10
פבר
09

שיווק אבטחת מידע

אם אתם מנהלי אבטחת מידע, או בתפקיד אחר עם נגיעה באבטחת מידע, כמה פעמים שמעתם משפטים מהסוג הבא?

  • אבטחת מידע זה גורם מעכב.

  • אבטחת מידע עולה הרבה כסף לארגון.

  • "לא", "אי אפשר", "לא מאושר" אלה הביטויים היחידים של אבטחת מידע.

  • אני משתגע מאבטחת מידע, לא נותנים לעבוד.

הסיבה לכל זה היא שאנחנו עובדים בתפקיד כמעט בלתי אפשרי. מצד אחד חייבים להגן על נכסי המידע של החברה והלקוחות, מצד שני יש ביזנס שאסור לפגוע בו.

הסיבה העיקרית, לדעתי, לתפיסה השלילית של גוף אבטחת מידע בארגון היא שמרוב שאנחנו שקועים ביום-יום – בתכנון והטמעה של מנגנונים ובקרות של אבטחת מידע – אנחנו שוכחים פרט חשוב: כמו כל דבר, חשוב לשווק את אבטחת מידע בארגון.

כשם שאנשי הביזנס מוכרים להנהלה כמה פתיחת מערכת 'אבג' לאינטרנט תביא מכירות ושיפור שירות, יש מקום לשווק את אבטחת מידע בצורה דומה. אז הנה כמה רעיונות לשיפור התדמית של אבטחת מידע.

  1. אירועי אבטחת מידע: תארזו בעטיפה יפה את האירועים שאתם עולים עליהם. למשל, תפסתם זליגת מספרי כרטיסי אשראי או מסמכים רגישים ע"י מערכת מניעת זליגת מידע (DLP).
    אם אתם ארגון מספיק גדול ויוצא לכם לעלות על כמה אירועים בחודש, דרגו אותם ברמות חומרה שונות, צרו גרפים יפים של כמות האירועים בכל חודש מהשנה האחרונה. אתם יכולים גם להעריך את הנזק שנחסך לארגון אם חסמתם את המעשה האסור או תפסתם זמן קצר את המבצע לאחר ביצוע האירוע. לאחר אריזת האירוע במסמך (חודשי) יפה, תעבירו להנהלה או למנהל המתאים. לא תאמינו כמה שיתוף פעולה והערכה תקבלו גם ממנהלים שאינם טכנולוגיים כשיראו את העטיפה השיווקית.

  2. אל תגידו "לא" מיד: חקרו יותר לעומק את הצורך העסקי, תתפרו מנגנונים מאובטחים ובקרות מפצות ותציגו בסוף הפרויקט את התרומה של אבטחת המידע לאפשרות לסיים את הפרויקט ללא חסימתו עוד בחיתוליו. ברור שלא תמיד זה אפשרי, אבל ישנן בקשות שבעבר לא היו מאושרות וכיום ניתן לאשרן לאחר תפירת פתרון אבטחה מתאים. תשדרו שהגישה כיום הינה לנסות לתפור פתרונות במקום להגיד לא. "לא" נשאר כמפלט אחרון – ובמקרים כאלה אנשי הביזנס מבינים אתכם טוב יותר.

  3. תירמו לשיפור השירות: אם אתם חלק מתהליך אישור הרשאות למערכות, הרי שאתם יודעים כמה תהליך כזה כואב בארגונים גדולים. כ-ו-ל-ם מתלוננים כמה זמן לוקח לפתוח הרשאות. במקום לומר "אין ברירה", תבצעו בעצמכם ניתוח תהליך הרשאות ותראו כיצד ניתן לשפרו. אולי טפסים ברורים יותר, אולי מחשוב חלק מהתהליך, אולי הטמעת מערכת IDM. חפשו תהליכים אחרים שיש לכם נגיעה אליהם וחשבו כיצד לשפר.

