודולרי של הקמת גופי חשיבה ופעולה משותפים, כגון: ועדות היגוי משותפות (עסקי, טכנולוגי ואבטחה) וצוותי פעולה משותפים, הכוללים עשייה משותפת, מדדים ודיווחים שוטפים למנהלים הבכירים יותר. הקמת ועדת היגוי עליונה, אפילו לשם אשרור התוכנית האסטרטגית, תניע את הארגון ליישום של קבוצות עבודה וחשיבה רחבות יותר ותיישם הלכה למעשה את האינטגרציה והתאימות בין היחידות העסקיות לפעילות אבטחת המידע.

דבר נוסף הנדרש מאסטרטגיית אבטחת מידע הוא התקדמות ולימוד מוכווני צרכים עסקיים. כאמור, האיומים והסיכונים מתקדמים ועלינו להתאים את צוות האבטחה לשינויים המתרחשים. על אסטרטגיית אבטחת המידע לכלול תוכנית התקדמות טכנולוגית לעובדים המכילה קידום מקצועי של העוסקים במלאכת אבטחת המידע באמצעות: הסמכות מקצועיות, הדרכות פנימיות, ובמידת הצורך שמירת תקציב לייעוץ חיצוני של בעלי ידע וכישורים  החסרים בארגון. תוכנית אסטרטגית יכולה אף לכלול תקציב למנטור מקצועי שילמד ויכוון את העובדים הקיימים בתחילת דרכם עם טכנולוגיות חדשות.
בדיוק לשם כך, האיגוד הישראלי לאבטחת מערכות מידע (ISSA), מקיים מפגש מקצועי בנושא הסמכות בעולם אבטחת המידע. המפגש יתקיים ב- 27.11.12, בקריה האקדמית אונו, בקרית אונו, אתם יותר ממוזמנים להגיע ולנסות לבנות אסטרטגיית לימוד בארגונכם (גילוי נאות, אני חבר באיגוד. כמו כן, תמכתי והמלצתי לקיים כנס שכזה. אני מאמין כי השירות הזה הוא בעל חשיבות עצומה לעוסקים באבטחת מידע בכלל ולחברי האיגוד בפרט).

סקר נוסף, הפעם מטעם חברת RH Technology , מראה כי למעלה מ- 70% ממנהלי הטכנולוגיה, בצפון אמריקה, התקשו למצוא אנשי מקצוע מוכשרים במהלך הרבעון השלישי של 2012 (מתקשר בעיקר לאתגרים השלישי והחמישי). מכאן ניתן להסיק כי במקרים רבים יותר קל, ובטח יותר נכון, להרחיב את הידע לעובדים קיימים מאשר למצוא עובדים מתאימים לטכנולוגיות חדשות (מעבר ללויאליות שנקבל מהעובדים המתקדמים מקצועית).

וכמובן בנוסף לעיל, יש להציג תוכנית פעולה כללית המציגה איך אבטחת המידע מאפשרת את השגת המטרות העסקיות של הארגון, תוך שמירה על תאימות לחוק ולתקנות ודרישות בעלי העניין.

לגבי אתגרי אבטחת מידע בנושא מענה לבעיות במקום תכנון מראש, וריבוי כלי אבטחה נקודתיים, הרי שמדובר בבעיות פרטניות של כל ארגון וארגון. בהקשר זה אני תמיד ממליץ ללקוחותיי לחשוב יחד עם המנהלים העסקיים ולהבין את הצרכים של הארגון.
ככל שנבין טוב יותר את הארגון, צרכיו ומטרותיו, יקל עלינו לתכנן פעילות מראש, כולל בחירת פלטפורמות עבודה וכלים אחידים ומקיפים. לצערי, יש כל כך הרבה מנהלי אבטחת מידע או אפילו מנמ”רים הרואים בכלי זה או אחר פתרון לבעיה נקודתית ומחליטים לרכוש את הפתרון. בסופו של דבר הם מוצאים עצמם משקיעים משאבים אדירים (ומשלמים תקורות מיותרות) בתפעול הכלים השונים ובסיטואציה קשה לניהול.

לנהל מערכת אינטגרטיבית פלוס מערכות לוויין תומכות קל הרבה יותר מאשר מערכות שונות המחוברות בקשרים ניהוליים בלבד. תוכנית אסטרטגית טובה, תכלול תכנון ובחירה של פלטפורמת אבטחת מידע אחת והרחבתה במהלך התקופה.

.

מי שרוצה דוגמא לתוכן עניינים מפורט יותר, מוזמן להגיב או לפנות אלי במייל

Hadar.oren@know-it.co.il, ואשמח לעזור ככל שאוכל.

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

תגובה אחת

Leave a Reply to דני Cancel reply

Your email address will not be published. Required fields are marked *