דף הבית  >> 
 >> 

הרשם  |  התחבר


האיום שמבפנים והאויב שמבחוץ - היכן העוקץ 

מאת    [ 28/03/2007 ]

מילים במאמר: 744   [ נצפה 2866 פעמים ]

"מעילת ענק בבנק....", "חשודים בפרשת הסוס הטרויאני...", "ניצול חורי אבטחה במערכי...", "ישראלים בין נפגעי גניבת כרטיסי האשראי ...", "גידול דרמטי בהונאות דוא"ל...", "תלמיד שינה ציונים במחשבי...", "המשכיות עסקית - לקחי...", "עונש מאסר להאקר שפרץ לבנק...".
העיתונות המקומית והעולמית עמוסה בכותרות המופיעות לעיל ובמושגים כמו "הונאות מחשב", "פשע מקוון", "ריגול תעשייתי", "אי-זמינות מידע", "פשעי מחשב", "רוגלות" וכיו"ב.

מדוע - האם ארגונים אינם משקיעים די ?
דווקא משקיעים והרבה ! במהלך השנים האחרונות חל גידול גורף במודעות ובהשקעות של חברות וארגונים בתחומי אבטחת המידע, אמינות, שרידות, המשכיות עסקית, אישוש מערכות וכיו"ב.
העיתונות גם יודעת לבשר לנו כי "ענקיות" ותאגידי התוכנה והחומרה מהמובילים בעולם ישקיעו במהלך השנים הבאות תקציבי עתק בפיתוח כלי אבטחה, אמצעי אחסון, מערכי גיבוי ועוד...

היכן "העוקץ" - מה הסיבה לכישלונות ?
אכן, השאלות המנקרות הן: כיצד לא אובחנו כשלי האבטחה הללו בשלב מוקדם - מדוע לא אותרו וזוהו במועד מאוחר יותר - האם אמצעי האבטחה כשלו - היכן הייתה ערנות האחראים - מי אשם - האם ניתן לצמצם את הסיכונים - כיצד נערכים - מה עושים -
התשובה הבסיסית לכל השאלות הללו טמונה בהבנת התמונה הכוללת והמלאה, וביכולת הארגון להקיף את מלוא המשמעויות המשתקפות מתוך אירועי העבר וראיית העתיד לבוא.

מה לכל הרוחות המשפט האחרון אומר?
ראיית אבטחת המידע בארץ ובעולם התאפיינה - ועדיין מתאפיינת בארגונים רבים - בגישה הצרה המנתחת את צרכי האבטחה בארגון באופן נקודתי ובהעדר המוטיב התהליכי.
באופן דומה גם הגישה להמשכיות פעילותו של הארגון בשעת חירום התייחסה אך ורק אל מערכות המידע, והתעלמה לחלוטין מההיבטים וההשלכות של התהליכים הארגוניים והעסקיים.

כיצד העדר הגישה התהליכית פוגם באבטחה?
ארגון הצועד בדרך זו בונה את מעטה האבטחה הארגוני מ"איים" של אבטחה, שחלקם מקושרים ביניהם בקשר רופף כלשהו וחלקם האחר אוטונומיים לחלוטין.
מטבע הדברים שמערך אבטחת מידע אשר מורכב מפאזל של איי אבטחה לוקה בחסר בכל הקשור לרצף האבטחה התהליכי, ויוצר חללים לא מאובטחים במארג האבטחה הארגוני.
באופן דומה גם ההתייחסות להמשך פעילותו של הארגון בשעת חירום מתוך מערכות המידע בלבד ובהעדר ההיבט התהליכי, תיתן מענה לא מלא לשרידותו העסקית של הארגון.

