ניהול סיכוני טכנולוגיית המידע. לא עוד "אבטחת מידע" או "הגנת מידע"

ניהול סיכוני טכנולוגיית המידע הנו השם העדכני לתהליך שכונה בעבר "אבטחת מידע", "הגנת מידע" או "הגנת נכסי המידע" או צבר רב של שמות שכולם סביב המונח "הגנה".
הגנה משמעותה התמקדות במגן ובמידע שעליו מגינים. ניהול סיכוני טכנולוגיית המידע מתמקד בשני מרכיבים בה בעת: מרכיב הניהול ומרכיב תוכן שהוא סיכוני טכנולוגיית המידע.
במאמר סקירה מהי המשמעות של השינוי, כיצד על מנהל סיכוני טכנולוגיית המידע לנהוג בעידן החדש שאנו בפתחו והשלכות ארגוניות נוספות.
ניהול סיכוני טכנולוגיית המידע הפך בשנים האחרונות לנדבך משמעותי בתהליכי העבודה של טכנולוגיית המידע ומעבר לה בארגונים רבים. אחת הסיבות העיקריות לכך הינה פעילות נמרצת של מחוקקים ורגולטורים בארץ ובעולם במהלך העשור הראשון למאה הנוכחית. די אם נזכיר את חוקי ה-GLBA (סקטור בנקאות בארה"ב), HIPAA (סקטור הבריאות בארה"ב), חוק SOX (ארה"ב והשלכותיו ברמה הבינלאומית, לדוגמה בארץ וועדת גושן), רגולציית בזל II הבינלאומית לסקטור הבנקאות ועוד ועוד. בארץ: הוראת ניהול בנקאי תקין מס' 357 של המפקח על הבנקים המיועד לתאגידים בנקאיים, ההוראה לניהול סיכוני טכנולוגיית המידע של המפקח על הביטוח החלה על גופים מוסדיים, תחילת הפעילות (בעולם ובארץ) להגנתן של תשתיות מחשוב חיוניות וההתעוררות בנושא הגנת הפרטיות לאחר הקמתה לפני כשלוש שנים של הרשות למשפט טכנולוגיה ומידע במשרד המשפטים.
כל אלה הפכו את התחום ממרכיב שולי, לעתים נשכח לחלוטין, לאחד מעמודי התווך של השימוש במידע ובטכנולוגיית מידע. ביטוי לכך הינה גם העובדה שהארגונים הנתונים תחת הרגולציות השונות חייבים למנות מנהל שעיסוקו הבלבדי (או הכמעט בלבדי) הנו ניהול התחום והכפפת מנהל זה לגורם בכיר בארגון.
בנקודה זו אנו נחזור ונתפצל לשני הערוצים: הניהול וסיכוני טכנולוגיית המידע.
מהי אחת מהמשמעויות של ניהול?
היכולת לדעת בכל נקודת זמן מהו המצב של מה שאני כמנהל מופקד עליו. במקרה שלנו, היכולת לספק נתונים לגבי החשיפות שהארגון נתון בהן עקב השימוש במידע ובטכנולוגיית מידע ורמת צמצומן לאור יישומן של בקרות מתאימות בתחומים פיזיים, טכנולוגיים, אנושיים ותהליכיים.
כיצד מושג המידע הזה?
מבצעים סקרים/ביקורות שבהם נבדקות בקרות האבטחה שהותקנו (בתחומים שנמנו לעיל). תוצאות הסקרים/ביקורות (ממצאים והמלצות) אוגרים במסד נתונים. ממסד הנתונים יוכל מנהל סיכוני טכנולוגיית המידע (וגורמים מורשים אחרים בארגון) לשאוב בכל עת ובכל חתך מבוקש את החשיפות ואת מצב האבטחה. לדוגמה: אלו חשיפות מטופלות במלואן, אלו חשיפות בתהליך טיפול ומה הלו"ז לסיום הטיפול וכד'. ניתן לעדכן את החשיפות עצמן עקב קבלת מידע על חשיפות חדשות וכד'.
