יום חמישי, 8 בדצמבר 2011

ניהול אבטחת מידע - מה זה ניהול אבטחת מידע ומה מיקומה בארגון: חלק א'

הפוסט השלישי יתחלק לשלושה חלקים:
בחלק הראשון ננסה להבין מה זה בכלל ניהול אבטחת מידע. את מה בדיוק מנהל מנהל אבטחת המידע.
בחלק השני, אחרי שנבין את מה מנהל מנהל אבטחת המידע ננסה לענות על שתי שאלות:
1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?
2. מה קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד, הנחייה תפעול ובקרה.
בחלק השלישי ננסה לענות על השאלה היכן המיקום הארגוני הנכון של מנהל אבטחת המידע וזאת בהתאם למענים שנתנו בשני החלקים הראשונים. האם במסגרת האגף למערכות מידע או שחס וחלילה שכן זה מתכון שלא תהיה אבטחת מידע כי מנהל מערכות המידע תמיד יתעלם מהמלצותיו/דרישותיו של "האיש שלעולם אומר לא". ואם לא באגף מערכות מידע היכן כן? תחת הביטחון? ואולי בלשכה המשפטית ואולי.... ואולי.... הרבה ואולי...
ואם מותר להקדים את הסוף להתחלה, אז לפני מספר שבועות פורסם שבמדינת מישיגן בארה"ב, מנהל אבטחת המידע ומנהל הביטחון הפיזי שניהם כפופים למנהל אחד. לא, לא מנהל הסיכונים של המדינה, אלא למנהל מערכות המידע, כן, מנהל מערכות המידע הינו מנהלו של מנהל הביטחון הפיזי וגם של מנהל אבטחת המידע.
ואולי פיסקה אחרונה זו קצת "תפתח את הראש" לחשיבה פתוחה יותר בנושא.

