בפוסט שנקרא: " ניהול אבטחת מידע - מה זה ניהול אבטחת מידע ומה מיקומה בארגון: חלק א' " (מדצמבר 2011), הצגנו את הפער שבין המתודולוגיה הצרופה, אבטחת מידע הינה טיפול בנושאי סודיות, שלמות ואמינות, זמינות שרידות (Confidentiality – Integrity – Availability), לעומת המציאות שבה מנהל אבטחת המידע אחראי בפועל בחלק גדול מהארגונים רק על היבטי הסודיות (Confidentiality).
בפוסט הנוכחי נספק מענה לשתי שאלות:
1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?
2. מהי קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד, הנחייה ביצוע ובקרה.
המענה לשאלה הראשונה, מה הידע הדרוש לביצוע משימת ניהול אבטחת מידע, כאשר נקודת המוצא הינה שמנהל אבטחת המידע אחראי בעיקר לנושא הטיפול במרכיב הסודיות, תורם למרכיב שלמות ואמינות ומספק דרישות אבטחת מידע לתוכנית להמשכיות עסקית.
ראשית נתייחס לעובדות כמות שהן. מה נדרש על מנת לממש סודיות ראויה במערכות שבהן נאגר דרך קבע, מועבר בתקשורת ומעובד מידע מסווג. הסיווג עשוי להיות ביטחוני, צנעת הפרט או עסקי. כל אחד לחוד או צירוף של שניים או כל השלושה.
ובכן מסתבר שאנו עוסקים כמעט בכל פן של נושא מערכות המידע ואבטחתן. כיוון שעל מנת לממש סודיות יש לבנות מארג של בקרות. נושא השגה ושימור של סודיות טומן בחובו בקרות בכמעט כל התחומים של טכנולוגיית המידע:
א. פריסת רכיבי טכנולוגיית המידע – טופולוגיה. לדוגמה שימוש בסגמנטציה.
ב. רכיבי התקשורת – ניתן לשלב דרישות אבטחה ברכיבי תקשורת כדוגמת נתבים ומתגים.
ג. מערכות הפעלה – הדרישה ידועה בשם "הקשחה". אני נוטה יותר לשם "קביעת מדיניות השימוש במערכת הפעלה" כיוון שהוא מייצג סמנטיקה פחות "מיליטנטית".
ד. בסיסי נתונים – שילוב דרישות לסודיות בבסיסי הנתונים, לדוגמה, הצפנת שדות המכילים מידע רגיש.
ה. יישום (אפליקציה) – היישום ניגש לבסיס הנתונים והוא זה הפועל על הנתונים הרגישים שקיימים ע"י שליפתם (לדוגמה למטרת הצגתם על מסך המשתמש או עדכונם. (עדכון = שינוי ערכך, ביטול נתון , הוספת נתון). מושג תוך שימוש בטכניקה הקרויה בשם "פיתוח מאובטח", שמשמעותו, הוספת מרכיבי אבטחת מידע בקוד של היישום על בסיס ניתוח איומים הניתנים למימוש בעת שהיישום מורץ בפועל.
ו. מוצרי אבטחת מידע התומכים בדרישה להשגה או לשימור של סודיות. לדוגמה: הצפנת רכיבים ניידים.
ז. תהליכי עבודה – הבחנה בין מה שמותר לבצע ומה שאסור לבצע. מימוש ראשוני הינו באמצעות מערכת הרשאות. אך זה בדרך כלל איננו מספיק. שכן מערכות הרשאות איננה יודעת להבחין בין שימוש ראוי שנעשה בהרשאה שניתנה כדין, לבין שימוש שאיננו ראוי באותה ההרשאה. למה הכוונה? אסביר באמצעות דוגמה. פקיד בנק העובד בסניף וניגש לרשומת הלקוח, יכול לעשות זאת כאשר הלקוח עומד מולו ומבקש לקבל שירות, ואז הגישה הינה כדין, ויכול לעשות זאת ללא סיבה כיוון שההרשאה לגישה לרשומת הלקוח הינה קבועה ואיננה תלויה באספקת הסבר לעצם הגישה, ואז זה שלא כדין. הגישה למידע מותנית בקבלתה של הרשאה וזו ניתנה על בסיס התפקיד. השימוש בהרשאה איננו תלוי בדבר, וזו הבעיה.
