אבטחת מערכות המידע - היכן ה-Catch ? 

אבטחת מערכות המידע - היכן ה-Catch -

מושגים כמו אבטחת מערכות המידע או ניהול הסיכונים במערכות המידע שאך לפני זמן קצר נראו מאוד מבטיחים, נשמעים כיום לעתים צורמים, מיושנים, חסרי מעוף ומאוד לא מתקדמים.
מה השתנה במושגים הללו? היכן ה-Catch?

התשובה הנה כי אבטחה ו/או ניהול הסיכונים במערכות המידע עוסקים בהיבט הצר המתייחס לעולם ה-IT בלבד. כיום, השתנתה גישה זו ואת מקומה תפסו ראייה ארגונית רחבה וגישה אסטרטגית מקיפה.

אז מה זה בעצם אומר?

עיון קצר בעיתונות המקצועית ובמאמרים שהתפרסמו בעולם ה-IT לאחרונה יציף לעינינו מושגים כגון:
BI (Business Intelligent), BMP (Business Process Management), ROI (Return Of Investment), BCP (Business Continuity Planning) וכיו"ב.
מה המשותף לכל המושגים הללו? בכולם משתקפת הגישה הכלל ארגונית וההתייחסות החדשה של עולם ה-IT למערכי המידע, המציגה תפיסה חדשנית של ניהול תהליכים כגורם מרכזי בארגון וניתוח צרכים מחשוביים מתוך ראייה תהליכית כוללת. הגישה החדשה נובעת מתוך ההבנה כי מערכות המידע בארגון נועדו לשרת את התהליכים הארגוניים שבו ולא להיפך, ולפיכך עליהן לתת מענה הולם לצורכי הארגון ויעדיו העסקיים, האסטרטגיים והלוגיסטיים.

ניהול תהליכים וראייה תהליכית כוללת

בעבר הלא רחוק, גישת עולם ה-IT לצרכיו של הארגון התבססה על ראייה מערכתית בלבד תוך כדי התייחסות נפרדת לנגזרות שונות בתוך הארגון, כגון: מערך השכר, מערך משאבי אנוש, מערך שרות לקוחות, וכיו"ב.
גישה זו לא תמיד ראתה את התהליך העסקי/ארגוני הכולל, ולכן גם ההתייחסות בעת פיתוח המערכות הייתה בעלת אופי נקודתי שיצרה "איים" של תוכנות הפועלות כיחידות עצמאיות ולעיתים לחלוטין מבודדות.
כיום גישה זו השתנתה, ועם התפתחותן של מערכות חוצות ארגון (כגון: ERP, CRM, SCM וכיו"ב) התגבשה מדיניות רחבה יותר, המתייחסת לנושא פיתוח המערכות מהיבט התהליך הכולל מקצה לקצה.
"ראייה תהליכית כוללת" מציגה גישה של מערכי ה-IT מנקודת מבט של התהליך העסקי/ארגוני המלא, תוך כדי חצייה של תשתיות ופלטפורמות מחשוב שונות וגישור בין-מערכתי על פני ממשקים ותהליכי המרה שונים.

ניקח כדוגמה את תהליך הרכש בארגון - המורכב מציוני הדרך המתוארים להלן:

בקשה לרכש - אישור בקשה - בחירת ספק - הוצאת הזמנה לספק - ניפוק וקליטת המוצר - ניהול מחסן - ניהול ספקים - הקמת שובר לתשלום - הכנת הצעה לתשלום - תשלום לספק.
התהליך יכול להתחיל את דרכו במערך הייצור, לעבור דרך מערך הרכש, להמשיך הלאה דרך מערך ניהול מצאי המלאי והמחסנים, ולסיים את דרכו במערך הכספי וניהול הקופות של הארגון.
במהלך הדרך הנ"ל התהליך יכול לחלוף דרך תשתיות מחשוב שונות, סביבות עבודה מגוונות, אפליקציות שלהן אוריינטציות שונות ותשתיות תקשורת מרובות המקשרות בין הקצוות השונים.
בנוסף יכולים להתקיים ממשקים שונים המזינים (קלט) וניזונים (פלט) מתוך התהליך הנ"ל, ותהליכי ביניים המגשרים בין סביבות עבודה שונות (כגון: העברה ידנית של קובץ שעבר תהליך עיבוד במערך הרכש אל המערך הכספי, תיקון ידני של חריגים/שגויים הנפלטים בתהליכי עיבוד ממוכנים - כמו תשלום לספקים, וכיו"ב).

עולם ה-IT נדרש כיום להציג "ראייה" מקיפה של התהליך הכולל (End to End), ולהכין את תשתיות המחשוב הנדרשות ליצירתו של תהליך רציף המשלים פעילות עסקית או ארגונית מלאה.

כיצד מתקשרת גישת ה-IT החדשה לנושא אבטחת המידע?

אבטחת המידע - המהווה נדבך חשוב בתוך המכלול של עולם ה-IT - איננה יכולה להתנתק מהמגמה הקיימת לעיצוב מערכי המחשוב בהתייחס לניהול התהליכים בארגון, ועליה להיערך לקראת השינוי הנדרש בתחום זה.
משתמע מכך כי הסיקור, הניתוח וניהול הסיכונים במערכי המידע יימצאו חסרים בהעדר ניתוח תהליכי תואם, ולפיכך על "מעצבי" מדיניות אבטחת המידע בארגון להבטיח כי תחום זה ינוהל בהתבסס על הניתוח הנדרש.

מה לא מספק בגישה הקיימת כיום לנושא אבטחת המידע?

כיום, אבטחת המידע נבחנת מההיבט הממוכן בלבד שהנו רק נדבך במכלול האבטחה הנובע מפעילויות הארגון, ולפיכך היא חסרה "ראייה" אסטרטגית מקיפה ומתעלמת מחלקי תהליכים הנעדרים במערך הממוכן.
כתוצאה מתהווים מקטעים בתהליכים שאינם "מכוסים" על ידי אבטחת המידע, ונוצרים מוקדי סיכון וחשיפה המסכנים את פעילויות הארגון, כגון: ממשקים, תהליכי המרה, קישורי עיבוד, תהליכי הפצה וכיו"ב.

מהם היתרונות בגישה לאבטחת המידע מהיבט התהליכים?

סקירת אבטחת המידע מנקודה מבט של התהליך השלם פורשת בפני הארגון "תמונה" נאמנה למצב האבטחה הקיים במארג הארגוני, וממפה באופן מפורט את כל כשלי האבטחה הקיימים במסגרת פסיפס זה.
בגישה מההיבט התהליכי ניתן לאתר את מכלול סיכוני האבטחה להם הארגון נחשף בהתייחס אל האיומים הקיימים על רציפות התהליכים השונים, ולקבוע תיעדוף לטיפול בהתאם ל"משקלות" הסיכונים.
שערוך משוקלל המבוסס על מיצוב חשיבות התהליך בארגון וקריטיות נדבכים שונים בו הם המדד אשר לפיו נקבעים ה"משקלות" של הסיכונים השונים והתיעדוף לטיפול.

עיצוב אבטחת המידע מההיבט התהליכי

עיצוב אבטחת המידע הארגוני מהיבט התהליכים כולל במסגרתו 6 מהלכים מרכזיים, כמפורט להלן:
? אפיון המבנה והאופי הארגוני ומיפוי התהליכים ומערכות המידע הקיימים בארגון.
? איתור, זיהוי ומיפוי של הסיכונים וכשלי האבטחה במערכות/תהליכים שנסקרו בארגון.
? ניתוח הסיכונים והכשלים שאותרו במערכות/תהליכים שנסקרו ודירוגם על פי רמות "חומרה".
? קביעת סולם תיעדוף לטיפול בכשלים שדורגו ועיצוב פתרון תואם בהתייחס לממצאים שאותרו.
? הכנת תוכנית עבודה ליישום הפתרון שעוצב הכוללת אבני דרך לביצוע ולו"ז ליישום בשלבים.
? הטמעת הפתרון שעוצב בהתאם לאבני הדרך שהונחו והלו"ז שנקבע ובקרת ישימות ההטמעה.

סיכום

ניהול הסיכונים במערכות המידע, כמו גם ניהול הסיכונים במערכי התפעול, בתשתיות התקשורת וכיו"ב - פונה אל ההיבט הצר של אבטחת המידע המתרכז בתחום הממוכן בלבד.
"ראיית" אבטחת המידע מבעד לעיניו של המערך הממוכן בלבד פוגמת ברציפות התהליכית ובגישת האבטחה הכוללת, ומתייחסת לנושא זה כמורכב מ"איים ריבוניים" של אבטחה שביניהם קורלציה מועטה.
הגישה הנכונה היא לראות את נושא אבטחת המידע מבעד לתהליכים ארגוניים רציפים תוך כדי חציית פלטפורמות מחשוב שונות, סביבות עבודה, מערכות הפעלה, אפליקציות ותשתיות תקשורת, ובחינת האבטחה בהילוך יורד (Drill Top Down) תוך שימת דגש על סיכונים וכשלים ברצף התהליכי.
כלומר, את נושא אבטחת המידע בארגון יש "לתקוף" מההיבט התהליכי, תוך כדי איתור ומיפוי הסיכונים והכשלים המאיימים על רציפות התהליך ושלמותו, ועיצוב פתרון מודרג בהתאם לתיעדוף לטיפול.

כתב:
צביקה גורן
חברת סקיוריטרי בע"מ
יועץ בכיר לאבטחת מידע
מרכז תחום BCP/DRP
אבטחת מערכים יישומים
ואבטחת מערכות מחשב מרכזיות