רקע: יפתח עמית מתמחה בתחום אבטחת המידע מעל ל-10 שנים. בעברו הוא מילא תפקידים שונים בייעוץ, ניהול פרוייקטים, ניהול תחום אפליקציות אינטרנט ומערכות יוניקס, וכן תפקידי מפתח בחברות מוצרי אבטחת מידע בארץ ובעולם. כיום יפתח מכהן כסמנכ"ל בחברת סקיוריטי-ארט המספקת פתרונות ניהול סיכוני מידע מתקדמות ומחקר סיכונים. כמו כן, יפתח מוזמן לעיתים להרצות בכנסי אבטחת המידע החשובים בעולם כגון BlackHat, DefCon, InfoSecו-OWASP וכן כמרצה אורח באקדמיה.
ניהול סיכוני אבטחת מידע – הגישה הפרקטית לעומת יישום הוראות חוזר גופים מוסדיים של משרד האוצר.
כולנו מכירים את הרוטינה הקבועה בתחום – פעם (ולמהדרין פעמיים) בשנה, חברות הביטוח שוכרות את שירותיהן של חברות ייעוץ אבטחת המידע השונות בארץ ועורכות "סקר סיכונים". בדרך כלל, המטרה המוצהרת של עריכת הסקר הינה לעמוד בהוראות הממונה על שוק ההון (כפי שמופיעים בחוזר מ-2006), ולהתאים את המערכות להתפתחויות ולפערים שנוצרו מבחינת אבטחת המידע עם הזמן. יצא לי לעבור את התהליך לא מעט פעמים – גם בכס היועץ, וגם כלקוח בחברות בהם ניהלתי בעבר. הבעיה העיקרית במעגל הקסמים הזה היא שתמיד יימצאו ליקויים ופערים, וכמעט תמיד התוצר הסופי – גם לאחר תיקון הליקויים, לא מותיר את הארגון במצב הרבה יותר טוב מבעבר (שלא לדבר על שיפורים אפשריים ביעילות, בניהול המידע, או בתקציב המושקע בתחום אבטחת המידע). החלופה האפשרית למצב הינו ניצול התקציב המשמש תהליכים אלו לצורך שיפור היעולות והרווחיות של הארגון – ותמיד יימצאו המוקדים הנכונים בארגון שיכולים לנצל תקציב זה לצרכי התייעלות.
השאלה המכריעה כאן, שאני שואל בכל פעם בה ניצבתי בפני מצב זה (משני צידי המתרס), הינה – איך ניתן להפוך את התהליך הרגולטורי לישים יותר, כך שניתן יהיה לראות ממנו תוצאות חיוביות ולא רק בצד ה-"אנחנו עומדים בתקנים"? על מנת לענות על השאלה, נתחיל בסקירה זריזה של הוראת המפקח ונבין מדוע כבר בבסיסה של ההוראה אנו נתקלים בגישה המעודדת ביצוע "מכאני" של ניהול הסיכונים:
בסיסו של כל תהליך ניהול סיכונים הינו הגדרת הנכסים – על מה אני מגן, ומה רגישותו/חשיבותו של המשאב המוגן. גם בחוזר, מוקדש סעיף 2.3 לסיווג הנכסים והערכת הסיכונים עליהם. הבעיה מתחילה להתעורר כאשר לא נדרשת הערכה של שווי הסיכונים – מה הנזק הפוטנציאלי של איבוד/שינוי/גניבה של נכס מידע כזה או אחר. השמטה של דרישה זו מגיעה מעוולה היסטורית – התרגלנו לקבל הערכות בנוסח "גבוה/בינוני/נמוך". עם סיווגים שכאלו לא ניתן לבצע הכרכת סיכונים מדוייקת, ובסופו של התהליך מטפלים בכמה שיותר "גבוה", ובכמה "בינוניים" שנכנסים לתקציב. לזכות ההוראה שבחוזר ייאמר שתחום אחד לא נשכח, וקיימת הוראה לעדכן את הערכת הסיכונים כאשר יש שינוי בארגון, או באיומי אבטחת המידע (2.3.2 סעיף ד') – הוראה שאולי מתקיימת בנוגע לשינויים בתהליכים ארגוניים או במערכות המידע, אך נשכחת בבואנו לאמוד את השינויים באיומים!
בהמשך החוזר, אנו ניצבים בפני דילמה נוספת – כיצד מבצעים את סקר הסיכונים? לא נרחיב על מאפייני סקר סיכונים וכיצד ניתן לשפר אותו, אלא נתמקד במאפיין הקשור באופן ישיר להגדרת נכסי המידע ורגישותם אותם סיקרנו בפיסקה הקודמת – עפ"י החוזר, יש לבצע סקר סיכונים למערכות הנמצאות בסיכון גבוה אחת ל-18 חודשים (1.א.2.4). זו לא טעות דפוס – המערכות שהוגדרו בסיכון גבוה (אפילו אם לא הוגדרו במדוייק כפי שהיינו רוצים), ייסקרו פעם בשנה וחצי! כל מי שמכיר את תחום אבטחת המידע יודע שבשנה וחצי האיומים והטכנולוגיה עוברים כל כך הרבה שינויים שהדרישה לבצע סקר בתדירות שכזו משאירה את המערכות ללא הגנה והערכה מתאימה לאורך זמן רב. מצד שני – אנו יודעים כי ביצוע סקרים ובדיקות בתדירות גבוהה אינו בר יישום וכרוך בעלויות ניכרות.
על מנת לתת מענה לבעיות הנ"ל אנו רואים כיום שינוי בגישה לאבטחת מידע ארגוני – יותר השקעה בכימות (העלויות) של הסיכונים והנכסים – מעבר ל-גבוה/בינוני/נמוך, וזאת על מנת לאפשר קבלת החלטות מושכלת יותר לגבי על מה להגן, ובאיזה תקציב (שיקולי עלות/תועלת בסיסיים). כמו כן, ההבנה כי האיומים והטכנולוגיה משתנים באופן תדיר, מאפשרת לנו לדרוש מהספקים שלנו – בין אם אלו היועצים, ובין אם ספקי הפתרונות, לספק עדכונים באופן תדיר על האיומים הרלונטיים לארגון על מנת לאפשר ביצוע הערכות ושינויים באופן ממוקד ומושכל (שוב – בהתאם לעלות/תועלת מבחינת המשאב עליו אנו מגינים).
בסקירות הבאות נמשיך לדון באמצעים בהם ניתן לשפר את הטיפול באבטחת מידע, בעמידה ברגולציה תוך כדי שיפור ביצועים וניהול הסיכונים בארגון, ונבחן פנים נוספים בתחום – כולל טיוטת החוזר לניהול טכנולוגיות מידע, ניהול סיכונים בסוכנויות ואפילו סיכונים הקשורים למבוטחים ולסביבתם הטכנולוגית.
למאמר השני בסדרה:
ניהול סיכוני אבטחת מידע - היכן עובר הגבול?
