מיכה וייס, המזרחי-טפחות: "מנהל האבטחה חייב להוביל את ניהול הסיכונים – כדי לשמור על עבודתו"

מנהלי אבטחת מידע נמדדים בעת משבר אבטחה. המשבר הוא לעולם בלתי צפוי, ולכן נדרשות פעולות הכנה מרובות על מנת להיערך אליו כיאות. המטרה היא להגן על הארגון בצורה המיטבית וגם, בבדיחות הדעת – או שלא – לשמור על מקום העבודה שלו". את הדברים הללו אמרו מיכה וייס, מנהל אבטחת מידע בבנק המזרחי-טפחות, ואמיר בן יוסף, יו"ר ו-CTO של MITsy. השניים הציגו את עמדתם על האופן שבו יש לבצע ניהול סיכונים במסגרת מסלול אבטחת מידע מנהלים, בכנס  Infosec 09 שנערך ביום ה' האחרון במרכז הכנסים אבניו, בהפקת אנשים ומחשבים. בכנס, הנערך זו השנה השמינית ברציפות, השתתפו מאות מקצועני אבטחת מידע.

לדברי וייס ובן יוסף, על כל מנהל אבטחת מידע לבצע הערכת סיכונים בארגונו, אחר כך להעריך את הסיכון ולשקול אותו למול העלויות הכרוכות בנטרולו, ואז להחליט איך ומה לעשות. הם ציינו, כי במסגרת יצירת תכנית גיבוי והמשכיות עסקית, יש לדאוג לשלב בתכנית את מנהל אבטחת המידע. "על כל ארגון לעשות DRP", אמרו, "גם ארגונים גדולים צריכים לעשות הערכת מצב ולבצע גיבויים, זה לא מהלך טריוויאלי". הם הביאו דוגמאות מארגונים שלא עשו זאת, והציגו את המחיר האיום שבעקבות כך – חוסר יכולת להתאושש במשך שבועות או אף חודשים.

וייס המליץ לשלב במסגרת טיפול האבטחה גם את נושא האבטחה הפיזית, לרבות טיפול בהיבטי מהימנות, מודעות, ביקורת, ושליטה כוללת על הרשת. בן יוסף סיים באומרו, כי על מנהל אבטחת המידע להוביל את תהליך האבטחה, תוך שהוא מערב את ההנהלה, וליצור תוכנית עבודה הכוללת תעדופים עם לוחות זמנים ומשאבים.

גיא רינת, סמנכ"ל פיתוח בסנטריגו, הציג את תחום ההגנה על בסיסי נתונים. לדבריו, סקר שנערך בקרב משתמשי אורקל, העלה שיותר משני שלישים מהארגונים לא מתקינים עדכוני אבטחה על בסיס הנתונים. הוא הסביר כיצד ניתן להקטין את הסיכון: לשדרג את בסיסי הנתונים, להתקין עדכוני אבטחה ולחפש באופן פעיל סיסמאות, להקשיח שרתים, לצמצם את שטח הפנים של בסיס הנתונים, להשתמש בהצפנה ובקידוד מאובטח, לתת מינימום הרשאות, ובקיצור – "לחשוב כמו פורץ".

יונתן סקלקר, מנהל מוצר בנגה קום, דיבר על סיווג מידע כבסיס לאבטחת מידע. הוא תיאר את הפרדוקס בכך שאנשי ה-IT הם העוסקים בסיווג הנתונים והמידע, בעוד שהם אינם מבינים את חשיבותו, והציג מוצר העונה לצורך זה.

דוד בלדר, מנהל מערכות מידע ותפעול בטלמפ, המספקת תוכנות ניווט לטלפונים סלולריים, תיאר את שכבות אבטחת המידע בחברה שבה הוא מועסק. הוא הציג פרויקט אבטחה שערכה טלמפ, בשל רצונה לעמוד בתקני אבטחה בינלאומיים. הסיבה לפרויקט, הסביר, היא המעבר מחברת סטראט-אפ לחברה המספקת שירותים לחברות טלקום עולמיות.

נועם לנדו, מנהל מכירות ב-eSafe אלאדין-סייפנט, הציג את מוצרה-eSafe SmartSuite, אשר לדבריו, "מספק מענה כולל לצרכי אבטחת האינטרנט והתקשורת בארגון, כמו גם הגנה על מידע ותשתיות ארגוניות מפני דליפות ושימוש בלתי ראוי". השקת המוצר תיעשה בעוד כמה שבועות, ולדבריו, "המוצר משלב יכולות הגנה ואבטחה עם כלים ניהוליים המבטיחים שקיפות ארגונית".

איתי ינובסקי, מנהל אבטחת מידע בצים, תיאר את אופן שבו מנהל אבטחה בוחר מוצרי אבטחה. ינובסקי הציג שיטה לתעדוף טכנולוגיות אבטחה, אשר כוללת הנגדה של סיכוני האבטחה הממופים אל מול הבקרות הרלוונטיות, ולאחר מכן מתן ערך של רלוונטיות ואפקטיביות לכל אחת מהבקרות. הרעיון במודל, סיכם, "הוא למדוד עד כמה בקרה מונעת סיכון בארגון, כמה היא רחבה ויעילה – ואז להחליט האם להטמיעה".

