דברים שנאמרו על ידי עוסקים בנושא יוכלו לסייע לך להרחיב ולהעמיק את התועלת שניתן להפיק מהתחקיר השבועי.
מומחים אומרים
מהפך בחשיבה
שוקי פרייס - מרכז נושא אבטחת המידע במכון התקנים
מציין כמגמה בולטת, את התרחבות העיסוק במידע והגידול ברגישותו (פרטיות, שרידות מידע וכן הלאה). בעלי המידע (המשתמשים העיקריים) דורשים ממחזיקי המידע (IT) שרות ואבטחת מידע (זמינות, חסיון, כלילות) ברמה מוגדרת ומבוקרת. לתחום זה נכנסים התקנים המגדירים את הדרישות, ואת שיטות אימות העמידה בהן. וזאת, בכדי שארגונים יהיו בטוחים שהם עושים את הנדרש. בארץ וגם בחו'ל, ניכר, שעולם העסקים דורש יותר ויותר תקנים, בכדי לוודא, שאנשי המחשוב יודעים מה הם צריכים לעשות וכשהם נותנים את התשובות, יש משהו שיכול לוודא ולאמת, שהן קבילות. במצב הקיים, ארגונים רבים נוטים ללכת לפי "אופנות": אם יש וירוסים - קונים אנטי וירוסים. אם יש האקרים - בונים מערך הגנה על התשתיות.
שוקי מציין שני תקנים מרכזיים, האמורים לשפר את רמת אבטחת המידע ורמת השרות: הראשון, תקן 27001 ISO לאבטחת מידע, המגדיר דרישות לניהול איכותי של אבטחת המידע הכולל. השני, תקן ISO 20000 לניהול איכות שרותי טכנולוגיית מידע. ראוי שכל מנמ"ר יאמץ אותם, בהיותם מגדירים עקרונות שיטתיים, תכליתיים ואפקטיביים להקמת מערכת ניהול שרות ואבטחת מידע נכונים ויעילים, כאמצעי לניהול ה-IT. שני תקנים אלה, מתייחסים בין השאר לאופן ההתמודדות עם שינוי, באמצעות ניהול שינויים וניהול סיכונים. ראוי לחשוב על הדברים האלה מראש, להיות קשוב ולהיערך בהתאם. קיימים כלי עזר שונים לניהול תאימות לתקנים, עם זאת אין פיקוח, תקינה או רגולציה בנושא התאמת כלים לייעודם ולא צפוי שבעתיד הקרוב המצב יישתנה. הבסיס של שני התקנים הוא הגדרת מטרות ניהול טכנולוגיית המידע, יחסית למטרות הארגון ודרישות מבעלי המידע בתחום השרות ואבטחת המידע. הגדרת הדרישות היישום הנובעות מכך. אחר כך, יש להכין תכניות עבודה, שתהיינה בעלות יעדים מדידים וברי השגה שיבטיחו שהמערכת הולכת בכיוון הנכון. למשל, למדוד תוך כמה זמן ניתנת תגובה לתקלה, או שמספר אירועי אבטחה מסוג מסויים, הולך וקטן.
נסיון מצטבר בארגונים מקומיים שהוסמכו לתקן 27001 לאבטחת מידע, מלמד על שיפור ללא הכר, במדדים ברורים, שנמדד בתוך שנתיים אחרי ההסמכה. בעקבות זאת, המנהלים יותר מודעים לנושא האבטחה ומתארים את השינוי כמהפך בחשיבה. טיפ לסיום: חשוב מאוד לנתק את אבטחת המידע והאחריות לכך, מה-IT ולהעבירו לגוף אחר, שיהיה אחראי לרגולציות בארגון, ושאינו תלוי בגוף המחשוב. שכן פעילותו היא להנחות, ואח"כ לבקר ולבדוק, לפי דרישות הרגולטור.