יום שלישי, 2 בפברואר 2010

ניהול סיכוני טכנולוגיית המידע. לא עוד "אבטחת מידע" או "הגנת מידע"

ניהול סיכוני טכנולוגיית המידע הנו השם העדכני לתהליך שכונה בעבר "אבטחת מידע", "הגנת מידע" או "הגנת נכסי המידע" או צבר רב של שמות שכולם סביב המונח "הגנה".
הגנה משמעותה התמקדות במגן ובמידע שעליו מגינים. ניהול סיכוני טכנולוגיית המידע מתמקד בשני מרכיבים בה בעת: מרכיב הניהול ומרכיב תוכן שהוא סיכוני טכנולוגיית המידע.
במאמר סקירה מהי המשמעות של השינוי, כיצד על מנהל סיכוני טכנולוגיית המידע לנהוג בעידן החדש שאנו בפתחו והשלכות ארגוניות נוספות.
ניהול סיכוני טכנולוגיית המידע הפך בשנים האחרונות לנדבך משמעותי בתהליכי העבודה של טכנולוגיית המידע ומעבר לה בארגונים רבים. אחת הסיבות העיקריות לכך הינה פעילות נמרצת של מחוקקים ורגולטורים בארץ ובעולם במהלך העשור הראשון למאה הנוכחית. די אם נזכיר את חוקי ה-GLBA (סקטור בנקאות בארה"ב), HIPAA (סקטור הבריאות בארה"ב), חוק SOX (ארה"ב והשלכותיו ברמה הבינלאומית, לדוגמה בארץ וועדת גושן), רגולציית בזל II הבינלאומית לסקטור הבנקאות ועוד ועוד. בארץ: הוראת ניהול בנקאי תקין מס' 357 של המפקח על הבנקים המיועד לתאגידים בנקאיים, ההוראה לניהול סיכוני טכנולוגיית המידע של המפקח על הביטוח החלה על גופים מוסדיים, תחילת הפעילות (בעולם ובארץ) להגנתן של תשתיות מחשוב חיוניות וההתעוררות בנושא הגנת הפרטיות לאחר הקמתה לפני כשלוש שנים של הרשות למשפט טכנולוגיה ומידע במשרד המשפטים.
כל אלה הפכו את התחום ממרכיב שולי, לעתים נשכח לחלוטין, לאחד מעמודי התווך של השימוש במידע ובטכנולוגיית מידע. ביטוי לכך הינה גם העובדה שהארגונים הנתונים תחת הרגולציות השונות חייבים למנות מנהל שעיסוקו הבלבדי (או הכמעט בלבדי) הנו ניהול התחום והכפפת מנהל זה לגורם בכיר בארגון.
בנקודה זו אנו נחזור ונתפצל לשני הערוצים: הניהול וסיכוני טכנולוגיית המידע.
מהי אחת מהמשמעויות של ניהול?
היכולת לדעת בכל נקודת זמן מהו המצב של מה שאני כמנהל מופקד עליו. במקרה שלנו, היכולת לספק נתונים לגבי החשיפות שהארגון נתון בהן עקב השימוש במידע ובטכנולוגיית מידע ורמת צמצומן לאור יישומן של בקרות מתאימות בתחומים פיזיים, טכנולוגיים, אנושיים ותהליכיים.
כיצד מושג המידע הזה?
מבצעים סקרים/ביקורות שבהם נבדקות בקרות האבטחה שהותקנו (בתחומים שנמנו לעיל). תוצאות הסקרים/ביקורות (ממצאים והמלצות) אוגרים במסד נתונים. ממסד הנתונים יוכל מנהל סיכוני טכנולוגיית המידע (וגורמים מורשים אחרים בארגון) לשאוב בכל עת ובכל חתך מבוקש את החשיפות ואת מצב האבטחה. לדוגמה: אלו חשיפות מטופלות במלואן, אלו חשיפות בתהליך טיפול ומה הלו"ז לסיום הטיפול וכד'. ניתן לעדכן את החשיפות עצמן עקב קבלת מידע על חשיפות חדשות וכד'.