מסד נתונים זה מכיל אם כך במצטבר את מירב הכשלים בניהול סיכוני טכנולוגיית המידע של הארגון והוא מצוי דרך קבע במחשבי הארגון. יש לציין שמסד הנתונים יכול להיות ייעודי לנושא ניהול סיכוני טכנולוגיית המידע ויכול להיות שמדובר במסד נתונים כלל ארגוני כאשר נתוני סיכוני טכנולוגיית המידע משולבים בו. כך או כך מדובר בנתונים המציינים מהם הכשלים של השימוש במידע ובטכנולוגיית המידע בארגון לאורך זמן.
בהתייחס למסד נתונים זה נעבור למרכיב השני, סיכוני טכנולוגיית המידע.
נוסף לנו מסד נתונים אשר הוא עצמו מרכיב במערך טכנולוגיית המידע. המרכיב כולל כמו כל האחרים: חומרה, תוכנה, תהליכי עבודה, וגורמים אנושיים (לדוגמה: משתמשים מקומיים, משתמשים מרוחקים המספקים תמיכה וכד'). כל זאת מזכיר לנו אחד לאחד את מכלול הפעילויות שתורת ניהול סיכוני טכנולוגיית המידע דורשת להכיל על מערכות טכנולוגיית המידע הארגוניות. ואכן, אין שוני מהותי. מדובר בנדבך נוסף למערך טכנולוגיית המידע הארגוני שיש לכלול אותו בנשימה אחת עם כל שאר המרכיבים. לא מדובר ב"חתיכת תוכנה", אלא במערכות ארגוניות הכוללות בדיוק את אותם המרכיבים של כל מערכת ארגונית אחרת, תהא זו עסקית בגופים עסקיים לגווניהם השונים, ציבורית בגופים ציבוריים או בטחונית בגופים בטחוניים. יש לציין לגבי תהליך ספציפי זה שמדובר במסד נתונים המכיל נתונים רגישים במיוחד, גם אם אין בהם שום נתון רגיש הקשור לתהליכי העבודה של הארגון עצמו. זהו צבר של הכשלים אשר באמצעותם ניתן לממש את כל או רוב האיומים שבהם נתון מערך טכנולוגיית המידע בארגון.
זוהי רק דוגמה אחת (אולי הבולטת מכולן) כיצד המעבר הסמנטי לכאורה מ"אבטחת מידע"/"הגנת מידע" ל-"ניהול סיכוני טכנולוגיית המידע", איננו סמנטי כלל אלא משנה באופן מהותי ובלתי חוזר את האופן שבו על הארגון להתייחס לתחום ניהול סיכוני טכנולוגיית המידע.
המשמעות המיידית של האמור לעיל הינה שניהול סיכוני טכנולוגיית המידע הינה תהליך כמו כל תהליך ארגוני אחר. ככל תהליך, יש גם בו סיכונים. במהלך ניתוח ודרוג הסיכונים של השימוש בטכנולוגיית המידע יש לכלול את הסיכונים בתהליך, בטכנולוגיות ובאמצעים שבהם נעשה שימוש, וזאת כחלק אינטגראלי של ניתוח סיכוני השימוש בטכנולוגיית המידע.
מיד אם כך תשאל השאלה הבאה: מי יופקד על ניהול הסיכונים של תהליך ניהול סיכוני טכנולוגיית המידע? הרי הוקם גוף שהוא המקצוען בארגון לניהול סיכוני טכנולוגיית המידע. כעת מסתבר שיש לנהל גם את סיכוניו הוא. האם הוא עצמו יכול לנהל את סיכוניו? ואם לא, מי כן? הוא הרי המומחה בנושא ברמה הארגונית, אין טוב ממנו בארגון.
לדעת כותב שורות אלו התשובה טמונה בשילוב של שני גורמים. בשלב הראשון אכן הגוף הממונה על ניהול סיכוני טכנולוגיית המידע יגדיר את התהליכים הנדרשים על מנת לנהל את סיכוניו הוא, כאשר גורם ביקורת ענ"א הפועל במסגרת ביקורת הפנים הארגונית (ובאם אין כזה יבוצע ע"י גורם חיצוני) יהווה את המאשר והמבקר תקופתית את התהליך הנ"ל.

המאמר פורסם במקביל במקטע NEWSLETTER באתר חברת אבנת באינטרנט תחת הכותרת: "הרבה יותר מאבטחת מידע או הגנת מידע".

מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

חזרתי לאחר מספר חודשי "יובש".
מתחיל בסדרת מאמרים קצרים המתייחסים להקבלה שבין אמנות המלחמה כפי שזו באה לידי ביטוי בדברי החכם הסיני, סון טסו ואבטחת מידע מודרנית במאה ה-21.

פרק ראשון: מהי האסטרטגיה שעל מנהל אבטחת המידע לנקוט על מנת שלא יובס.

המאמר כתוב בלשון זכר לנוחות בלבד, והכוונה למנהל אבטחת מידע ולמנהלת אבטחת המידע כאחד.

מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.

משנה ראשונה:

הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס

אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.

אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.

לא במקרה דברים אלו של סון טסו נלקחו על ידי כמי שעוסק למעלה משני עשורים בייעוץ אבטחת מידע ועל ידי יועצים אחרים העוסקים בתחום זה כמוטו מרכזי לפעילות מנהל אבטחת המידע.
סון טסו דיבר על מצביא, המנהיג את צבא קיסר סין. היום אנו מדברים על מנהל אבטחת המידע, המנהיג את פעילות אבטחת המידע בארגון.
מהו ה"הכר את האויב" של אבטחת המידע? בלשוננו המקצועית זהו תהליך ניתוח איומים וסיכונים המופנים כנגד המידע וטכנולוגיית המידע שבה נעשה שימוש בארגון. אלו כוללים הבטים תהליכיים, אנושיים וטכנולוגיים, פנימיים וחיצוניים.
מהו ה"הכר את עצמך" של אבטחת המידע? הכר את הארגון שאתה משמש בו כמנהל אבטחת המידע. הכר סביבת פעילותו ופעילותו, המבנה הארגוני, תהליכי העבודה בארגון, מיפוי מלא ושלם של טכנולוגיית המידע וזרימת המידע בארגון, תהליכי רכש של רכיבי טכנולוגייה חדשים המשפיעים או עשויים להשפיע על אבטחת המידע, רכיבי אבטחת המידע הקיימים, חוזקותיהם וחולשותיהם וכד'.
מנהל אבטחת המידע אשר מבצע את שני התהליכים הללו באופן מובנה ותקופתי ומקבל החלטות מושכלות על פיהן (במשנה השניה נבין מהן אותן החלטות מושכלות) , גם אם יילחם ב-100 קרבות, דהיינו הארגון יותקף פעמים רבות, מגורמי פנים וגורמי חוץ, בהבטים טכנולוגיים או אנושיים, סביר להניח עפ"י דברי סון טסו שלא יובס.
לא במקרה משתמש סון טסו במונח: "לא יובס" ולא "ינצח".
ניצחון אצל סון טסו הנו המצב שבו העליונות משיגה את תוצאתה ללא מלחמה בפועל.
לא יובס במשמעותנו, יאמר שהארגון ימשיך לתפקד, המידע וטכנולוגיית המידע לא ישובשו במידה כזו שהארגון יפסיק לתפקד, אם כי ייתכן והתוקפים יזכו מעת לעת בהצלחה מוגבלת, במימדי זמן ומרחב.
אם לא יבצע אחת מהמטלות כראוי או שלא יבצעה בכלל, סיכוייו כדברי סון טסו הנם חציחצי.
במידה ואיננו מכיר את אויביו ואיננו מכיר את עצמו, יובס תמיד.
הפרק השני יעסוק במשנה השניה: איזהוא המצביא המשכיל בהגנה ואיזהוא המצביא המשכיל בהתקפה. נבחן את המשמעות לאבטחת מידע הנגזרת מכך. בסופו נאחד את שתי המשנות לכדי משנה סדורה אחת.

זה לא אבטחת מידע במובן המקובל, זה כן לניהול סיכונים במובן הרחב

ידיעה ב-YNET:

בן 55 נתפס נוהג אף שלא חידש רשיונו מאז מלחמת יום הכיפורים
תושב תל-אביב בן 55 נתפס בביקורת שגרתית בפתח-תקווה כשהוא נוהג במכונית, אף שמעולם לא הוציא רישיון נהיגה.
הנהג סיפר לשוטרים כי החזיק ברישיון צבאי במלחמת יום הכיפורים, בעת שהיה חייל צה"ל בשירות סדיר, ומאז לא חידש את רשיונו. הנהג זומן לשיפוט מהיר, ומכוניתו הוחרמה לשלושים יום.

מלחמת יום הכיפורים אוקטובר 1973. אנו היום בשנת 2009. זה לא שנה וגם לא עשור אחד , אלו שלושה וחצי עשורים וקצת, מעל 35 שנה!!!

עפ"י הידיעה ולפי השכל הישר, האיש לא עבר עבירת תעבורה במשך כל השנים הללו שכן היה אמור להציג רשיון.

האם זה בהכרח נהג זהיר. לא בטוח. אבל לפחות ברור שלא היה מעורב בתאונת דרכים שחייבה את התערבות הרשויות כולל ביטוח, דהיינו לא עבר כלל תאונה מכל סוג.

וגם לא עבר עבירות קלות כגון מהירות.

אז נכון, האיש עבריין עפ"י החוק. אבל מהעבר השני, הנהג ככל הנראה נהג יותר זהיר מהרבה אלפי או עשרות אלפי אזרחים ישראליים שלהם רשיונות כחוק ונוהגים כנגד החוק. לא טוען כמובן שאדם זה הנו טלית שכולה תכלת. אינני מכיר את פרטי המקרה, ומשתמש בו על מנת להתייחס בהשאלה לניהול סיכוני טכנולוגיית המידע.

תגיד המשטרה, בדיקה שגרתית הנה הליך פשוט יחסית ובאמצעותו נתפסים עבריינים מסוגים שונים. לא מתווכח. אני טוען שאם נתפסים גם נהגים מסוג זה, משהו בתהליך כולו הנו בזבוז של משאבים.

הבעיה בכבישים הנה הנהגים הגורמים למותם של אחרים. זהו האיום מספר אחד. ביקורות שגרתיות כגון אלו שבהן נתפס נהג זה אינן תורמות באופן משמעותי לטיפול באיום.

ובהשאלה ניתן גם להתייחס לניהול סיכוני טכנולוגיית המידע:

כאשר הטיפול בארגון לצמצומם של האיומים והסיכונים לשימוש טכנולוגיית המידע ולמידע בארגון איננו מתחיל באיתור מלא ושלם של אותם האיומים והסיכונים, לא נמנעת מסיבה זו התקנתם של אמצעים ושיטות הגנה עפ"י "חוש" או "אופנה", או "אני יודע ש" או "ההוא התקין, אז גם אני..." או כל שילוב של כל מיני תאוריות למיניהן.

האם באופן זה מתמודד הארגון באופן כללי עם איומים וסיכונים: התשובה כמובן כן. אבל נותרת השאלה: האם בתהליך מסוג כזה מתבצע ניהול סיכוני טכנולוגיית המידע בצורה המקצועית הנדרשת לתחילת שנת 2009?

התשובה הנה חד משמעית: לא! סתם להשקיע בערב רב של אמצעי הגנה איננו מענה מקצועי. זהו מענה חובבני ומתאים לעידן שבהם האיומים נתנו בידיהם של חובבנים והסיכונים התממשו לעתים רחוקות. כעת האיומים בידיהם של מקצוענים ומימושם עלול להתרחש בכל עת. מידי יום אנו שומעים כי ארגונים מכובדים בעולם נפגעים. הטיפול חייב להיות אם כן מקצועני לכל אורך הדרך. התחלה חובבנית משפיעה על כל התהליך כולו, וכמובן שהתוצאה לא תאחר לבוא.

על כן, תהליך צמצום סיכוני השימוש בטכנולוגיית המידע והמידע בכל ארגון חייב להתחיל באיתור, הבנה ותעדוף של האיומים והסיכונים הללו. רק אח"כ ניתן להתחיל בתפירת חליפות אבטחה.