פוסט בסדרת הפוסטים העוסקים בניהול אבטחת מידע
פוסט זה מתייחס לנושא הזיקה שבין האבטחה הפיזית ואבטחת מידע וכיצד עדיף למסד אותו.
הביטחון הפיזי, כשמו כן הוא, מתן מענה, דהיינו הענקת ביטחון, למול איומים וסיכונים לנכסים פיזיים, כדוגמת: אנשים, בניינים, מתקנים, וכל ציוד או נכס שהנו בעל ערך. המענה נדרש כאשר הנכס שיש להגן עליו מצוי "במנוחה" או "בתנועה", דהיינו נייח או נייד. מתודולוגיות אבטחה פיזיות לנכסים פיזיים הינן ותיקות, מוכרות וידועות וכמובן מתפתחות עם השנים, בהתאמה לאיומים והסיכונים הפיזיים ובהתאם לטכנולוגיות המתחדשות.
בהיבט זה, מתקן עשוי להיות מתקן המחשב (בשמו אז, "מרכז החישובים המרכזי", או בשמו היום: "חוות שרתים ארגונית"), ציוד עשוי להיות מחשב (נייד או נייח), ונכס בעל ערך עשויה להיות מדיה מגנטית נתיקה (דיסק שליף, Disk On Key, CD ודומיהם) או דוח שהודפס על נייר. דוגמאות אלה ממחישות (כך אני מקווה) באופן ישיר ומידי את העובדה שהביטחון הפיזי קשור קשר ישיר להגנה על נכסי המידע של הארגון. אין זה הקשר היחיד. בשנים האחרונות, ומגמה זו רק הולכת וגוברת, חלק הולך וגדל מאמצעי ההגנה שבהם משתמש הביטחון הפיזי כדוגמת אמצעים לבקרת כניסה פיזית למתקן, לחדר או לאזור כלשהו, מצלמות וציוד התראה ומעקב הפכו להיות אמצעים דיגיטליים, משמע, ממוחשבים. המשמעות הינה שאותם האמצעים המשמשים כאמצעי הגנה פיזית, חשופים כעת לאותם האיומים והסיכונים שאליהם נחשפים אמצעי המחשוב הארגוניים. ניקח לדוגמה את מצלמות האבטחה. מדובר במצלמות דיגיטליות אשר מחוברות לרשת תקשורת, מעבירות למרכז בקרה מרוחק את התמונה וניתנות לשליטה מרחוק למטרת שינויי התמקדות בשטח המצולם, זום וכד'. במה שונה המצלמה מכל רכיב מחשובי אחר המחובר לרשת וקיימת אליו גישה מרחוק? אז זהו, המצלמה איננה שונה, היא פשוט עוד רכיב ברשת התקשורת. על כן גם היא חשופה לאותם המפגעים שאליהם חשופים רכיבי מחשוב דיגיטליים. בין יתר האיומים ניתן למנות את מתקפות הפצחנים (האקרים בלעז) העלולים לשבש את עבודתה. דוגמאות יהיו: הסטת המצלמה באופן זדוני, "שתילת" תמונה כוזבת במסך הבקרה, או "סתם" הפסקת פעולתה. המשמעות הינה שבחלק הולך וגדל מאמצעי האבטחה הפיזיים נדרש לממש אבטחת מידע מיחשובית.
מהעבר האחר, אמצעי המחשוב שבידי המשתמשים שבעבר היו בעיקר נייחים, תחנות עבודה (מסופים או מחשבים שולחנים) הופכים למחשבים ניידים מסוגים שונים. המחשב הנייד הופך להיות כלי עבודה תקני במקום המחשב השולחני ונוסף עליו הטלפון החכם (סמארטפון) שהינו חיבור בין מחשב נייד לכל עניין ודבר, מכשיר טלפון סלולרי וגם GPS (זו טעות לקרוא לו טלפון חכם, זה מחשב לכל ענין ודבר וגם טלפון, הייתי מכנה אותו "מחשבלולר" או "סלומחשב", על מנת להבהיר לכל שמדובר במחשב ולא בטלפון!). כל אלה מחייבים שגורמי האבטחה הפיזית יספקו הנחיות/מענים להתנהלות בעת ניוד הרכיבים הללו, שהרי טבעם הוא שהם מניידים ברוב הזמן.
