אבטחת מידע בארגון - אין מידה אחת המתאימה לכל
מאת:
איתן פריימוביץ, 26.2.19, 17:30
תכנון אבטחת המידע בארגון צריך להתאים למטרותיו, למבנהו, למספר המשתמשים, לסוג המידע שיש בו, לנהלים שלו ולתהליכים הנהוגים בו. כדי להתאים בצורה מיטבית את פתרונות אבטחת המידע בארגון, יש לתת את הדעת ל-5 היבטים חשובים.
נוף איומי הסייבר משתנה באופן דינמי ומציב אתגרי אבטחת מידע לא פשוטים. התקפות הסייבר יכולות לחולל השפעות הרות אסון על ארגונים, אולם לא רק הנזק האפשרי לארגון הביא את הנושא לראש סדר העדיפות, אלא גם רגולציית אבטחת המידע האירופית (
GDPR).
רגולציה זו הסיטה את מרכז הכובד של האחריות לאבטחת המידע, וכיום אחריות זו לא מוטלת רק על כתפיו של מנהל אבטחת המידע אלא גם אל כתפיו של סגל ההנהלה הבכירה בארגון (אף כי מאז ומתמיד הייתה האחריות שייכת גם להנהלה הבכירה, ובפועל הנושא לא נאכף). ההנהלה נושא כעת באופן אישי בעונשים ובקנסות כבדים על כל הפרה של פרטיות המשתמשים ופריצה למידע.
המתח התמידי מפני פריצה מקיפה למידע נמצא תמיד ברקע, בתקופה שבה ארגונים יכולים למצוא את עצמם מותקפים ברמה היום-יומית. תחת הלחצים הללו, כמומחה באינטגרציה בתחום אבטחת מידע, אני נתקל בלקוחות, שמבקשים להטמיע בארגון את מה שהם מכנים "הפתרון הטוב ביותר בשוק", שיספק להם סוג של תעודת ביטוח וחסינות מפני פריצות.
אבל, האם באמת יש פתרון אחד כזה המתאים לכולם? האם הפתרון, שנתפס על ידם כטוב ביותר בשוק או היקר ביותר, הוא בהכרח הפתרון המתאים ביותר עבורם ועבור הארגון שלהם?
שקט נפשי לא תמיד מתחיל בפתרון מסיבי
הרצון בשקט נפשי בגזרת אבטחת המידע הוא בהחלט מובן והגיוני. מי מאתנו לא היה מעוניין בפתרון קסום אחד, שישקיט עבורנו את כל הדאגות. השוק אכן מציע מספר פתרונות מסיביים (ויקרים), מותגים גדולים ומוכרים, שעושים את העבודה בצורה נפלאה.
יחד עם זאת, הפתרונות הללו, טובים ככל שיהיו, לא מתאימים לכל ארגון. בהטמעתם כרוכה עלות כספית גבוהה בעת רכישתם ועלות תפעולית גבוהה לאחר מכן לצורך אחזקתם. חלקם כל כך מסיביים ומתוחכמים, שהם דורשים מספר אנשי צוות לתפעולם והכשרה הדורשת לא מעט משאבים.
באין די תקציב לצורך כך, ואף פעם אין מספיק תקציב, פתרונות אלה הופכים פעמים רבות ל"פילים לבנים, ששבריר קטן מיכולותיהם מנוצל, אם בכלל.
פתרון אבטחת מידע מתאים לדרישות
תכנון אבטחת המידע בארגון צריך להתאים למטרות של הארגון, המבנה שלו, מספר המשתמשים, סוג המידע שיש בו, הנהלים שלו והתהליכים הנהוגים בו. המטרה האולטימטיבית היא, בסופו של דבר, להשיג אבטחת מידע המתאימה לדרישות הארגון, עם עלות, שיוכל לעמוד בה לאורך זמן, פשטות בניהול וגמישות לנוכח שינויים בצרכי הארגון ובנוף האיומים.
כדי להתאים בצורה מיטבית את פתרונות אבטחת המידע בארגון, יש לתת את הדעת למספר היבטים חשובים:
סוג המידע - הגדירו את המידע, שנמצא ברשות הארגון, מקום האחסון שלו (בענן, באתר החברה או בסביבה היברידית), מידת הרגישות, האופן שבו הוא נע ממקום למקום והאם מדובר במידע רגיש של לקוחות.
עמידה ברגולציות - קבעו באיזה רגולציות הארגון צריך לעמוד -
PCI DSS (בתחום כרטיסי האשראי),
HIPPA (בתחום הבריאות),
SOX (בתחום הפיננסים),
GDPR (תקנות האיחוד האירופי להגנה על פרטיות) ועוד.
פריסה גיאוגרפית - הגדירו את פריסתו הגיאוגרפית של הארגון על פי פיזור סניפים ועל פי ביזור העובדים. קחו בחשבון מקרים של עובדים מהבית או מבתי קפה בשטח עם מכשירים ומחשבים ניידים.
מבנה הגוף התפעולי האחראי על פריסת מערכות אבטחת המידע - כמה עובדים יש לכם בצוות אבטחת המידע, עד כמה אתם גמישים במתן שירות בתחום זה וכמה זמן יכול להיות מוקצה לתפעול פתרונות אבטחת המידע.
היישומים בהם הארגון משתמש - קבעו באיזה יישומים נעשה שימוש בארגון, כיצד המידע מנוהל וכיצד ניגשים למידע - האם המידע מנוהל בענן או בדאטה סנטר המקומי? האם ניגשים אליו דרך המחשב האישי או דרך התקנים ניידים?
ניתוח מעמיק של הפרמטרים הללו מסייע בקביעת דרישות אבטחת המידע הנכונות לארגון, וכפועל יוצא מכך בחירה מתאימה של פתרונות האבטחה. אין ספק, שפתרון פשוט לניהול, גמיש וחסכוני לאורך זמן, ישרת את הארגון בצורה מדויקת יותר וטובה יותר ויאפשר לצוותי אבטחת המידע להפיק מהם את המיטב.
מאת:
איתן פריימוביץ, פברואר 2019.
מנכ"ל חברת
Prime Solutions, שותפה של חברת אבטחת המידע
Sophos