עידו גנור, IPVSecurity: "אתגרי המנמ"ר – תקצוב אבטחת מידע והגנת סייבר, תעדוף ובקרה שוטפת"

כתב: הילל יוסף

"האתגר העומד היום בפני המנמ"רים ומנהלי אבטחת המידע בארגונים, הוא כיצד לתקצב נכון ולתעדף את כל תחום אבטחת המידע והגנת הסייבר והבקרה", כך אמר בראיון מיוחד לאנשים ומחשבים עידו גנור, מנכ"ל ומייסד IPVSecurity.

גנור התראיין לקראת כנס לקוחות שעורכת IPVSecurity. הכנס ייערך ביום ב' ה-20 ביולי, במסלול האקדמי, המכללה למנהל, ראשון לציון. הכנס יעמוד בסימן עשור להקמת החברה.

IPVSecurity היא חברת ייעוץ העוסקת בהנחיות ובקרות בעולם אבטחת המידע, ובסיוע להלימה לרגולציות השונות. מקצועני אבטחת המידע של החברה משמשים כמנהלי אבטחת מידע בארגונים רבים במשק ובמגוון מגזרים – ציבורי, תעשייתי, ופרטי. גנור, שהוא יועץ אבטחת מידע בכיר, ואנשיו משמשים כ-CSO as a Service בכמה ארגונים ישראליים בינלאומיים.

"פיתחנו מתודולוגיה איך לתעדף את המשאבים המוקצים לתחום אבטחת המידע", אמר גנור, "ומנגד, פיתחנו מתודולוגיה איך לערוך בקרה על התעדוף ועל מצב אבטחת המידע של הארגון".

"אנו מגיעים לארגון עם מערך רחב של שאלות, בדיקות ומבדקים טכנולוגיים, ויודעים תוך זמן קצר לזהות את מצב הארגון ומעגלי אבטחת המידע הקיימים", תיאר גנור. "על בסיס זה אנו עורכים מיפוי פערים – בין הרצוי למצוי. בשלב שני, אנו מנתחים את הנתונים שנאספו, משלבים את הניסיון המצטבר שלנו, את ההיכרות עם האיומים הרלוונטיים למגזר התעשייה אליו משתייך הארגון וכן נתונים שאספנו בשטח". על בסיס זה, ציין גנור, "אנו בונים תכנית עבודה מסודרת לאבטחת המידע בלקוח הארגוני. השלב הרביעי הוא ללוות את הארגון בייעוץ ובקרה ולוודא כי התכנית מיושמת בהתאמה".

לדברי גנור, "ארגונים בישראל לא מנצלים באופן הנכון והמיטבי את תקציבי אבטחת המידע המוקצים להם – שממילא הם אינם גבוהים". הסיבה לכך, הסביר, "היא שמנמ"רים ומנהלי אבטחת מידע לא באמת יודעים לפרט את סטטוס אבטחת המידע ואת הצרכים, ולהצביע על נקודות התורפה שלהם". הוא הוסיף כי, "במקום להביט על כל מערך המחשוב והמצב של הארגון, הם נגררים אחרי פרויקטי אבטחה נקודתיים. על מנת לקבל החלטות נבונות נדרשת תמונת מצב טובה של סטטוס הארגון, בדיוק כמו שההאקרים מתחילים את העבודה שלהם בפעולה שנקראת Reconnaissance – איסוף מידע מודיעיני ולימוד השטח.  המנמ"ר או מנהל אבטחת המידע צריכים ללמוד מה קורה בשטח, ברשת, בחשיפות שלהם. אם הם לא יידעו את כל זה, בהכרח רמת ההגנה שלהם תהיה פחותה".

לכל ארגון, אמר גנור, "נדרשת גישה מערכתית ויסודית כוללנית (Holistic), אשר יוצאת מנקודת הנחה שקצב האיומים מהיר בהרבה מקצב הפתרונות, ושכמות המידע שאנחנו יודעים קטנה בהרבה מהמידע שאנחנו לא יודעים. לכך יש להוסיף את העובדה שכל מערכת ניתנת לפריצה, וזה רק עניין של זמן ומשאבים שיושקעו בתהליך עד שהיא תיפרץ".

"מדובר במלחמה א-סימטרית", אמר, "כיוון שרוב המותקפים אפילו לא מודעים שהם במלחמה. זהות התוקפים אינה ידועה, עיתוי ואופן התקיפה אינו ידוע ואף מיקום התקיפה משתנה ודינמי בהתאם לרצון התוקף. מה שאני טוען הוא שהפתרונות הקונבנציונליים כבר לא עובדים. מוכרים הרבה פתרונות אבטחת מידע אבל מרבית הפתרונות הינם למלחמה הקודמת ולא למלחמה הנוכחית, ובוודאי שלא למלחמה העתידית".

מתודולוגיה להבנת המצב בארגון

"המתודולוגיה שפיתחנו", ציין גנור, "היא גם להבנת המצב מצד אחד וגם לבקרות השוטפות מצד שני. המתודולוגיה משלבת את תפיסת ה-Defense in Depth , שמקורה בצבא האמריקני. היא פשוטה במהותה, אולם עם זאת היישום שלה בארגון אינו טריוויאלי כלל ודורש השקעת זמן, משאבים, והבנת חשיבות הנושא. לצערי, למרות שהנושא נמצא כבר במודעות בקרב מרבית הארגונים, רבים מחפשים איך להקטין ולחסוך עלויות, ולאו דווקא במידה התואמת את הסיכונים".

"במסגרת הכנס שאנו עורכים", סיכם גנור, "נכריז על אוסף בקרות שאותו נציע כשירותים לארגונים. כך הם יוכלו לקבל תמונת מצב שוטפת על מצב אבטחת המידע בארגון".

להרשמה לאירוע לחצו כאן.