פוסט זה מסכם את סדרת הפוסטים בנושא ניהול אבטחת מידע ומתייחס גם
לאופנה הנפוצה כיום של איחוד נושאי ניהול סיכונים תחת "מטריה אחת" –
ניהול סיכונים ארגוני.
ראשית, מבט קצר על פרקי הסדרה
תחילת הסדרה עסקה בשאלה: את מה מנהל מנהל אבטחת המידע?
המתודולוגיה מכתיבה שאבטחת מידע הינה טיפול בשלושה מרכיבים:
סודיות, שלמות ואמינות, זמינות ושרידות.
במדינת ישראל, אם בארגון מונה מנהל אבטחת מידע אזי בפועל הוא אחראי
בעיקר על מרכיב הסודיות. אין לזלזל במרכיב זה, מבין השלושה, דווקא המענה לסודיות
דורש את ההתייחסות הרחבה ביותר כאשר אנו עוסקים בטכנולוגיית מידע. המענה לנושא
האיומים על הסודיות מתפרס על פני התחומים הבאים: ארכיטקטורת פריסת מערכות
טכנולוגיית המידע, הגדרת מדיניות להפעלת מערכות טכנולוגיית המידע רכיב אחרי רכיב
(רכיבי התקשורת, מערכות ההפעלה, מסדי הנתונים, יישומים) ולבסוף מגוון תהליכי
העבודה שנקבעו עבור המשתמשים לסוגיהם השונים. האחריות לנושא שלמות ואמינות
המידע תמצא בדרך כלל בידי מנהלי הפיתוח/מנהל מערכות המידע (מנמ"ר) עצמם,
כך גם נושא הזמינות. שונה לגמרי נושא השרידות, שכן שרידות הנה פתרון לתרחיש/ים של
פגיעה בזמינות. בדרך כלל האחריות לשרידות ניתנת למנהל בכיר בארגון שכן מדובר
בתקציבים ומשאבים גדולים ליישום מענה.
ניהול אבטחת מידע וחקיקה/רגולציה בישראל
מספר חוקים רגולציות עוסקות בנושא זה ומחייבות חברות וסקטורים
שונים:
1.
חוק ותקנות להגנת
הפרטיות,
2.
חוק להסדרת הביטחון בגופים ציבוריים,
3.
הוראת ניהול בנקאי תקין
מס' 357 לתאגידים בנקאיים מטעם המפקח על הבנקים,
4.
ניהול סיכוני אבטחת מידע
לגופים מוסדיים מטעם המפקח על הביטוח.
שני מרכיבים לניהול אבטחת מידע: מיצוב ארגוני ותחומי אחריות:
א.
מיצוב ארגוני. שלושה מהארבעה (חוק
להסדרת הביטחון, והוראות המפקח על הבנקים והמפקח על הביטוח) שמים דגש ומציבים עמדה
ברורה בעניין זה (מנהל אבטחת המידע הנו נושא משרה בכיר). חוק הגנת הפרטיות איננו
מתייחס לסוגיה זו כלל וכלל. גם הסמנטיקה של "ממונה אבטחת מידע" בלשון
חוק הגנת הפרטיות ממעיטה מחשיבות/בכירות המשרה, בבחינת מיהו ממונה? מי שמונה וזה יכול להיות כל עובד בארגון, לעומת מנהל שזו הגדרה ברורה לנושא משרה ניהולית, ומבדלת את נושא המשרה מעובד שאיננו מנהל.
ב.
תחומי אחריות. במישור CIA (סודיות, שלמות
ואמינות, זמינות ושרידות) ובמישור אבטחה פיזית למול אבטחת המחשבים:
1.
חוק הגנת הפרטיות מתייחס לכל
ה-CIA וכולל התייחסות לדרישות
לאבטחה פיזית ומיחשובית,
2. חוק להסדרת הביטחון נחזה
להתייחס ל-C בלבד וקיימת הפרדה בין פעילות אבטחה פיזית ופעילות אבטחת מידע,
3.
הוראת המפקח על הבנקים ל-C ול-I בלבד ומחייבת אספקת
מענה פיזי ומיחשובי,
4. הוראת המפקח על הביטוח
לכל ה-CIA. גם הוראה זו מתייחסת
לפן הפיזי והמחשובי.
נראה שבמבחן ההתאמה למציאות, המחוקקים והרגולטורים במדינת ישראל
אינם קוהרנטיים בינם לבין עצמם, דבר העלול להקשות על ארגונים הנדרשים לעמוד במספר
חוקים/דרישות רגולטוריות לקבל החלטות בעניין תחומי האחריות של מנהל אבטחת המידע.
