כריס לאבג'וי, יבמ: "האבטחה בעידן החדש של ה-IT מחייבת שינוי תהליכים ארגוניים מן היסוד"

"ריבוי מערכות ה-IT, המורכבות שלהן, היקף המידע וכניסת המיחשוב הנייד לארגונים יוצרים אתגרי אבטחה חדשים, מאחר שאנחנו מצויים בפתחו של עידן חדש ב-IT. אלה מחייבים גישה חדשה ושינוי תהליכים ארגוניים מן היסוד", כך אמרה כריס לאבג'וי, מנהלת תחום ניהול סיכונים, הלימה לרגולציות ואסטרטגיית אבטחה בחטיבת האבטחה של יבמ (IBM) וסגנית נשיא בענק הכחול.

לאבג'וי דיברה בפאנל בנושא אבטחה שהתקיים במסגרת כנס Pulse 2012 שנערך בלאס-ווגאס.

לדבריה, "כמויות הנתונים המגיעים מדי יום לארגונים הולכות וגדלות – ועובדים, לקוחות, מנהלים וספקים קשורים זה לזה במגוון רחב של ערוצים. אלא שריבוי הרשתות, מכשירי הקצה, היישומים ומאגרי המידע יוצרים גם מספר אינסופי כמעט של נקודות שעלולות להיות חשופות להתקפה ופריצה". היא ציטטה דו"ח של חברת האבטחה קספרסקי (Kesparsky) שקובע ש-91% מהעובדים בחברות ובארגונים שמחזיקים בטלפון חכם משתמשים בו גם כדי לגשת לדואר האלקטרוני הארגוני שלהם. עם זאת, רק שליש מהם נדרשים על ידי מנהלי האבטחה להתקין תוכנת אבטחה הולמת על גבי מכשיר הקצה שלהם. נתון אחר שציטטה לאבג'וי פורסם באתר computerweekly.com ולפיו 20%-30% מהמחשבים האישיים המשרתים משתמשים פרטיים נגועים בתוכנה זדונית, כאשר כל מחשב כזה עלול לגרום נזק משמעותי לרשת ארגונית עימה הוא עשוי להיות קשור.

עקרונות האבטחה של יבמ
לאבג'וי הציגה את עקרונות האבטחה שפותחו בענק הכחול ואמורים להנחות כל ארגון. "כצעד ראשון, יש לבנות תרבות ארגונית שמודעת לסיכוני אבטחה", אמרה. "כל עובד ועובד בארגון, ולא רק מנהלי האבטחה או ההנהלה הבכירה, חייב להיות מודע לתוצאות האפשריות של כל הקשה על קישור נגוע". לדבריה, "כאשר מתגלות בכל זאת בעיות – יש לנהל מקרי אבטחה ותהליכי תגובה לאירועים. מערך מקיף של מודיעין אבטחה שנשען על כלי ניתוח אנליטי מתאימים יידע לקשר בין אירועים שונים, גם אם הם נראים לא קשורים זה לזה, להצביע על מגמות ולחזות בעיות על מנת לגבש את נהלי ההתמודדות עימן עוד בטרם גרמו לבעיות בפועל".

"כיוון שפושעי סייבר מחפשים ללא הרף אחר פרצות, יש להגן על סביבת העבודה", אמרה לאבג'וי. "כל תחנת עבודה, מחשב נייד או טלפון חכם מהווים נקודת חדירה פוטנציאלית לקוד זדוני. הגדרות התצורה והפעלת תוכנת ההגנה על גבי כל מכשיר כזה אינן יכולות להיות עניינו של משתמש הקצה בלבד: יחידת ה-IT חייבת לשלוט באבטחת מכלול נקודות הקצה, כמו גם להגדיר אזורי תוכן ברשת הארגונית ולשלוט בזרימת הנתונים בין אזור לאזור".

