מאת שי זנדני ואיתי זיו, קסלמן פתרונות בניהול סיכונים

הסקר הגלובלי שערכה PwC בשיתוף מגזין ה- CIO וה- CISO לשנת 2010 (לקישור לחצו כאן) מניב תוצאות מעניינות בסקירת מצב הגנת
המידע. הסקר, שהקיף מספר רב של חברות ממגוון סקטורים (למעלה מ- 7200 משתתפים ביותר מ- 130 מדינות), בחן את היחס של ההנהלה הבכירה ומנהלי IT בחברות שונות להגנה על פרטיות ומידע.

כמו כולם, גם אנחנו חשבנו, שהמשבר החריף ממנו אנו מתאוששים, יוביל את הקיצוצים במשאבים וכ"א גם אל מחלקות אבטחת המידע בכל ארגון, הופתענו לגלות מתוצאות הסקר, שלא בדיוק כך קרה . למעלה מ- 63% מהעונים לסקר טענו שתקציבי אבטחת המידע ישארו באותה רמה או יעלו בשנים הקרובות למרות המשבר, או אולי בזכותו ?!

תקציבי אבטחת מידע בארגון נראים פחות "פגיעים" ממה שנדמה, לעיתים בצורה הנראית כי בכירי הארגון מגנים עליהם. באותה נשימה חייבים להוסיף שאותן מחלקות נמצאות תחת לחץ גדול להניב ביצועים והישגים - לא עוד כלים ומוצרים שנרכשים ומסיימים את חייהם על המדפים, אלא פתרונות ממוקדים, ליישום בזמן קצר.

נושא מעניין נוסף שעולה בצורה ניכרת בין משיבי הסקר הוא השקיפות והידע שיש כיום למנהלים לגבי אופי תקריות אבטחת המידע בארגון, ויתרה מכך, לגבי המקור וההשפעה שלהם. המספרים מראים עלייה לגבי כמות המקרים בשנה האחרונה, מה שמדגיש כי ארגונים מטמיעים יותר ויותר מערכות ניטור ומרכזי SOC ארגוניים, אך עדיין יותר מ 30% מהמשיבים לא בטוחים מהו מקור אירועי אבטחת מידע שחוו בשנה החולפת.

את אופי הארועים וניצול המשאבים הארגוניים לרעה, חילקו לכמה קטגוריות שהמוביל שבהם הוא זליגת המידע והנתונים (Data) עם 23% מהמקרים ואחריהם הרשת הארגונית (Network),  מערכות החברה, אפליקציות, וגם המרכיב האנושי בסוף עם 13%.

כשנשאלו משתתפי הסקר מה המקור האפשרי לתקריות, ומהיכן ייתכן שהתחילו, ההתפלגות הייתה גם כן ראויה לציון - 33% ענו שמדובר בעובד פעיל בחברה, 19% סבורים שמדובר בעובד לשעבר, 26% השיבו כי מדובר בהאקר ו39% מהנשאלים השנה פשוט לא יודעים.

דרכינו לאן?

אחרי שנים מחוץ לאור הזרקורים, ההגנה על הידע והמידע בארגון חוזר לכותרות, הרבה מהחברות מתמקדות עכשיו בהגנה על מקורות המידע בארגון, בסיסי נתונים, אתרי שיתוף קבצים, מחשבים ניידים ומדיה נתיקה. שלושה נושאים חזרו ועלו בין המשיבים לסקר -

DLP- כפי שציינתי בשני ה- Post-ים הקודמים, תחום ה- DLP מעניין מאוד ארגונים בארץ ובעולם. במסגרתו מתחילים ארגונים לפעול בכיוון של -

• הכנת רשימות מצאי -  מיפוי של כלל מקורות המידע בארגון, סוג המידע וזרימתו בארגון.
• סיווג המידע  - עליה בכמות הארגונים שעוברים לתעדף ולסווג (מיון) את המידע שברשותם לפי חשיבות והסיכון הטמון בו. בטבלה מטה, ניתן לראות את העליה החדה באירועי Data Exploited. אני מקווה שהחקיקה החדשה שמתוכננת ע"י הרשות למשפט, טכנולוגיה ומידע של משרד המשפטים בראשות עו"ד יורם הכהן, תביא לסדר ולאכיפה בתחום. לטיוטת חקיקה של רשות למשפט, טכנולוגיה ומידע (לקישור לחצו כאן).

