הצריף הרעוע - אגדה או מציאות של אבטחת מידע
בשנים האחרונות אנו עדים לשינוי הגדול שחל במעמד אבטחת המידע, וההתייחסות כאל הוצאה מיותרת שאינה "משלמת" את עצמה פינתה את מקומה להתייחסות כאל מרכיב חיוני ובר-קיימא.
עם זאת עדיין קיימות חברות רבות אשר באבטחת מידע מעט מאוד משקיעות, ובפרט אותן חברות אשר לתחום ה-SMB (Small Medium Business) הן משתייכות.
סוגיה זו מעלה שאלות רבות אשר את רבים מאיתנו וודאי מעסיקות, מדוע - מה הסיבה להשקעה כה קטנה - האם לחברות בינוניות או קטנות אבטחת המידע חשובה פחות ?
חברות בינוניות וקטנות - היכן הנקודות הלוחצות ?
חברות בינוניות ובפרט כאלו קטנות עם בעיות של תקציב ותזרים מזומנים הן מתמודדות, לפיכך נושא אבטחת המידע שאיננו תורם באופן ישיר לרווחי החברה מאבד מחשיבותו ומעמדתו הרמה.
אך לא רק מזומנים את אבטחת המידע לתחתית דוחקים, אלא גם מודעות הלוקה בתחום אבטחת המידע והגישה הקלילה של "הכל נשאר במשפחה", ועוד כאלו זוטות שאל העדר בקרות מובילות.
תופעת "הצריף הרעוע" המזמינה לאירוח כל האקר "פרוע" והמאפשרת לכל עובד חברה את חופש הביטוי בגישה אל המידע איננה בחזקת עובדה בלתי נמנעת לה.
שיקולי אבטחה מנחים לארגונים בינוניים וקטנים.
נקודת המוצא היא שבעיות האבטחה בארגונים קטנים שונות במעט משל הארגונים הגדולים, אך תקציבי אבטחת המידע המיועדים באופן משמעותי מצומצמים ושיקול דעת מעמיק הם דורשים.
לפיכך, על מנת שלא לפגוע בצביון החברה ועם זאת להבטיח את חשאיות המידע והמשך קיומה, על ארגונים קטנים להפעיל שיקולי פתרון יעילים החוסכים כספים אך באבטחת המידע אינם פוגמים.
כיצד מתארגנים לאבטח ארגונים בינוניים וקטנים.
תחילתה של כל תוכנית טובה בתכנון והתארגנות יעילים, המקנים לנו בסיס פעולה רחב והתמקדות בכלי האבטחה הנחוצים תוך כדי מתן כיסוי מרבי וחיסכון בכספים ניכרים.
? עיצוב מדיניות האבטחה בחברה.
על כל חברה (קטנה כגדולה) לקבוע את רמת האבטחה לה היא דרושה, ולעצב לפיה את מדיניות וערכי אבטחת המידע שיאפיינו את מערכי המחשוב שלה. מסמך מדיניות אבטחת המידע יכול להסתפק בעיקרי הערכים אשר לאבטחת המידע הם קשורים ולהשתרע על פני עמודים ספורים.
? אפיון ודירוג מעגלי האבטחה בחברה.
בתכנון האבטחה בחברה יש להתבסס על אסטרטגיית הגנה שתאופיין באמצעות מעגלי אבטחה אשר דירוגם הנכון יהא בו כדי לחסוך בעלויות החברה, וזאת תוך שילוב אמצעי הגנה מתאימים אשר יבטיחו כיסוי נרחב ומתן פתרונות אבטחה הולמים, ובכללו:
- מעגל ההתרעה וההרתעה ב"שער הכניסה".
- מעגל ההגנה והבקרה על תשתיות ההפעלה.
- מעגל ההגנה והבקרה על מסדי הנתונים והיישומים.
- מעגל ההגנה והבקרה בפני פעילויות מעילה והונאה.
- מעגל האבטחה בממשקים וברשת הפנים-ארגוניים.
- מעגל האבטחה ברשת הרחבה (WAN) ובתעבורת המידע.
- מעגל האבטחה והבקרה ברמת תחנות הקצה של החברה.
- מעגל השליטה והבקרה (Audit) בכל תשתיות המחשוב בחברה.
בתהליך אפיון ודרוג מעגלי האבטחה באפשרות החברה לשלב ולאחד מעגלים או להוסיף על אלו הקיימים, תוך כדי ביצוע קונסולידציה של שירותים ושרתים החוסכים לארגון כספים רבים.
