סיכום מפגש שולחן עגול על הגנה על המידע

בשנים האחרונות הגנה על המידע הולכת ותופסת מקום מרכזי בשדה הראיה של מנהל אבטחת המידע. מצד אחד הארגון תופס יותר אחריות על המידע שאצור אצלו ונזהר מלחשוף אותו כלפי חוץ. מצד שני הדינמיות העסקית והשינויים התכופים מאלצים את מנהלי מערכות המידע לספק נגישות הולכת וגדלה למשאבי הארגון באמצעות פלטפורמות מגוונות מבעבר.
את המעבר לתפיסת אבטחה שמתרכזת במידע עצמו כינה Paul Stamp מחברת פורסטר בשם "Data-Centric Security": בעוד שאיומים שמקורם מחוץ לארגון "פשוטים" יותר לטיפול מכיוון שמקור ההתקפה ברור, מה אפשר לעשות כדי לפקח על משתמשי על בארגון? איך מונעים גישה של עובדים לא מאושרים למשאבים הרגישים של הארגון? איך אפשר להתמודד עם רשלנות של העובדים בהעברת מידע בתוך הארגון והחוצה? איך שומרים על מידע האגור על הדיסק של מחשב נייד או ב PDA של איש המכירות?

בדיון שערכנו לאחרונה התרכזנו בטיפול ארגוני בנקודות אלה וניסינו לענות על שאלות לא פשוטות כמו
אילו כלים אפקטיביים בטיפול בבעיית זליגת המידע בארגון: חינוך? הדרכה? הרתעה? ואיך הם משתלבים עם פתרונות טכנולוגיים בתחום.
איך ניתן לפקח על מידע עסקי שעובר לשותפים עסקיים וספקים? אילו פתרונות יכולים לעזור לארגון להגן על נכסיו?
במפגש ניתן דגש להטמעת פתרונות למניעת זליגת מידע (DLP) ומספר משתתפים סיפרו על הניסיון שלהם בתחום. כמו כן דיברנו על הצפנה של אמצעים ניידים וטיפול בבסיסי הנתונים. אולי אותם כדאי להצפין?
הזכרנו גם פתרונות משלימים ל DLP ובעיקר פתרונות לניהול זכויות יוצרים (DRM) ולבסוף נגענו גם בצורך בטיוב הפיקוח על הרשאות על בארגון והשלכתם על הגנה על מידע.
במפגש השתתפו נציגי 13 ארגונים גדולים במשק ממספר סקטורים מרכזיים. כולם מנהלי\אנשי אבטחת מידע בארגונם.

אתם מוזמנים לקרוא עוד בקישור הזה.

לא כל ש/ל זול

חלק מלקוחותינו פנו אלינו לגבי נקודה מאוד מעניינת וחשובה בתחום ההדפסה הארגונית: למה הדפסת אות שחורה במדפסת צבעונית יקרה יותר מהדפסת אות שחורה במדפסת שחור-לבן (או מונוכרום)?

אכן שאלה שאלתית כמו שאמא שלי אומרת תמיד והתשובה לכך לא בהכרח חד משמעית. בעקבות הפניות אליי ערכתי בירור בנושא וגיליתי כמה אמיתות מאוד מעניינות:
קודם כל מתברר כי עלות הדפסת דף בצבעי שחור לבן ממדפסת צבעונית באמת יקרה יותר מעלות הדפסת דף שחור לבן ממדפסת שחור לבן שדומה בנתונים שלה למדפסת הראשונה. בחלק מהמקרים מגיע ההפרש בעלות לעד פי שלושה או ארבעה.

אחד הגורמים בשוק שאינו קשור ליצרן זה או אחר אומר שהבעיה היא בהגדרות ברירת המחדל של הדפסה בשחור לבן ממדפסת צבעונית: כדי שההדפסה תראה טוב מעורבבים בשחור צבעים נוספים בכמות נמוכה. כלומר כדי להדפיס אות שחורה לחלוטין על דף ממדפסת צבעונית אני משלם גם על שימוש בהרכב מסויים של שאר הצבעים....
לדבריו, ניתן לנטרל את זה ע"י הגדרת ההדפסה (במכשירים מתקדמים ולא בכל דגם) ל black only וכך לא להוסיף צבעים לשחור. במצב כזה ההפרש בין העלויות יורד משמעותית ושווה לכל צרכן לבדוק זאת לבדוק את זה.