עכשיו בואו ונשאל מחדש את השאלה:
האם זו ממש חובה שמנהל אבטחת המידע יבין טכנולוגית את כל תשתיות טכנולוגיית המידע על מנת שיוכל לטפל בסוגיית הסודיות?
מגוון המרכיבים שיש לטפל בהם על מנת לספק מענה לסוגיית הסודיות (וזו כמובן איננה הבעיה היחידה, אלא שהיא המרכזית בעבודתו של מנהל אבטחת המידע) מכיל קשת רחבה של נושאים טכנולוגיים. האם ישנו אדם שהינו בעל ידע טכני כה מקיף? לדעתי התשובה הינה שלילית. על כן ברור כבר בנקודה זו, שאין למנהל אבטחת המידע היכולת להקיף את כל תחום הידע הטכנולוגי הנדרש. למרות זאת, נדרשת בכל זאת הבנה טכנולוגית מסוימת.
מה חיוני על מנת שמנהל אבטחת המידע יבצע כהלכה את תפקידו?
התשובה החד משמעית הינה יכולת ניהול. שם התפקיד הינו: "מנהל אבטחת מידע" ואין זו אמירה סתמית. מדובר בניהול של תחום בארגון. התחום הינו אבטחת מידע. ניהול אבטחת מידע משמעותו:
1. היכולת להבין מתוך הגדרת התפקיד כפי שהוטל, כיצד לפרק אותו לנושאים הספציפיים.
2. לסמן בכל נושא מי אמור לבצע אותו, מתי אמור להתחיל ולהסתיים, ומה המשאבים נדרשים על מנת לבצע אותו.
3. להוציא לפועל את הפעילויות הנ"ל.
4. להוביל בארגון את ניתוח האיומים, הסיכונים והמענים להם למידע ולטכנולוגיית המידע בתחום הסודיות, ובמידה מסוימת גם בנושאי שלמות, אמינות וזמינות.
5. להגדיר פרמטרים למדידת רמת אבטחת המידע של הארגון בתחומי אחריותו.
6. להציג בפני הנהלת הארגון מעת לעת ועפ"י בקשה את מצב אבטחת המידע עפ"י פרמטרי המדידה.
מערך הנושאים המתואר לעיל הינו במובהק בתחום הניהול. על כן, מנהל אבטחת המידע, בין שהינו בעל רקע טכנולוגי רחב או צר, חייב להיות בעל יכולות ניהול לפחות ברמה של כל מנהל אחר בארגון. באם יהיה רק בעל יכולת טכנולוגית, יבצר ממנו להפוך את תחום אבטחת המידע (ואפילו זה "רק" מרכיב הסודיות), לנושא המוטמע בתהליכי העבודה הארגוניים, כדוגמת: תהליכי רכש, שיווק, פעילויות ליבה עסקיות (בהתאם למגזר שאליו משתייך הארגון) וכד'. אבטחת מידע בארגון משמעותה הינה אחת, אבטחת מידע המוטמעת כדבר שבשגרת העבודה בתהליכי העבודה הארגוניים. כבר מזה זמן לא מדובר בתהליך טכנולוגי צר.
בפוסט הנוכחי נספק מענה לשתי שאלות:
1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?
2. מהי קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד, הנחייה ביצוע ובקרה.
המענה לשאלה הראשונה, מה הידע הדרוש לביצוע משימת ניהול אבטחת מידע, כאשר נקודת המוצא הינה שמנהל אבטחת המידע אחראי בעיקר לנושא הטיפול במרכיב הסודיות, תורם למרכיב שלמות ואמינות ומספק דרישות אבטחת מידע לתוכנית להמשכיות עסקית.
ראשית נתייחס לעובדות כמות שהן. מה נדרש על מנת לממש סודיות ראויה במערכות שבהן נאגר דרך קבע, מועבר בתקשורת ומעובד מידע מסווג. הסיווג עשוי להיות ביטחוני, צנעת הפרט או עסקי. כל אחד לחוד או צירוף של שניים או כל השלושה.
