לקראת כנס ISSA | מייקל הארטמן, מנהל אבטחת המידע בסאפ: "אין באפשרותי לאכוף באופן מוחלט את שמירת המידע הסודי, ולכן המודעות של העובדים חשובה כל כך"
אבטחת מידע חיונית למנהלים ומנמ"רים. כיצד היית מגדיר אותה?
"בעיני, המשמעות של אבטחת מידע היא שהמערכות הארגוניות ממשיכות לפעול כרגיל גם כאשר הן נתונות למתקפה".
אתה אחראי לאבטחת מידע בסאפ, מה כוללות מטרות התפקיד?
"מוקד התפקיד הוא קידום מדיניות אבטחת המידע שלנו. אנחנו עובדים עם הליבה העסקית של הארגון להגדיר את צורכי אבטחת המידע ואת המימוש של המדיניות, ומתאמים את העבודה עם הקבוצות השונות.
הדבר כולל, כמובן, את הבניית האבטחה שתשמר את הפעולה התקינה של התהליכים העסקיים בזמנים קריטיים. אנחנו מזהים ומנתחים את הסיכונים בכל האזורים, דבר המאפשר לחברה להחליט אילו סיכונים לקבל ואת אילו להקטין".
מה עם חיסול הסיכון לחלוטין?
"אין 100 אחוז אבטחה, תמיד ישנם סיכונים. אנחנו מגדירים הצלחה בכך שכל אירוע שקורה נצפה והוגדר במסגרת ניהול הסיכונים. לעיתים הקטנת הסיכון אינה משתלמת כלכלית, ופשוט עדיף לקבל אותו ולהמשיך הלאה".
אבטחת מידע עולה זמן וכסף, אך אינה מייצרת הכנסות. כיצד ניתן לשכנע חברות להשקיע באבטחה בכל זאת?
"צריך להבין שאבטחה מכילה יותר מאשר אמצעים טכנולוגיים. גישתם של העובדים לאבטחה והתנהלותם היומיומית חשובות לא פחות. לדוגמה, באם הם שמים לב לאנשים זרים במשרד, או נמנעים משיחות טלפון חשובות במקומות ציבוריים. למעשה, שיכנוע העובדים בדבר חשיבותה של אבטחת המידע זה כבר חצי מהעבודה".
כיצד משפיעים בלוגים באינטרנט וקבוצות דיון?
"אין באפשרותי לאכוף באופן מוחלט את שמירת המידע הסודי, ולכן המודעות של העובדים חשובה כל כך".
איך תומכת סאפ בלקוחותיה בנושא אבטחת המידע?
"בפיתוח המוצר, תהליכי פיתוח מבוקרים מבטיחים שהתוכנה שלנו תמיד עומדת בסטנדרטי האבטחה העדכניים ביותר. סאפ מספקת חומר רב המלמד כיצד ניתן לקנפג את מוצריה בצורה האופטימלית מבחינת אבטחת מידע. בנוסף מספקת סאפ שירותים כגון SAP Security Optimization המציג סיכוני אבטחה בהתקנה, וגם את SAP MaxSecure Support".
איך עוזרים מוצרי סאפ לקדם את אבטחת המידע בארגון?
"המוצרים שלנו עוזרים באכיפת סטנדרטים לבקרה על תהליכים עסקיים. עם זאת, התוכנה אינה מספקת פיתרון ארגוני כולל לבעיית אבטחת המידע, ואינה מבטיחה אבטחה מוחלטת".
כיום חברות רבות משתפות פעולה באופן נמרץ ברשתות חוצות אירגונים. איך מתמודדים עם סיכונים בסביבה שכזו?
"אין ספק שסביבה שכזו יוצרת אתגרים לא פשוטים. חברות באופן הולך וגובר מבזרות את עיבוד המידע ואחסנתו. אם פעם הגנת התשתיות היתה הפוקוס, היום ההגנה על המידע היא המרכז. הצפנה, חוזים עם צדדים שלישיים הכוללים סעיפים המחייבים רמה מוגדרת של הגנה, וביקורות לצורך ציותיות, הן השיטות העיקריות בשימוש".
כמה מועילים הם פתרונות של מיקור חוץ לאבטחת נתונים? לדוגמא, עם פתרון SAP Business ByDesign נתוני הלקוח נשמרים על שרתים של סאפ.
"מוצר מיועד ללקוחות קטנים ובינוניים שאין להם משאבים להגן על המידע ברמה הנדרשת. ללקוחות כאלו, הסתמכות על היכולות של סאפ יכולה להוות פתרון טוב"
כמה כסף כדאי לחברות להשקיע באבטחת מידע ואילו תועלות יש להשקעות אלה?
"ין לכך תשובה פשוטה, על כל חברה צריכה להחליט על רמת הסיכון שהיא רוצה לחיות עימו. בכל מקרה, כל השקעה באבטחת מידע צריכה לכלול תועלות שניתן להוכיח, ושתורמות לירידת הסיכון לרמה שנבחרה".