הכירו את קלארק רודג'רס מ-AWS: הלוחם ברעים בסייבר

הוא הגיע לעולם ה-IT במקרה, ולאבטחת מידע בטעות. קלארק רודג'רס היה לוחם במארינס, ומסרב לפרט מה עשה שם. לאחר מכן עבד בחברה ביטחונית, שהוא מנוע מלומר מה עשתה. אז גילה רודג'רס שניתן לחסוך כסף וזמן לחברה – עם הכנסת מיכון לתהליכים ידניים ומרובי ניירת. "התחלתי להתעניין במחשוב. מפה לשם מצאתי את עצמי מתמקד באבטחת מידע והגנת סייבר", אמר רודג'רס, מנהל אסטרטגיית אבטחה לארגוני אנטרפרייז, ב-AWS (אמזון ווב סרביסז).

רודג'רס התראיין לאנשים ומחשבים במסגרת כנס האבטחה השנתי AWS re:Inforce 24, שערכה ענקית הענן באחרונה בפילדלפיה, בהשתתפות אלפי לקוחות ענקית הענן ושותפיה העסקיים.

בעשור הקודם רודג'רס שימש מנהל אבטחת מידע בחברת ביטוח בינלאומית. "הייתי אחראי על ההגירה הכוללת של אחת מהחטיבות המרכזיות בתאגיד, לענן של AWS", סיפר בראיון. "עבר כמעט עשור, והיום ארגונים מקבלים ענן ביותר קלות ובפחות חששות. אבל ב-2015, היו לא מעט חברות שנמנעו מהמעבר לענן, בשל דרישות אבטחה מחמירות. ואילו אצלנו, המצב היה הפוך: המניע להגירה לענן נעשה דווקא בגלל דרישות אבטחה: רצינו להעלות את רף האבטחה בהגנה על הנתונים האישיים, המאוד רגישים שלנו. נדרשנו להסמכה מסוג SOC 2 (ר"ת System and Organization Controls 2) – כדי להוכיח שאנו מגינים על הנתונים כנדרש".

לדבריו, "המהלך נחל הצלחה מסחררת: החטיבה קיבלה את הסמכת האבטחה הנדרשת, והמעבר לענן הניב כמה תועלות: זמינות גבוהה יותר, זריזות תפעולית, הגדלת רמת האבטחה וצמצום עלויות תפעוליות".

ערכה באחרונה את כנס האבטחה השנתי AWS re:Inforce 24. אמזון ווב סרביסז.

שינוי התפישה של מקצועני האבטחה

"מדובר בשינוי תפישה", הסביר רודג'רס. "מסורתית, מנהלים בארגונים ראו את צוותי אבטחת המידע כמי שפועלים נגד האינטרסים העסקיים בארגון. בחלוף השנים, מנהלי האבטחה השכילו לבצע את השינוי הנדרש במיצוב ובהתנהגות שלהם. הם הפסיקו להיות במנטליות של 'מכבי אש' ועברו להיות מנהיגים, חלק מההנהלה. ככה הם זכו והארגון הרוויח: מנהלי הגנת סייבר בארגונים כיום נתפשים כחלק מההובלה העסקית, ואילו המנהלים העסקיים מבינים את החשיבות של הגנת הסייבר כחלק מהניהול של הסיכונים העסקיים. כך, סמנכ"ל כספים בארגון מבין לא רק בשורות אקסל, רווח הפסד, הכנסות והוצאות – אלא גם במשמעויות של אירוע סייבר. האבטחה היא כבר לא 'משהו רע', אלא מה שמניב לארגון תרומה עסקית".

לדברי רודג'רס, "בשל התרחבות איומי הסייבר, ריבוי התקנות והרגולציות, הצורך בהגנת הסייבר, ציות והלימה לרגולציות והגנת הפרטיות – מנהלי האבטחה יכולים לתת מענה לכלל האתגרים הללו, ולאפשר לארגון להיות יותר חדשני, מהיר ונוטל סיכונים עסקיים מחושבים".

"כשהתהליכים נערכים באופן מאובטח ובענן, כאשר הארגון מממש את תפישת 'אבטחה לפי תכנון/עיצוב' ( Security by design) – תפישה בה האבטחה מטופלת מההתחלה, מובנית בכל שכבה ומתחילה בתכנון ארכיטקטורה חזק – אז הארגון ועובדיו יהיו מועצמים". 

לדברי רודג'רס, "ארגונים ניצבים למול כמה אתגרים: עליהם לבנות מוצרים ושירותים מהר, ולהגיע לשוק מהר, TTM. ככל שהם ישכילו לטפל בהיבטי אבטחה יותר מוקדם, ככה התהליך יעלה להם פחות כסף והם יגלו את התקלות מוקדם יותר. תהליכים מאובטחים משמעם שחרור מהיר יותר של המוצרים. אבטחה היא חלק ממחזור חיי הפיתוח של המוצר".

"בכירים בארגונים צריכים 'לנשום אבטחה'"

רודג'רס הרחיב: "אני מסביר לבכירים בארגונים שעליהם 'לנשום אבטחה', כי ככה יש פחות חיכוכים ועימותים. אז הארגון מבין שהאבטחה היא עוד היבט, כמו למשל, בקרה על איכות המוצר. לנשום אבטחה זה חלק ממה שאת.ה עושה".

"מנהלי האבטחה בארגונים", אמר, "הם כבר לא בוני חומות, מונעי פעילויות וסרבנים סדרתיים. הם הפכו למאפשרים עסקית, ומסייעים לארגון להרוויח יותר כסף. בתפקידי, אני בא לסמנכ"לים ומבטיח להם דברים שלא קשורים לאבטחה: גמישות עסקית, יכולת לנוע מהר, אפשרות להגיב לתנודות בשוק, ועוד ועוד אג'יליות. את כל אלו קשה לעשות ולהשיג בקרקע. הנתונים בענן מוגנים יותר מאשר כשהם בקרקע, באירוח או בדאטה סנטר הארגוני. בקרקע קודם אתה בונה ורק לאחר מכן מאבטח. בענן, אבטחה תחילה היא חלק אינהרנטי מהפעילות: החל מניהול זהויות, עבור במניעת חדירה של מתקפות ונוזקות, וכלה בקבלת תמונת מצב מפורטת, עם נראות ברזולוציה גבוהה – של האבטחה".

"אנשי ואני מסייעים למנהלים.ות להיחשף לענן, ללמוד אותו לעומק ואז להבין כיצד הענן יכול לשנות את האבטחה, לשפר את הגנת הסייבר", סיכם רודג'רס. "רק לאחר מכן אנחנו יושבים איתם כדי למצוא את הפתרונות הארגוניים הנכונים. ההכרה של עולמות האבטחה, הסיכונים והניהול שלהם, לצד ההלימה והתאימות לרגולציות – היא שתעשה לארגוניים חיים קלים יותר במסעות הטרנספורמציה שלהם בענן. המעבר לענן אינו טריוויאלי – אבל אני מאמין שרוב הארגונים יכולים להיות בטוחים יותר בענן מאשר בקרקע. אני עוזר לארגונים להשיג שקט נפשי כדי שיתמקדו בעסקי הליבה שלהם".