יום שלישי, 1 בדצמבר 2009

מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

חזרתי לאחר מספר חודשי "יובש".
מתחיל בסדרת מאמרים קצרים המתייחסים להקבלה שבין אמנות המלחמה כפי שזו באה לידי ביטוי בדברי החכם הסיני, סון טסו ואבטחת מידע מודרנית במאה ה-21.

פרק ראשון: מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

המאמר כתוב בלשון זכר לנוחות בלבד, והכוונה למנהל אבטחת מידע ולמנהלת אבטחת המידע כאחד.

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

משנה ראשונה:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס

אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.

אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.

לא במקרה דברים אלו של סון טסו נלקחו על ידי כמי שעוסק למעלה משני עשורים בייעוץ אבטחת מידע ועל ידי יועצים אחרים העוסקים בתחום זה כמוטו מרכזי לפעילות מנהל אבטחת המידע.
סון טסו דיבר על מצביא, המנהיג את צבא קיסר סין. היום אנו מדברים על מנהל אבטחת המידע, המנהיג את פעילות אבטחת המידע בארגון.
מהו ה"הכר את האויב" של אבטחת המידע? בלשוננו המקצועית זהו תהליך ניתוח איומים וסיכונים המופנים כנגד המידע וטכנולוגיית המידע שבה נעשה שימוש בארגון. אלו כוללים הבטים תהליכיים, אנושיים וטכנולוגיים, פנימיים וחיצוניים.
מהו ה"הכר את עצמך" של אבטחת המידע? הכר את הארגון שאתה משמש בו כמנהל אבטחת המידע. הכר סביבת פעילותו ופעילותו, המבנה הארגוני, תהליכי העבודה בארגון, מיפוי מלא ושלם של טכנולוגיית המידע וזרימת המידע בארגון, תהליכי רכש של רכיבי טכנולוגייה חדשים המשפיעים או עשויים להשפיע על אבטחת המידע, רכיבי אבטחת המידע הקיימים, חוזקותיהם וחולשותיהם וכד'.
מנהל אבטחת המידע אשר מבצע את שני התהליכים הללו באופן מובנה ותקופתי ומקבל החלטות מושכלות על פיהן (במשנה השניה נבין מהן אותן החלטות מושכלות) , גם אם יילחם ב-100 קרבות, דהיינו הארגון יותקף פעמים רבות, מגורמי פנים וגורמי חוץ, בהבטים טכנולוגיים או אנושיים, סביר להניח עפ"י דברי סון טסו שלא יובס.
לא במקרה משתמש סון טסו במונח: "לא יובס" ולא "ינצח".
ניצחון אצל סון טסו הנו המצב שבו העליונות משיגה את תוצאתה ללא מלחמה בפועל.
לא יובס במשמעותנו, יאמר שהארגון ימשיך לתפקד, המידע וטכנולוגיית המידע לא ישובשו במידה כזו שהארגון יפסיק לתפקד, אם כי ייתכן והתוקפים יזכו מעת לעת בהצלחה מוגבלת, במימדי זמן ומרחב.
אם לא יבצע אחת מהמטלות כראוי או שלא יבצעה בכלל, סיכוייו כדברי סון טסו הנם חציחצי.
במידה ואיננו מכיר את אויביו ואיננו מכיר את עצמו, יובס תמיד.
הפרק השני יעסוק במשנה השניה: איזהוא המצביא המשכיל בהגנה ואיזהוא המצביא המשכיל בהתקפה. נבחן את המשמעות לאבטחת מידע הנגזרת מכך. בסופו נאחד את שתי המשנות לכדי משנה סדורה אחת.

2 תגובות:

  1. סון טסו? אוסף של קלישאות הבל טקטיות שכל כותב טקסטים בהוליווד יכל להמציא (אבל העדיף להשתמש במקור). באותה נימה עדיפים כבר חוקי מרפי לקרב, יש כל מיני גרסאות, אפשר לחפש ברשת. החוק החביב עלי ביותר הוא: לעולם אל תשכח שכלי הנשק שבידך יוצרו על ידי זה שהצאתו היתה הזולה ביותר. וזה כמובן מתאים מאד גם לאמצעי אבטחת המידע הארגוניים...

    השבמחק
  2. שלום ניב,
    לא כל דברי סון טסו מתאימים לעידן המודרני. יש בהם אבל כמה שמתאימים "בול".
    זכותך כמובן לחשוב אחרת, אני מחזיק בדעתי שהכרת עצמך והכרת האוייב הינה בסיס חיוני והכרחי למימוש נכון של ניהול סיכוני טכנולוגיית המידע בארגון.

    השבמחק