CYBER SECURITY CISO AS A SERVICE יועץ אבטחת סייבר

---

תורת ההגנה בסייבר (בתחום אבטחת מידע) מתייחסת לסטנדרטים, הנחיות ופרקטיקות הקשורות לאופן ההגנה הנדרש על מערכות מידע ונתונים (של משתמשים/ של הארגון/ לקוחות) מפני התקפות סייבר

תורת ההגנה בסייבר עוסקת באבחון סיכוני הסייבר השונים שעשויים לפגוע במערכת המידע והנתונים של הארגון, ובאופן פיתוח ויישום של מתודולוגיות ומנגנוני הגנה המתאימים לסיכונים אלו. היעד העיקרי של תורת ההגנה בסייבר הוא להגן על המידע הסודי והרגיש של הארגון ולמנוע גישה לא מורשית אליו

המונח ״מושאי מידע״ מזוהה בעיקר עם רגולציית הגנת המידע הכללית האירופית  ומתייחס אל הפרט/ האדם עליו נאסף המידע

GDPR תקן

כולל אסופת חוקים ותקנות אשר מתווים מסגרת עבודה מוסדרת לניהול תקין של תהליכי איסוף ושמירת מידע אישי של משתמשים פרטיים, לקוחות עסקיים ועובדי הארגון

  SOC שירותי

שירותים אלו מתייחסים לאבטחת מידע לארגון באופן של ניטור סיכוני סייבר מתקדמים

המטרה של שירות סוק חיצוני מלבד החיסכון בעלויות לארגון ויתרונות בקבלת השירות מצוות סוק חיצוני המשרת מספר גדול של ארגונים ומעודכן בשל חשיפה זו במידע עצום לעומת צוות סוק פנימי לארגון, היא לזהות ולמנוע התקפות סייבר ולשמור על אבטחת המידע בארגונים. שירותי הגנת הסייבר מבוצעים על ידי צוותים מיומנים ומקצועיים בעלי ניסיון רב בתחום הסייבר ומשתמשים בכלים וטכנולוגיות מתקדמות לזיהוי וטיפול באיומים סייבר. שירותי צוות סוק חיצוני כוללים  בדרך כלל מגוון רחב של פעילויות, כגון ניתוח ואבחון סיכוני סייבר, הגדרת מדיניות אבטחת המידע בהתאם לפעילויות העסקיות של הארגון, הגנת רשתות ומערכות מידע, ניטור וזיהוי איומים, וטיפול והתמודדות עם התקפות סייבר

עקרונות הגנת המידע האישי שהחלו בארצות־הברית וכיום מעוגנים כחלק מאמנות וכללים של גופים בין־לאומיים כמו גם השפעה בלתי מבוטלת שניתנה להם מכוח דיני הגנת המידע האירופי-רגולציית 

GDPR 

עולם נתוני העתק - big data באמצעות שימוש מתוכנן וניהול נכון של המידע ניתן לשפר ולייעל תהליכים ולהשיג תוצאות ותוצרים. נתוני העתק מביאים עמם אתגרים וסוגיות חוצי גבולות הן בנושא הגנת הפרטיות והן בנושא אבטחת המידע

קצין אבטחת מידע אחראי על הגנת מערכות המחשוב והנתונים של הארגון מפני התקפות סייבר, ומתפקד כמנהל אבטחת המידע של הארגון במשרה מלאה לעומת יועץ אבטחת מידע או שירות של מנהל אבטחת מידע

בין הפעילויות המרכזיות של קצין אבטחת מידע ניתן לכלול אבחון וניתוח סיכוני סייבר למערכות המחשוב והנתונים של הארגון, פיתוח ויישום מדיניות אבטחת מידע, בניית תשתיות אבטחת מידע כגון חומות אש לנכסים חיצוניים ופנימיים כמו גם הגנות אפליקטיביות, זיהוי איומי סייבר או הפרת פרטיות וגיבוש פתרונות אבטחה, ניהול  אירועי סייבר/ אירועי אבטחת מידע/ אירועי הפרת פרטיות והתמודדות בזמן אמת במטרה למנוע נזק למערכות המחשוב, לנתונים ולפעילות השוטפת של הארגון, הכשרת עובדי הארגון בנושאי אבטחת מידע והגנת הפרטיות באמצעות הדרכות מודעות והדרכות בנושא הגנת הנתונים ויישום מדיניות אבטחת המידע בפועל, בדרך כלל בהתאם לתקן אבטחת מידע כגון תקן 27001 או רגולציות הגנת הפרטיות

ככל שאיומי סייבר ממשיכים להתפתח ולהשתכלל, הצורך באסטרטגיית אבטחת סייבר עדכנית מתגבר והופך להיות חיוני ואף חובה רגולטורית במגזרים מסויימים. חברות שונות, מתעשיות שונות, נדרשות להגן על הנתונים והמערכות שלהן מפני התקפות זדוניות ואחת הדרכים היעילות ביותר לעשות זאת היא על ידי שכירת קצין אבטחת מידע ראשי / מנהל אבטחת מידע כשירות יועץ חיצוני יהיה  אחראי לפיתוח, יישום וניהול אסטרטגיית אבטחת המידע והגנת הסייבר של החברה, כאשר המינוח המקצועי לשירותים אלו נקרא

ciso שירותי 

בנוסף, שירות יועץ אבטחת מידע הוא פתרון משתלם כלכלית עבור חברות שבשלב זה אין להן (או אינן מעוניינות להקצות בשלב זה) את המשאבים לשכור מנהל אבטחת מידע במשרה מלאה, וכפועל יוצא, חברות יכולות לקבל שירותי אבטחת מידע באמצעות מיקור חוץ  מספק שהוא צד שלישי, כאשר מתווה זה בעצם  מאפשר לחברות לקבל מומחיות וניסיון של מנהל אבטחת מידע מנוסה מאוד (גם בשל הידע הרב שנצבר מהשירות שיועץ אבטחת המידע נותן לחברות שונות) על בסיס הצורך, ללא עלויות הכרוכות  בהעסקת קצין אבטחת מידע במשרה מלאה

CISO שירות

ישנם מספר יתרונות לשימוש בשירות מנהל אבטחת מידע חיצוני לארגון בהיבט של חיסכון לחברות בזמן ובכסף, כך חברות יכולות למקד את המשאבים שלהן בהיבטים אחרים של הפעילות שלהן, במקום לבזבז זמן וכסף על גיוס, מיון, הדרכה, לימוד אשר כרוכים בגיוס מנהל אבטחת מידע למשרה מלאה. יתר על כן, על ידי מיקור חוץ של אחריות זו, חברות יכולות לגשת לטכנולוגיות ומתודולוגיות סייבר ואבטחת מידע במומחיות העדכנית ביותר, ובכך להבטיח שאסטרטגיית אבטחת הסייבר שלהן מעודכנת ועונה על דרישות הלקוחות והרגולטורים בתחום פעילות החברה

חברות  הנדרשות לשמור על ציות לתקנות אבטחת סייבר, תקנות הגנת הפרטיות, משתמשות בשירותי מנהל אבטחת מידע/ יועץ אבטחת מידע חיצוני, כאשר אחד היתרונות הבולטים הם עדכניות -  ככל שהתקנות הללו הופכות מורכבות יותר ויותר, הנהלת החברה חייבת להבטיח שאסטרטגיות אבטחת הסייבר שלה עולה בקנה אחד עם  הדרישות (כגון בקרות, תהליכים, ממשל תאגידי, מסמכי מדיניות, נהלים ועוד) התקנות העדכניות ביותר. על ידי מיקור חוץ של אסטרטגיית אבטחת הסייבר שלהן לספק צד שלישי, חברות יכולות להבטיח שהמערכות והנתונים שלהן עומדים בדרישות התקנות העדכניות ביותר, כל זאת כחלק מהגדרת השירותים (בהתאם לצרכי הארגון) של יועץ אבטחת המידע כשירות חיצוני

שירות יועץ סייבר -מנהל אבטחת מידע כשירות חיצוני, מאפשר לחברות להתאים  את אסטרטגיית אבטחת הסייבר שלהן לצרכים העסקיים של הארגון כמו גם לדרישות הלקוחות, גם כדי לצבור יתרון על חברות מתחרות, שאין ברשותן לדוגמא, תקן אבטחת מידע או תכנית אבטחת מידע. חברות יכולות לבחור את השירותים הדרושים להם, כגון הערכת סיכונים, מבדקי חדירה אפליקטיביים/ תשתיתיים, תגובה לאירועים ועוד. יועץ אבטחת המידע/ יועץ אבטחת סייבר מאפשר לחברות ליישם אסטרטגיית אבטחת סייבר מותאמת העונה על הצרכים העסקיים שלהן

דמיינו שאתם צריכים רכב שישרת אתכם, אך אינכם מעוניינים להשקיע את מיטב כספכם ברכישה ובעלות מלאה ברכב, נכון, אחת האפשרויות שעומדות לרשותכם היא ליסינג - אתם יכולים לבחור את סוג הרכב, צבע הרכב, נפח המנוע ועוד כאשר נדרש מכם תשלום חודשי עבור השימוש ותשלום עבור הדלק בהתאם לשימוש. שאר ההוצאות הקשורות לרכב החל מרכישתו ועד לתחזוקתו מטופלים ע״י חברת הליסינג. האנלוגיה ממחישה את מודל שירותי הענן Infrastructure as a Service, או בשמו המקצועי IaaS, כאשר ספק שירותי הענן מאפשר לכם לבחור את שירותי המחשוב, רשתות ואחסון המתאימים לפעילות העסקית של החברה. ספק שירותי הענן במודל IaaS הוא בעצם הבעלים של הציוד הפיזי, מיקום, אבטחה, תחזוקה, אחריות ועוד והלקוח יכול להשתמש בציוד ולשלם על בסיס השימוש בפועל, כאשר באחריות הלקוח להתקין על החומרה את התוכנות והמערכות הדרושות לפעילות העסקית המבוקשת. ספק שירותי הענן במודל זה מאפשר ללקוח לבחור את מערכות ההפעלה הוירטואליות שיותקנו על גבי החומרה המבוקשת VM, הקצאה לשימוש אחסון, מסד נתונים Data Base, הקצאה של משאבי מחשוב וזיכרון ועוד. במודל IaaS הלקוח מקבל מספק שירותי הענן גישה לשירותי רשתות בין אם רשת וירטואלית ובין אם ממשקים אחרים כגון API ושירותים נוספים. בין אם מדובר בחברת סאטרטאפ ובין אם מדובר בחברה ותיקה ומבוססת אשר משלבת בפעילות העסקית שלה סביבת פיתוח הדורשת שימוש במשאבי מחשוב מתקדמים, עוצמתיים ובלתי מוגבלים כמו גם מתן האפשרות לצוותי המחשוב והפיתוח לנצל את הזמן ביעילות ולעסוק יותר בפתרונות בהתאם לצרכים העסקיים מאשר העיסוק בניהול תשתיות מערכות המחשוב, מודל ה - IaaS בענן יכול להתאים לצרכים אלו. יתרון נוסף של מעבר לענן במודל זה מתבטא בצמצום ההוצאות להבטחת ההמשכיות העסקית שהינה חלק מנושא אבטחת המידע בארגון. 

חברת פיתוח תוכנה וחברות טכנולוגיה מתחומים שונים כגון בינה מלאכותית, בלוקצ׳יין הדורשות שימוש בכוח מחשוב עוצמתי וחדשני, יכולות לייעל תקציבים למטרות ולמחלקות אחרות במידה ויבחרו להשתמש במודל IaaS כחלופה לרכישת ציוד, תשלומי שכירות עבור אחסון הציוד, אבטחת הציוד ותחזוקה שוטפת של הציוד הכוללת כמובן כח אדם מקצועי וזמין.

שירותי ענן במודל Platform as a Service דומים להשכרת רכב בהמשך לאנלוגיה שתוארה בפוסט הקודם של שירותי ענן במודל IaaS, כאשר במודל זה הלקוח לא בוחר בצבע הרכב ובמפרט טכני ספציפי בפנים הרכב לדוגמא, ביצועי הרכב וכו׳, אלא משלם בהתאם לשימוש בפלטפורמה מוכנה מראש לאחר שווידא כי עונה על צרכיו, כאשר השירות בענן כולל את הציוד הטכני, מערכות ההפעלה, רשתות, אחסון, תחזוקה ואחזקה, סביבות פיתוח חדשניות, עצמתיות ועדכניות, אפליקציות ועוד. המודל בעיקר משמש צוותי פיתוח ומפתחים שמבקשים לפתח פרוייקט בסביבה שמאפשרת פיתוח, בדיקות, העברה לייצור, ניהול וכדומה. היתרונות במודל PaaS לצוותי פיתוח כוללים חיסכון בהוצאות, ייעול וזירוז תהליכי פיתוח, מיקוד בפיתוח הקוד ותחזוקתו ללא זליגת אנרגיה מיותרת בנושאי חומרה, תוכנה, הגדרות, התקנות ומשאבים. יתרונות נוספים הם שיקולי עלות - תועלת, תאימות לשירותים תומכי ענן, תמיכה בפיתוח, ניתוח ושימוש בשירותי BPM,AI,API,IOT,MDM וכמובן TMT.

כמובן שגם בשירותי ענן במודל PaaS קיימות חשיפות וסיכונים בנושא אבטחת מידע, כמו גם התלות בשירותי צד שלישי מרובים אשר עלולים להתבטא בזמינות השירותים, שינוי אסטרטגית שירות ו/או מוצרים ושקיפות.

דוגמאות לספקי שירות ענן במודל Paas

Paas:

aws elastic beanstalk - 

cloud foundry - 

ibm cloud paks - 

Azure - 

Open shift - 

Magento - 

force.com - 

apache stratos -

נסעתם פעם במונית? לא בחרתם את צבע ברכב, מפרט, ביצועים, לא שילמתם על רכישתו תחזוקתו ואחזקתו של הרכב אלא שילמתם על השירות (בהמשך לאנלוגיה בפוסטים הקודמים של מעבר לשירותי ענן) וזה דומה מאוד לרעיון של SaaS - Software as a Service כאשר אתם בעצם משלמים על שימוש בפטלטפורמה במתכונת הכל כלול ובאחריות ספק שירותי הענן - החל מציוד המחשוב, רשתות, מערכות הפעלה, אחסון, אחזקה, תחזוקה, תוכנות, זמינות השירות,ביצועים, אבטחה, ציות, הרשאות ועוד.

השימוש במודל SaaS נפוץ כיום יותר בקרב ארגונים אשר משתמשים בתוכנות משאבי אנוש, ניהול לקוחות, אפליקציות פיננסיות ותחומים רבים אחרים. המודל מתאים גם לעבודה עם משתמשים רבים המבקשים להשתמש במאגרים משותפים או לעבוד בשיתוף.

יתרונות רבים לשימוש בשירותי ענן במודל SaaS המתבטאים בחסכון בלתי מבוטל בהוצאות מחשוב - רכישה, אחזקה, תחזוקה וכל הכרוך באלו כמו גם הזריזות וייעול תהליכים בעת הקמת חברה חדשה או התרחבות לתחומים ושירותים חדשים.

במודל שירותי ענן מסוג זה, כאשר המידע החשוב והרגיש של החברה נמצא בניהול צד שלישי, יש להתייחס לסוגיות הסייבר כגון אבטחת המידע, בעלות על המידע, הגנת הפרטיות, זמינות הגישה וכדומה