מעבר בטוח לענן בארגונים מהסקטור הציבורי

מעבר בטוח לענן בארגונים מהסקטור הציבורי

This post is also available in: enEnglish (אנגלית)

בשנים האחרונות ארגונים רבים העבירו חלקים נכבדים של היישומים והמידע שלהם לענן הציבורי. היתרונות של הענן ברורים, הוא מאפשר גמישות גבוהה לאין שיעור לעומת הדטה סנטר המקומי, יכולת להקצות משאבים ולגדול ולקטון בגמישות הנדרשת ולספק Time to Market מהיר. אולם, המעבר לענן דורש עדיין להתמודד עם סיכוני סייבר, במיוחד בארגונים מהסקטור הציבורי. הם יידרשו לשנות את המודלים של אבטחת המידע, אם ברצונם להמשיך ליהנות מיתרונות הענן ובמקביל להגן על מידע רגיש מפני איומים.

חברת Comm-IT, בית מערכות לשירותי פיתוח תוכנה מתקדמים מהמובילים בישראל, הרחיבה בשנה החולפת את שירותי המולטי-קלאוד המנוהלים שלה והשיקה את מערך שירותי Cloud Pro’Active. המערך, הפועל תחת מתודולוגיה ייחודית, מציע שרותי ניטור ובקרה (NOC), ניטור סייבר (SOC), גיבוי (Backup), וכן שירותים לתמיכה בבסיסי נתונים, התאוששות מאסון (DR), DevOps, FinOps ועוד. 

ליאור ביאליק, סמנכ"ל פתרונות ענן ב- Comm-IT ודימה טאטור, מוביל תחום אבטחת מידע וסייבר בחברה, סיפרו בראיון ל-iHLS על אתגרי האבטחה היחודיים בארגונים מהסקטור הציבורי וכיצד עליהם לנהוג בעת המעבר לענן.

ליאור ביאליק, COMM-IT צילום: ניב קנטור
Dima Tatur, COMM-IT. photo by
דימה טטור, COMM-IT צילום: ניב קנטור

iHLS: מהם החששות העיקריים בעת המעבר לענן?

ביאליק: קיימים שני חששות עיקריים. ראשית, הענן הוא פלטפורמה ציבורית, כלומר, מדובר בפלטפורמה שיתופית חיצונית שאינה בשליטה מלאה של הצוות הפנימי של הארגון. שנית, ארגונים רוצים לשמר את מדיניות אבטחת המידע הפנימית שלהן ולהמשיך אותה גם בענן.

אולם, חשוב לציין, שפלטפורמות הענן המובילות עומדות בסטנדרטים הגבוהים ביותר של אבטחת המידע, כולל תקינות ורגולציות מסוג HIPAA בסקטור הרפואי, PCI  בסקטור הפיננסי וסטנדרטים גבוהים דוגמת SOC2, ISO27001 ועוד. כלומר, במקרים רבים פלטפורמת הענן עומדת בסטנדרטים גבוהים מאלו של הארגון ואף חוסכת את המאמץ הנדרש לקבלת ההסמכה הנדרשת לשכבת תשתית זו.

טאטור: עם זאת, הארגון עדיין נדרש לתת את המענה האבטחתי הנדרש לאפליקציה או למערכת שהוא מקים על הענן וברובד זה נדרש ליישם את אותם עקרונות אבטחת המידע שהיה מיישם אצלו בבית, תוך ניצול הגמישות ויתרונות אבטחת המידע שנגישים לו בענן על פי דרישה.

iHLS: איך אפשר ליצור רמת אבטחת מידע מספקת בענן הציבורי?

טאטור: אם מתאימים את פתרונות הענן לרמת החוסן הנדרשת, בהחלט ניתן לקבל מענה טוב, מאובטח ואיכותי. המענה חייב להיות מורכב ממספר אלמנטים: הקשחות, הצפנת המידע בתנועה (in transit), הצפנת המידע במנוחה (at rest), מבדקי חדירה וארכיטקטורת אבטחת מידע שתעמוד בכל התקינות הנדרשות, כולל רגולציות של הגנה על פרטיות, דוגמת GDPR. 

iHLS: מה Comm-IT מציעה במסגרת השירותים שלה לארגונים ציבוריים שמעוניינים לצאת לענן הציבורי?

ביאליק: במסגרת השירותים המנוהלים, Cloud Pro’Active, אנחנו מציעים את מגוון שירותי ה- Production as a Service הרחב ביותר בארץ תחת קורת גג אחת, עם קרוב ל- 200 מומחים, הפועלים סביב השעון במעגלי תמיכה הפרוסים בתחומים רבים. מערך השירותים המורחב מספק שירותי תמיכה, שליטה, בקרה וניהול מקיף על בסיס 24/7 עבור כלל הפעילויות העסקיות של ארגונים על גבי פלטפורמות הענן המובילות בשוק. 

אנחנו עובדים בהתאם למתודולוגיית ITIL, הכוללת בקרה על איכות השירות וביצוע תהליכי מנע לתקלות מבעוד מועד ופועלים תחת הרגולציות המחמירות ביותר. מרכז שירות ה- SOC MSSP שלנו מאפשר לארגונים לנהל, לנטר ולשלוט באירועי סייבר 24/7 ברמה יום-יומית. 

טאטור: אנחנו עובדים עם מערכת ניהול אירועי אבטחה (SIEM – Security Information and Event Management) מרובת פלטפורמות שאוספת ומנתחת אירועי אבטחה ואינדיקציות ממספר פלטפורמות שנמצאות בשימוש של הלקוח. המערכת מספקת מידע והתראות המבוססות על Machine Learning. במקביל, האנליסטים שלנו פועלים מול אירועי הסייבר, מטמיעים עבור הלקוחות את ה- best practices ומספקים תובנות והמלצות. בשוטף, אנחנו מבצעים תהליכים פרואקטיביים כדי לתחזק ולשמר את ההקשחות והעמידה בתקינות הנדרשות ללקוח (SecOPs as a Service)  

iHLS: איזה טכנולוגיות חדשניות אתם מיישמים במסגרת השירותים שלכם?

טאטור: לאחרונה השקנו שירות חדש שירות חדש של 'האקר וירטואלי', המבוסס על פתרון בדיקות החדירות האוטומטי Penetration Testing)) של חברת Pcysys.  השירות ניתן עם ליווי של מומחי ה- SOC MSSP שלנו שמאפשר לארגונים לקבל המלצות ותובנות לבניית תכנית אבטחת מידע ברמה הגבוהה ביותר. 

ביאליק: השירות החדש של בדיקות החדירות האוטומטיות מאפשר לבדוק את ההקשחות, ליישם את הממצאים ולהטמיע אותם כשרות מתמשך. השירות ניתן לפי הדרישה של הלקוח ומאפשר בדיקה רציפה של חסינות על פי תדירות שנקבעת מראש במדיניות אבטחת המידע של הארגון.