מידע, אבטחת מידע ומרחב סייבר: להגן על מיליארדי נתונים או דולרים?

(של קרלו מאקלי)
30/07/19

מרבית החוקרים ומקבלי המדיניות טוענים כי מרחב הסייבר מעדיף את הפקרות בעוד שמיעוט החוקרים חולקים על כך. הצהרות מעמיקות על האיזון בין פשע בהגנה לבין עבירה במרחב האינטרנטי מטעות מכיוון שניתן להעריך איזון נכון רק ביחס למיומנויות וטכנולוגיות ארגוניות ספציפיות.

לעתים קרובות מדי אנו מדברים על שיווי משקל בהתחשב בעלויות: אנו נוטים להעריך את היתרה שמקרה כזה או אחר מסוגל לייצר (כאשר "איזון" פירושו ערך מינוס עלויות פעולות פוגעות והערך מינוס עלויות של פעולות הגנה). עלויות פעולות ה- IT מחושבות לרוב על בסיס הכישורים הארגוניים הנחוצים ליצירה וניהול יעילים של טכנולוגיית מידע מורכבת.

אם אנו מסתכלים על התרחיש הנוכחי, ההצלחה של פעילות התקפית נובעת בעיקר מניהול הגנתי לקוי ומהיעדים הפשוטים יחסית שיש לפעילות התקפית. למעשה, אנו מדברים על "הא-סימטריה" של תופעת הסייבר בגלל ההבדל יוצא הדופן שקיים בין התוקף למגן. ברור שזה לא תמיד המקרה.

לדוגמה, ניתוח אמפירי מראה שמתקפות סייבר מבוססות Stuxnet מבנים גרעיניים איראניים, ככל הנראה, עולים לתוקף הרבה יותר מהגנה. עם זאת, היתרונות שנתפסו הן על ידי התוקף והן מצד שני, הנזקים שנתפסו על ידי המגן, היו ככל הנראה שני סדרי גודל גבוהים מהעלויות שנגרמו בפועל, מה שלא סביר כי מקבלי ההחלטות יתרכזו בעלויות.

עם זאת, במאמר זה אני לא רוצה להתרכז בעלויות בהן השתמשתי ככובע מבוא, פשוט כדי לנסות ולהפוך את הנושא ליותר "אטרקטיבי" ואולי במחיר סביר יותר עבור כולם.

מה שאני רוצה להתמקד בו הוא העובדה לנסות להסביר על פי תוכניות שונות בהן ניתן להשתמש בצורה הגנה על סייבר על מנת לייחס את הערך הנכון לחפצים היקרים ביותר של כל ארגון, אחרי האנשים: נתונים ומידע.

בשנים האחרונות טכנולוגיות הגנת הסייבר התפתחו במהירות כדי לעזור לחברות להגן על הרשתות שלהן, להגביל את הגישה ולמנוע אובדן נתונים. והשוק היה עד להסלמה חשובה מבחינה זו.

מה אם ננסה לחשוב אחרת עכשיו? מה אם נתחיל למנף את כל העקרונות הנהוגים באסטרטגיות אבטחת הנתונים ההגנתיות שלנו כדי לנקוט בגישה יזומה יותר? ביסודו של דבר, מה היה קורה אם נצא לחשוב כפי שהאקרים חושבים, לא רק כדי להתמודד איתם אלא גם לייחס את הערך הנכון "לנכסים שיש להגן עליהם"?

כוונתי היא שלנתונים ולמידע יש ערך שאם יתברר באמצעות כלים ומדיניות לניהול מידע, הם יכולים לעזור לטכנאים להגן על "נכסים" שונים בעלי ערך שונה ויכולים לעזור למנהלי מערכות מידע ולמוסדות מידע לבקש את ההגנה על המשאבים הדרושים ביחס ל"ערך ".

כמה כלים וטכנולוגיות אבטחת מידע יכולים לספק בצורה יעילה נראות טובה יותר לפעילות היומיומית ויכולים לעזור לנו לגלות את הערך האמיתי של כל הנתונים שהגנו עליהם. למעשה, אימוץ גישה מסוג זה יכול בסופו של דבר להוביל חברות לעבר מודעות גדולה יותר לנתונים שברשותם, ומדוע לא, גם להתייעלות, רעיונות וצמיחה חדשים.

