RFIgo בשיתוף עם SBC כנסים מרכזים לטובת משתתפי כנס אבטחת מידע מצגות הכנס, אנשי הקשר, מידע וקישורים רלוונטיים נוספים. RFIgo - מרכז המידע לענף המיחשוב, מעמיד לרשותכם מידע מקצועי אודות כל ספקי המיחשוב, תוכנות המדף, שרותים ופתרונות IT. לאיתור מידע השתמשו בתיבת
חיפוש, או עיברו לדף הבית לקבלת מכלול שירותי האתר
גדי עברון, נשיא כוח המשימה לתגובה לאירועי אבטחה בינלאומיים - מנחה הכנס
דברי פתיחה
"... היום, פגיעה בארגונים לא מוגנים היא די פשוטה... ההאקרים אינם עוד חובבנים אלא מקצוענים החוברים לפשע המאורגן ויוצרים סיכונים חיצוניים בנוסף לסיכונים שיש לארגונים מבית... בסביבות של ארכיטקטורת וירטואליזציה אנו רואים מודעות גבוהה לנושאי אבטחת מידע ולכן זו פלפורמה די מוגנת... פלטפורמות המיחשוב הנייד והטלפונים נשארו פלטפורמות פגיעות... סיכונים מגורמים פנימיים ממשיכים להוות בעיה ודורשים הערכות מבחינת הארגון, הערכות הכוללת הרתעה, חינוך ומודעות..."
"... מחקר של דאטא-מוניטור מראה שרוב הארגונים חושבים שפגיעה מתוך הארגון יכולה לגרום נזק תדמיתי גדול אבל לא נזק ממשי גדול... מחקר של STKI שנערך בארץ מראה שאחוז גבוהה של העובדים אינם ממלאים אחר תקנות אבטחת המידע..."
"... הוצאות אבטחת המידע העולמיות מסוגים שונים מגיעות ל 35 מיליארד דולר בשנה... אנטיוירוס ופיירוול הפכו למוצרים בסיסיים, רוב הארגונים משתמשים ב-VPN ותוכנות AntiSpyware... פתרונות פחות נפוצים כוללים ביומטריה, EPS, PKI ועוד..."
"... היצע הפתרונות לאבטחה בנקודת הקצה הולך וגדל, כאשר חלק מהפתרונות נותנים חבילה של שירותים לתחנת הקצה... בתחום ה-NAC-Network Access Control יש הרבה עניין אך טרם נקבעו תקנים... אנו מוצאים פתרונות ברמת הרשת (שכבה 2) וכאלה ברמת התחנה (שכבה 3)... תחום ה-DLP - Data Leak Prevention הגנה בפני זליגת מידע מהארגון, מטפל היום בסיכוני זליגה כאשר המידע נמצא במנוחה - בבסיס הנתונים, כאשר הוא בתנועה - ברשת, או כשהוא נמצא בתחנת הקצה..."
"... עם השימוש המתרחב במחשבי כף יד - PDAs וטלפונים חכמים המקושרים למידע הארגוני נושא ה- Mobile Security הופך ממשי... המכשירים עצמם רגישים לגניבה ואובדן והפתרונות מתמקדים בהצפנות המידע והגנה על המכשירים..."
"... המגמות הבולטות ל-2009 הן ביותר ויותר מוצרים האומרים שהם DLP וצריך יהיה לבדוק איזה הגנה הם נותנים בתחום, Data Monitoring, מוצרי אבטחה משלימים ל ERP, Mobile Security ויותר ויותר פתרונות NAC..."
"... GFI מציעה סל של מוצרי אבטחה לשוק ה-SMB, עם 200,000 התקנות בעולם ו-37 מליון משתמשים... הפתרונות כוללים Fax Server, הגנת תכנים, הגנת אימיילים, Web Monitor ועוד..."
"... אציג את אחד המוצרים, ה-Events Manager... השרתים בארגון מייצרים כמויות אדירות של אירועים הנרשמים במגוון קבצי לוג ונדרש כלי לניהול הארועים הנמצאים בקבצים אלה... מדובר באירועים מסוגים שונים המגיעים ממקורות שונים - אירועי מערכת הפעלה, תקשורת, בסיס נתונים וכד'... כאשר יש בעיה או תקלה אנחנו רוצים לעקוב אחרי השתלשלותה בקבצי הלוג על פי הארועים... אגב, 44% מהחדירות נעשות מתוך הארגון עצמו והיכולת לעקוב אחר האירועים יכולה לכוון לגורם שביצע את החדירה... המוצר מסווג את הארועים לפי הרמה שלהם ומאפשר הפקת דוחות... השימוש מעלה את רמת אמינות המערכת ומאפשר איתור בעיות בזמן אמת..."
"... וירוס שהתפרץ בחברת ביטוח, התפשט, פגע ב-800 תחנות עבודה וגרם להשבתה מלאה וחלקית למשך כמה ימים... אמנם היתה שם תוכנת אנטי וירוס, רק שהחתימה על אותו הוירוס לא ירדה בזמן... ההשפעה על הארגון הייתה גדולה עם עלות מוערכת של 20,000$ לתיקון המערכת שנפגעה..."
"... סוס טרויאני שנכנס לחברת הייטק, פגע במערכת והיה חשש גם לגניבת מידע... התחקיר העלה שיש איסור על גורמים חיצוניים להתחבר לרשת, וההערכה היא שהסוס הטרויאני נכנס ממחשב של אורח כיוון שלא היה פתרון טכנולוגי לאכיפת איסור זה... ההערכה היא שבאירוע מסוג זה הנזק שבאיבוד המידע נע בין 50,000$ ל-200,000$ ואף יותר..."
"... חברה מסחרית שלחה מייל ללקוחות חשובים רק שרשימת הנמענים הופיע ב-To וכך הפכה לכזו הידועה לכולם... מדובר בטעות אנוש והנזק הישיר כאן הוא מוניטין החברה ובעקיפין יווצר גם נזק כספי..."
"... ארגון ממשלתי בו קרו מספר מקרים של גניבת מחשבים ניידים ואפילו שכחה של מחשבים ניידים... אותו ארגון לא היה בטוח אם אותו מידע היה מוצפן... כאן המשמעויות יכולות להגיע אפילו לחיי אדם..."
".... יש סיבות אוביקטיביות מדוע דברים כאלה קורים, ואנחנו לומדים על זה דרך מיליוני הלקוחות שלנו..."
"... התקפות של סוסים, וירוסים ותולעים הפכו להיות הרבה יותר ממוקדות, כאשר היום המטרה המרכזית היא רווח כספי... היכולת להתמודד עם וירוסים על ידי המתנה לחתימה אינה מספיקה - נדרשת הגנה פרואקטיבית... היום אנחנו מוציאים חתימת וירוס חדשה כל חצי שעה... בשנת 2000 היו 5 זיהויים של וירוסים חדשים ליום, ב-2007 אנו נתקלים ב-7500 ליום..."
"... הרשתות היום השתנו, יש כניסות שונות לרשת והנקודה הרגישה בארגון היא נקודת הקצה - ה- End Point... היום המידע הרגיש נמצא בכל מקום, במיילים, ב-CDs, ב-Disk On Key ועוד..."
"... הפתרון של סימנטק - Symantec Endpoint Protection 11.0 הוא פתרון מלא ורחב הכולל הרבה מעבר לאנטיורוס ופיירוול... הוא נותן מענה פרואקטיבי לאיומים כמו וירוסים חדשים, משלב פתרון NAC לבקרה של מי נכנס לרשת הארגונית, בקרה של עמידת הרשת בהגדרות ה-Policy לאבטחה של הארגון, וגישה מבוקרת של אורחים לרשת... אנו מציעים גם פתרון ל-DLP על בסיס הפתרון של וואנט אותה רכשה סימנטק... וגם פתרון למחשבים ניידים הכולל הצפנה מלאה והצפנה של התקנים ניידים באמצעות Symantec Endpoint Encryption..."
וירגונט
חברת אינטגרציה מהטובות בארץ, העוסקת בתחום אבטחת מידע ותקשורת.
כשותף זהב של סימנטק הצגנו בכנס את הגרסה החדשה של סימנטק להגנה על תחנות קצה כולל ניהול מרכזי וקליינט יחיד בתחנה, גרסה אשר הטמענו בהצלחה רבה בארגונים גדולים ומכובדים.
בכנס הצגנו גם את פתרון הגיבוי של סימנטק הכולל יכולת שחזור לברזל אחר.
"... טכנולוגית האנטי וירוס לא התקדמה הרבה ממה שהיה לנו לפני 15 שנה..."
"... בשנה-שנתיים האחרונות יש שינוי מהותי באטמוספרה של הוירוסים, וירוסים שבעבר נכתבו על ידי ילדים שרצו תשומת לב כמעט ונעלמה, כבר לא רואים וירוסים ההורסים את המחשב ומתפשטים כאפידמיה... במקום זה נכנסו לשוק גורמים קרימנליים שהבינו שניתן להרוויח כסף מייצור של וירוסים... ארגוני פשע גדולים בעולם נכנסו לתחום עם כסף גדול, הם מעסיקים אנשי מקצוע שכותבים וירוסים... אלו וירוסים יותר מתוחכמים ופחות גלויים ובד"כ מטרתם לגנוב את המידע..."
"... ההאקרים הופכים להיות מקצוענים... כיום כבר לא רואים וירוסים שגורמים לאפידמיות, כאלה שמטרתם להדביק כמה שיותר, אלא וירוסים שיש להם מטרה מוגדרת... ובפועל, כמות הוירוסים שיש כל יום גדלה אקספוננציאלית אף על פי שזה לא מגיע לתודעה הציבורית..."
"... חברות האנטיוירוס לא יכולות להתמודד עם הוירוסים האלה בקצב הזה (30,000 ביום) בשיטות המקובלות... במחשבים בהם מותקנת תוכנת אנטיורוס רק 40% מהם מעודכנים וגם מאלה המעודכנים 23% מודבקים למרות שלכאורה הכל שם בסדר... ברשתות שהן מסודרות ומעודכנות 72% מזוהמות בוירוסים... זה מצב בעייתי... הסיבה נעוצה בכך שלא ניתן להשתלט על הבעיה בטכנולוגיה הקיימת, ומדובר על בעיה שקיימת במידה זו או אחרת אצל כל יצרני האנטיוירוס..."
"... יאנקי גרופ מצהירים שלא נוכל להשתמש יותר בטכנולוגית האנטיוירוס והטכנולוגיה העדכנית היא ה- Anti-Malware..."
"... בפנדה זיהינו את הבעיה והגדרנו פתרון הכולל את כל ההגנות הרגילות בתוספת הגנה פרואקטיבית - זיהוי לפי מאפיינים ולא לפי חתימות, בדיקות תקופתיות ואלמנט חדשני הנקרא Collective Inelegance... זהו כלי לניהול סיכונים המבוסס על מידע המגיע מסנסורים בתחנות רבות... המידע עובר עיבוד מרכזי במעבדות פנדה Panda Labs הכולל ניתוחים וקורלציות לזיהוי איומים חדשים, שעל בסיסם מופנות הוראות חזרה לתחנות... האנטיוירוס המקומי אינו עוד לבד אלא חלק מרשת שיתופית המתמודדת יחד..."
"... זו טכנולוגיה מיושמת ועובדת ויש לפנדה מוצרים הבנויים סביב המידע והטכנולוגיה הזאת... כמו למשל מוצר ה-MalWare Radar המבוסס על ה-Collective Inelegance ויכול לעבוד עם כל תוכנות האנטיוירוס שיש בארגון ולתת תמונה על מצב הוירוסים ברשת החברה..."
