רבות כבר נכתב על השינויים המתחוללים בתרבות העבודה של העולם המודרני. המהפך הטכנולוגי של המאה ה-21 הפך אותנו לזמינים מכל מקום ובכל זמן. אנחנו חיים בכפר גלובלי שמאפשר לעשות עסקים עם סין כמו עם השכן בהמשך המסדרון.
אנחנו זמינים היום הרבה יותר מבעבר, ולכן גם העבודה שלנו צריכה להיות יותר מהירה, יעילה וזמינה. זהו הדין גם לגבי המידע שאנחנו מעבירים – הוא צריך להיות זמין מכל מקום, בכל מקום. זוהי המציאות בה אנו חיים, בין אם אנחנו עובדים בהיי-טק ובין אם יש לנו עסק קטן ועצמאי, בין אם הארגון שלנו שמרני ובין אם הוא מהראשונים שמאמצים טכנולוגיות חדשות.
אם עד לפני עשור או שניים היה נדרש בעיקר Firewall איכותי להגנה מפני פריצות, היום כבר בלתי אפשרי לסגור את הארגון בצורה הרמטית, וכך נוצר מצב שבו מידע זולג מחוץ לארגון.
בין אם אנו משתמשים באפליקציות לשיתוף קבצים (כמו OneDrive, Box, DropBox) ובין אם מדובר ב-Shadow IT, שימוש בתוכנות לא מאושרות הינו דבר נפוץ. במרבית המקרים, עובדים אינם משקיעים מחשבה באם האפליקציה בה הם משתמשים מסכנת את הארגון ואת המידע שברשותו.
כיום, אפילו מנהלי מערכות מידע אינם תמיד יודעים היכן נמצא המידע ומה עושה כל משתמש עם האינפורמציה שנמצאת על המחשב שלו.
נעים להכיר: הרגולציה החדשה של עולם אבטחת המידע
ארגונים רבים הפנימו את המצב הבעייתי בו הם נמצאים. ממשלות ברחבי העולם הכניסו סעיפים ורגולציות חדשות בנושא אבטחת מידע, מהן שתי רגולציות שרלוונטיות לישראל:
• התקנות לחוק הגנת הפרטיות (אבטחת מידע)
• (General Data Protection Regulation (GDPR
תקנות אלו נכנסו לתוקף במאי 2018. בעוד שהראשונה הינה תקנה ישראלית, המקטלגת את סוגי מאגרי המידע למספר רמות ואת אופן ניהול המידע בהתאם לרמת הסיווג הנדרשת, תקנות ה-GDPR הינן תקנות של האיחוד האירופי הנוגעות לזכות הפרט על המידע שקיים לגביו.
ארגונים רבים טועים לחשוב שה- GDPR רלוונטי רק למי שיש לו עסקים באירופה או נותן שירותים לאזרחים של האיחוד האירופי. אולם מדובר בעצימת עיניים ובדחיית הקץ, שכן ה- GDPR יצר סטנדרט בכל הקשור לנושא אבטחת המידע, שיחלחל לשאר העולם הרבה יותר מהר מכפי שניתן לחשוב. גם הפרשנות של החוק יכולה להיות הרבה יותר רחבה ממה שנדמה, ולא ירחק היום עד אשר קנסות בגובה של עד 4% מהמחזור השנתי יגיעו גם אלינו.
לשם המחשה, נתמקד בחברה ישראלית המספקת שירותים לארגון עם עסקים באירופה. אותו ארגון צריך לוודא שגם הספקים שלו עומדים ב-GDPR, אפילו שלהם אין דבר עם אירופה. כך המעגלים המושפעים מה- GDPR הולכים מתרחבים.
