Secoz - ISO 17799 - טוב לעסקים

עמוד הבית

אודות

השירותים שלנו

חדשות

מאמרים

דרושים

יצירת קשר

אנשים
לקוחות

ENGLISH

ISO 17799 - טוב לעסקים

מאת ליאור דורון, מנהל תחום ניהול סיכונים, SECOZ

מעשה שהיה כך היה

הכול היה מוכן לחתימת ההסכם...

צוות המו"מ ישב משני צדי שולחן הישיבות והמתין לסיומה המוצלח של פגישת הסיכום.

אלא שלפתע הרים מנכ"ל הלקוח המיועד את ראשו ושאל : " לפני שאני חותם על החוזה רציתי לוודא: האם הוסמכתם לתקן אבטחת מידע ISO 17799 ?"

שתיקה השתררה בחדר.... מנכ"ל החברה החליף מבטים עם הסמנכ"ל. הסמנכ"ל הרכין את ראשו ומלמל משהו בסגנון "איזה יום יפה היום". טלפון בהול למנהל הפרויקט חשף את האמת המרה.

"אז זהו", גמגם המנכ"ל, "לא הספקנו, זאת אומרת כבר התחלנו אבל היינו כל כך עסוקים בפיתוח המוצר בהתאם לדרישותיך כך שדחינו את הסיום למועד מאוחר יותר..."

"האירוח שלכם נפלא", אמר האורח, "אך לצערי הרב, ללא הסמכה שלכם לתקן אין לי כל כוונה לחתום על החוזה".

מיד לאחר מכן קבלתי שיחת טלפון דחופה ממנהל אבטחת המידע של היצואן.

המשימה הייתה להכין את החברה מהר ככל האפשר להסמכה לתקן ISO 17799.

על הכף הייתה מונחת עסקת מיליונים, אשר בקלות יכולה הייתה שלא להתממש. והכול בגלל מה ? אכן, בגלל בעיית האבטחה של נתוני הלקוח.

בסיומו של פרויקט מוצלח ליישום תקן אבטחת המידע ISO 17799 ולאחר שהחברה עמדה בדרישות מכון התקנים לקבלת תעודת הסמכה, נפגשו היצואן והלקוח שנית וההסכם אכן נחתם לשביעות רצונם של שני הצדדים.



מהו תקן אבטחת המידע 17799 ISO?

תקן 17799 ISO לניהול אבטחת מידע מתווה שיטה להקמה, ניהול ותחזוקה שוטפת של הבקרות הנדרשות לשם קיום תהליך אבטחת המידע בארגון. התקן מספק ראייה כלל ארגונית לשם ניהול מושכל של סיכוני אבטחת המידע על מכלול היבטיו: היבטים טכניים, היבטים ארגוניים והיבטים פיזיים.

תקן אבטחת מידע זה עוסק במגוון נושאים המהווים יחד בסיס למערך אבטחת המידע של הארגון.

העיקרון המשמש בסיס לתהליך הנלווה ליישום התקן, הוא אבטחה אופטימאלית של מידע היצואן והארגון.

כדי להקל על יישום אבטחת המידע ולהפוך אותו לתהליך מובנה ומתוכנן, מתווה התקן כללים ברורים, תוך מתן הנחיות מפורטות כיצד ליישם כללים אלה.

התקן בא לידי ביטוי באמצעות הקמה של תשתית אבטחת מידע אירגונית המעניקה תמיכה למכלול התהליכים הקשורים באבטחת המידע בארגון.

תשתית זו מתבססת על נהלי אבטחת מידע הנובעים מהתקן ומכסים את כל היבטי האבטחה הרלבנטיים.

בכפיפות לנוהלי התקן יש ליישם אמצעי הגנה לוגיים מתאימים במערך המיחשוב ואמצעי הגנה פיזיים באתר בו שוכן הארגון ובסניפים קיימים.

בהמשך, על הארגון לאמץ דפוסים מובנים של ניהול אבטחת מידע וניהול סיכוני אבטחת מידע, כאשר המטרה היא הגנה נאותה על כל סוגי המידע הנמצאים בתחומיו מפני כל האיומים הפוטנציאליים הניתנים לזיהוי.

התקן אף עוסק בשמירה קפדנית על שרידות המידע, תוך דרישה ליישום תהליכים הולמים של המשכיות עסקית במקרה של כשל מערכות או אסון. חוסר הערכות לכשל כגון זה, עלול להביא להשבתת פעילות החברה לתקופה התלויה בעוצמת הכשל. אימוץ התקן יכול למנוע זאת.

למה זה חשוב?

