יום רביעי, 25 ביולי 2012

ניהול אבטחת מידע - מי אתה מנהל אבטחת המידע - טכנולוג או מנהל ואולי שניהם

בפוסט שנקרא: " ניהול אבטחת מידע - מה זה ניהול אבטחת מידע ומה מיקומה בארגון: חלק א' " (מדצמבר 2011), הצגנו את הפער שבין המתודולוגיה הצרופה, אבטחת מידע הינה טיפול בנושאי סודיות, שלמות ואמינות, זמינות שרידות (Confidentiality – Integrity – Availability), לעומת המציאות שבה מנהל אבטחת המידע אחראי בפועל בחלק גדול מהארגונים רק על היבטי הסודיות (Confidentiality).

בפוסט הנוכחי נספק מענה לשתי שאלות:
1. מהו הידע הנדרש לבצוע המשימה? האם נדרש ידע טכנולוגי, יכולות ניהוליות, מה חשוב יותר?
2. מהי קשת המשימות שמנהל אבטחת המידע נדרש לבצע במסגרת התהליך הניהולי. האפשרויות הינן: הנחייה בלבד, הנחייה ובקרה בלבד, הנחייה ביצוע ובקרה.

המענה לשאלה הראשונה, מה הידע הדרוש לביצוע משימת ניהול אבטחת מידע, כאשר נקודת המוצא הינה שמנהל אבטחת המידע אחראי בעיקר לנושא הטיפול במרכיב הסודיות, תורם למרכיב שלמות ואמינות ומספק דרישות אבטחת מידע לתוכנית להמשכיות עסקית.
ראשית נתייחס לעובדות כמות שהן. מה נדרש על מנת לממש סודיות ראויה במערכות שבהן נאגר דרך קבע, מועבר בתקשורת ומעובד מידע מסווג. הסיווג עשוי להיות ביטחוני, צנעת הפרט או עסקי. כל אחד לחוד או צירוף של שניים או כל השלושה.
ובכן מסתבר שאנו עוסקים כמעט בכל פן של נושא מערכות המידע ואבטחתן. כיוון שעל מנת לממש סודיות יש לבנות מארג של בקרות. נושא השגה ושימור של סודיות טומן בחובו בקרות בכמעט כל התחומים של טכנולוגיית המידע:
א. פריסת רכיבי טכנולוגיית המידע – טופולוגיה. לדוגמה שימוש בסגמנטציה.
ב. רכיבי התקשורת – ניתן לשלב דרישות אבטחה ברכיבי תקשורת כדוגמת נתבים ומתגים.
ג. מערכות הפעלה – הדרישה ידועה בשם "הקשחה". אני נוטה יותר לשם "קביעת מדיניות השימוש במערכת הפעלה" כיוון שהוא מייצג סמנטיקה פחות "מיליטנטית".
ד. בסיסי נתונים – שילוב דרישות לסודיות בבסיסי הנתונים, לדוגמה, הצפנת שדות המכילים מידע רגיש.
ה. יישום (אפליקציה) – היישום ניגש לבסיס הנתונים והוא זה הפועל על הנתונים הרגישים שקיימים ע"י שליפתם (לדוגמה למטרת הצגתם על מסך המשתמש או עדכונם. (עדכון = שינוי ערכך, ביטול נתון , הוספת נתון). מושג תוך שימוש בטכניקה הקרויה בשם "פיתוח מאובטח", שמשמעותו, הוספת מרכיבי אבטחת מידע בקוד של היישום על בסיס ניתוח איומים הניתנים למימוש בעת שהיישום מורץ בפועל.
ו. מוצרי אבטחת מידע התומכים בדרישה להשגה או לשימור של סודיות. לדוגמה: הצפנת רכיבים ניידים.
ז. תהליכי עבודה – הבחנה בין מה שמותר לבצע ומה שאסור לבצע. מימוש ראשוני הינו באמצעות מערכת הרשאות. אך זה בדרך כלל איננו מספיק. שכן מערכות הרשאות איננה יודעת להבחין בין שימוש ראוי שנעשה בהרשאה שניתנה כדין, לבין שימוש שאיננו ראוי באותה ההרשאה. למה הכוונה? אסביר באמצעות דוגמה. פקיד בנק העובד בסניף וניגש לרשומת הלקוח, יכול לעשות זאת כאשר הלקוח עומד מולו ומבקש לקבל שירות, ואז הגישה הינה כדין, ויכול לעשות זאת ללא סיבה כיוון שההרשאה לגישה לרשומת הלקוח הינה קבועה ואיננה תלויה באספקת הסבר לעצם הגישה, ואז זה שלא כדין. הגישה למידע מותנית בקבלתה של הרשאה וזו ניתנה על בסיס התפקיד. השימוש בהרשאה איננו תלוי בדבר, וזו הבעיה.
