ברוך גינדין, גרטנר: "למרות המיתון, אחוז תקציבי האבטחה מכלל תקציבי ה-IT לא נפגע"

"המשבר הכלכלי העולמי הביא לצמצום תקציבים של ארגונים, אולם למרות זאת, באופן יחסי תקציבי ה-IT לא ניזוקו, ובתוכם גם תקציבי האבטחה", כך אמר ברוך גינדין, מנכ"ל גרטנר (Gartner) המזה"ת. גינדין דיבר בפתיחת כנס אבטחת המידע השנתי, InfoSec 2010, הנערך זו הפעם העשירית ברציפות. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ב') במרכז הכנסים אבניו בקריית שדה התעופה, בהשתתפות מאות מנהלי אבטחת מידע ומקצוענים בתחום. את הכנס הנחו אופיר זילביגר, מנכ"ל SECOZ, ויהודה קונפורטס, העורך הראשי של קבוצת אנשים ומחשבים.

לדברי גינדין, עד לפני ארבע שנים אבטחת המידע היתה במקום הראשון בסדרי העדיפויות של מנהלים בארגונים; אולם כיום, הווירטואליזציה מצויה במקום הראשון, הענן במקום השני, חידוש מערכות מדורג בעדיפות השלישית, פתרונות לעולם הנייד במקום הרביעי, ולאחריהם רשתות תקשורת וקול, BI, ווב 2.0 ומדיה חדשה.

צילום ועריכת וידיאו: עדי רמלר

"עם הזמן האבטחה הפכה למוצר צריכה", אמר גינדין, "ויש לה פתרונות ומוצרים כמו התקני תוכנה וחומרה אחרים". לדבריו, למרות הירידה בחשיבות התחום, הרי שעולם אבטחת המידע לא נפגע בהיבט התקציבי. במגזרים עם תקציבי ה-IT הגבוהים  ביותר – בנקאות טלקום וממשל, עמד תקציב ה-IT בממוצע על כ-6%. מתוכו, למרות המיתון, תקציב אבטחת המידע נשאר כ-4% ולא ניזוק גם בשנה שעברה.

גינדין ציין, כי המיתון עולמי הניע ארגונים ליישם פרויקטי וירטואליזציה ולהכין תשתיות למיחשוב ענן. לדבריו, "הענן כבר כאן ואינו עוד בגדר באזוורד. יש כבר ספקי מיחשוב ענן, או ארגונים המספקים שירותים על גביו". לסיום דבריו אמר גינדין, כי יש להתייחס לתפישת אבטחת המידע ולמימושה בארגון באותו אופן בו הגוף מחסן את עצמו מפני חיידקים. "בלא תמיכה של הנהלות לא יוכלו אנשי המיחשוב והאבטחה להזיז דברים", סיכם.

שי צלל-יכין, CTO קומסק, אמר, כי נושא אבטחת כרטיסי האשראי תפס מקום חשוב מאוד בסדר היום של אבטחת המידע בשנים האחרונות. זאת, הסביר, בעקבות פריצות בהיקף רחב למדי, שהסתיימו בגניבת מידע של כרטיסי אשראי וגרמו נזק רב לאנשים רבים. לכן, ציין, חברות האשראי הגדולות בעולם יזמו תקן בינלאומי שנקרא PCI DSS, "המיועד לכל גוף המעביר, מעבד או שומר נתוני כרטיסי אשראי. מי שאינו פועל על פי התקן עלול לעמוד בפני סנקציות כגון הסרת ביטוח, איסור קבלת תשלום באמצעות כרטיסי אשראי, ועוד". הוא ציין, כי חברות כרטיסי האשראי המקומיות פועלות לאכיפת התקן גם בארץ, וסיים באומרו, כי "קומסק מייעצת כבר כמה שנים ליישום התקן, והיתה הגוף הראשון בארץ המסמיך לתקן PCI. כמו כן, מבצעת החברה פרויקטים בתחום זה גם בחו"ל. ב-2009 היתה התקדמות ניכרת ביישומו של התקן. השלמת אכיפתו ויישומו היא אחד האתגרים המרכזיים בעולם אבטחת המידע בישראל בשנה זו".

רוני מיכאל, שותפה ב-KPMG סומך חייקין ומנהלת שירותי הייעוץ לאבטחת מידע בחברה, דיברה על "שמירת הפרטיות בעידן מיחשוב הענן". האתגרים העסקיים, אמרה, מקבלים משנה תוקף בעולם הענן, כשנדרשת התמודדות עם ביזור הטיפול במידע בכלל, ובמידע רגיש בפרט. היא ציטטה סקר שנערך השנה על ידי מחלקת המחקר של KPMG העולמית, ממנו עלה שנושא הפרטיות ואבטחת המידע הינו המשמעותי ביותר בהטמעת ענן בארגונים. סומך חייקין מציעה פתרון על בסיס תפיסת ה-UCA (ר"ת Unified Compliance Approach), אמרה. "מדובר בתהליך מקיף ואינטגרטיבי אחד, המאפשר לארגונים לעקוב אחר מספר מרובה של מחשבים ושרתים ללא מגבלה גיאוגרפית, ולהתמודד באופן יעיל וכלכלי עם האתגרים הקיימים".

גיורא שקד, מנכ"ל ג'טרו, מקבוצת רדט, הציג את מערכת Jetro COCKPIT4, להפצה וניהול מרכזיים של יישומים. לדבריו, מדובר במערכת לניהול ואבטחת מיחשוב מבוסס שרתים (SBC). גרסה זו, הסביר, מאפשרת ניהול ובקרה מרכזיים של מערכת IT  מבוססת אתרים מבוזרים, חלקם פנימיים וחלקם חיצוניים, כולל גישה מבחוץ פנימה וגישה לאינטרנט מהרשת החוצה. בנוסף, היא מאפשרת לארגונים לממש מיחשוב ענן באופן עצמאי, תוך התממשקות לרכיבי החומרה והתוכנה המקובלים בשוק הארגוני. לאחר מכן הציג שקד את שיתוף הפעולה עם VMware לתמיכה ב-VDI, שלדבריו מספק יכולת לגלישה וירטואלית מאובטחת.

אבי ויסמן, מנכ"ל שיא סקיוריטי, דיבר על המקצועות השונים הקיימים בעולם אבטחת המידע ועל הצורך בהכשרות השונות לכל אחת מההתמחויות, לצד דרישות מקדמיות לנושאים הללו. הוא תיאר את מטריצת מקצועות אבטחת המידע מול עולמות הידע באבטחה. "על מנת להגן", סיכם וייסמן, "יש לדעת איך לתקוף".