מול אילו איומים ניצבים מנהלי IT היום?
אחד האיומים שמולם ניצבים מנהלי IT הוא מנהלים בכירים שעוקפים החלטות אבטחה קריטיות. לפעמים ההחלטות לא עומדות בד בבד מול היחס של יתרונות לעומת עלויות ומידת הסיכון. לכן מנהלי IT צריכים לוודא שההחלטות שלהם לא כוללות דרישות שהן לא סבירות מבחינת צרכי העסק. בתקופה האחרונה זה הפך לאתגר ממשי לאור הצמיחה של הרשתות החברתיות והאפשרויות העסקיות שהן מציעות. קרוב לודאי שלא כל עובד זקוק לגישה לרשתות החברתיות, אך מדיניות גורפת אשר מונעת גישה לאתרים אלו יכולה להוריד עסק לעמדה נחותה לעומת המתחרים.
איום נוסף שקיים היום הוא חוסר המודעות לצורך החיוני בחינוך והדרכה מתמשכת גם למשתמשי הקצה וגם של המקצוענים בתחום. מנהלי IT מקצועיים צריכים להגיע לכנסים ותערוכות על מנת לפתח קשרים עם קולגות בתחום שיכולים לחלוק מניסיונם, לשתף בידע, ולהיחשף לטכנולוגיות ואפשרויות חדשות. הכשרה מקצועית בנושא אבטחת מידע למשתמשי הקצה, שלרוב אינם מומחים בתחום אבטחת המידע, יכולים להפחית מהעומס העבודה של מנהלי ה IT ולמנוע טעויות יקרות שניתן להימנע מהן בקלות עם חינוך מונע. הונאות שמתבצעות באמצעות מייל או רשתות חברתיות הופכות ליותר ויותר נפוצות וחינוך בנושא זה הוא הכרחי אך כמעט שאינו קיים. מעבר לכך, ברור לנו היום יותר מתמיד שאבטחת מידע תלויה גם בטכנולוגיה וגם באכיפת מדיניות על ידי משתמשים, ואת זה עושים דרך הגברת מודעות וחינוך.
ניהול של עדכוני אבטחה במערכות הפעלה ותוכנות הוא נושא בעייתי בארגונים קיום. התולעת קונפיקר, שפרצה לראשונה ב 2008 והדביקה מיליוני מחשבים ורשתות בעולם, היא הוכחה לחומרת הבעיה.
מהו המניע העיקרי של מפתחי הוירוסים בימינו, ולאן הם מכוונים את התקפותיהם?
המניע העיקרי, אם לא היחידי, הוא כסף. "הבחורים הרעים" מכוונים את התקפותיהם לכל מקום שיש בו כסף כמו שנמר מכוון את התקפותיו לכל מקום שיש בו אוכל. יש הרבה כסף בריגול עסקי, מדינות וממשלות משלמות הרבה כסף להאקרים שמועסקים אצלן. יש כסף בגניבת זהויות. יש כסף בגניבת זהויות במשחקי און-ליין ויש כסף בפריצה לחשבונות מדיה חברתית. לא מדובר יותר ב"תהילה" שמגיעה בעקבות איזו פריצה אלגנטית או וירוס שנכתב בצורה מתוחכמת. ברוכים הבאים למציאות הטרור הקפיטליסטי המקוון.
איך היית מגדיר את המונח "ניהול סיכונים"?
ניהול סיכונים הוא המדע והאומנות בקבלת ההחלטות של כמה להשקיע ואיפה להשקיע כדי למנוע אובדן של מידע. אם הפתרון לאיום מסוים הוא כל כך יקר שהעסק נופל בגללו, סימן שאותו הסיכון לא נוהל כהלכה. אם נראה שהעסק מצליח, אך נאלץ להתמודד עם קנסות כבדים שנובעים מאי עמידה בדרישות הרגולטור (כמו לדוגמא פרסום באמצעות ספאם או שימוש בתוכנות ללא רשיון) סימן שמדיניות ניהול הסיכונים לא יושמה בצורה נכונה. הטובים ביותר בתחום ניהול הסיכונים הם ממש אמנים, מעבר להיותם מדענים.
איך לדעתך צריך ליישם מדיניות של ניהול סיכונים בארגון?
אני לא יכול להגיד שאני מוסמך להנחות באופן כללי איך לנהל את זה נכון. זה מאוד משתנה מחברה לחברה, מתחום לתחום וממגזר למגזר. ניהול סיכונים צריך להיות מיושם באופן אחד בחברה למוצרים רפואיים ובאופן אחר ברשת מזון מהיר. זה מתייחס לרמת החשיפה של מידע על לקוחות, קניין רוחני, מידע משפטי ואיזה נזק תדמיתי עלול להיגרם (קחו לדוגמא את טויוטה). לאחר סיכום כל הגורמים הללו, יש ליצור משוואה של עלות/תועלת שמתחשבת גם בדברים כמו סביבה, משפחה, שימור עובדים וכו' ועל הפתרון להתאים לתקציב הארגון.
האם יש לך עצות או המלצות למנהלי IT בהקשר של ניהול סיכונים?
אל תחשוב רק על הערך הכספי הישיר של המידע עליו אתה מנסה להגן. העלות שנחסכת על אבטחת המידע לא משתווה לערך הישר של המידע שנמצא בסיכון. במקרים רבים עלות הכשל והנזק עולה בהרבה על ערכו הישיר של המידע: על העלות הישירה צריך להוסיף את הנזק התדמיתי, אובדן של עובדים חיוניים, קנסות ועוד.
ולסיום עצה נוספת שאני בדרך כלל נותן לעובדים שלנו שניתן ליישם אותה למעשה בכל תחום בחיים. אחד הציטוטים האהובים עלי הוא "אם יש לך רק פתרון אחד לבעיה, כנראה שלא הבנת את כל ההשלכות של הבעיה". כשאני רואה שקיים רק פתרון אחד לבעיה נתונה, אני לוקח צעד אחורה ושואל את עצמי מה פספסתי והאם אכן הגדרתי את הבעיה בצורה מדויקת. למעשה, זו גם המשמעות האמיתית של ניהול סיכונים נכון.
רנדי אברמס הצטרף ל- ESET ביולי 2005 בתפקיד הדירקטור לחינוך טכנולוגי. במסגרת תפקידו מעביר רנדי הדרכות לעובדי ומפיצי ESET בכל העולם.