עכשיו בואו ונשאל מחדש את השאלה:
האם זו ממש חובה שמנהל אבטחת המידע יבין טכנולוגית את כל תשתיות טכנולוגיית המידע על מנת שיוכל לטפל בסוגיית הסודיות?
מגוון המרכיבים שיש לטפל בהם על מנת לספק מענה לסוגיית הסודיות (וזו כמובן איננה הבעיה היחידה, אלא שהיא המרכזית בעבודתו של מנהל אבטחת המידע) מכיל קשת רחבה של נושאים טכנולוגיים. האם ישנו אדם שהינו בעל ידע טכני כה מקיף? לדעתי התשובה הינה שלילית. על כן ברור כבר בנקודה זו, שאין למנהל אבטחת המידע היכולת להקיף את כל תחום הידע הטכנולוגי הנדרש. למרות זאת, נדרשת בכל זאת הבנה טכנולוגית מסוימת.
מה חיוני על מנת שמנהל אבטחת המידע יבצע כהלכה את תפקידו?
התשובה החד משמעית הינה יכולת ניהול. שם התפקיד הינו: "מנהל אבטחת מידע" ואין זו אמירה סתמית. מדובר בניהול של תחום בארגון. התחום הינו אבטחת מידע. ניהול אבטחת מידע משמעותו:
1. היכולת להבין מתוך הגדרת התפקיד כפי שהוטל, כיצד לפרק אותו לנושאים הספציפיים.
2. לסמן בכל נושא מי אמור לבצע אותו, מתי אמור להתחיל ולהסתיים, ומה המשאבים נדרשים על מנת לבצע אותו.
3. להוציא לפועל את הפעילויות הנ"ל.
4. להוביל בארגון את ניתוח האיומים, הסיכונים והמענים להם למידע ולטכנולוגיית המידע בתחום הסודיות, ובמידה מסוימת גם בנושאי שלמות, אמינות וזמינות.
5. להגדיר פרמטרים למדידת רמת אבטחת המידע של הארגון בתחומי אחריותו.
6. להציג בפני הנהלת הארגון מעת לעת ועפ"י בקשה את מצב אבטחת המידע עפ"י פרמטרי המדידה.
מערך הנושאים המתואר לעיל הינו במובהק בתחום הניהול. על כן, מנהל אבטחת המידע, בין שהינו בעל רקע טכנולוגי רחב או צר, חייב להיות בעל יכולות ניהול לפחות ברמה של כל מנהל אחר בארגון. באם יהיה רק בעל יכולת טכנולוגית, יבצר ממנו להפוך את תחום אבטחת המידע (ואפילו זה "רק" מרכיב הסודיות), לנושא המוטמע בתהליכי העבודה הארגוניים, כדוגמת: תהליכי רכש, שיווק, פעילויות ליבה עסקיות (בהתאם למגזר שאליו משתייך הארגון) וכד'. אבטחת מידע בארגון משמעותה הינה אחת, אבטחת מידע המוטמעת כדבר שבשגרת העבודה בתהליכי העבודה הארגוניים. כבר מזה זמן לא מדובר בתהליך טכנולוגי צר.

לסיכום החלק הראשון במאמר זה, מי שמופקד על אבטחת המידע בארגון נדרש להיות בעל יכולות ניהול כפי שכל מנהל בארגון נדרש להן, ובוודאי מנהל שמבקש להטמיע דרישות (במקרה זה, דרישות אבטחת מידע) בתהליכי עבודה רבים ומגוונים בארגון. מומלץ שיהיה בעל ידע טכני בתחום טכנולוגיית המידע, אבל ברור מאליו שידע זה יהיה מוגבל למספר תחומים מצומצם מתוך מגוון הנושאים הטכנולוגיים.

כעת נעבור לדון בשאלה השנייה שבה יעסוק מאמר זה: מהו מרחב הפעילות של מנהל אבטחת מידע?
קיימים שלושה מרכיבים באבטחת מידע:
1. הנחייה – הגדרת הדרישות.
2. ביצוע – יישום (הטמעת) הדרישות ותפעולן השוטף.
3. מעקב ובקרה – אחר הביצוע.


