כיצד על מנהל האבטחה לשמור על התוכנה ועל תשתית הארגון?
ג'סטין סומייני, סמנכ"ל האבטחה של סאפ, מתאר את האופן בו הוא פועל ● המטרה, הסביר, "היא להיות בשליטה על האבטחה מקצה לקצה"
"תפקידי הוא להיות בשליטה על האבטחה מקצה לקצה בארגון, לרבות היכולת להבטיח כי המכשירים של העובדים ומשתמשי הקצה מאובטחים", כך אמר ג'סטין סומייני, סמנכ"ל אבטחת המידע של סאפ (SAP).
סומייני משמש בתפקידו מתחילת השנה. בראיון לעיתונות הטכנולוגית בארצתות הברית אמר כי במהלך השנה הוא סייע להגדיר את התפקיד ואת סביבת האבטחה עבור מגוון תחומים בארגון הגלובלי, לרבות תשתית ואבטחת מוצר.
"מערך האבטחה בראשותי משתמש ברשימה ארוכה של טכנולוגיות אבטחה כדי להגן על עובדים. אלו כוללות, בין היתר, פתרונות להגנת נקודות הקצה, יכולות ניתוח פורנזי, סגמנטציה של רשתות, שליטה על גישה לרשת וסריקת פרצות".
לסייע לאבטח את הארגון
"האתגרים המעניינים ביותר עבורנו", אמר, "נמצאים במקום בו לפתרונות יש חולשות, שיכולות להתעצם על ידי חלק מהפתרונות החדשניים יותר בשוק". לכן, ציין סומייני, "אני מתעניין בטכנולוגיות של סטארט-אפים בתחום האבטחה, הנמצאות בצמיחה. אלו כוללות זיהוי ותגובה לנקודות קצה, וגישות לסקירת פרוטוקולים".
לדבריו, "אני גם משתמש בטכנולוגיות של סאפ, ועושה זאת באופן נרחב – כדי לסייע לאבטח את הארגון. כך, אני נעזר בפתרון שלנו ל-GRC (ממשל IT, ניהול סיכונים והלימה לרגולציות). באמצעותו אני מסוגל לאסוף את כל האותות והנתונים המגיעים מכלי האבטחה השונים, ומתוך תהליכים הפועלים ברחבי החברה. בדרך זו מתקבל דיווח רציף על מצב האבטחה של החברה".
"ישנם כמה מדדי אבטחה והוראות רגולציה שאנו עוקבים אחריהם במסגרת מאמצי האבטחה שלנו", אמר סומייני. "כאשר אני מדווח על אבטחת מידע, אני רוצה לספק שקיפות אמיתית לגבי מדדי הביצועים המרכזיים של החברה. אלה משפיעים על תזרים ההכנסות של החברה, על המוניטין שלה ועל הפעילות העסקית".
לדבריו, "אנו עוקבים גם אחר מדדים שונים של פגיעויות או פרצות, ובוחנים באיזו מהירות הבעיות זוהו ותוקנו. בין הבעיות המרכזיות שאני עוקב אחריהן, נמצאת השאלה האם סאפ משתפרת באופן מעשי בהפחתת מספר הפגיעויות והפרצות לאורך זמן".
לשפר את אבטחת הקוד
הוא ציין כי "יתרון אחד של עבודה עם סאפ, שמהותה היא בניית מוצרים שמסייעים לנהל עסק, הוא שאנו יכולים להתחבר אל המאגר המרכזי של הנתונים. האנשים שלי יכולים לזהות מה מריצה מערכת נתונה וכיצד היא מתחברת לכלל הפעילות העסקית של החברה. עם תובנה שכזו, אני יכול לחזות את ההשפעה האפשרית של פגיעה במערכת מסוימת – על ההכנסה של החברה".
"יצירת מודל השפעה מקצה לקצה על שרשרת ההכנסות, היא דוגמה אחת לדרך בה אתה משלב נושא אבטחתי בתפיסה העסקית", אמר סומייני.
הוא סיים באומרו כי מנקודת מבט של פיתוח תוכנה, "אנו מאמצים מודל פיתוח תוכנה, המבוסס של הקווים המנחים של תקנים בתחום, לטובת אפליקציות מאובטחות. בנוסף, אנו מריצים כלים שונים כדי לסייע לשפר את אבטחת הקוד".
תגובות
(0)