"אסור שאבטחת המידע והגנת הסייבר יהיו הילד החריג והחורג של ה-IT"
כך אמר בראיון לאנשים ומחשבים טים גריבסון, מנהל ואסטרטג הגנת סייבר בחטיבת מוצרי אבטחת מידע לארגונים ב-HPE לאזור EMEA ● לדבריו, "אחד אתגרים העומדים כיום מול מנהלי האבטחה בארגונים, הוא שינוי דפוס העבודה של הרעים"
"מסיבות שונות, אבטחת המידע והגנת הסייבר אינן נמצאות במלוא הפוקוס של הנהלות ארגונים. יש לשנות את המצב הקיים כיום, לפיהם האבטחה וההגנה הן בבחינת הילד החורג והחריג של מערכי ה-IT בארגונים. עליהן להיות מאפשרות עסקית וארגונית", כך אמר בראיון בלעדי לאנשים ומחשבים טים גריבסון, מנהל ואסטרטג הגנת סייבר בחטיבת מוצרי אבטחת מידע לארגונים ב-HPE לאזור EMEA (ר"ת אירופה, המזרח התיכון ואפריקה).
"אחד אתגרים העומדים כיום, ושלא היו בעבר, מול מנהלי האבטחה בארגונים, הוא שינוי דפוס העבודה של הרעים", אמר גריבסון. "אם בעבר הם פעלו ממקום של הרס ושיבוש, הרי היום – הכסף מדבר. הרעים מחפשים מגוון דרכים ליצור הון מהנתונים. לשם כך הם בונים שוק שחור של נתונים, פרטי כרטיסי אשראי, נתוני חשבון בנק, נתונים רפואיים, קניין רוחני. כל דבר היום הוא צרכני וניתן לגנוב אותו ולהפיק ממנו רווח".
לדבריו, "היקף הנתונים הוא רחב, ובהתאם, גם נוף הגניבות הוא מקיף יותר מבעבר, מפרטים אישיים ועד נתונים כספיים – על כל יחיד ושל כל ארגון. בנוסף, בניגוד לעבר, הרעים תוקפים גם יחידים, לא רק ארגונים. כך, בין השאר, אנו רואים 'פריחה' בתחום של נוזקות כופרה, במקום לתקוף ארגון אחד, ניתן לתקוף פרטים רבים ולגבות בסחיטה מכל אחד מהם אלפי דולרים".
המתקפות לא צפויות להסתיים
"כמו שה-IT עובר 'הצטרכנות', קומודיטיזציה – כך גם פעילות ההאקרים. המתקפות של ההאקרים את הארגונים לא צפויות להסתיים, כי יש שם כסף. עסקי ההאקרים הופכים להיות עסקים כמו-לגיטימיים, לכל דבר ועניין. הם רוצים עסק עם רווח, אז אנו רואים שהם בונים אקו-סיסטם עסקי כמו כל ארגון. הם בונים מחלקת משאבי אנוש, וזו עוסקת בגיוס פושעים – עובדים מקצועיים לפי דרישה, הם בונים עצמם ככל ארגון".
גריבסון הצטרף ל-HP לפני פחות משנתיים. הוא שימש בתפקידי סמנכ"ל ("C") כמנמ"ר וכמנהל אבטחה בארגונים זה שני עשורים. בין השאר, היה מנמ"ר ומנהל אבטחה בזרוע הסיכונים של G4S, חברת השמת כוח אדם מהגדולות בעולם, ומנמ"ר BTGS, זרוע השירותים הגלובלית של בריטיש טלקום (BT Group).
ב-2013 זכה בתואר מנמ"ר השנה על ידי EC Council, המועצה הבינלאומית של יועצי מסחר אלקטרוני, וב-2014 הוא נמנה על "100 המנמ"רים החברתיים" בטוויטר (Twitter) בדירוג של אתר האפינגטון פוסט (Huffington Post).
נקודת המוצא – המידע ייגנב
"ארגונים נדרשים להבין ולהפנים", אמר. "נקודת המוצא היא שהמידע הולך להיגנב, כעת בחן מה עליך ומה בכוונתך לעשות, כדי למנוע ככל האפשר את ההיתכנות של גניבת המידע ולצמצם את היקף הפגיעה והנזק. למשל, על ידי הצפנה, או על ידי שיבוש פעולת הרעים".
