תנו (גם) לחתולים לשמור על השמנת

יום שלישי 24 אוקטובר 2017

 

מאת חיים הלפרן מנהל חטיבת אבטחת המידע והסייבר בחברת One1

 

פרצות מידע פנים-ארגוניות אינן קורות הרבה, אבל כשהן כבר קורות הנזק לארגון עלול להיות אדיר. טעות שנעשתה בתום לב, עובד ממורמר, או אחד שפוטר ומחפש נקמה בארגון, עלולים להסב נזק רב בפעולה אחת קטנה. חשיפה של רשומות כרטיסי אשראי, דליפה של קניין רוחני, פגיעה במוניטין הארגון, קנסות כבדים, חשיפה לתביעות משפטיות, והיד עוד נטויה.

 

מה שמטריד יותר מכל היא הקלות הבלתי נסבלת של התופעה. לפי הדו"ח השנתי האחרון של וריזון (Verizon), כמעט 12 אלף מתוך כ-80 אלף אירועי אבטחה היו קשורים לפעילות שנעשתה מתוך הארגון כגון שימוש לרעה בהרשאות. לא משנה עד כמה מאובטח הארגון שלך כלפי חוץ, מספיקה רק שגיאה אחת או פעולה קטנה עם כוונת זדון המתבצעת מתוך הארגון כדי לדרדר את המצב במהירות.

 

אחד מעקרונות האבטחה המומלצים בזמן האחרון הוא 'תן לעובדי הארגון להוות קו הגנה ראשון'. הדו"ח של וריזון מסביר כי איש לא מכיר את המידע טוב יותר מאלו שיצרו אותו ומשתמשים בו על בסיס יומיומי. הדרך לרתימת הידע המצטבר של כלל העובדים לחיזוק אבטחת המידע הארגוני עוברת ביישום מוצלח של אבטחת מידע מבוססת קהל (Crowd-Sourcing).

 

Crowd-sourcing לצורך ביצוע עבודה כלשהי אינו דבר חדש. המתמטיקאי פרנסיס גולטון גילה כי ממוצע הניחושים של 800 אנשים לגבי משקלו של שור היה קרוב יותר לאמת מאשר כל ניחוש בודד או הניחוש החציוני. הרעיון שעומד מאחורי Crowd-sourcing לאבטחת מידע מבוסס על אותו עקרון בדיוק; האינטליגנציה הקבוצתית הכוללת של הקהל מחזקת את האבטחה על ידי אלימינציה של סיכונים ברמת הדיוק הגבוהה ביותר. אנו עובדים ופועלים בסביבה שהמידע בה מצטבר כל הזמן ואינו נעלם לשום מקום, מה שמייצר קושי גדול להתמודד עם האבטחה שלו לבד.

 

במרבית המקומות, ברגעים אלה ממש, האחריות על ניהול ואבטחת המידע של ארגונים נופלת על כתפם של צוותי IT קטנים מדי ועסוקים מדי. התקציב וכוח האדם שעומד לרשותם הוא מוגבל. צוות אבטחת מידע בודד, ללא קשר לגודלו, לא יכול לנהל את כל מאגרי המידע שקיימים בארגון, וככל שהארגון גדול יותר כך קטנה היכולת של מנהל אבטחת המידע לאתר את בעלי המידע במאגר ההולך וגדל של הארגון.

 

איש לא מכיר את העסק ואת כל פריטי המידע הרלוונטי שלו טוב יותר מאשר האנשים שנמצאים בליבו - המנהלים והעובדים. לכל עובד יש נקודת מבט שונה ולכן ביכולתו למלא תפקיד שונה בהגנה על המידע הארגוני שלך. מה גם שאפילו לעובדים בעלי אותה הגדרת תפקיד יש לעתים תחומי אחריות שונים וכמובן פרספקטיבה שונה על המידע הארגוני.

 

אבטחת מידע מבוססת קהל מנצלת את המגוון הזה של תכונות ונקודות מבט של עובדי הארגון. האנשים שיוצרים את המידע יודעים בדיוק מה הוא מכיל, איך הוא מתקשר לשאר המידע בארגון, למי אמורה להיות גישה אליו ולמי לא. אז למה שלא ניתן להם תפקיד פעיל באבטחתו?

 

הגישה של אבטחת מידע מבוססת קהל מאפשרת לכל העובדים בארגון לקחת חלק פעיל בניהול המידע ובהגנה עליו. היא נותנת לעובדים את הסמכות הנדרשת לניהול המידע עליו הם אמונים; בידיהם הכוח להחליט למי תהיה גישה לכל פריט מידע, כיצד, ומתי. עם crowd-sourcing כולם הופכים לחלק פעיל מתהליך אבטחת המידע, דבר שגם מחזק את האחריות הכוללת של העובדים כלפי אבטחת המידע הרגיש של הארגון.

 

במקרה הזה, סך החלקים גדול מן השלם. אבטחת הארגון כולו הופכת למשימה קלה יותר כאשר כלל העובדים מגויסים למשימה.

 

הכותב הינו מנהל חטיבת אבטחת מידע וסייבר ב-One1

haim@xact.co.il