"... אי אפשר לאבטח את המשתמש מאיומים שאנחנו לא מכירים... כשמתחברים עם דפדפן אנחנו פותחים דלת ל-MalWare להכנס לארגון ואנחנו בד"כ לא מוגנים כי ההאקרים מעודכנים יותר מתוכנת האנטי וירוס..."
"... הדרך היחידה לגלישה מאובטחת היא ליצור הפרדה מוחלטת בין הרשת הארגונית לרשת בה נעשית הגלישה, אבל מצב זה כמעט בלתי אפשרי כיוון שאינו נח ושימושי בשימוש יומיומי, זה פתרון יקר ברכש חומרה, רשיונות תוכנה ותחזוקה... ובפועל, למרות שהמחשבים נפרדים, יש בינם תקשורת..."
"... ב-Jetro פיתחנו את Cockpit2i - פתרון הנותן הפרדה מוחלטת אך ללא הבעיות הקיימות בהפרדה לשתי סביבות... המוצר התפתח על בסיס הידע שלנו בתחום ה-Terminal Servers..."
"... סביבת הגלישה אינה ב-PC או בשרתים... הדפדפנים נמצאים בסביבה מחוץ לארגון, ב-DMZ וחווית הגלישה מועברת למשתמש כאילו כחווית וידאו... דבר לא נכנס לארגון, לא HTML, לא JavaScript... מבחינת המשתמש יש סביבה אחת עם פתרון גלישה הנראה כמו דפדפן רגיל... כך מקבלים אבטחת רשת גבוהה ביותר עם חווית גלישה מלאה..."
"... המשתמש יכול גם לגלוש פנימית בתוך הארגון... הפתרון עונה על בעיות שונות כמו למשל שהמשתמש לא צריך לדעת אם זה לינק פנימי או חיצוני ולנתב את עצמו בין הסביבות... אנו מסוגלים לקבל כל URL אליו רוצה המשתמש להגיע, לנתח אם הוא פנימי או חיצוני, אם המשתמש מורשה אליו ולפיכך מתבצע הניתוב לדפדפן פנימי לגלישה באינטראנט או הדפדפן המדומה לגלישה באינטרנט..."
"... גם ברשתות מופרדות של שני מחשבים שמנו לב שהמשתמשים ניגשים לפעמים לאינטרנט במחשב הגלישה, אוספים מידע לתוך קובץ ואז מעבירים את המידע עם Disk On Key למחשב העבודה... במצב כזה מבחינה לוגית הרשתות לא נפרדות... Cockpit2i מונע את המצב הזה כיוון שמחשבי הגלישה נמצאים פיזית במקום אחר, אבל היות והצורך להעברת המידע קיים, אנו נותנים כלים מאובטחים להעברת קבצים דרך מערכת להלבנת קבצים ומשם במשיכה למערכת הארגונית... קיים גם מנגנון דומה ופשוט ל-Upload של קבצים..."
"... נושא אחר אליו התייחסנו הוא האנונימיזציה... הפתרון מאפשר יצירת Active Directory שכולו מתבסס על יצירת משתמשים אנונימיים, כך שגורם שמנסה ללמוד על הארגון מבחוץ לא יכול לעשות זאת..."
Jetro - One1
יצוג גטרו בישראל - וירטואליזציה של הגלישה באינטרנט
"... לקחתי כ-300 מבדקים לתקן אבטחת מידע27001 שערכתי בשנים האחרונות ובדקתי את התקדמותם..."
"... מתודולוגית, תקני ה-ISO המערכתיים מושתתים על התהליך של תכנן, עשה, בדוק ופעל לתחזוקה ושיפור..."
