יום שני, 14 בדצמבר 2009

התנאים שבהם מנהל אבטחת המידע לא יובס - מאמר שני

משנה שניה:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

במשנה הראשונה למדנו:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.
אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.
אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.
אמרנו שהמקבילה לעולם אבטחת המידע הנה אחת לאחת:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע

וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:
כיצד הכי כדאי לי (לתוקף) לבצע את התקיפה.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.

ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:

מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.
חג חנוכה שמח לכל קוראי הבלוג.
יאיר

יום שלישי, 1 בדצמבר 2009

מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

חזרתי לאחר מספר חודשי "יובש".
מתחיל בסדרת מאמרים קצרים המתייחסים להקבלה שבין אמנות המלחמה כפי שזו באה לידי ביטוי בדברי החכם הסיני, סון טסו ואבטחת מידע מודרנית במאה ה-21.

פרק ראשון: מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

המאמר כתוב בלשון זכר לנוחות בלבד, והכוונה למנהל אבטחת מידע ולמנהלת אבטחת המידע כאחד.

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

משנה ראשונה:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס

אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.

אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.

לא במקרה דברים אלו של סון טסו נלקחו על ידי כמי שעוסק למעלה משני עשורים בייעוץ אבטחת מידע ועל ידי יועצים אחרים העוסקים בתחום זה כמוטו מרכזי לפעילות מנהל אבטחת המידע.
סון טסו דיבר על מצביא, המנהיג את צבא קיסר סין. היום אנו מדברים על מנהל אבטחת המידע, המנהיג את פעילות אבטחת המידע בארגון.
מהו ה"הכר את האויב" של אבטחת המידע? בלשוננו המקצועית זהו תהליך ניתוח איומים וסיכונים המופנים כנגד המידע וטכנולוגיית המידע שבה נעשה שימוש בארגון. אלו כוללים הבטים תהליכיים, אנושיים וטכנולוגיים, פנימיים וחיצוניים.
מהו ה"הכר את עצמך" של אבטחת המידע? הכר את הארגון שאתה משמש בו כמנהל אבטחת המידע. הכר סביבת פעילותו ופעילותו, המבנה הארגוני, תהליכי העבודה בארגון, מיפוי מלא ושלם של טכנולוגיית המידע וזרימת המידע בארגון, תהליכי רכש של רכיבי טכנולוגייה חדשים המשפיעים או עשויים להשפיע על אבטחת המידע, רכיבי אבטחת המידע הקיימים, חוזקותיהם וחולשותיהם וכד'.
מנהל אבטחת המידע אשר מבצע את שני התהליכים הללו באופן מובנה ותקופתי ומקבל החלטות מושכלות על פיהן (במשנה השניה נבין מהן אותן החלטות מושכלות) , גם אם יילחם ב-100 קרבות, דהיינו הארגון יותקף פעמים רבות, מגורמי פנים וגורמי חוץ, בהבטים טכנולוגיים או אנושיים, סביר להניח עפ"י דברי סון טסו שלא יובס.
לא במקרה משתמש סון טסו במונח: "לא יובס" ולא "ינצח".
ניצחון אצל סון טסו הנו המצב שבו העליונות משיגה את תוצאתה ללא מלחמה בפועל.
לא יובס במשמעותנו, יאמר שהארגון ימשיך לתפקד, המידע וטכנולוגיית המידע לא ישובשו במידה כזו שהארגון יפסיק לתפקד, אם כי ייתכן והתוקפים יזכו מעת לעת בהצלחה מוגבלת, במימדי זמן ומרחב.
אם לא יבצע אחת מהמטלות כראוי או שלא יבצעה בכלל, סיכוייו כדברי סון טסו הנם חציחצי.
במידה ואיננו מכיר את אויביו ואיננו מכיר את עצמו, יובס תמיד.
הפרק השני יעסוק במשנה השניה: איזהוא המצביא המשכיל בהגנה ואיזהוא המצביא המשכיל בהתקפה. נבחן את המשמעות לאבטחת מידע הנגזרת מכך. בסופו נאחד את שתי המשנות לכדי משנה סדורה אחת.