Secoz - האם אנו בטוחים שאנו בטוחים?

יצירת קשר

האם אנו בטוחים שאנו בטוחים? - מדדי אבטחת מידע

מאת גלעד ירון, CTO, SECOZ



אבטחת מידע – רק למדוד, למדוד, למדוד

מנהלי אבטחת המידע מתחילים להבין כי תמו ימי השפע. הם אינם יכולים עוד לדרוש גידול בתקציבים או במשאבים העומדים לרשותם ללא ביסוס דרישה זו. עליהם להצדיק את ההשקעות תוך שימוש במדדים המראים קשר ישיר שלהן להיבטים העסקיים של הארגון כך שהמנהלים הבכירים בארגון יבינו מדדים אלה, יפעלו לפיהם ויהיו בטוחים שהארגון מאובטח כהלכה. על מנהלי אבטחת להבדיל בין מדדים תפעוליים אשר עוזרים להם לנהל את פעילותם היום יומית לבין מדדים עסקיים המדברים בשפה העסקית של מנהלי הארגון.

רוב מנהלי אבטחת המידע שהשתתפו בסקר שערכה חברת המחקר Forester ציינו כי הצורך לקביעת מדדים לביצועי אבטחת המידע בארגון נובע בעיקרו מדרישת המנהלים הבכירים לראות כי יש תמורה בעד האגרה. יחד עם זאת, המנהלים מודאגים מאוד ממה שקורה שם בחוץ:

     מי שומר על המידע שלי? – בשנת 2005 נחשפו למעלה מ 52 מיליון רשומות אישיות ופרטיות של לקוחות. רוב הפריצות התרחשו בארגונים שהם שם דבר בתחומם כגון Bank of America, Time Warner ופורד. פריצות אלה הדליקו נורה אדומה אצל מנהלים בכירים רבים אשר החלו לדרוש דיווח שוטף מצוות אבטחת המידע על רמת היעילות של בקרות אבטחת המידע בארגון.

      רגולציות, להיות או לא להיות - עמידה ברגולציות כגון SOX ו-HIPAA הינה אחד מן המניעים המרכזיים לדרישה למדדי אבטחת מידע בארה"ב וברחבי העולם. האחריות האישית של המנהלים ותאריכי היעד שהעמידו תקנות אלה גורמים לעיתים למנהלים להתמקד ביעד העמידה בתקנות אף יותר מן היעד האמיתי – להיות מאובטחים. עמידה ברגולציות יכולה לעזור לאבטחת הארגון אך אינה בהכרח מבטיחה זאת.

    צידוק לתקציב אבטחת המידע – ההוצאות בנושא אבטחת המידע מהוות נתח נכבד מתקציב הארגון. חברת המחקר Forester צופה כי נתח זה יקטן מ 8.9% ב-2005 ל-7/8% ב-2006. בתחילת "מבול הרגולציות" ניתנה כמעט יד חופשית לכל מי שטען כי הוא זקוק לתקציב אשר יעזור לארגון לעמוד בהן. כעת, לאחר המרוץ הראשוני, מעיינים המנהלים בקפידה בדרישות להוצאות תוך בחינה של הערך המוסף שיקבל הארגון מהן.

כל אחד והמידה שלו

הצורך במדדי אבטחת המידע ברור לבעלי התפקידים השונים בארגון, אך לכל אחד מהם ציפיות אחרות ממדדים אלה

מנהלי אבטחת המידע רוצים לזכות באימון המנהלים הבכירים. הם זקוקים למידע שבעזרתו יוכלו לשכנע את ההנהלה להגדיל את תקציביהם. מידע זה כולל נושאים כגון אחוז המכונות החשופות לפגיעויות קריטיות. מי שמופקד על איסוף נתונים כאלה הם מנהלי מערכות המידע ביחידות העסקיות השונות בארגון,אבל מידע זה אינו עומד לרוב בראש מעייניהם ולכן אינו נאסף על ידיהם.

מנהלי יחידות עסקיות יוזמים לפעמים פעילויות מקומיות בתחום אבטחת המידע, אך לא תמיד הם מוכנים לשתף יחידות עסקיות אחרות במידע זה. חשוב להגדיר מדדים ולבצע בקרה מרכזית על כל אחת מן היחידות העסקיות כדי לוודא כי אף אחת מיחידות אלה אינה מציגה בפני הארגון סיכונים עסקיים בלתי סבירים.

