סקר מנהלי אבטחה: הרוב כבר יישמו שירותי אבטחה בענן
This post is also available in: 
English (אנגלית)
יבמ חושפת את ממצאי הסקר השנתי של מנהלי אבטחת מידע בארגונים ל– 2013, המתמקד בשלושה תחומים מרכזיים המשפיעים על עבודת המנהלים האלה: תהליכים ושיטות עסקיות, בשלות הטכנולוגיה ויכולות מדידה והערכה. המחקר ממנף ומתעד את הידע והניסיון של מובילים בתחומי האבטחה, על מנת להציג מערכת כללים ושיטות להגדרת תפקיד מנהלי האבטחה ודפוסי העבודה שלהם.
עם התרחבות השימוש בטכנולוגיות דוגמת ענן מחשוב, ויישומי מובייל – נולדות הזדמנויות עסקיות חדשות ובצידן מופיעים איומים שלא היו מוכרים בעבר. כלים ואיומים מתוחכמים של פורצי מערכות, מציבים את מנהלי האבטחה הארגונית בעמדה אסטרטגית יותר מאי–פעם. מנהל אבטחה חייב להיות מוביל בעל שיעור קומה הן בצד הטכנולוגי והן בצד העסקי – ולהתמודד עם מגוון רחב של בעיות, תוך ניהול מערך טכנולוגי מורכב. על מנת לסייע למנהלי האבטחה להגן טוב יותר על ארגוניהם ולהבין את מעמדם ותפקידם במסגרת ההנהלה הבכירה ושאר בעלי התפקידים המרכיבים אותה, מזהה הסקר של יבמ שיטות ודפוסי התנהלות העשויים לתרום לביסוס מעמד מנהל האבטחה ולביצוע משימותיו.
שיטות הניהול העסקי עליהן מצביעים מנהלי האבטחה מתמקדות בצורך בחזון עסקי, אסטרטגיה ומדיניות מקיפה בתחום ניהול הסיכונים, כמו–גם קשרים אפקטיביים המשפיעים על ביצועיהם. הבנת הנושאים המדאיגים את דרג הניהול הבכיר מהווה אף היא תנאי חיוני להצלחה. מנהלי אבטחה מנוסים יותר, נפגשים תכופות עם המנהלים הבכירים האחרים, על מנת לשפר את הקשרים במסגרת הארגון. המפגשים האלה, כוללים שיחות לזיהוי והערכת סיכונים (59%) פתרון בעיות תקציב (49%), ויישום טכנולוגיות (44%). מנהלי האבטחה מתמודדים עם אתגר הניהול המוצלח של מכלול בעיות האבטחה בארגון.
הטכנולוגיה הולכת ומבשילה. מנהלי אבטחה מדרגים את תחום אבטחת המשתמשים ניידים כעדכון החדש ביותר במסגרת המערך עליו הם אמונים. כרבע ממנהלי האבטחה יישמו מערכות אבטחת משתמשים ניידים במהלך השנה האחרונה. למרות הדאגה הנמשכת לפרטיות ולאבטחה בסביבת ענן, 76% ממנהלי האבטחה יישמו כבר סוג כל שהוא של שירות אבטחה בענן. הפופולריים ביותר מבין אלה הם שירותי ניטור ובקרת שימוש, ושירותי ניהול זהות והרשאות גישה. שתי הקטגוריות האלה יושמו על ידי 39% מהמשיבים.
במקביל להמשך תשומת הלב בתחומי ענן המחשוב והמובייל, ממקדים מנהלי אבטחה ארגונית את פעילותם בתחומים דוגמת ניהול זהות והרשאות גישה (51%), מניעת חדירה לרשת וסריקה לגילוי נקודות תורפה (39%), ואבטחת בסיסי נתונים (32%).
האתגר המרכזי בתחום המובייל הניצב בפני מנהלי אבטחה, נוגע להתקדמות מעבר לצעדים הראשוניים: צמצום העיסוק בטכנולוגיה בפני עצמה, לטובת ניהול מדיניות ואסטרטגיה כוללים. פחות מ– 40% מהארגונים יישמו מדיניות תגובה וטיפול ממוקד במכשירים הפרטיים של עובדיהם, או אסטרטגיה כלל ארגונית לעידן שזכה כבר לכינוי BYOD – "הבא–איתך–את–המכשיר–הפרטי–שלך" בתרגום מאנגלית. 39% מהמנהלים מכירים בקיומו של הפער הזה, ומתכננים להניח בשנה הקרובה יסודות לאסטרטגיית BYOD, ו– 27% מתכננים להגדיר מדיניות תגובה לאירועי אבטחה שמקורם במכשירים כאלה.
IHLS – Israel Homeland Security
יכולות מדידה משמשות את מנהלי האבטחה ככלי להנחיית תהליכי התקצוב, ולניתוח השקעות בטכנולוגיה חדשה. במקרים מסוימים, משתמשים המנהלים בכלי המדידה על מנת להגדיר סדרי עדיפויות לארגון האבטחה בראשו הם עומדים, עם זאת, ככלל, המדידה הטכנית והעסקית מתמקדת עדיין בנושאים תפעוליים. כך, למשל, יותר מ– 90% מהמרואיינים עוקבים אחר מספר אירועי האבטחה, רשומות אבודות או גנובות, נתונים או מכשירים, ובקרה וסוגיות עמידה בהוראות חקיקה ותקינה – כולם מימדי ניתוח בסיסיים, הצפויים להיות תחת מעקב של המנהלים. מספר קטן ביותר, 12% בלבד מהמנהלים, מזינים את נתוני מדידת האבטחה אל תוך תהליך ניהול הסיכונים הארגוני שלהם. זאת, למרות שמנהלי האבטחה אומרים כי השפעת האבטחה על מכלול הסיכונים הארגוניים מוערכת כגורם המשפיע ביותר על הצלחתם.
עורכי המחקר אומרים כי התוצאות מצביעות על צורך ברור של מנהלי האבטחה להתמקד במציאת האיזון העדין בין פיתוח תפיסה כוללת ושלמה לאבטחה וניהול סיכונים, ובין יישום יכולות מתקדמות ואסטרטגיות יותר, דוגמת התמודדות עם עולם הניידות והמכשירים הפרטיים המגיעים למקום העבודה.
הדו"ח מבוסס על שורת ראיונות עומק עם מנהלים בכירים בתחום האבטחה, האחראים במסגרת תפקידם למכלול סוגיות האבטחה בארגוניהם. הראיונות נועדו לזהות שיטות ודפוסי התנהלות העשויים לשרת את כלל מנהלי האבטחה ולקדם את תפקודם ומעמדם. על מנת לשמור על המשכיות ביחס לסקרים קודמים, גויסו 80% מהמרואיינים מתוך מאגר מנהלים שהשתתפו במחקר קודם, במהלך 2012. המרואיינים מייצגים מגוון רחב של תחומי משק ותעשיה, בארבע מדינות שונות. יותר מ– 80% מהמרואיינים עובדים בארגונים גדולים, וכשליש מהם מנהלים תקציבי אבטחה בהיקף של יותר ממיליון דולר בשנה.
