ארגונים רבים בישראל ובעולם מעבירים את הנתונים השמורים במערכות המידע שלהם לסביבות פיתוח או בדיקות מבלי להתייחס לבעיית אבטחה חמורה שנוצרה בתוצאה מהפעולה. כך אמר ניל ריצ'רדס, דירקטור פתרונות בחברת Compuware בזמן ביקורו בישראל והשתתפותו בכנס בנושא הגנה על פרטיות המידע, שערכה חברת מטריקס, נציגת Compuware בישראל.
ריצ'רדס הציג פתרון של Compuware המסייע לארגונים להגן על המידע הרגיש שלהם בסביבת בדיקות. "הכלים של Compuware מבצעים פעולות להגנה על הנתונים בשיטות שונות המתאימות למהות הפעילות המבוצעת עם הנתונים כגון: הצפנה של הנתונים, מיסוך ויצירת נתונים שונים".
לדבריו, סקר שנערך בקרב למעלה מ- 2,500 מומחי IT גילה כי 45% אמרו שנתונים שהועברו לסביבת בדיקות או פיתוח נגנבו או אבדו, 15% אמרו כי הם לא בטוחים אם אבדו נתונים בזמן העברתם לסביבת בדיקות או פיתוח. 60% מן המשיבים אמרו כי חברות מיקור חוץ מטפלות במידע חי בזמן העברת המערכות לסביבת בדיקות או פיתוח.
נתונים נוספים שהציג ריצ'רדס: 64% מן הארגונים משתמשים במידע חי כאשר הם מעבירים את המערכות שלהם לסביבת בדיקות ו- 60% משתמשים בנתונים חיים כאשר הם מעבירים את המערכות לסביבת פיתוח. על פי הסקר, 63% מן המידע שעובר לסביבת בדיקות ופיתוח הוא דוחות אודות לקוחות, 45% מן הנתונים הם רשימות של לקוחות, 28% הם נתונים על עובדים ו- 26% מן הנתונים בעלי פוטנציאל החשיפה הם נתוני אשראי, חובות ותשלומים.
"כאשר מבצעים שינויים ובדיקות במערכות הנתונים חשופים יותר משום שסביבות אלו מאובטחות פחות. בנוסף לכך, פעמים רבות הנתונים הללו שביום יום מוגנים מפני עובדים שאינם מורשים, עלולים להיחשף בזמן בדיקות לגורמים חיצוניים לארגון כגון עובדי מיקור חוץ, מומחי בדיקות וכדומה", אמרה פטי יערי, מהנדסת מערכות בכירה בחטיבת מוצרי התוכנה של מטריקס.
בארה"ב ובמדינות מסוימות באירופה , ארגונים בהם התרחש אירוע של זליגת מידע פרטי , מחויבים עפ"י חוק , לדווח על הפרטים וההיקף של התקלה לכל לקוחותיהם . אין ספק , שזו אחת הסיבות לכך שבמדינות אלה , הטיפול בנושא מתקדם יותר מאשר בארץ .
סביר להניח שארגונים רציניים בארץ , מתמודדים עם האתגר ובוחנים את המצב הקיים כדי לנקוט בפעולות הנדרשות בהקדם . ברור שאין צורך להמתין לחקיקה בנושא . מחיר הסיכון לעסק , בהפסד של לקוחות או ספקים ופגיעה במוניטין הוא יקר מדי .
לבנות סביבות פתוח וניסוי איכותיות , זו משימה מורכבת ולכן ארגונים רבים בוחרים באופציה של העתקת נתוני הפרודקשן לסביבות שאינן מאובטחות כמו הפרודקשן ולכן "פרוצות" .
חב' Compuware מסייעת ללקוחות להטמיע פתרון של "בניית סביבות ניסוי איכותיות ללא חשיפה של מידע פרטי" וזאת ע"י יישום של מתודולוגיה המשלבת כלים המאפשרים גזירה וטעינה מתוחכמות של נתונים , בהתחשב בקשרים פיזיים ולוגיים של מפתחות ועמודות שונות ב-DB וכן שמוש באלגוריתמים מגוונים לערבול נתונים כגון תרגום ,טשטוש,יצירה ועוד .
לקוחות המיישמים את הפתרון , מעידים על היתרונות הבאים:
- צמצום הסיכון שבזליגת מידע פרטי מתוך האירגון
- צמצום בעלויות האחסון הנדרש לבניית סביבות הפיתוח והניסוי ( שטחי דיסק , ניהול ותחזוקה )
- שיפור איכות הבדיקות
- קצור הזמן ננדרש לסבבי בדיקות
אין ספק שמדובר בפרויקט מורכב אשר יכול להביא לתועלות מהותיות לארגון.
שחר מאור, אנליסט אבטחת מידע ב- STKI אומר ש"רגולציות חדשות כמו PCI DSS ואחרות מתייחסות בצורה ספציפית לשמירה על נתונים רגישים גם במעבר בין סביבות תפעוליות רגישות וסביבות אחרות דהיינו, בין סביבת ייצור לסביבת פיתוח/בדיקות. יותר ויותר ארגונים בארץ נדרשים ליישום פתרון אבטחתי בנקודה רגישה זו כדי לעמוד בתקנים. יישום של פתרונות לערבול נתוני הייצור יכול לפתור בעיות אבטחתיות קשות, הנגזרות מהרגולציות, כמו הצורך בהקמת סביבה מאובטחת נפרדת לנתונים אלה בדומה לנתוני הייצור. יישום פיתרון ערבול יכול לחסוך במידה רבה הרבה מאוד כסף ולאפשר ניהול תקין ונכון של המידע בארגון. תחום זה צפוי לגדול בצורה משמעותית ב- 2010 בצמוד להתקדמות הציות ל PCI DSS".
הכתבה באדיבות ITPORTAL
M-Challenge מספקת שירותי מחשוב לעסקים בעלי 5 עמדות מחשבים ומעלה, שרוצים לתפקד בראש שקט 24 שעות ביממה ולמנוע תקלות מיותרות.
לקבלת מידע נוסף הרשמו כאן
מקור המאמר: www.Articles.co.il - מאמרים לשימוש חופשי
פרסם את המאמר
הדפס את המאמר
שלח לחבר
קישור ישיר למאמר
פניה לכותב המאמר
דווח מאמר בעייתי