המנהלים הבכירים מחויבים באופן אישי ונמדדים על רמת אבטחת המידע בארגון. מובן כי יש להם עניין רב בקיומה של אבטחה נאותה. יחד עם זאת, לא תמיד הם זוכים להדרכה נאותה על ידי אנשי אבטחת המידע שלהם. הדרכה כזו תאפשר להם להבין כי אין כל יכולת לאבטח את הארגון ב-100% ולכן עליהם לקבוע יעדים, מדדים וסדר עדיפויות ברורים וחד משמעיים.

מנהלי אבטחת המידע והמנהלים הבכירים אינם מדברים באותה שפה. במקרים רבים מדווחים מנהלי אבטחת המידע לשכבות ניהול נמוכות ולא ישירות להנהלת הארגון. דבר זה גורם להם לתסכול רב. עליהם להבין כי הם עצמם גורמים לחלק גדול מן הקצר הקיים בתקשורת בינם לבין ההנהלה. הם מדברים בשפה תפעולית וטכנית, שפה שאינה מעניינת ואינה מובנת למנהלי הארגון. עליהם ללמוד שפה חדשה – שפת העסקים. בנוסף למדדים שהם מתחזקים בעולם התפעול השוטף חובה עליהם לפתח מדדים המדברים בשפה זו. מדדים נכונים ומתאימים יעניינו ללא ספק את ההנהלה.

איך מודדים עמידה ביעדים?

רבים טוענים שאבטחת מידע היא תחום הדומה לאיכות. זהו נושא חשוב, אבל כזה שקשה למדוד אותו. בעבר קיבלו אנשי אבטחת המידע תקציב גדול ללא מחויבות לדווח על השימוש בו. היום, עם גידול תקציב אבטחת המידע, השתנו הציפיות מהם, אך מנהלי אבטחת המידע בארגון ממשיכים להשתמש בשלל תירוצים להצדיק את העובדה כי אינם מספקים מדדים לפעילותם:

   יותר מדי נתונים, פחות מידי זמן – אבטחת המידע נדרשת לנטר מידע ממקורות שונים. בנוסף על מערכות אבטחת המידע הייעודיות יש לנטר מידע שמקורו במערכות הפעלה, רשתות ואפליקציות. רוב מנהלי אבטחת המידע מסתמכים על מידע איכותי בתחום זה או אינם אוספים מידע כלל.

   לא ידעתי, לא התחלתי – אלה אשר טרם החלו איסוף מדדים מתחלקים לשניים: הפרפקציוניסטים, המחכים לכך שיצליחו לזהות את המדדים המושלמים לביצוע המשימה וכל עוד אינם מוצאים מדדים אלה אינם עושים דבר, ואלה אשר מעדיפים להסתמך על "תחושות בטן" ולא על מידע כמותי מדיד. גם המתחילים באיסוף מידע עוצרים במקום במקרים רבים וזאת היות וקשה להם להגדיר את המדדים הכמותיים – מה למדוד וכיצד.

חשוב לבחור מדדים אשר יהיו בעלי משמעות לביצוע משימתם של בעלי התפקידים הנחשפים אליהם. יחד עם זאת יש לזכור: ברגע שמדדים אלה נקבעו, קשה מאוד יהיה לשנותם. הקדישו מחשבה לפני קביעה ופרסום של מדדי אבטחת המידע!

ניתן לחלק את מדדי אבטחת המידע לשני חלקים: מדדים תפעוליים החושפים לארגון את פעילות אבטחת המידע ופעולות ההגנה שלו ומדדים עסקיים. שני סוגי המדדים חשובים לארגון, אך קהל היעד שלהם שונה.

יש לפתח מדדים ניתנים ליישום וברי קיימא

רוב מנהלי אבטחת המידע חשופים למידע התפעולי השוטף כך שנמצאים בידיהם נתונים כגון מספר המכונות אשר הותקן עליהן הטלאי האחרון או אחוז המחשבים עליהם יושמה החתימה העדכנית של האנטי-וירוס, אך כדי להבטיח איסוף מדדים לאורך זמן עליהם לדאוג לדברים הבאים:

   אסוף מידע באופן אוטומאטי – אנשי אבטחת המידע עמוסים בעבודה ואינם זקוקים למשימות נוספות, כך שאין להטיל עליהן משימות ידניות כגון קביעה של רמות החומרה של אירועים אשר זוהו. יש לנסות לאסוף את המידע באופן אוטומטי ככל האפשר למקום מרכזי ולבצע בו עיבודים ממוחשבים אשר הוגדרו מראש.

