המטרה - הטמעה מיטבית של מוצרי האבטחה בארגון

מאז שנוסדה ב-2009 מגדירה עצמה Safeway כחברת בוטיק המתמחה במיגון מערכות, סייבר ואבטחת מידע - הן בסביבה הפיזית והן בענן. "אנחנו מספקים שירותים לארגוני אנטרפרייז, תוך שימת דגש על מומחיות, התמקצעות והבאת הפתרונות המדויקים הנחוצים ספציפית לכל ארגון", אומר הראל כהן, ארכיטקט מערכות ומנהל תחום הענן בחברה

אסף לבנון בשיתוף חברת Safeway
תוכן שיווקי
שתפו כתבה במיילשתפו כתבה במייל
shutterstock
צילום: shutterstock
אסף לבנון בשיתוף חברת Safeway
תוכן שיווקי

כשהראל כהן, ארכיטקט מערכות בחברת האינטגרציה Safeway מגיע למשרדו של לקוח חדש, פעמים רבות הוא מופתע מכשלי האבטחה שהוא מזהה במערכותיו. פיזור המידע כיום על פני תשתיות רבות ושונות הופך את אתגרי האבטחה לגדולים יותר ויותר. בהתאם, כהן רואה כיצד לקוחות רוכשים כלים סייבר טכנולוגיים שונים, אך לא בהכרח משתמשים בהם בצורה המיטבית ולא תמיד מטמיעים אותם בצורה מסודרת. עוד הוא מגלה חוסר ידע בשימוש ומדיניות לא ברורה לגבי אבטחת מידע בענן.

הראל כהןצילום: עצמי

"אני מגיע לארגון ורואה שעל תחנות הקצה מוטמעות לעתים שתיים ואפילו שלוש מערכות הגנה", מספר כהן. "זה נותן מצג שווא של אבטחה ברמה גבוהה, כשלעיתים המערכות למעשה מקונפגות בצורה לקויה וכך נוצר מצב בו תשתיות המחשוב של החברה יכולות להיפרץ למרות שהיא מחזיקה בכלי אבטחה טובים. לא פעם אנו גם רואים צוותי אבטחת מידע פנימיים שעושים עבודה טובה, אבל בשל רצונו של הארגון לחסוך בעלויות של סיוע וייעוץ מקצועי מטעם גופי אבטחת מידע, הוא לא מצליח לזקק את הצורך שלו באבטחה, מתפזר - ומפספס. התוצאה היא צוותי אבטחת מידע, שנאלצים לעבוד על שורה של כלים שלא כולם הכרחיים, לבצע משימות שוטפות רבות ולבזבז ללא צורך זמן, כסף ומשאבי אנוש - מבלי שבהכרח ניתן פתרון אבטחה הולם".

מצפן לאבטחת המידע בארגון
מאז שנוסדה ב-2009 מגדירה עצמה Safeway כחברת בוטיק המתמחה במיגון מערכות, סייבר ואבטחת מידע. החברה מעסיקה עשרות מומחי אבטחה המספקים שירותים לארגוני אנטרפרייז ומאפיינים ארכיטקטורת מיגון רשת, הן בסביבה הפיזית והן בסביבת הענן. כל זאת תוך שימת דגש על מומחיות, התמקצעות והבאת הפתרונות המדויקים הנחוצים ספציפית לכל ארגון.

"סוד ההצלחה של Safeway טמון בצוות המיומן והמקצועי, בשירות חסר הפשרות, בשימוש בטכנולוגיות המובילות בשוק ובלמידה מתמדת", מדגיש כהן. "אנחנו מבינים היטב את אתגרי האבטחה העכשוויים ובכל עת מחזקים את הידע הקיים אצלנו על מנת להמשיך ולתת שירות מיטבי ללקוחותינו. אנו מאמינים ששילוב נכון בין חברת אינטגרציה, העוסקת באבטחת מידע, ביחד עם צוות האבטחה הפנימי של הלקוח מסוגל לייצר הטמעה מיטבית של מוצרי האבטחה בארגון. המטרה שלנו היא להיות מעין מצפן לאבטחת המידע בארגון ומימושה".

כיצד מתנהל תהליך התאמת מערכות האבטחה?
"כשאנחנו מגיעים ללקוח, קודם כל חשוב לנו להבין מהו התהליך העסקי שלו, אילו מערכות מחשוב תומכות בו ואיפה החולשות והפגיעות בהן. אז נפענח את פוטנציאל הנזק שאיבוד נכסיו יכול לגרום לתהליך העסקי שלו. עוד מתבצע סקר חולשות טכנולוגיות, בו מובנים הפערים הטכנולוגיים הקיימים במוצרי האבטחה בהם משתמש הארגון והצרכים העסקיים. לאחר הבנת החולשות והדרישות ניתן לייצר תוכנית עבודה שלוקחת בחשבון את הצורך בהגנה מירבית ואת תקציב החברה. נדע לייעץ ללקוח היכן הכי כדאי לו לשים את השקל הבא. נבין גם אם הוא משתמש במערכות שלא באמת דרושות - דבר שקורה לא מעט וששינויו יכול לחסוך כסף רב. לאחר גיבוש כל המידע הדרוש נתפור חליפה שמלבד טכנולוגיות אבטחה כוללת גם שילוב תהליכים, אנשים ואוטומציה ארגונית. תוכנית האבטחה שלנו תחזק את הכלים הקיימים בארגון, תציע כלים חדשים - חליפיים או נוספים - ותאפשר מיטגציה ואף ביטול הכלים המיותרים".