מסד נתונים זה מכיל אם כך במצטבר את מירב הכשלים בניהול סיכוני טכנולוגיית המידע של הארגון והוא מצוי דרך קבע במחשבי הארגון. יש לציין שמסד הנתונים יכול להיות ייעודי לנושא ניהול סיכוני טכנולוגיית המידע ויכול להיות שמדובר במסד נתונים כלל ארגוני כאשר נתוני סיכוני טכנולוגיית המידע משולבים בו. כך או כך מדובר בנתונים המציינים מהם הכשלים של השימוש במידע ובטכנולוגיית המידע בארגון לאורך זמן.
בהתייחס למסד נתונים זה נעבור למרכיב השני, סיכוני טכנולוגיית המידע.
נוסף לנו מסד נתונים אשר הוא עצמו מרכיב במערך טכנולוגיית המידע. המרכיב כולל כמו כל האחרים: חומרה, תוכנה, תהליכי עבודה, וגורמים אנושיים (לדוגמה: משתמשים מקומיים, משתמשים מרוחקים המספקים תמיכה וכד'). כל זאת מזכיר לנו אחד לאחד את מכלול הפעילויות שתורת ניהול סיכוני טכנולוגיית המידע דורשת להכיל על מערכות טכנולוגיית המידע הארגוניות. ואכן, אין שוני מהותי. מדובר בנדבך נוסף למערך טכנולוגיית המידע הארגוני שיש לכלול אותו בנשימה אחת עם כל שאר המרכיבים. לא מדובר ב"חתיכת תוכנה", אלא במערכות ארגוניות הכוללות בדיוק את אותם המרכיבים של כל מערכת ארגונית אחרת, תהא זו עסקית בגופים עסקיים לגווניהם השונים, ציבורית בגופים ציבוריים או בטחונית בגופים בטחוניים. יש לציין לגבי תהליך ספציפי זה שמדובר במסד נתונים המכיל נתונים רגישים במיוחד, גם אם אין בהם שום נתון רגיש הקשור לתהליכי העבודה של הארגון עצמו. זהו צבר של הכשלים אשר באמצעותם ניתן לממש את כל או רוב האיומים שבהם נתון מערך טכנולוגיית המידע בארגון.
זוהי רק דוגמה אחת (אולי הבולטת מכולן) כיצד המעבר הסמנטי לכאורה מ"אבטחת מידע"/"הגנת מידע" ל-"ניהול סיכוני טכנולוגיית המידע", איננו סמנטי כלל אלא משנה באופן מהותי ובלתי חוזר את האופן שבו על הארגון להתייחס לתחום ניהול סיכוני טכנולוגיית המידע.
המשמעות המיידית של האמור לעיל הינה שניהול סיכוני טכנולוגיית המידע הינה תהליך כמו כל תהליך ארגוני אחר. ככל תהליך, יש גם בו סיכונים. במהלך ניתוח ודרוג הסיכונים של השימוש בטכנולוגיית המידע יש לכלול את הסיכונים בתהליך, בטכנולוגיות ובאמצעים שבהם נעשה שימוש, וזאת כחלק אינטגראלי של ניתוח סיכוני השימוש בטכנולוגיית המידע.
מיד אם כך תשאל השאלה הבאה: מי יופקד על ניהול הסיכונים של תהליך ניהול סיכוני טכנולוגיית המידע? הרי הוקם גוף שהוא המקצוען בארגון לניהול סיכוני טכנולוגיית המידע. כעת מסתבר שיש לנהל גם את סיכוניו הוא. האם הוא עצמו יכול לנהל את סיכוניו? ואם לא, מי כן? הוא הרי המומחה בנושא ברמה הארגונית, אין טוב ממנו בארגון.
לדעת כותב שורות אלו התשובה טמונה בשילוב של שני גורמים. בשלב הראשון אכן הגוף הממונה על ניהול סיכוני טכנולוגיית המידע יגדיר את התהליכים הנדרשים על מנת לנהל את סיכוניו הוא, כאשר גורם ביקורת ענ"א הפועל במסגרת ביקורת הפנים הארגונית (ובאם אין כזה יבוצע ע"י גורם חיצוני) יהווה את המאשר והמבקר תקופתית את התהליך הנ"ל.

המאמר פורסם במקביל במקטע NEWSLETTER באתר חברת אבנת באינטרנט תחת הכותרת: "
הרבה יותר מאבטחת מידע או הגנת מידע".