? תכנון לאבטחה של מערכי הפנים בחברה.
בתכנון אבטחת מערכי הפנים בחברה תקבע תצורת העבודה תוך ציון יעדי פריסת המחשוב שלה, וימופו התהליכים העסקיים/ארגוניים שיהוו את "עמוד שדרתה" של הפעילות השוטפת בחברה.
התכנון יבוסס על מעגלי הגנה עם אזורי חפיפה שיוצרים מערך רציף של אבטחת מידע, ובכללו:
- תכנון האבטחה הפיסית של אתרי החברה ובפרט של מתקני המחשוב שלה.
- תכנון ההגנה על משאבי הרשת הפנימית של החברה ובפרט של מאגרי המידע.
- תכנון האבטחה הלוגית של תשתיות ההפעלה בשילוב מסדי הנתונים והיישומים, ובהכללה:
- ניהול האבטחה ברמת מנהלי המערכות השונות ובפרט ברמה של תשתיות ההפעלה.
- הזדהות המשתמשים ו"חלחולה" ברמת התשתיות השונות של החברה (כמפורט לעיל).
- "חלחול" הרשאות המשתמשים בתשתיות ההפעלה, במסדי הנתונים וברמת היישומים.
- יישום חיווי ובקרה שוטפת בחברה בכל רמות המחשוב הקיימות ופעילות בתוך החברה.
- שילוב של בקרות תהליכיות ממוחשבות במידה ובחברה מופעלות מערכות פיננסיות.
- תכנון ההגנה על תחנות הקצה (End Point Security) וציוד מחשוב נלווה (מדפסות, וכיו"ב).
? תכנון לאבטחה של הרשת הרחבה בחברה.
בתכנון אבטחת הרשת הרחבה (WAN) יאופיינו תצורות ההתקשרות מרחוק אל מערכות המידע של החברה, וימופו דרכי היציאה אל מחוץ לחברה ובפרט אל רשת האינטרנט "המפחידה".
בתכנון תקבע ההגנה בגישה לרשת החברה ועל התעבורה אל וממערכי המחשוב שלה, ובהכללה:
- תכנון האבטחה ב"שער הכניסה" (ב-Gateway) לחברה ובקישור לרשת האינטרנט, ובכללו:
- תכנון תצורת האבטחה והגדרת החוקים ב"שער הכניסה" ובגישה לתוך החברה.
- אפיון האבטחה ב"שער הכניסה" ומדיניות ההגנה על תהליכי היציאה מתוך החברה.
- עיצוב מדיניות הגלישה באינטרנט של עובדי החברה - וחסימת אתרים וקבצים מסוכנים.
- קביעת מדיניות תעבורת הדואר של החברה - וכללים לחסימה, העברה ומשלוח התראה.
- תכנון אמצעי ההגנה והבקרה בפני "חדירה" של וירוסים, תוכנות זדוניות ויישומונים עוינים.
- תכנון האבטחה בתעבורת המידע ברשת הרחבה, והבטחת חיסיון, שלמות ואמינות מידע זה.
? תכנון לחיווי ובקרה של פעילויות בחברה.
בתכנון לחיווי ובקרה יש למצות את כל סביבות המחשוב בחברה אשר רגישותן נקבעה כגבוהה, ולקבוע עבורן אמצעי בקרה ותכנון שוטף לאיתור כל חריגה המבוצעת בתחום אבטחת המידע.
התכנון יושתת על מנגנונים לתיעוד אירועים וכלי הפקה של שאילתות ודוחות בקרה, ובהכללה:
- אפיון אירועי האבטחה אשר יתועדו במסגרת "יומני האירועים" של מערכי המחשוב בחברה.
- תכנון כלי סינון והפקה של דוחות ושאילתות בקרה בהתייחס לחתכים שונים ועל פי דרישה.
- עיצוב מדיניות לביצוע בקרות שוטפות ותקופתיות המבוססות על דוחות ומשלוח התרעות.
? תכנון להמשכיותה העסקית של החברה.
תכנון להמשכיות עסקית של חברה מהווה את פוליסת הביטוח שלה בפני תרחישים שביסודות החברה הם פוגעים, ולפיכך מחייבים גישה מושכלת וחשיבה מעמיקה, אשר יושתתו על עיצוב אופטימאלי וקונסולידציה של תשתיות החומרה והתוכנה תוך חיסכון בכספי החברה, ובהכללה:
- אפיון מערכות ותהליכים קריטיים, איתור וניתוח סיכונים וקביעת תעדוף לטיפול בכשלים.
- איתור ותכנון ראשוני להקמה בשלבים של אתר מחשוב חלופי, ופיתוח Test Plan לביצוע של ניסויי קבלה בסיום כל אבן-דרך שהונחה.
- עיצוב מדיניות ארגונית לעתות חירום ותכנון לאישוש מערכות והמשכיות עסקית, והכנה של תוכנית תחזוקה לאתר המחשוב החלופי ולשינויי תצורה במערך המחשוב של החברה.
? הנחת אבני-דרך ליישום האבטחה בחברה.
ארגונים בינוניים וקטנים "קצרים" בכל הכרוך בענייני כספים, לכן חובה עליהם להכין תוכנית עבודה שתכיל אבני-דרך ליישום מודרג של האבטחה בחברה תוך כדי מזעור של סכנת החשיפה.
התכנון ליישום האבטחה בשלבים בארגונים בינוניים וקטנים יושתת על הדירוג שבוצע בחברה עבור מעגלי האבטחה שאופיינו על ידה, ובהתבסס על תכנונים רב-שנתיים לניהול הסיכונים.
? תכנון רב-שנתי לניהול הסיכונים בחברה.
ארגונים בינוניים וקטנים בדומה לאלו הגדולים נדרשים לקבוע מדיניות ותהליכים רב-שנתיים לניהול רציף של הסיכונים, ויישום של מעקב ובקרה אחר ביצוע השינויים הנדרשים.
התכנון לניהול הסיכונים יבוסס על מערכים רב-שנתיים לאיתור וסיכול כשלי אבטחה מהותיים במערכי המחשוב אשר את התהליכים הארגוניים משרתים.
סיכום
אבטחת המידע בארגונים בינוניים וקטנים איננה צריכה להיות מלווה בלבטים ו"ייסורים" קשים, ותדמית "הצריף הרעוע" המלווה אותן באופן קבוע ניתן בהשקעה סבירה להסב ל"חומה בצורה".
תכנון נכון של אבטחת המידע המלווה בשיקולים של קונסולידציה והשקעה "חכמה" נושאים עימם הבטחה ליישום אופטימאלי של מערך הגנה, אשר יהא חסכוני בעלויות אך ייצור מעטה של הגנות.
בשנים האחרונות אנו עדים לשינוי הגדול שחל במעמד אבטחת המידע, וההתייחסות כאל הוצאה מיותרת שאינה "משלמת" את עצמה פינתה את מקומה להתייחסות כאל מרכיב חיוני ובר-קיימא.
עם זאת עדיין קיימות חברות רבות אשר באבטחת מידע מעט מאוד משקיעות, ובפרט אותן חברות אשר לתחום ה-SMB (Small Medium Business) הן משתייכות.
סוגיה זו מעלה שאלות רבות אשר את רבים מאיתנו וודאי מעסיקות, מדוע - מה הסיבה להשקעה כה קטנה - האם לחברות בינוניות או קטנות אבטחת המידע חשובה פחות ?
חברות בינוניות וקטנות - היכן הנקודות הלוחצות ?
חברות בינוניות ובפרט כאלו קטנות עם בעיות של תקציב ותזרים מזומנים הן מתמודדות, לפיכך נושא אבטחת המידע שאיננו תורם באופן ישיר לרווחי החברה מאבד מחשיבותו ומעמדתו הרמה.
אך לא רק מזומנים את אבטחת המידע לתחתית דוחקים, אלא גם מודעות הלוקה בתחום אבטחת המידע והגישה הקלילה של "הכל נשאר במשפחה", ועוד כאלו זוטות שאל העדר בקרות מובילות.
תופעת "הצריף הרעוע" המזמינה לאירוח כל האקר "פרוע" והמאפשרת לכל עובד חברה את חופש הביטוי בגישה אל המידע איננה בחזקת עובדה בלתי נמנעת לה.
שיקולי אבטחה מנחים לארגונים בינוניים וקטנים.
נקודת המוצא היא שבעיות האבטחה בארגונים קטנים שונות במעט משל הארגונים הגדולים, אך תקציבי אבטחת המידע המיועדים באופן משמעותי מצומצמים ושיקול דעת מעמיק הם דורשים.
לפיכך, על מנת שלא לפגוע בצביון החברה ועם זאת להבטיח את חשאיות המידע והמשך קיומה, על ארגונים קטנים להפעיל שיקולי פתרון יעילים החוסכים כספים אך באבטחת המידע אינם פוגמים.
