29
דצמ
08

ניהול וטיפול בסיכוני אבטחת מידע

מנהל אבטחת מידע בארגון, נדרש לטפל בנושאים ובליקויי אבטחת מידע רבים. לפעמים מרגישים כמו הילד שמנסה לסתום את הסכר ההולנדי. אחת הדילמות הכי קשות נוגעת במה לטפל קודם. במה מטפלים באופן מיידי? מה נכנס לתוכנית עבודה של שנה הבאה? מה נדחה לעוד שנתיים-שלוש?

במציאות העסקית שבו ארגונים נלחמים בשיניים להביא הכנסות ולצמצם הוצאות, אבטחת מידע נתפס כמכשול וגורם מיותר. אחד האתגרים הגדולים של אבטחת מידע הוא בהתמודדות מול הנהלה ומנהלים בניסיון להטמיע תהליכים נכונים יותר ומנגנוני אבטחת מידע.

ישנן מספר דרכים להתמודד עם האתגר. אמנה כמה ששימשו אותי:

  1. מענה לרגולציה: ישנן רגולציות עולמיות ומקומיות שאי עמידה בהן עלולה להעמיד את הארגון בפני קנסות ו/או פקיעת רישיון עסקי. לרוב, הנהלה מאשרת פרויקטים הקשורים לרגולציה.
  2. ROI: זהו מושג שסבל מזילות בשנים האחרונות. חברות מוכרות מוצרים בטענה שיש להן ROI גבוה בעוד שהשירות שהמוצר נותן לא ניתן לכימות בכלל. למרות זאת, במקרים לא מעטים, ניתן להראות, על סמך הנחות כלליות, חיסכון מוערך לארגון.
  3. ניהול סיכונים: אבטחת מידע זה מדע איכותי (בניגוד לכמותי) של סיכונים. הרי לא ניתן להעריך נזק כספי מפריצה לבסיס נתונים וגניבת מידע או מפגיעה במוניטין של חברה. עם זאת, על סמך מדרג ציונים איכותי ניתן להעריך סיכונים של ליקויים שונים. על בסיס רמת הסיכון, ניתן להצדיק פרויקטים.
  4. תוכנית עבודה: חשוב מאוד לתכנן לטווח ארוך פרויקטים, להכניס אותם לתוכנית עבודה ולאחר שהתוכנית קיבלה אישור, צריך לקרות קטסטרופה בכדי שפרויקטים לא יתממשו. אם משלבים בתוכנית העבודה את שלוש הנקודות הראשונות, הסיכוי שהמשימות השונות והתקציבים הנדרשים, יאושרו.

כמובן שישנם ליקויים המצריכים טיפול שאינו מחייב רכש יקר או הקצאת משאבים רבים. במקרים כאלה, כדאי לעבוד עפ"י נקודה מספר 3 – ניהול סיכונים. להעריך את רמת הנזק ביחס למורכבות הטיפול הנדרש לטיפול בליקוי, ועל סמך זה לתעדף את הבעיות הקטנות שצצות מידי שבוע.

בהקשר לנושא הזה כדאי לערוך הערכת סיכונים, אבל על כך אפרט בפוסט נפרד.

מודעות פרסומת

3 Responses to “ניהול וטיפול בסיכוני אבטחת מידע”


  1. 29/12/2008 ב- 17:48

    אני רוצה לראות דוגמה ל-ROI (שאינה פרויקט IDM שתועלותיו כמו מערכות מידע אחרות ולא כמו מערכת אבטחת מידע).

  2. 29/12/2008 ב- 23:40

    כפי שציינתי, קשה להראות ROI כמותי. הנה דוגמא לפרויקט ששקלתי לרכוש עבורו מערכת: ניקוי וטיוב הרשאות במספר ממערכות. עבודה ידנית תצריך השקעה מתמשכת של כח אדם, בעוד שמערכת/תוכנה תחסוך בטווח הרחוק את כח האדם לצורך ניתוח ההרשאות. שלא לדבר על משך הזמן שתוכנה תחסוך להשלמת התהליך ולעובדה שאין גורם עייפות לתוכנה ומקדם הטעויות נמוך.
    כאן, ROI הוא לא רק חסכון בכסף, אלא גם במשך הזמן לסיום ובאיכות התוצר. המדד הוא יותר איכותי מכמותי (דולרים).
    במקרה הזה, לא ראיתי ROI מספק, אבל אם עלות התוכנה היתה נמוכה יותר, ייתכן והיה צידוק לרכוש אותה.

  3. 3 ניב
    30/12/2008 ב- 4:16

    מודל ה-ROI הקלאסי הוא בעייתי לא רק באבטחת מידע אלא לדעתי במערכות מידע באופן כללי.פעמים רבות מבטיחים לנו שמערכת X תחסוך זמן, כח אדם וכן הלאה, כאשר בפועל היא אולי משפרת את האיכות אבל דווקא דורשת עוד כח אדם לניהול, הטמעה וכיו"ב כאשר בשורה התחתונה קשה מאד להראות רווח אמיתי. מנמ"רים מוכווני כספים (בניגוד למנמ"רים מוכווני טכנולוגיה) וכן סמנכלי כספים לא משתכנעים כיום מטיעונים כגון "המערכת תחסוך 30 שעות עבודה בשבוע". במיוחד בישראל, בה אין כבוד לשעות העבודה של האדם (בניגוד למדינות רבות באירופה למשל) – משהו שלדעתי מושרש פה מהצבא, המודל לא מחזיק מים ובמיוחד בימי משבר כלכלי קשה מאד להצדיק מערכות ופרוייקטים.
    כאשר ספק טכנולוגיות או שירותים משתמש באחת משתי ההצדקות: ROI או מענה לרגולציה, אני מיד מתייחס אליו בחשדנות ולמוצר/שירות שהוא מציע בצורה סקפטית (עוד מפולניה וכו'…). מכיון שיש היום כל כך הרבה טכנולוגיות בארגון ובכלל, קשה מאד לשערך היכן עובר הקו הדק של ROI לעומת תקורה בלתי נחוצה. באבטחת מידע זה עוד יותר מובהק.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


דצמבר 2008
א ב ג ד ה ו ש
« נוב   ינו »
 123456
78910111213
14151617181920
21222324252627
28293031  

%d בלוגרים אהבו את זה: