עולם הנמלים - אסטרטגיה של ניהול סיכונים

העיתונותהמקומית והעולמית מוצפת במושגים אשר לא תמיד אנו יורדים לעומקם או למטרתם, וכתוצאה - יכולה להיווצר התופעה ש"נפספס" את הרעיונות והמסרים הטמונים במושגים אלו.
נתייחס למושג "ניהול סיכונים" שבוודאי מעסיק ארגונים רבים, אך בלא כל ספקקיימים גם כאלו ששואלים, למה לכל הרוחות הם מתכוונים ? כיצד ניתן לנהל סיכונים, שהריהם בלתי צפויים ?

לצורך ההבנה של כל המסתתר מאחורי מושג זה ולמה הכוונה, נציץלרגע קט בעולמה של הנמלה וננסה לעמוד על האסטרטגיה שהיא מנהלת, ובפרט בעתותמלחמה.

לנמלה יש לוגיסטיקה פנימית - המבוססת על חלוקת תפקידיםברורה (פועלות, לוחמות וכיו"ב), אסטרטגיה לניהול מלחמות - הנשענת על שכבות של הגנה (הלוחמות על ה"חומה" ומעגלי האבטחה הפנימיים, שתפקידם להגן על ה"אזרחים"), וטקטיקהשל התרעה - המושתתת על חיישנים ומערכת אזעקה (הצופות המוצבות בכניסה אלהקן).

הסקת מסקנות מהירה תוליך אותנו להכרה, שהנמלה מנהלת אסטרטגיה של ניהולסיכונים - גם אם זה נעשה בהעדר כל חשיבה - שעליה מבוסס כל תהליך ההתגוננות וניהולהמלחמות שלה.

בדומה לנמלה, כל ארגון המבקש להגן על נכסיו ולהבטיח את עתידו התלוי באופן ישיר במידע המצוי ברשותו, נדרש לעצב אסטרטגיה שתאפשר למזער את הסיכוניםהמאיימים על מידע זה.

בפועל, ארגונים נדרשים לגבש דרכים שיאפשרו להם לתת מענהלסיכונים קיימים, ובו בזמן להיערך גם לקראת סיכונים עתידיים, ומכאן שמדוברבאסטרטגיה ארגונית ארוכת טווח, שמטרתה למנוע מהסיכונים כל אפשרות להכתיב לארגון אתדרך החיים.

וכיצד מגבשים אסטרטגיה לניהול סיכונים? לצורך הבהרה נתייחס כאןבהקבלה לעולם הנמלה, שבו הסיכונים מנוהלים בהסתמך על שלושה מרכיביםמרכזיים.

· לוגיסטיקה ארגונית - המבוססת על מבנה פנימי מוגדר (מלכה, פועלות, זכרים וכיו"ב) והפרדת סמכויות ברורה - הקובעת עבור כל אחד את הרשאותיו בגישהלמידע..

· אסטרטגיית הגנה - המושתתת על מעגלי אבטחה, שנועדו לספק שכבותרבות של הגנה (שכבת הלוחמות, הפועלות וכיו"ב) עד לשכבה הפנימית של המידע (שכבתהצאצאים).

· טקטיקה של התרעה - הנשענת על ניטור אירועים שוטף (הצופות בפתחהקן) ומשלוח התרעות בזמן אמת באיתור איומים ממשיים (הזעקת הלוחמות באיתוראויב).

כלומר, גיבוש אסטרטגיה ארגונית לניהול הסיכונים כרוכה בעבודת ניתוחוהכנה של תשתיות, אשר יוכלו להתמודד בהצלחה עם סיכונים פנימיים וחיצוניים ועםאיומים מוכרים וכאלו שאינם ידועים.

גיבוש אסטרטגיהבעולם דינאמי ומשתנה משמעו לתכנן את המחר, מתוך ניתוח והבנה של הקיים ובהתבסס עלפיתוח יכולות אשר ייתנו בידינו כלים לחיזוי ו"ראייה" של הבאות.

מכאן, שעל "אסטרטגיהארגונית" לשלב בין סקירה וניתוח מדוקדקים של מידע ונתונים קיימים ובין חשיבה וחיזוייצירתיים, המאפשרים לארגון תכנון עתידי והיערכות לאיומים חדשים.

וכיצד מגבשיםאסטרטגיה לסיכול/מזעור סיכונים, שנשענת על שני המרכיבים הנזכרים לעיל? כנקודת מוצאנצא מהעובדה, שנושא "ניהול הסיכונים" חייב להוות חלק בלתי נפרד מהאסטרטגיהומהתהליכים הכלל ארגוניים, ויש להטמיע אותו בכל הדרגים הקיימים בארגון. וכמרכיבמרכזי, אסטרטגיה ארגונית לניהול הסיכונים נדרשת לתת מענה ולשלב כלים מתאימיםלאיתור, אבחון, ניתוח, כימות ותגובה לסיכונים מוכרים וצפויים ולסיכונים חדשיםוחזויים.

נפרט כאן בקצרה את התהליכים והכלים המעורבים באסטרטגיההארגונית של ניהול הסיכונים.

אפיון לניהול הסיכונים

בשלב ראשון יש למפות אתהתהליכים הארגוניים/עסקיים הקיימים בארגון ולדרג אותם ו/או מקטעים בתוכם בהתייחסלרמת הקריטיות/חיוניות שלהם לפעילותו השוטפת של הארגון.

כפועל יוצא משלב זהיש לקבוע מטרות וסדרי עדיפויות לאבטחת המידע הארגוני בכל הגזרות, ולאפיין מודללניהול הסיכונים, שיבוסס על יעדים הנובעים מההחלטות והשיקולים שלעיל.

כדוגמהניקח ארגון, אשר דירג במקום הראשון את מערך חיובי הלקוחות, במקום שני את מערךההזמנות, וכך הלאה. מודל ניהול הסיכונים יאופיין על ידי יעדים מרכזיים המייצגים אתמערך חיובי הלקוחות, יעדים משניים המייצגים את מערך ההזמנות, וכך הלאה.

איתור ואבחון של סיכוני אבטחת המידע מהווהשלב ראשוני בניהול הסיכונים של כל חברה, ומתפקידו למפות את החשיפות והכשלים הקיימיםבמערך אבטחת המידע, תוך התייחסות מדורגת אל הסיכונים, התואמת את המודל שאופייןבארגון על ידי הגורמים המוסמכים.

איתור של סיכונים מוכרים יבוסס על ניסיוןהעבר של הארגון ושל גופי אבטחת מידע מוכרים, וכן על מאמרים בעיתונות ובעלונים,המכילים התרעות ומידע על סיכוני אבטחת מידע.

איתור של סיכונים חדשים ובלתי מוכריםיבוסס על היכרות מעמיקה עם מערך אבטחת המידע ואבחון של תופעות חריגות ובלתי מובנות,וכן על חיווי של פעילויות חשודות ובלתי מוסברות.

הניתוחוהערכת הסיכונים נסמכים על סדרי העדיפויות והיעדים שהוגדרו במסגרת מודל ניהולהסיכונים, בצירוף שיקולים של אומדן הנזקים הצפויים כתוצאה מהתממשות האיומים.

בשלבהנוכחי ייבחנו הסיכונים שאותרו מהיבט הערכיות שלהם במסגרת המודל שאופיין, וכן מהיבטההסתברות להתרחשותם ומידת הנזק הצפויה לארגון עם התממשותם. כפועל יוצא שלהשלב הזה, ידורגו הסיכונים על פי "רמות חומרה" ויהוו הכנה לתוכנית פעולה.

השלב הבא, אשר מהווה גם הוא רכיב מרכזי בשיקולי הכנתה של תוכניתפעולה, מבוסס על עיצוב הפתרונות הנדרשים, בצירוף שיקולים הנשענים על מורכבותהפתרונות המוצעים.

הפתרונות ידורגו על פי "רמות מורכבות", שייקבעו בהתייחסלאומדן עלותו של הפתרון המוצע והערכת ההשקעה בכוח-אדם ואמצעי תוכנה/חומרה שיידרשובמסגרת הפתרון המוצע.

תוכנית הפעולה לטיפול בסיכוני אבטחתהמידע תעוצב בהסתמך על תעדוף הפתרונות שייקבע בחברה, וזה יישען על "רמות החומרה" ו"רמות המורכבות" שנקבעו בשלבים הקודמים של תהליך ניהול הסיכונים.

כשלבמשלים לתהליך ניהול הסיכונים יש לעצב מערך של פיקוח ובקרה, אשר יעקוב אחר כל שינויופעילות המבוצעים במערכי המחשוב של החברה, וישלח התרעות ודיווחים לגבי אירועיםשיזוהו כחשודים ובעלי פוטנציאל להיותם חריגים.

ניהול הסיכונים שלא באופן רציף ומתמשך יוצר חללים המסכנים את הארגון ומהווה גורםבהיווצרותן של פרצות וחשיפות, המסכנות את מארג אבטחת המידע שלהארגון.

לפיכך, על כל ארגון לקבוע מדיניות לניהול סיכונים רציף, אשר יושתתעל המהלכים המפורטים לעיל ועל תהליכי מעקב ובקרה אחר ביצוע השינויים הנדרשיםוהשפעתם על כלל העובדים.

לסיכום, כל ארגון, שאבטחת המידע מהווה נדבך חשובבתפיסת עולמו וקיומו, נדרש לקבוע מדיניות ברורה לניהול הסיכונים במערכי המידעולבנות תהליכים רציפים, אשר יבטיחו זרימת המידע וטיפול נאות בכל כשלי אבטחת המידעוהחשיפות.

צביקה גורן

חברת סקיוריטרי בע"מ

יועץ בכיר לאבטחת מידע

מרכז תחום BCP/DRP 

אבטחת מערכים יישומים

ואבטחת מערכות מחשב מרכזיות