אבי ויסמן, שיא סקיוריטי: "התשובה 'יהיה בסדר' לא מתאימה לאיומי הסייבר"

"קיימת בעיית ידע בעולמות אבטחת המידע והגנת הסייבר. בעוד שבחו"ל ארגונים מחייבים לשלוח עובדים להכשרות בתחום, בארץ מענישים על כל ביצוע הדרכה. עקב כך, קיימת בעיה של ידע והכשרות מקצועיות לתחום, והתשובה 'יהיה בסדר' לא יכולה להצליח במקרה זה", כך אמר אבי ויסמן, מנכ"ל שיא סקיוריטי.

ויסמן דיבר במסגרת רב שיח שנערך לפני ימים אחדים בבית אנשים ומחשבים לקראת כנס InfoSec 2015, שמופק על ידי אנשים ומחשבים ויתקיים ב-21 במאי באולם הכנסים אבניו שבקריית שדה התעופה. הנחה את הרב שיח יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי ויסמן, "צריך לחנך לא בהכרח רק את המשתמשים, אלא גם את מקצועני האבטחה. הדעה הרווחת בקרב הצעירים היא שלא נדרש ללמוד – וזה לא נכון".

לסיום הוא שיבח את המטה הקיברנטי הלאומי על "שהחל לעשות סדר בתחום ולהגדיר מקצועות בעולם אבטחת המידע".

הארגונים ומגבלות הענן

ג'ודי ג'וסף-אסיאג, מנהלת השיווק של FireLayers, אמרה כי "בשנים האחרונות, הארגונים עוברים מניהול IT פנימי לניהול מרוחק בשירותי הענן השונים – דבר שמאלץ אותם לפעול במסגרת המגבלות של הענן. בנוסף, על ארגונים להתמודד עם המעבר ל-BYOD, בו אין שליטה על אבטחת האפליקציות ולא על זו של המכשירים".

ג'ודי ג'וסף-אסיאג, מנהלת השיווק של FireLayers

"ההתקדמות לשירותי ענן ולעבודה ממכשירים פרטיים יצרה מציאות חדשה בה הכלים המסורתיים בהם השתמשו לאבטחת מידע אינם רלוונטיים עוד, ועל הארגונים לאמץ כלים חדשים, שיתאימו למצב החדש", אמרה ג'וסף-אסיאג. לדבריה, "בעבר, הפיירוול היה כלי מרכזי בהגנה הרשת הארגונית, כשבעת שימוש בענן הוא פחות או לא רלוונטי".

"הגורם האנושי תמיד היה בין החוליות הכי חלשות בתחום, וארגונים צריכים להשקיע משאבים בהדרכה, הסברה וכלים להגנה", ציינה ג'וסף-אסיאג. "מנהלי אבטחת המידע נאבקים בעידן החדש בסיכונים חדשים ומגוונים מול תוקפים מאורגנים ומתוקצבים. לכן, הם דורשים פתרונות חדשים אפקטיביים, שייתנו להם את היכולת לבקר, לשלוט ולאבטח את המידע הרגיש והתשתיות הקריטיות של הארגון".

היא סיכמה באמרה כי "יש טכנולוגיות שמחזירות לארגון את יכולת השליטה והבקרה על המידע – בענן או פנים-ארגוני. הן מסופקות על ידי CASBs (ר"ת Cloud Application Security Brokers). הפתרונות הללו מעניקים יכולות משופרות להזדהות חזקה, שליטה ובקרה על ניהול הקבצים, תיעוד מעמיק ועוד – באפליקציות הענן".

"חסרה אסטרטגיית אבטחה ברמת הארגון"

אלי כהן, מנכ"ל ConnectIT, הודה כי יש בעיה בעולם אבטחת המידע, "אולם נדרש להבחין בין סוגי הארגונים וגודלם. במשך יותר מעשור הטמיעו בארגונים גדולים מוצרים רבים של ספקיות אבטחה שונות, מה שבסופו של דבר לא יצר אבטחת מידע ברמה הכוללת".

אלי כהן, מנכ"ל ConnectIT

על פי כהן, "ההטמעה של המוצרים בחלק מהארגונים נעשתה באופן ספוראדי, כאשר חלק מהם לא 'מדברים' אלה עם אלה. כך, נוצר מצב של הרבה התרעות שווא".

כהן סיים בציינו כי "חסרה אסטרטגיית אבטחת מידע ברמת הארגון. הפורצים עלו רמה, בחלקם הם שלוחי מדינות, תקציביהם גדלו והם מקצועניים יותר ויותר".

"יש להשקיע משאבים להתמודד מול הגורם האנושי"

אהוד אברהמי, מנהל תחום סייבר וניהול סיכונים ב-InfoGuard מקבוצת עידור, אמר כי "יש שלושה סוגי אירועי אבטחה: מתקפות מבחוץ, מבפנים ודלף מידע בשוגג. כל החברות משקיעות משאבים רבים בהגנה פריפריאלית, אלא שרוב ההתקפות מקורן פנימי". הוא ציטט נתון של גרטנר (Gartner) לפיו המקור של 75% מהמתקפות הוא פנימי והוסיף כי צריך להשקיע בהן, לצד ההגנה הפריפריאלית. "יש להשקיע משאבים בתחום, לקבוע מהו מידע ארגוני מסווג ורגיש, לשלוט על המידע הזה, להצפינו במידת הצורך".

אהוד אברהמי, מנהל תחום סייבר וניהול סיכונים ב-InfoGuard

אברהמי סיים באמרו כי "לצד הפעילות ברמת ההגנה, יש לפעול בהיבט התרבות הארגונית והחינוך. הרגולציות הקיימות בארץ לתחום הן מעטות ונטולות 'שיניים'. אין כמעט קנסות במקרים של אירועים שפורסמו. למרבה הצער, יש שימוש נרחב באפליקציות לא מאובטחות, דוגמת ווטסאפ (WhatsApp), כאשר גם מנהלי אבטחת המידע בארגונים משתמשים בהן".

מתעניינים באבטחת מידע? רוצים לשמוע עוד? הירשמו לכנס InfoSec 2015 של אנשים ומחשבים.