את מה מנהל מנהל אבטחת מידע?
טוב , אז הרבה שאלות ותהיות וצריך כמובן להתחיל מאיזושהי פינה וללכת שלב שלב באופן סדור.
במאמר הראשון הדגמנו שבהתייחס להגדרה המאד מאד נפוצה ומקובלת של אבטחת המידע, דהיינו אספקת מענים ל-CIA (סודיות - Confidentiality, שלמות ואמינות - Integrity, זמינות ושרידות -Availability), מדובר ברוב רובם של המקרים בשלושה ראשי חץ שונים. אפשר להזיל דמעה ולהתאבל עד מחרתיים, מכרו לנו לוקש... ה-CIA הינה דרישה כוללת לארגון. כיצד זה ממומש זו כבר שאלה אחרת. זה ששכחו את הסיפא, איך מממשים זו אופרה אחרת. על כן ככל הנראה ישנם שלושה מנהלים שונים שמטפלים בנושא. אחד מטפל ב-C, אחד מטפל ב-I והאחרון מטפל ב-A.
ברוב רובם של המקרים אנו קוראים למנהל המטפל ב-C (סודיות), מנהל אבטחת המידע. זו טעות. הוא אחראי על הטיפול במרכיב הסודיות של אבטחת המידע. נוכל לקרוא לו מנהל אבטחת המידע רק ואך ורק אם הוא יהיה מנהל של כל שלושת המרכיבים, ה-C, ה-I וה-A.
אם הבעיה הזו לא מספיקה על מנת "להפיל אותנו לקרשים", הנה צצות שתי בעיות נוספות.
הראשונה אסקור בקצרה, ואז אתעלם מנה... ה-CIA איננו כולל את כל ניהול סיכוני השימוש במידע ובטכנולוגיית מידע. הלוואי שטיפול מלא ב-CIA היה הכל אבל זה לא. לדוגמה: הסיכון שמערכת שסודיותה מטופלת כיאות, הנתונים בה שלמים ואמינים והיא פועלת בזמינות הנאותה ואף הוגדרה בתוכנית להמשכיות לשעת עסקית, פשוט לא עושה את מה שהארגון חשב שהיא תעשה הינו סיכון נוסף ו-CIA לא מטפל בו... אמרתי ועזבתי את הבעיה הזו.
הבעיה השניה הינה שאם ניקח את התקן הישראלי/בינלאומי לניהול אבטחת המידע, 27001/27002 ונפרק אותו לרכיביו המעשיים, נראה שקיימת חלוקה נוספת על זו שכבר נגזרת מהגדרת האבטחה כפי שהוסברה לעיל.
מסתבר שישנן דרישות בתקן שעל מנת למלא אותן, צריך מנהל אבטחת המידע להיות לא פחות מאשר המנכ"ל, כיוון שעל מנת למלאן על מנהל אבטחת המידע להיות מנהל משאבי אנוש, שכן ישנן דרישות אבטחת מידע לשלבי גיוס כוח אדם, הטיפול בו במהלך עבודתו בארגון ולפני תום העסקתו. אח"כ מנהל אבטחת המידע צריך להיות גם מנהל הרכש, שכן ישנן דרישות המופנות לתהליך הרכש. בתהליך הרכש נרכשות טכנולוגיות מידע וטכנולוגיות אחרות להן השלכה על אבטחת המידע של הארגון. כמובן שמנהל אבטחת המידע צריך להיות גם קצין הביטחון, שכן קיימות דרישות למערך האבטחה הפיזי של הארגון. מנהל אבטחת המידע צריך להיות גם היועץ המשפטי של הארגון, שכן לא מעט מהתשתית לביצוע עבודתו הינם חוקים ורגולציות, לאומיים ובינלאומיים.
נשמע מופרך?
אז תאמינו או לא, היה כבר נסיון כזה במדינת ישראל. הוא נכשל.
בחוק הגנת הפרטיות הישראלי שנחקק בשנת 1981 והתקנות על פיו הותקנו בשנת 1986 נקבע כי מנהל המאגר הוא אחראי על אבטחת המידע במאגר המידע ומנהל המאגר הינו לא אחר מאשר מנהל הארגון. אומנם ניתנה לו הסמכות להסמיך מישהו אחר, אבל באם לא הסמיך הוא מנהל המאגר והוא האחראי לאבטחת המידע במאגר המידע. וסמכותו כוללת החל מאבטחה פיזית ועד לאבטחה במערך המיחשוב. זה לא הצליח.
בתיקון בשנת 1996 כבר הוסיפו את ממונה אבטחת המידע כאחראי על אבטחת המידע בנוסף על מנהל המאגר.
אז בואו נחזור לעולם המציאות.
ניהול אבטחת המידע הינו:
א. ברוב רובם של הארגונים ניהול של מרכיב ה-C – סודיות, במסגרת המשולש C – סודיות, I - שלמות ואמינות, A – זמינות ושרידות.
ב. איננו כולל אחריות ניהולית לדרישות בתחומי הרכש, כוח אדם (כולל מהימנות כוח האדם), ייעוץ משפטי וכיוצ"ב. בתחומים אלה אבטחת המידע הינה לכל היותר גורם מנחה המבקש כי דרישות אבטחת המידע בתחומים הללו ישולבו במסגרת תהליכי העבודה שהאחריות הניהולית לתהליכים אלו מסורה בידי מי שמנהל את התהליך. לדוגמה: מנהל משאבי אנוש לגבי תהליכים באגף משאבי אנוש.
ג. שני תחומים הינם יוצאים מן הכלל: ביטחון פיזי ובטיחות. אלו למעשה תחומים מקצועיים שמעמדם דומה למעמד אבטחת המידע. מעגל האבטחה הפיזי שמסופק לעובדים ולנכסים (עוד ללא התייחסות ספציפית לנכסי טכנולוגיית המידע), משמש בסיס לחלק מעבודתו של מנהל אבטחת המידע עצמו. לדוגמה: האבטחה שמסופקת ע"י מערך השומרים בבניין, אופן וסדרי עבודתם מספק אבטחה גם למחשבים בבניין. וזאת מבלי שמנהל אבטחת המידע דרש ולו דרישה אחת. יחד עם זאת, זה עשוי שלא להספיק באם מצוי בבניין אזור חשוב יותר, דהיינו מרכז חישובים, שלו יש להעניק תשומות אבטחה פיזיות מיוחדות. על כן, בתחומים אלו יש צורך בשיתוף פעולה של שלושת גורמי הניהול הללו על מנת ליצור שילוב אופטימאלי של רצף אמצעי אבטחה פיזיים ומיחשוביים בשילוב אמצעי בטיחות. יש לציין שככל שאנו מתקדמים על ציר הזמן, יותר ויותר אמצעי אבטחה פיזיים הופכים הם עצמם להיות דיגיטליים. לדוגמה: מצלמות. בעבר אנאלוגיות והיום דיגיטליות. במצב זה מוצא עצמו מנהל האבטחה הפיזית פורס אמצעי אבטחה שמנהל אבטחת המידע מנחה אותו כיצד יש להגן עליהם מפני תקיפות של פורצי מחשב. סימביוזה מעניינת.