ובכן מסתבר שאנו עוסקים כמעט בכל פן של נושא מערכות המידע ואבטחתן. כיוון שעל מנת לממש סודיות יש לבנות מארג של בקרות. נושא השגה ושימור של סודיות טומן בחובו בקרות בכמעט כל התחומים של טכנולוגיית המידע:
א. פריסת רכיבי טכנולוגיית המידע – טופולוגיה. לדוגמה שימוש בסגמנטציה.
ב. רכיבי התקשורת – ניתן לשלב דרישות אבטחה ברכיבי תקשורת כדוגמת נתבים ומתגים.
ג. מערכות הפעלה – הדרישה ידועה בשם "הקשחה". אני נוטה יותר לשם "קביעת מדיניות השימוש במערכת הפעלה" כיוון שהוא מייצג סמנטיקה פחות "מיליטנטית".
ד. בסיסי נתונים – שילוב דרישות לסודיות בבסיסי הנתונים, לדוגמה, הצפנת שדות המכילים מידע רגיש.
ה. יישום (אפליקציה) – היישום ניגש לבסיס הנתונים והוא זה הפועל על הנתונים הרגישים שקיימים ע"י שליפתם (לדוגמה למטרת הצגתם על מסך המשתמש או עדכונם. (עדכון = שינוי ערכך, ביטול נתון , הוספת נתון). מושג תוך שימוש בטכניקה הקרויה בשם "פיתוח מאובטח", שמשמעותו, הוספת מרכיבי אבטחת מידע בקוד של היישום על בסיס ניתוח איומים הניתנים למימוש בעת שהיישום מורץ בפועל.
ו. מוצרי אבטחת מידע התומכים בדרישה להשגה או לשימור של סודיות. לדוגמה: הצפנת רכיבים ניידים.
ז. תהליכי עבודה – הבחנה בין מה שמותר לבצע ומה שאסור לבצע. מימוש ראשוני הינו באמצעות מערכת הרשאות. אך זה בדרך כלל איננו מספיק. שכן מערכות הרשאות איננה יודעת להבחין בין שימוש ראוי שנעשה בהרשאה שניתנה כדין, לבין שימוש שאיננו ראוי באותה ההרשאה. למה הכוונה? אסביר באמצעות דוגמה. פקיד בנק העובד בסניף וניגש לרשומת הלקוח, יכול לעשות זאת כאשר הלקוח עומד מולו ומבקש לקבל שירות, ואז הגישה הינה כדין, ויכול לעשות זאת ללא סיבה כיוון שההרשאה לגישה לרשומת הלקוח הינה קבועה ואיננה תלויה באספקת הסבר לעצם הגישה, ואז זה שלא כדין. הגישה למידע מותנית בקבלתה של הרשאה וזו ניתנה על בסיס התפקיד. השימוש בהרשאה איננו תלוי בדבר, וזו הבעיה.
עכשיו בואו ונשאל מחדש את השאלה:
האם זו ממש חובה שמנהל אבטחת המידע יבין טכנולוגית את כל תשתיות טכנולוגיית המידע על מנת שיוכל לטפל בסוגיית הסודיות?
מגוון המרכיבים שיש לטפל בהם על מנת לספק מענה לסוגיית הסודיות (וזו כמובן איננה הבעיה היחידה, אלא שהיא המרכזית בעבודתו של מנהל אבטחת המידע) מכיל קשת רחבה של נושאים טכנולוגיים. האם ישנו אדם שהינו בעל ידע טכני כה מקיף? לדעתי התשובה הינה שלילית. על כן ברור כבר בנקודה זו, שאין למנהל אבטחת המידע היכולת להקיף את כל תחום הידע הטכנולוגי הנדרש. למרות זאת, נדרשת בכל זאת הבנה טכנולוגית מסוימת.
מה חיוני על מנת שמנהל אבטחת המידע יבצע כהלכה את תפקידו?
התשובה החד משמעית הינה יכולת ניהול. שם התפקיד הינו: "מנהל אבטחת מידע" ואין זו אמירה סתמית. מדובר בניהול של תחום בארגון. התחום הינו אבטחת מידע. ניהול אבטחת מידע משמעותו:
1. היכולת להבין מתוך הגדרת התפקיד כפי שהוטל, כיצד לפרק אותו לנושאים הספציפיים.