הבטח כי המדדים הינם עקביים – למדדים יש משמעות רק במידה וניתן לאספם באופן עקבי ואמין. חלק גדול מהנתונים המשמשים למדדים נאספים באופן ידני מן היחידות העסקיות ואלה לא תמיד דואגים להעביר מידע בזמן ובאיכות בהן הוא נדרש.

  שקול היטב את חוק הנבואה המגשימה את עצמה – שינוי במדדים עלול לשנות התנהגות. כך, למשל, אם מודדים את מספר הקריאות הסגורות בשירות הלקוחות יכולים אנשי השירות למהר ולפתור את הבעיות הקלות ולהעביר את הבעיות המורכבות לאחרים. כך יעלו מספר הקריאות הסגורות. לא לכך התכוון המשורר.

הגדר ותעד ערכי סף – חשוב להגדיר את ערכי הסף שכאשר עוברים אותם יש להפיק התראה. כך, למשל, ניתן להגדיר סף של 99% לפריסת האנטי-וירוס בארגון. חשוב כי ספים אלה לא יהיו גבוהים ולא נמוכים מידי כדי למנוע התראות שווא.

הגדר את התהליך והבעלות – תהליך איסוף המידע - שלביו, תדירותו ומקורותיו – ולאחר מכן הניתוח והדיווח שלו צריך להיות מוגדר היטב בטרם התחלת יישום המדדים. לכל מדד יש להגדיר בעלים אשר אחראים לא רק לאיסוף, עיבוד ודיווח שלו אלא גם לבדיקה תקופתית של התאמתו לצרכים המשתנים וכוונון הספים שהוגדרו עבורו.

      הגדר את קהל היעד – לכל מדד יש להגדיר את הציבור אשר אליט הוא מופנה: אותם אלה שמדד זה חשוב להם והם יבצעו פעולה בעקבות עלייה מעבר לערך הסף או חריגה של מדד זה.

מדדים עסקיים – דברו עם המנהלים בשפתם!

להנהלה הבכירה אין עניין במדדים תפעוליים – הם אינם מובנים להם ואינם מעניינים אותם. במידה ומדדים כאלה מועברים אליהם הם יטו להחזיר אותם לטיפול המנהלים הטכניים שלהם. במקום להעביר לדרג הניהולי מידע לא רלוונטי יש לפתח מדדים אשר יהיו:

    אסטרטגיים – מדדים אלה צריכים להיות קרובים ככל האפשר ליעדי הארגון ולעזור למנהלים לקבל החלטות אסטרטגיות. למשל – לבנקים חשוב לשמור בצורה קפדנית על נתוני הזהות של לקוחותיהם, אך עבור מפעל המוכר ישירות למפיץ אחד או שניים נושא זה אינו ראשון בסדר החשיבות. ההתאמה ליעדי הארגון תעזור למנהלי אבטחת המידע לבחור את המדדים הנדרשים ובה בעת תעזור לארגון להבין את הערך שמעניקה אבטחת המידע לארגון

    מבוססי פעולה – בניגוד למדדים תפעוליים המתייחסים למצב קיים בלבד, על מדדים עסקיים לעורר פעולה על ידי המנהלים. אם רמת הזמינות של המערכות הנגרמת כתוצאה מאירועי אבטחת מידע נמוכה מן הסף שנקבע יש לבצע אחת מן השתים: להתאים את הסף ולקבל את הסף החדש כסיכון מחושב או לנקוט בפעולות הנדרשות כדי להעלות את רמת הזמינות מעל הסף שנקבע.

    מקיפים – מוצרי אבטחת מידע רבים מספקים אוסף גדול של מדדים, אך רק מעטים מספקים מדדים עסקיים. על מנת לקבל תמונה עסקית יש לאסוף ולנתח מידע ממקורות מידע שונים. למשל שילוב מידע מהאנטי-וירוס, אנטי-ספאם וכלי ניהול חשיפות ייתן תמונה רחבה על ניהול הסיכונים בארגון.

          אנליטיים – בעוד נתונים תפעוליים הינם בעיקרם כמותיים, מדדים עסקיים משלבים מידע כמותי עם הערכות מומחים.



