יום שלישי, 22 בנובמבר 2011

ניהול אבטחת מידע - במה יעסקו הפוסטים.ולהתחלה: CIA בין תאוריה למציאות

לנושא ניהול אבטחת המידע בארגון היבטים רבים. סדרת הפוסטים הבאים תוקדש להם.
1. נחזור צעד לאחור, ולפני שנעסוק בסוגיות הקשורות לניהול אבטחת מידע, נזכיר לעצמנו מהי הגדרת אבטחת המידע, מהי המשמעות הנגזרת מכך והיכן באופן טבעי מצוייה הפעילות העיקרית בכל אחד מהנושאים הכלולים בהגדרת אבטחת המידע בארגונים.
2. נהול אבטחת המידע עפ"י חוק ורגולציה במדינת ישראל. החוקים: חוק הגנת הפרטיות והחוק להסדרת הביטחון בגופים ציבוריים. הרגולציות: רגולציה למגזר הבנקאות, ניהול בנקאי תקין-הוראה 357 של בנק ישראל, ורגולציה לגופים מוסדיים: הוראה לניהול סיכוני אבטחת מידע של המפקח על הביטוח באגף שוק ההון במשרד האוצר.
3. מה זה בכלל ניהול אבטחת מידע? תפקיד טכנולוגי? תפקיד ניהולי? מה מיקומו הארגוני של מנהל אבטחת המידע? בתוך מערך טכנולוגיית המידע? מחוץ למערך טכנולוגיית המידע? חבר הנהלה? לא חבר הנהלה? מהם ממשקי העבודה של מנהל אבטחת המידע עם שאר יחידות הארגון?
4. מה בין אבטחת מידע ואבטחה פיזית? האם אבטחת המידע יכולה להיות כפופה למנהל הביטחון הפיזי? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל אבטחת המידע? האם מנהל הביטחון הפיזי יכול להיות כפוף למנהל מערכות המידע? נשמע מוזר? הכל יובהר.
5. התפתחות מגמה חדשה בשנים האחרונות: הקמת משרד לניהול סיכונים פנים ארגוני. מה המשמעות מבחינת ניהול אבטחת המידע?
אנסה לפזר מעט את הערפל סביב הנושאים לעיל, ואשמח לקבל תגובות, הערות, וגם אי הסכמות לדברים שנכתבים על ידי יתקבלו בברכה.
כל הנכתב מתבסס על נסיון אישי של כ-25 שנה באבטחת מידע, מהן מעל 11 שנים בניהול אבטחת מידע בפועל כסגן מנהל אבטחת המידע וגם מנהל ביטחון ובטיחות ביבמ ישראל ומנהל אבטחת המידע במשרד הבריאות בעבר, ויועץ אבטחת מידע מזה למעלה מעשור למגוון גופים וארגונים מכל מגזרי המשק בישראל בהווה.

לפני שניגש לניהול אבטחת המידע יש לברר ביתר דיוק מה זה בדיוק "אבטחת מידע".
נוח להתבסס על התקן הישראלי הבינלאומי ISO 27001. בתקן זה נקבע כי אבטחת מידע הינה: "שמירה על חסיון, כלילות (INTEGRITY) וזמינות של מידע..."
הגדרה זו מקבילה לתפישה הרווחת של שלושת עמודי התווך של אבטחת המידע:
סודיות - Confidentiality
אמינות ושלמות - Integrity
זמינות ושרידות - Availability
וכל העוסק בנושא יודע מזה עשרות בשנים לדקלם: אבטחת מידע זה CIA. יופי נחמה...
אלא מאי?
אבטחת מידע איננה מושג מופשט, מדובר בתהליך ארגוני שיש לנהלו.
האומנם זהו תהליך אחד?
לכאורה כן, שנינו ולמדנו: אבטחת מידע זה CIA... נכון, אבל...
יש חלוקת אחריות מאד ברורה וטבעית של שלושת האותיות הללו.

סודיות - Confidentiality
הסודיות הינה באמת בתחום האחריות של אבטחת המידע. המרכיבים הבסיסיים של הזדהות (קוד משתמש וסיסמה, וגם האמצעים המודרניים יותר של TOKEN או כרטיס חכם), מערכת הרשאות, רישום נאות של מי ביצע מה, הכנת סביבה אבטחתית נאותה בגישה מרחוק ועוד ועוד, כולם באים לתמוך ישירות במרכיב הסודיות. אין ספק שנושא הסודיות הינו לב ליבה של פעילות אבטחת המידע.

שלמות ואמינות (כלילות בתקן 27001) - Integrity
באופן טבעי זה בתחום האחריות של פיתוח מערכות מידע. במהלך הפיתוח נקבע אלו נתונים עוברים תהליכי אימות טרם קליטתם לתוך המערכת ומהי רמת האימות שתבוצע. האם נעשה שימוש בתפריטים או במלל חופשי וכד'.
אבטחת המידע תורמת לנושא שלמות ואמינות, לדוגמה באמצעות מערכת הרשאות מתאימה המאפשרת רק לבעלי תפקיד מסויימים לשנות נתונים או בהצעת שימוש בכלים טכנולוגיים לדוגמה חתימה דיגיטלית.
למיטב שיפוטי ונסיוני, אבטחת מידע תורמת לשלמות ואמינות אבל רחוקה מלהיות האחראית להשגתה או לשימורה.



זמינות ושרידות - Availability
אני מרשה לעצמי לפרק את נושא ה-Availability לשני תת נושאים: זמינות (Availability) ושרידות (Survivability).
זמינות ממש אבל ממש לא קשורה לאבטחת המידע. זמינות הינה דרישה תפעולית לשימוש השוטף במערכות המידע. זמינות טובה הינה פועל יוצא של תכנון נכון של עומסים על מערך התקשורת, יכולות העיבוד, מהירויות זיכרון וכדומה. בז'רגון המקצועי נקרא לכך: Capacity Planning. מעולם לא היה באבטחת מידע. זהו תחום מקצועי של מערכות המידע, ומתחלק בין הפיתוח והתפעול. נ-ק-ו-ד-ה.
שרידות יכולה להיות קשורה לאבטחת מידע, אלא שבפועל בארגונים הגדולים בישראל זה בדרך כלל לא. השרידות מורכבת משתי תוכניות:
א. "תוכנית להמשכיות עסקית – Business Continuity Plan"
ב. "תוכנית התאוששות מאסון – Disaster Recovery Plan"


מאחר ומדובר בהיקפי תקציב גדולים ומשמעויות עסקיות אסטרטגיות, נדרש מנהל בכיר בארגון בעל יכולות לגייס את התקציב הדרוש ולהפעיל מערך ארגוני מורכב ובר קיימא לעניין זה. זה לא מנהל אבטחת המידע (בדרך כלל).
אבטחת המידע תורמת תרומה חשובה לשרידות. עליה לספק מענה אבטחתי נאות לכל התוכנית המתגבשת בארגון. זה נושא לפוסט בפני עצמו.
לסיכום: אבטחת מידע בתאוריה זה CIA במציאות זה C לחוד I לחוד ו-A לחוד.

אחרי שדי ברור לנו שמדובר בשלושה תהליכים ארגוניים שונים,נוכל להמשיך לפוסט הבא שיעסוק בניהול אבטחת מידע עפ"י חוקים ורגולציות מרכזיות במדינת ישראל.

אין תגובות:

הוסף רשומת תגובה