אבטחת מידע והבורג שבגדר
לקוחות רבים משקיעים המון כסף ומשאבים בתכנון, רכישה ואינטגרציה, אך אינם טורחים "להבריג" את "בורג" אבטחת המידע. הסיכון אולי נמוך, אבל הנזק עלול להיות עצום
לפני קצת יותר מחודש החלטתי שאני מקים גדר סביב הבית. השכנים החדשים נכנסים בקרוב ופרטיות היא דבר חשוב.
כשחזרתי לחנות ממנה קניתי את החומרים לגדר, שאל אותי המוכר אם הברגתי את השלבים העליונים של גדר העץ לעמודי הברזל. שאלתי, והוא הסביר, כי אם לא אבריג כהלכה, יכולים
החוויה הזו הזכירה לי מאוד את תהליך הערכת הסיכונים שארגונים עוברים בבואם להחליט לגבי פתרון אבטחת מידע, אם בשל רגולציה ואם בכלל.
לקוחות בכלל, ואלו המתכננים פרויקטים חדשים בפרט, משקיעים המון כסף ומשאבים בתכנון, ארכיטקטורה, רכישה ואינטגרציה, אך אינם טורחים ל"הבריג" את "הבורג" האחרון הנדרש לאבטחת המידע. מדוע? משום שבמסגרת הערכת הסיכונים של ארגונים, הסיכוי שארוע אבטחת מידע יתקיים, יסכן ויחשוף אותם הוא נמוך מאוד. אלא מה? קיים הבדל מהותי בין הערכת הסיכונים שאני עשיתי עם הגדר להערכת הסיכונים של אותם ארגונים.
בהערכת הסיכונים שאני ביצעתי – הסיכוי לגניבת העץ מהגדר היא כל כך אפסית, שלקחתי החלטה שלא לאבטח את הגדר שלי עם ברגים. בהערכת הסיכונים של ארגון, לעומת זאת, אם יתקיים אירוע אבטחת מידע, עלולים הרבה גורמים להיפגע, כגון לקוחות החברה, מוניטין החברה, ערך המניה ועוד.
מתייחסים לרגולציות כאל עול
הרי ידוע לכולנו שרגולציות, כגון PCI ,SOX ואחרות נולדו לעולם בעקבות מקרי פריצה או אי סדרים פיננסיים שגרמו נזק כלכלי אדיר למליוני אנשים. רגולציות אלו הן תוצר של ועדות חקירה מיוחדות שבחנו את המקרים לעומק תוך נסיון לספק כלים לארגונים דומים פר תעשיה. המלצות הוועדות והרגולציות נועדו למנוע את הישנות המקרים או לפחות למזער את הסיכונים שרק הולכים ומתגברים מדי שנה.
בפועל, במקום שארגונים יאמצו את הרגולציות וימנפו אותן לטובת הארגון תוך שיפור רמות האבטחה, מתייחסים הארגונים לרגולציה כאל עול ועושים את המינימום הנדרש בכדי לקבל את ההסמכה. נראה, שלארגונים חשוב לקבל את ההסמכה ולא יותר, מאחר והעלויות למימוש הרגולציה גבוהות מדי.
סוף עידן ה"סמוך" וה"יהיה בסדר"
אז מה אפשר לעשות? קודם כל יש להבין שעידן ה-"יהיה בסדר" חלף לו מזמן מהעולם, ולא ניתן להסתפק עוד במבדקים סיווגים, הכרות אישית או שיטת הסמוך. יש לזהות ולמפות את המסלול שבו "חי" המידע הרגיש - ולאבטח אותו. לאחר מכן, יש להטמיע כלים ופתרונות שיבטיחו מניעה של פעילות חשודה או זיהוי וגילוי בפרק זמן סביר. כמו כן - כדאי שנפסיק להתייחס לרגולציות כמו SOX או PCI ככאב ראש מיותר, ושמספיק להטמיע כלים בינוניים רק בשביל לסמן V.
הגיע הזמן שארגונים יתחילו ל"הבריג". זה ייקח קצת זמן וזו עבודה קשה, אבל העלות קטנה יחסית לכלל הוצאות ה-IT, והחשוב מכל - הרבה מאוד אנשים וגורמים תלויים בכך.
* הכותב הוא מנהל פיתוח עסקי ושותפים, אורקל ישראל