שלושה השלבים בפיתוח מדדי אבטחת מידע

יש לפתח מדדי אבטחת מידע בשלושה שלבים:

שלב ראשון: הגנה על הארגון

בשלב זה מגדירים את בקרות אבטחת המידע, מזהים את הפערים ומגדירים מדדים אשר מצביעים על רמת אבטחת המידע בארגון. שלב זה כולל מדדים עבור:

   ממשל ותאימות לדרישות רגולטוריות – מנהלים רבים מעוניינים לדעת האם הארגון עומד בדרישות רגולטוריות. עצם העמידה בדרישות אלה אינו מבטיח רמת אבטחה גבוהה יותר. על הארגון לפתח מסגרת כוללת לממשל אבטחת מידע אשר מרחיבה את הדרישות הרגולטוריות ולוקחת בחשבון את יעדיו של הארגון. ניתן להשתמש במסגרות אבטחת מידע קימות וסטנדרטיות כגון ISO 17799.

    ניהול רגישויות – מוצרים בתחום זה מזהים בדרך כלל פרצות ברמת מערכת ההפעלה בלבד. זהו רק חלק מן התמונה: חשוב לזהות גם פרצות ברמת האפליקציות. על הארגונים להעריך את רמת הרגישות של מערכות הפעלה ואפליקציות, למדוד את כמות המכונות בהן פרצות קריטיות והזמן הממוצע בין פרסום תיקון באפליקציה עד ליישומו בשטח.

     ניהול תצורה – לרוב הארגונים סטנדרטים המבטיחים כי לכל סוג של התקן יהיו מיושמים בקרות אבטחת מידע בסיסיות. המדד יבחן אם מספר ההתקנים אשר עשויים לסכן את הארגון אינו קביל.

         תרחישי אבטחת המידע – מדד זה מניח כי הארגון הגדיר מהו תרחיש אבטחת מידע וכי העובדים מבינים הגדרה זו. יש למדוד את כמות התרחישים , הזמן הממוצע לתגובה לתרחישים אלה, מספר המכונות שהושפעו מתרחיש זה, העלות הישירה והעקיפה שנגרמה בעקבות תרחיש זה ומספר השעות שהושקעו בפתרון התרחיש.

    ניהול אנשים – אנשים הינם המשאב החשוב ביותר בכל ארגון, אך הם המשאב הכי פחות מוגן – היות והם פשוט אינם יודעים מה עליהם לעשות ומה אסור להם לעשות. מודעות הינה אחד מן הנושאים החשובים בתחום אבטחת מידע. יש לכלול את נושא המודעות כאחד מחמישה הנושאים העיקריים אותם יש למדוד.

שלב שני: הוסף מדדים החשובים להנהלה הבכירה

בשלב זה מוסיפים מנהלי אבטחת המידע מדדים הקושרים את אבטחת המידע עם יעדיו העסקיים של הארגון. כמו כן עליהם להבטיח כי סיכונים שהתגלו יטופלו בצורה יעילה ומהירה. בין המדדים הכלולים בשלב זה:

    ניהול זהויות וגישה – למרות שמעט מאוד ארגונים מודדים תחום זה, על כולם לעשות זאת. עם פריצת עידן העסקים האלקטרוניים ופתיחות רבה יותר של מערכות הארגון לשותפים וספקים, על הארגון לספק גישה לנכסי המידע שלו למשתמשים פנימיים וחיצוניים. המדד המקובל ביותר בתחום זה הינו מספר החשבונות ללא בעלים ("חשבונות יתומים"). מדדים נוספים יכולים לכלול נושאים כגון מספר ההפרות שבוצעו בניסיון לגישה בלתי מאושרת למשאבים, הזמן הלוקח להסיר חשבונות משתמש בעת שהוא עוזב את הארגון ומספר האפליקציות המנוהלות דרך מערכת הניהול המרכזית.

    ניהול נכסים – היות והמידע מאוחסן ומשונע למקומות שונים על מנהל אבטחת המידע לדעת היכן נמצאים נכסי המידע ומה רמת החשיבות וההגנה על כל אחד מהם. המדדים המקובלים בתחום זה הינם מספר הנכסים ואחוז הנכסים המנוהלים באמצעות מערכת ניהול מרכזית.

   התאוששות מאסון והמשכיות עסקית – למרות שבעבר לא היה תחום זה באחריותם של מנהלי אבטחת המידע מקבלים היום יותר מנהלי אבטחה אחריות לנושא זה. מכאן שעל מנהלי אבטחת המידע לוודא כי קיים גיבוי לכל משאב קריטי בארגון - אנשים, תהליכים וטכנולוגיות – וכי קיים תהליך לטפל באסונות ופגיעה בתפקודו התקין של הארגון.