לסיכום החלק הראשון ניתן לומר שלמרות שלכאורה המצב איננו ברור ניתן לראות שהבעיה איננה בלתי פתירה.



1. ניהול אבטחת מידע הינו באופן מעשי ניהול של אחד ממרכיבי אבטחת המידע, מרכיב הסודיות. האם זה מעט מדי? ובכן ממש לא. על מנת לממש את מרכיב הסודיות, מנהל אבטחת המידע נדרש להיות מעורב בכל אחד מהמרכיבים הטכנולוגיים: ארכיטקטורת פריסת מערכת המידע, מערך התקשורת, מערכות ההפעלה בשרתים, בתחנות הקצה, היישומים, תהליכי העבודה, רמת החוסן של המערכת ועוד. מרכיב הסודיות הינו המרכיב רחב ההיקף הגדול ביותר מבין השלושה. זו אחת הסיבות שנדרש מנהל ייחודי ומקצועי לסעיף זה. אין זה בהכרח אומר שהוא הסעיף היקר ביותר.
2. שני המרכיבים האחרים מתחלקים בדרך כלל באופן הבא:
א. מנהל מערכות המידע אחראי על מרכיב ה-I (שלמות ואמינות), בעיקר עפ"י החלטות המתקבלות בשלבי הפיתוח של מערכות מידע חדשות, או תוך כדי עדכונן. מנהל אבטחת המידע עשוי לתרום לנושא. לדוגמה: באמצעות שילוב שימוש בכלים ייעודיים שהוא "נושא באמתחתו". חתימה דיגיטלית הינו אחד מהם. אך נחזור ונדגיש, מנהל אבטחת המידע איננו האחראי להשגת ושימור מרכיב ה-I במסגרת אבטחת המידע.
ב. מרכיב ה-A מתפצל מעשית לשניים:
§ מרכיב הזמינות, דהיינו יכולתה של מערכות טכנולוגיית מידע לספק שירות בשגרה בהתאם לרמת השירות שנקבעה עבורה. רכיב זה שהינו באחריות מנהל מערכות המידע מהווה פן תפעולי יומיומי של אחריותו.
§ מרכיב השרידות, דהיינו יכולתו של הארגון להפעיל את מערך טכנולוגיית המידע לאחר התרחשות אסון לדוגמה השבתת המערך עקב חדירת קוד זדוני, או חבלה פיזית או כל תרחיש אחר. בדרך כלל ובארגונים גדולים במדינת ישראל, מנהל בכיר ברמת חבר הנהלה נקבע כמי שאחראי לנושא זה ועל כתפיו פיתוח, יישום ותרגול התוכנית שקרויה כיום: התוכנית להמשכיות עסקית. Business Continuity Plan – BCP. מנהל מערכות המידע הינו איש המפתח בתוכנית זו בכל הקשור למערך טכנולוגיית המידע. יש לזכור שתוכנית BCP כוללת מרכיבים נוספים על מערכות המידע עצמן, כגון: היכן יעבדו העובדים בהינתן תרחיש שבו הנכס הפיזי (הבניין) נהרס או הפך לבלתי נגיש, מיהם העובדים שיעבדו, כיצד יינתנו שירותי משרד לארגון ועוד מגוון נושאים שאינם בתחום הידע והאחריות של מנהל מערכות המידע. מנהל אבטחת המידע ברוב המקרים איננו אחראי לתוכנית זו. אין זה אומר שאין לו תפקיד במסגרתה. ההיפך הוא הנכון. תפקידו לשלב את דרישות האבטחה בתוכנית בדיוק כפי שהוא עושה זאת במערך טכנולוגיית המידע הפועל בשגרה בארגון..
3. לגבי בטחון ובטיחות, שני תפקידי ניהול מקבילים לניהול אבטחת המידע אשר נדרשים לשיתוף פעולה הדוק ביניהם על מנת לאפשר מתן מענה משולב אופטימלי ויעיל.
4. הנחייה מטעם מנהל אבטחת המידע לשאר הגופים בארגון כגון משאבי אנוש, רכש וכד' באשר לדרישות אבטחת המידע (כפי שאלו נגזרים מתחום אחריותו) אשר הם מתבקשים לשלב בתהליכי העבודה שלהם כפי שהוגדרו בתחומי אחריותם.

לאחר שדי ברור לנו מהו מרחב האחריות של מנהל אבטחת המידע וכיצד הוא פועל בשאר התחומים נוכל לעבור לדון בשאלה הבאה: מהו אופי התפקיד: טכנולוגי או ניהולי ובשאר הסוגיות כפי שהוצבעו בתחילת הפוסט.

תגובה 1: