חבלי ההטמעה של פתרונות אבטחת המידע

"פתרון אבטחת המידע שלנו לא עוצר מתקפות!", הזדעק בפניי מנמ"ר של אחד הארגונים הפיננסיים המובילים בארץ. אחרי בדיקה מקיפה, התברר לנו שחלקים גדולים מיכולות הפתרון שהוטמע בארגון היו מנוטרלים לחלוטין – דבר שהוביל, באופן בלתי נמנע, לאבטחת מידע לקויה בארגון כולו ולחשיפתו למתקפות ולניסיונות חדירה של גורמים עוינים. הסיפור הזה אולי מפתיע אתכם, אבל הוא רק דוגמה אחת מני רבות לאופן שבו פתרונות אבטחת מידע מצוינים הופכים לבלתי יעילים בעליל בגלל הטמעה לא אפקטיבית.

ארגונים בוחרים פתרונות אבטחת מידע אחרי מחקר מקיף ולאחר ששקלו לעומק את הנושא בהיבטי מחיר, המלצות ויעילות. רבים מטמיעים פתרונות אבטחה שהם, ללא ספק, מתקדמים וחכמים, אך למרבה הצער נכשלים בהטמעת מלוא יכולות הפתרונות ובהשגת רמת אבטחת המידע שרצו בה.

הסיבות לכך רבות והן משתנות מארגון לארגון, אולם אלה העיקריות שבהן:

• תכנון – הבסיס להטמעה מוצלחת מתחיל בתכנון נכון של אבטחת המידע, שמתבצע אחרי ביצוע סקר סיכונים, בדיקות חדירות, מיפוי של נקודות הכשל בארגון ותעדוף הטיפול בהן. בדיקות אלה יש לבצע באופן תקופתי, ולא על מנת לצאת ידי חובה, כי אם כדי להתאים מחדש את מדיניות אבטחת המידע, שכן נוף האיומים משתנה ללא הרף וכך גם עולם מערכות המידע.
• מיפוי לא מדויק של פריסת ה-IT בארגון – הצלחתה של הטמעת פתרון אבטחת מידע תלויה ביכולת הארגון למפות את כל נכסי המידע שלו – On premise או בענן – ואת הגורמים שמתחברים אליו מבחוץ ומבפנים, בתוך הרשת או מחוצה לה. מעבר לכך, יש להתייחס לגודל הארגון – גם ארגונים קטנים חשופים למתקפות מתקדמות, ולכן צריכים להטמיע פתרונות אבטחת מידע המגנים על שער הארגון ועל כל עמדות הקצה בצורה יעילה ומלאה.
• התעלמות מעובדים שמתחברים מרחוק – ארגונים רבים עדיין ממשיכים להתייחס יותר לאבטחת המידע בתוך הארגון, ולא לעובדה שרבים מהעובדים והספקים מתחברים מחוץ לו – מהמובייל, מהמחשב הנייד או מהמחשב בבית.
• המובייל עדיין נתפס כגורם משני – על אף שדובר בנושא ה-BYOD (ר"ת Bring Your Own Device) לא מעט, חלק גדול מהנכסים הארגוניים ומהמידע נמצא במכשירים הניידים של העובדים. לא מעט ארגונים עדיין לא מכלילים את המכשירים הניידים של העובדים כנקודות קצה לכל דבר, בדיוק כמו כל מחשב.
• חוסר יכולת לבצע רה-ארגון עם הטמעת הפתרון – פתרונות אבטחת מידע דוגמת DLP (ר"ת Data Loss Prevention) דורשים רה ארגון וקביעת מדיניות חברה שונה סביבם, שלעתים לארגון קשה לבצע בפועל עם המשאבים העומדים לרשותו.
• עם מי עובדים? בחירת חברת האינטגרציה אתה עובדים היא שלב חשוב בהצלחת ההטמעה. חשוב לוודא את ניסיון החברה ואת רמת ההסמכות שיש לאנשיה בפתרונות אותם בוחרים.
• הנחה או אנחה? לא תמיד הזול ביותר הוא הטוב ביותר. כדאי להשקיע מאמץ בהשוואה מלאה בין פתרונות שונים והיכולות שלהם. המחיר אמנם חשוב, אך לבטח לא אמור להוות 80% מההחלטה.

לסיכום, הטמעה יעילה היא עבודה קשה ויסודית. גם אנטי וירוס פשוט צריך להיות מותקן עם קביעת המאפיינים וההגדרות המדויקים הדרושים להפעלתו. כל יצרן פתרונות אבטחת מידע מציע Best Practices והנחיות מסודרות להטמעת הפתרונות שלו. אמנם, יש ארגונים שמבצעים את ההטמעה בעצמם, אולם משאבי הזמן המצומצמים לא תמיד מאפשרים הטמעה איכותית. סיוע של אינגרטור חיצוני מתאים בהחלט ישפר את השגת המרב והמיטב מפתרון אבטחת המידע שמוטמע בארגון, אך גם במקרה זה, יש לשים לב לנקודות התורפה שצוינו במאמר זה. מנהלים שיישארו תמיד עם היד על הדופק ויעקבו בדקדקנות אחר התנהלות הפרויקט, ישיגו את רמת אבטחת המידע שהם מצפים לה.

הכותב הינו מנהל מחלקת אבטחת המידע באבנט תקשורת.