אַבְטָחָה היא סך הפעולות והאמצעים המושקעים על מנת להגן על קיומו של אדם או ארגון ועל נכסיו ובכלל זה: חיי אדם, רכוש, מוניטין ומידע, כנגד פעולות זדון מכוונות המבוצעות על ידי אדם או ארגון עוין.
המושג אבטחה מתייחס, בין היתר, לאבטחה אזרחית, ומשמש גם את התחום הצבאי, החל מאבטחת מחנות קבע ומידע צבאי, וכלה באבטחת כוחות מתמרנים, לרבות קווי לוגיסטיקה, במבצעים צבאיים[1] והן את התחום האזרחי.
מטרה
על מנת להבין את מטרת האבטחה (בתחומים האזרחיים שלה) חשוב להבחין בין שני מושגים: ארגון ביטחוני וארגון מאובטח. בעוד הראשון מתייחס לארגונים שתכליתם וייעודם היא ייצור ביטחון ואבטחה (צבא, משטרה, שירותי ביטחון וכו') כשהביטחון או האבטחה, הם עיסוקם. השני – מתייחס לארגונים שייעודם הוא מתן שרות או ייצור מוצרים לשימושים אזרחיים ומשיקולים שונים מקיימים אצלם מערכי אבטחה כדי לאפשר תפקוד תקין והמשכיות (לרבות עסקית) של ארגון וחופש תנועה וביטחונו של אדם, גם במציאות וסביבה של איומים שונים. בארגונים אלו מערך האבטחה נתפס לא אחת כ"כורח הכרחי".
עיקרון פעולה
שתי הנחות יסוד עיקריות מונחות בבסיס הקמתו והפעלתו של מערך אבטחה: האחת – יתרון היוזמה נמצא בידי התוקף אשר מחליט על: המקום, הזמן, השיטה ועוצמת התקיפה. השנייה – היעדר מודיעין מוקדם להתרחשות הפיגוע או הפגיעה. היעדר מודיעין על כוונות לפגוע באדם או ישות ארגונית כלשהי, אין משמעותה שאין כוונה, אלא שלא ידוע על כך לגורם העוסק באיסוף המודיעין.
ניהול סיכונים
מאחר שלא ניתן להבטיח כי מידע מודיעיני יהא זמין בכל זמן, שומה על מערך האבטחה להיות מוכן לתת מענה לכל תרחיש בכל עת. ברור הוא שהדבר אינו אפשרי מהיבטים רבים ובכלל זה היבטים תפעוליים ותפקודיים של הגורם המאובטח, היבטים תקציביים ושחיקה מתמשכת של האנשים העוסקים בכך. לכן, נדרשים כלים שיאפשרו קביעת סדרי הקדימויות, ניהול הסיכונים וגידורם לצורך הקביעה על מה להגן. אלה כלי ניהול הסיכונים.
קיימים תחומים שונים של אבטחה ובכל אחד מהם, תשומות ושיטות שונות. עם זאת, בכל תחומי האבטחה קיים הכלי הבסיסי של ניהול סיכונים (Risk Management) המורכב משני תהליכים: הראשון – זיהוי האיומים הרלוונטיים ומכונה: "ניתוח הסיכונים" (Risk Analysis), והשני – "דירוג הסיכונים" (Risk Prioritization) או ניתוח סיכון-תועלת לפי רמות חומרת הנזק הצפוי וסבירות התרחשות הסיכון.
ניתוח סיכונים מבוצע לגבי איומים ספציפיים מול יעד מוגדר (מדינה, ארגון, מתקן, אדם, תהליכי עבודה, רכוש ועוד). הנוסחה לחישוב סיכון היא: [Risk =ƒ [Likelihood X Consequence, סיכון = [סבירות X נזק]. זיהוי, הגדרת האיומים ודירוגם מתבססים על מודיעין או הערכת קיומו של איום על בסיס ניסיון העבר או "החלטת מנהל" – בתהליך המכונה לא אחת "הערכת מצב".
גידור הסיכונים
לאחר ביצוע תהליך ניהול הסיכונים מתקבל גידור של הסיכונים מכל תרחיש איום. לכל איום או סיכון שזוהה, מגובש מענה מבצעי או מקצועי הכולל גם הקצאת משאבים, בהתאם לדירוג האיום. החלטה מוסמכת שלא להתייחס לאיום שזוהה, מהווה אף היא מענה לאיום.