אבטחת מידע בניהול פרויקטים
אבטחת מידע כצוואר בקבוק בפרויקט
במהלך קורס ניהול פרויקטים שקיימנו לאחרונה אצל אחד מלקוחותינו, קיימנו מפגש בנושא ניהול סיכונים פרויקטליים. התירגול והדיונים בהם ניתחנו את הפרויקטים של משתתפי הקורס והסיכונים בהם, העלה בצורה מאד ברורה שגורם אבטחת מידע הוא בעל ענין משמעותי וקריטי לפרויקטים.
למה זה?- כי מחד דרישות אבטחת מידע הן מחייבות ומחמירות, ומאידך- חוסר זמינות של צוות אבטחת המידע בארגון לתמוך בפרויקט (עקב עומס ועבודה מרובה בכל הפרויקטים), לא מאפשר למנהל הפרויקט להתקדם כראוי ובקצב הנדרש.
אמנם מדובר בקורס ניהול פרויקטים בתחום מערכות מידע, יחד עם זאת, התופעה של הדומיננטיות של אבטחת מידע אינה מאפיינת רק פרויקטי מערכות מידע, אלא רלבנטית לכל פרויקט שמערב טכנולוגיה ומבוסס על מערכת נשלטת מחשב. אתגרי הסייבר גדלים, מלחמת העתיד היא קיברנטית/ מקוונת, "לוחמת מידע", ומנהל פרויקט חייב להיות מודע למשמעות ולהשלכות של אבטחת מידע על הפרויקט שלו.
יותר מכך, כיוון שעולם הסייבר הוא דינאמי ומשתנה כל כך, ההיכרות של מנהל פרויקט עם דרישות אבטחת המידע צריכה להיות קבועה ותמידית. כלומר- גם אם מנהל פרויקט כבר מכיר את הנושא מפרויקט קודם שביצע, זה לא פותר אותו מלבדוק מחדש כשמתחיל פרויקט חדש.
מה זה אבטחת מידע ואיך היא קשורה לפרויקט?
אבטחת מידע (information security ) על פי וויקפדיה היא הענף העוסק בהגנה מפני גישה, שימוש, חשיפה , ציתות, שיבוש, העתקה או השמדה של מידע ומערכות מידע מצד גורמים שאינם מורשים או זדוניים, ולספק סודיות, שלמות וזמינות של המידע ללא תלות בסוג המידע או בצורת האחסון, פיזית או אלקטרונית.
התכונות של פעילות מערכות מידע מייצרות פגיעות שלהן. תכונות אלו כוללות:
אחסון מרוכז של מידע ונתונים; מהירות גישה; שידור מידע באופן שכיח; ויכולת מוגברת של מערכות אלו לכוון פעולות באופן עצמאי.
על כן שלושת היעדים העיקריים של אבטחת מידע הם שלמות (הגנה מפני שינוי זדוני של המידע או השמדתו); סודיות ( הגנה על פרטיות וזכויות קניניות); זמינות (שמירה על זמינות ויעילות הגישה אל המידע בכל זמן נתון).
כולנו שומעים חדשות לבקרים על גניבת זהויות מאתר כזה או אחר, זליגת נתונים, החששות מפני מאגר ביומטרי בישראל, "התקפות כופר" שהפכו להיות פופולריות יותר ויותר, כמובן- הפריצה למחשבי המפלגה הדמוקרטית בעיצומו של קמפיין הבחירות לנשיאות הילרי- טראמפ, וכד'. אחת לכמה זמן מתפרסמת ידיעה שמתקפת סייבר עולמית נגד ישראל מתחילה. וניתן למצוא כתבות עם כותרות של "מסכמים את 2017: מתקפות הסייבר הבולטות של השנה" או " הפריצות, ההדלפות ומתקפות הסייבר הגדולות של 2016".
(כנגדם אגב מתפתח תחום חדש יחסית של ביטוחי סייבר…)
ולכן כל פרויקט עם גישה למחשבים המאפשרים כניסת נתונים מחוץ לארגון, או עבודה עם "ענן" - נדרש לאבטחת מידע. כזו שתבטיח הגנה מקסימלית מפני חדירות סייבר, שיבוש פעולת המערכת, וגניבה או נזק למידע :
- - פרויקטים בתחום מערכות מידע (IT), הכוללים התקנה או שידרוג של מערכות המיחשוב שמאפשרות לעסק לפעול- קרי התקנה של מערכות Enterprise resource planning (ERP) או Customer relationship management (CRM) בארגון, משאבי אנוש, מערכות פיננסיות וחיובי לקוחות, מערכות ייצור והפצה ועוד; תשתיות מיחשוב של מחשבים, שרתים, ניידים, מערכת דוא"ל, תקשורת לחדרי ועידות וכו.
לדוגמא מערכת לשינוע חומרי גלם וסחורות ללקוחות בעולם, שמחוברת למערכות של ספקי משלוחים באוניות ואלו מזינים למערכת נתוני מיקום GPS, זמני הגעה ועוד
- - פרויקטי פיתוח מוצר, הכוללים מוצרים טכנולוגים פיסיים (חומרה) או אפליקטיביים (תוכנה), דוגמת טלפונים ניידים, אוזניות, אפליקציות, שירותי אונליין ועוד.
לדוגמא, פיתוח תוכנה לניטור ביצועי תחנות קצה של משתמשים, שכיוון שמחזיקה מידע של ועל משתמשים, מחייבת לבצע ולהציג סקר סיכוני אבטחת מידע של המשתמשים.
סקר זה אגב, בוצע ע"י חברה חיצונית כדי לקבל אישור להתקין את המוצר אצל הלקוח, מה שהוסיף עוד גורם שצריך לתאם איתו ועוד תוספת זמן משמעותית לפרויקט (הסקר יכול להתבצע רק בסוף וצריך להשאיר זמן לתיקונים).
- - פרויקטים הנדסיים של הקמת מיבנים, אתרים ומפעלים, הכוללים מערכות שליטה ובקרה (במידה והללו מאפשרים כניסת נתונים מבחוץ ואין הפרדה בין רשת פנים לרשת חוץ): דוגמת מערכות שליטה במשאיות תובלה, בניית מבנים עם מנגנוני בקרה מרחוק, הקמת קווי ייצור נשלטי מחשב ועוד.
למשל, הקמת תחנת כח, שכיוון שעוסקת בייצור אנרגיה היא נמצאת תחת רגולציה של אבטחת מידע תחת רא"מ (רשות אבטחת מידע).
בקיצור- כמעט כל הפרויקטים…
ולכן כל פרויקט צריך לקחת בחשבון כיצד מונעים חדירות והתקפות שכאלו.
הענין הוא שהתחום נהיה מורכב, יותר ויותר איומים חיצוניים, יחד עם רגולציה שהולכת ומתגבשת, מחייבת את מנהל הפרויקט להכיר ולהבין את דרישות אבטחת המידע מהמערכת שלו.
למשל, רגולציית ה-(GPDR) General Data Protection Regulation (EU), שתכנס לתוקף במאי 2018, היא אירופאית ומגיעה כחוק עם אכיפה ושיניים חזקים ביותר. החוק מטיל אחריות אישית על הארגון ומנהליו ולא מאפשר להעביר אחריות לגורם מיקור חוץ שביצע את הפרויקט. במקרה של הפרה, קנסות יכולים להגיע גם ל4% מהמחזור השנתי של החברה המפרה…
כדוגמא אם אני ארגון של מאות עובדים, שעובד עם מערכת משאבי אנוש כלשהי (למשל Success factor), שמחזיקה מידע על עובדי החברה (פרטים אישיים, נתוני עובד, שכר, קורסים והכשרות שביצע וכד) ויש לי שני עובדים אירופאיים- אני צריך עכשיו שכלל המערכת עם כל עובדי החברה תעמוד בחוק החדש.
אז מה עושים? מימשק מנהל פרויקט- מומחה אבטחת מידע
ההנחה היא שמנהל הפרויקט אינו מומחה אבטחת מידע שבקיא בכל הפרטים ומעודכן לגבי החוקים האחרונים, וגם אינו צריך להיות כזה. מה שכן, הוא מחויב לעבוד עם מומחה אבטחת מידע.
מה כולל המימשק הזה של מנהל פרויקט- מומחה אבטחת מידע?:
- להתיחס לאיש אבטחת מידע כבעל ענין מרכזי בפרויקט ולשלב אותו מוקדם בפרויקט כדי להיערך נכון למגמות, טכנולוגיות ורגולציות רלבנטיות
- לכלול במסמך האיפיון דרישות מתאימות לאבטחת מידע, כולל ובייחוד כאשר העבודה מבוצעת על ידי קבלני מישנה וספקים חיצוניים
- להתיחס לסיכוני אבטחת מידע כאשר מנהלים את סיכוני הפרויקט. סיכונים שקשורים לחדירות, גניבת מידע, הפרעה לתפעול התקין של המערכת ועוד. ולתת להם מענה בדמות זיהוי חשיפות, מבדקי חדירה וכד'
- לודא תאימות של המערכת החדשה או המשודרגת עם כלל מערכות החברה הקיימות.
וחזרה ללקוח שלנו ולחשיבות שיש לגורם אבטחת מידע בפרויקטים-
שם כאמור מצד אחד חייבים לשתף אותו ומאידך הוא עמוס והופך להיות צוואר בקבוק בפרויקט.
- כדי לפתור את הבעיה הוגדר בצורה פורמלית המימשק בין מנהל הפרויקט לגורם אבטחת מידע באופן שברור מתי ואיך בתהליך הפרויקטלי מנהל הפרויקט פונה לאבטחת מידע. למשל- מסמך האפיון יאושר וייחתם בין השאר גם על ידי אבטחת מידע. באופן הזה מובטח שפרויקט לא יתקדם ללא התייחסות לדרישות ולחוקים של אבטחת מידע.
- בנוסף, גוף אבטחת מידע נמצא בקשר קבוע עם גוף ה-PMO ומקבל ממנו את תוכנית הפרויקטים הצפויים לתקופה הקרובה. כך הוא יודע איזה פרויקטים מתוכננים וכמה עבודה של תמיכה בפרויקטים צפויה לו.
- ואחרון חביב, הוגדר "מחירון" של תמיכת אבטחת מידע בפרויקטים: למשל בפרויקט קטן נדרשות 50 שעות ליווי ויעוץ של איש אבטחת מידע, בפרויקט בינוני 100 שעות וכך הלאה. מחירון זה, ביחד עם תוכנית העבודה השנתית לפרויקטים, מאפשרים למנהל יחידת אבטחת מידע לצפות עומסים ולתכנן את כמות כח -האדם הנדרשת לו כדי להיות מסוגל לספק שירות נאות למנהלי הפרויקטים בהם הוא תומך.
אז קדימה- בואו נאבטח את הפרויקטים שלנו. בהצלחה!
תודה לאייל, דורון ואיזית על ההכוונה.
כאן בשבילך, גלית יסקרביץ- טיץ, וצוות Leadera
נ.ב.- אם את/ה רוצה להיות הראשון/ה שמקבל/ת עדכונים, את/ה מוזמן/ת להרשם לניוזלטר באתר.