2. לסמן בכל נושא מי אמור לבצע אותו, מתי אמור להתחיל ולהסתיים, ומה המשאבים נדרשים על מנת לבצע אותו.
3. להוציא לפועל את הפעילויות הנ"ל.
4. להוביל בארגון את ניתוח האיומים, הסיכונים והמענים להם למידע ולטכנולוגיית המידע בתחום הסודיות, ובמידה מסוימת גם בנושאי שלמות, אמינות וזמינות.
5. להגדיר פרמטרים למדידת רמת אבטחת המידע של הארגון בתחומי אחריותו.
6. להציג בפני הנהלת הארגון מעת לעת ועפ"י בקשה את מצב אבטחת המידע עפ"י פרמטרי המדידה.
מערך הנושאים המתואר לעיל הינו במובהק בתחום הניהול. על כן, מנהל אבטחת המידע, בין שהינו בעל רקע טכנולוגי רחב או צר, חייב להיות בעל יכולות ניהול לפחות ברמה של כל מנהל אחר בארגון. באם יהיה רק בעל יכולת טכנולוגית, יבצר ממנו להפוך את תחום אבטחת המידע (ואפילו זה "רק" מרכיב הסודיות), לנושא המוטמע בתהליכי העבודה הארגוניים, כדוגמת: תהליכי רכש, שיווק, פעילויות ליבה עסקיות (בהתאם למגזר שאליו משתייך הארגון) וכד'. אבטחת מידע בארגון משמעותה הינה אחת, אבטחת מידע המוטמעת כדבר שבשגרת העבודה בתהליכי העבודה הארגוניים. כבר מזה זמן לא מדובר בתהליך טכנולוגי צר.
לסיכום החלק הראשון במאמר זה, מי שמופקד על אבטחת המידע בארגון נדרש להיות בעל יכולות ניהול כפי שכל מנהל בארגון נדרש להן, ובוודאי מנהל שמבקש להטמיע דרישות (במקרה זה, דרישות אבטחת מידע) בתהליכי עבודה רבים ומגוונים בארגון. מומלץ שיהיה בעל ידע טכני בתחום טכנולוגיית המידע, אבל ברור מאליו שידע זה יהיה מוגבל למספר תחומים מצומצם מתוך מגוון הנושאים הטכנולוגיים.
כעת נעבור לדון בשאלה השנייה שבה יעסוק מאמר זה: מהו מרחב הפעילות של מנהל אבטחת מידע?
קיימים שלושה מרכיבים באבטחת מידע:
1. הנחייה – הגדרת הדרישות.
2. ביצוע – יישום (הטמעת) הדרישות ותפעולן השוטף.
3. מעקב ובקרה – אחר הביצוע.
כעת נעבור לדון בשאלה השנייה שבה יעסוק מאמר זה: מהו מרחב הפעילות של מנהל אבטחת מידע?
קיימים שלושה מרכיבים באבטחת מידע:
1. הנחייה – הגדרת הדרישות.
2. ביצוע – יישום (הטמעת) הדרישות ותפעולן השוטף.
3. מעקב ובקרה – אחר הביצוע.
ברמה התאורטית ניתן לבצע משימה אחת, צירוף של שתי משימות או ביצוע של כל שלושת המשימות.
עקב הצורך לבצע הפרדת רשויות, בין הנחייה וביצועה של ההנחיה, יועדף באופן מעשי המודל שבו מנהל אבטחת המידע אחראי על ביצוע המשימה הראשונה – הנחייה והמשימה השלישית – מעקב ובקרה אחר ביצוע הנחיותיו. המשימה השנייה בדרך כלל תועבר לגוף הטכנולוגי התפעולי, למעט מספר מצומצם של פעילויות שהן בליבת ניהול אבטחת המידע עצמה כדוגמת: ניהול אירועי אבטחת מידע, הצגת רמת אבטחת המידע הארגונית.
אבל גם במודל זה נשאלת השאלה: מהי רזולוציית ההנחיה?
