איך להתאים את אבטחת המידע למבנה ארגוני משתנה?
פורסם: 23.7.17 צילום: יח"צ
מידי יום מתפרצות חדשות בכלי התקשורת המקצועיים אודות פתרונות חדשים בתחום אבטחת המידע. רשימה ארוכה של ספקים מציעים פתרונות חדשניים וייחודיים שמבטיחים לארגון הגנה מפני איומים מסוימים או הגנה על רכיבים מסוימים בארגון, החל מנקודות הקצה ועד לשרתים. מספר הטכנולוגיות אדיר וכל ארגון בונה לעצמו את אסטרטגית אבטחת המידע ואת מבנה הפתרונות הנכון לו.
ללא ספק, ארגון המונה עשרות אנשים ומטפל בצבאות וחברות ביטחוניות זקוק לרמת אבטחה מסוימת, גבוהה מאד והדוקה מאד. לעומת זאת, ארגון המונה מספר אנשים בודדים ועובד מול לקוחות מהמגזר הפרטי, שאינם מחזיקים במידע רגיש מאד, זקוק לרמת אבטחה קשיחה פחות. כך גם ארגון מבוזר שעובדיו מסתובבים בשטח או מעבר לים לעומת ארגון שכל עובדיו יושבים תחת קורת גג אחת.
ברור מאיליו שלא כל ארגון זקוק לאותה רמה של אבטחת מידע, אולם מה קורה כאשר הארגון נמצא במצב של שינוי תמידי? כיצד במקרה זה בונים את אבטחת המידע הנכונה לארגון?
בעולם העסקי הדינמי שאנו חיים בו, ארגונים הופכים מאד גמישים במבנה הארגוני שלהם ובכוח האדם. חברות רבות עובדות על בסיס פרויקטלי והן גדלות וקטנות על פי הדרישות בשטח במהלך השנה. מעבר לכך, הלקוחות של ארגון מסוג זה יכולים גם הם להשתנות – בתקופה מסוימת ארגונים יכולים לעבוד מול חברות ביטחוניות ובתקופה מאוחרת יותר מול חברות פרטיות. בנוסף, ארגונים יכולים לשלוח עובדים בתקופה מסוימת לטיפול בפרויקט מעבר לים ולאחר מספר חודשים להחזירם לעבודה מקומית בלבד. כלומר, אופי העבודה, אפיון כוח האדם והמבנה הארגוני יכול להשתנות מקצה לקצה במהלך שנה אחת. במקרה כזה גם דרישות אבטחת המידע משתנות.
המודלים המסורתיים של הרישוי מחייבים חברות לרכוש חבילות אבטחת מידע לתקופה של שנה לפחות. חבילת אבטחת מידע במודל זה אלו כוללת את כל רכיבי אבטחת המידע שהעסק צריך באותה נקודת זמן בה ביצע את ההזמנה. העובדה שאופי העבודה והמבנה הארגוני של הארגון השתנה במשך השנה, לא מעניינת ולא משנה – ובמקרה זה, הארגון יצטרך לחכות בסבלנות לסיום התקופה כדי להתאים מחדש את אסטרטגית אבטחת המידע שלו והרכב הפתרונות.
האם ארגון שצמצם את כוח האדם שלו בחצי במהלך השנה צריך להמשיך ולשלם על אותו מספר משתמשים שהיו לו בעת שהזמין את חבילת הרישוי? האם ארגון ששינה את הפוקוס שלו מלקוחות מהמגזר הבטחוני לחברות פרטיות צריך להמשיך ולהצפין 100% מהקבצים והתעבורה? האם ארגון שהעביר את רוב הפעילות שלו לענן צריך להמשיך לשלם כל השנה על הקשחת שרתים? ובכן, זה באמת לא הוגן אם יצטרך להמשיך לעשות זאת.
מודלים של SaaS באבטחת מידע מאפשרים כיום לארגונים להתאים את נפח הרישוי לנפח הפעילות של החברה ולמספר המשתמשים לאורך הדרך. מעבר לכך, הם גם מאפשרים להתאים את הפתרונות בהתאם לשינויים במבנה הארגוני ובאופי הפעילות. ארגונים כיום יכולים להזמין ולהשתמש בפתרונות אבטחת המידע שלהם בדיוק כפי שהם משתמשים במשאבי הענן – לפי הצורך ובעת הצורך, לא פחות ולא יותר. מודל זה בהחלט מוזיל עלויות באופן ניכר ומאפשר לארגון להשקיע משאבים בדיוק היכן שהוא צריך כדי להשיג אבטחת מידע מדויקת והדוקה יותר.
*אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב- Power Communications ומנהל פעילות Sophos בישראל
מגזין "סטטוס" מופק ע"י: 
Tags: אבטחת מידע אבטחת סייבר אסטרטגיה טכנולוגיה
