|
|
נושא המאמר: אבטחת המידע מהיבט התהליכים הארגוניים מאת: צביקה גורן שמור מאמר למועדפיםהאיום שמבפנים וה"אויב" שמבחוץ - היכן העוקץ?
"מעילת ענק בבנק....", "חשודים בפרשת הסוס הטרויאני...", "ניצול חורי אבטחה במערכי...", "ישראלים בין נפגעי גניבת כרטיסי האשראי ...", "גידול דרמטי בהונאות דוא"ל...", "תלמיד שינה ציונים במחשבי...", "המשכיות עסקית - לקחי...", "עונש מאסר להאקר שפרץ לבנק...". העיתונות המקומית והעולמית עמוסה בכותרות המופיעות לעיל ובמושגים כמו "הונאות מחשב", "פשע מקוון", "ריגול תעשייתי", "אי-זמינות מידע", "פשעי מחשב", "רוגלות" וכיו"ב. מדוע ? האם ארגונים אינם משקיעים די ? דווקא משקיעים והרבה ! במהלך השנים האחרונות חל גידול גורף במודעות ובהשקעות של חברות וארגונים בתחומי אבטחת המידע, אמינות, שרידות, המשכיות עסקית, אישוש מערכות וכיו"ב. העיתונות גם יודעת לבשר לנו כי "ענקיות" ותאגידי התוכנה והחומרה מהמובילים בעולם ישקיעו במהלך השנים הבאות תקציבי עתק בפיתוח כלי אבטחה, אמצעי אחסון, מערכי גיבוי ועוד... היכן "העוקץ" ? מה הסיבה לכישלונות ? אכן, השאלות המנקרות הן: כיצד לא אובחנו כשלי האבטחה הללו בשלב מוקדם ? מדוע לא אותרו וזוהו במועד מאוחר יותר ? האם אמצעי האבטחה כשלו ? היכן הייתה ערנות האחראים ? מי אשם ? האם ניתן לצמצם את הסיכונים ? כיצד נערכים ? מה עושים ? התשובה הבסיסית לכל השאלות הללו טמונה בהבנת התמונה הכוללת והמלאה, וביכולת הארגון להקיף את מלוא המשמעויות המשתקפות מתוך אירועי העבר וראיית העתיד לבוא. מה לכל הרוחות המשפט האחרון אומר? ראיית אבטחת המידע בארץ ובעולם התאפיינה - ועדיין מתאפיינת בארגונים רבים - בגישה הצרה המנתחת את צרכי האבטחה בארגון באופן נקודתי ובהעדר המוטיב התהליכי. באופן דומה גם הגישה להמשכיות פעילותו של הארגון בשעת חירום התייחסה אך ורק אל מערכות המידע, והתעלמה לחלוטין מההיבטים וההשלכות של התהליכים הארגוניים והעסקיים. כיצד העדר הגישה התהליכית פוגם באבטחה? ארגון הצועד בדרך זו בונה את מעטה האבטחה הארגוני מ"איים" של אבטחה, שחלקם מקושרים ביניהם בקשר רופף כלשהו וחלקם האחר אוטונומיים לחלוטין. מטבע הדברים שמערך אבטחת מידע אשר מורכב מפאזל של איי אבטחה לוקה בחסר בכל הקשור לרצף האבטחה התהליכי, ויוצר חללים לא מאובטחים במארג האבטחה הארגוני. באופן דומה גם ההתייחסות להמשך פעילותו של הארגון בשעת חירום מתוך מערכות המידע בלבד ובהעדר ההיבט התהליכי, תיתן מענה לא מלא לשרידותו העסקית של הארגון. למה הדבר דומה ? ל"שועל ולול התרנגולות" ! איכר שהחליט להקים לול תרנגולות הזמין 4 בעלי מקצוע ידועים בתחום אבטחת לולים: מומחה לאבטחת גדרות, מומחה לבקרת שערים, מומחה לטיפול בשריפות ומומחה למערכות טמ"ס. כל אחד מהמומחים הנ"ל התקין בתחומו את המערך המאובטח/מבוקר ביותר שניתן היה להקים, והאיכר המאושר מיהר למלא את הלול בתרנגולות מקרקרות. בלילה התעורר האיכר לקול צווחות של התרנגולות, וכשהיגיע אל הלול נוכח בעובדה כי שועל אשר חדר אל הלול עשה שמות בתרנגולות. כיצד אירע המקרה הנורא ? לאיכר ההמום הסתברה העובדה כי אף אחד מהמומחים שזומנו לא הבחין בנקרה אשר הותקנה מתחת לגדר בפינה, ולנקז את מי הגשמים היא נועדה. מדוע אף מומחה לא הבחין בנקרה ? כי כולם עסקו רק בתחומם ולא ראו את התמונה המלאה !!! האם פקחותו של השועל איתרה את הנקרה ? לאו דווקא, השועל אשר היה רעב סקר את כל מערך האבטחה וחיפש את נקודת הכשל אותה הוא מצא בצורה של נקרה. אז מה המסקנה? אין פתרון