אם לא די בכך, הרי נושא ניהול האירועים מציג בפנינו צורך ממשי ומידי לשילוב נושאי האבטחה הפיזית ואבטחת המידע. אירוע עשוי להתחיל מאירוע פיזי של חדירה לשטח המתקן אשר יזוהה באמצעות רכיבי האיתור כדוגמת מצלמות או גלאי פריצה מסוגים שונים. לאן ידווח המידע הזה? למרכז שליטה ובקרה ממוחשב כמובן. יישלח סייר למקום שיעשה שימוש בסמרטפון על מנת לתקשר קולית עם מרכז הבקרה, אח"כ ייתכן גם אירוע מיחשובי של חיבור רכיב מיחשובי לרשת התקשורת הארגונית שיאותר ע"י רכיב אבטחת מידע ייעודי וידווח על האירוע למרכז הבקרה הממוחשב. שוב יישלח סייר לנקודה שבה בוצעה ההתחברות הלא מורשית וייתכן ויתפוס את הפורץ בעודו עסוק במלאכתו... והיו דברים מעולם.
מנהל ביטחון פיזי ומנהל אבטחת המידע
אם שני הנושאים קשורים זה בזה מה זה אומר מבחינת ניהול הנושאים הללו בארגון?
אפתח בדוגמה אישית. בשנים 1993 עד 2000 שימשתי בתפקיד מנהל אבטחת המידע של משרד הבריאות. במספר הזדמנויות נקראתי ע"י מנהלים במשרד שביקשו לשפר את רמת אבטחת המידע אצלם. במקרים אלו, זימנתי דיון אצל אותו המנהל שבו נכחו קצין הביטחון המחוזי של משרד הבריאות, ממונה המחשוב הרלוונטי ואנוכי. הבעיה הוצגה בפנינו ועוצב פתרון אשר לעתים היה בנוסח: "יש להגביר אמצעי אבטחה פיזיים", לעתים היה "אמצעי אבטחה פיזיים לא רלוונטיים, יש להגביר אמצעי אבטחה מיחשוביים" ולעתים "קצת מזה וקצת מזה".
אם נעבור מהמקרה הפרטי למקרה כללי, אזי המשמעות הינה שאמצעי אבטחה פיזיים ואמצעי אבטחה מיחשוביים שלובים אלו באלו כאשר אנו עוסקים בהגנה על נכסי מידע. יש לזכור מרכיב נוסף. בימינו, כאשר אנו משתמשים במונח "נכסי מידע", הכוונה איננה רק למחשבים במובנם המידי, אלא גם לטכנולוגיות הדיגיטליות שבהן נעשה שימוש בארגון, לדוגמה: הסמארטפונים, רכיבי שליטה ובקרה במערכות תפעוליות ומבצעיות ובארגוני בריאות המכשור הרפואי הדיגיטלי המתקדם.
המסקנה היא שמנהלי הביטחון הפיזי ואבטחת המידע חייבים לעבוד ביחד כאשר מדובר בהשגת הגנה על נכסי המידע הארגוניים במובנם הרחב.
האם "לעבוד ביחד" מחייב ניהול שתי הדיסציפלינות תחת מנהל אחד?
אינני חושב שזו חובה, יש יתרון לחיבור ארגוני בין מנהל האבטחה הפיזית ובין מנהל אבטחת המידע, שכן קל יותר לאזן ולשלב את המענים הפרטניים. יחד עם זאת, אין לשכוח שמנהל האבטחה הפיזית עוסק גם בנושאים נוספים שאינם הגנה על נכסי מידע. מה שהכרחי הוא ששני מנהלים אלו יקיימו ביניהם דו-שיח שוטף שכן כפי שכבר הצבעתי בתחילת המאמר, מדובר בצורך ממשי משני הכיוונים.