לפי אחת מחברות האינטגרציה בתחום ההבדל בעלות בין מכשיר צבעוני למכשיר ש\ל נובעת מהעובדה שהייצרנים "מרשים לעצמם" להעלות את המחיר, למרות שהבדל בין שני המקרים הוא רק במנגנון מורכב טיפה יותר במכשיר צבעוני. ההבדל הזה לא מצדיק שוני של יותר מ 10% במחיר. לגבי הטונרים עצמם –אין הבדל כמעט כלל, למרות שבחנות המחיר שלהם שונה (כי טונר שחור למדפסת צבעונית מיועד למכשיר צבעוני שנתפס כיקר יותר והצרכן מוכן לשלם יותר).
לפי חלק מהתחזיות, בשנים הקרובות עתיד מספר המכשירים הצבעוניים שנמכרים להשתוות למספר המכשירים השחורים וההבדל במחירים בין שני הסוגים ילך וירד, כי הצרכנים לא יהיו מוכנים לשלם יותר על מכשיר צבעוני.

לפי חלק מהיצרנים ההפרש הוא לא גדול במיוחד והוא נובע מהשוני בהרכב הכימי של הטונר שמותקן בשתי המדפסות וכן מהבדלים במורכבות מנגנון המדפסת הצבעונית. בעוד שמדפסת שחור לבן צריכה להציג גוונים של שחור ולבן בלבד, מדפסת צבעונית צריכה להציג קשת צבעים גדולה מאוד תוך שימוש בארבעה צבעי יסוד בלבד. כלומר התכונות של טונר שחור במדפסת צבעונית מכילות גם את היכולת להתערבב עם צבעים נוספים וכאן מצוי חלק מהשוני בעלות. שאר ההפרש מצוי במנגנון ההפעלה של המדפסת הצבעונית שנחשב ליותר מורכב ויותר עדין ממכשיר דומה שחור-לבן.

לסיכום: יש הבדל בעלות, אך לא תמיד מוסכם מהו המקור להבדל הזה או מה שיעורו. בשנים הבאות ההבדל יטשטש ככל הנראה.

מגמות ותמונת מצב על מגוון תחומים בתקשורת, אבטחת מידע ו GREEN IT -חלק שלישי: תקשורת

תקשורת

IPTEL:
בתחום קיימת תנועה יציבה ממרכזיות מסורתיות למרכזיות IP. גם בשנה הקרובה לא צפוייה "התנפלות" על התחום אלא המשך של המגמה הקיימת. הסיבה לכך היא עלות המרכזיות החדשות (למרות שבטווח ארוך מדובר על חיסכון צפוי) וכן המצאות פתרונות בשטח ("מה שעובד טוב, למה להחליף?"). מי כן יעבור ל IPTEL? השידרוג ימוקד בארגונים שעושים שינויים מבניים פיסיים וקיימת אצלם מרכזיה שאין לה תמיכה.

UNIFIED COMMUNICATION:
תחום זה נמצא בתחילת דרכו בארץ ומדובר בדור הבא של התקשורת הפנים ארגונית. חלק מהפתרונות מכילים תכונות סקסיות מאוד כמו תוכנות מסרים מיידיים (IM), מיקום העובד (PRESENCE), ניהול שיחות וידאו ועבודה משותפת על מסמכים ארגוניים. בחלק מהארגונים בארץ קיימת הססנות לגבי הצורך העסקי שפיתרון זה נועד למלא והיא רק גוברת בחודשים האחרונים לאור אי הוודאות הכלכלית. אומנם אין ספק שמדובר בכלי עבודה לכל דבר בארגונים גלובליים ובאלטרנטיבה מסקרנת בארגונים בעלי כ"א טכנולוגי, אולם בארגונים מקומיים "מסורתיים" אימוץ הטכנולוגיה יכול לקחת גם עוד מספר שנים (למעט מספר ארגוניים חלוציים שכבר אימצו פיתרון UC ומדווחים על הצלחה בהטמעה).

מגמות ותמונת מצב על מגוון תחומים בתקשורת, אבטחת מידע ו GREEN IT -חלק שני: IT ירוק

בחלק השני של המאמר אתייחס לקונספט שנקרא IT ירוק ולמגמות שונות הנובעות ממנו בתחומים העיקריים של מערכות המידע בארגונים בישראל.

IT ירוק

סביבת חדר המחשב:
בתחום הזה עיקר תשומת הלב מופנית לנושא תכנון וסידור חדר המחשב וכן לשיפור מערך מיזוג האוויר. הצעד הראשון צריך להיות ביצוע בדיקה מקצועית למצב החדר ובהמשך שימוש במתודולוגיות שונות לתכנון עתידי של החדר לאור השינויים התכופים בצרכים. בשנה הקרובה ימשיך נושא זה לעניין מאוד את מנהלי מערכות המידע, אך השנה הם מגיעים עם לא מעט ידע (לעומת שנה שעברה, שבה התחום עדיין לא היה מוכר מספיק). קיימות הרבה עבודות מחקר בחו"ל וישראל.

ציוד IT:
רכש של שרתים יעילים אנרגטית יהפוך לסטנדרט החל בינואר 2009 (פרוייקט ENERGY STAR), כמו כן עולה מאוד המודעות של היצרנים לאספקת פתרונות שמאפשרים יעילות אנרגטית לצד ביצועים מצויינים. הם רואים בכך מנוע מכירתי ולכן צפוייה צמיחה מואצת בתחום בעיקר ב UPS, PDU, שרתים ופתרונות אחסון. בנושא אחסון –למרות שהנושא הסביבתי נדחף חזק מאוד –עלות האחסון היא עדיין המוטיבציה הגדולה אצל הלקוחות ולא עלות החשמל.

תחנות עבודה:
קיימות שתי מגמות עיקריות בהיבט הסביבתי: מעבר לתחנות רזות (ארגון לא יעבור לתחנות רזות רק בגלל שזה ירוק) ושימוש בפתרונות לניהול אנרגיה ב PC (כיבוי של תחנות עבודה). גם כאן לא רואים בינתיים רכישה של מערכות לכיבוי והדלקת מחשבים רק בגלל שהן ירוקות. בדרך כלל מדובר בתוספת לשימוש הקיים במערכות אלה לעדכון, פצ'ים, אנטי וירוסים וכו'. היבט נוסף הוא חינוך ארגוני שיכול לחסוך הרבה מאוד כסף ללא עלות.

הדפסה:
בשנה האחרונה עלתה מאוד המודעות אצל לקוחותינו לתחום ולצורך בהגדלת היעילות בניהול מערך ההדפסה. בשנה הבאה צפוייה המשך מגמת הקונסולידציה בתחום וצמצום מספר המדפסות בארגונים לצד העברת עוד אינטראקציות ארגוניות לרשת במקום לנייר. בין השאר ניתן למנות עבודה עם חתימות דיגיטליות, שימוש בטפסים אלקטרונים ועוד

מגמות ותמונת מצב על מגוון תחומים בתקשורת, אבטחת מידע ו GREEN IT -חלק ראשון: אבטחת מידע

לאחרונה התבקשנו ע"י לקוחותינו לתאר את תמונת המצב בישראל נכון להיום ולנסות ולראות מה יהיו התחומים המעניינים בשנה הקרובה. לאור המצב הכלכלי הלא פשוט, קשה מאוד לחזות מה יהיו השינויים התקציביים בהרבה מהארגונים בישראל ואלו פרוייקטים ידחו בשל כך לשנת התקציב של 2010. למרות אי הוודאות הרבה, אנסה לפרט מה אני רואה בתחומי התקשורת, אבטחת המידע ו IT ירוק בארגונים גדולים בישראל.

אבטחת מידע
IDM –IDENTITY MANAGEMENT:

הטכנולוגיה בשלה, אולם ההטמעות מאוד מסובכות ומתארכות לא פעם במשך חודשים ארוכים. פרוייקט כזה הוא 20% טכנולוגיה ו 80% איפיון. מדובר בפרוייקט חוצה ארגון שדורש מחוייבות חזקה של הדרגים הגבוהים ביותר בארגון. בתקופה כמו המשבר הכלכלי הנוכחי ופיטורים צפויים של עובדים, מערכות כאלה יכולות לעשות סדר בנושא ההרשאות והגישה למערכות קריטיות לארגון.

DLP-DATA LEAK/LOSS PREVENTION:

תחום מאוד "חם" לאור המעבר מעולם של הגנה פריפריאלית להגנה מוטת נתונים (DATA CENTRIC SEC). חלק מהפתרונות אינם בשלים במיוחד לאור העובדה שמדובר על רכישות של חברות מובילות ומיזוגן לתוך סוויטות אבטחה גדולות יותר. לתחום זה חלקים משלימים של הצפנה, ניהול זכויות יוצרים ועוד. בעקבות המצב הכלכלי הגלובלי, צפוי תחום זה לקבל דגש בשל הצורך בהגנת נכסי הארגון מעובדים שפוטרו ונותרו מתוסכלים.


NAC-NETWORK ACCESS CONTROL:

תחום זה לא מוגדר הרבה פעמים כמו שצריך ע"י הארגונים עצמם (בעיקר איזה מענה הפיתרון אמור לתת: האם לרמת הרשת בלבד או כחבילה המכילה גם פיתרון מקיף גם לתחנות הקצה). קיימים לא מעט POC וישנו מגוון דיי גדול של מוצרים בתחום (רבים וטובים ישראלים). בשנה הבאה צפוייה פעילות ערה בתחום.


MSS-MANAGED SECURITY SERVICES:

מגמה שעדיין לא הגיעה לארגוני האנטרפרייז בישראל. תחום שחלק מהאינטגרטורים מתכוונים לדחוף חזק בשנה הקרובה. להערכתי יהיה קשה מאוד לשכנע מנהלי אבטחת מידע להוציא את הטיפול באבטחת מידע לגורם חיצוני שינהל את זה מרחוק. התחום מפותח מאוד בחו"ל גם בארגוני ענק.

Networking -גם סוג של תקשורת

לאחרונה התפרסם תחקיר של המגזין PCon אשר סקר את נושא הרישות החברתי (networking) ככלי עבודה מן המניין בעולם העסקי בכלל וב IT בפרט.
מנהלי מערכות המידע מקדישים חלק גדול מסדר היום שלהם לאינטראקציות עם גורמים שונים בתוך הארגון ומחוצה לו כחלק משגרת יומם כספקי פתרונות מחשוב לעסק וככאלה הם נדרשים למיומנויות חברתיות גבוהות על מנת להביא את יחסי הגולמין בין יחידת מערכות המידע לעולם החיצון לאופטימליים.
ימי עיון, סמינרים ומפגשים כדוגמת מפגשי "שולחן עגול" של STKI ואחרים מהווים דוגמא לסוג מסויים של רישות חברתי, כזה המתאר יצירת קשר בין אנשי יחידת מערכות המידע לעמיתים שלהם מארגונים אחרים.המטרה הרשמית, אומנם, איננה נטוורקינג, אך בהחלט ניתן ליצור כך קשרים עם העמיתים למקצוע.
בארץ יש עדיין מעט חשש כלפי נטוורקינג דרך אתרי רשתות חברתיות, שמאד מקובל בחו"ל. רוב האנשים רואים באתרים אלה מקור לדואר-זבל ללא ערך עסקי מהותי (עם יוצאי דופן כדוגמת LinkedIn), לכן אין עדיין תחליף למפגשים בארבע עיניים. לגבי המנמ"ר, הרי שאין ספק ששינוי תפקידו והמעבר להיות חלק מהובלת החזון בארגון, דורשים ממנו לסגל לעצמו מיומנויות תקשורת בינאישיות טובות מאוד.