המצב שתואר – מצד אחד זרימה בלתי פוסקת של מידע ומצד שני חוקים שמטרתם לעשות סדר – יוצרים אנומליות בארגונים. מנהלי ה-IT לא תמיד יודעים היכן המידע נמצא וכיצד הוא עובר, וארגונים מגייסים בעלי תפקידים שונים המתמחים בתחומי נישה של ניהול ואבטחת מידע. בד בבד, השוק מוצף במוצרים שונים המספקים מענה לסוגיות ספציפיות (דוגמאת Okta, McAfee, Shieldox) שלא תמיד עובדים אחד עם השני. לא פלא שכולם מתוסכלים ומבולבלים.
עושים סדר: מיפוי, יישום וסינרגיה
חוסר הסדר שתואר הוא מנת חלקם ושגרת יומם של מנהלי IT ואבטחת מידע רבים. מדובר במציאות ממשית וכואבת.
ישנם פתרונות רבים וטובים, אך מיקרוסופט החליטה לקחת את הנושא צעד אחד קדימה. החבילה של מיקרוסופט ("EMS") מאגדת אוסף של שירותים (שאינם בהכרח מוצרי מיקרוסופט), הנותנים כל אחד מענה לסוגיה ספציפית. כולם עובדים בסינרגיה ומספקים תמונת מצב אחידה על מצב אבטחת המידע בארגון.
בבואנו לתת מענה טכנולוגי לתקנים כגון ה- GDPR ולכל תקינה אחרת (ISO, תקני אבטחת מידע בינלאומיים אחרים) אנו מחלקים את התהליך למספר שלבים:
שלב א' – ניטור
ראשית יש למפות המצב הקיים בארגון – באילו תוכנות משתמש כל עובד, מה כל עובד עושה באמצעות כל תוכנה (הורדת קובץ, עדכון וכו'), מהיכן הוא נכנס, סוג המחשב, מאיזו מדינה וכו'.
מטרות השירותים שעומדים לרשותנו הן:
1. איסוף נתונים על כל משתמש ומשתמש בארגון, עד לרמת ה-User, כתובת ה- IP והמכשיר ממנו הוא נכנס לרשת הארגונית.
2. ניטור התוכנות בהן נעשה שימוש – הן אלו שאושרו על ידי הארגון והן אלו שלא. כלים אלו מתבססים על Machine Learning.
3. שליטה במכשירי הקצה ובאפליקציות הארגוניות, על מנת שניתן יהיה לבצע עדכונים מרחוק ולשלוט ביכולתם של העובדים לבצע פעולות שאינן רצויות מהמכשירים האישיים שלהם.
שלב ב' – אכיפה
אחרי שמיפינו וראינו היכן זורם המידע שקיים בארגון, ניגש ליישם חוקים ופקודות שיעזרו לארגון לממש את השליטה הנדרשת מתוקף תקנות GDPR ותקנות לחוק הגנת הפרטיות. מילת המפתח היא אכיפה. השירותים המעורבים בשלב זה מבצעים אכיפה על בסיס:
• הרשאות מנהל ומשתמש – איזו רמת הרשאה נדרשת עבור איזו פעילות ומי מקבל אותה.
• הרשאות של סוג המכשיר – איזו פעולה ניתן לבצע מאיזה מכשיר.
• הרשאות ע"ב דפוס פעילות – למשל, אם משתמש מבצע הורדה המונית של חומר (המונית ביחס להתנהגות שלו עד כה) הוא ייחסם.
• הרשאות ע"ב חוקיות – מי יכול לפתוח את הקובץ, לכמה זמן הקובץ יהיה זמין לנמען ומה הוא יכול לעשות איתו (לערוך, להדפיס ועוד). היתרון הגדול הוא שברגע שנקבעה חוקיות מסוימת (סיווג) אותה חוקיות הופכת להיות חלק מהמסמך עצמו, כך שגם אם בעוד חצי שנה ישתנו הגדרות המסמך, ההנחיות החדשות יחולו על המסמך שנשמר לפני זמן רב ותינתן על הודעה למשתמש. קיימת גם אפשרות לסיווגים אוטומטים. לדוגמא, אם לא רוצים שמסמכים המכילים מספרי כ.א/ת.ז ייצאו מחוץ לארגון, כאשר מישהו ינסה לשתף מסמך כזה, נסיון השיתוף ייחסם והזליגה תמנע. החוקיות שעל פיה ניתן לייצר סיווג אוטומטי היא כמעט אינסופית.
