תקציבי אבטחת מידע בהשוואה לתקצבי IT -סקר חדש

כבר דיברנו על כך שבזמני מיתון רוב תחומי ה IT סובלים. גם תחום אבטחת המידע לא חסין מהמצב ובחלק גדול מהמקרים ניכרת ירידה מסויימת בתקציבי אבטחת המידע בארגון כחלק מהמגמה הכללית.
מהסקר האחרון של MetroSITE Group עולים מספר ממצאים מעניינים לגבי ההוצאות על אבטחת מידע יחסית להוצאות הכלליות ב IT.

ע"פ הסקר, שנערך בקרב אנשי מקצוע ממגוון ארגונים בארה"ב ומחוצה לה במהלך מרץ 2009 עולים מספר ממצאים:

· למרות שבזמן הסקר סיפרו 89% מהמשתתפים כי תקציב אבטחת המידע שלהם כבר נסגר לשנת העבודה הנוכחית, 72% אמרו כי הם צופים ירידות נוספות בתקציב במהלך השנה.

· באופן כללי קיימת יותר אופטימיות לגבי תקציבי אבטחת המידע יחסית לתקציבי ה IT באופן כללי. דוגמא לכך ניתן לראות בגרף מספר 9 בסקר לפיו יותר משיבים מאמינים שתקציבי אבטחת המידע יפגעו פחות או יעלו יותר השנה בהשוואה לתקציבי כלל ה IT.

· מבין התחומים שהם לא "אבטחת מידע", מחשוב עננים, פתרונות קולבורציה ותקציבי תחזוקה נמצאים במגמת עליה. בתוך עולם אבטחת המידע תחומים הקשורים ל Governance, Risk and Compliance-GRC, ניידות עובדים (mobility) וניהול זהויות והרשאות הם התחומים שצומחים יותר מהאחרים.

· ממצא מאוד מעניין בסקר מדבר על כך ש 65% מכלל הונדורים מדווחים כי הם מורידים מחירים ברכישות חדשות של פתרונות אבטחת מידע ו 53% מורידים את דמי התחזוקה על מוצרים קיימים. הממצאים האלה מראים גם על שונות גדולה בין מגזרים, כשמגזרי הפיננסים, הייטק ושירותים הצליחו יותר ממגזרים אחרים להביא לירידת מחירים.

לסקר המלא: http://metrosite.files.wordpress.com/2008/06/information_security_spending_survey_2009.pdf

או דרך אתר החברה.

תמונת מצב נוכחית של שוק ה-IT: אווירה של שיפור

בסקירה זו שהתפרסמה בסוף שבוע שעבר, תאור המגמות הבולטות בשוק ה- IT בישראל וזאת על פי ניתוח של שאלות לקוחות STKI תוך התייחסות ספציפית לתחום שירותי התשתיות, התשתיות, חבילות אפליקציה ארגוניות וניהול IT.

תחום שירותי תשתיות - הפעם דגש על אבטחת מידע
כנראה בהשפעת המפגש שנערך אצלנו על מערכות לניהול ארועי אבטחת מידע בתחילת יוני, החודש הורגשה עליה בהתעניינות הלקוחות בתחום ובחלופות הקיימות בשוק. אחד הכיוונים המעניינים הוא בחינה של פתרונות לניהול אירועי אבטחת מידע המוצעים כשירות ע"י ספק חיצוני. אופציה זו שנדחתה עד עכשיו בצורה קטגורית ע"י מנהלי אבטחה בארגונים רבים עולה מחדש על הפרק לאור המצב הכלכלי.
גם החודש המשיכה המגמה הרווחת לאחרונה בשאלות הקשורות בפתרונות לערבול נתונים. גם הידע שלנו לגבי מספר האופציות הקיימות בשוק גדל בעקבות מידע שמגיע מספקים בשוק לגבי יכולות אשר קיימות בפתרונות שלהם. בהמשך לנושא זה החודש ובחודשים הבאים יעלה הביקוש לפתרונות לניהול הרשאות גישה הן ברמת האפליקציה והן ברמת הרשאות הגישה למערכות ארגוניות כחלק מציות לרגולציות בנושאי אבטחת מידע. הצרכים הרגולטיבים מושכים לעולם אבטחת המידע שחקנים מעולמות תוכן "שכנים" כמו חברות פיתוח או ספקיות של פתרונות לסביבת ה DC, DB ומערכות הליבה.

תחומים אחרים בעולם ה IT:

פיני כהן -תשתיות חומרה ותוכנה
נושא שממשיך להיות דומיננטי בחודשים האחרונים הוא נושאי הרכש. לקוחות מבקשים לקבל מידע על מחירים של פתרונות שונים כמו על מידע עזר למשא ומתן כגון מוצרים תחליפים וכד'. כל זאת עקב המשבר הכלכלי שאותו כולנו מרגישים. עם זאת, ישנם סימנים ראשונים להתאוששות כאשר נושא שעליו שאלו לקוחות בצורה רבה יותר מחודש שעבר הוא נושא האחסון. לקוחות התעניינו במידע של פתרונות אחסון, עלויות וטכנולוגיות מתקדמות כל זאת במקרים רבים בתור הכנה לפרויקטים בתחום. היו גם שאלות שאינן קשורות לפרויקטים כמו שאלות של יחסי כ"א בתחום האחסון.
שאלות רבות התקבלו בנושאי תשתיות כלליים - שימוש בוירטואליזציה, בשלות VDI, העברת וידיאו בפרויקטי VDI או Terminal Services ועוד. בתחום הפיתוח ממשיכה התעניינות בהתייעלות הפיתוח באופן כללי וב-Agile Software Development באופן ספציפי.

עינת שמעוני -תחום חבילות אפליקציות ארגוניות
בתחום זה ראינו עלייה בולטת החודש לעומת חודש שעבר בכמות השאלות על תחום כלי ניהול ידע, ובתוך כך מנועי חיפוש ארגוניים ונושא web 2.0 פנים ארגוני. תחום ה-BI עליו לקוחות שואלים הרבה באופן כללי לאחרונה ממשיך לעניין גם החודש, ארגונים שואלים על כלי BI שונים, דשבורדים, וארכיטקטורת DW. החודש הייתה עליה קלה בשאלות הקשורות ל-ERP כאשר ברובן לא מדובר על בחינת חבילות ERP כוללות אלא על תחומים משיקים – בחינת מודולים מסוימים, כלי צד שלישי הקשורים למערכות ומשפרים תהליכים מסוימים בהן וכד'.

גלית פיין -התפלגות השאלות בתחום ניהול IT
נושא שממשיך להיות דומיננטי בחודש האחרון הנו תחום Office of the CIO, כולל שאלות בנושאי הקמת הגופים לניהול ובקרה תקציבים ומדדים של פרויקטי IT, בניית מערך מדדים ל-IT, dashboard למנמ"ר, וכלים לניהול משרדו של מנמ"ר. לקוחות מבקשים לקבל best practices לכתיבת מפות אסטרטגיות ל-IT, ומתודולוגיות מקובלות להכנת מערך בקרה ל- IT (דוגמת ITIL), ומכן הצורך במדדים ו-dashboards ל-IT על מנת להבין היכן הארגון נמצא היום ולאן הוא שואף להגיע בשנה הקרובה. תחום נוסף, אשר ממשיך לבלוט בהתעניינות הנו תחום הניהול מרכזי השירות בארגוני IT, ארגונים מחפשים לייעל תהליכים הפנימיים ומחפשים להחליף כלים מישונים בתחום זה. שאלות בנושא מיקור החוץ פחתו במידת מה בחודש האחרון, כמו כן בנושא Web 2.0. שני תחומים שממשיכים להיות יציבים ולעניין את לקוחותינו הנם תחום המובייל ותחום של ניהול הסיכונים, במיוחד עבור הארגונים המחויבים בבקרות רגולטוריות שונות.

סיכום שולחן עגול בנושא מערכות לניהול אירועי אבטחת מידע

מערכות לניהול ארועי אבטחת מידע ומרכזי שליטה ובקרה לנושאי אבטחת מידע (SIEM SOC) מהווים כיום את

המרכיב המרכזי בניהול שגרת אבטחת המידע בחלק גדול מהארגונים הגדולים בעולם.
במפגש שולחן עגול שנערך לאחרונה נדונו, בין השאר, הנושאים הבאים:

התחלה: איך אפשר "למכור" לארגון פרוייקט SIEM?
מתי אין הצדקה ליישם מערכת SIEM?
דיון על פתרונות, אינטגרטורים והטמעה של מערכות
מ ה עושים במידה והספק קורס כלכלית? האם ספק יחיד הוא חיסרון משמעותי?
אילו מערכות מדווחות ל SIEM וכמה חשוב ה Parsing לשאר המערכות הארגונוית?
איך להתאים את המערכת למשתמשים?
איסוף הלוגים והארועים: לאילו אירועים להתייחס? מי מגדיר את הסיכון ומי מטפל בו?
דוגמאות לשימושים במערכת
דוחות, תיעוד ומעקב אחרי משימות ואירועים
תחזוקה ותפעול
האם ומתי להוציא את התחום לספק חיצוני?

במפגש השתתפו נציגי כ 21 ארגונים גדולים במשק ממגוון מגזרים.
מבין המשתתפים: ב 11 ארגונים מוטמע פיתרון כזה או אחר לניהול אירועי אבטחת מידע, בשני ארגונים נערך POC

לקראת הטמעת פיתרון וב 8 ארגונים אין כרגע פיתרון.

בין הפתרונות והשירותים הטכנולוגים הזמינים בשוק הישראלי דובר בעיקר על הפתרונות של החברות ArcSight,

IBM ,EMC ,CA ו Symantec.

לסיכום המפגש (ללקוחות): http://www.docsntalks.com/go/QXT015

נקודת המבט של הנודניק

ברוב הפרוייקטים האפליקטיביים קיימים מספר קבועים במשוואת הפרוייקט: בצד אחד עומד לקוח המערכת שמייצג ברוב המקרים את "העסק". לו חשוב לקבל ומהר מערכת נוחה לשימוש. בצד השני עומדים מפתחי המערכת מאגף מערכות המידע (מנהלי הפרוייקט) שמטרתם לספק בזמן מערכת יציבה, נוחה ואמינה ללקוח. בין הלקוח למפתחים נמצא גורם שלישי חשוב: אנשי אבטחת המידע, שתפקידם לבדוק שכל אפליקציה עומדת בסף מינימאלי של דרישות אבטחת מידע. באופן טבעי מושך כל גורם לכיוון שלו: המפתחים מושכים לפיתוח זריז ומהיר ואילו אנשי אבטחת המידע מעלים הסתייגויות בכל פעם שיש חשש לחוסן האבטחתי של המערכת. כתוצאה מכך נתפסים, לא פעם, אנשי אבטחת המידע כגורם מעכב או אפילו כנודניקים. בארגונים מסויימים, גם כאלה שנתונים לרגולציה בנושאי אבטחת מידע, אין מתודולוגיה מסודרת להתמודדות עם סוגיות אבטחתיות בתהליך הפיתוח, מה שמגדיל את החיכוך הארגוני ולא תורם לשיפור חוסנן של האפליקציות הארגוניות.
אם תשאלו את מנהל אבטחת המידע, בתהליך הפיתוח צריך לקחת בחשבון את אבטחת המידע כבר בשלב ייזום הפרוייקט, כל פרוייקט!. רצון זה קשה יותר ליישום, כשהפיתוח נעשה ע"י גורמי חוץ וקשה לאכוף מדיניות או לבצע שינויים במוצר ללא עלויות גבוהות. בנוסף, מערכות אפליקטיביות רבות הן מערכות מדף, כך שקשה להכניס בהן התאמות ברוח מדיניות אבטחת המידע של הארגון. מכל מקום, מטרת מנהל אבטחת המידע היא להקפיד על דרישות אבטחה בסיסיות מכל מערכת או פרוייקט חדשים בארגון.
במקרים רבים העימות בלתי נמנע: חלק מלקוחותינו סיפרו, כי קיימים חילוקי דיעות בינם לבין אנשי הפיתוח לגבי נוקשות ההגבלות האבטחתיות בעיקר כתנאי סף במכרזים. לדעתם של אנשי הפיתוח, הוספת תנאים נוספים בתחומי אבטחת המידע גורמת לא פעם להסרה של מתמודדים ממכרזים ולבחירה במוצר נחות טכנולוגית.
במידה ופיתוח המערכת נעשה בארגון מתחילתו, קל יותר לשלב את דרישות אבטחת המידע בתוך תהליך הפיתוח בצורה נוחה יותר והקוד נכתב בראייה יותר אבטחתית. במקרה כזה, שיתוף הפעולה בין אנשי הפיתוח ומנהלי הפרוייקט לאנשי אבטחת המידע טוב יותר.
רובד אחר של פיתוח מאובטח הוא ביצוע בדיקות חדירות לכל מערכת במספר שלבים במהלך מחזור הפיתוח. במידה ואת המערכת מתכנן ספק חיצוני, הוא צריך להיות מחוייב בעלות תיקון הליקויים. לקוחות שלנו סיפרו, כי קרו מקרים בעבר בהם ממצאי בדיקת חדירות הועברו לספק ולא תוקנו כראוי מספר פעמים. המחיר שהארגון עלול לשלם במקרה כזה הוא חריגה בלוחות הזמנים ואיחור בעליה לאויר. איחור בלוחות זמנים של פרוייקט ליבה בארגון יכול להביא להתערבות מנהלים בכירים וללחץ גדול על המפתחים ובעיקר על אנשי אבטחת המידע להתגמש בדרישות. מצב כזה יכול להביא לעליית מערכת עם פרצות אבטחה לאוויר ולפגיעה ביחסי האמון בין אבטחת המידע למנהלי הפרויקטים. בחלק מהארגונים בארץ המצב חמור במיוחד בפרויקטים שמתומחרים מראש (fix cost) –קשה מאוד להביא את הספק לתקן טעויות קוד עם משמעות אבטחתית. כדי להתגבר על כך חייבים להגדיר בצורה ברורה מה הן דרישות האבטחה הנדרשות מספק התוכנה ולהסדיר את תהליך הפיקוח על התוכנה לפני תחילת הפרוייקט. אם לא תהיה הגדרה מדוייקת בחוזה, הארגון ימצא את עצמו בישיבות אינסופיות עם הספק שנועדו "להוכיח" שנמצאו פרצות אבטחה על מנת לחייב את הספק בעלות התיקון.
למרות כל האמור לעיל, לא בכל הארגונים יש בעיות תיאום בין אבטחת המידע לפיתוח. קיימים לא מעט ארגונים בישראל שיש בהם מתודולוגיה מסודרת לנושא הפיתוח המאובטח. מנהל אבטחת המידע בארגון כזה אחראי על ההנחיות וההמלצות בהיבטי אבטחת מידע לפני כל פרוייקט שיוצא לדרך. יחסי הגומלין בין אנשי הפיתוח (לסביבות החיצוניות) לאנשי אבטחת המידע מאוד טובים ויעילים. רמת המודעות לנושאי אבטחת המידע של המפתחים בארגונים אלה גבוהה מאוד. בארגונים רבים קיימים פורומים לענייני אבטחת מידע שבהם יושבים מנהלים בכירים. בפורום הזה מתקבלות החלטות לגבי עליית פרויקטים לאוויר גם במחיר התפשרות בסעיף אבטחת המידע. מדובר לא אחת בהחלטות קשות, אבל בארגון דימני ותחרותי יש צורך בפורום שייתן גב חזק להחלטות שמשמעותן לחיות עם חלק מהסיכונים. בארגון שיש בו מתודולוגיה סדורה לפיתוח מאובטח אין נודניקים.