של מי תהיה הכותרת המביכה הבאה?
יחידת העילית של GSECTRA - המרצים במסלול ISO 27001 LEAD AUDITOR - והיום נדב אריכא, ISO 27001 Lead Auditor ומנכ"ל חברת NA Security
מצד אחד כאשר מדברים על אבטחת מידע עם מנהלי חברות וארגונים בתעשייה ובהיי-טק מקבלים את התגובות הבאות: "אצלי הכול בסדר – יש אנטי וירוס, Fire wall, השקעתי בכך כסף רב וצוות ה-IT עושה עבודה נהדרת", או "החברה שלי מוגנת כמו בנק, יש לי מצלמות מוקד אבטחה ואף אחד לא נכנס ללא רשות, שום מידע לא יוצא החוצה ללא ידיעתי". ומאידך, בעיתון אנו פוגשים כל הזמן את הכותרות הבאות: "מידע רפואי חסוי של עשרות מטופלים במוסדות גריאטריים נחשף באתר משרד הבריאות", "המידע החסוי התפזר בביה"ס", "פרטי האבטחה של נשיא ארה"ב דלפו לרשת", "פקידי ביטוח לאומי חיטטו בפרטיהם האישיים של מפורסמים וקרובי משפחה של עובדים", "מתכנת לשעבר במשרד התמ"ת נאשם במכירת מידע לבעלי עניין", "ניסיון הונאה בבנק לאומי דרך הדואר האלקטרוני". למראה כותרות אלו מגיבים אותם מנהלים במשיכת כתפיים – נגד מפגעים אלו אין מה לעשות.
לפי דעתו של נדב אריכא, מחברת NA Security, דווקא יש הרבה מה לעשות נגד אותם כשלים. כי לרוב מקור כשלים אלו הינו האדם, החוליה החלשה היא העובד ותרבות ה"סמוך" הישראלית.
אז מה אתה מציע?
"כאן אנו מציעים כי ההנהלה תגלה מעורבות מלאה, תמנה נציג מטעמה אשר ירכז ויוביל את אבטחת המידע בחברה, תקיים סקר זיהוי ומיפוי איומים על המידע והתהליכים העסקיים, תגדיר בקרות ונהלים התואמים את התרבות הארגונית של החברה, תדריך את העובדים ותטיל עליהם את האחריות על המידע והתהליך, תקיים בקרות ותאכוף את מדיניות אבטחת המידע אשר אימצה, ובמטרה לאישור כי התהליך נאות ונכון, להסמיך את מערכת הניהול לתקן לניהול אבטחת מידע Iso27001:2005".
למי התהליך נועד ומתאים?
"עד לאחרונה נדרשה פעילות אבטחת מידע מארגונים במידע הקשור לביטחון המדינה או למידע רגיש מהיבט צנעת הפרט. אך לאחרונה אנו עדים לדרישה מצד גופים עסקיים מתחום התעשייה הייטק והפיננסי אשר נדרשו לתהליך".
ולסיום, נדב, מי בנבחרת הלקוחות שלכם?
"הנבחרת שלי מגוונת ומכילה לדוגמא את חברת B.D.I Coface אשר אימצה את התקן עקב דרישת חוק נתוני אשראי, או שפיר הנדסה אזרחית, טריפל סי מיחשוב ותדיראן טלקום מתוך רצון לנהל את אבטחת המידע באופן נאות ומסודר, אופאל טכנולוגיות מידע וקרן עמיתים כהכנה לעמידה בדרישות המפקח על שוק ההון, ועוד אחרות רבות. נבחרת זו בחרה בנו לאור הניסיון הרב שיש לנו, היות ואנו מנהלים מערכת איכות ניהול כוללת אשר עומדת בדרישות התקנים ת"י Iso27001:2005 לאבטחת מידע, ות"י Iso9001:2000 לניהול האיכות, ומעסיקים עובדים מוסמכים ומאושרים בנושאי אבטחת מידע ואיכות על ידי גופי תקינה והסמכה בינלאומיים (Ciso; Cissp Lead Auditor for Iso27001; ונוספים) N.A. Security תעמיד את הידע והניסיון שלה לכל ארגון לשם העלאת רף האבטחה והבטחת המידע".