(Enterprise Mobility & Security) EMS החבילה שחיפשת: יתרונותיה של חבילת
חבילת EMS של מיקרוסופט מספקת פתרון טכנולוגי מקיף לנושא של אבטחת מידע ועמידה בתקנים כגון GDPR, ISO ותקני אבטחת מידע בינלאומיים נוספים.
על אף שהחבילה מאגדת שלל שירותים שונים, אנו ממליצים לקטלג אותה כחבילה אחת ולא כאוסף של שירותים, היות ובתצורה זו היא נותנת את המענה המקיף והמשתלם ביותר ללקוח. כל שירות עובד באופן חלק עם השירותים האחרים. יתרה מכך, התמחור זול בעשרות אחוזים מסך כל השירותים בנפרד. בנוסף, כמות האנשים הנדרשת לנהל את האופרציה המקיפה את כלל השירותים קטנה יותר, מאשר ניהול כל שירות שעומד בפני עצמו.
חבילת EMS של מיקרוסופט הינה חלק מחבילת שירותי Microsoft 365, הכוללת מוצרי Productivity Security & Compliance
על אזטק טכנולוגיות
אזטק טכנולוגיות, אשר נבחרה לשותף השנה של מיקרוסופט בישראל, הינה שותף זהב של מיקרוסופט Azure וספק הרישוי הגדול והותיק בתחום. התמקצעותה בשני תחומים אלו מאפשרת לאזטק להעניק ללקוחותיה תמונה רחבה ומלאה בנוגע לפעילות ה- IT בארגון, להטמיע את השירותים המדויקים ביותר ולספק תמיכה שוטפת.
אזטק טכנולוגיות,Cloud Security Consultant ,מאת: סטס גרלין
אם יש לכם שאלות נוספות תוכלו לפנות לסטס במייל stas@aztek.co.il
רבות כבר נכתב על השינויים המתחוללים בתרבות העבודה של העולם המודרני. המהפך הטכנולוגי של המאה ה-21 הפך אותנו לזמינים מכל מקום ובכל זמן. אנחנו חיים בכפר גלובלי שמאפשר לעשות עסקים עם סין כמו עם השכן בהמשך המסדרון.
אנחנו זמינים היום הרבה יותר מבעבר, ולכן גם העבודה שלנו צריכה להיות יותר מהירה, יעילה וזמינה. זהו הדין גם לגבי המידע שאנחנו מעבירים – הוא צריך להיות זמין מכל מקום, בכל מקום. זוהי המציאות בה אנו חיים, בין אם אנחנו עובדים בהיי-טק ובין אם יש לנו עסק קטן ועצמאי, בין אם הארגון שלנו שמרני ובין אם הוא מהראשונים שמאמצים טכנולוגיות חדשות.
אם עד לפני עשור או שניים היה נדרש בעיקר Firewall איכותי להגנה מפני פריצות, היום כבר בלתי אפשרי לסגור את הארגון בצורה הרמטית, וכך נוצר מצב שבו מידע זולג מחוץ לארגון.
בין אם אנו משתמשים באפליקציות לשיתוף קבצים (כמו OneDrive, Box, DropBox) ובין אם מדובר ב-Shadow IT, שימוש בתוכנות לא מאושרות הינו דבר נפוץ. במרבית המקרים, עובדים אינם משקיעים מחשבה באם האפליקציה בה הם משתמשים מסכנת את הארגון ואת המידע שברשותו.
כיום, אפילו מנהלי מערכות מידע אינם תמיד יודעים היכן נמצא המידע ומה עושה כל משתמש עם האינפורמציה שנמצאת על המחשב שלו.
נעים להכיר: הרגולציה החדשה של עולם אבטחת המידע
ארגונים רבים הפנימו את המצב הבעייתי בו הם נמצאים. ממשלות ברחבי העולם הכניסו סעיפים ורגולציות חדשות בנושא אבטחת מידע, מהן שתי רגולציות שרלוונטיות לישראל:
• התקנות לחוק הגנת הפרטיות (אבטחת מידע)
• (General Data Protection Regulation (GDPR
תקנות אלו נכנסו לתוקף במאי 2018. בעוד שהראשונה הינה תקנה ישראלית, המקטלגת את סוגי מאגרי המידע למספר רמות ואת אופן ניהול המידע בהתאם לרמת הסיווג הנדרשת, תקנות ה-GDPR הינן תקנות של האיחוד האירופי הנוגעות לזכות הפרט על המידע שקיים לגביו.
ארגונים רבים טועים לחשוב שה- GDPR רלוונטי רק למי שיש לו עסקים באירופה או נותן שירותים לאזרחים של האיחוד האירופי. אולם מדובר בעצימת עיניים ובדחיית הקץ, שכן ה- GDPR יצר סטנדרט בכל הקשור לנושא אבטחת המידע, שיחלחל לשאר העולם הרבה יותר מהר מכפי שניתן לחשוב. גם הפרשנות של החוק יכולה להיות הרבה יותר רחבה ממה שנדמה, ולא ירחק היום עד אשר קנסות בגובה של עד 4% מהמחזור השנתי יגיעו גם אלינו.
לשם המחשה, נתמקד בחברה ישראלית המספקת שירותים לארגון עם עסקים באירופה. אותו ארגון צריך לוודא שגם הספקים שלו עומדים ב-GDPR, אפילו שלהם אין דבר עם אירופה. כך המעגלים המושפעים מה- GDPR הולכים מתרחבים.
המצב שתואר – מצד אחד זרימה בלתי פוסקת של מידע ומצד שני חוקים שמטרתם לעשות סדר – יוצרים אנומליות בארגונים. מנהלי ה-IT לא תמיד יודעים היכן המידע נמצא וכיצד הוא עובר, וארגונים מגייסים בעלי תפקידים שונים המתמחים בתחומי נישה של ניהול ואבטחת מידע. בד בבד, השוק מוצף במוצרים שונים המספקים מענה לסוגיות ספציפיות (דוגמאת Okta, McAfee, Shieldox) שלא תמיד עובדים אחד עם השני. לא פלא שכולם מתוסכלים ומבולבלים.
עושים סדר: מיפוי, יישום וסינרגיה
חוסר הסדר שתואר הוא מנת חלקם ושגרת יומם של מנהלי IT ואבטחת מידע רבים. מדובר במציאות ממשית וכואבת.
ישנם פתרונות רבים וטובים, אך מיקרוסופט החליטה לקחת את הנושא צעד אחד קדימה. החבילה של מיקרוסופט ("EMS") מאגדת אוסף של שירותים (שאינם בהכרח מוצרי מיקרוסופט), הנותנים כל אחד מענה לסוגיה ספציפית. כולם עובדים בסינרגיה ומספקים תמונת מצב אחידה על מצב אבטחת המידע בארגון.
בבואנו לתת מענה טכנולוגי לתקנים כגון ה- GDPR ולכל תקינה אחרת (ISO, תקני אבטחת מידע בינלאומיים אחרים) אנו מחלקים את התהליך למספר שלבים:
שלב א' – ניטור
ראשית יש למפות המצב הקיים בארגון – באילו תוכנות משתמש כל עובד, מה כל עובד עושה באמצעות כל תוכנה (הורדת קובץ, עדכון וכו'), מהיכן הוא נכנס, סוג המחשב, מאיזו מדינה וכו'.
מטרות השירותים שעומדים לרשותנו הן:
1. איסוף נתונים על כל משתמש ומשתמש בארגון, עד לרמת ה-User, כתובת ה- IP והמכשיר ממנו הוא נכנס לרשת הארגונית.
2. ניטור התוכנות בהן נעשה שימוש – הן אלו שאושרו על ידי הארגון והן אלו שלא. כלים אלו מתבססים על Machine Learning.
