Embed Size (px)
Citation preview
1
!pConהתרעות מבעיות סיכונים
ומלכודות
יישום... שחשוב להכיר לפני
- קומרקטינג בע"מ pCon- © כל הזכויות שמורות ל-1015 מצגת התרעות
22
פניה אישיתpCon העורך הראשי שלמקובי שפיבק -
מנהל/ת מידע יקר/ה
ישום כל טכנולוגיה, עלול להוביל להסתבכויות וכישלונות, תלונות ואובייקטיבי, בחרתי לסייע ולהתריע בפני וביקורת. כגורם מקצועי
מנהלי מידע, על הקשיים והבעיות שכרוכים ביישום טכנולוגיות מבטיחות, כדי לאפשר להם להיערך מראש, למנוע ולהפחית
כישלונות, אכזבות ותסכול, ולהפוך את יישום הטכנולוגיה, לסיפור .הצלחה מנצח
כגילוי נאות, אציין כי השירות הנוכחי לבדו, הוא רק חלק משירות של תחקירים משלימים. מצד שני, מדובר בטכנולוגיות ,רחב יותר ומשמעותיות, שחשוב לדעתי שכל מנהל מידע יכיר. מבטיחות
, אני ממליץ להשקיע את הזמן pConלכן, למי שאינו מנוי לשירות הנדרש כדי ללמוד בכוחות עצמו, את המהות והמשמעות הרחבה,
של יישום הטכנולוגיות.
.pCon בסוף המצגת, תמצא עוד שורה של הצעות מעניינות מ-
3
DLPרקע על התוצאות של הדלפות ויקיליקס, שמזעזעת את העולם בימים •
אלו, כמו גם פרשת ענת קם בארץ, האירו איום מרכזי שנמצא בדרך כלל בשוליים - בעית דליפת המידע.
לא ניתן למנוע באופן מוחלט את דליפות המידע. כן ניתן •לצמצמן באופן ניכר על ידי נהלים, הסברה ושימוש בפתרונות
טכנולוגיים.
הפתרונות הקיימים למניעת דליפת מידע, מאפשרים להגן על •מידע מסווג ורגיש באמצעות התקני אבטחה ברשת ותוכנות
אבטחה ביחידות הקצה.
את הפתרונות נוהגים לסווג לפי המידע בו הם מטפלים: •Data At Rest כגון מידע הנמצא במאגרי האחסון()כגון מידע העובר באימיילים Data In Motion הארגוניים( או
ושיתוף קבצים(.
4
?DLPכיצד מיישמים פתרונות דליפה • ומניעת נרחבות הרשאות בעלי משתמשים ניהול
פנימית באמצעות בקרה מרכזית.
הצפנת מידע. •
הנשלח • ובמידע הנתונים במאגרי הקבצים כל סריקת ומתקבל באמצעות ערוצי מידע שונים.
אכיפת רגולציה על מידע שמועבר מחוץ לגבולות הארגון. •
רק • לא הגנה שמאפשרים הקצה, בתחנות התקנים ושאיבת התקנים מחיבור גם אלא ברשת מידע מהעברת
מידע מהתחנה.
55
DLPהרחבה על 1015 חיונית לכל מנהל מידע. במסגרת תחקירDLP הכרת מערכות
סקרנו את - ויקיליקס לא אצלנו?",pCon - "DLPשל ההתפתחויות והמגמות החשובות ביותר, וענינו בין היתר על
השאלות:
מהו אחוז העובדים הגונבים מידע טרם עזיבתם? •
מהו הנזק לארגון מאיבוד מידע מבחינה כספית? •
מהם ערוצי המידע הראשיים דרכם דולף מידע? •
האזהרות על במסגרת הנוכחית, אנו מרכזים ומרחיבים את שחשוב להיות מודע אתגרים, בעיות, קשיים, אילוצים ותלונות
.DLP ליישום מעשי בשטח, של פתרונות לפני שניגשיםלהם,
6
DLP ביישום האתגרים - ככל שהארגון מיישם יותר טכנולוגיות, כך מתרבים ערוצי ערוצי דליפה רבים•
לכן נדרשת פעילות רחבה . USBהדליפה: מחשבים ניידים, סמארטפונים והתקני וממושכת לטפל בכך.
- בגלל שעובדים רבים לוקחים עימם את העבודה הביתה, מידע ארגוני עבודה מרחוק•רב נמצא מחוץ לגבולות הארגון ולמנגנוני ההגנה העוטפים אותו. בגלל שלא ניתן לשנות
את מצב זה, יש קושי גדול להתמודד איתו.
- רוב הארגונים מאפשרים לעובדיהם כניסה למייל הפרטי כאשר מנגנוני ההגנה אימייל•מתקשים לעקוב אחר אימיילים שיושבים בשרתים חיצוניים. גם כאן מדובר על מצב לא
הפיך שקשה להתמודד איתו.
- מצלמות קטנות ואיכותיות זמינות לכל דורש וכיום רוב המכשירים מצלמות איכותיות•הסלולריים משמשים גם כמצלמה קומפקטית איכותית. במצב זה מידע רב חשוף
כמעט ללא אפשרות הגנה אפקטיבית. למעט אולי, מצלמות מעקב בארגון. לגניבה
, עשו זאת גם על DLP מהארגונים בארה"ב שאמצו פתרון 50% - פחות מ-סלולר•תעבורת הסלולר. מדובר על תחום בעייתי, במיוחד כשמדובר על טלפון פרטי של
עובדים.
למה הכי חשוב לשים לב?...
77
DLP ביישום הבעיות אינו פרויקט מחשובי גרידא וללא DLP - פרויקט מדובר בפרויקט אסטרטגי •
שיתוף כל הגורמים הרלוונטיים בארגון, דינו להיכשל.
- עובדים מביאים איתם לארגון התקנים ניידים רבים הקונסיומריזציה מפריעה•ומחברים אותם לעיתים לרשת הארגונית ללא שום ידיעה של גף המחשוב. אלו
התקנים שלא אושרו על-ידי גף המחשוב וגם לא מתועדים בשום מקום.
- תופעת מיקור החוץ נפוצה בארגונים רבים ומקשה לא בתחום האחריות•מאוד על אכיפת נהלי אבטחה אחידים.
- ארגונים רבים מעבירים במתכוון מידע מסווג לשירות חיצוני, מחשוב ענן•מעבר לחומות ההגנה הארגוניים, באמצעות ענן המחשוב ובכך נחשפים לסכנות
אבטחה חדשות.
- ארגונים המציבים לעצמם מטרה להיות מאורגנים ומסודרים, מתעדים תיעוד•כל פיסת מידע הקיימת בארגון. תיעוד זה עוזר בתהליכים רבים אך גם מהווה מקור סכנה לדליפת מידע, באמצעות חדירה לרשת או דליפה פנימית על-ידי
העובדים.
מהם הקשיים הצפויים?
88
DLP ביישום הקשיים תעבוד בצורה יעילה ולא תפריע לעבודת DLP- כדי שמערכת הגדרות רבות •
הארגון יש להגדיר באופן תמידי חוקים וכללים ולעדכן רשימות שחורות ולבנות.
- אבטחת מידע מעוררת לעיתים תרעומת בקרב העובדים התנגדות פנימית•בעקבות המנגנונים המופעלים, המקשים על עבודה שוטפת.
- מניעת דליפה איננה פעילות חד פעמית, והיא מחייבת השקעה מתמשכת •פעילות מתמשכת ליצירת נהלים, הסברה והתייחסות לטכנולוגיות חדשות
שנכנסות לארגון.
מנהיגות פייסבוק וגוגל- חברות אינטרנט כגון חברה היררכית וממודרת •מבנה קבלת החלטות רוחבי ולא היררכי, לשם הגדלת היצירתיות של העובדים.
הפעלה של מידור והרשאות, מקשה מאוד על הפעלה של מבנה שכזה.
אינם זולים, למרות ירידת המחירים. אמנם מוצרי DLP - מוצרי ורישיונות מחיר•DLP .מספקים הגנה חשובה אך לא כל ארגון יכול להרשות אותם לעצמו
מהם האילוצים שמחייבים התייחסות?
99
DLP ביישום האילוצים - חלק מהמנגנונים גורמים לסרבול בעבודה, דבר המקשה עבודה שוטפת •
מאוד על העובדים לבצע את עבודתם.
- רוחב האיומים והתרחבותם המתמדת, ממחישים התרחבות האיומים •את החשיבות במציאת פתרון אבטחה ומניעת דליפה שיאפשר אבטחה
"מקצה לקצה". מצב זה, מצריך ניהול אינטגרטיבי ומרוכז של אמצעי האבטחה.
- נדרש שימוש בכוח אדם נוסף לשם יצירת אבטחה היקפית כגון: כוח אדם •איתור עובדים בעייתיים ואבטחה פיזית של סביבת העבודה.
"מחטטות" במידע של לקוחות שלא תמיד DLP - מערכות רגולציה•אפשרית, בגלל הנחיות הרגולציה.
- לשם ביצוע פרויקט מוצלח יש לבצע ניתוח איומים נרחב ניתוח איומים•והיקפי.
מהן התלונות הנפוצות?
1010
DLPעל יישום התלונות רוב דליפות המידע נגרמות על-ידי עובדים בעלי גישה לרשת -מודעות •
(. ללא מודעות העובדים, SafeNetהארגונית, לרוב ללא כוונת זדון ) לא יפתרו את שלל הסיכונים. DLPמערכות
, כיוון שהם DLP - קשה לכמת את היתרונות הכספיים של מוצרי כימות•אמורים למנוע התרחשות של דליפה, שלא בהכרח תתרחש.
לא מסתכם בהתקנת מערכת אחת DLP- פתרון פתרון רחב מאוד •וזהו. להגנה מלאה יש לשלב מספר רב של מנגנוני אבטחה.
- דורש הגבלות שונות על יכולת העובדים כגון: נהלים מחמירים מדי• ואף נטרול הגישה לרשת USBחסימת רשתות חברתיות, חסימת התקני
החיצונית. אינטרנטה
טוען שארגונים משקיעים כספים רבים גרטנר - אנליסט של IT לא רק•אך שוכחים שיש להתאימן לעובדים שאחראים על DLPבמערכות
המידע הרגיש, כגון משאבי אנוש וכספים, דבר שפוגע בעבודה השוטפת.
מוכן לכל באיזה מידה אתה אלה?
11
דגשים מיוחדים!
מתוך כוונה להתמקד בעיקר ומתוך כל התרעות הנקודות המפורטות ב
pCon אנו מדגישים את הנקודות ,שנראות לנו החשובות ביותר:
12
חוסר מודעות ו/או ענייןלמרות ההד התקשורתי, הנושא עדיין אינו
נתפס כחשוב מספיק. לכן בארגונים רבים לא עושים את המינימום ההכרחי של נהלים
והסברה, לצד עדכון הרשאות והצפנה. נדגיש כי ביצוע של אלה, כמעט ואינו מחייב את
הארגון להוצאה כספית נוספת.
מה קורה בארגון שלך?
13
ערוצי דליפה רביםככל שהארגון נעשה טכנולוגי יותר, כך מתרבים
ערוצי הדליפה: מחשבים ניידים, סמארטפונים , המקשים על התמודדות עם מגוון USBוהתקני
הסכנות הרבות.
של הארגון יכול לענות על סכנות DLPהאם פתרון אלו?
14
מצב קיים שקשה לשנותו
עבודה מרחוק, שימוש באימיילים חיצוניים ושימוש בטלפונים שעובדים מביאים מהבית,
הם חלק מהמציאות הנוכחית בארגונים רבים, שיש בה סיכונים משמעותיים מחד
ומצד שני קשה להתמודד איתם ולשנות את . DLPמציאות זאת, באמצעות פתרונות
האם זו בעיה שרלוונטית לארגון שלך?
15
התנגדות פנימית
אבטחת מידע "מוגזמת" מעוררת לעיתים בעקבות העובדים בקרב תרעומת על המקשים המופעלים, המנגנונים עבודה שוטפת. חלק מהמנגנונים גורמים על מאוד ומקשים בעבודה לסרבול
העובדים לבצע את עבודתם.