בהמשך להערכתינו, נראה יותר ויותר פרויקטים אשר מטמיעים כלים למניעת זליגת מידע אל מחוץ לארגון או מניעת גישה לכאלה שאינם מורשים לו.

סכנות ויתרונות ברשת החברתית

התחום השני בו יעסקו ארגונים רבים השנה הוא הסיכון הטמון ברשתות החברתיות ככלי באיסוף מידע על ומתוך הארגון. לא אחת שמענו על ארגונים שמחליטים לחסום באמצעים טכנולוגים (כך גם נראה בסקר) את הגישה לאותם פורומים ורשתות חברתיות, ולו רק למען הסר ספק. המומחים בכל אופן בטוחים שלא מדובר בפתרון הרמטי, ושמדובר רק בנדבך אחד מתוך כלל המכלול של חינוך ומודעות בקרב העובדים לגבי התנהלות ארגונית עם מידע והסיכונים בשימוש בו. עם זאת, קיימים יתרונות לא מעטים לשימוש מושכל ברשת החברתית - חיזוק קשרים עם לקוחות פוטנציאליים, זיהוי צרכים ועוד. אין ספק שבעת הקרובה ארגונים יחלו לקבוע מדיניות ארגונית - איך וכיצד יש להשתמש ברשתות אלה תוך שמירה על המידע הארגוני.

לקפוץ על ענן, כדאי לקחת מצנח

יותר ויותר ארגונים בוחנים את שירותי ה"ענן". למרבית ההפתעה, תוצאות הסקר מראות השנה כי כ- 50% מהארגונים שעברו לשיטת ה-cloud computing  מעריכים כי העניין תרם להם לרמת אבטחת המידע בארגון, 42% חושבים שהרמה נשארה כשהייתה, ועשרה אחוזים סבורים כי הרמה ירדה. בחלק מהמקרים, מחלקות IT בארגונים וחברות שונות, נוטים לפסוח או להקל ראש בבנית מערך ה"ענן" בצורה נאותה, דבר שיכול, ואף גרם, לנזקים רבים מתחום אבטחת המידע באותם ארגונים. בדרך כלל נובע הדבר מחוסר ידע\תרגול\וניהול נכון שלו. בחלק גדול מהמקרים, המעבר לשירותים אלה חייב את הארגון לבחון את ארכיטקטורת אבטחת המידע ולהגדיר טוב יותר את הציפיות מהספק ומעצמם. אין ספק כי טמונה עוד עבודה רבה בפיתוח "אמון" לספקי השרות וכי המילה האחרונה בתחום עוד לא נאמרה.

כאמור, זה הסקר העשירי אותו מבצעת הרשת הגלובלית של PwC. סקרים אלה מאפשרים לנו הצצה גלובלית לתחום אבטחת המידע ומציגים בפנינו מגמות וכיוונים בתחום

ניפגש בסקר הבא,

שי

מאת שי זנדני וירון כץ, GRMS

בסדרות משטרה, כגון -  CSI וסרטי מתח שוברי קופות, אנו רואים כיצד השוטרים מגיעים לחקור את זירת הפשע. כשהחוקר מחבר את הכבלים למחשב, מופיעות על פני המסך תמונות ומספרים בצבעי ירוק או שחור. לא עובר זמן רב עד שהחוקר מצהיר "מצאנו את ההוכחות, הוא אשם".

כמובן שדברים כאלה לא קורים במציאות, ואין תוכנות קסם שפותרות תעלומות פשע במהירות שכזו, אך בהחלט קיימת התמחות מקצועית העונה לצרכים חקירתיים אלה המכונה Forensic Technology Services - FTS .

כ-90% מהמידע כיום הינו בפורמט אלקטרוני (1) ESI- Electronically Stored Information, לכן, בבואנו לבצע פעולת חקירה כלשהי, תהיה זו פנימית, חיצונית או מכל סוג שהוא, אנו צריכים להיות מסוגלים לקבל גישה נוחה למידע. בנקודה זו, מגיע לידי ביטוי ה-FTS, המאפשר למצוא, לשחזר, לשמר, לנתח ולעבד נתונים במהירות, תוך זמן קצר, מתוך מגוון רחב של מקורות מידע דיגיטליים.

מרבית פרויקטי ה-FTS הינם בתחומים הבאים:
• חקירות מחשב - העתקה, שיחזור וניתוח המידע (Computer Forensics)
• ניתוח דואר אלקטרוני (E-mail Analysis)
• ניתוח מידע (Data Mining)

חקירות מחשב (Computer Forensics)
תחום זה עוסק באחזור ואיסוף של ראיות ממוחשבות, אחזור של קבצים מחוקים ומידע אחר, אשר לרוב מוסתר מהמשתמש הממוצע, ואיסוף ממגוון רחב של מדיות דיגיטליות החל מקלטות גיבוי, דיסקים קשיחים ו-DVD ועד טלפונים סלולאריים ו- Smartphone. פעולות אלו מבוצעות בעזרת כלי שיחזור מקצועיים, המאפשרים בין השאר יצירת העתקים מדויקים של מקורות המידע האלקטרוניים. מהעתקים אלה ניתן לשחזר מסמכים, דואר אלקטרוני, טרנזקציות חשבונאיות, לוגים ואפילו קבצים מחוקים. כל אלה ינותחו וייבדקו ע"י צוות החקירה.

מתודולוגיית העבודה בתחום זה, ומקצועיות האיסוף והשחזור הן קריטיות ונועדו להבטיח קבילות עתידית של המידע כעדות בעלת תוקף משפטי.

ניתוח דואר אלקטרוני (E-mail Analysis)
כיום דואר אלקטרוני משמש כלי מרכזי לתקשורת במרבית הארגונים, ולכן הינו גם כלי ראייתי מרכזי בחקירות. השימוש בכלים ייעודיים לעולם ה- E-Discovery (כגון – encase, dtSearch, FTK ועוד), ניתוח ואחזור הדואר האלקטרוני מאפשרים לצוותי החקירה לחפש במהירות וביעילות מידע המצוי בדואר האלקטרוני ובמסמכים המצורפים. כל זאת באמצעות מילות חיפוש בלבד ומבלי לפתוח ולקרוא כל מסמך בנפרד.
כיום נמצאים בשימוש מגוון רחב של כלים לחיפוש וניתוח מידע בדואר אלקטרוני. הבחירה באילו כלים להשתמש תלויה בכמות המידע, מספר הקבצים שאותרו בחיפוש ומורכבות החיפוש.
על מורכבות החיפוש והבעיות שמתעוררות כאשר מספר שפות מעורבות בחומר המנותח, ובעיקר על מורכבות השפה העברית, ניתן לקרוא במאמרו של רפי בוחניק, מנהל ב-(GRMS (2- קסלמן פתרונות בניהול סיכונים PwC ישראל.
 

ניתוח המידע (Data Mining)
אנו משתמשים בטכניקה של ניתוח המידע במקרים בהם נדרש מאיתנו להתמודד באופן בלתי תלוי ובסביבה סטרילית בכמויות אדירות של מידע חשבונאי שנאסף מתוך המערכות הפיננסיות של הארגון.
גם כאן, כמו בסוגיית הדואר האלקטרוני, סוג הניתוח והכלי שיהיה בשימוש תלויים בכמויות המידע הגולמי, מורכבות המערכות הפיננסיות והמידע המצוי בתוכם, כמות הטרנזקציות ומספר השנים לניתוח.
הניתוח לרוב מתמקד בנושאים הבאים:
• ריבוד וסיכום הטרנזקציות
• איתור טרנזקציות חריגות (תשלומים לחשבונות בנק לא ידועים)
• איתור תשלומים כפולים
• איתור חריגות (חשבונות מרובים, חשבוניות בתאריכים לא הגיוניים)
• איתור של פעולות שבוצעו בשעות ובתאריכים חריגים
• זיהוי ואיתור של ניגוד עניינים אצל עובדים
• איתור קשרים חשודים ובלתי צפויים בין ספקים, לקוחות ועובדים
• איתור עובדים "פיקטיביים" בארגון

לסיכום, ארגונים רבים נדרשים לפתרונות טכנולוגיים בתחום החקירות. לפי מחקר שנעשה ב-2007 על ידי PwC, 62% מהחברות הגדולות (מעל 5,000 עובדים) דיווחו על הונאה כלשהי בשנה זו, כאשר רק 34% מההונאות התגלו בבקרות פנימיות בחברה .

בסביבה העסקית של ימינו ישנה חשיבות רבה למקצועיות בתחום, לצד אמינות המידע שנאסף. ישנה משמעות יתירה לצורך בעבודה מסודרת ושיטתית, על מנת שתוצרי העבודה יוכלו להיות קבילים בבית משפט. יש לציין כי, לרוב פעילויות אלה מתבצעות בשילוב הדוק עם גורמים משפטיים.

הצורך ביכולות של איסוף מידע ושחזורו ביעילות ובמהימנות גדל, ואין ספק כי אנו עוד צפויים לראות התפתחויות רבות בתחום זה בשנים הקרובות, הן במידע דיגיטלי (מסמכים, דואל) והן במידע אנלוגי-דיגיטלי (קול, תמונה).

אשמח לענות על כל שאלה.

שלכם,
שי

  The National Law Journal – July 2008 .1

  FTS Eurofirm Newsletter 2nd edition. 2:
  Running Multilingual e-Discovery Project – May 2008

כהמשך לפוסט הקודם בנושא מידע רגיש בארגון, ולאחר שקיימנו מפגש - שולחן עגול במשרדינו בנושא - פרטיות, הגנה על מידע ו- DLP, התחושה הינה כי ארגונים רבים מודעים לנושא, אך לא בהכרח יודעים כיצד להניע פרויקט ארגוני מסוג זה.

הפתרון להגנה על מידע בארגון (שימו לב - לא אבטחת מידע אלא הגנה, וזה היה אחד מנושאי ההרצאה שהועברה ע"י מר איציק כוכב מנהל הגנת מידע בשירותי בריאות כללית במפגש) לא יכול להתבצע ע"י פתרון נקודתי או כלי טכנולוגי, אלא חייב לכלול התייחסות למגוון התהליכים הארגוניים, גיוס האנשים  הנכונים לביצוע המשימה ויישום הטכנולוגיה המתאימה.

מניסיוננו, ביצוע הערכה של המידע הרגיש בארגון מורכב מחמישה שלבים עיקריים -

הגדרה (Defining) :  על ידי ראיונות אישיים וקבוצות דיון בארגון מתקבלת אצלנו הבנה לגבי הרגישויות והצרכים - בהיבטים גיאוגרפיים, תפעוליים, תקנים גלובאליים בנושאי פרטיות והיבטים עסקיים. על-ידי כך ניתן להגדיר פריטי מידע ע"פ הרגישות והחשיבות שלהם להמשך התנהלות תקינה בארגון. כחלק מהתהליך אנחנו משלבים את הידע שלנו במגזר הרלוונטי עם הצרכים העסקיים הפרטניים של הארגון.

הבנה ויצירה (Creating): אנחנו מנתחים עם נציגי הארגון היכן  נכון למקם פריטי מידע רגיש והיכן  לא נכון למקמם, לאילו רגולציות עלינו להיות כפופים בכל איזור ומדינה ואילו פריטים דורשים התייחסות מיוחדת בהיבטי הגנה ותקנים. התוצר העיקרי של ניתוח זה הינו יצירת משוואת חשיפה המכמתת ככל שניתן  תמונת מצב של חשיפת מידע רגיש והדרכים להגן עליו.

גילוי (Discovering) : שימוש בכלים הסטנדרטיים לגילוי מידע רגיש נותן לנו יכולת לבחון מערכות ולגלות עבירות ופרצות בנושאי אבטחת מידע ולהבין מה חושף את הארגון לגורמים לא רצויים. הכרותינו את הכלים השונים הקיימים בשוק, מאפשרת לנו להגדיר עדיפויות חיפוש, אזורי חיפוש ומילות חיפוש בהתאם לתכנון ולפעילות העסקית של הארגון, כך שנוכל לבחון את התוצאות בזמן אמת ולשנות הגדרות נוספות במידת הצורך.

ניתוח (Analyzing) :   בתום ניתוח התוצאות אנחנו מגישים דוח שכולל ניתוח חשיפות עפ"י סביבת העבודה הממוחשבת, מחולקת לפי גוף, מדינה או מערכת. במסגרת הדוח אנו  מתעדים גם:

o       דוגמאות מפתח לעבירות בתחום אבטחת מידע בארגון.

o       פריטי מידע ומאגרי מידע ברגישות גבוהה במיוחד.

o       לעיתים גם ציון משתמשים (USERS) ברמת רגישות גבוהה.

תכנון עתידי (Planning) : כחלק מתוצרי הפרויקט אנחנו מפתחים תוכנית פעולה מתועדפת על-פי שלבים, ע"מ לסגור פערים ופרצות האבטחה, לייעל תהליכים ולהפחית חשיפת תהליכים עסקיים רגישים.

במסגרת המפגש הוצגו מספר מצגות אותן תוכלו למצוא בקישורים הבאים -

- Data Protection & Data Loss Prevention - DP & DLP

- Global Data Privacy

- PwC's Privacy and Data Protection Risk Control Matrices

כרגיל - אשמח לענות על כל שאלה.

שלכם,

שי

בשנים האחרונות ניתן להבחין במספר רב של מקרים בהם זלג/נגנב מידע רגיש מחברות וארגונים. למרות שזליגת מידע רגיש מחברות אינו נושא חדש, הוא הפך בשנים האחרונות לנושא אשר מדווח בהרחבה באמצעי התקשורת והינו מוקד לרגולציות מחמירות. במקביל, נרשמת עליה במוטיבציה לגניבת מידע מחברות, בעיקר לצרכי גניבת זהות (Identity theft) אך גם למטרות ריגול תעשייתי וגרימת נזק למוניטין של מתחרים.

הסיכונים לגניבת מידע גבוהים במיוחד בתקופת מיתון, בשעה שבה מידע אישי סודי יכול להביא לרווח לגורם זה או אחר. מידע עלול לזלוג על ידי עובדים ממורמרים (לדוגמא בשעת קיצוצים בחברה), על ידי צד שלישי (לדוגמה אחד מעובדי החברה המעבדת את תלושי המשכורת של החברה), או על ידי שותף עסקי של הארגון המחזיק במידע סודי ואינו שומר עליו כמתחייב.

במקרים בהם לא קיימת מדיניות או מודעות בנושא מידע פרטי המוגן עפ"י חוק ותקנות רישום מאגרי מידע, חברה עשויה לספוג נזק כלכלי גם במקרים בהם לא נגנב מידע, כדוגמא – קנסות במקרים של חוסר ציות להוראות החוק/הרגולציה – מתן אפשרות גישה למאגרי מידע שלא רק למורשי גישה, אי מתן אפשרות לאדם לממש את זכות העיון במידע; ועוד (ראה הודעת ראש הרשות למשפט טכנולוגיה ומידע של משרד המשפטים מיום 1/11/2008).

כמות הכלים המוצעים על ידי ספקים שונים לטיפול בנושא ה-Data Loss Prevention (DLP) גדלה בהתמדה. חברות רבות החלו תהליך ע"י רכישת כלי והתקנתו, וחשבו בכך לפתור את בעיית זליגת המידע. הניסיון מראה כי חברות אלו לא הצליחו בדרך כלל בהטמעה מלאה של המוצר ואלה שהצליחו להטמיעו גילו כי הכלי אינו מספק פתרון לכלל האתגרים, ונדרשים פתרונות תהליכיים / עסקיים משלימים.

PwC מאמינה כי ישנם ארבעה מרכיבים מרכזיים לביצוע מוצלח של פרויקט DLP:
1. אסטרטגיה – הגדר תוצאות רצויות, בנה תוכנית יישום ונטר את התקדמותך
2. אנשים – חזק את יעילות המרכיב האנושי בתהליך
3. תהליך – פשט ובצע סטנדרטיזציה של התהליכים השונים במחזור חיי המידע בארגון
4. טכנולוגיה – השתמש בפתרון טכנולוגי לזיהוי ומניעת זליגת מידע.
(ראו פרסום מצורף של הפירמה בנושא - Keeping sensitive data out of the wrong hands).

ארבעה מרכיבים אלה משתלבים במהלך פרויקט ה-DLP ומהווים נדבך חשוב בכל שלב ושלב. ניתן לחלק פרויקט DLP לחמישה שלבים עיקריים:

ניסיון העבר מראה כי לאסטרטגיה בנושא חשיבות מרכזית, וכי היא בדרך כלל מהווה נדבך מרכזי מאסטרטגיית הארגון בנושא הגנה על מידע או בנושא פרטיות.

בפוסט הבא ארצה לתאר את השלב הראשון בפרויקט מסוג זה – כיצד מתבצע מיפוי המידע הרגיש בארגון ?

באוקטובר אשתקד פרסמה הפירמה את סקר אבטחת המידע השנתי בשיתוף עם מגזין ה- CISO וה- CIO.

סקרים אלה, המבוססים על מספר רב של משתתפים, ונערכים בשנים האחרונות, צופים לא אחת את הנושאים החמים הבאים בתחום אבטחת המידע, ואת סדרי העדיפויות של ארגונים גדולים במסגרת הטיפול באבטחת מידע.

נכון הדבר לגבי הצורך בהקמת Security Operation Center) SOC) ארגוני, כך גם לגבי קונספט הטיפול ב- Identity Management ) IdM), ו- DLP Data Loss Prevention) DLP).

השנה, 74% ממשתתפי הסקר בשנת 2008 דיווחו כי צפוי גידול בהוצאות על אבטחת מידע בשנה הקרובה, או שההוצאה תישאר באותה רמה. נתון מרשים, לאור הקיצוצים והחיסכון בהשקעה בתחומים אחרים.

גם בארץ, אנו עדים לגידול יחסי בהשקעה בתחומי אבטחת המידע ביחס להוצאות האחרות, לעיתים תוך ויתור על השקעה בתחומים אחרים. הסיבות העיקריות לכך הן תוכניות ארוכות טווח של ארגונים ליישום רגולציות, בעיקר של המגזר הפיננסי, התגברות האיומים, בעיקר האיומים על מידע רגיש ומדיות ניידות ונתיקות, ובשלות של מגוון פתרונות טכנולוגיים שהטמעתם הפכה לפשוטה יותר, המספקים ערך אמיתי לפעילות העסקית של הארגון.

ייתכן כי נתוני הגידול בהוצאה נכונים למועד ביצוע הסקר (מהלך 2008, עוד טרם התרחבות המשבר הכלכלי הכלל עולמי), אך נראה כי אכן תחום אבטחת המידע זוכה לתשומת לב ניהולית ולהשקעת משאבים ארגוניים, גם בעת הזו.

המשתתפים, מכל סוגי התעשיות, המגזרים, המדינות והאזורים, דיווחו על התקדמות משמעותית ביישום טכנולוגיות אבטחה חדשות.

לפי הסקר, השנה, יותר מבעבר, יותר ארגונים מצפינים מידע - 55% מהמשתתפים ציינו כי הם מצפינים בסיסי נתונים, 50% ציינו כי הם מצפינים מחשבים ניידים, ו-47% ציינו כי הם מצפינים סרטי גיבוי ומדיות אחרות. נתונים אלה מצטרפים למגמה העולמית של הגנה על נכסי מידע במאגרי מידע, התחום המכונה בעולם – Data at Rest) DaR). כמו כן, 95% מהמשתתפים ציינו כי הארגון, לו הם שייכים, מיישם פרויקט "אסטרטגית אבטחת מידע מקיפה" הכולל מספר תחומים, אשר השקיעו בהם פחות בעבר, תחומים כגון מבחני חדירה, Fire-Wall Application, ועוד.

בנושא ההוצאה על אבטחה, 57% מהמשתתפים ציינו כי מרבית ההוצאה מיוחסת למחלקת טכנולוגיית המידע. שאר ההוצאה מתחלקת בין מחלקות הביטחון ותחומים פונקציונאליים אחרים, כגון תחום השיווק, תחום משאבי-האנוש והתחום המשפטי. כאשר התבקשו משתתפי הסקר לזהות את הסוגיות העסקיות הקריטיות ביותר העומדות מאחורי ההוצאה על אבטחת מידע, 57% מהם ציינו בראש ובראשונה את סוגיית ההמשכיות העסקית וההתאוששות מאסון. 44% מהמשיבים אמרו ש"שינוי" הינו הגורם הקריטי מאחורי ההוצאה על אבטחה. הכוונה היא לשינוי בהיבט של הטמעת מערכות חדשות, יישומים עסקיים חדשים, קישורים לארגונים חדשים, מיזוגים או רכישות. אולם, מספר כמעט זהה של משיבים, המסתכם ב-46%, אמרו שציות לתקנות או למדיניות אבטחת המידע הארגונית, הוא הגורם המשמעותי להוצאה זו.

הסקר מראה עוד, כי למרות שמנגנוני האבטחה הופכים מתוחכמים יותר ויותר, אחוז גדול מהמשיבים עדיין אינו יכול לענות על שאלות בסיסיות אודות הסיכונים להם חשוף המידע הרגיש ביותר של החברה, ו- 35% מהמשיבים אינם יודעים בוודאות מהו מספר תקריות האבטחה שהתרחשו בארגונים שלהם ב-12 החודשים האחרונים.

לסיכום, היום יותר מתמיד, ארגונים נדרשים לגבש את אסטרטגיית אבטחת המידע המתאימה לפעילותם העסקית, להכשיר את האנשים המתאימים, למפות נכון את נכסי המידע הרגיש ולהגן עליהם, כמו גם ליישם ביעילות את הטכנולוגיות הנדרשות בעבורם.

ממליץ לכם לעיין בסקר, ואשמח לקבל תגובות,

שלכם,
שי

רציתי לפתוח את סדרת הפוסטים בבלוג דווקא באמירה לגבי התפיסה הארגונית לניהול סיכונים, או באנגלית – ERM – Enterprise Risk Management.

בחרתי לפתוח דווקא בנושא זה, מכיוון שלדעתי ארגונים רבים מתחילים לתת את הדעת בנושא, וחשוב להבחין בין ההגדרה הרווחת בשוק לניהול הסיכונים, לבין תהליך ניהול הסיכונים עצמו עפ"י המתודולוגיות הסדורות בנושא. עד לאחרונה, רב הארגונים שפנו אלינו לקבלת שירותים בתחום באומרם ניהול סיכונים, התייחסו לסקר סיכונים, או קבלת תמונת מצב עדכנית על מגוון הסיכונים אליהם חשוף הארגון בפעילותו השוטפת (ראו תמצית מתודולוגיה לסקרי סיכונים ותרשים HeatMap בקישור המצורף).

סקר סיכונים, מכיל בד"כ את השלבים הבאים –

1. הכרת הארגון והיעדים העסקיים שלו, ובכלל זה - הגדרת התהליכים העיקריים ורמת הקריטיות שלהם
2. מיפוי נק' הכשל והסיכונים בתהליכים אלה
3. ניתוח החשיפות והסיכונים, לרוב עפ"י ממדי השלכה וסבירות להתרחשות
4. זיהוי הבקרות הקיימות בארגון להפחתת עוצמת הסיכון
5. סיכום המלצות ודרכי פתרון
6. מעקב אחר יישום ההמלצות.

בפועל, תהליך ניהול סיכונים ארגוני, מתבסס על סקר הסיכונים שבוצע, אך מכיל בנוסף מגוון שלבים בתיחום רחב הרבה יותר –

1. קביעת אסטרטגיית החברה לניהול סיכונים והגדרת התיאבון לסיכון
2. הגדרת תהליך לניהול סיכונים בחברה (עולמות הסיכון, שפה ארגונית, דיווח, תגובה וטיפול בסיכון, ועוד).
3. הקמת מבנה ארגוני תומך לתהליך ניהול הסיכונים (Roles & Responsibilities)
4. הטמעת התהליך בחברה
5. מעקב אחר יישום התהליך לטובת שיפור מתמיד.

בעלי העניין, הדירקטוריון או בעלי המניות הם אלה שבפועל ישאו בתוצאות התממשות הסיכונים השונים, הן דרך הרווח למניה, הן ע"י אובדן מוניטין או חשיפה רגולטורית. מתוקף תפקידו, לדירקטוריון ישנה אמירה מכרעת וקריטית בהגדרת עולמות הסיכון והתיאבון לסיכון שהארגון והם מוכנים לקחת על עצמם. כמו כן, לצד הגדרות אלה מומלץ כי הדירקטוריון יסדיר בצורה נאותה וברורה כיצד ינוהלו הסיכונים בחברה וכיצד ומתי ידווחו הסיכונים אליו, ועל ידי מי. הגדרות אלה, יהוו קלט חשוב בתהליך הבניה והגדרת התשתית לניהול הסיכונים בארגון. כפועל יוצא יגזרו תהליכי עבודה אשר מטרתם תהיה לזהות, להעריך ולהגיב לסיכונים המתרחשים בחברה.

תהליך ניהול הסיכונים הארגוני תופס תאוצה וזאת ע"י הפנמת החשיבות והערך המוסף שתהליך שכזה מספק לחברה. מגמה זו זוהתה ע"י PwC שפיתחה מתודולוגיה כבר לפני כעשור המיושמת הלכה למעשה בארגוני ענק בעולם כולו והן ע"י ה- Committee of Sponsoring Organizations of the Treadway Commission או הידוע יותר בשם COSO שפיתחה ב 1992 (באמצעות PwC) את מודל הקובייה המפורסם לניהול מסגרת הבקרה הפנימית בארגון ולאחרונה פרסם את המודל המורחב COSO ERM המסדיר את ניהול הסיכונים במסגרת תפיסתית מובנית (ראו מצגת "הערך המוסף בניהול סיכונים ארגוני" בקישור המצורף).

לסיכום, כדי לדעת היכן הארגון שלך נמצא היום, אני ממליץ לשאול את עצמך את השאלות הבאות:

1. האם קיימת שפה אחידה בארגון שלי להגדרת סיכון ולעוצמתו (לדוגמא - סיכון גבוה הינו סיכון בעל השלכה כספית של מליון $) ?
2. האם קיים מבנה ארגוני תומך לזיהוי סיכונים ומעקב אחר טיפול בהם ?
3. האם מניעת סיכון, או הפחתת עוצמת הסיכון תסייע לפעילות העסקית של הארגון שלי, ואם כן - היכן הארגון שלי מעוניין להיות בעוד שנתיים-שלוש, בעיקר למול פעילות המתחרים בתחום ?
4. האם אני מוכן לנתח את הפערים בין המצוי לרצוי בניהול הסיכונים בארגון ?

בכל מקרה, שיהיה בהצלחה, ואנחנו כאן בשבילכם,שי

לכל הגולשים - שלום רב,

שמי שי זנדני, ואני מנכ"ל קסלמן פתרונות בניהול סיכונים , שהינה חברת בת של קסלמן וקסלמן (PwC), וחלק מקבוצת ה- Advisory העולמית של הפירמה.

במסגרת עבודתי הנני מלווה חברות בארץ ובעולם בתהליכי ניהול סיכונים וייעוץ במגוון תחומים משיקים - ביקורת מערכות מידע, שיפור וייעול תהליכים עסקיים, ליווי וייעוץ בתחום מערכות המידע ואבטחת מידע, ובמענה לרגולציות מקומיות ובינלאומיות.

את דרכי התחלתי בחיל האוויר הישראלי (הטוב בעולם !), ושימשתי שם במגוון תפקידים - החל מפיתוח מערכות זמן אמת, ניהול פרויקטים, והקמת תחום לוחמת מידע ואבטחת מידע בחייל. בהמשך הצטרפתי כמנהל פיתוח לחברת הזנק בתחום תעודות אלקטרוניות ושירותי חתימה דיגיטלית.

במסגרת הבלוג, אנסה לשתף אתכם בניסיוני המקצועי, תוך מתן דגש על דוגמאות מפרויקטים ומפעילויות בתחום, וכן עידכונים על נושאים "חמים" שאני צופה שעתידים להשפיע על ארגונים בארץ.

בנוסף, כחלק מהפירמה העולמית, הננו לוקחים חלק פעיל בסקרים מובילים במגוון תחומים, ולפיכך אוכל לשתף אתכם במידע רב, שעשוי לשמש אתכם במסגרת פעילותכם העסקית, כגון –עלות המעילה הממוצעת בשנת 2007 עפ"י 5,400 משיבים מ- 40 מדינות, המגמות העיקריות של תחום אבטחת המידע לפי 488 ארגונים מובילים בארה"ב, אירופה ואסיה, עשרת הסיכונים המובילים זה שנה רביעית ברציפות במגוון המוסדות הבנקאיים וחברות הביטוח בעולם, ועוד.

אעשה כל מאמץ לשתף, לייעץ מניסיוני, לתת דוגמאות מפרויקטים שביצעתי בארץ ובעולם, להפנות אתכם למאמרים מקצועיים וסקרים בתחומים משיקים, ואף לפתח דיון במסגרת קבוצות דיון עתידניות.

שלכם,
שי