לא בטוח – בלוג אבטחת המידע של איתן כספי

ככל שמתקדמים בשנים במקצוע הזה, חלק גדל והולך מהמאמצים הנדרשים ממך מתרכז ב-"לא להתייאש".

חלק נכבד מכך נובע מהפער האדיר שבין הפערים שצריך לסגור במשימות אבטחת המידע לבין המשאבים שניתן למשימות אלו, בדגש על כוח אדם שחסר (בכמות ואיכות) והתנגדויות של מי שאינם חלק מאבטחת מידע, כלומר הלקוחות הפנימיים בארגון (בעיקר פיתוח, DevOps, שיווק וכן הלאה).

בשנים האחרונות יש דיבור פומבי חזק אודות מחסור בכוח האדם בתחום אבטחת המידע, ויש הרבה מאמצים להתגבר על הפער הזה, כאשר לצערי מאמצים אלו גם גורמים לכניסה של לא מעט כוח אדם לא מיטבי לתחום, העיקר לספור לכאורה עוד אנשי מקצוע שנוספו לתחום, אך זה גורם לירידה ברמה של איכות הביצוע בחלק מהמקרים.

חשוב להבין שהפער באבטחת מידע בין משימות למשאבים יישאר תמיד, במידה כזו או אחרת, כי:

א. זה החיים, זה לא ייחודי לאבטחת מידע – כמעט תמיד לא מקבלים את מה שרוצים, ולרוב גם לא את מה שצריכים (ותודה ללהקת "האבנים המתגלגלות"). צריך לדעת לעבוד עם מה שיש, לשקף כל הזמן לאנשים הרלוונטיים את הפערים ובהתאם את הסיכונים, ולחיות עם זה בידיעה שאתם עושים את המקסימום שאתם יכולים בתנאים שנותנים לכם.

ב. במרבית המקומות בהם תעשו אבטחת מידע – אבטחת מידע לא תהיה בעדיפות עליונה, בלשון המעטה, ובהתאם המשאבים שתקבלו (והמשאבים בתחום זה הם יקרים). וזה בסדר, וזה נכון. לא תוציאו 1000 שקל לשמור על אובייקט בשווה 600 שקל, אין בזה היגיון. אבטחת מידע היא לא פעילות ליבה של הארגון. אבטחת מידע לא מכניסה כסף, להיפך. במקרה הטוב אפשר למכור אותה כ-Business Enabler, כלומר תכונה חיובית של הארגון ו/או המוצרים/שירותים שאפשר לשווק אותה לעולם. אבטחת מידע היא שירות מעטפת שניתן לארגון, על פי תעדוף סיכונים שהארגון עושה (בתקווה…), והפערים שאתם נתקלים בהם אמורים להיות "מתומחרים" כחלק מניהול הסיכונים הארגוני. אבטחת מידע ברוב המקרים רודפת אחרי אלו שהיא צריכה להגן עליהם, היא כמעט אף פעם אינה שותפה מהתחלה, והתוצאות והמחירים בהתאם.

ג. במקרים רבים אבטחת מידע נתפסת כסוג של "ביטוח". כלומר יודעים שצריך להתכונן לרע אפשרי, אבל בשוטף מדחיקים את הסיכון הזה ובהתאמה מקדישים לו כמה שפחות משאבים, מתוך הנחה (שחלקה הדחקה) שרוב הסיכויים שהסיכון לא יתממש ולכן רוצים להימנע מהוצאות מיותרות לטובת הפעילות הזו.

ד. וכאן אני מגיע לנושא העיקרי של הפוסט הזה, אשר מתקשר לנושא המחסור בכוח האדם שהזכרתי בהתחלה – אבטחת מידע נחשבת כנושא/בעיה בלעדי/ת רק של מחלקת אבטחת מידע ואנשיה, ולכן הם האחראים הבלעדיים לגביה. כל השאר עושים טובה ועוזרים כשאפשר וכאשר "בא להם" או כשמכריחים אותם, לרוב בגלל סיבות חיצוניות כמו חוקים, רגולציות או ביקורת חיצונית.
אבטחת מידע, כפונקציה ארגונית, בגלל שכיום אינה בעדיפות גבוהה בארגונים – תמיד צריכה לרוץ אחרי הלקוחות הפנימיים, בעיקר פיתוח ו-DevOps, ולנסות בדרכים כאלו או אחרת, חיוביות או שליליות, לקבל מהן "תשומת לב" ושעות ביצוע לקידום האבט"מ אצלן.

בעיניי שינוי הגישה הזו הרבה יותר חשוב להתייחסות מאשר המחסור באנשי מקצוע אבטחת המידע. כל עוד הגישה הזו לא תשתנה – הניסיון להוסיף עוד אנשים למקצוע אבטחת המידע לא יפתור את הבעיה. הוא לא הכיוון בו צריך להשקיע מאמצים. אבטחת מידע היא אתגר גדול מדי מכדי שרק אנשי אבטחת המידע יטפלו בו באופן בלעדי.

בעיניי הדרך היחידה לשפר משמעותית את המצב היא רק אם יוגדר לכל הלקוחות הפנימיים הרלוונטיים, מלמעלה, מהמנכ"ל ומטה, שאבטחת מידע:
א. היא חלק בלתי נפרד וחשוב מהמוצרים/שירותים שהארגון יוצר. היא לא Nice to have, היא לא "בואו נעשה טובה לאנשי האבט"מ המסכנים שמתחננים אלינו שנעשה קצת אבטחת מידע".
ב. תשולב בכל מחזור חיי מוצר/שירות – מתכנון המוצר על ידי מנהלי המוצר והארכיטקטים ועד ביטול המוצר/שירות וסגירתו
ג. אבטחת מידע לא תהיה באחריות הבלעדית של מחלקת אבטחת מידע. כל מחלקה, כל מנהל וכל עובד – יהיו אחראים למימוש אבטחת מידע בתחום פעילותם. האחריות תהיה קודם כל עליהם.
מחלקת אבטחת מידע ואנשיה יסייעו להם, בהדרכה, הכוונה, עצה, אינטגרציה וכדומה, כמעין "יועצים" פנימיים, אבל הם לא יהיו הקו הראשון. אבטחת מידע תנהל את הפעילות הזו "מלמעלה"
כמו כן כמובן שמחלקת אבטחת מידע תמשיך להיות אחראית בלעדית על נושאי הליבה של אבטחת מידע ותתפעל מוצרים ושירותים שהם במובהק נטו אבטחת מידע.

לדעתי רק שינוי כיוון כפי שמוצע לעיל יוכל לשפר באופן ממשי את מימוש אבטחת המידע ממצבה העגום כיום, אחרת אנו נמשיך להתבוסס בחוסר היכולת המובנה של המצב כיום כמתואר לעיל ולהפסיד קשות במאבקים נגד התוקפים.