פעולה נוספת אותה ממליץ גריבסון למנהלי אבטחת המידע, היא "לצמצם את הזמן שהרעים נמצאים בתוך הארגון. נדרש לערוך שינוי תרבותי: לא להטמיע רק טכנולוגיות, שהן חשובות לכשעצמן, אלא גם לשים אותן בתוך הקשר (קונטקסט), לעשות שיתופיות בין טכנולוגיות אבטחה, תהליכים ואנשים".
"מחקרים מצביעים על כך שצומצם משך השהייה של הרעים ברשתות הארגון – אבל עדיין מדובר בחודשים רבים, זה המון זמן שהרעים מסתובבים ברשת הארגונית, ונדרש לצמצמו עוד – ובהרבה. כך גם נדרש לצמצם את זמן הריפוי של התקלה, שעומד כיום על 40-45 ימים. בנוסף, מנהלי אבטחה צריכים להגן גם מפני המשתמשים הפנימיים – בין אם הם פועלים בזדון ובין בשגגה. בכל מקרה חינוך הוא מילת המפתח".
הכללים למנהל האבטחה
"מה שה-CISO, מנהל האבטחה, נדרש לעשות", אמר גריבסון, "הוא לפעול בכמה מישורים: אמץ מסגרת עבודה כוללת ואסטרטגית לאבטחת מידע דיגיטלית. זו צריכה לכלול לא רק הטמעה נקודתית של מוצרים. מסגרת העבודה צריכה לכלול את כל ההיבטים – אנשים, תהליכים וטכנולוגיה – וערוך תיאום ביניהם. ערוך ניטור ובקרה מלאים על הארגון. זאת, אחרי שהבנת מה הארגון עושה, מה הם הנכסים שלו, מהם סוגי הנתונים והמידע, מה הערך שלהם – מה חשוב ומה פחות. לפי זה בצע תעדוף של המידע. התמקד במידע ובבניית תרחישים של מה משמעות האובדן, ניהול סיכונים".
פעולה נוספת, אמר, "בנה מדיניות ואסטרטגיה של אבטחת מידע, תוך התבססות על התרבות הארגונית. בדרך כלל חושבים על אבטחה כדבר לא חשוב. יש להביט על האבטחה כמאפשרת ולא כמונעת. האבטחה היא לא ילד מאומץ וחריג, עליה להיות חלק מהפעילות העסקית ותהליכי הארגון".
כדור כסף
"ארגונים מתחילים להבין את התועלות שבאבטחת מידע", ציין גריבסון, "באופן מסורתי, היסטורית, מנהלי אבטחת המידע היו טכנולוגים ודיברו 'טכנולוגית' ועל פתרונות ומוצרי אבטחה. היום אסור להם לדבר על טכנולוגיה – אלא על תועלות עסקיות שיהיו מהטמעת תהליכי אבטחה. ככה מנהלי האבטחה יקבלו יותר תקציבים. על מנהלי אבטחת המידע בארגונים לשנות את השפה, להיות יותר נגישים ומובנים – עליהם לדבר בשפה יותר עסקית".
"אבטחת מידע זה לא רק הטמעה של מוצר, פתרון אחד. נדרשת ראייה כוללת, המשלבת תהליכים, אנשים וטכנולוגיה מצד אחד, עם תמונת נוף רוחבית וכוללת של כלל הרעים והאיומים מצד שני. אבל אין פתרון קסם, 'כדור כסף' אחד ויחיד".
"נדרש להשתפר באופן עקבי על ציר הזמן, עם הרמוניה של הפתרונות. יש הרבה השקעות באבטחה, אבל צריך לחבר אותן, ואנו ב-HPE מספקים, לצד פתרונות אבטחת מידע, את שכבת הניהול והנראות. אנו יודעים 'לדבר' עם כל הפתרונות הללו ולחבר בין כל הטכנולוגיות – וכך לצמצם את הכאב של מנהלי האבטחה בארגונים. רק כך ניתן לשנות את המצב בו הרעים הופכים לטובים יותר בתחומם, ולמרות ההשקעות של הטובים – הם עדיין מקדימים אותנו בצעד אחד לפחות".
תגובות
(0)