מאמר שזו כותרתו פורסם בדיוק לפני שנתיים, כאחד מהמאמרים הראשונים בבלוג.
אם נתמצת את האמור בו תוך עדכון להיום, במשפטים הבאים:
ניהול יעיל של אבטחת מידע בארגון יתבסס על יישום אבטחת מידע באופן יזום ע"י מנהל אבטחת המידע לפני שייאלץ לעשות זאת בגין רגולציה מגזרית או חובה חוקית לאומית או בינלאומית. בתהליך זה מומלץ להשתמש בתקן 27001/27002.
היתרון הוא שבתהליך פרואקטיבי (יזום) ע"י מנהל אבטחת המידע יש סיכוי (מותנה במנהל אבטחת המידע ובהשגת התקציבים הדרושים) לבנות מערך אבטחת מידע ארגוני אפקטיבי המספק מענה סביר לאיומים ולסיכונים בכל מערך טכנולוגיית המידע לאורך כל מחזור החיים שלו ובסביבות השונות שבהן הוא מופעל.
תהליך יישום אבטחת מידע שיתבסס רק על חובה רגולטורית אומנם יתרחש, אבל בדרך כלל יש לו שני חסרונות מרכזיים:
1. לוח הזמנים מוכתב ע"י הרגולטור ועל כן המטרה איננה לעשות אבטחת מידע נכון, אלא לעמוד בדרישות עפ"י לוח הזמנים.
2. מסיימים ליישם אבטחת מידע היכן שמסתיימת הדרישה הרגולטורית. הפורץ איננו מסיים לפרוץ עפ"י קווי ההגנה שהרגולטור קבע. להיפך, נקודת ההתחלה שלו היא בדיוק נקודת הסיום של הרגולטור, ובכך הופך את יישום הרגולציה רק עד לנקודה שבה הרגולטור אמר את דברו לבעייתית. שכן היא יוצרת פירצה מצויינת עבורו. הוא אפילו לא צריך להתאמץ לחפש אותה היא מוגשת לו על "מגש של כסף".
לפני חודשיים,מופיע מאמר שכותרתו פרובוקטיבית:
Security: Best practice or ancient ritual? Time to Scrap ISO 27002 security standards says its author
אמירה נוקבת. הוא איננו מאשים אחרים, שכן לדבריו הוא עצמו כתב את רוב הטיוטה של מה שהפך ברבות הימים להיות התקן.
הוא יוצא בעיקר כנגד העובדה שהגיון בריא ויצירתיות פסו מעולם אבטחת המידע. לדבריו לפני שני עשורים עולם אבטחת המידע היה עשיר ברעיונות תחרותיים ואילו כיום כל מצגת דומה לאחרת. מנהלי אבטחת המידע כבולים לטחנת רוח של דרישות ציות שאבד עליהם הכלח ומונע מהם להסתכל קדימה לעבר הסיכונים החדשים.
לדעתי הברנש צודק וטועה. הוא צודק בעובדה שעולם אבטחת המידע קפא על שמריו, יש המון טכנולוגיות חדשות אבל חשיבה חדשנית ויצירתית חסרה. הוא טועה בכך שהוא מאשים את התקן. התקן נולד מתוך מציאות שבה מוצרי היסוד של מערך טכנולוגיית המידע (חומרות ותוכנות) אינן מספקות אבטחה טובה, ועל כן יישום אבטחת המידע נותר לשלב ההטמעה של הטכנולוגיות הללו בארגון.
התקן לניהול אבטחת המידע (27001/27002) איננו פתרון לשאלה מדוע מוצרי היסוד (חומרה ותוכנה) אינם מאובטחים כראוי. זו בעיה אחרת. התקן מספק מענה שבהינתן חומרות ותוכנות אלו, מהי המעטפת האבטחתית שהארגון מספק. בכך זו כבר שאלה של מנהל אבטחת המידע בארגון לאן הוא לוקח את הארגון במסע להסמכה לתקן.
אשמח לקבל תגובות ולשמוע דעותיכם בנידון.
מנהל אבטחת מידע שמפסיק לקדם ולשפר אבטחת מידע מעבר למה שהרגולטור מכתיב - א. מוכיח שהוא רק פקיד מבצע שלא מבין את תפקידו ולא ראוי לתפקידו ב. מוכיח שלא לחינם הרגולטורים ראו צורך לבצע הכתבות לארגונים וחברות.
השבמחקאיתן שלום,
השבמחקאתה צודק, אבל הבעיה מורכבת יותר.
אבטחת המידע מקודמת בין היתר באמצעות הרגולציות השונות. מנהל אבטחת המידע הממוצע עלול למצוא את עצמו "בין הפטיש והסדן". את הקשב הניהולי והתקציב הוא מקבל רק בזכותה של הרגולציה, ועכשיו לך ותתמודד עם העובדה שהרגולציה מספקת בה בעת גם את נקודת המוצא לתוקף. מנהל אבטחת שהוא "מקצוען אמיתי" יוכל להתמודד גם עם האתגר הזה, אם לא מיידית, במהלך הזמן. צמד המילים "מקצוען אמיתי" הוא המפתח.