כיצד מתארגנים לאבטח ארגונים בינוניים וקטנים.
תחילתה של כל תוכנית טובה בתכנון והתארגנות יעילים, המקנים לנו בסיס פעולה רחב והתמקדות בכלי האבטחה הנחוצים תוך כדי מתן כיסוי מרבי וחיסכון בכספים ניכרים.
? עיצוב מדיניות האבטחה בחברה.
על כל חברה (קטנה כגדולה) לקבוע את רמת האבטחה לה היא דרושה, ולעצב לפיה את מדיניות וערכי אבטחת המידע שיאפיינו את מערכי המחשוב שלה. מסמך מדיניות אבטחת המידע יכול להסתפק בעיקרי הערכים אשר לאבטחת המידע הם קשורים ולהשתרע על פני עמודים ספורים.
? אפיון ודירוג מעגלי האבטחה בחברה.
בתכנון האבטחה בחברה יש להתבסס על אסטרטגיית הגנה שתאופיין באמצעות מעגלי אבטחה אשר דירוגם הנכון יהא בו כדי לחסוך בעלויות החברה, וזאת תוך שילוב אמצעי הגנה מתאימים אשר יבטיחו כיסוי נרחב ומתן פתרונות אבטחה הולמים, ובכללו:
- מעגל ההתרעה וההרתעה ב"שער הכניסה".
- מעגל ההגנה והבקרה על תשתיות ההפעלה.
- מעגל ההגנה והבקרה על מסדי הנתונים והיישומים.
- מעגל ההגנה והבקרה בפני פעילויות מעילה והונאה.
- מעגל האבטחה בממשקים וברשת הפנים-ארגוניים.
- מעגל האבטחה ברשת הרחבה (WAN) ובתעבורת המידע.
- מעגל האבטחה והבקרה ברמת תחנות הקצה של החברה.
- מעגל השליטה והבקרה (Audit) בכל תשתיות המחשוב בחברה.
בתהליך אפיון ודרוג מעגלי האבטחה באפשרות החברה לשלב ולאחד מעגלים או להוסיף על אלו הקיימים, תוך כדי ביצוע קונסולידציה של שירותים ושרתים החוסכים לארגון כספים רבים.
? תכנון לאבטחה של מערכי הפנים בחברה.
בתכנון אבטחת מערכי הפנים בחברה תקבע תצורת העבודה תוך ציון יעדי פריסת המחשוב שלה, וימופו התהליכים העסקיים/ארגוניים שיהוו את "עמוד שדרתה" של הפעילות השוטפת בחברה.
התכנון יבוסס על מעגלי הגנה עם אזורי חפיפה שיוצרים מערך רציף של אבטחת מידע, ובכללו:
- תכנון האבטחה הפיסית של אתרי החברה ובפרט של מתקני המחשוב שלה.
- תכנון ההגנה על משאבי הרשת הפנימית של החברה ובפרט של מאגרי המידע.
- תכנון האבטחה הלוגית של תשתיות ההפעלה בשילוב מסדי הנתונים והיישומים, ובהכללה:
- ניהול האבטחה ברמת מנהלי המערכות השונות ובפרט ברמה של תשתיות ההפעלה.
- הזדהות המשתמשים ו"חלחולה" ברמת התשתיות השונות של החברה (כמפורט לעיל).
- "חלחול" הרשאות המשתמשים בתשתיות ההפעלה, במסדי הנתונים וברמת היישומים.
- יישום חיווי ובקרה שוטפת בחברה בכל רמות המחשוב הקיימות ופעילות בתוך החברה.
- שילוב של בקרות תהליכיות ממוחשבות במידה ובחברה מופעלות מערכות פיננסיות.
- תכנון ההגנה על תחנות הקצה (End Point Security) וציוד מחשוב נלווה (מדפסות, וכיו"ב).
? תכנון לאבטחה של הרשת הרחבה בחברה.
בתכנון אבטחת הרשת הרחבה (WAN) יאופיינו תצורות ההתקשרות מרחוק אל מערכות המידע של החברה, וימופו דרכי היציאה אל מחוץ לחברה ובפרט אל רשת האינטרנט "המפחידה".
בתכנון תקבע ההגנה בגישה לרשת החברה ועל התעבורה אל וממערכי המחשוב שלה, ובהכללה:
- תכנון האבטחה ב"שער הכניסה" (ב-Gateway) לחברה ובקישור לרשת האינטרנט, ובכללו:
- תכנון תצורת האבטחה והגדרת החוקים ב"שער הכניסה" ובגישה לתוך החברה.