יותר ויותר יצואנים נתקלים בלקוחות הדורשים עמידה בתקן זה כתנאי הכרחי להתקשרות עסקית עימם. הדבר נדרש בפרט בעסקאות בהן היצואן אמור לקבל מהלקוח מידע רגיש ורב ערך ולעשות בו שימוש לצורך הפרויקט. מידע כזה מאוחסן במחשבי היצואן ובתוקף זאת הוא חשוף לאיומים פנימיים וחיצוניים, אלא אם כן יוגן כהלכה. חשיפתו של מידע זה בפני גורמים בלתי מורשים, עלולה לגרום ללקוח נזק עסקי כבד ומתמשך. הלקוח מבקש אם כן להיות סמוך ובטוח כי המידע הרגיש והייחודי שלו הנמצא אצל היצואן אכן יהיה מאובטח היטב.

תעודת ההסמכה לתקן ISO 17799אותה יקבל היצואן, תשמש כהוכחה חד משמעית כי רמת אבטחת המידע שלו אכן גבוהה ומתאימה להתקשרויות עסקיות עם לקוחות המקפידים על חסיון המידע שלהם.

באופן פשטני, המשמעות העסקית היא: "יש לך תקן, יהיה לך קל יותר לקבל פרויקטים בחו"ל". "אין לך תקן, אתה בבעיה".

לעתים קרובות יהיו לקוחות שיידחו עסקאות על הסף כאשר אינם משוכנעים שהצד השני אכן יוכל להגן היטב על מידע רגיש השייך להם, או כאלה שיאמרו "מכאן ואילך אני לא ממשיך, אלא אם כן תוכיח לי שיש לך תקן אבטחת מידע".

התועלת המיידית בהסמכה היא בהגדלת סיכויי החברה להרחיב את מעגל הלקוחות הפוטנציאליים שלה ומכאן להגדיל את הכנסותיה.

תהליך ההכנה האינטנסיבי הקודם להסמכה תורם כמובן להעלאת רמת אבטחת המידע של החברה, כך שההגנה על המידע שלה תשתפר לאין ערוך ותמנע התממשות סיכונים פוטנציאליים לזליגת מידע, העלולים להסב לחברה נזקים עסקיים ניכרים.



כיצד להיערך לקבלת התקן מהר, יעיל ובאופן אלגנטי?

המנכ"ל שבסיפורנו הבין כי עליו להכין את החברה מהר ככל האפשר להסמכה לתקן ISO 17799. רק תעודת ההסמכה לתקן יכולה הייתה לתת לו סיכוי לממש את עסקת המליונים עליה חלם.

הוא יצר קשר עם חברת ייעוץ מובילה המתמחה בייעוץ ומתן פתרונות בתחום אבטחת המידע. החברה נכנסה מייד לפעולה במטרה להכין את הארגון לעמידה בתקן זה בלי לוותר על דרישה קלה כחמורה.

דרך טובה לעמידה ביעדי אבטחת המידע, הן זה השייך ללקוחות והן זה השייך לייצואן עצמו, הינה בצוע פרויקט מקיף להכנת החברה לתקן אבטחת המידע ISO 17799. ההכנה כוללת הגדרת תשתית אבטחתית ויישום של מגוון התהליכים והבקרות הנדרשים על פי התקן.   מומלץ לבצע הכנה זו בהנחיתו של גורם חיצוני בעל ניסיון ומיומנות בתחום זה.

התהליך כולל בצוע סקרי אבטחת מידע פנימיים ברמה הארגונית והטכנית, הקמת תשתית ארגונית לאבטחת מידע, הכנת מדיניות ונהלי אבטחת מידע ויישומם, יישום בקרות אבטחת מידע במערך המחשוב, הגברת מודעות העובדים לאבטחת מידע וישום ניהול מובנה של סיכוני אבטחת מידע.

כל התהליך מתבצע בכפיפות מלאה לדרישות מכון התקנים הישראלי, כפי שהן באות לידי ביטוי במבדקי התקן הנערכים ע"י מוסד זה לצורך קבלת ההסמכה.

עם סיום תהליך ההכנה מתבצע מבדק מכון התקנים, הכולל בחינת עמידת הארגון במיכלול דרישות התקן מבחינת ניהול אבטחת המידע, קיום תשתיות מתאימות ויישום בקרות אבטחת מידע מתאימות.

במידה והארגון עומד בדרישות אלה, מוענקת לו תעודת הסמכה ישראלית ובינלאומית המהווה הוכחה לקיום סטנדרטים גבוהים של אבטחת מידע בארגון.

גרסה להדפסה שליחה לחבר