שירותי ענן ואבטחת מידע – ראיון עם שלומי אדר מומחה אבטחה

שלומי אדר, מנכ"ל שלומי אדר מומחה לביטחון ואבטחת מידע, משתף מנסיונו הרחב בנושא שירותי ענן ואבטחת מידע בענן.

אבטחת מידע שלומי אדר

כיצד משפיעה "מהפכת הענן" על הפעילות העסקית שלך מול הלקוחות?

מהפכת הענן משפיעה באופן משמעותי ביותר. מבחינת מה שניתן להציע ללקוחות בפן הטכנולוגי וגם מבחינת ייעוץ ללקוחות על אתגרי אבטחת מידע חדשים, שהמהפכה מציבה וידע קריטי נדרש.

מניסיונך, כמה נפוץ המעבר לענן והאם יש סוגי עסקים שמבצעים מעבר אינטנסיבי יותר מהאחרים?

קצב המעבר הולך ומתגבר. תעשיית ההיי-טק בולטת במעבר הכי מהיר, אך כיום מתחילה זליגה גם לעסקים מסורתיים. המעבר לענן נמצא במגמת עלייה וגדילה משמעותית ובצדק. היתרונות למרבית העסקים עולים על החסרונות.

האם יש עסקים שהיית ממליץ להם לא להוציא את שירות המחשוב לענן?

ככל שידוע לנו לא קיימים כמעט עסקים, שלא יכולים להסתייע בחלק מפעילותם באמצעות שירותי ענן. חלק מהעסקים שנעזרים כיום בשירותי ענן, אינם בהכרח מודעים לכך ששירותים אלו מוצעים על ידי חברות כמו מיקרוסופט, שנעזרות בשירותי ענן לתמיכה בתוכנות כמו Office 365 ודומיהן.
יחד עם זאת, עסקים אשר מעצם עיסוקם או הגדרתם (תעשיות ביטחוניות וצבאיות וכן אלו המונחים על ידי רשויות ורגולציה (גופים פיננסיים חברות ביטוח ודומיהן), מחוייבים לשמר, לפקח ולנטר ובעיקר לא להישען על גורמי תמך חיצוניים מחד ולשמר את עצמאותם הלוגית ככל שהדבר אפשרי, מעדיפים להפעיל תשתיות אלו in house.

האם יש שירותים שמומלץ להעביר לענן וכאלו שלא?

הכל תלוי בארגון הספציפי, בצרכיו, בתקציבים שלו ובכוח האדם שעומד לרשותו, הן מבחינת כמות והן מבחינת מקצועיות ואיכות, לכן רצוי להתייעץ עם מומחים בתחום לפני ביצוע מהלך גם כדי שיהיה יעיל ונכון לארגון.

אלו סכנות לדעתך טמונות בענן? כיצד היית ממליץ להתמודד עם אותן סכנות?

הסכנות העיקריות הן יצירת תלות אבסולוטית של ארגונים באמצעי זה וכן היכולת לחשיפה בלתי נמנעת בעוצמות שונות לווקטורים מגוונים של התקפה
ופריצה (ומנגד היתכנות לצמצום וקטורים אחרים, שעשויים במידה רבה לשפר משמעותית את רמת המגננה בהיבט של אבטחת המידע). ההמלצות משתנות מארגון לארגון ומיישום ליישום ומתקופה לתקופה. ההמלצה העיקרית היא להתייעץ עם אנשי מקצוע, אשר יש להם הידע לבצע ניתוח סיכונים ולספק את הכלים הנדרשים על מנת לטפל במה שנדרש בלבד.

כיצד אתה רואה או מרגיש את ההבדל בין שירותים דומים של ספקים שונים, כלומר למה היית מעדיף לקחת שירות X מספק אחד ולא מאחר?

מעבר לשיקול הטריוויאלי של עלות מול תועלת, קיימים שיקולים נוספים דוגמת מקצועיות, איכות, זמינות, התחייבות ב-SLA לרמה מסוימת של זמינות, זמן תגובה/מענה באירוע קיצון/משבר וכמובן, תמיכה במשך 360 יום בשנה לצורך פתרון תקלות.

האם הפרסומים על פעולות ה-NSA הקשורות לגישה למידע בענן משפיעות על ההמלצות/ הבחירה שלכם בשירותי הענן או בבחירת הספקים השונים?

למרבית הארגונים אין הדבר משנה, כאשר ידוע שנקודת המוצא של ארגונים אלו שנגישות מהסוג זה (על ידי מדינות וארגוני ביון) קיימת ומתרחשת ברמות משתנות. החשש של מרבית הארגונים הוא מחברות עסקיות המתחרות בהם, מארגונים ויחידים מעולם הפשע, מתוכנות זדוניות ומהאקרים ולא בהכרח חשש מארגון ביון של מדינה כזו או אחרת. יחד עם זאת, אם מדובר בארגון צבאי/ביטחוני או כזה שעוסק בפעילויות רגישות, ההמלצות הן אחרות.

האם תרצה לשתף אותנו בפרוייקט מוצלח במיוחד שבצעת בתחום הענן?

סודיות כלל לקוחותינו חיונית ומשמעותית עבורנו. יחד עם זאת, בארגונים רבים שביצעו מגוון רחב של פרויקטי ענן צומצמה עלות IT השוטפת לארגונם ובמקביל התווספו שירותים נוספים ששידרגו את רמת אבטחת המידע במקרים מסוימים אף בתקורות מופחתות. על אלו יש להוסיף את הערך המוסף של הנראות התדמיתית של ארגונים בפני המשתמשים, פעולות שתרמו במידה רבה ערך וממד שיווקי נוסף.

האם תרצה לשתף אותנו במשהו שנראה לך חשוב ושלא שאלתי בראיון זה?

חשוב להדגיש כי שינוי של מעבר לענן, חלקי ו/או מלא, מציב אתגרים נוספים למנמ"רים, מנהלי מערכות/תשתיות IT (מערכות מידע) וגם בתחום ביטחון מידע פיזי/אנושי, לכן חשוב ורצוי להיוועץ טרם כל מהלך למעבר לשירותי ענן במומחי תוכן ייעודיים, כדי שאלו יציעו נקודת מבט חיצונית לארגון ובלתי תלויה בבעלי תפקידים פנימיים בארגון מחד, תוך שימוש בפלטפורמות מידע חיוניות, אשר קיימות מחוץ לארגון ועשויות במידה רבה להשפיע על אופן קבלת ההחלטות וטיפול מערכתי כולל ושאינו נגוע בפוליטיקה פנימית שקיימת בכל ארגון ממוצע.

• בהכנת הכתבה השתתף פז יצחקי-וינברגר, עו"ד – מומחה אבטחת מידע וקרן כהן מזור, טרגט תקשורת

http://www.adarsecurity.co.il/

By | 2016-10-12T19:20:07+00:00 פברואר 11th, 2016|Cloud|0 Comments

נשמח לקבל תגובה - כתבו כאן