למה הדבר דומה - ל"שועל ולול התרנגולות" !
איכר שהחליט להקים לול תרנגולות הזמין 4 בעלי מקצוע ידועים בתחום אבטחת לולים: מומחה לאבטחת גדרות, מומחה לבקרת שערים, מומחה לטיפול בשריפות ומומחה למערכות טמ"ס.
כל אחד מהמומחים הנ"ל התקין בתחומו את המערך המאובטח/מבוקר ביותר שניתן היה להקים, והאיכר המאושר מיהר למלא את הלול בתרנגולות מקרקרות.
בלילה התעורר האיכר לקול צווחות של התרנגולות, וכשהיגיע אל הלול נוכח בעובדה כי שועל אשר חדר אל הלול עשה שמות בתרנגולות. כיצד אירע המקרה הנורא ?
לאיכר ההמום הסתברה העובדה כי אף אחד מהמומחים שזומנו לא הבחין בנקרה אשר הותקנה מתחת לגדר בפינה, ולנקז את מי הגשמים היא נועדה.
מדוע אף מומחה לא הבחין בנקרה - כי כולם עסקו רק בתחומם ולא ראו את התמונה המלאה !!! האם פקחותו של השועל איתרה את הנקרה - לאו דווקא, השועל אשר היה רעב סקר את כל מערך האבטחה וחיפש את נקודת הכשל אותה הוא מצא בצורה של נקרה.

אז מה המסקנה? אין פתרון טוב לאבטחת המידע -
כלל וכלל לא, הפתרון מצוי בתפיסת נושא אבטחת המידע כמארג כולל אותו יש לנתח מהיבט של התהליך המלא מקצה לקצה (End to End View), ולהשתית את מערך האבטחה והבקרה שיוקם על ניטור מלוא כל הסיכונים והכשלים הקיימים ואיתור מענה הולם לכל אחד מהם.
רק עם השלמת השלב הנ"ל ניתן להזמין את המומחים השונים כדי ש"יתפרו" את הפתרון המקומי שלהם, כאשר התיאום בין חלקי הפתרון השונים ובחינת תפקוד מארג האבטחה והבקרה הכולל מוטל על הגורם/גוף אשר ביצע את מהלך ניתוחו של התהליך המלא.
הגישה הנ"ל נכונה לא רק לגבי תחום אבטחת המידע, אלא גם בתחומי שרידות, המשכיות עסקית, בקרת תהליכים, תכנון מערכי אחסון, ניהול בקרות (Audit), וכיו"ב.

מי הוא אותו גורם שיבצע את הניתוח התהליכי ?
יועצי אבטחת המידע הם הגורם שאמור לעצב את הפתרון הנדרש תוך כדי ניתוח סיכוני האבטחה מהיבט התהליך המלא, והם גם שאמורים לבקר את ההטמעה ובחינת התוצר המוגמר.

דוגמאות.
רכש - בחינת התהליך המלא משלב יצירת הדרישה להזמנת רכש ועד לתשלום החשבונית לספק.
ביטוח - בחינת התהליך המלא משלב הקלדת והפקת הפוליסה ועד לתשלום תביעה של הלקוח.
בנקאות - בחינת התהליך המלא משלב הקלדת הפעולה בסניף ועד ל"הצצת" הלקוח בפעולה זו.
מערכת כלשהי - בחינת התהליך בתוך המערכת, העיבוד, ממשקים, קלט-פלט, בקרות וכיו"ב.

סיכום.
הפתרונות - גם אם נקודתיים - בתחומי אבטחת המידע, המשכיות עסקית, מערכי אחסון וכיו"ב, צריכים להתבסס על ניתוח ואיתור כשלים במסגרת התהליך המלא מקצה לקצה, והטמעתם באופן מבוקר תוך כדי ליווי התהליך כולו במערך של בחינות (Test Plan).
הגורם האמור לבצע את פעולות הניתוח, איתור הכשלים, תכנון המענה, פיקוח ההטמעה ובקרת התוצר המוגמר הינם היועצים, שלהם ראייה כוללת ורחבה ויכולת לבחון את התהליך המלא.
צביקה גורן

Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il



מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב