גרטנר - האם תפישת האבטחה בארגון עולה מדרגה?
מאת:
חיים חביב, 26.5.13, 00:45
הכנס השנתי של גרטנר ישראל בת"א התמקד במנהיגות עסקית באמצעות יזמות טכנולוגית אבל הקיף תחומים מתפתחים נוספים עם תובנות מעניינות.
גרטנר - חברת המחקר והייעוץ הבינלאומית המובילה בעולם בתחומי טכנולוגיית מידע ותקשורת (
ICT), המספקת שירותי מחקר וייעוץ ליותר מ-
120,000 לקוחות, בהם מנהלי מערכות מידע (
CIOs), בכירים בענפי ה-
IT בארגונים ובמשרדי ממשלה, חברות טכנולוגיה ובתי השקעות - לא חסכה השנה בארגון הכנס הישראלי (22.5.2013, מלון הילטון, תל אביב). החברה הטיסה לישראל עשרה אנליסטים בכירים שדנו בנושאים החמים ביותר בעולם ה
IT והתקשורת בפני מאות משתתפים - בכירי תעשיית ההייטק והמשק הישראלי, מנמ"רים ונציגים ארגוני ממשלה וצה"ל - אשר 'שתו בצמא' תובנות וממצאי מחקר בדבר השפעת הטכנולוגיה על המודל העסקי, התמורות בתפקיד מנהל מערכות המידע בתחומי הביג דאטה והתשתיות, מובייל ואבטחת מידע, מחשוב ענן ורשתות חברתיות, שיווק וטכנולוגיה.
לא מעט מהאנליסטים שנטלו חלק בכנס הדגישו בדבריהם את תופעת המיזוג בין העולם הטכנולוגי לעולם החברתי והתרבותי, ההולכת וקונה לה אחיזה חזקה במציאות חיינו - ענן, ניידות, רשתות חברתיות ומידע - המבטאים הסטת המיקוד מהארגון לפרט. מגמה זו מציבה בפני מובילי עולם ה
IT בארגונים ובפני היצרנים, אתגרים והזדמנויות העומדים בליבת הארגון.
שלומית הרט, מנכ"לית גרטנר ישראל (בתמונה, צילום קובי קנטור), שפתחה את הכנס הדגישה בדבריה: "אם בעבר נתפס ה-
IT כאמצעי להטמעת אסטרטגיה עסקית, בעתיד תהיה זו החדשנות הדיגיטלית שתניע באופן גובר והולך את האסטרטגיה העסקית. גרטנר ממליצה למקבלי ההחלטות העסקיות והטכנולוגיות בארגונים, לאמץ את טכנולוגיות העתיד בהקדם, מאחר ומחשוב ענן, ניידות, רשתות חברתיות ומידע יביאו לארגוניהם צמיחה, חיסכון בעלויות, יעילות תפעולית, בידול ותחרותיות. ישראל אמנם נחשבת למאמצת מוקדמת של טכנולוגיות חדשניות, אולם מהפעילות בשוק נראה כי זה נכון יותר לגבי תהליכי מו"פ ופחות לגבי יישום במערכות הארגון והעסק, שם עדיין ניכרת האטה והתנהלות חששנית בכל הנוגע למעבר מלא לעידן המידע הדיגיטלי".
אחד המסרים המרכזיים, בהרצאות וב'שיחות מסדרון' אחד על אחד עם המומחים: סוף סוף, לאחר מספר שנים של התנסות ושל הצלחות ראשונות בקרב 'הראשונים לאמץ'
(early adopter)מסתמנת שנת 2013 כשנה של אימוץ נרחב של טכנולוגיות
Big Data.
בגרטנר משוכנעים, כי יותר ארגונים הולכים ופונים יותר לביג דאטה בעיקר בשל העמקת המודעות לכך שיוזמות ביג דאטה הן קריטיות לארגון, ומשום שהם זיהו בהן הזדמנויות עסקיות קיימות או פוטנציאליות שלא ניתן לממש בטכנולוגיות או בפרקטיקות מדף מקובלות
. יש גם מניע פסיכולוגי: ההמולה סביב הביג דאטה מעוררת בלב מקבלי ההחלטות חשש שימצאו עצמם הרחק מאחור, בנחיתות תחרותית ממתחריהם.
מבין 4 מסלולים מקבילים בכנס אשר בחנו, כל אחד בתחומו, תחזיות עדכניות - תשתיות ביג דאטה, מובייל ואבטחה, ענן וחברה - בחרנו והתמקדנו הפעם במסלול עולם האבטחה.
קיימנו ראיון קצר עם
אביבה ליטן (בתמונה, צילום אישי), סגנית נשיא ואנליסטית בכירה בגרטנר. בתחום מומחיותה נכללים, בין היתר, זיהוי הונאות סייבר, איתור וסיכול הונאות באמצעות אפליקציות זדוניות, אימות זהויות וגניבת זהויות, אבטחת מידע ומניעת סיכונים. בנוסף, היא מתמחה באבטחת תשלומים ברשת.
ליטן סקרה בהרצאה (נפרדת) את מודל "חמש השכבות למניעת הונאות והיישום הנכון בהן למניעת נוזקות".
שאלה: האם ניתן ברמה העקרונית להשיג אבטחה מוחלטת? האם יש אפשרות מעשית לסגור את כל פרצה בארגון?