  4. תנו למערכות שלכם לעזור לאפליקציות: לפעמים, אנשי הפיתוח נדרשים להוסיף יכולות לאפליקציה כגון לוגים, או לחקור DB Links בין בסיסי נתונים. מערכות אבטחת מידע (כגון Database Firewall, SIEM) יכולות לעזור ולזרז את התהליך. אנשי האפליקציות יודו לכם. רק תדאגו שהתודה שלהם מגיעה גם למנמ"ר.

  5. 'תתערבבו' עם מנהלים עסקיים: במקום להיות נגדם, צרו יחסי עבודה טובים איתם. תזינו אותם כל הזמן בבעיות ולבטים שלכם. קשה לקלוט כמה שזה שם אותם בצד שלכם עד שאתם משתפים אותם. לא מעט מנהלים מגיעים אלי היום עם רעיונות לבעיות שהצגתי להם בתהליכים שלהם. הם גם יוזמים מהלכים לשיפור אבטחת המידע בתהליכים העסקיים שלהם באופן יזום. במקום לומר להם "לא, אני משתף אותם בבעיה ולפעמים מבקש מהם לחשוב על פתרונות.

  6. תובילו: אל תהיו מובלים ע"י אחרים. אל תחכו למנתחי מערכות ואנשי פיתוח לאפיין פתרון/מערכת שאינו מאובטח/ת. תהיו מעורבים עם הלקוח (המשתמש) מההתחלה ותעזרו לו להבין את מגבלות אבטחת המידע של הבקשות שלו. לאחר שהוא יבין, הוא זה שיאמר למנתח המערכות שהפתרון שהוא מאפיין בעייתי שכן זה עשוי לחשוף את המערכת באופן כזה או אחר.

מודעות פרסומת

3 Responses to “שיווק אבטחת מידע”


  1. 10/02/2009 ב- 21:33

    הייתי מוסיף לעניין משהו קצת אחר – היו מנהלים בארגון שלכם. מטרות הארגון הן המטרות שלכם, לא רק אבטחת המידע של הארגון.

    כאשר אני רואה במטרות העסקיות של הארגון מטרות שלי, אני מחפש איך לקדם את עסקי הארגון ועצירת עסקים אינה באה בחשבון מבחינתי.

  2. 10/02/2009 ב- 23:52

    בצד של העובדים "מהשורה" – כלל ברזל הוא לא להפתיע אותם. זה נכון בוודאי לסיסטם/תמיכה טכנית, אבל כדאי לאמץ זאת גם לאבט"מ.
    מדהים בכל פעם מחדש כמה שינוי הכי קטן (אייקון חדש, אייקון שנעלם, שינוי צבע רקע וכדומה) גורם להמון שיחות תמיכה ומרמור אצל העובדים – שמעבר להטרדת ה-HELP DESK גם עולה למעלה, הן במחלקות השונות והן למנמ"ר, וזה יכול לעכב או אף למנוע כליל פריסה של מערכת אבט"מ.
    לבצע קודם פיילוטים בתוך IT, להשתפשף שם, ללמוד, לתקן ולשפר, ורק אז לפרוס למחלקות לא-קריטיות ומשם הלאה לאט ובזהירות, כולל תכנית ROLE BACK במידת הצורך.
    לפני כל פריסה – ליידע את העובדים אודות השינוי, מטרתו וכיצד הוא ישפיע על העבודה שלהם, כולל צילומי מסך רלוונטים. להכין אותם נפשית. נכון, יהיו בשיטה זו תלונות, כי תמיד יש, כי אנשים לא אוהבים שינויים, אבל הרבה פחות מאשר אם תנסו "להגניב" מערכת ותקבלו בומרנג עצבני חזרה.

  3. 3 ניב
    11/02/2009 ב- 9:49

    ישי – זה משפט מנצח. מסכים בהחלט. הבעיה היא שעדיין, למרות שהעסק השתפר מאד, עדיין יש מנהלי אבטחת מידע שהם מבית שמאי ואינם מבינים את ההגיון הפשוט שבתפקידם.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


פברואר 2009
א ב ג ד ה ו ש
« ינו   מרץ »
1234567
891011121314
15161718192021
22232425262728

%d בלוגרים אהבו את זה: