מאת: סיגל שפיץ טולדנו ונפתלי זיגרט, דיס ביקורת ואבטחת מידע

כמעט כל מנהל מחשוב ראשי של ארגון בינוני או גדול, נתקל בדרך זו אחרת ב-"צרה" הזו שקרויה אבטחת מידע. תחום אבטחת המידע איננו מסייע להגדלת ההכנסות, ואף עולה הרבה מאוד כסף, כאשר כל פעם יש דרישות חדשות, אשר רק מגדילות את התקציב הנדרש לאבטחת מידע.
כל מנמ"ר, כחבר הנהלת הארגון, עומד מדי פעם בפני ההנהלה או הדירקטוריון וצריך להסביר כל רכישה או שירות אשר הוא רוכש עבור הארגון. בימים אלו מילת המפתח הינה ROI – ההחזר על השקעה: כיצד כל השקעה קטנה או גדולה, במחשוב הארגוני תסייע להגדלת ההכנסות, או לפחות לצמצום ההוצאות.
למרות שבעבר מנהלי המחשוב הדחיקו את הצורך באבטחת מידע, היום בהרבה ארגונים קיים מנהל אבטחת מידע, אליו מועברת האחריות של הובלת תחום אבטחת המידע בארגון. אבל אפילו בארגונים בהם תפקיד זה מאויש, האחריות לנושא איננה מוסרת מכתפיו הרחבות של המנמ"ר, ועליו לוודא כי אבטחת המידע מקבלת את תשומת הלב הראויה לה, עם הקצאת משאבים מספקים על מנת שהאחראים לאבטחת המידע בארגון יוכלו לבצע את המוטל עליהם.
לא מעט ארגונים נדרשים ליישם אבטחת מידע בשל רגולטור כלשהו, כגון המפקח על שוק ההון והביטוח, או המפקח על הבנקים, אבל גם ארגונים אשר לא מחוייבים ברגולציה ממשלתית כזו, מתחילים להרגיש את הצורך ליישם אבטחת מידע – אם בשל מידע עסקי רגיש שדלף בדרך זו או אחרת, או בשל וירוסים / קוד זדוני שחדר לרשת, ולעיתים אפילו בשל פנייה של חברת סליקת כרטיסי האשראי, שדורשת מהארגון לדאוג לאבטחת אתר האינטרנט לאור תקן אבטחת מידע של כרטיסי האשראי (PCI).
אבטחת המידע מוגדרת בראשי תיבות של שלוש אותיות – CIA, כל תוכנית עבודה בתחום זה צריכה להתייחס לשלושת הנושאים הללו:
Confidentiality – סודיות, היא מילת המפתח של שמירת המידע העסקי, או הגנה על מידע רגיש של לקוחות, בפני דליפה לגורם חיצוני.
Integrity – אמינות, היא מילת המפתח של שמירת המידע בפני שיבוש או שינוי שלו, בין אם בשוגג או תקלה טכנית, ובין אם שיבוש המידע בזדון ע"י עובד ממורמר או מתחרה עסקי, או אפילו ע"י וירוס כלשהו.

Availability – זמינות, היא מילת המפתח של הבטחת פעולתם של מערכות המחשוב גם לאחר תקלה, או אפילו בשל נסיבות כגון שריפה.
אז מה צריך המנמ"ר לעשות בכדי לשלוט בהוצאות אבטחת המידע שלו, מבלי להיגרר להוצאות גבוהות שיהיה קשה להסביר להנהלת החברה בהבט של מטרת ההוצאה ותרומתה לחברה?
להלן עשרת הדיברות לאבטחת מידע בארגון:
1. ווידוא כי יושמו אמצעי אבטחה בסיסיים – עוד לפני שעוסקים ברמות גבוהות של אבטחת מידע, הצעד הראשון שכל מנמ"ר צריך לעשות, הוא לבדוק כי ברשת שלו מותקנים לפחות אמצעי האבטחה הבסיסיים ביותר, כמו אנטי-וירוס ו-Firewall אשר יפריד בין הרשת הארגונית לבין רשת האינטרנט.   אם אין אפילו את האמצעים הבסיסיים הללו – דרך ארוכה עוד לפני המנמ"ר.
2. מיפוי מערכות התשתית הארגוניות – המנמ"ר, בסיוע מנהל התשתיות שלו, צריך להכיר את כל אחד ואחד מרכיבי הרשת העיקריים, ובפרט להכיר בקיום ממשקי תקשורת לגורמי חוץ, כגון ספקי תוכנה המתחזקים מערכות מרחוק, ממשקים למסחר במניות, מערכות גישה מרחוק לעובדי הארגון וכו'.
3. מיפוי  מערכות המידע ומידת הסיווג שלהן – על המנמ"ר להיות מודע לכל מערכות המידע בארגון, כולל רמת החיוניות שלהן לתפקודו, רמת רגישות המידע הקיים במאגר, מי האחראי בארגון לקביעת הרשאות הגישה למידע המצוי במאגר, ולהפרדת סמכויות ביצוע בין בעלי תפקידים. צריך גם לקבוע מי אחראי לבקר מעת לעת את מתן ההרשאות ואת קיומן של הרשאות עודפות לאנשים שכבר אינם זקוקים יותר להרשאת גישה למידע.
4. מיפוי ההשקעה הקיימת באבטחת מידע – על המנמ"ר להכיר את הפעולות אשר בוצעו עד כה בתחום אבטחת המידע:
• אבטחת התשתיות – מעבר להתקנת אנטי וירוס בתחנות או Firewall, יש לבדוק מהם אמצעי אבטחת המידע הנוספים הקיימים ברשת, כגון מניעת דואר זבל, קיום מערכות הגנה בפני הכנסת דיסק USB, או מערכות לניהול זהויות ו- SIM לניתוח לוגים.
• אבטחה אפליקטיבית – מניעת ביצוע פעולות לא מורשות בתוך מערכות המידע עצמן.
5. בדיקה האם מנצלים את כל התכונות האפשריות במוצרי האבטחה הקיימים – יש לוודא כי בארגון לא רק רכשו מוצרי אבטחת מידע, אלא גם הטמיעו אותם וניצלו את מלוא תכונותיהם, ולא ישמו מערכות אבטחה עם תכונות החופפות האחת לשניה.

6. באילו רגולציות צריך לעמוד –  הרבה יותר קל להצדיק הוצאות, אם חוקי מדינת ישראל דורשים זאת, או אם הארגון נדרש לעשות כן ע"י גורם מוסמך.  כמעט כל ארגון בארץ נדרש לאבטח את המידע על לקוחותיו לפי תקנות רישום מאגרי מידע, וכמעט כל ארגון המקבל כרטיסי אשראי של לקוחותיו נדרש לעמוד בתקנות PCI-DSS, שלא לדבר על מספר הארגונים הנדרשים לעמוד ב- sox404 ולאור זאת נדרשים להשקיע משאבים גם באבטחת המידע שלהם.
7. הכרת האיומים העומדים בפני הארגון– המנמ"ר, לעיתים בסיוע מנהלים נוספים בארגון, יכולים להסיק האם איום האבטחה הגדול ביותר מגיע מכיוון גורמי חוץ המנסים להשיג מידע על הארגון, ואולי האיום העיקרי הינו דווקא פנימי – עובדים אשר לא מקפידים שלא להכניס תקליטורים ו-USB למחשבם, או דווקא מנהלים בכירים השולחים מידע מסווג בדואר אלקטרוני.
8. הכנת תוכנית לטווח ארוך – הכנת תוכנית פעולה ארוכת טווח להעלאת רמת אבטחת המידע, תוך תעדוף המשימות השונות, כאשר עמידה בחובה הרגולטורית תעמוד בראש סדר העדיפויות, ואח"כ משימות אבטחת מידע החיוניות לא פחות – כגון מניעת מעילות והונאות. 
9. הכנת תוכנית עם ROI לאבטחת המידע – חיוני להסביר להנהלת הארגון כיצד תוחזר ההשקעה באבטחת המידע, או לפחות כיצד אבטחת המידע תחסוך הפסדים או אף תשלום קנסות עתידיים. יש לנתח את הדברים במתכונת של SWOT** – ניתוח איומים והזדמנויות ולהתאים את תוכנית העבודה לניתוח זה.
10. לא לשקוט על השמרים – עולם מערכות המידע משתנה כל העת, וצרכי אבטחת המידע והרגולציה מתעדכנים בתדירות גבוהה עוד יותר.  יש ליצור תהליך מחזורי של ניתוח המצב הקיים בתחום אבטחת המידע, ובדיקה תקופתית מה צריך לשנות, והאם השינויים הללו תואמים את הצרכים העסקיים של הארגון והרגולציות או האיומים (טכנולוגיים או עסקיים) בפניהם עומד הארגון. 
כיצד מבצעים את כל המשימות הללו במשאבים הקיימים?
את מרבית המשימות יכול המנמ"ר להטיל על מנהל אבטחת המידע שלו, לעיתים תוך סיוע והנחיה כיצד לחשוב ב"ראש גדול" יותר ובראיה כלל ארגונית, ולא ראיה טכנית בלבד.
במקרים בהם לא קיים מנהל אבטחת מידע, או שזה איננו פנוי לבצע משימות אלו, או אף כסיוע למנהל אבטחת המידע, יכול המנמ"ר לפעול במתכונת של "אורח לרגע – רואה על פגע", ולהפעיל יועצים חיצוניים שתפקידם יהיה לסייע בעדו במיפוי וניתוח המצב הנוכחי של אבטחת המידע.
 
לסיכום, מנמ"ר אשר יבצע את עיקרי הדברים המנויים כאן, ויציג להנהלה תוכנית עבודה חדשה לאבטחת מידע במתכונת המצופה על ידי ההנהלה, כלומר תוכנית עבודה עם יעדים ברורים, עם ROI ועם ניתוח SWOT, כפי שמצופה מכל מנהל אחר המציג להנהלה תוכנית עסקית המיועדת להגדלת הכנסות החברה ושימור מיצובה בשוק – יקבל את תמיכת ההנהלה ביישום התוכנית, ואף יחזק את מעמדו בארגון.
** SWOT = ניתוח שוק במנהל עסקים  Strengths, Weaknesses, Opportunities, and Threats

(פורסם במקור: אקונומיסט, 21.12.09)