אופיר זילביגר, SECOZ: "בשל הרגולציה – ניהול הסיכונים יהיה ב-2010 נחלת כל הארגונים"
זילביגר אמר בכנס Infosec 09, כי "המטרה היא לראות את התהליכים העסקיים, לבחון על אילו תשתיות כל אחד מהם 'רוכב', למפות אותם ולקשר אליהם את מרכז ניהול סיכוני האבטחה הארגוני" ● לדבריו, "ניהול הסיכונים משמעו התמקדות בהיבטים העסקיים של הארגון"
"בעבר, ניהול הסיכונים היה נחלת מעט מאוד ארגונים. בשל שינויים ברגולציה, ובמיוחד הכניסה של SOX לחברות ישראליות, החל משנת 2010 יהפוך תחום ניהול הסיכונים יהפוך להיות חלק בלתי נפרד מהעשייה העסקית בארגונים רבים מאוד" – כך אמר אופיר זילביגר, מנכ"ל חברת הייעוץ לאבטחת מידע SECOZ. זאת, בשל הנחיות רגולטוריות חדשות בנושא. זילביגר דיבר בכנס Infosec 09 שנערך היום (ה') במרכז הכנסים אבניו, בהפקת אנשים ומחשבים. בכנס, המתקיים זו השנה השמינית ברציפות, השתתפו מאות מקצועני אבטחת מידע, והדובר המרכזי בו היה תת-ניצב ניר מריאש, ראש המינהל הטכנולוגי של משטרת ישראל.
זילביגר תיאר בכנס את חשיבותו של ניהול הסיכונים. הוא אמר, כי המטרה היא "לראות את התהליכים העסקיים, לבחון על אילו תשתיות כל אחד מהם 'רוכב', למפות אותם ולקשר אליהם את מרכז ניהול סיכוני האבטחה הארגוני".
לדברי זילביגר, מרכז ה-SOC עוסק, בין השאר, בחיזוי אירועי אבטחה עתידיים ובמניעתם באופן פרו-אקטיבי, תוך הסתמכות על אירועי אבטחה מהעבר. הוא תיאר את תהליך הניהול של אירוע אבטחת מידע, דוגמת ניסיון למשיכה לא חוקית של כסף מכספומט. לדברי זילביגר, זה כולל כמה פעולות: מיקוד בתהליכים עסקיים עיקריים, זיהוי סיכונים בתהליך, בחינת תשתית ה-IT התומכת בהם, חיווי, זיהוי התממשות הסיכון ויצירת תגובה מבוססת IT. "ניהול הסיכונים משמעו התמקדות בהיבטים העסקיים של הארגון", סיכם.
גלעד ירון, סמנכ"ל השירותים העסקיים של SECOZ, סקר את ממצאיו העיקריים של סקר אבטחת המידע השנתי והתייחס לכך ש-75% ממנהלי אבטחת המידע בארגונים חושבים שכמות האיומים השנה גדלה. "החדשות הטובות הן שהמודעות של הנהלות ארגונים לנושא האבטחה גדלה", אמר. "החדשות הרעות הן שבשל המצב הכלכלי, ההשקעה בתקציבי האבטחה לא גדלה". ירון סיים בציינו, כי למרות החשיבות של שימוש בכלי אבטחה מבוססי קוד פתוח, הטמעתם בשטח היא ברמה נמוכה ביותר.
אורית צ'יטונה, מנהלת מכירות בסייפנט, פתחה את דבריה בהסבר על משמעות הרכישה של אלאדין על ידי החברה. היא אמרה, כי "למרות הרכישה, אלאדין תמשיך להתקיים, המוצרים שלה ימשיכו להתפתח ובכוונתנו להמשיך בהשקה של גרסאות של מוצרינו במועד קרוב. יש לאלאדין 25,000 לקוחות".
קיין הארדי, מנהל מכירות אזורי בסייפנט, אמר, כי החברה היא מהמובילות בעולם אבטחת המידע. "אנו מגנים על מידע ארגוני, ויש לנו את הטכנולוגיות הטובות ביותר לכך", אמר. לדברי הארדי, "לכל אחת מהחברות סייפנט ולאלאדין יש כ-20 שנות ניסיון בתחום אבטחת המידע. יש לנו מורשת ארוכה, לצד פתרונות לתחום".
אשר גניחובסקי, מהנדס מערכות בכיר בסימנטק ישראל, דיבר על הצורך בתיעוד האופן שבו אוחזר המידע, על מנת ש-"תוכל לדעת מחר מה עשה המידע שלך אתמול". הוא הציג את היכולות של סימנטק בתחום, לרבות היכולת לניהול אירועי אבטחת מידע וניהול עדויות לטיפול במידע. לדבריו, יש צורך באבטחת מידע מקצה לקצה. מוטי שגיא, יועץ בכיר לאבטחת מידע ב-013-נטוויז'ן, דיבר על התפתחות הנוזקות במהלך השנים ואמר, כי הן הפכו למתוחכמות וגרועות יותר. הוא גם תיאר איך הפך הפשע הקיברנטי לכזה המונע ממניעים כלכליים ואת הפתרונות שהחברה מציעה בתחום אבטחת המידע.
ג'רי לודמיר מכלקום יתרונות תוכנה הציג מערכת לניהול הקשחות ואכיפת המדיניות הארגונית. הוא אמר, כי המטרה של המערכת היא עמידה ברגולציה וביצוע ההקשחה ללא פגיעה ומניעת השירות. לודמיר הסביר, כי הכלים שהמערכת כוללת מאפשרים את ייעול העבודה השוטפת בניהול אבטחת המידע. דורי פישר, מנהל טכנולוגי לתחום אבטחת מידע ב-We!, הציג את תחום חקירות המחשב וההיבטים הטכנולוגיים הכרוכים בו. צחי זורנשיין מ-מק'אפי ישראל דיבר על ניהול יישומים וניטור שלהם, והציג את הפתרונות שהחברה מציעה בתחום.
המליאה המרכזית של Infosec 09 הסתיימה בפנל מנהלי אבטחה, בהנחיית זילביגר. יובל אילוז, מנהל אבטחת מידע ב-ECI, אמר בפנל, כי "אנו חווים יום-יום את הצורך בפתיחת השירותים והמערכות עבור גורמים חיצוניים, מה שמביא להרהור בדבר הצורך לבחון מחדש את מודל ה-DMZ, כי הוא מביא להנחת פיירוול על פיירוול". זילביגר אמר, כי "צריך להיות יצירתיים על מנת לתת לביזנס לעבוד. על אבטחת המידע להיות בהיבט העסקי".
דוד בלדר, מנמ"ר טלמפ, אמר, כי המשבר הכלכלי הביא לחברות הקטנות הזדמנות, "משום ש-ISO מאשר לך לבנות את ארגון ה-IT שלך בצורה מתודולוגית, מסודרת ועם יכולת גידול". לדבריו, תהליך שכזה אינו קל, אלא ש-"בסופו של דבר, מדובר בהזדמנות עסקית, כמו גם בתועלות בהעלאת רמת אבטחת המידע".
שמוליק רוטשס, מנהל אבטחת מידע ב-יס, תיאר כיצד החברה עובדת באופן מבוזר: "אצלנו, הטכנאים מחוברים למסופונים. ללא מערכת זו אין להם דרך לתפקד". הוא דיבר על הצורך לאבטח את הגישה של מערכות המידע לספקים ולקבלנים חיצוניים – דבר הנעשה על ידי יצירת "מערכות מסורסות", המיועדות רק עבורם. רוטשס הדגיש בדבריו את הצורך של מנהלי האבטחה לשווק את עצמם.
ליאור אילן, מנהל אבטחת מידע במשרד הבריאות, אמר, כי הרצון של עובדים להתחבר למערכות מהבית ולעבוד ממחשבים ומרכיבים ניידים מקשה על אבטחת המערכות. "אנו בבעיה", ציין. "בעבר, היינו מתחברים בצורה המסורתית, והמצב הנוכחי אינו מספיק לעובדים במגזר הממשלתי".
עצמון מינס, יועץ מיחשוב בכיר, אמר שיש בשינויים הרבים שקורים, הן בהיבט המדיני והן הכלכלי, לצד הסיכונים שגלומים בהם, מוטיב של הזדמנות. לדבריו, מצב זה יכול לשפר את מעמד מנהלי אבטחת המידע בארגונים ולתרום לגידול ברמת אבטחת המידע בהם. "בשעה הזו, CISO צריך להגדיל את רמת ההדרכה וההסברה", סיים.
אביאת בר-סימון, מנהלת אבטחת מידע בקבוצת שטראוס, אמרה שהחברה הופכת להיות יותר ויותר גלובלית, מה שפותח אותה רוחבית לפתרונות ומביא לצורך למצוא פתרונות אבטחה עם התאמה לחוץ לארץ. היא תיארה את הצורך של שטראוס לערוך תעדוף סיכונים, בשל מגבלות התקציב העומדות בפניה.
לאחר הפנל, פוצל הכנס לשני מסלולים: מסלול אבטחת מידע מנהלים ומסלול אבטחת מידע – IT.
תגובות
(0)