ארכיון עבור אפריל, 2009

19
אפר
09

ביקורות אבטחת מידע ורואי חשבון

כבר זמן רב שאני מגלגל בדעתי האם לומר את הדברים הבאים. דברים לא קלים, שעשויים לעורר התנגדות חזקה. אני לא אוהב להעביר ביקורת מהסוג הזה. אבל זה מסוג הדברים שמנהלי אבטחת מידע ומנהלים אחרים בארגונים חייבים לקחת בחשבון.

ביקורת נפוצה בארגונים הינה ביקורת אבטחת מידע (להבדיל מסקרי סיכונים). ביקורות אלה אמורות לשקף את מצב אבטחת המידע להנהלה או אמורות לספק אישור חשבונאי של מאזנים. בארגונים רבים, עושים שימוש בביקורות אלה כמדד יחיד לרמת אבטחת המידע בארגון.

האבסורד הגדול הוא שמי שמבצע את רוב הביקורות האלה, אינו מבין אבטחת מידע ואף אינו מבין מערכות מידע. מדובר ברואי חשבון מהפירמות הגדולות. לוקחים רואי חשבון זוטרים (ואפילו כאלה עם ניסיון), נותנים להם תבנית מסמך (לרוב באקסל) ושולחים אותם לדרך. הם באים ושואלים שאלות מהאקסל לצורך כתיבת דוח עם ממצאים. הם גם שואלים שאלות מאוד כלליות בניסיון לחלוב מהמרואיין בעיות אבטחת המידע שהוא מודע להן.

כיוון שראיתי ועברתי ביקורות רבות כאלה, אני יכול לומר בבטחון שביקורות אלה לא שוות הרבה. עפ"י רמת השאלות ורמת הדוחות, ברור כי מדובר באנשים שחוטאים לאמת המקצועית שלהם. אני במקומם לא הייתי מתיימר להגיש תיעוד חתום על מצב אבטחת מידע של ארגון כאשר אני לא מבין מה אני שואל.

למה הדבר דומה? לקחתי באוניברסיטה קורס בחשבונאות (על באמת). אני יודע איך נראה מאזן ואיך נראה דוח רווח והפסד. אפילו למדתי שיטות פחת חשבונאי שונות. האם אני יכול לחתום על תקינות מאזן של ארגון לפני פרסומו לבורסה?

יטענו שחלק מהם קיבלו הסמכה של גופים שונים. אז מה? הם עדיין לא מבינים כלום. שתי דוגמאות לשאלות שנשאלתי בשנה האחרונה יבהירו הכל:

  1. האם עובדים מכבים מסכים בסוף יום עבודה? כמענה, שאלתי אם לא עדיף לכבות את המחשב. בתגובה הוא שאל האם יש בחברה נוהל כיבוי מחשבים בסוף יום עבודה (נוהל שהיה רלוונטי לפני 10 שנים והיום הוא פאסה). שאלתי בקנטרנות למה צריך כזה נוהל והמבקר ענה כדי שמישהו אחר לא יכנס לנתונים רגישים ברשת. ציינתי שמספיק לנעול את המסך והוא חשב על זה שתי דקות ולאחר שהוא הבין הוא אמר שזה מה שהיה רשום לו בתבנית.

  2. השאלה השניה היתה האם יש Firewall שדרכו מוודאים שרק משתמשים מורשים בארגון מקבלים הרשאות למערכות? כאילו דה – הרשאות למערכות דרך Firewall? דרך אגב, הממצא הזה היה רשום בטיוטת דוח שהועברה אלי בפרק על אופן ניהול ההרשאות למערכות בארגון. כך שהצלתי את הליצן לפני שהוא עשה מעצמו צחוק והגיש להנהלה את הממצא הזה.

ברור שישנם חריגים. אני מכיר כמה אנשי אבטחת מידע מאוד מקצועיים שבאו מתחום ראיית חשבון ומשפטים. אך אלה יוצאים מהכלל שאינם מעידים על הכלל.

המסקנה מכל זה היא שבעלי מקצוע צריכים להיות מבקרים של אותו תחום. פירמות רואי חשבון (שלרוב לא מעסיקים מקצוענים אמיתיים בתחום אבטחת מידע) צריכות להתעסק במאזנים ומיסים. עורכי דין יתעסקו ביעוץ משפטי. כל סוגיה שגובלת בנושא משפטי שעולה בארגון שלי, אני מפנה מיד ליועץ המשפטי. אני לא מתיימר לתת תשובה מוסמכת.