ניתן להנחות ברמה של הנחית על. לדוגמה: נדרש תהליך למניעת חדירת קוד עוין.
ניתן להנחות ברמת הרזולוציה המדויקת ביותר: נדרש להתקין קונפיגורציה מסוימת של מוצר מסוים. הן המוצר והן הקונפיגורציה ייבחרו ע"י מנהל אבטחת המידע. עליו האחריות למצוא את המוצר אשר יספק את המענה המיטבי תוך מתן התייחסות להיבטים ארגוניים נוספים, כגון: תקציב, כוח אדם, יכולת טכנית לשלב את המוצר הספציפי וכיוצ"ב.
מהי הגישה הנכונה יותר? זו כבר שאלה ניהולית-ארגונית ולאו דווקא שאלה מתודית מהותית. השאלה הינה כיצד מחולק נושא אבטחת המידע, מהי רמת הידע של כל אחד מהעוסקים בנושא, וכיצד הארגון מעוניין לחלק את תפקיד ההנחיה. זאת מכיוון שכל רזולוציה שהיא שתקבע, טומנת בחובה יתרונות וחסרונות גם יחד.
אם ההנחיה הינה רק ברמת הנחית-על, אזי עלולה העובדה שנמנעת ממנהל אבטחת המידע לרדת לפרטי בחירת המוצרים הספציפיים והקונפיגורציה שלהם לגרום להעדפה של מוצרים שאינם מספקים את כל דרישות האבטחה אך מספקים את הדרישות התפעוליות במלואן, ולהיפך.
המענה יינתן בדרך כלל באמצעות "ניסוי וטעייה" עד שתמצא הדרך הארגונית הנכונה. זו תיקבע בדרך כלל לאחר מספר פעולות מעקב ובקרה שאחראי להן מנהל אבטחת המידע עצמו.
בכל זאת, אין לשלול לחלוטין את ביצוע כל שלושת השלבים באחריות אבטחת המידע, דהיינו: הנחיה, ביצוע בפועל ומעקב ובקרה אחר הביצוע. התנאי העיקרי לביצוע כל שלושת הפעילויות הינה יחידת אבטחת מידע גדולה מספיק המאפשרת חלוקת עבודה ברורה בין שלושת הפעילויות ובעיקר בין ההנחיה והבקרה ובין הביצוע. באם ניתן לממש הפרדה חד משמעית, אזי אפשרי. ברוב המקרים ולו רק בגלל כמות מצומצמת של כוח אדם ביחידת אבטחת המידע, זה איננו מתאפשר כלל.
נושא אחד בתחום המעקב והבקרה חשוב לציין, וזוהי הביקורת על מנהל אבטחת המידע עצמו. הרי לא יעלה על הדעת שמנהל יבדוק את עצמו, במקרה זה, מנהל אבטחת המידע יבדוק את פעילותו הוא. לשם כך מומלץ שמבקר הפנים יפעל במסגרת סמכותו בארגון וישלב במסגרת תוכנית שנתית לביקורת בארגון את נושא ביקורת ניהול אבטחת המידע בארגון. לפעילות זו נדרש ידע מקצועי מתאים ועל כן מומלץ שיחידת ביקורת הפנים בארגון תכלול לפחות עובד אחד בעל יכולת לבצע את הפעילות או לכל הפחות לנהל את הפעילות באם זו ניתנת לביצוע רק ע"י גורם חיצוני לארגון.
לסיכום הנושא השני: בדרך כלל נעדיף שמנהל אבטחת המידע יעסוק בהנחיה ובבקרה על יישום הנחיותיו. ביצוע ההנחיות יימסר בידי גוף תפעולי בתחום טכנולוגיית המידע אשר חייב להכשיר עצמו לביצוע המשימה. זאת למעט מספר נושאים מצומצם שגם ביצועם יישאר בידי מנהל אבטחת המידע (נושאי הניהול עצמם). רזולוציית ההנחיה הינה עניין לשיקול דעת מקצועי והתאמה ארגונית. בקרה על ביצוע ניהול אבטחת המידע עצמה תימסר לידי יחידת ביקרות הפנים בארגון אשר נדרשת לידע מקצועי בנושא זה.