העולם התקדם, היום כולם ממצים, ממצים את המהות, מהות הארגון, מהות העסק, מהות היחידה הארגונית מהות התפקיד וכך הלאה. הראיה על פיה עסק צריך לעסוק במהות העסק, נפוצה היום. המילה outsource היא לא קללה, רחוק מזה, קשה לדמיין חברה עסקית עם צי רכב מכובד שמתחזקת אותו בעצמה. עושים את זה עם חברה חיצונית, חברת ליסינג תפעולי כזו או אחרת, ויש בזה הרבה הגיון. הרי המהות של חברת ליסינג תפעולי הוא תפעול ציי רכב.
מה לחברה ליבוא מוצרי מזון ולתפעול ציי רכב? מה הם מבינים בזה?
על פי רוב, השרות שיינתן ע״י חברה חיצונית, בכל תחום, יהיה בעיקרון טוב יותר ממה שתעמיד חברה עסקית לעצמה. לחברה הנותנת שירותים לחברות עסקיות אחרות, במודל outsource יש יותר ידע וניסיון, יותר כח קניה ומכירה מול ספקי קצה ומנגנון פנים ארגוני שמבין את השפה של התחום.
הרבה עסקים מבינים את זה ולכן חברות רבות היום מוציאות יותר ויותר פעילות לחברות חיצוניות שמתמחות בתחום המיועד. חברות מוציאות את מערכי המחשוב שלהן, את תחזוקת תחנות הקצה, את מרכזי הבקרה שלהן, את מוקדי השרות והמכירה שלהן ואפילו את מערכות הליבה שלהן.
אבל כשזה מגיע להגנת סייבר ואבטחת מידע, שם זה נעצר!
את זה ארגונים מעדיפים לעשות בעצמם, עם אנשים ״שלהם״ עם המערכות שלהם. זה כאילו שכולם גילו את האור, אבל אנשי אבטחת המידע חושבים שחושך זה יותר טוב. מנהל אבטחת המידע של ארגון גדול היום, נשמע בדיוק כמו זה שאת הכיסא שלו הוא ירש. יש לו טכנולוגיה יותר סקסית, יש לו מנועי אנליזה, מלכודות דבש, כלי פורנזיקה וגם כמה מערכי הגנה מסורתיים יותר. גם אם הטרמינולוגיה השתנתה, העולם של הגנת הסייבר לארגונים עדיין במאה העשרים. יש אוסף של בעיות, הם קוראים להם איומים ולכל בעיה יש כלי ספציפי שמטפל בה ולכל שכבה של הרשת הארגונית, יש כלי משלה. נגד הבעיה ״וירוס״ יש כלי, ״אנטי וירוס״, הכלי הזה מותקן על תחנות קצה, על שרתים ואמצעי מחשוב אחרים. התקשורת ברשת הארגונית עוברת דרך ״אנטי וירוס רשתי״ והגישה לאתרי הארגון ומערכותיו דרך ״אנטי וירוס אפליקטיבי״. למנהל אבטחת המידע של ארגון גדול יש קושי רב בלנווט במטריצה האינסופית של איומים, כלי הגנה, שכבות ברשת, תקנים ומתודולוגיה. אין לו משהו שמנתח את הכל לרוחב, שמנקז אליו את כל הנתונים ושנותן תמונת מצב, ממנה באמת אפשר לגזור תוכנית עבודה. גם אם היה לו כזה כלי, לא סביר שיש לו את הידע, הזמן או המשאבים לחקור כל אירוע עד הביט האחרון וחזרה. לא סביר שיש לו מי שיסתכל על המידע שזורם, ינתח, יגזור מזה תוכנית פעולה.
אחרי כל זה, בכלל לא בטוח שהוא יודע להסביר את התוכנית שלו להנהלת החברה.
אבל בכל זאת צריך להיות הוגנים. זה לא עניין פשוט אבטחת מידע והגנת סייבר של ארגון בינוני או גדול. המורכבות היא לא בטכנולוגיה, לא בכח אדם ולא במתודולוגיה. המורכבות היא בהגדרה, בהגדרה של מה חשוב? מה לא כדאי שיצא החוצה? מה היא רמת הסיווג של הצעת מחיר? מה היא רמת הסיווג של נוהל, של שרטוט רשת, של תיעוד פניה של לקוח או של מייל ממשאבי אנוש המספר על אירוע החברה הבא? התשובות לא חד ערכיות, זה תלוי בארגון.
ליצר את מפת האיומים הזו, בצורה נכונה עבור הארגון, היא שאמורה להיות משימתו העיקרית של מנהל אבטחת המידע ורוב משאביו צריכים להיות מופנים לעניין הזה. אולם, מנהל אבטחת מידע שכזה, שבנוסף גם עוסק לבדו באיסוף הנתונים, ניתוח שלהם, הסקת מסקנות, יצירת תוכניות עבודה וביצוע שלה, כנראה יפספס קצת.
במאה העשרים ואחת זו כבר לא מהפכה להשתמש בשירותים חיצוניים גם לצרכי אבטחת מידע.
צריך למצוא את השותף הנכון, זה שיש לו את הידע והניסיון, זה שיש לו את האמצעים לתת מענה בעת אירוע אמיתי, זה שיש לו אמצעים לתת מענה לבעיות שהמידע המנותח יציף, זה שאפשר לסמוך עליו שישמור על סודיות. למצוא כזה שותף, להעביר אליו את האחריות לניטור המידע הזורם ממערכות הארגון, לתת לו לנתח אותו ולבנות תוכנית עבור אירועים דומים, צריכה להיות האסטרטגיה של מנהל אבטחת המידע של המחר.
נכתב על ידי מומחה אבטחת מידע בבזק בינלאומי