ברמה התאורטית ניתן לבצע משימה אחת, צירוף של שתי משימות או ביצוע של כל שלושת המשימות.
עקב הצורך לבצע הפרדת רשויות, בין הנחייה וביצועה של ההנחיה, יועדף באופן מעשי המודל שבו מנהל אבטחת המידע אחראי על ביצוע המשימה הראשונה – הנחייה והמשימה השלישית – מעקב ובקרה אחר ביצוע הנחיותיו. המשימה השנייה בדרך כלל תועבר לגוף הטכנולוגי התפעולי, למעט מספר מצומצם של פעילויות שהן בליבת ניהול אבטחת המידע עצמה כדוגמת: ניהול אירועי אבטחת מידע, הצגת רמת אבטחת המידע הארגונית.
אבל גם במודל זה נשאלת השאלה: מהי רזולוציית ההנחיה?
ניתן להנחות ברמה של הנחית על. לדוגמה: נדרש תהליך למניעת חדירת קוד עוין.
ניתן להנחות ברמת הרזולוציה המדויקת ביותר: נדרש להתקין קונפיגורציה מסוימת של מוצר מסוים. הן המוצר והן הקונפיגורציה ייבחרו ע"י מנהל אבטחת המידע. עליו האחריות למצוא את המוצר אשר יספק את המענה המיטבי תוך מתן התייחסות להיבטים ארגוניים נוספים, כגון: תקציב, כוח אדם, יכולת טכנית לשלב את המוצר הספציפי וכיוצ"ב.
מהי הגישה הנכונה יותר? זו כבר שאלה ניהולית-ארגונית ולאו דווקא שאלה מתודית מהותית. השאלה הינה כיצד מחולק נושא אבטחת המידע, מהי רמת הידע של כל אחד מהעוסקים בנושא, וכיצד הארגון מעוניין לחלק את תפקיד ההנחיה. זאת מכיוון שכל רזולוציה שהיא שתקבע, טומנת בחובה יתרונות וחסרונות גם יחד.
אם ההנחיה הינה רק ברמת הנחית-על, אזי עלולה העובדה שנמנעת ממנהל אבטחת המידע לרדת לפרטי בחירת המוצרים הספציפיים והקונפיגורציה שלהם לגרום להעדפה של מוצרים שאינם מספקים את כל דרישות האבטחה אך מספקים את הדרישות התפעוליות במלואן, ולהיפך.
המענה יינתן בדרך כלל באמצעות "ניסוי וטעייה" עד שתמצא הדרך הארגונית הנכונה. זו תיקבע בדרך כלל לאחר מספר פעולות מעקב ובקרה שאחראי להן מנהל אבטחת המידע עצמו.
בכל זאת, אין לשלול לחלוטין את ביצוע כל שלושת השלבים באחריות אבטחת המידע, דהיינו: הנחיה, ביצוע בפועל ומעקב ובקרה אחר הביצוע. התנאי העיקרי לביצוע כל שלושת הפעילויות הינה יחידת אבטחת מידע גדולה מספיק המאפשרת חלוקת עבודה ברורה בין שלושת הפעילויות ובעיקר בין ההנחיה והבקרה ובין הביצוע. באם ניתן לממש הפרדה חד משמעית, אזי אפשרי. ברוב המקרים ולו רק בגלל כמות מצומצמת של כוח אדם ביחידת אבטחת המידע, זה איננו מתאפשר כלל.
נושא אחד בתחום המעקב והבקרה חשוב לציין, וזוהי הביקורת על מנהל אבטחת המידע עצמו. הרי לא יעלה על הדעת שמנהל יבדוק את עצמו, במקרה זה, מנהל אבטחת המידע יבדוק את פעילותו הוא. לשם כך מומלץ שמבקר הפנים יפעל במסגרת סמכותו בארגון וישלב במסגרת תוכנית שנתית לביקורת בארגון את נושא ביקורת ניהול אבטחת המידע בארגון. לפעילות זו נדרש ידע מקצועי מתאים ועל כן מומלץ שיחידת ביקורת הפנים בארגון תכלול לפחות עובד אחד בעל יכולת לבצע את הפעילות או לכל הפחות לנהל את הפעילות באם זו ניתנת לביצוע רק ע"י גורם חיצוני לארגון.