"... בדרישות אבטחת מידע עלינו לזהות את מקור הדרישות ולהגדיר מתוך דרישות אלה את מדיניות אבטחת המידע... בעלי העניין צריכים להגדיר כיצד מודדים ומה הם היעדים... תקן 27001 כולל חלק ניהולי וחלק טכנולוגי..."
"... כדי שהטכנולוגיה תהיה אפקטיבית צריך לנהל אותה, והתקן מגדיר את הדרישות הניהוליות - איך עושים ומגדירים ניהול סיכונים, איך מבצעים בדיקות וסקרים תוך כדי תהליך ומוודאים שאנחנו מתקדמים לקראת התוצאות המקוות... נדרשים מחויבות, מעורבות ואחריות הנהלה, הקצאה וניהול של המשאבים הנדרשים ותהליך של בדיקה ושיפור מתמידים..."
"... החלק השני בתקן מגדיר מי עושה מה, ניהול נכסים והקרטיות שלהם, אבטחת משאבי אנוש, אבטחה פיזית וסביבתית, תקשורת, בקרת גישה, ניהול אירועי אבטחת מידע והפקת לקחים, ניהול המשכיות עסקית והתאמה לדרישות ורגולציות..."
"... יש 10,000 ארגונים בעולם ו-90 בארץ שהוסמכו לתקן ועשרות אלפי ארגונים נמצאים בתהליך... התקן מהווה בסיס להרבה רגולציות... התקן מאפשר לבצע דירוג של בגרות מערכת הניהול, בהתחלה רוב הארגונים היו בין רמה 1 ל-2, ואחרי שנה התחילו ברישום ותעוד תהליכים ורמת הבגרות עלתה... ממצב בו אבטחת מידע היתה אי בודד הנמצא בטיפול אנשי אבטחת המידע, יש מעבר לתפיסה הוליסטית - התארגנות כוללת ובמיוחד מעורבות והבנת החשיבות אצל ההנהלה..."
"... סביבת העבודה שלנו משתנה, עולם הטלפוניה מאפשר ליישות הארגונית שלנו ללוות אותנו ונדרש פתרון אבטחת מידע שילווה אותנו בכל פלטפורמה, בכל מקום ובכל אמצעי, באופן קליל ולא מעיק ..."
"... חווית הגלישה משתנה, היום בעולם ה-Web 2.0 כל אחד הוא יצרן תוכן ואפליקציות, המידע מגיע ממקורות שלא בשליטתנו ויחד עם זאת הופך לחלק בלתי נפרד מהמערכת... אי אפשר להגדיר את הסביבות האלה כך שיהיו מאובטחות בלי לסרס את המהות שלהן - היכולת לייצר ולהפיץ מידע בקלות... גם נושא ה-SAAS - Software As A Service תופס תאוצה, ועולה השאלה איך ניתן ליישם שם את כל ההגנות על המידע הנכנס ויוצא..."
"... כשמסתכלים על תהליכים יומיומיים - איפה יותר מאובטח לרכוש בכרטיס אשראי?... האינטרנט היא סביבה מאוד מאובטחת, לעומת יחידות הקצה היושבות בחנויות שקל יותר לתקוף אותן מאשר לתקוף אתרים מאוד מאובטחים... ב-Disk On Key שכולנו עושים בו שימוש נדרש אבטחה ברמת החומרה..."
"... המכשירים הניידים הופכים שימושיים יותר ויותר לאימייל, מוזיקה, משחקים ויישומים עסקיים... כיום בתשתיות של ספק התשתית הסלולרית אין מספיק אבטחה והמכשיר מהווה יעד חדש לתקיפה..."
"... אבטחת מידע מגינה על המידע מפני מגוון רחב של איומים וסיכונים במטרה להבטיח רציפות עסקית ומזעור נזקים לארגון בחירום ושגרה... אבטחת מידע מתייחסת לחסיון המידע, שלמות המידע וזמינות המידע ..."
"... עם כל הטכנולוגיות האדם הוא החוליה החלשה... והתרבות הארגונית היא שיכולה להשפיע על האדם, על החוליה החלשה ולחזק אותה... בהתיחסות לנושאים בהם מטפלת אבטחת המידע ניתן לראות עד כמה משמעותי הוא הגורם האנושי... בחסיון מידע ניתן לראות מקרים רבים בהם אנשים מדברים בפומבי בלי משים וחושפים מידע חסוי - בנסיעה ברכבת, בשיחה בטלפון הנייד... הרגישות של שלמות המידע באה לידי ביטוי למשל בשיבוש הנתונים בבנק על ידי אתי אלון, משעה שנתגלה רק לאחר מספר שנים..."
"... מי שאחראי למידע הוא המנכ"ל וההנהלה... הם אלו שצריכים לתת דוגמא... צריך לאמץ את עקרונות אבטחת המידע כתרבות, אסור לנו לסמוך רק על הטכנולוגיה אותה אנחנו מאמצים..."
"... כבר במאי 2000 דיברה פרופ' דורותי דנינג על טרור קיברנטי ועל פיגועי טרור קיברנטיים שהנזקים שלהם יכולים להיות גדולים יותר מאלו של ארועי הטרור שאנחנו מכירים... לאחר התקפות של ספט' 11 היא העריכה שלטרור הקונבנציונאלי יהיה נזק גדול אך הטרור הקיברנטי נמצא מעבר לפינה ויהווה המשך ישיר לסדרת פיגועי ספט' 11..."
"... הטרור מתבסס על זה שריכוז התשתיות של מדינה מחליש אותה, כיוון שפגיעה באותן תשתיות פוגעת במדינה באופן משמעותי... הפגיעה במגדלי התאומים נחשבת כאירוע טרור בשעה שלפגיעה בפנטגון הייתה יכולה להיות התייחסות אחרת, כזו של פגיעה במתקני צבא... בטרור בדרך כלל גוף יותר קטן וחלש מצליח לפגוע בגופים גדולים וחזקים על ידי שימוש במכפילי כח כמו למשל בעיתונות..."
"... בטרור קיברנטי המטרות אינן בהכרח פוליטיות ויכולות להיות כריגול עסקי לעשיית כסף... הטרור הקיברנטי עושה שימוש באינטרנט להעברת מסרים ותקשורת... התקפה קיברנטית על מחשבים בשילוב של טרור קונבנציונלי מטרתם לפגוע במשאבי המדינה, במצב הרוח, בנפש..."
"... השימוש בטרור קיברנטי הופך שימושי כיוון שהוא מאפשר עלית מדרגה בפעילות הטרור, אינו דורש תחכום, זול, שומר על אנונימיות, הסיכון להיתפס נמוך וניתן לבצע אותו מכל מקום בעולם... אבל הוא דורש אנשים מתוחכמים אשר צריכים לעמוד מול מערכות מורכבות ומסובכות..."
"... התוצאות של טרור קיברנטי לא נתפסות כחמורות... כדי שהוא יהיה אפקטיבי נדרשת פגיעה כלכלית ופיזית נרחבת בדומה לפיגוע טרור קונבנציונאלי... יעדים אפקטיביים הם הנכסים הפיזיים של המדינה, כאלו היכולים לגרום לפגיעה בנפש, בכלכלה או בסדר הציבורי... יעדים אפקטיביים אחרים הם הנכסים הלוגיים של המדינה, ולא מדובר על השחתה של אתרים אלא על שיבוש נתונים קריטיים בהם... ויש גם את הנכסים הרוחניים - שיבוש ופגיעה במידע במערכות מידע במטרה לעצב את דעת הקהל, להוליך שולל וליצור דמורליזציה בקרב האוכלוסייה..."
"... תשתיות קריטיות יהיו בתחום התקשורת, בנקאות, תחבורה, מים ושירותי חירום... היום לא ניתן לנהל תשתיות כאלה ללא מערכות מידע... את המתקפות ניתן לכוון לבקרים של מערכות מדידה שהם מאוד פגיעים, למערכות גישה מרחוק, מערכות סחר אלקטרוני, מערכות שירותי חרום ועוד..."