3. שליטה במכשירי הקצה ובאפליקציות הארגוניות, על מנת שניתן יהיה לבצע עדכונים מרחוק ולשלוט ביכולתם של העובדים לבצע פעולות שאינן רצויות מהמכשירים האישיים שלהם.
שלב ב' – אכיפה
אחרי שמיפינו וראינו היכן זורם המידע שקיים בארגון, ניגש ליישם חוקים ופקודות שיעזרו לארגון לממש את השליטה הנדרשת מתוקף תקנות GDPR ותקנות לחוק הגנת הפרטיות. מילת המפתח היא אכיפה. השירותים המעורבים בשלב זה מבצעים אכיפה על בסיס:
• הרשאות מנהל ומשתמש – איזו רמת הרשאה נדרשת עבור איזו פעילות ומי מקבל אותה.
• הרשאות של סוג המכשיר – איזו פעולה ניתן לבצע מאיזה מכשיר.
• הרשאות ע"ב דפוס פעילות – למשל, אם משתמש מבצע הורדה המונית של חומר (המונית ביחס להתנהגות שלו עד כה) הוא ייחסם.
• הרשאות ע"ב חוקיות – מי יכול לפתוח את הקובץ, לכמה זמן הקובץ יהיה זמין לנמען ומה הוא יכול לעשות איתו (לערוך, להדפיס ועוד). היתרון הגדול הוא שברגע שנקבעה חוקיות מסוימת (סיווג) אותה חוקיות הופכת להיות חלק מהמסמך עצמו, כך שגם אם בעוד חצי שנה ישתנו הגדרות המסמך, ההנחיות החדשות יחולו על המסמך שנשמר לפני זמן רב ותינתן על הודעה למשתמש. קיימת גם אפשרות לסיווגים אוטומטים. לדוגמא, אם לא רוצים שמסמכים המכילים מספרי כ.א/ת.ז ייצאו מחוץ לארגון, כאשר מישהו ינסה לשתף מסמך כזה, נסיון השיתוף ייחסם והזליגה תמנע. החוקיות שעל פיה ניתן לייצר סיווג אוטומטי היא כמעט אינסופית.
(Enterprise Mobility & Security) EMS החבילה שחיפשת: יתרונותיה של חבילת
חבילת EMS של מיקרוסופט מספקת פתרון טכנולוגי מקיף לנושא של אבטחת מידע ועמידה בתקנים כגון GDPR, ISO ותקני אבטחת מידע בינלאומיים נוספים.
על אף שהחבילה מאגדת שלל שירותים שונים, אנו ממליצים לקטלג אותה כחבילה אחת ולא כאוסף של שירותים, היות ובתצורה זו היא נותנת את המענה המקיף והמשתלם ביותר ללקוח. כל שירות עובד באופן חלק עם השירותים האחרים. יתרה מכך, התמחור זול בעשרות אחוזים מסך כל השירותים בנפרד. בנוסף, כמות האנשים הנדרשת לנהל את האופרציה המקיפה את כלל השירותים קטנה יותר, מאשר ניהול כל שירות שעומד בפני עצמו.
חבילת EMS של מיקרוסופט הינה חלק מחבילת שירותי Microsoft 365, הכוללת מוצרי Productivity Security & Compliance
על אזטק טכנולוגיות
אזטק טכנולוגיות, אשר נבחרה לשותף השנה של מיקרוסופט בישראל, הינה שותף זהב של מיקרוסופט Azure וספק הרישוי הגדול והותיק בתחום. התמקצעותה בשני תחומים אלו מאפשרת לאזטק להעניק ללקוחותיה תמונה רחבה ומלאה בנוגע לפעילות ה- IT בארגון, להטמיע את השירותים המדויקים ביותר ולספק תמיכה שוטפת.
אזטק טכנולוגיות,Cloud Security Consultant ,מאת: סטס גרלין
אם יש לכם שאלות נוספות תוכלו לפנות לסטס במייל stas@aztek.co.il
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר