העידן החדש של אבטחת המידע

הטענה לפיה אבטחת מידע אינה רק עניין של טכנולוגיה, מושמעת כבר מהיום הראשון בו פרץ התחום לעולם. אולם, ההתחרשויות שאירעו בשנים האחרונות בעולם אבטחת המידע, יצרו מציאות חדשה בתחום עבור רשתות ארגוניות. איומים שבעבר נחשבו לשוליים, תופסים היום מקום מרכזי בסדר היום של כל מנהל אבטחה בארגון. כיום, כאשר מדברים על אבטחת מידע, הכוונה היא בעיקר לאיום אחד מרכזי: התקפות סייבר.

עם זאת, גם כאן לא מדובר בחידוש טכנולוגי, שכן ניסיונות תקיפה של רשתות ארגוניות וחדירה למאגרי מידע רגישים, היו מאז ומעולם חלק ממפת האיומים שכל מנהל אבטחת מידע התמודד עמם. מה שהשתנה הם האובייקטים שעליהם יש להגן. אם בעבר עיקר החשש היה מפני פריצה לשרתים ולמערכות המידע הארגוניות, הרי שכיום מנהל האבטחה צריך להגן על שורה של רכיבים, כלים וממשקים שכלל לא נמצאים פיזית בארגון – אלא על גופם של העובדים והמנהלים.

בכנס Pulse 2012 שערכה יבמ (IBM) בלאס וגאס, אמרה כריס לאבג'וי – סגנית נשיא ומנהלת תחום ניהול סיכונים, הלימה לרגולציות ואסטרטגיית אבטחה בחטיבת האבטחה של יבמ, כי ריבוי הרשתות ומכשירי הקצה יצרו מספר אסטרונומי של נקודות תורפה, שמנהלי מערכות המידע צריכים להתמודד איתם. גם כאן לאבג'וי לא חידשה דבר, אבל היא כיוונה את הזרקור לתופעה שהולכת ומתרחבת במרבית הארגונים, ולא בטוח שכרגע יש לה מענה. עם כל כך הרבה רכיבי תקשורת, שרתים וכלים שעומדים לרשותו של כל עובד IT כיום, לא יהיה זה ריאלי לצפות שאכן אפשר יהיה להעמיד "שומר" על כל נקודה ונקודה. הרי גם לפני עידן המובייל לא העמידו חומות אש ליד כל עמדת PC של כל עובד. שיטת ההגנה היתה מרחבית, בצורת שכבות, והיא נשענה על אלמנטים דומיננטיים של נהלים, כללים, הסברה ותהליכי עבודה. במילים אחרות: תרבות ארגונית.

במציאות ההיא, למנהל אבטחת המידע היתה שליטה גדולה יותר על העובדים שלו. זאת, מאחר שהם עבדו במתחם אחד או כחלק מקמפוס מוגדר. מלאכת האכיפה היתה ברורה יותר, ועבירות של אבטחת מידע נחשבו לקשות וחמורות. כעת, כאשר הגבולות הווירטואליים נפרצו, והענן הוא תווך התקשורת וגם השרתים שלנו, היכולת לאכוף תרבות ארגונית היא קשה, אם כי לא בלתי אפשרית.

אפשר להגיד שאנו חיים בוואקום, שבו ארגונים ממשיכים ליישם תפיסת אבטחה שנכונה למלחמה של אתמול, ללא היערכות מספקת למלחמה של היום או המחר. זו המציאות עבור הגנה פנימית למניעת הונאות וגניבות, וגם לגבי היערכות למתקפות סייבר. זהו השלב שבו הנהלות ארגונים, מועצות מנהלים ובעלי מניות חייבים להתעשת ולהטיל על המנהלים הבכירים  את האחריות לגיבוש תפיסת ניהול מערך אבטחה חדש. אלו צריכים לעבוד בצמוד למנהל אבטחת המידע והמנמ"ר, ולנסח מחדש את התרבות הארגונית הקשורה במידע, בתקשורת בין עובדים ובכללי הזהירות.

זוהי האסטרטגיה החדשה של עולם אבטחת המידע לפיה יש לפעול, על מנת שארגונים יהיו ערוכים לאיומים הקיימים, דוגמת מתקפות הסייבר. זה לא ייקח יום ואפילו לא חודש, אבל חייבים להתחיל מיד. זאת, על מנת שנהיה מוכנים בזמן וכנדרש למלחמת הסייבר המתקרבת לאזורנו. בסופו של יום, ועדות החקירה או ביקורות הרגולטור לא יקבלו שום תירוץ מאלו שיצטרכו לתת את הדין, כי כפי שנהוג לומר: הכתובת כבר מזמן על הקיר.