יום ראשון, 11 במרץ 2012

ניהול אבטחת מידע - הבהרה

ציפיתי לקבל תגובות על הרשימות שחלקן עשויות להיות פרובוקטיביות (?) בנושא ניהול אבטחת המידע. לצערי לא כך הוא הדבר.
אשמח מאד לקבל הערות / הסכמות וכמובן אי הסכמות. זה דיון פורה ומפרה.
ניהול אבטחת מידע (שעסקתי בה בעבר כמנהל אבטחת המידע של משרד הבריאות בשנים 1993-2000) וגם ייעוץ (שאני מספק מעל עשור, כולל ייעוץ למנהלי אבטחת מידע) מחייבים יושרה ואמירת אמת. לעתים האמת לא נעימה ולעתים היא יותר נעימה. אבל יש לאומרה בנימוס ובפומבי. אני מאמין שכך אני נוהג. אני מצפה מקהיליית מנהלי ויועצי אבטחת מידע האחרים בישראל ובעולם אלא הקוראים את הבלוג וגם אלו שאינם מוצאים בו עניין לנהוג כך.
לעצם העניין, מעולם לא טענתי שאבטחת מידע איננה כוללת את שלושת המרכיבים: סודיות, אמינות ושלמות, זמינות ואמינות. ההיפך הוא הנכון
הדיון שאני מעלה עוסק בניהולה של אבטחת המידע.

בתאוריה: אבטחת מידע זה כל השלוש

במציאות: "אבטחת מידע" הכוללת את שלושת המרכיבים מחולקת ארגונית לנושאי תפקיד שונים. הנושא בתואר: "מנהל אבטחת המידע" מנהל בפועל בעיקר את מרכיב הסודיות ואיננו אחראי לזמינות, שרידות שלמות ואמינות. איננו אחראי איננו אומר שאיננו תומך בהשגת יעדי הארגון בתחום, אך איננו המנהל האחראי להם.

זו הכללה ואני מניח שיש יוצאים מן הכלל, אך לגבי הרוב, למיטב שיפוטי זה המצב.
זה טוב? זה רע? ככה נכון לעשות? ככה לא נכון לעשות? אלו שאלות אחרות לחלוטין. לפני שדנים בכל השאלות הללו, יש להכיר את עובדת היסוד.
איך בודקים?
קל ופשוט: לכו לתקן 27001/27002 תקחו את 12 הנושאים, תעברו על העשרות הרבות של הבקרות המצויות בתקן (133 ליתר דיוק), ושימו תפקיד למול כל בקרה, מיהו זה בארגון האחראי עליה? תגלו מהר מאד שקיימת חלוקה ברורה בין מרכיבי הסודיות ושני המרכיבים האחרים. לדוגמה: פרק 14 בתקן כותרתו:

IMFORMATION SECURITY ASPECTS OF BUSINESS CONTINUITY PLANNING

שימו לב לכותרת: הבטי אבטחת מידע בתוכנית להמשכיות עסקית. כיוון שהתוכנית להמשכיות עסקית ברוב המקרים איננה באחריות אבטחת מידע...
דוגמה נוספת:
סעיף 10.3.1 בתקן: ניהול קיבולת - CAPACITY MANAGEMENT
איזהוא מנהל אבטחת המידע שאחראי על ניהול קיבולת של מערך טכנולוגיית המידע בארגון? להזכיר, ניהול קיבולת הינו מרכיב של זמינות. זמינות אחד ממרכיבי אבטחת מידע.
אשמח לקרוא ולדעת...

ותקנו אותי אם אני טועה.

תגובה 1:

  1. אני רוצה לחדד קצת את הנאמר ב - post. המושג IMFORMATION SECURITY ASPECTS המופיע בתקן הוא כוללני מידי ויכול להכיל עלום שלם. זו אחת הבעיות עם המושגים באבטחת מידע. הם כלל לא מובנים לאנשים שלא עוסקים בתחום. כתוצאה מכך, וכפועל יוצא מהנאמר ב - post, עולה שאין מי שבאמת אחראי בארגון לנושאים שונים כמו, אמינות ושלמות מידע במערכות של הארגון ובתהליכיו העסקיים. הדבר לרוב "נופל בין הכיסאות" כי המושגים ערטילאיים מצד אחד, ולמנהל אבטחת המידע חסרים הכלים והסמכויות לטפל בהם, מן הצד השני. גם נושא סודיות המידע לא תמיד מטופל בצורה טובה, כי בארגונים לא תמיד קיים מנגנון מסודר לסיווג מידע. יתרה מכך, האחראי על הסודיות של המידע הוא מנהל המידע, שאינו כלל מנהל אבטחת המידע אלא מנהל המערכת המכילה את המידע הרלוונטי.
    לטעמי מנהל אבטחת המידע לא יכול להיות "אחראי על" של כלל היבטי אבטחת המידע, כיוון שהם מושגים גדולים מידי ובפועל מנוהלים על ידי גופים רבים בארגון בצורה מבוזרת. מנהל אבטחת המידע צריך להיות אחראי על תהליכי הניהול בלבד של היבטי אבטחת מידע בארגון, כלומר: הצגת סיכונים למידע בארגון, הגדרת מדיניות מאושרת לצמצום הסיכונים השונים, ובקרה ודיווח בנושא תהליכי יישום המדיניות. המושגים החשובים הם: זיהוי, הגדרה בקרה ודיווח. בהם מסתכמת אחריותו המעשית של מנהל אבטחת המידע.
    לסיכום: את מודל ה - CIA של אבטחת המידע יש להשאיר לתהליכי זיהוי סיכונים בלבד. בארגון, האחריות בפועל של היבטים שונים של המידע ניתנת למנהלי המידע.

    השבמחק