קיימות דוגמאות בארץ ובעולם שבהן שתי הפונקציות, הביטחון הפיזי ובטחון המידע שולבו תחת גורם ניהולי אחד. ואז עולות שתי שאלות:
(1) מי מנהל את מי? מנהל הביטחון הפיזי את מנהל אבטחת המידע או מנהל אבטחת המידע את מנהל הביטחון הפיזי?
(2) אם שתי הפונקציות אינן מנהלות זה את זה, מיהו זה המנהל אותן, והיכן מיקומו הארגוני?
לטעמי, השיטה הנכונה תהיה ששתי הפונקציות יהיו כפופות למנהל אבטחה ולא ינהלו האחד את השני, כך שהמענה לשאלה הראשונה יהיה: לא רלוונטי.
השאלה השנייה מתורגמת למעשה לשאלה הבאה: מהו מיקומו הארגוני של מנהל האבטחה בארגון?
תשובה אחת, קצת יוצאת דופן ניתנה בארה"ב. במהלך שנת 2011 פורסם שבמדינת מישיגן בארה"ב, מנהל אבטחת המידע ומנהל הביטחון הפיזי שניהם כפופים למנהל אחד. לא, לא מנהל האבטחה של המדינה, אלא כפופים למנהל מערכות המידע, כן, מנהל מערכות המידע הינו מנהלו של מנהל הביטחון הפיזי וגם של מנהל אבטחת המידע. המענה הזה אולי חריג משהו בנוף הניהולי של ניהול האבטחה, אבל הוא מרמז שניתן להכפיף ניהולית את פונקציית הביטחון (הפיזי והמיחשובי) לגורמי ניהול ארגוניים שונים.
קיימות למעשה שתי אפשרויות לניהול משולב של אבטחה פיזית ואבטחת מידע:
1. מנהל האבטחה הינו חבר הנהלת הארגון. תחתיו קיימות שתי פונקציות ניהוליות (לפחות): מנהל הביטחון הפיזי ומנהל אבטחת המידע.
2. מנהל האבטחה כפוף לחבר הנהלה. גם במקרה זה מתחתיו שתי פונקציות ניהוליות (לפחות): מנהל הביטחון הפיזי ומנהל אבטחת המידע.
בשתי האפשרויות שנמנו לעיל, בנוסף לביטחון הפיזי ולאבטחת המידע ניתן לשלב גם את נושא הבטיחות.
ההחלטה בין שתי האפשרויות הנ"ל הינה בתחום ההחלטה הפנימית של הארגון וכוללת מרכיבים שאינם בהכרח בתחום הדיון של מאמר זה. הייתי מסכם ואומר שקיימת חשיבות רבה לכך שמנהל האבטחה יהיה בכיר ככל שניתן בארגון. במידה והוא עצמו איננו חבר הנהלה, נדרש שמנהלו יהיה חבר הנהלה בכיר, דהיינו, מה שבחלק מהארגונים יכונה חבר "בהנהלה המצומצמת" או פורום דומה. בכל מקרה מנהל האבטחה חייב שיהיה חבר הנהלה או כפוף לחבר הנהלה.
לסיכום ניהול האבטחה בארגון:
קיימת חשיבות רבה לשילוב שבין אבטחה פיזית ואבטחת מידע. ניתן להשיג את השילוב כאשר שתי הפונקציות מנוהלות בשתי יחידות ארגוניות נפרדות באמצעות בניית תהליכי עבודה מתאימים. מובן מאליו שהשילוב מושג ביתר קלות, כאשר שתי הפונקציות מנוהלות תחת גורם ניהולי אחד.