לסיכום הנושא השני: בדרך כלל נעדיף שמנהל אבטחת המידע יעסוק בהנחיה ובבקרה על יישום הנחיותיו. ביצוע ההנחיות יימסר בידי גוף תפעולי בתחום טכנולוגיית המידע אשר חייב להכשיר עצמו לביצוע המשימה. זאת למעט מספר נושאים מצומצם שגם ביצועם יישאר בידי מנהל אבטחת המידע (נושאי הניהול עצמם). רזולוציית ההנחיה הינה עניין לשיקול דעת מקצועי והתאמה ארגונית. בקרה על ביצוע ניהול אבטחת המידע עצמה תימסר לידי יחידת ביקרות הפנים בארגון אשר נדרשת לידע מקצועי בנושא זה.

יום ראשון, 1 ביולי 2012

אתגרי ניהול אבטחת המידע כיום

סטוקסנט ולהבה. תוכנות זדוניות שחדרו לתודעה בשנתיים האחרונות. יש או אין חדש תחת השמש? כמי שעוסק בתחום אבטחת המידע כבר 30 שנה התשובה היא שאין חדש תחת השמש. אירועים כאלו כבר היו בעבר.

סטוקסנט, תוכנה ייעודית לפגיעה ברכיב פיזי במקרה זה צנטריפוגות במתקן העשרת אורניום באירן. בשנת 1982 ה-CIA פעל באופן דומה והחדיר תוכנה זדונית לרכיב SCADA שברה"מ גנבה/קיבלה מהמערב. התוכנה הזדונית גרמה לפיצוצו של צינור הולכת הגז הרוסי מסיביר לאירופה, פיצוץ השווה בעוצמתו לחמישית עוצמת הפיצוץ שהחריבה את הירושימה. הפיצוץ גרם לפגיעה קשה בכלכלה הסובייטית המתמוטטת.
מי שמחפש באינטרנט, ימצא את הסיפור תחת הכותרת: The Farewell Dossier
https://www.cia.gov/library/center-for-the-study-of-intelligence/kent-csi/vol39no5/pdf/v39i5a14p.pdf

וירוס להבה, תוכנת ריגול שהושתלה במחשבים אירניים ואחרים על מנת (ככל הנראה) לקבל מידע מקדים לקראת תקיפת סטוקסנט ותקיפות אחרות. גם במקרה זה אין חדש. מי שקרא את הספר "העין של וושינגטון" שבו נחשפת פרשת חברת Inslaw ותוכנת PROMIS (התוכנה הובאה לארץ ע"י כך נטען רפי איתן) מבין שכאז כן עתה, ארגוני ביון/ריגול עושים שימוש ביכולות (או בכשלים) של מערכות מחשוב למיצוי מידע ולשיגורו לגורמים אחרים.
באינטרנט יש הרבה מידע. אפשר להתחיל מויקיפדיה ומשם להמשיך...
http://en.wikipedia.org/wiki/Inslaw

אם כל האמור לעיל איננו חדש, אז מה כן חדש? בזה בדיוק יעסוק המשכו של הפוסט.
יש לבחון מה התחדש בתהליכי העבודה הארגוניים ובמערך טכנולוגיית המידע המשרת תהליכים אלו, וכיצד חידושים אלו משפיעים על עבודתו של מנהל אבטחת המידע בארגון.


