ארכיון עבור מאי, 2009

13
מאי
09

בניית תוכנית עבודה לעמידת בדרישות PCI DSS

מי שכבר סיים את מילוי שאלון ההערכה של התקן כנראה כבר יודע שיש לו הרבה עבודה. רוב הארגונים לא עומדים בסעיפים רבים של התקן. רק לבנות תוכנית עבודה/גאנט לוקח כמה שבועות. הסוגיה הקשה היא על מה לעבוד קודם? מה יותר חשוב ו/או מהיר להטמעה?

ארגון PCI שחרר לאחרונה מסמך כיצד לבצע תעדוף (Prioritization) של הדרישות השונות. שווה להקדיש זמן לקריאת המסמך לפני שבונים את הגאנט. בנוסף, הם שחררו כלי מבוסס אקסל המאפשר לסמן איזה סעיפים עומדים בתקן ולתעדף את העבודה על הדרישות שלא עומדים בהן.

מודעות פרסומת
11
מאי
09

שיוך ארגוני וכישורים נדרשים למנהל אבטחת מידע

אחת הסוגיות החשובות בכל הקשור לתפקיד מנהל אבטחת מידע הינה השיוך הארגוני והכישורים הנדרשים לאיוש תפקיד מנהל אבטחת מידע. נשאלתי כאן, ובהרבה מקומות אחרים. אין לכך תשובה אחת נכונה, אך ישנם בהחלט קווים מנחים.

ראשית, נפרט מי לא אמור להיות מנהל אבטחת מידע:

  • גורם טכני תפעולי כגון DBA, אדמין, איש תקשורת נתונים וכדומה (גם אם הוא 'מבין' אבטחת מידע). זה כמו לתת לחתול לשמור על השמנת.

  • באופן דומה, מנהל של גורם טכני כזה כגון מנהל תשתיות, מנהל סיסטם וכדומה.

  • גורם מבקר כגון ביקורת הפנים (בארגונים גדולים).

מי כן מתאים להיות מנהל אבטחת מידע:

  • ראשית, מישהו בעל כישורים מתאימים (על זה מיד).

  • רצוי שלא יהיה כפוף לגוף תפעולי כגון סיסטם ויהיו כאלה שיטענו שאפילו לא למערכות מידע (אך על כך חלוקות הדעות וישנה מציאות ארגונית שקשה לשנות).

מה זה כישורים מתאימים? שאלת המיליון דולר:הנה מספר כישורים שחשוב שיהיו – לפחות חלקם אם לא כולם. קשה להגדיר את רמת הידע הנדרש. חשוב שיהיה לפחות בסיס מינימלי והכרה של התחום, אם כי אני דוגל בכך שחייבים גם לדעת ברמת Hands On ולא להסתפק ברקע תאורטי. 

הכישורים

הערות

תואר אקדמי נכון לכל מקצוע ניהולי מסוג זה
הסמכה מקובלת (כגון CISSP) אני אישית לא חושב שזה חובה, אך יש כאלה שכן
הכרה טובה של עולם המחשוב תתפלאו, פגשתי כמה מנהלי אבטחת מידע ללא הכרה מספקת
ידע במושגי סיסטם דרישה שהיא כמעט בגדר חובה
ידע בתקשורת נתונים דרישה שהיא כמעט בגדר חובה
ידע בתוכנה ותכנות מאוד רצוי – כיום המיקוד באבטחת מידע עובד מרמת התשתית לרמת האפליקציה
ידע בבסיסי נתונים רצוי מאוד – ראו הערה של תכנות
הכרת מושגים ב – Hacking אפשר לרכוש ידע זה במהלך הכניסה לתפקיד
ידע בכתיבת מדיניות ונהלים לדעתי, דרישה שהיא כמעט חובה

שיוך ארגוני:

ישנם חסרונות ויתרונות לשיוך התפקיד למערכות מידע. לא אפרט אותם, אך אציין כי מידת היכולת להשפיע מתוך מערכות מידע ולהיות מעורב ביישום תקין של מנגנוני אבטחת מידע גבוהה יותר מאשר להיות ביחידה חיצונית למערכות מידע. 




מאי 2009
א ב ג ד ה ו ש
« אפר   יונ »
 12
3456789
10111213141516
17181920212223
24252627282930
31