טוב לאבטחת המידע ? כלל וכלל לא, הפתרון מצוי בתפיסת נושא אבטחת המידע כמארג כולל אותו יש לנתח מהיבט של התהליך המלא מקצה לקצה (End to End View), ולהשתית את מערך האבטחה והבקרה שיוקם על ניטור מלוא כל הסיכונים והכשלים הקיימים ואיתור מענה הולם לכל אחד מהם. רק עם השלמת השלב הנ"ל ניתן להזמין את המומחים השונים כדי ש"יתפרו" את הפתרון המקומי שלהם, כאשר התיאום בין חלקי הפתרון השונים ובחינת תפקוד מארג האבטחה והבקרה הכולל מוטל על הגורם/גוף אשר ביצע את מהלך ניתוחו של התהליך המלא. הגישה הנ"ל נכונה לא רק לגבי תחום אבטחת המידע, אלא גם בתחומי שרידות, המשכיות עסקית, בקרת תהליכים, תכנון מערכי אחסון, ניהול בקרות (Audit), וכיו"ב. מי הוא אותו גורם שיבצע את הניתוח התהליכי ? יועצי אבטחת המידע הם הגורם שאמור לעצב את הפתרון הנדרש תוך כדי ניתוח סיכוני האבטחה מהיבט התהליך המלא, והם גם שאמורים לבקר את ההטמעה ובחינת התוצר המוגמר. דוגמאות. רכש - בחינת התהליך המלא משלב יצירת הדרישה להזמנת רכש ועד לתשלום החשבונית לספק. ביטוח - בחינת התהליך המלא משלב הקלדת והפקת הפוליסה ועד לתשלום תביעה של הלקוח. בנקאות - בחינת התהליך המלא משלב הקלדת הפעולה בסניף ועד ל"הצצת" הלקוח בפעולה זו. מערכת כלשהי - בחינת התהליך בתוך המערכת, העיבוד, ממשקים, קלט-פלט, בקרות וכיו"ב. סיכום. הפתרונות - גם אם נקודתיים - בתחומי אבטחת המידע, המשכיות עסקית, מערכי אחסון וכיו"ב, צריכים להתבסס על ניתוח ואיתור כשלים במסגרת התהליך המלא מקצה לקצה, והטמעתם באופן מבוקר תוך כדי ליווי התהליך כולו במערך של בחינות (Test Plan). הגורם האמור לבצע את פעולות הניתוח, איתור הכשלים, תכנון המענה, פיקוח ההטמעה ובקרת התוצר המוגמר הינם היועצים, שלהם ראייה כוללת ורחבה ויכולת לבחון את התהליך המלא. כתב: צביקה גורן יועץ בכיר לאבטחת מידע מרכז תחום BCP/DRP אבטחת מערכים יישומים ואבטחת מערכות מחשב מרכזיות דוא"ל: [email protected] אתר: www.securitree.co.il
www.securitree.co.il
מאמר זה נוסף לאתר "ארטיקל" מאמרים ע"י צביקה גורן שאישר שהוא הכותב של מאמר זה ושהקישור בסיום המאמר הוא לאתר האינטרנט שבבעלותו, מפרסם מאמר זה אישר בפרסומו מאמר זה הסכמה לתנאי השימוש באתר "ארטיקל", וכמו כן אישר את העובדה ש"ארטיקל" אינם מציגים בתוך גוף המאמר "קרדיט", כפי שמצוי אולי באתרי מאמרים אחרים, מלבד קישור לאתר מפרסם המאמר (בהרשמה אין שדה לרישום קרדיט לכותב). מפרסם מאמר זה אישר שמאמר זה מפורסם אולי גם באתרי מאמרים אחרים בחלקו או בשלמותו, והוא מאשר שמאמר זה נוסף על ידו לאתר "ארטיקל".
צוות "ארטיקל" מצהיר בזאת שאינו לוקח או מפרסם מאמרים ביוזמתו וללא אישור של כותב המאמר בהווה ובעתיד, מאמרים שפורסמו בעבר בתקופת הרצת האתר הראשונית ונמצאו פגומים כתוצאה מטעות ותום לב, הוסרו לחלוטין מכל מאגרי המידע של אתר "ארטיקל", ולצוות "ארטיקל" אישורים בכתב על כך שנושא זה טופל ונסגר.
הערה זו כתובה בלשון זכר לצורך בהירות בקריאות, אך מתייחסת לנשים וגברים כאחד, אם מצאת טעות או שימוש לרעה במאמר זה למרות הכתוב לעי"ל אנא צור קשר עם מערכת "ארטיקל" בפקס 03-6203887.
בכדי להגיע לאתר מאמרים ארטיקל דרך מנועי החיפוש, רישמו : מאמרים על , מאמרים בנושא, מאמר על, מאמר בנושא, מאמרים אקדמיים, ואת התחום בו אתם זקוקים למידע.
|
|
|
להשכיר רכב
הזמנת מלון בחו"ל
הזמנת מלון בישראל
אתר איי יוון
מדריך איטליה
מלונות בניו יורק
מדריך לאס וגאס
המלצות על נופש
המלצות על פריז
נדל"ן ביוון
|