מנהל אבטחת מידע: טכנולוג או מנהל
אבטחת מידע בארגון הנו תהליך החוצה את כל היחידות הארגוניות. מדובר
במגוון פעילויות הדורשות הכרת תהליכי יצירת, שינוע ואגירת מידע בכל תהליכי העבודה
בכל אחת מהיחידות הארגוניות. ככזה מחייב מוטת שליטה רחבת היקף. מזה זמן כבר לא
מדובר על משימה טכנולוגית בלבד. זו משימה המחייבת כישורים ניהוליים. כישורים
ניהוליים נדרשים כוללים את:
1.
היכולת להבין מתוך הגדרת
התפקיד כפי שהוטל, כיצד לפרק אותו לנושאים הספציפיים.
2.
לסמן בכל נושא מי אמור
לבצע אותו, מתי אמור להתחיל ולהסתיים, ומה המשאבים הנדרשים על מנת לבצע אותו.
3.
להוציא לפועל את
הפעילויות הנ"ל.
4.
להוביל בארגון את ניתוח
האיומים, הסיכונים והמענים להם למידע ולטכנולוגיית המידע בתחום הסודיות, ובמידה
מסוימת גם בנושאי שלמות, אמינות וזמינות.
5.
להגדיר פרמטרים למדידת
רמת אבטחת המידע של הארגון בתחומי אחריותו.
6.
להציג בפני הנהלת הארגון
מעת לעת ועפ"י בקשה את מצב אבטחת המידע עפ"י פרמטרי המדידה.
מערך הנושאים המתואר לעיל הינו במובהק בתחום הניהול. על כן, מנהל
אבטחת המידע, בין שהינו בעל רקע טכנולוגי רחב או צר, חייב להיות בעל יכולות ניהול
לפחות ברמה של כל מנהל אחר בארגון. באם יהיה רק בעל יכולת טכנולוגית, יבצר ממנו
להפוך את תחום אבטחת המידע (ואפילו זה "רק" מרכיב הסודיות), לנושא
המוטמע בתהליכי העבודה הארגוניים, כדוגמת: תהליכי רכש, שיווק, פעילויות ליבה
עסקיות (בהתאם למגזר שאליו משתייך הארגון) וכד'. אבטחת מידע בארגון משמעותה הינה
אחת, אבטחת מידע המוטמעת כדבר שבשגרת העבודה בתהליכי העבודה הארגוניים. כבר מזה
זמן לא מדובר בתהליך טכנולוגי צר.
אבטחת מידע: הנחיה, ביצוע ובקרה – הפרדת תפקידים וסמכויות
שלושה תהליכי עבודה מרכיבים את מקצוע אבטחת המידע: הנחייה – הצבת
דרישות, ביצוע ההנחיה, וביצוע בקרה כיצד ההנחיה מבוצעת בפועל.
בדרך כלל נעדיף שמנהל אבטחת המידע יעסוק בהנחיה ובבקרה יישום
הנחיותיו. ביצוע ההנחיות יימסר בידי גוף תפעולי בתחום טכנולוגיית המידע אשר חייב
להכשיר עצמו לביצוע המשימה. זאת למעט מספר נושאים מצומצם שגם ביצועם יישאר בידי
מנהל אבטחת המידע (נושאי הניהול עצמם). רזולוציית ההנחיה הינה עניין לשיקול דעת
מקצועי והתאמה ארגונית. בקרה על ביצוע ניהול אבטחת המידע עצמה תימסר לידי יחידת
ביקורת הפנים בארגון אשר נדרשת לידע מקצועי בנושא זה.
מיקום ארגוני של מנהל אבטחת המידע ותפקוד אבטחת מידע
שתי אסכולות קיימות:
1.
מנהל אבטחת המידע אסור
שיהיה חלק ממערך מערכות המידע בארגון.
2.
מנהל אבטחת המידע יכול
להיות חלק ממערך טכנולוגיית המידע בארגון.
לטעמי השאלה שיש לספק עליה מענה הנה שונה:
בהינתן כל מה שידוע לנו עד לנקודה זו, מהם התנאים הנדרשים על מנת
שמנהל אבטחת המידע יוכל לבצע את תפקידו כהלכה. התשובה מורכבת משתי אבני בניין.
הראשונה, היררכיה ארגונית סמכות ואחריות:
1.
על מנהל אבטחת המידע
להיות חבר בהנהלת הארגון, או כפוף למנהל שהוא חבר הנהלת הארגון. אותו חבר הנהלה יכול
להיות מנהל מערכות המידע, או כל מנהל אחר שהנו חבר הנהלה.
2.
נדרשת וועדת היגוי לאבטחת
מידע. מנהל אבטחת המידע משמש מזכיר הוועדה. יו"ר הוועדה הנו מנהל בכיר מבין
חברי הנהלת הארגון. וועדת ההיגוי תשקף פריסת סמכויות ואחריות הנהלת הארגון
בתחום אבטחת מידע.
השנייה, ההיבטים הפורמליים של תיעוד תהליכי עבודה:
1.