במסלול אבטחת המידע – IT, דורי פישר, מנהל טכנולוגי בחברת אבטחת המידע We!, הציג את התקן ה-ArcSight, כלי SIEM (ר.ת. (Security Information & Event Management שעבורו מהווה We! אינטגרטור מזה ארבע שנים. "מתוך הניסיון הרב שנצבר בפרויקטים של הטמעת ההתקן בארגונים גדולים ובינוניים – פיתחנו חבילת SIMsync אינטגראלית", אמר. "מדובר במערך אוטומטי ופלטפורמה לסינכרון התצורה, שמרחיבה את גבולות פתרון ה-SIEM".

פאבריציו קרוצ'ה, מנהל מכירות אזורי ב-WatchGuard, הציג את הדור הבא של מוצרי החברה. לדבריו, החברה הייתה הראשונה שפיתחה והציעה בשוק את ה-UTM, פתרון המשלב פיירוול,  VPN וחבילת שירותי אבטחה המאפשרים הגנה הדוקה יותר על הרשתות הארגוניות. קרוצ'ה הוסיף, כי בעוד שחברות מתחרות חסמו רק 50% מההתקפות ברמה 3-4, WatchGuard הצליחה להציג חסימה של 99% מההתקפות החל מרמה 3 ועד רמה 7.

האויב מבפנים

אלון גולדפיז, מנהל תחום אבטחת מידע בטלדור תקשורת, סיפר למשתתפים על "האויב מבפנים". לדבריו, כל עובד יכול כיום לפנות לאתר חברת LogMeIn ולהוריד משם תוכנת חינם המאפשרת גישה גמישה ומהירה מהבית לרשת הארגונית. "באחד הארגונים", סיפר, "עובד פנה למקבלי ההחלטות בארגון וביקש את אישורם לגשת לרשת החברה מהבית. לאחר שהמנהלים סירבו לבקשתו הוא גלש לאתר LogMeIn, הוריד למחשב הביתי שלו קליינט, וכך שוטט ברשת הארגונית. זאת, למרות כל מערכות האבטחה הארגוניות המשוכללות, ביניהן גם ה-UTM". גולדפיז הציג פתרון אבטחה של טלדור המאפשר לבצע הפרדה בין סביבות.

אופיר זילביגר, מנכ"ל SECOZ, הנחה פאנל שעסק בנושאים שמדירים שינה מאנשי האבטחה הארגוניים. ג'קי אלטל, יועץ לאקספרט סקיוריטי ו-SEE סקיוריטי, תיאר את סכנות האבטחה הטמונות בטכנולוגיית ה-VoIP בארגונים. לדבריו, תחזיות צופות, כי השימוש בטכנולוגיה בעולם צפוי לגדול בכ-75% בשנים הקרובות, "וכך גם בישראל. ארגונים צריכים להיות מודעים ליכולת לחדור בקלות לארגון דרך פורט ה-VoIP".

אסף קרן, ראש צוות אבטחת מידע בממשל זמין, סקר מספר איומים מתוחכמים ברשת. "עולם הפשיעה באינטרנט מגלגל כיום כ-3 מיליארד דולרים בשנה" אמר. "הכסף הוא רב והמוטיבציה של ה-'רעים' גבוהה". לדבריו, "בממשל זמין אנו מקפידים להתעדכן ולחקור איומים שונים ברשת. כך, אנו מנסים לזהות דפוסים שונים של פעולה". הוא סיכם בציינו, כי "לצערנו, בזמן האחרון אנו רואים התפתחות רצינית בתחכום של האיומים".

נמרוד לוריא, מרצה ויועץ בכיר לאבטחת מידע, סיפר למשתתפי המסלול על איומים מתחום הווירטואליזציה. לוריא סיפר, כי לצורך חקירת נושא אבטחת המידע בתחום הווירטואליזציה, הוא פרץ לאחרונה למכונה שנמצאת בתוך מערכת וירטואלית, ומתוך המכונה פנימה הוא ניסה לפרוץ החוצה. "גיליתי שישנם כמה וקטורים יעילים במיוחד של תקיפה", אמר לוריא ופירט אותם. בהמשך, הוא הדגים התקפה המכונה Smoke Screen, שיוצרת עיוורון זמני במערכת ה-IDS.

פבלו הורנשטיין, המנהל הטכנולוגי של סימנטק ישראל, הדגיש את הצורך בפתרון הוליסטי למידע הארגוני. "כל ארגון חייב לחפש ולדעת היכן נמצא המידע הרגיש שלו – אם במערכות אחסון, בבסיסי נתונים, במערכות הדואר וכדומה. אחרי שנסרק המערך כולו וזוהה המידע הרגיש, יש לפעול לניטור תעבורת המידע, דהיינו איזה שימוש נעשה במידע ולאן הוא זז בארגון". היבט חשוב נוסף, סיכם, הוא לפעול לחינוך העובדים לטיפול נכון במידע.

השתתף בהכנת הידיעה: רן מירון