למידת מכונה ובינה מלאכותית

ארגונים החלו לאמץ פתרונות למידת מכונות ובינה מלאכותית (AI) בניתוח נתונים וניהול נתונים זה זמן רב. מדוע לא ליישם טכנולוגיות אלה בגישה שלנו לאבטחת מידע על מנת לחלץ ערך עסקי דומה?

כלים רבים להגנה על נתונים, המשמשים בהגנה, מאפשרים לזהות ולקטלג מידע במערכות רשת כדי להבין טוב יותר את רמות הרגישות השונות של נתונים כאלה. למידת מכונה והמטא-נתונים המיושמים במהלך תהליך זה מאפשרים לך לקחת הבנה זו לרמה עמוקה יותר על ידי יצירת הקשר סביב הנתונים המאפשר לארגונים לקבוע מדיניות אבטחה מותאמת אישית יותר לניהול מידע.

שיטות ניהול מידע אלה, באופן כללי, עדיין נופלות בתחום הגנת הסייבר - הן מגיבות להגנה על נתונים מפני פשיעה ברשת. עם זאת, טכנולוגיות הגנת נתונים המשתמשות במטא נתונים מאפשרות לך לתייג נתונים עם פרטים שונים ולהקצות קטגוריות כדי לחלץ את הערך האמיתי שלה. הכרת ההקשר העמוק יותר סביב הנתונים מאפשרת שימוש באסטרטגיות ובכלים להגנה על נתונים מובחנים כדי לאפשר לעסק להרחיק לכת מהרגיל.

מכיוון שטכנולוגיות הגנת נתונים חושפות את ההקשר הרחב יותר של נתונים, ההקשר מציע לאנשי מקצוע בתחום אבטחת נתונים דרך חדשה לדבר עם מנהיגי הארגון. לסיכום, הם יכולים להראות עד כמה נתונים ספציפיים בעלי ערך רב, ולקבוע אילו נתונים הם קריטיים באמת (ועליהם להיות מוגנים יותר) ואילו נתונים מתאימים לצריכה ציבורית (ואינם זקוקים להגנה מתקדמת).

מדידה, מונטיזציה וניהול נתונים

כמה מדברים על נתונים כמו "שמן חדש" ?! אחרי הכל, ההצהרה הזו הפכה לסלוגן. אבל איך באמת ניתן לכמת את הערך של סחורה חדשה זו? אם נוכל לסווג את הנתונים שלנו באמצעות מטא נתונים ולהתחיל להבין את ההקשר סביבם, הערך יתחיל לצוץ.
כשאנחנו מפיקים מסמך, נוכל להתחיל לשאול את עצמנו שאלות שונות:

  • האם זה מסמך סודי או שהוא נגיש בחופשיות?
  • האם זה תויג על ידי מישהו במו"פ?
  • האם זה מסמך סודי שתויג על ידי מישהו במימון?
  • האם מדובר במידע פיננסי בעל אופי פטורנירי או שהוא פשוט מייצג הצהרת תזרים מזומנים?
  • כמה זמן צריך לשמור?

וכן הלאה ...

נניח שאתה יכול לזהות 10.000 מסמכים המכילים נתוני מו"פ במערכת שלך. אם אתה מכיר את ההקשר סביב אותם מסמכים, תוכל להתחיל להבין מה שווה כל אחד מאותם מסמכים או מה הסיכון הכספי לחברה במקרה של אובדן או גניבה.

קבצים ומסמכים מסוימים מכילים מידע אישי או מידע בריאותי אישי (PHI). הסיכונים הכספיים הקשורים לסוג זה של נתונים קשורים יותר לקנסות של אי-ציות, לחבות כספית אפשרית עבור לקוחות ועובדים ועלויות התגברות על הנזק הטמון במוניטין של המותג. מסמכים אחרים מכילים נתונים שיכולים לעודד חדשנות וצמיחה עסקית וניתן לחשב סיכון פיננסי על בסיס הזדמנויות רווח פוטנציאליות.

באמצעות תגי מטא נתונים על סוגים אחרים של קבצים, מיילים ומסמכים, אתה יכול לקבל מידע נוסף על לקוחות או מחזורי מכירות. לדוגמה, אם לחברה יש רבעון טוב, אתה יכול להביט לאחור כדי לגלות כמה פעמים הופיעה המילה "ציטוט" או "RFP" בהודעות דואר אלקטרוני ובמסמכים בשלושת החודשים האחרונים ולהתחיל לחזות את התוצאות של ברבעון הבא.

על פי מחקר גרטנר, בתוך ה- 2022, 90% מהאסטרטגיות הארגוניות יציינו במפורש מידע כנכס תאגידי קריטי. אולם, נכון לעכשיו, גרטנר אומר, "... לרוב מנהיגי המידע והעסקים חסרים מידע וכלים לייצור רווחים ממידע ... מכיוון שערך המידע עצמו עדיין אינו מוכר ברובו, גם אם הערך של נכסים בלתי מוחשיים אחרים, כגון זכויות יוצרים, סימנים מסחריים ופטנטים, נמדדים ומדווחים. "

מונטיזציה של מידע היא חלק מהמגמה הרחבה יותר לעברInfonomics, מונח שטבע גרטנר כדי לתאר את משמעת הייחוס של חשיבות כלכלית למידע, למרות גבולות התקנים החשבונאיים הנוכחיים. גם לדברי גרטנר, אינפונומיקה מזהה "העלויות המוחשיות והבלתי מוחשיות של ניהול, אחסון, ניתוח והגנה על נתונים".

חברות המודדות את ערך הנתונים שלהן יכולות להשקיע חכמות יותר ביוזמות הקשורות לנתונים. על ידי רווחים מנתונים, ארגונים יכולים ליצור זרמי הכנסות נוספים, להציג קו עסקי חדש, להשיג התייעלות בשיטות העבודה היומיומיות ועוד.

אסטרטגיית הגנת נתונים המוציאה באופן יזום ערך מנתונים מוגנים, מעמידה את ה- IT בעמדה חדשה של התייעצות עם הנהגת ההנהלה. הפרמטרים משתנים בצורה דרסטית: במקום לומר פשוט, "יש לנו הרבה נתונים רגישים, ואנחנו צריכים להגן עליהם"אתה יכול ללכת למנהיגי התאגיד ולהגיד,"היי! יש לנו כמיליארד דולר של נתונים ועלינו לנהל אותם כראוי, לשפר אותם ולהגן עליהם כפי שאנו כנראה לא עושים את זה."

אנחנו לא יכולים לעשות את זה לבד

הפקת ערך אינה דבר שבני אדם יכולים לעשות בכוחות עצמם ברמת דיוק גבוהה, וכשמדובר באבטחת נתונים, הדיוק הוא המפתח, לא משנה אם אתה נוקט בגישה הגנתית או פוגענית. אם אתה מתכוון לספק עומק סביב הנתונים שלך כדי להגן עליהם כראוי או לקבוע את ערכם, עליך להיות ספציפי.

ההדרכה והסמכה מחדש של אלגוריתמי למידת מכונה להכרת הקטגוריות של נתונים מותאמים אישית, דיוק ועומק ההקשר סביב המידע מתרחבים באופן אקספוננציאלי. עם הזמן המשתמשים יתרגלו לתייג נתונים עם פרטים ספציפיים יותר ויותר כדי להסביר את ההקשר; מה שיעלה את הערך מעבר לכל מידה. זו הדוגמא המושלמת של בני אדם וטכנולוגיות העובדים בצורה אינטליגנטית יחד.

לא רק שהתנהגויות ניהול המידע יכולות להיות ספציפיות יותר לחברה, ולהגן על נתונים ברמות המתאימות ולעמוד בדרישות התאימות לאבטחה, אלא שתוכל להתחיל להבין נתונים, או ליתר דיוק מידע ו ידע, כנכס ארגוני אמיתי עם אפשרות להביא את העסק לרמת יעילות והצלחה גבוהה יותר.

צילום: רשת

אירועים

לחץ על הימים המודגשים באדום וברר מה ראיות.
סיפורי חיים צבאיים
שלח לנו את הסיפור שלך
הוקרה (בשל) לחי"ר "רומא" ה-80 שיוצא לחופשה בכבוד

ובכן, כן, אנחנו כבר רגילים להיות עדים לסגירת הצריפים ואולי אפילו קצת לקבור את ההיסטוריה הארוכה של המחלקות, תופעה שעם זאת אינה מוחקת את הזיכרונות. זה גם נגע...

קרא את הסיפור
"Il Signor Parolini" (חלק תשיעי)

העוף האפוי, כצפוי, עמד במוניטין שלו, וגיבש, במידת הצורך, את השליטה הקולינרית הבלתי מעורערת של גסטון, המפקד ...

קרא את הסיפור