"... מגמות אותם אנו מזהים ומצביעות על הצורך להשקיע בהגנה: סף הכניסה לפעילות פשעי המחשב נמוך... המערכות אינן חסינות לחלוטין... התקפות ההאקרים הולכות ונהיות מתוחכמות... יש מדינות הבונות כיום יכולות תקיפה קיברנטיות כמו למשל סין... ומגמות של חבירת האקרים וטרוריסטים..."
יוסי גביש, מנהל אבטחת מידע, מגדל
ירון גיל, מנהל אבטחת מידע, מירס תקשורת
גידי גואל, סגן סמנכ"ל מערכות מידע, דואר ישראל
שוקי פרייס, אחראי לנושא אבטחת מידע, מכון התקנים
יוסי, מגדל: "...ההיקפים אצלנו במגדל הם של 2500 עמדות עבודה, 6000 סוכנים מקושרים למערכת, מליון לקוחות, 100 מיליארד שקל מנוהלים וגביה של 20,000 שח בדקה ..."
גדי, מנחה: "... מה הטריד אתכם בחודש האחרון?..."
גידי, דואר ישראל: "... אנחנו מכינים עכשיו את תקציב 2009 והתקציב הנדרש הוא כל כך גבוהה ומטריד אותי איך נשכנע את ההנהלה לתקציב כזה..."
שוקי, מכון התקנים: "... לקראת סוף השנה אנחנו צריכים לעשות חשבון נפש ולשים לב לפער העצום שיש בין המקצוענות והידע בתחום לבין המודעות בהנהלות וגם בממשלה..."
גדי, מנחה: "... מה הטיפ שלכם שבאמצעותו הצלחתם לשכנע את ההנהלה לתקציבים?..."
ירון, מירס: "... אני מציג זאת כיתרון שיווקי ומכירתי... יישמנו תקן אבטחת מידע לפני 3 שנים ואז שאלו אותי למה צריך את זה... אם הייתי אומר שזה חשוב שיהיה סדר וכדומה, לא הייתי מצליח, אבל כשהצגתי את זה כיתרון בקבלת פרויקטים וכיתרון מול הלקוחות זה עבד..."
יוסי, מגדל: "... זה לא קל... בשום פנים לא הייתי מבהיל את ההנהלה ומתאר תרחישי אימה, גם לא הייתי מדבר בשפה מקצועית אלא מציג סיכונים בשפה שלהם... כדאי גם להציג זאת כ-Business Enabler..."
שאלה מהקהל: "... איך משכנעים בעלי עסקים קטנים המקימים אתרים בעלויות נמוכות להשקיע לא מעט באבטחת מידע?..."
שוקי, מכון התקנים: "... מניסיוני, כמו השכנוע של הנהלה להיכנס לתהליך הסמכה, כדאי שההנהלה תבין את המשמעות ואת השווי של נכסי המידע שלהם, שהוא גבוהה הרבה יותר מעלות השרתים והאתר..."
גדי, מנחה: "... איך מדברים בשפה של ההנהלה?..."
ירון, מירס: "... בעולם שלנו צריך לדבר במונחי סיכון וסיכוי... אם האתר תדמיתי אז נפילה שלו אינה קריטית, אבל לנפילה של אתר מסחר יש משמעויות וצריך להגדיר מה גודל הסיכון..."
גידי, דואר ישראל: "... בדואר, השוק נפתח לתחרות, ותחום אבטחת המידע היה במודעות ההנהלה כחלק מהעסק - מהתחרות... הרגולטור פעיל בתחום ודואר ישראל אימצה כבר רגולציה ויש אצלנו רצון לשאוף ולעמוד ברגולציות קיימות..."
