על קצה המזלג: מה חשוב לדעת על ISO 27001
חלק ראשון מתוך שלושה
מאת מאורו ישראל, חבר במועצה המייעצת של GSECTRA, מבקר ראשי ומוסמך ISO 27001
כשערכתי ביקורת אבטחה ISO27001 בצפון מכסיקו, עבור יצרנית של חלקי חילוף לרכב, נדהמתי מההבדלים הגדולים בין הערים ריינוסה (שבמכסיקו) ומק אלן (שבטקסס – ארה"ב), שביניהן מפריד רק הנהר הקטן ריו גרנדה, שרוחבו 10 או 20 מטרים לכל היותר… בריינוסה התושבים עניים, המכוניות ישנות, הכבישים משובשים והבתים מוזנחים… במק אלן התושבים עשירים, המכוניות חדשות ונוצצות, הכבישים המהירים רחבים והבתים מצוחצחים. במסגרת התעשייה המכונה “maquiladora” מועסקים פועלים מכסיקנים בקרבת הגבול עם ארה"ב בייצור זול של מכוניות עבור ארה"ב הסמוכה. בתעשייה זו עובדים יותר ממיליון מכסיקנים, שהחלום שלהם הוא אחד ויחיד: להתבסס בארה"ב! בפועל, קל להבחין שהקרקע היא אותה קרקע, השמש היא אותה שמש, העובדים המכסיקנים צעירים ונמרצים, אז ממה נובעים ההבדלים בין שני המקומות הסמוכים – האחד כה עני והשני כה עשיר?
ההבדל טמון בניהול. לאמריקנים מהנדסים מיומנים ותהליכים טובים, הם יודעים להקים תעשייה ולנהל עובדים. הפיקוח והאבטחה איתנים ומקצועיים. במכסיקו הפיקוח רופף, השחיתות רווחת וכנופיות הסמים שולטות. ההבדלים נובעים מהניהול: העובדים פועלים בצורה מתואמת ומניבים רווחים.
כך גם באשר לאבטחת מידע (ותחומים רבים נוספים…): אם משתמשים בתוכנת אנטי-וירוס ובפיירוול אבל לא בודקים את רישומי היומן וההתראות… בסופו של דבר ידם של הפורצים תהיה על העליונה. אם לא מקפידים לעדכן את חתימות האנטי-וירוס ולא מטליאים את Windows, הפורצים יצליחו לממש את זממם!
אפשר להכין מדי יום רשימה של כל עמדות העבודה שבהן הותקנו כל הטלאים ושל אלו שבהן העדכון של Windows לא הושלם בהצלחה. אפשר לבדוק מדי יום את רישומי היומן של מתקפות הווירוסים וההסרות ולגלות שבחלק מהמחשבים לא עודכן מסד הנתונים של החתימות.
ההבדל טמון בנהלים ובארגון – בהנחה שמשתמשים בכלי אבטחה זהים – בין מערכת בטוחה לבין מערכת שאינה בטוחה, בדיוק כמו בדוגמה של מק אלן ומכסיקו.
לפיכך, לא מספיק להשתמש בכלי אבטחה – צריך גם לארגן את אבטחת המידע במערכת ניהול. בכך עוסק תקן ISO 27001: התקן מתאר את ניהול האבטחה של מערכות מידע (ISMS – Information System Management of Security) כמערכת איכות שאוכפת את האבטחה. מבלי להיכנס לפרטים, התקן – בדומה ל- ISO 9001 או ISO14001 – הוא מערכת איכות שמשפרת את האבטחה בסדרה חוזרת ונשנית של שלבים. בהמשך המאמר תגלו מדוע ארה"ב מובילה בעסקים…
הם המציאו את גלגל דמינג
בשנת 1947 לקח ד"ר דמינג חלק בשלבי התכנון הראשונים של מפקד האזרחים שנערך ביפאן בשנת 1951. כוחות הברית כבשו את יפאן. הוא נתבקש על ידי משרד הצבא של ארצות הברית לסייע במפקד. כששהה ביפאן, בשל המומחיות שלו בשיטות לבקרת איכות, בשילוב עם המעורבות שלו בחברה היפאנית, הוא קיבל הזמנה מהאיגוד היפאני של המדענים והמהנדסים (JUSE).
המסר שהעביר דמינג למנהלים הבכירים ביפאן: שיפור האיכות מפחית את ההוצאות, מגביר את התפוקה ומגדיל את נתח השוק. כמה יצרניות ביפאן יישמו את השיטות בהיקף נרחב ונהנו מרמות חסרות תקדים של איכות ותפוקה. השיפור באיכות, בשילוב עם ההוצאות הנמוכות יותר, הובילו לביקוש למוצרים יפאניים ברחבי העולם. השיטות והפילוסופיה של ד"ר דמינג הוכיחו את עצמם כשאומצו על ידי התעשייה היפאנית, כפי שממחישה הדוגמה הבאה: חברת פורד ייצרה במקביל דגם של מכונית עם תיבות הילוכים שיוצרו ביפאן ובארצות הברית.
מאורו ישראל משמש כמומחה לאבטחת מידע מזה למעלה מ-25 שנים, ובין השאר עסק בקורסים להגברת המודעות לאבטחה, פריצה אתית וביקורות אבטחה. כיום מאורו הוא מומחה ידוע ברחבי העולם לאבטחת מידע, עורך בלוגים ומרצה.