כיצד יכול הלקוח לדעת שאכן בניתם לו את מערכת האבטחה האופטימלית?
"אנחנו מייצרים במשותף איתו פרויקט עם אבני דרך, משימות ו-KPI. כלומר, יש ללקוח יכולת למדוד הצלחה. לא מדובר רק בשירות עד תום ההתקנה וההטמעה, אלא כזה הניתן לכל אורך תהליך העבודה. אנחנו רואים אבטחת מידע כתהליך מתמשך, מבוסס סיכונים, שחוזר על עצמו אל מול איומים וטכנולוגיות חדשות".

מה גישתכם לאבטחה בענן?
"באופן כללי, נראה שיש נהירה לענן שהיא לעתים לא נכונה אלא מתקיימת עקב רצון להיות טרנדי ובקדמת הטכנולוגיה. במעבר הזה נשכחים לעתים עקרונות אבטחה שהולכים איתנו מקדמת דנא. כשמדובר בעולם הגנת הענן - זהו עולם בהתהוות. אנו מזהים שחקנים יחידים מצד אחד והמון פתרונות שונים מצד שני, בעלי תפיסות הפעלה שונות. Safeway מייצגת מוצרי אבטחה לענן שמספקים נראות, משילות וציות. ישנם כיום מספר מוצרים שיודעים להתממשק לענן הארגוני ולתת מידע עדכני לגבי הנכסים הקיימים בארגון, מצב האבטחה הקיים בענן ופגיעויות הקיימות בשירותים בהם משתמש הארגון. עוד אנו מזהים, כחלק מהיציאה לענן, תזוזה לעולם הקונטיינרים. גם שם יש אתגרי אבטחה: אחד מהם הוא חוסר נראות כשמדובר במידע העובר וחוזר בין הקונטיינרים ובין ההוסטים. אחד נוסף הוא השימוש בקוד צד שלישי מתיקיות ציבוריות, שהופך את הניסיון להבין את החולשות הקיימות להרבה יותר מורכב. בנוסף, מכיוון שקונטיינרים משתמשים ב-Run Time Image ובספריות שנמצאות בענן - נוצרות ספריות רבות המביאות עמן חולשות אבטחה. ה-Repository, בנק ספריית הקוד, מכיל בתוכו זהויות רבות שאנו אפילו לא ערים אליהן כשאנו משתמשים במאגר. מבחינתי, אירוע ה LOG4J בדצמבר של השנה שעברה היה אירוע מכונן בו הבנו את היכולת או את חוסר יכולת לשלוט ולהבין היכן נמצאת הפגיעות והיכן נכון להתחיל לטפל בה. ב-Safeway פיתחנו שיטות להתגבר על האתגרים האלו ולהגן על הלקוחות שבוחרים לעבוד בצורה הזאת".

יעילות, תקציב ונוחות שימוש
Safeway לא רק מנתחת את מצב האבטחה של הלקוח ומייעצת לו מה לשנות בו. החברה למעשה עובדת כ-One Stop Shop שגם מוכר את פתרונות האבטחה, מתקין אותם, מטמיע אותם ולאחר מכן מספק תמיכת 24/7 ללקוח. במהלך הפרויקט נלקחים בחשבון פרמטרים שונים, מרמת יעילות, דרך תקציב ועד נוחות שימוש. "יכול להיות מצב שאעדיף שהחברה תמשיך להשתמש בכלי אבטחה מסוים על פני החלפתו בכלי אחר שהוא קצת יותר טוב, אם אתרשם שצוות האבטחה של החברה מכיר היטב את הכלי הקיים, יודע להשתמש בו ומרגיש איתו בנוח", מבהיר כהן. "זו גישה שנובעת מהסתכלות תמידית על הלקוח וטובתו וההבנה שבבחירת מוצר לא בהכרח הטכנולוגיה היא זו שמנצחת, אלא יכולת השימוש של הארגון במוצר. אך גם כשהארגון יבחר במוצר שפחות מוכר לו - הוא יכול לסמוך על כך שתמיד נהיה שם בשבילו לתמיכה שוטפת - אם זה במחלקת התמיכה שלנו ואם בהגעה פיזית למשרדיו של הלקוח".

בשיתוף חברת Safeway