- אפיון האבטחה ב"שער הכניסה" ומדיניות ההגנה על תהליכי היציאה מתוך החברה.
- עיצוב מדיניות הגלישה באינטרנט של עובדי החברה - וחסימת אתרים וקבצים מסוכנים.
- קביעת מדיניות תעבורת הדואר של החברה - וכללים לחסימה, העברה ומשלוח התראה.
- תכנון אמצעי ההגנה והבקרה בפני "חדירה" של וירוסים, תוכנות זדוניות ויישומונים עוינים.
- תכנון האבטחה בתעבורת המידע ברשת הרחבה, והבטחת חיסיון, שלמות ואמינות מידע זה.
? תכנון לחיווי ובקרה של פעילויות בחברה.
בתכנון לחיווי ובקרה יש למצות את כל סביבות המחשוב בחברה אשר רגישותן נקבעה כגבוהה, ולקבוע עבורן אמצעי בקרה ותכנון שוטף לאיתור כל חריגה המבוצעת בתחום אבטחת המידע.
התכנון יושתת על מנגנונים לתיעוד אירועים וכלי הפקה של שאילתות ודוחות בקרה, ובהכללה:
- אפיון אירועי האבטחה אשר יתועדו במסגרת "יומני האירועים" של מערכי המחשוב בחברה.
- תכנון כלי סינון והפקה של דוחות ושאילתות בקרה בהתייחס לחתכים שונים ועל פי דרישה.
- עיצוב מדיניות לביצוע בקרות שוטפות ותקופתיות המבוססות על דוחות ומשלוח התרעות.
? תכנון להמשכיותה העסקית של החברה.
תכנון להמשכיות עסקית של חברה מהווה את פוליסת הביטוח שלה בפני תרחישים שביסודות החברה הם פוגעים, ולפיכך מחייבים גישה מושכלת וחשיבה מעמיקה, אשר יושתתו על עיצוב אופטימאלי וקונסולידציה של תשתיות החומרה והתוכנה תוך חיסכון בכספי החברה, ובהכללה:
- אפיון מערכות ותהליכים קריטיים, איתור וניתוח סיכונים וקביעת תעדוף לטיפול בכשלים.
- איתור ותכנון ראשוני להקמה בשלבים של אתר מחשוב חלופי, ופיתוח Test Plan לביצוע של ניסויי קבלה בסיום כל אבן-דרך שהונחה.
- עיצוב מדיניות ארגונית לעתות חירום ותכנון לאישוש מערכות והמשכיות עסקית, והכנה של תוכנית תחזוקה לאתר המחשוב החלופי ולשינויי תצורה במערך המחשוב של החברה.
? הנחת אבני-דרך ליישום האבטחה בחברה.
ארגונים בינוניים וקטנים "קצרים" בכל הכרוך בענייני כספים, לכן חובה עליהם להכין תוכנית עבודה שתכיל אבני-דרך ליישום מודרג של האבטחה בחברה תוך כדי מזעור של סכנת החשיפה.
התכנון ליישום האבטחה בשלבים בארגונים בינוניים וקטנים יושתת על הדירוג שבוצע בחברה עבור מעגלי האבטחה שאופיינו על ידה, ובהתבסס על תכנונים רב-שנתיים לניהול הסיכונים.
? תכנון רב-שנתי לניהול הסיכונים בחברה.
ארגונים בינוניים וקטנים בדומה לאלו הגדולים נדרשים לקבוע מדיניות ותהליכים רב-שנתיים לניהול רציף של הסיכונים, ויישום של מעקב ובקרה אחר ביצוע השינויים הנדרשים.
התכנון לניהול הסיכונים יבוסס על מערכים רב-שנתיים לאיתור וסיכול כשלי אבטחה מהותיים במערכי המחשוב אשר את התהליכים הארגוניים משרתים.
סיכום
אבטחת המידע בארגונים בינוניים וקטנים איננה צריכה להיות מלווה בלבטים ו"ייסורים" קשים, ותדמית "הצריף הרעוע" המלווה אותן באופן קבוע ניתן בהשקעה סבירה להסב ל"חומה בצורה".
תכנון נכון של אבטחת המידע המלווה בשיקולים של קונסולידציה והשקעה "חכמה" נושאים עימם הבטחה ליישום אופטימאלי של מערך הגנה, אשר יהא חסכוני בעלויות אך ייצור מעטה של הגנות.
צביקה גורן
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il.
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il.