מדיניות אבטחת מידע שבה
נכללת מחויבות ההנהלה לאבטחת מידע ולתקצובה הנאות.
2.
תהליך מובנה, סדור, מנוהל
ומבוקר של כתיבת מסמכים המתארים תהליכי עבודה (נהלים, הוראות עבודה, הוראות
תפעוליות וכיו"ב) לאבטחת מידע ולשילוב אבטחת מידע בכל תהליכי העבודה
הארגוניים הרלוונטיים.
אבטחת מידע ואבטחה פיזית
אבטחה פיזית מספקת מעטפת אבטחה המהווה תשתית להגנה על אנשים, נכסים
ומידע. על כן קיימת חשיבות רבה לשיתוף פעולה בין שתי הפונקציות.
יחד עם זאת, אין הכרח שיהיו תחת אותה קורת גג ניהולית, אם כי, כאשר
האבטחה הפיזית ואבטחת המידע מצויות תחת קורת גג ניהולית משותפת קיים פוטנציאל גבוה
יותר לשילוב מנצח של הגנה על המידע ונכסי המידע.
אבטחת מידע וניהול כולל של סיכונים
בעשור הקודם החלו לנשב רוחות חדשות. תחילה רגולציה כלל עולמית בשם
בזל II שחלה על מערכת הבנקאות
ברחבי העולם. זו מביאה לעולם מונח חדש: "סיכונים תפעוליים". ומהו סיכון
תפעולי אליבא דבאזל II?
"הסיכון שבהפסד הנובע מכישלון או אי התאמה של תהליכים
פנימיים, אנשים או מערכות, או מאירועים חיצוניים". מערכות טכנולוגיית
המידע מתאימות "בול" להגדרה זו.
אז מה קיבלנו? שסיכוני טכנולוגיית המידע הם בסה"כ מקרה פרטי
של עולם הסיכונים התפעוליים.
התוצאה: לא עוברות אלא שנתיים שלוש מאז שמומצא המונח הזה, וכבר יש
לנו תוכנות שמסייעות לתאגידים הבנקאיים הגדולים בעולם לנהל את הסיכונים התפעוליים.
והיכן היא טכנולוגיית המידע/אבטחת מידע? פשוט נעלמת... מדהים, אבל בכלי התוכנה
הללו טכנולוגיית המידע איך אמרנו בילדותנו "לא פונקציה"? אז זהו, לא
סופרים את טכנולוגיית המידע. מדוע ולמה? כי הרי הכל תהליכים עסקיים. טכנולוגיית
המידע היא רק "ספק שירותים" של התהליכים העסקיים.
עוברות עוד שנתיים שלוש ונדמה ש"קם הגולם על יוצרו" בואו
נעשה את מגדל בבל של ניהול הסיכונים. נקים פונקציה שתקרא: "משרד ניהול
הסיכונים הארגוני" נעשה "פריש מיש" ונקבל על סרגל אחד את כל
הסיכונים של הארגון מהנמוך ביותר ועד הגבוה ביותר. הרי זה משובח. עכשיו סוףסוף
תוכל הנהלת הארגון פעם ראשונה בתולדותיה לראות מהם הסיכונים שאתם הארגון צריך
להתמודד ולתעדף.
ועכשיו אנה נעלם מנהל אבטחת המידע? נחזור לתחילת הדיון. הוא מנהל
בעיקר את הסיכון לסודיות של המידע במערכות המידע. איזו חשיבות כבר יכולה להיות
לסודיות המידע? כיצד יישום מדיניות שימוש נכון בתשתיות טכנולוגיית המידע (מה שקרוי
בז'רגון המקצועי: "הקשחה") מתמודדת עם סיכון של אובדן שוק עקב תחרות? כיצד
הטלאת כשלי אבטחה (מה שקרוי בז'רגון המקצועי (Security patches
policy משפר את התחרותיות? הרי לכם המענה: אי אפשר לדעת. רק בעקיפין נוכל
לומר שבהעדר יישום מדיניות הקשחה נכונה, או בהעדר מדיניות הטלאה של פגיעויות
בתוכנות גובר הסיכוי לריגול תעשייתי. מישהו מקשיב בהנהלה? מסופקתני.
אז מה עושים? מחכים שהאופנה הזו תעבור, כפי שכל אופנה עוברת חולפת לה.
בינתיים עושים ככל הניתן לשמר ולשפר את המענים לאיומים ולסיכונים למידע ולטכנולוגיית
המידע שכן אלו לא מתייחסים לאופנה כזו או אחרת ומשתדלים ככל הניתן להיות מקצוענים.
שם המשחק הוא מקצוענות.האויב הנו מקצוען גם מנהל אבטחת המידע וכל מי שעיסוקו ניהול
סיכוני המידע וטכנולוגיית המידע חייב להתמקצע.
רשומות
אין תגובות:
הוסף רשומת תגובה