מייקל הרטמן, סאפ: "אין כזה דבר 100% אבטחת מידע, תמיד יהיו סיכונים"
"תמיד ייוותרו סיכונים ברמת התממשות זו או אחרת. המטרה היא לחזות מראש כל תרחיש, ולשלב אותו במסגרת ניתוח הסיכונים הכולל, לתעדף אותו בשקלול עלות-תועלת מול שאר הסיכונים ולהביא לתפקוד מיטבי של כלל מערכות ה-IT בארגון", כך אמר הרטמן, מנהל אבטחת המידע של סאפ העולמית בכנס שערך האיגוד הישראלי לאבטחת מידע, ISSA ● לדבריו, "על מנהלי האבטחה בארגונים תמיד לזכור כי הם לא קיימים בזכות עצמם, אלא עליהם לאפשר לעסק לפעול"
"אין כזה דבר 100% אבטחת מידע, כי תמיד ייוותרו סיכונים ברמת התממשות זו או אחרת. המטרה היא לחזות מראש כל תרחיש, ולשלב אותו במסגרת ניתוח הסיכונים הכולל, לתעדף אותו בשקלול עלות-תועלת מול שאר הסיכונים ולהביא לתפקוד מיטבי של כלל מערכות ה-IT בארגון", כך אמר מייקל הרטמן, מנהל אבטחת המידע של סאפ (SAP) העולמית.
הרטמן היה דובר המפתח בכנס שערך האיגוד הישראלי לאבטחת מידע, ISSA. הכנס נערך היום (ד') במרכז הכנסים אבניו, קרית שדה התעופה. לכנס, בהפקת אנשים ומחשבים, הגיעו מקצועני אבטחה רבים ממגוון ארגונים במשק הישראלי, הוא נשא את הכותרת "אבטחת מידע כמאפשרת עסקית" והנחה אותו אריאל פלד, נשיא האיגוד הישראלי לאבטחת מידע.
"המשימה שלי", אמר הרטמן, "היא לאפשר לעובדים לעבוד בצורה מאובטחת. על מנהלי האבטחה בארגונים תמיד לזכור כי הם לא קיימים בזכות עצמם, אלא עליהם לאפשר לעסק לפעול. אבטחת המידע צריכה להיות מאפשרת עסקית ולא מגבילה".
צילום ועריכת וידיאו: ליאור רובינשטיין
המטרות בפניהן ניצב מנהל אבטחת המידע בארגון, אמר הרטמן, הן שלוש: האחת, "לטפל באבטחה ברמה הכוללת, לא רק במידע אלא ליצור סביבה ארגונית מאובטחת. השניה, לוודא שהארגון עומד בנהלים, החוקים והרגולציות להם הוא מחוייב, לרבות אכיפת מדיניות אבטחת מידע. השלישית, עליהם לוודא כי הארגון נוסך ביטחון בלקוחותיו, בכך שהוא שומר על המידע אודותיהם באופן מאובטח, שומר על נכסי הארגון, הפיסיים והדיגיטליים, ומבצע ניהול סיכונים מושכל". מימוש מטרות אלה, אמר הרטמן, "יביא ליצירת יתרון עסקי לארגון באמצעות בניית אבטחת מידע חכמה".
היבט נוסף לטיוב וחיזוק היבטי אבטחת המידע בארגונים, אמר הרטמן, הוא "הצורך בתמיכת ההנהלה. ככל שזו יותר מעורבת, כך הדבר משפיע ומחלחל על מימוש כלל היבטי האבטחה בארגונים". זאת, אמר "לצד הצורך בשקיפות רבה ככל האפשר של התהליכים העסקיים, ושילוב רכיבי האבטחה בהם מוקדם ככל האפשר. זאת, על מנת למפות את הסיכונים ולטפל בהם באופן מדורג, לפי רמת הסיכון ופוטנציאל המימוש שלו".
במסגרת בניית תוכנית האבטחה הכוללת, אמר הרטמן, על מנהל האבטחה הארגוני לטפל בשלושה רבדים. האחד, לבנות יכולת לממשל IT, ובתוכה טיפול בניהול סיכונים וניטור אירועי אבטחה. השני, הלימה לרגולציות ואכיפה של מדיניות אבטחת המידע, לצד טיפול באירועים חריגים. השלישי, בניית מערך תפעול וניהול אבטחה יעיל, הכולל ניהול אירועים, ניהול המשכיות עסקית ועוד.
על כל ארגון, אמר הרטמן, "להחליט מהו הנכס העיקרי שלו, אצל חלק המדובר בקניין רוחני, אצל האחר, הכנס הוא חומרי, דוגמת מכונה במפעל, ואצל השלישי, בנק למשל, המידע על הלקוחות הוא הנכס העיקרי. רק לאחר שנקבע מהו הנכס העיקרי עליו נדרש להגן, יש לפתח מתודולוגיה, להטמיע כלים ולקבוע מדיניות, שתגן על הארגון מפני ריגול תעשייתי, דליפת מידע, נפילת מערכות ואסונות".
הרטמן הציג את המתודולוגיה של ניהול אבטחת המידע בסאפ ואמר כי "עלינו להבין כי שלושת רכיבי הארגון – אנשים, תהליכים וטכנולוגיה חייבים להיות שלובים זה בזה. הטכנולוגיה לא יכולה לעמוד בפני עצמה. כאשר בוחנים את הטכנולוגיה, יש לשקול את משמעותה לא רק בהיבט הכספי, אלא גם כיצד הטמעתה תשפיע על המשתמשים. וכפועל יוצא מכך, כיצד היא תשפיע על תפוקת העבודה של עובדי הארגון, ולחילופין – עד כמה הטמעת טכנולוגיה תביא לעיכוב בעבודה".
הוא סיכם באומרו כי "עלינו, מנהלי אבטחת המידע בארגונים, מוטלת החובה למצוא דרכים לניהול התהליכים העסקיים, כך שהיבטי אבטחת המידע ישולבו בהם, מבלי שיפגעו בהם. כל חברה צריכה להחליט על רמת הסיכון שהיא רוצה לחיות עימו. בכל מקרה, כל השקעה באבטחת מידע צריכה לכלול תועלות שניתן להוכיח, ושתורמות לירידת הסיכון לרמה שנבחרה. זאת, לצד יצירת מודעות בקרב העובדים, כי הם סוכני אבטחת המידע שלי בשטח".
תגובות
(0)