תשובה: במפורש לא. ניתן בהפעלה משולבת של מגוון כלים ואמצעים לצמצם את הפגיעה בארגון (ברשת התקשורת, במערך ה-
IT ובנכסי ה-
IP) ולהפחית בסבירותה, אך לא ניתן להבטיח סגירה מוחלטת של כל הפרצות. מניסיוני, בארגונים גדולים וממושמעים מאד, ניתן לאכוף מדיניות אבטחה ברמה גבוהה בהתבסס על הפעלת כלים ואמצעי הגנה משוכללים. כך לדוגמא בארגונים פיננסיים גדולים ובגופי ממשל רגישים. הקושי (והסיכון) גדלים ברמת ארגונים בגודל בינוני.
שאלה: מהלכים על המנמ"ר בארגון אימים עם תרחישי אימה. לכאורה, אין גבול להיקף ההוצאה הכספית הכרוכה באבטחת הארגון. האם קיימים כלים למדידת עלות-תועלת בתחום האבטחה?
תשובה: זה קשה מאד עד בלתי אפשרי. קשה גם להעריך את החזר ההשקעה (
ROI). ניתן אמנם (בדיעבד) להעריך את כמות המתקפות על הארגון, להצמיד 'תג מחיר' (ממוצע) לעלות מתקפה מוצלחת, ולהעריך את הנזק שנמנע ואת הסכום שנחסך בסיכול הפגיעות המצטבר בארגון בתוך תקופה קצובה. קשה מאד, להצדיק בדרך זו השקעות באבטחת ארגוני
low-tech. באותה מידה, די קשה להסביר השקעה גדולה באבטחת ארגון שמתקפה קשה עליו היא בסבירות נמוכה של אחת ל- 5-6 שנים. לצד אלו יש ארגונים, שלא יהססו להשקיע כמעט כל סכום להגברת האבטחה בארגון: בנקים ומוסדות פיננסיים גדולים, חברות כרטיסי אשראי וכו'.
שאלה: מה האתגר שמציבה לדעתך התרחבות תופעת ה-
BYOD בפני אנשי אבטחה בארגון?
תשובה: התופעה של עבודה בארגון עם מכשיר אישי מוכר וחביב הולכת ומתרחבת במהירות. אנו רואים זאת בלא מעט חברות, תעשיות ושירותים. אתגרי האבטחה העומדים בפני ארגון שיישם
BYOD אינם פשוטים כלל ועיקר, והסיכונים רבים (החדרת נוזקות לארגון דרך אפליקציות זדוניות, גניבת מידע רגיש מהארגון, אובדן פרטיות העובד ועוד). יש היום לא מעט פלטפורמות וכלים המבטיחים לארגון רמה של אבטחה הולמת ביישום דואלי של צי מכשירים כזה, אבל ללא ספק הרגישות והפגיעות של הארגון גדלים על אלו של ארגון 'סגור'.
לדעתי, עדיף עדיין לצייד את העובד בשני מכשירים, אישי - לשימושו הפרטי בלבד ו- ארגוני - לסיוע בעבודתו בארגון.
שאלה: האם את סבורה שיהיה זה מועיל להגיע לאמנות והסכמות בינלאומיות בין מדינות בסוגיית המאבק בסייבר, במסגרת ארגונים כמו האו"ם או ה-
ITU לדוגמא?
תשובה: זה בהחלט רעיון טוב. יש דוגמאות לשת"פ כמו הטיפול בסייבר במסגרת המדינות החברות בארגון נאט"ו, אבל בעקרון זו סוגיה פוליטית לממשלות.
שאלה: מה ההשלכות של ביצועי הלהיט התורן, ה-
Google Glass החדשני מבית גוגל, על הנושאים הנוגעים בתחומי מומחיותך - הגנת הפרטיות, הונאות וכו'. האם את מוטרדת מהאפשרות לתעד שיחות אישיות בלא מודעות האובייקט?
תשובה: ללא ספק יש בהתקן החדש פוטנציאל לפגיעה בפרטיות. האפשרות לצלם (או להקליט) במצב רגיל בלא שהסביבה תחוש בכך מטרידה אותי מאד. לא יעלה על הדעת, שאעיר לאדם לא מוכר ברכבת התחתית או באוטובוס ציבורי לא להביט בי ואולי להקליט ולצלם. ברמת הארגון, הפתרון יהיה (בישיבות רגישות) מיסוך ושיתוק הסיגנל או הפקדת ההתקן מחוץ לחדר הישיבות יחד עם הטלפון הנייד.
שאלה (לסיכום): אגב, מה מידת השימוש האישי שלך ברשתות חברתיות ובמגוון האפליקציות הזמינות ברשת?
תשובה: אני די 'קמצנית' בשיתוף מידע אישי שלי ברשתות החברתיות אבל אני עושה שימוש מבוקר באפליקציות שימושיות כמו מיפוי למטרות התמצאות בסביבה או בחו"ל, חיפוש מידע לביצוע קניות חכמות וכו'.
בחרנו לסכם בדבריו של
לורנס אורנס, מנהל אבטחת מידע וסיכונים בגרטנר:
"אנו עדים להתפתחות גישה חדשה - מעבר מתפישה של אבטחת מידע הגנתית לגישה תוקפנית, וכמו שנאמר במקורות 'הקם להורגך - השכם להורגו'.
קרדיט צלם: קובי קנטור.
תמונה ממבחר המצגות בהוצגו בכנס בנושא טכנולוגיות האלחוט (לחיצה על התמונה מגדילה אותה):
