כאב הראש של מנהלי אבטחת המידע
הופעתו של ה-ווב 2.0 וחדירתו המסיבית לארגונים, שינו את תפקידם של המנמ"ר ומנהל אבטחת המידע בארגון ● חלום המערכות הסגורות, המשתמשים המנוהלים והרשת הבטוחה נגוז מזמן ● אז מה עושים? מתמקדים במדיניות
העשור הנוכחי יסומן בעתיד על ידי היסטוריונים כעשור שבו נפרצו לחלוטין הגבולות של הרשתות הארגוניות. זהו עשור בו כל חומות האבטחה הארגוניות – שמתנוססות לגובה של מגדלי צמרת – קורסות בזו אחר זו אל מול ים יישומי ה-ווב 2.0.
כך, גם תפקידם של המנמ"ר ומנהל אבטחת המידע בארגון השתנה. חלום המערכות הסגורות, המשתמשים המנוהלים והרשת הבטוחה נגוז מזמן. בתחילת העשור הקודם היתה עוד הפרדה כלשהי בין המיחשוב הארגוני לבין הרשת שבחוץ. ווב 2.0 נתפס אז כמשהו חדשני יחסית – מעורר דמיון. זכורים לכולנו הכנסים שבהם דנו בסוגיה שהלהיבה אז יועצים ומומחי אינטרנט – האם ווב 2.0 מתאים לארגון – ובמידה וכן, מתי הוא יחדור לארגונים.
יועצים ומומחים רבים מנו סיבות רבות מדוע ווב 2.0 חשוב ומועיל לארגון. רבים מהם כיתתו רגליים וייבשו את גרונם בהרצאות והדרכות ללא סוף, בהם ניסו לשכנע את המנמ"רים ש-ווב 2.0 אינו שייך רק לדור הצעיר. מנהלי האבטחה שהאזינו להם דחו אותם על הסף. הם סירבו להאמין. בפאנלים סוערים הם דחו את האפשרות שהעובדים שלהם יורידו יישומים ברשת הארגונית, יצפו בשידורי וידיאו או ייעזרו באתרים לשיתוף קבצים.
היועצים צדקו, כרגיל, בדיעבד. זה לא שהיו להם פתרונות קסם להגנה על הרשת הארגונית, אבל המקצוענים שבהם הזהירו כי לא לעולם חוסן. כיום, כל זה נראה כבר היסטוריה. מעטים הארגונים שלא פתחו את שעריהם ליישומי ווב 2.0. הדילמה העיקרית של מנהלי האבטחה נדחקה הצידה בגלל המציאות שטפחה על פניהם.
סקר שנערך עבור צ'ק פוינט (Check Point) מוכיח עד כמה כאב הראש של מנהלי האבטחה גדול ומטריד. הם לא מוטרדים מעצם היישומים, אלא משינוי הקונספט. הם עדים לכך שמרכז הכובד נע לכיוונם של המשתמשים. כל סטודנט מתחיל למחשבים יודע שאבטחת מידע אינה רק טכנולוגיה – ובמקרים מסוימים בכלל לא. אבטחת מידע היא מדיניות – קבוצת כללים שמכתיבים משטר עבודה ודפוסי התנהגות.
הנתון הכי מטריד – או לפחות הכי מעצבן – שעולה מהסקר, הוא שחלק גדול מהיישומים שהעובדים מורידים, לא ממש שייכים לעבודה שלהם. זוהי מציאות שמבשרת על תחילתו של כאוס מוחלט – וזה עוד לפני שדיברנו על הקושי להשתלט על המכשירים הניידים בארגון. כאן כבר לא מדובר רק ביישומי ווב תמימים, אלא בהוצאה החוצה של מידע קריטי המאוחסן בכיס של כל מנכ"ל. פעם, כשהעובדים היו עוזבים את המשרד בחמש בערב וסוגרים את המחשבים בדרכם החוצה, הם השאירו את המידע שם – בארגון. היום המידע הזה מסתובב איתם בכל העולם. לכן, אם תשמעו מנהל אבטחה אחד שיגיד לכם שהוא ישן טוב בלילה – אל תאמינו לו.
הפתרונות הטכנולוגיים כבר קיימים בשוק, אבל האימוץ שלהם איטי. צ'ק פוינט, שיזמה את הסקר, זיהתה את החור השחור הזה בארגונים ומציעה כלים שיגבירו את הבקרה על השימוש ביישומי ווב 2.0. אבל הבעיה אינה העדר המוצרים, אלא החוסר במודעות. חייבים לשנות את התפיסה. חשוב מאוד שתהיה חשיפה של ארגונים לעולם שבחוץ – אבל תחת שליטה ובתנאים ידועים מראש.
אין כאן משהו מיוחד. כל העת יוצאות טכנולוגיות חדשות, עם הרבה יכולות. אבל יש להן גם חסרונות ופרצות אבטחה. הפרצות הולכות ונסתמות ואש יש שוב טכנולוגיה חדשה. מאבק מתמיד בין המתקיפים למגינים.