1. הארגון והעולם החיצון:
1.1. עבודה מבחוץ לתוך מערכות המידע הארגוניות. השינוי המשמעותי ביותר הינו שרוב תהליכי העבודה אשר בעבר בוצעו רק כאשר המשתמש במערכת המידע מצוי בתוך חצרי הארגון (בלשון מערכות המידע: עובד ברשת הפנימית) מופעלים היום גם או רק כאשר המשתמש מצוי מחוץ לחצרי הארגון (בלשון מערכות מידע: עובד מבחוץ אל תוך הרשת הפנימית של הארגון).
1.2. המשמעות האבטחתית: ה-FIREWALL הארגוני, זה החוצץ בין הרשת הפנימית והעולם החיצון מאבד את משמעותו הייחודית. מירב הפעילות הלגיטימית מתבצעת מבחוץ לתוך הארגון. העולם החיצון, על כל איומיו וסיכוניו הופך לחלק מהארגון.
2. הארגון ורכיבי טכנולוגיית המידע:
2.1. שימוש ברכיבי טכנולוגיית מידע שלא בבעלות הארגון. מתרבה השימוש ברכיבי טכנולוגיית מידע שהמשתמש הינו בעליהם ולא הארגון. הכינוי לכך: Bring Your Own Device. הרכיב המוביל את השינוי הינו הסמארטפון. רכיב המשלב תקשורת סלולרית, מחשוב, GPS ועוד.
2.2. המשמעות האבטחתית: רכיב שאיננו בבעלות הארגון לא מוכלת עליו מדיניות אבטחת מידע ארגונית. הרכיב עלול להכיל תוכנות זדוניות שונות שיפגעו בארגון בעת חיבורו לרשת הארגונית. וגם, מידע מסווג ארגוני שיישמר עליו לא בהכרח יהיה מוצפן ועל כן לא מוגן מפני חשיפתו לבלתי מורשים.
3. מנהל אבטחת המידע, רכיבי טכנולוגיית המידע והמתקפות:
3.1. רמת הידע של מנהל אבטחת המידע על מצבם של רכיבי טכנולוגיית המידע הניגשים למערכות המידע הארגוניות והמתקפות עליהם ועליו. למרות אמצעי האבטחה הרבים, רכיבי טכנולוגיית מידע עלולים להיות מודבקים בתוכנות זדוניות מסוגים שונים. ללא יכולת קבועה של ידיעת מצבם של רכיבי טכנולוגיית המידע הניגשים למערכות המידע הארגוניות, ומעבר לכך, מצב המתקפות הקיימות והמתוכננות עליהם, מנהל אבטחת המידע נותר מגיב לאירועים שכבר התרחשו (אבטחה ריאקטיבית) ולא "מכין תרופה למכה" (אבטחה פרואקטיבית).
ומהם המענים שמנהל אבטחת המידע נדרש ליישם כעת ובעתיד הקרוב:
1. גישה דינמית לניהול סיכוני טכנולוגיית המידע
על מנת לספק מענה לשתיים מהבעיות שהוצגו לעיל, העולם החיצוני בתוך הארגון והשימוש ההולך ומתרבה ברכיבים שאינם בבעלות הארגון יש צורך בפרדיגמה חדשה של ניהול סיכוני טכנולוגיית המידע.
נקודת המוצא הינה שבסיכומו של יום, קיים משתמש אנושי אשר בידיו מצוי רכיב טכנולוגי כלשהו, המבקש גישה למערכת מידע ארגונית באמצעות תווך תקשורת כלשהו על מנת לבצע מטלה מסוימת בשימוש בנתוני הארגון.
מודל האבטחה הדינמי מממש מבדק ומענה בזמן אמת מהו הסיכון אליו נחשף הארגון בעת ביצוע גישה של משתמש קצה וכיצד מצמצמים את הסיכון. מדובר ביצירת "מטריצת איום" המתבססת על חישוב האיום שמייצר כל אחד מהרכיבים הנוטלים חלק בתהליך: 1-מקור הגישה: (א)-ציוד הקצה, (ב)-המשתמש, (ג)-המיקום בו מצוי הציוד, 2-תווך התקשורת, 3-יעד הגישה: (א)-רכיבי ה-IT, (ב)-מסד הנתונים, (ג)-צורת הגישה, (ד)-מטרת הפעילות. כבר היום מצויים בידינו מענים חלקיים. יש להשלים את המלאכה. חברת אינטל החלה בשנת 2009 בפרויקט חומש ל-5 שנים בנושא זה.
2. אבטחת מידע מבוססת מידע
אבטחת מידע איננה שונה מתחומי העיסוק האחרים בארגון. אם אנו מדברים היום על לדוגמה, רפואה מבוססת מידע, אזי באותו האופן יש לדבר על אבטחת מידע מבוססת מידע. במישור הארגוני עליו מופקד מנהל אבטחת המידע מדובר בשני נושאים:
1. נתונים על הדבקת רכיבי טכנולוגיית המידע המתקשרים למערכות המידע הארגוניות או על התרחשויות במערכות המידע הארגוניות.
2. מידע על מתקפות צפויות על רכיבי טכנולוגיית המידע בארגונו או בסקטור שאליו משתייך ארגונו.
נושאים אלו מטופלים כבר היום באמצעות כלי SIM ואיתור רכיבים נגועים באמצעות כלי מודיעין ייעודיים. יש להעמיק ולשכלל פעילויות אלו.