באחריות מי? האחריות ארגונית
ינואר-פברואר 4102
הביטחון
| 18
יאיר רודיאקוב*
אבטחה או הגנה על מידע כשמה כן היא:
הגנה על "מידע" מפני "משהו לא־טוב", שיכול
לקרות ל"מידע". אם נגדיר מה זה "משהו לא־
טוב" ונגדיר מה־הוא "מידע", אזי נדע בדיוק
למה הכוונה בצמד המילים "אבטחת מידע"
או "הגנת מידע" (לדעתי היינו הך לפחות
בהיבט הסמנטי).
ההגדרה המקו לת כיום לדעתי היא, שאותו ה"משהו לא־טו "
כולל את הפגיעה סודיות המידע (אם המידע סודי), פגיעה שלמות
המידע ואמינותו אם הן חשו ות ופגיעה זמינות הגישה למידע, אם
היא חשו ה.
וגם הגדירו מה כלול מילה "מידע". כדי לפשט נאמר, שמדו ר
וסף נתונים שלל צורות כגון, אותיות, מילים, משפטים, וסימנים
המצויים על־ג י תשתיות מדיה שונות (נייר, תשתית מיחשו
דיגיטאלית, אופטית) צורה של מסמכים, שרטוטים וכיוצא זה.
סיכומו של ד ר זו היא הגדרת טחת המידע הידועה מימים
.
Confidentiality, Integrity, Availability
ימימה: הגנה על
מה שלא כלול הגדרה זו הינו מי האחראי על מה חלוקת האחריות
הארגונית כפי שאפרט להלן:
: מי אחראי על הטיפול סיכון הפגיעה
הטיפול בסיכונים השונים
סודיות? מי אחראי לטיפול סיכון הפגיעה שלמות ו מינות? ומי
האחראי לטפל סיכון הפגיעה זמינות? האם זה גורם ארגוני אחד או
יותר? היכן ממוקם רגון אותו הגורם או אותם הגורמים?
: ההי טים הפיסיים,
הטיפול בהיבטים הפיסיים והמיחשוביים
הם מצוי המידע (נייר, מחש ים נייחים וניידים), מנוחה או תנועה
(לדוגמה, מגירה משרד או תיק, כאשר נלקח ממקום הע ודה
לאתר לקוח ויהא זה דו"ח או מחש נייד או סמרטפון) ו הי טים
המיחשו יים־דיגיטאליים־אופטיים, ש הם מעו ד המידע, נאגרים
הנתונים ומוע רים תקשורת (ההגנה המקצועית הנדרשת מדיום
הדיגיטאלי או האופטי, וזה כולל הר ה, לדוגמה, מערך מידור והרשאות,
טיפול קוד זדוני, איתור והדיפת התקפות מכיוון הרשת הפנימית
והחיצונית).
כולל
שילו של שני הנושאים י יא לכך, שהטיפול הי ט הפיסי
התייחסות לסיכוני סודיות, שלמות, אמינות וזמינות. גם הטיפול
הי ט המיחשו י כולל התייחסות לסיכוני סודיות, שלמות ואמינות
וזמינות.
לידי יטוי כך, שהנושאים
הפתרון המקו ל למצ שכזה
הפיסיים מטופלים כולם על־ידי ממונה ה יטחון רגון (סודיות,
שלמות ואמינות, זמינות). לעתים הטיפול סיכון הסודיות מספק מענה
גם ליתר הסיכונים. לדוגמה: אם נדרש להע יר מסמך מסווג ממקום
אחד לשני, הוא מוכנס למעטפה מאו טחת ו כך מטופלים חת, גם
הי טי הסודיות וגם השלמות והאמינות. כמו־כן נעשה שימוש שירות
לדרות מאו טח וטופלו גם הזמינות וגם אמינות השירות, הכל תחת
גורם מקצועי אחד רגון, הממונה על ה יטחון.
מאידך גיסא, הטיפול הי ט המיחשו י, מר ית המקרים, איננו
מטופל על־ידי גורם ארגוני אחד. מנהל טחת־הגנת המידע אחראי
עיקר על הטיפול סיכוני הסודיות ל ד. מנהל מערכות המידע ומנהל
הפיתוח מטפלים דרך־כלל סיכוני השלמות והאמינות ללא נטילת
אחריות על טחת מידע, משום שתחום זה מצוי ראייתם חריותו
של "מנהל טחת המידע". נושא הזמינות כולל שני מרכי ים עיקריים:
השגה ושימור זמינות שיגרה ואספקת זמינות אפילו חלקית כאשר
השיגרה מופרת עתות חירום. מנהל תפעול מערך טכנולוגיית המידע
אחראי על אספקת הזמינות עת שיגרה, דהיינו, טיפול סיכון אי
הזמינות מ וצע דרך־כלל מצעות תכנון קי ולת ועומסים ואספקת
יתירות. מנהל התפעול איננו מתייג את עצמו כמטפל נושא טחת
מידע, הרי "יש מנהל טחת המידע רגון". סמנכ"ל התפעול, סמנכ"ל
כיר אחר או המנמ"ר מטפלים סיכון הזמינות לעת חירום מצעות
הכנת מענה הנקרא שפה המקצועית "תוכנית המשכיות עסקית". מי
שממונה על הנושא איננו מתייג את עצמו דרך־כלל כעוסק טחת
מידע, כי לנושא זה "אחראי מנהל טחת המידע".
המענה על־כן קיים מאז ומעולם, אין חידוש, אלא ש רמה הסמנטית
יש עיוות. כל העת נוצרים איומים חדשים ולא סיכונים חדשים. גם כאן
. אויי ים וחורשי רע חדשים צצים אף הם חדשות
1
הסמנטיקה חיונית
ל קרים, סדרי העוצמה של האיומים הקיימים עלולים להשתנות,
טכנולוגיות עשויות לקום וליפול, מ נה ארגוני עשוי להשתנות, כמו
גם מענים המתפתחים כדי לספק מענה לאיומים ולסיכונים, כל אחד
נפרד ו משול .
דוגמה קלאסית ת עשור דיוק הינה נושא ה"פישינג" (הוצאת
מידע ממשתמשים דרך של הונאה). זה היה קיים מאז ומעולם, מאז
שהיינו יכולים "לע וד האחד על השני" מצעות המדיום הדיגיטאלי
אבטחת-הגנת המידע והגנה
בסייבר- עולמותשונים או
?....
Buzzword
סתם
*הכותב הינו מתודולוג ומידען בתחום אבטחת מערכות מידע ומנהל תחום תקינה ומתודולוגיה ב"אבנת אבטחת מידע וניהול סיכונים"
חלק א' - אבטחת מידע בארגון ומחוצה לו
