שיחה עם נדב אריכא, יועץ אבטחת מידע וידע, על הצורך של ארגונים לטפל בהיבט האנושי, ולמרות הכל – גם להרוויח
יוסי הטוני, מערכת DailyMaily, אנשים ומחשבים
נדב אריכא, במה אתה עוסק?
"עיסוקי באבטחת מידע הוא בכל ההיבטים שאינם קשורים לטכנולוגיה. האבטחה, עם כל הכבוד לטכנולוגיה, מכילה היבטים נוספים – מתודולוגיות, תהליכי עבודה, מערכות ניהול, ארגון, טיפול בתקנים ארציים ובינלאומיים, והלימה לרגולציות. המצב בארגונים רבים כיום הוא שהם מוגנים בשכבות הגנה מרובות, מה'שומרים' בשערים, וכלה באנטי-וירוסים, אולם למרות זאת, הבעיה של אבטחת מידע פנימית, שאיננה חדשה, לא מטופלת כיאות. למרות המשאבים הרבים המוקצים לטיפול בהיבטים הטכנולוגיים, ההיבט האנושי עדיין לא מטופל מספיק, אם בכלל".
איך הרקע שלך מסייע 'לאבטח' את ההיבט האנושי?
"אני בא מהתחום התפעולי. לפני שהייתי יועץ ארגוני, עבדתי במנהלות אזורי התעשייה במשרד הפנים, והייתי מנהל תפעולי באלביט ובדלתא טקסטיל. ככזה, אני מכיר את הארגון מהרצפה שלו, דבר שהוא הכרחי לטיפול בהיבטי האבטחה שאנו מדברים עליהם, כי זה דורש היכרות מעמיקה עם התהליכים העסקיים של הארגון. כך, לדוגמה, אם מחסנאי עושה פעולה בתחנת הקצה, במחשב, שאינה מתפקידו, מעבר לבקרה הטכנולוגית שמספקת ניטור על ביצוע הפעולה, דרוש שיהיה מישהו שיידע על כך שהוא עשה פעולה אסורה.
אני יועץ אבטחת המידע היחידי בארץ, אשר מאושר כמאמן מערכות אבטחת מידע ואיכות, מטעם IQNET, הארגון המאגד את מכוני התקנים הלאומיים באירופה. במסגרת זו ערכתי כמה פרויקטים בישראל לטיפול באבטחת מידע לאתרי סחר אלקטרוניים, והעבודה שלהם מול מכון התקנים הישראלי."
מה נדרש לעשות על מנת להעלות את רמת האבטחה בהיבט התהליכי-ארגוני-אנושי?
"יש לנתח את התהליך העסקי של הארגון, ולבנות את מדיניות האבטחה הארגונית, כך שהאבטחה לא תהווה חסם בפני המשך אותן פעילויות עסקיות. למרות יצירת חומות אבטחת מידע, אסור להן לפגוע בתהליך העסקי.
כך, למשל, יש ליצור בקרות ניהוליות, לוודא כי כל מנהל בארגון יידע אילו פעולות חריגות בוצעו במחשבים שתחת אחריותו. הבקרות הללו צריכות להיות על בסיס יומי, שבועי וחודשי. יש להגדיר לכל תפקיד, מה מותר, ולמי, תוך התייחסות לתחולת התפקיד של כל אחד שמקבל את ההרשאות המיחשוביות הללו".
אילו פרויקטים ערכת?
"במוטורולה ישראל, ניהלתי פרויקט אבטחת מידע למערכת האורקל ERP שלהם. טיפלתי בהיבט ההרשאות של המשתמשים, תוך תאימות לרגולציות השונות, ו- SOX בראשן. העבודה התנהלה מול מנהלי אבטחת המידע בארגון, כמו גם ישירות מול הנהלת מוטורולה. בחברת מירס עסקתי באבטחת מידע של התהליכים העסקיים.
בחברת דן אנד בירדסטריט הקמתי מערכת ניהול אבטחת מידע, על פי תקן אבטחת מידע 17799, כהכנה לקבלת רשיון עבור חוק נתוני אשראי. מערכת זהה הקמתי גם עבור מתחרתה – חברת BDI. סייעתי למשטרת ישראל בהקמת מערכת ניהול אבטחת מידע ובנוסף חברת N.A.Security אשר בבעלותי היתה מעורבת בעוד מגוון רחב של לקוחות ופרוייקטים.
ליועץ חיצוני יש יתרונות – בבחינת 'אורח לרגע רואה כל פגע'. היועץ החיצוני אינו מושפע מפוליטיקות פנימיות, שעלולות להשפיע על תפקודו. כך, למשל, באחד הפרויקטים בהם הייתי מעורב, מנעתי את ההרשאה של אחד המנהלים בארגון, לכניסה ליישומים רבים, בהם לא הייתה שום נחיצות שהוא ייכנס. הדבר עורר הרבה רעש. אם הייתי עובד של החברה – הדבר לא היה מתאפשר.
מי שמכיר את התהליכים העסקיים בארגון, יודע לטפל במערכות חוצות ארגון, דוגמת מערכות בילינג ומערכות ERP. זה מה שנדרש מיועץ אבטחה לזכור – עם כל הכבוד לאבטחת מידע, הארגון צריך גם להרוויח. אם מערכות IT של ארגון תשבנה מוחבאות בבונקר – זה לא יעזור לאף אחד, למרות שאז מובטח כי המידע לא יזלוג. נדרש לשלב את האבטחה כחלק מהתהליך העסקי, ולא לבודד אותו"
שאלה 'טריקית' לסיום. איך מוכיחים החזר השקעה?
"קשה להוכיח. עד שלא קורה מקרה בסגנון פרשת הסוס הטרויאני, יש קושי להוכיח למנהלים את הנחיצות של הבדיקה של התהליכים הארגוניים, והטיפול בהיבט האנושי, הנחוצים לשם העלאת רמת אבטחת המידע בארגון".
Follow