"יש לבנות אבטחה כבר בשלב התכנון הראשוני של ה-IT, ממש כשם שיצרני מכוניות משלבים את כריות הבטיחות, חגורות הבטיחות וה-ABS כבר בשלבי התכנון הראשוני של כלי רכב חדש", הוסיפה. לדבריה, "שילוב כזה הוא ערובה לחיסכון". היא ציינה, כי "לפי התחשיב של יבמ, מחיר שילוב רכיב אבטחה בשלב הבנייה המוקדם של יישום חדש עומד על לא יותר מ-60 דולרים. תוספת הרכיב הזה בשלב מאוחר יותר של תהליך התכנות עלולה לעלות 6,000 דולרים ויותר".

עקרון נוסף אותו ציינה לאבג'וי הוא ניהול עדכוני תוכנה בהיקף כלל ארגוני. "זה אתגר מורכב, ועדיין – חובה לשמור על תמונה ברורה ונקייה של מצאי התוכנה והיישומים הפועלים בארגון", אמרה. "לא מעט אנשים מעדיפים להמשיך ולעבוד בסביבת כלים מוכרים ולהימנע משדרוג. חברות תוכנה מפסיקות לתמוך בגרסאות ותיקות לטובת מהדורות חדשות יותר. פורצי מחשבים מכירים היטב את המציאות הזאת ומתמחים בחדירה לאותן מערכות לא מעודכנות, שלא עברו הטלאה ושדרוג שמתחייבים עם גילויים של איומים חדשים".

"סביבה מאובטחת חייבת לשלוט בגישה לרשת", אמרה. "ממש כשם שמערכות שיטור עירוניות נשענות על מוקד ניטור אחד, המודע לסטטיסטיקה של עומסי תנועה ואיומי פשיעה, ולמיקום הניידות המתמודדות עימם צריכה סביבת הניהול המאובטחת לשלוט במכלול עומסי התנועה ברשת, לדעת לנתב אותם ולזהות את איומי האבטחה".

עוד היא אמרה, כי "עולם האבטחה הארגוני עובר לענן. סביבה זו מאפשרת ייעול משמעותי של משימות ה-IT ומעוררת אתגרי אבטחה חדשים. בענן, היישומים הארגוניים נמצאים בשכנות קרובה ליישומים של ארגונים אחרים – מצב שמחייב הגדרת כלים, תהליכים, מערכות ניטור ושליטה הנדרשים על מנת לבודד את הארגון ולהגן עליו".

"יש ליצור ניהול אבטחה מקיף"
תרבות האבטחה הארגונית, הסבירה לאבג'וי, "חייבת לפעול מעבר לתחומי הארגון עצמו. כך, למשל, יש להגדיר וליישם שיטות לשילוב מאובטח משתמשים חיצוניים – ספקים או לקוחות – בתהליכים המנוהלים על גבי הרשת הארגונית. ככל שהפתיחות הזאת גוברת, ומייעלת את המשימות העסקיות, חובה להגן במשנה זהירות על יהלומי הכתר של הארגון". לדבריה, "על מנת להצליח במשימה, הארגון חייב להגדיר במפורט את המידע והיישומים הקריטיים ביותר שלו: נתונים הנדסיים, נתונים פיננסיים ומידע אודות עסקות רכישה ומיזוג עתידיות". היא אמרה, כי תהליך ההגדרה הראשוני הזה חיוני כדי להקים חומות הגנה ולהגדיר את הרשאות הגישה לכל פריט מידע, בהתאם לרמת הסודיות שלו.

"יש ליצור ניהול אבטחה מקיף, כולל מעקב המאפשר לדעת בכל רגע נתון מי הוא מי", הוסיפה הבכירה בענק הכחול. "עובדי קבלן עשויים להפוך לעובדי חברה; עובדי חברה עשויים לשנות את הגדרת התפקיד ותחומי העיסוק, כמו גם את ההרשאות שנגזרות מההגדרות הללו; עובדים מסיימים את העסקתם בחברה ועוברים לעבודה מחוץ לה.

"כל מעבר או שינוי כזה מחייב עדכונים של הגדרות האבטחה", סיכמה. "חוסר הקפדה על עדכונים כאלה עלולה להיות מתורגמת, בסופו של דבר, לזליגה בלתי רצויה של מידע".

הכותב הינו שליח אנשים ומחשבים לארצות הברית