שוקי, מכון התקנים: "... תראו להנהלה את כמות אירועי אבטחת המידע שהייתה להם בשנה החולפת וכמה עלה הטיפול בהם, וכמה אנשי אבטחת המידע יכלו לחסוך..."
ירון, מירס: "... יש אירועים שהחברה יכולה לחיות איתם, לצערנו עד שהחברה לא סופגת אירוע משמעותי יהיה לה קשה להשקיע באבטחת מידע... ולכן כל עוד אין תקלה קשה מאוד להציג את ה-ROI ולשכנע..."
יוסי, מגדל: "... בארגון שלנו רמת הדיון אינה בשפה של אנטיוירוס, ההצגה צריכה להיות בנתונים, במספרים שנאספים ובסוף ההנהלה היא זו שצריכה לקחת את הסיכונים על כתפיה..."
גידי, דואר ישראל: "... מעמדו של מנהל אבטחת המידע מול ההנהלה הוא לפעמים טוב יותר ממעמדו מול אנשי הפיתוח והאפליקציות שלהם הוא מציב דרישות..."
יוסי, מגדל: "... למנהל אבטחת המידע אסור להיות כפוף למנהל מערכות המידע, יש בזה ניגוד עניינים..."
ירון, מירס: "... לפעמים, מיקום לא נכון של מנהל אבטחת המידע בארגון יכול לגרום לכך שהוא לא יהיה חשוף לכל פרויקט שקורה בחברה... יש ניגוד אינטרסים, אבל היכולת להשפיע קיימת רק אם אנחנו מבפנים..."
גידי, דואר ישראל: "... בדואר, שכמנהל אבטחת מידע היה תחת הביטחון העניין לא צלח... היום כשהוא כפוף למערכות מידע התוצאות טובות יותר..."
יוסי, מגדל: "... אצלנו הרגולטור קבע את מקומה של אבטחת המידע... ישנם היבטים רבים שאינם טכנולוגיים - כמו משאבי אנוש ותהליכים עסקיים ועל כולם יש לתת את הדעת..."
שוקי, מכון התקנים: "... לפי התקן, ההנהלה צריכה להגדיר סמנכ"ל שיהיה אחראי לאבטחת מידע... מניסיוני, במקום בו מנהל אבטחת המידע כפוף למישהו מחוץ ל-IT, המערכת יותר מאורגנת..."
גדי, מנחה: "... מילות סיכום..."
יוסי, מגדל: "... אם היו נותנים לי שקל נוסף הייתי משקיע אותו במודעות, מודעות עובדים והנהלה... זה התחום שהכי לוקה בחסר..."
גידי, דואר ישראל: "... בנושא אבטחת מידע אין זבנג וגמרנו, זו פעילות שוטפת, רב שנתית ויקרה..."
ירון, מירס: "... אבטחת מידע צריכה להשתלב עם הביזנס... חשוב להבהיר להנהלה שהמידע הוא כח ולכן חשוב לשמור עליו..."
שוקי, מכון התקנים: "... אבטחת מידע היא לא רק טכנולוגיה אלא תהליך שצריך לתכנן, לבצע, למדוד, להעריך את האפקטיביות ולהשתפר..."
קומסקיור
קומסקיור היא נציגת ESET בישראל והיא משווקת את מוצרי האנטי וירוס NOD32 ו-ESET Smart Security
Rehacktor קבוצת סיוון
פעילות אבטחת מידע להעלאת המודעות במייד האנושי הארגוני ע"י מיתוג פרסומי של התהליך עם דמויות קריאטיב כולל לומדות אבטחת מידע הנבנות ע"י צרכי הלקוח.
Datacrypto
מספקת מגוון רחב של שירותי יעוץ וליווי במימוש מדיניות אבטחת מידע מתאימה ומיישמת פתרונות חומרה ותוכנה מתקדמים המיועדים לסייע לארגון לנהל את מדיניות אבטחת המידע באופן היעיל ביותר.