הבעיה היא שישנו ואקום גדול בתחום אבטחת מידע. אין גוף ממשלתי או אחר שמסמיך מנהלי אבטחת מידע ואנשי ביקורת בתחום אבטחת מידע (ואני לא מתכוון לגופים שמנפיקים הסמכות שהשם שלהן מתחיל ב – Certified). אני מתכוון לגוף כמו לשכת עורכי הדין או לשכת רואי החשבון. אם היה כזה גוף, פירמות רואי החשבון לא היו נשאבות לואקום מכניס הכסף הזה. או לחלופין הן היו מגייסות אנשים שיודעים מה זה Active Directory, Firewall ולמה חשוב שלא יהיו סיסמאות בברירות מחדל (מישהו הזכיר את סקוט הנמר?) שלא לדבר על החשיבות בבדיקות קלטים מחמירות במערכת (ואני בעצם מנסה לומר אנשים שמבינים אבטחת מידע).

מודעות פרסומת
06
אפר
09

עדכון עמידה בתקן PCI-DSS

כבר ציינתי שארגונים הסולקים ושומרים נתוני כרטיסי אשראי מחויבים לעמוד בתקן של PCI. בזמן האחרון חברות האשראי יוצרות קשר עם ארגונים שונים (כנראה התחילו מהגדולים) לבירור סטאטוס העמידה בדרישות השונות.

בנקודת הזמן הזו, חשוב להם לשמוע שהארגון מקיים תהליך בחינת פערים אל מול התקן ושהתחילו בפעילויות לצמצום הפערים.

מי שטרם עשה זאת, כדאי שיתחיל לבנות תוכנית עבודה לפירוט המשימות הנדרשות לעמידה בכל דרישות התקן. תוכנית עבודה זה קלף מנצח מול ביקורות. קשה מאוד לגוף מבקר לבוא בטענות על אי עמידה בתקן כאשר מציגים לו תוכנית עבודה עם לו"ז לכל דרישה, גם אם הלו"ז חורג מדרישות הגוף המבקר – במקרה זה PCI.

06
אפר
09

המערכת כבר מותקנת כאן ושם

את המשפט הזה אני שומע מידי פעם משתי אוכלוסיות שונות: ספקים ואנשי הארגון. לפעמים כאן זה ספק אינטרנט שבנק גדול אחסן אצלו את המערכת ולפעמים שם זה חברה גדולה. האם זה אומר שבמקרה כזה המערכת מאובטחת? ממש לא!

הנה דוגמא אמיתית. כמובן שכרגיל הפרטים שונו, השמות בדויים והתמונות הן אילוסטרציה בלבד…

אני יושב בישיבה עם חברת אינטגרציה ידועה שמציעה מערכת אינטרנטית. המערכת מותקנת אצל מספר חברות וחברה פיננסית אחת. לדברי הספק, המערכת מאוד מאובטחת. עובדה! זה מותקן בחברות הידועות האלה.
היה לי מאוד קשה להתמודד עם הלחצים מצד המשתמשים ומנהל הפרויקט במערכות המידע בארגון שלי. לא הצלחתי להביא טיעון מנצח אחד, אבל הרגשת הבטן…
ואז, בלי להבין מה הוא אומר, פלט מנהל המכירות שהמערכת עברה בדיקת חוסן באותו ארגון פיננסי. ביקשתי לראות את הממצאים. לישיבה הבאה הוא הגיע עם הדוח ושמח להציג שנמצאו עשרה ממצאים ושמונה תוקנו.
בחנתי את שני הממצאים שלא תוקנו ולא צפויים להיות מתוקנים בקרוב. המערכת חשופה ל – SQL Injection ול – XSS. זה היה מזמן.

עוד דוגמא. גם אצלי בארגון הותקנו, טרם זמני, מערכות שהיום אני יודע שאינן מאובטחות. במקרה אחד יצר איתי קשר נציג של חברה הבוחנת לרכוש את המערכת מאותו ספק. הספק סיפר לו שהמערכת מותקנת שם (אצלי) אז היא מאובטחת. עדכנתי בטלפון את המתקשר שהמערכת אינה מאובטחת ושטרם בדקתי אותה (למרות שאני כבר יודע שהיא לא מאובטחת).

אז אם אומרים לכם שהמערכת מותקנת כאן ושם, אל תסמכו שכאן מבינים אבטחת מידע או ששם ביצעו בדיקת אבטחת מידע.




אפריל 2009
א ב ג ד ה ו ש
« מרץ   מאי »
 1234
567891011
12131415161718
19202122232425
2627282930  
מודעות פרסומת