09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

הפרדת אחריות ואבטחת IT

טשטוש בחלוקת האחריות בארגון מביאה לסיכונים לא רצויים, אומר קווין קולמן במאמר שכתב באתר SCO-ONLINE. לדבריו, מבקרי האבטחה חייבים להתחיל לתייג אחריות IT המוגדרות ברישול כחולשה אמיתית.

הפרדת אחריות היא התפיסה העיקרית של הבקרה הפנימית והיא אחד הדברים שהכי קשה והכי יקר להשיג. מטרה זו מושגת באמצעות פיזור המשימות וסמכויות ה-IT הנלוות אליהן לצורך תהליך אבטחה ספציפי בין אנשים רבים ככל האפשר.

המונח Separation of duties) SoD) מוכר בתחום מערכות הביקורת הפיננסיות. חברות בכל הגדלים מבינות שלא טוב לשלב תפקידים כגון קבלת המחאות (תשלום על החשבון) ואישורי מחיקה, תשלום במזומן והסדרי תשלום, ועוד ואולם SoD הוא מונח חדש לארגוני ה-IT. לכן לא מפתיע כי הדאגה להפרדת סמכויות ב-IT קיבלה עדיפות גבוהה ב-SOX (סרבנס אוקסלי). משום שנושאים של ביקורת פנימית מסתמכים באופן כבד על ה-IT.

SoD הוא עקרון בסיסי בגופי רגולציה רבים כגון GLBA הגרמני ואחרים שאימצו אף הם את SOX. כתוצאה מכך, ארגוני IT חייבים לתת תשומת לב חזקה להפרדת הסמכויות בכל תפקידי ה-IT, ובפרט באבטחה.

ל-SoD יש שתי מטרות עיקריות בכל הקשור לאבטחה. הראשונה היא מניעת ניגוד עניינים, מראית עין של ניגוד עניינים, פעולות שגויות, תרמיות, ניצול וטעויות. הסיבה השניה היא לגלות כשלי בקרה הכוללים פרצות אבטחה, גניבת מידע, ועקיפה של בקרות האבטחה.

בקרות האבטחה באות להגן על מערכות המידע ממתקפות כנגד הסודיות, השלמות והזמינות של מערכות מחשב, רשתות ונתונים שהן משתמשות בהן. בנוסף, בקרות האבטחה נבחרות ומיושמות בהתבסס על הערכת סיכונים של מערכות מידע. בקרות אלה מגבילות את הכוח וההשפעה שמחזיק כל אחד מהעובדים. הפרדה נכונה של הסמכויות מתוכננת כדי להבטיח כי ליחידים לא יהיו תחומי אחריות שהיה ניגוד עניינים ביניהם, או שיהיו אחראים לדיווח על עצמם או על הממונים עליהם.

לכתבה המלאה (אנגלית)

תובנות איי פי וי סקיוריטי

מומלץ כי חלוקת תחומי האחריות, כמו גם תחומי אבטחת מידע נוספים, תוגדר באמצעות מסמך מדיניות אבטחת מידע ארגונית. מסמך המדיניות והנחיותיו צריכים להיות מגובים ונתמכים ע"י הנהלת הארגון. בדרך זו יובטחו תהליכי עבודה מאובטחים וברורים לכל, וזאת על-פי כללים שארגון עצמו קבע.
לאיי פי וי סקיוריוטי נסיון רב בכתיבת מסמכי מדיניות אבטחת מידע לארגונים וחברות ממגוון מגזרים רחב במשק. בנוסף, לחברה היכרות מעמיקה עם דרישות תקנים ישראליים ובינלאומיים רבים, דוגמת הוראת הפיקוח על הבנקים (357), הוראת המפקח על הביטוח ושוק ההון, Basel II, ISO 17799\27001, SOX ועוד.

שאלה קוראים

האם נתקלתם במקרה בו ריבוי סמכויות גרם לבעיית אבטחה קשה? האם יש לכם רעיונות כיצד להימנע ממצב של ריבוי סמכויות הגורם לקונפליקטים? שילחו לנו הצעות לפתרונות ורעיונות.