איך תתכוננו לזה?
16
מחיר
אינם זולים, למרות DLPמוצרי ורישיונות פתרונות על מדובר המחירים. ירידת דולר אלפי למאות להגיע שיכולים
שמוצרי למרות כך, גדול. DLP בארגון מספקים הגנה חשובה, לא כל ארגון יכול
להרשות אותם לעצמו.
האם נראה לך שההשקעה תשתלם?
17
דגשים של עוד מומחים
לשירותי אנליסט מאור, גייגר שחר בחברת שכדי STKIתשתיות אומר ,
ללכת DLPלהטמיע יש מוצלח באופן ניתוח לבצע יש שבו פרויקט של לכיוון זהו ולהתאים את הפתרון לארגון. איומים יבצע לא כדי שהארגון ביותר, צעד חשוב
פרויקט מיותר ויקר מדי.
18
דגשים של עוד מומחים
גנחובסקי אשר מערכות , מהנדס
כי ,בסימנטק רק אומר מערכת הטמעת היא מידע שליחת של חסימה לשם בקלות להפוך יכולה היא אך אפשרית, לאויבת הארגון. מערכת שתקשה מדי ולא הארגון, עובדי של פעולות על לצורך לנטוש יעדיפו ואף אמינה כלא תיתפס
אותה.
19
המסר המסכם
דליפת מידע הוא סיכון מוחשי שיכול לגרום לנזק הרסני לכל ארגון. ניתן לפעול באופן מעשי ומיידי על ידי נהלים, הסברה והפעלה של פתרונות קיימים. זאת, במקביל לפתרונות
הטכנולוגיים. מצד שני, הבנת האתגרים והמגבלות של מערכות אלו מאפשרת להיערך
בהתאם. בכל מקרה ובמיוחד לאור ההדים כדאי מאד שלא להתעלם מתחום האחרונים,
חשוב זה.
20
דקה למחשבה!
אלה, אזהרותכדי להפיק תועלת מעשית ומוחשית מ :עכשיוכדאי לעצור לרגע קצר ולשאול את עצמך
מה כל זה אומר לי, באופן מעשי?1.
איך אוכל למנף את ידע זה, כדי להתקדם ולקדם את הארגון?2.
מתי כדאי לי להתחיל לפעול? )רשום לעצמך תזכורת ביומן(.3.
מה דעתך? ולחשוב. עכשיו! מודגש שוב, מומלץ לעצור
21
בחינם!התרעות נוספות
מצגות מקצועיות ייחודיות וחדשות !בחינםאנו מפרסמים • ביחס לשורה של טכנולוגיות pConהתרעות של
מבטיחות. חלק מהמצגות מתפרסמות במספר מדיות.
המקום היחידי שבו ניתן למצוא את ריכוז כל האזהרות, הוא •www.pcon.co.il/Warnings בקישור - pConבאתר
כדי להתעדכן לא להחמיץ מידע שימושי וחשוב זה, ובנוסף •לקבל שורה של טיפים שימושיים וסרטונים מרתקים על
בחינם!חידושים טכנולוגיים, מומלץ להרשם !הירשם עכשיו .pConTipל-
22
pConשל פתרונות מוכחים עוד לבעיות שמטרידות ומפריעות למנהלי מידע
קח גלולה על נושא טכנולוגי - שאלות מציקות ובוערותלמי שיש •www.pcon.co.il/RedPill - אדומה עם כל החוכמה
תתייעל ותהנה מהזמן כדי לבחור ולמצות טכנולוגיות מוצלחות - •www.pcon.co.il/Hawaii- שתרוויח... בחופשה בהוואי למשל?
מציע לרגע pCon- למי שנדרש להחליט או להמליץ על קו פעולה•www.pcon.co.il/winner אסים ביד! - 3המכריע...
- ויקיליקס לא אצלנו?DLPלמידע נוסף על התחקיר - www.pcon.co.il/DLP
23
למידע נוסף
ניתן ליצור קשר אישי עם
pConהעורך הראשי של
קובי שפיבק [email protected] '03-9660310פקס , 03-9667939, טל