שלב שלישי: מדדים מקיפים לניהול סיכונים

לאחר סיום ביצוע שני השלבים הראשונים, על מנהלי אבטחת המידע להתמקד במדדים אלה:

    התקדמות אסטרטגיית אבטחת המידע – על מנהלי אבטחת המידע לזהות מגמות ולהשתמש בהן כבסיס לתכנון עתידי. שילוב מדדים מן השלב הראשון עם ניתוח איומים ממקורות חיצוניים מאפשר למנהלי אבטחת המידע לבצע ניתוח מבוסס המציג לפחות שתי חלופות למגמות עתידיות של תחום אבטחת המידע ולהציב סיכונים, מחיר וערך מוסף מול כל אחת מן החלופות. ההנהלה יכולה לבחור בחלופה העדיפה ואבטחת המידע יכולה לעקוב אחר ביצוע חלופה זו. על מנהלי אבטחת המידע לעקוב אחר פרויקטים בתחומם אשר זמן ביצועם מתאחר, גולשים מן התקציב, להשוות תכנון מול ביצוע ולנתח עלויות והשלכות.

    הערכת סיכונים וטיפול בהם – על ארגונים לערוך סקרי סיכונים פנימיים וחיצוניים באופן תקופתי. בארגונים רבים טיפול בסיכונים אשר זוהו בסקרים אלה נמשך לנצח. מדדים יבטיחו כי הסקרים יתבצעו במועדם וכי הטיפול בממצאיהם יתבצע מבעוד מועד. בדרך כלל המדדים כוללים זמן ממוצע לטיפול בסיכון ברמה גבוהה, מספר הסיכונים שלא טיפלו לפי קטגוריה או מספר הסיכונים לפי תחום.

הצגה מוצלחת – המפתח לקבלת תשומת ליבם של המנהלים

זיהוי המדדים הנכונים, איסופם ועיבודם הינם רק מחצית מן הסיפור. הצגתם בצורה תמציתית ובשפה עסקית הינה הדרך היחידה להבטיח כי ההנהלה הבכירה תתייחס למדדים אלה. זכרו את הקווים המנחים הבאים:

     אל תתנו לזנב לקשקש בכלב – מדדים הינם כלי להצגת נקודת המבט שלכם, אין הם יעד בפני עצמו. במקום להציג תמונה נכונה ומדויקת מבחינה סטטיסטית הקפידו להציג את הנתונים אשר אתם יודעים שהם מהווים גורמי סיכון משמעותיים לארגון.

    הבטיחו כי כל המדדים מוצגים בהקשר עסקי – הסבר את כל המדדים בצורה עסקית ובשפה עסקית. גם על המדד המובן ביותר להיות מלווה בהסבר מלומד מדוע התוצאה עלתה, ירדה או נשארה כפי שהיא.

   קבעו מדד כללי לרמת האבטחה בארגון – על בסיס המדדים התפעוליים שאספתם תוכלו להפיק מדד כולל לרמת הסיכון בתוך הארגון. מדד זה יכול להיות מבוסס על ממוצע משוקלל של המדדים שנידונו למעלה בהתאם ליעדי הארגון. כך יוכלו המנהלים לקבל בהרף עיין תמונה כללית של מצב אבטחת המידע בארגון.

מדדים יכולים לגשר בין העסקים ואבטחת המידע

מנהלי אבטחת המידע עברו דרך ארוכה מעולם המושגים הטכנולוגי לעולם העסקי והטובים שבהם יודעים היום לספק צידוק עסקי להשקעה באבטחת המידע. אך בעתיד:

   מדדים יהפכו הכלי להצדקת השקעות בתחום אבטחת המידע – עד כה הסתמכו מנהלי אבטחת המידע על אסונות העבר או דרישות רגולטוריות כדי להצדיק את תקציביהם. בעתיד יקשה עליהם להצדיק השקעות אלה ללא הצגת מדדים תמציתיים וברורים המציגים ממה נובע צורך זה.

    מדדים ישמשו ככלי לבחירת מוצרים – ארגונים יהפכו את איסוף המדדים לחלק חשוב בתהליך בחירת הפתרונות הטכנולוגיים. כלים כגון Security Information Management (SIM) יצטרכו לספק יותר מאשר הצגת מידע סטטיסטי בצורה גראפית רבת יופי. יהיה עליהם לספק יכולות לתמיכה באיסוף, עיבוד ודיווח של מדדי אבטחת מידע ולהפוך מידע גולמי תפעולי למידע מבוסס פעולה, מדדים אסטרטגיים אשר מנהלים בכירים יוכלו להבין.

גרסה להדפסה שליחה לחבר