"זאת שגיאה לבחון את ההגנה על המידע מהיבטים טכנולוגיים בלבד"
משה רז, מנכ"ל חברת DataSEC מקבוצת SQLink (יח"צ)
חברות מוצרי אבטחת מידע שוגות כשהן מערבות שיקולים טכניים בלבד בעת שהן בונות אמצעים להגנת המידע. כתוצאה מכך, לקוחות מוצאים את עצמם מטמיעים מוצרים שהנחיצות והמשמעויות הניהוליות שלהם אינן ברורות. כך אמר משה רז, מנכ"ל חברת DataSEC מקבוצת SQLink.
"האמצעים להגנה על מידע מהווים כלי ליישום התפיסה הניהולית. הארגון צריך לקבוע איך תיראה ההגנה על המידע, ורק משלב זה יש לספק את הטכנולוגיה המתאימה. יש ליישם תפיסה הוליסטית, המאגדת את כל מרכיבי ההגנה על המידע ולא רק את הפן הטכנולוגי", הדגיש רז.
רז המשיל את ההגנה על מידע לכלב שמירה או למערכת אזעקה: "אם הכלב ינבח ואף אחד לא יבוא, או שהאזעקה תפעל ולא יגיע שום סייר, לא יהיה בהם כל תועלת. באותו אופן, חובה להפנים שאם הארגון יקנה כלי בלי להבין שצריך תשומות כוח אדם, לא יהיה טעם בהשקעה. מעל לכל, צריך להיות מישהו בארגון שאמון על סיכונים.
"לא מספיק שיועץ מצביע על מצב לקוי, חובה עליו להוות למעשה חלק מהארגון כדי לתפור עבורו את חליפת הפתרון המתאימה וליישם את הפתרון", הבהיר מנכ"ל DataSEC. "תפיסת ההגנה על מידע צריכה לקבוע איפה נמצא המידע העיקרי, הערכי, שהפגיעה בו יכולה להזיק לארגון. את המידע הזה יש 'לצבוע' וזה המידע שחייב לקבל תשומות של הגנה. לא משנה איפה המידע מעובד, העיקר שיש תשומות של הגנה על מידע".
הגישה שנוקטת DataSEC רואה בהגנה על מידע ניהול סיכונים: על פי גישה זו יש לזהות את הסיכונים למידע בארגון, לגזור מהם מדיניות ונהלים שיפחיתו את הסיכון, לבדוק שהנהלים אכן מוטמעים, לבצע סקר סיכונים ומבדקי חוסן, לזהות פערים, לקבל את אישורי ההנהלה לתוכנית שגובשה, לקבל תקציב – ולחזור שוב על התהליך מנקודת המוצא.
"המערכות משתכללות. התובנות נלמדות. ככל שהטכנולוגיה תתקדם יהיו פרצות. אנחנו נגדר תמיד את מה שאפשר. מי שמולנו יחפש תמיד פרצות. אם התפיסה נכונה ומאושררת באופן תקופתי, סביר להניח שהארגון יידע להתמודד עם ההגנה על המידע", סיכם רז.
