עליית מדרגה בתפעול ואבטחת ה-IT באמצעות מיכון תהליכים מבוסס מערכת Promisec (חלק ראשון מתוך שניים)
שיחה עם חיים אינגר, סמנכ"ל הטכנולוגיות הראשי (CTO) של כלל ביטוח
רקע
קבוצת כלל ביטוח מחזיקה בחברות ביטוח, סוכנויות ביטוח, קרנות פנסיה, קופות גמל, קרנות השתלמות, חברות למתן אשראי וחברות לניהול נכסים פיננסיים. בקבוצה, הפועלת בארץ ובעולם מעסיקה למעלה מ-4000 עובדים והיא פועלת עם כ-2,000 סוכני ביטוח. כל אלה מציבים אותה כקבוצת הביטוח, הפנסיה והפיננסים המובילה בישראל. חיים אינגר מספר על תפישת IT מעניינת המבוססת על מעבר לאוטומטיזציה מלאה של תהליכי תפעול ובקרה, תוך מיצוי סינרגיה בין הכלים הטכנולוגיים הקיימים בארגון.
"מספר האתגרים שלנו כארגון פיננסי הוא עצום", מספר חיים – "התמודדות עם אלפי משתמשים שלא תמיד מודעים לסיכונים ולשימוש נכון במשאב המחשוב, שינויים ארגוניים, איומים חיצוניים, רגולציות, נהלים, אפליקציות מורכבות, ועוד. בקבוצת כלל מוגדרת מדיניות אבטחה וסיסטם שאושרה על ידי ההנהלה. מדיניות זו מבוקרת בצורה שוטפת על ידי מספר מעגלי אבטחה החל מ-FW ומערכות GW בכניסה לארגון, דרך כלים מרכזיים כמו Group Policy ,SCCM וכלה בכלים ייעודיים המותקנים בתחנות ובשרתים כמו מערכות AV והגנת בפני הכנסת התקנים, וכן כמובן במערכות SIEM ו-NAC. המדיניות שלנו כוללת כללים פשוטים – מה מותר ומה אסור בארגון, וכמובן אנחנו מונחים לעמוד בתקנות דוגמת SOX, ביקורות פנימיות, וכדו”.
אתגרים מרכזיים ברשת הפנים-ארגונית
* עליה רצופה של כמות האיומים והסיכונים שאינם מוכרים ברשת הפנים-ארגונית
* איומי Cyber
* בקרה על מימוש בפועל של כל מרכיבי מדיניות ה- IT ופרוייקטים חדשים
* יצירה ושמירה של סטנדרט ארגוני בלפטופים, תחנות ושרתים
* בקרת פעילות חריגה של העובדים וספקי שירותים במשאבי המיחשוב
* תקנות רגולטוריות SOX ותקני ISO
* צורך בביצוע בקרה על אתרי מחשוב של חברות-בנות
* זיהוי מגמות ובניית מענה להן
* מענה מהיר בעת אירועי אבטחת מידע מערכתיים
* שמירה על השקעות הארגון בכלים ומערכות, תוך שיפור תהליכים תפעולים
"למרות שיש לנו כלים תפעוליים ואבטחתיים טובים, מצאנו כי בתחום ניהול מדיניות ה-IT ישנו אתגר משמעותי שלא תמיד מוכר למנהלים והוא – האם אוסף המדיניויות שקבענו לעצמנו יחד עם הרגולציות שבהן אנו מחוייבים אכן מיושמים בכל הארגון, כל הזמן? או בפשטות – מהו הפער בין "הרצוי למצוי", ואיך מודדים ומתקנים אותו במינימום התערבות ידנית?
"כשחקרנו את הנושא מצאנו כי פערים כאלה (Policy gaps) אכן קיימים – מדיניות שלא חילחלה כראוי לחלק מהתחנות, דיווח חלקי ולא מדוייק מצד מערכות האבטחה, חומרות והתקנות לא מורשות שנעשו ע"י המשתמשים, טלאים חסרים, סוכנים תפעוליים ואבטחתיים (Agents) שלא היו פרוסים בצורה מלאה, ועוד. מה שיותר הפתיע אותנו הוא שחלק מהפערים אינו מוצף כלפי מעלה בצורה מהיימנה ע"י הכלים המסורתיים מבוססי Agents, וכך נוצרת "הטעייה" בתמונת המצב של ה- IT. בעוד הנטייה היא לסמוך על דיווחים מערב-רב של כלים ולהנות מתמונה מערכתית "ורודה", למעשה מתחת לשטח ישנה בעיה ברמת המוכנות של הארגון לקראת אירועים נקודתיים ומערכתיים".
"למרות שאנחנו סומכים על הכלים הקיימים שלנו, בארגון מורכב ודינאמי כמו שלנו יש צורך בעין מפקחת נוספת, בלתי תלוייה – ללא תלות בתשתית, כלים ומיקום גיאוגרפי, ובעיקר ללא צורך בהתקנה של עוד סוכנים נוספים שמכבידים על התחנות, אלא בתפישת Agentless. "דרך האתגר הזה, הגענו לחברת Promisec. חיפשנו פתרון שיודע לבנות ולקבץ מרכזית אוסף של מדיניויות, לבקר את מימושן, וכן לבצע אימות Policy Assurance כל העת, על מנת להיות עם היד על הדופק.