אופיר זילביגר, SECOZ: "ארגונים שלא יחברו בין ניהול סיכונים ואבטחת מידע – לא יאריכו ימים"
"חיבור שכזה הוא מחויב המציאות, שכן רק כך ניתן לספק מענה טוב יותר אל מול האיומים העסקיים החשובים שבפניהם ניצבים ארגונים", אמר זילביגר ● לדבריו, "ניהול סיכונים בארגון הופך להיות יותר ויותר משמעותי, ומתחבר לאבטחת המידע; כיום זו המציאות, והרגולציה היא הדורשת את זה"
"המגמה החשובה כיום בעולם אבטחת המידע היא חיבור תחום ניהול הסיכונים לתחום האבטחה. חיבור שכזה הוא מחויב המציאות, שכן רק כך ניתן לספק מענה טוב יותר אל מול האיומים העסקיים החשובים שבפניהם ניצבים ארגונים", כך אמר אופיר זילביגר, מנכ"ל SECOZ.
זילביגר פתח את כנס אבטחת המידע השנתי InfoSec 2010, הנערך זו הפעם העשירית ברציפות. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ב') במרכז הכנסים אווניו בקריית שדה התעופה, בהשתתפות מאות מנהלי אבטחת מידע ומקצוענים בתחום. זילביגר אף הנחה את הכנס, ביחד עם יהודה קונפורטס, העורך הראשי של אנשים ומחשבים.
לדברי זילביגר, "ניהול סיכונים בארגון הופך להיות יותר ויותר משמעותי, ומתחבר לאבטחת המידע. כיום זו המציאות, והרגולציה היא הדורשת את זה".
הוא ציטט מחקרים שונים שמהם עולה, כי חל בארגונים ברחבי העולם גידול בתחום ניהול אירועי אבטחת המידע. "בשנתיים האחרונות אנחנו מבחינים בהשקעות רבות בתחום", אמר. "יש שינוי כיוון ומעבר מתחום ניטור לוגים לעבר מניעה של הונאות, חדירות וגניבת מידע".
"עולם אבטחת המידע התפתח", ציין. "בעבר הוא היה בהיבט פעילות טכנית של הגנה על תשתיות מיחשוב ותקשורת, ואילו כיום זו אבטחה שהיא פעילות עסקית, חיבור של ניטור אירועי האבטחה עם ניהול עסקים".
זילביגר אף הציג את המתודולוגיה לניתוח סיכוני המיחשוב, IT Road, שפותחה על ידי SECOZ. בבסיס מתודולוגיה זו עומד הצורך במימוש GRC (ר"ת של ממשל IT, רגולציות והלימה לנהלים וחוקים ותקנות). לדבריו, "הסיכונים כוללים כמה סוגים, וסיכוני ה-IT כבר אינם קשורים רק לסיכונים תפעוליים, אלא הם חלק מהסיכונים הכוללים בארגון". הוא ציין, כי "יש לבצע תהליך של ניתוח תסריטים העלולים להביא לנזק עסקי, שקלול שלהם, הערכה של הסיכוי להופעתם, ניתוח משולב של כלל המשתנים והשפעתם על התהליכים העסקיים השונים". כך, אמר, "ניתן לבצע בקרות לניהול הסיכונים העסקיים, ולקשר בין ניהול סיכונים לאבטחת מידע".
"יישום רגולציה – כלי מרכזי לבדיקת אבטחת מידע"
אייל וינדלר, מנהל תחום אבטחת מידע בקבוצת אמן, דיבר על מימוש מדיניות ההלימה לרגולציות. לדבריו, אחת הדרכים לבחינת מצב אבטחת המידע בארגונים היא יישום רגולציה, הבודקת עמידה בנהלים ובמדיניות שנקבעה על ידי הארגון או הרגולטור. הוא ציין, כי מדובר בכלי המרכזי לבדיקה של אנשי האבטחה לנושא, המשווה בין מצב הארגון בפועל לבין המדיניות הארגונית שהוחלט ליישם. וינדלר הציג את הכלי של סימנטק (Symantec) לתחום, Control Compliance Suite 10.0, שאותו החברה מטמיעה.
עודד צור, מנהל תחום אבטחת מידע ב-CA ישראל, סקר את עולם ניהול המשתמשים וההרשאות בארגונים. הוא הציג את הסיכונים הנובעים מגישה למידע ארגוני באופן בלתי מורשה והוסיף, כי על מנהלי האבטחה לגזור את המשמעויות הנובעות מהסיכונים הנובעים ממצב זה. לדבריו, הסיכונים השונים נובעים מכמה היבטים – אנשים, תהליכים וטכנולוגיה. צור אמר, כי אחד ההיבטים הוא העובדה שחסר ניהול לגבי ההרשאות השונות, וכך משתמשים בלתי מורשים יכולים להשיג מידע באמצעות הרשאות אמיתיות, שאינן של אותם משתמשים. הוא סיים את דבריו בהציגו את הפתרונות הקיימים בשוק של CA, כמענה להקטנת סיכונים אלה.
מוטי שגיא, CTO אבטחת מידע ב-013-נטוויז'ן, דיבר על השאלה "האם פרשת ענת קם יכולה להתרחש בארגון שלכם". לדבריו, בפרשה זו נחשף סוג של "בטן רכה" ביכולת של ארגונים לשמור על נכסי המידע שלהם. כך, אמר שגיא, העובד המסוכן בארגון הוא מנהל בסיסטם, שיש לו את כל ההרשאות. לכן, פגיעתו הפוטנציאלית רבה יותר מזו של המנכ"ל או של אשת משאבי האנוש. שגיא אמר, כי המענה לכך חייב להיות מקיף, ועליו לכלול פתרונות בכמה שכבות: ניהול ומודעות העובדים, ניהול הסיכונים, נהלי אבטחת מידע נאותים ונהלי אבטחה פיזית. לדבריו, לצד כל אלה יש לספק פתרונות טכנולוגיים שיכולים לצמצם את הפוטנציאל לקיומה של התופעה. הוא הציג את פתרונות צ'ק פוינט לתחום.
מרקו ביאנקי, מנהל מכירות אזורי ב-NetIQ, דיבר על הצורך לשפר את החזר ההשקעה על אבטחת מידע לצד החשיבות של ניהול ההלימה להנחיות ולרגולציות. הוא תיאר את הדילמות הקיימות בתחום, בהן החשיבות לוודא שכלי ופתרונות האבטחה השונים המוטמעים במערך המיחשוב בארגונים מנוהלים כיאות ומתואמים ביניהם. ביאנקי סיים בהציגו את מערך כלי האבטחה של החברה, הפועלת בתחום ההגנה על השרתים ותחנות הקצה. החברה מיוצגת בישראל על ידי כלכום.
תגובות
(0)