המושג "אבטחת מידע" (וכיוצא בזה גם הגנת הפרטיות) הופך נפוץ יותר ויותר בתקופה האחרונה. ימי קורונה, בהם יותר ויותר עובדים מהבית, עובדים מרחוק עם תוכנות צד שלישי, גורמים למידע להיות יותר ויותר פרוץ. אבטחת מידע (Information Security) או בקיצור InfoSec היא הפרקטיקה של הגנה על מידע במערכות, בעיקר מערכות ממוחשבות – אך לא רק. בתקופה האחרונה, יותר ארגונים בעולם חווים יותר התקפות, וההתקפות הופכות יותר ויותר אגרסיביות – ובתגובה מוציאים סכומים הולכים וגדלים להגנה על המערכות שלהם.
מצד אחד, העבודה מהבית הופכת להיות יותר ויותר פרודקטיבית ויעילה, תוך שימוש בטכנולוגיה עם תוכנות המספקות שירותים כמו שרתי שיתוף קבצים בענן, אמצעים לשיחות וידאו וכד'. מצד שני, אותה טכנולוגיה טומנת בחובה איומי סייבר משמעותיים.
המציאות כיום מלמדת כי גורמים עוינים רבים פועלים בכדי לנצל לרעה את המציאות שנוצרה בעידן הקורונה, ופועלים על מנת לתקוף ארגונים, באמצעות אותן קישוריות שמשמשות את העובדים לעבודה מהבית. העברת קבצים, שיחות וידאו, שיחות ועידה וכדומה – כל אלה הופכים לנשק בידי האקרים. לכן, קיים צורך הולך וגובר לבצע ביקורת אבטחת מידע מפעם לפעם ובצורה סדורה בכדי שגורמים זרים לא יינצלו פרצות אבטחת מידע בכדי לפגוע בארגון.
איך מבצעים ביקורת אבטחת מידע
קודם כל בודקים ומנתחים מהם האיומים העומדים בפני הארגון, כאשר החלוקה היא לאיומים פנימיים וחיצוניים.
לפניכם רשימת קריטריונים לקביעת סוגי האיומים:
איומים פנימיים – כוללים שימוש לרעה במידע רגיש המצוי ברשומות/מערכות מידע ע"י מנהלים או עובדים כיום/בעבר ספקי שירותים מקומיים, ספקים אסטרטגים מתוך כוונת זדון/מסחר ע"י גרימת נזק תדמיתי, כלכלי בלתי הפיך.
איומים חיצוניים – כוללים התחברות למאגרי מידע בעזרת קודי הפעלה וסיסמאות לנגישות קלה למידע לוגי בתוך החברה ומחוצה להן: בתי העובדים, מרכזי מידע ציבוריים וכד'. שימוש לרעה בעובדי ניקיון לצורך ליקוט מידע רגיש/מסווג המצוי במשרדי החברה. שיחוד מנהלים/עובדים/ספקים אסטרטגים ולגייסם לצורך העברת מידע רגיש שנצבר בידי עובדי החברה. תקיפות למטרות יירוט מידע ואי עמידה בדרישות חוקים ותקנים.
קיימים שני סוגים של ביקורת אבטחת מידע: פיזית ולוגית
ביקורת אבטחת מידע פיזית – מתייחסת להגנות הפיזיות על תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע. ההגנה הפיזית כוללת רכיבים רבים ובכלל זה מיגון חדר שרתים (רצפה צפה, מערכת כיבוי אש, מיזוג), מעגלי בקרה על כניסה \ יציאת בעלי תפקידים לאזורים רגישים, מצלמות אבטחה, אחסון מסמכים מודפסים, גריסת חומרים רגישים ועוד'.
ביקורת אבטחת מידע לוגית – מדובר על כל התוכנות או האתרים המייצרים את המידע אשר נעשה בו שימוש הן כרשומה והן כאימייל/מסמך/קובץ לוגי בפורמטים שונים ומגוונים, כמו WORD וEXCEL - ודומיהם.
נושאים בביקורת אבטחת מידע
תוצר ביקורת אבטחת מידע הינו דו"ח אבטחת מידע (וסייבר) מפורט שכולל את הסעיפים הבאים:
א. מיפוי של כלל האיומים והסיכונים הקיימים או הפוטנציאליים לארגון בין אם מדובר בדליפת מידע, גניבת מידע, פגיעה ושיבוש של נתונים / תהליכים בעלי ערך לחברה וכד'.
ב. הוראות חוק:
1) כתיבת נהלי אבטחה, פיקוח ובקרה בהתאם לרגולציה המחייבת
2) טיפול בהיבט של הסכמי סודיות, ספקים אסטרטגים והמידע המועבר אליהם
3) בדיקת הנושאים הנדרשים בהתאם לתקנות הגנת הפרטיות(אבטחת מידע) תשע"ז 2017.
ג. המלצות של פתרון אבטחת מידע פיזית בהיבטים הבאים:
1) אבטחת מידע פיזית למניעת ריגול עסקי ו/או מסחרי
2) ניטור ובקרת פעילות בסביבת עבודה (משרדים, חללים פתוחים וכדומה)
3) קלט/פלט של נייר, אחסון/טיפול במידע, גריסה
ד. טיפול בנושא של אבטחת מידע לוגית:
1) ניתוח נושא ההקשחה של מחשבים ומערכות
2) מיפוי קשרי הגומלין עם האינטרנט ומהם צרכי התקשורת ההכרחיים והמינימליים הנדרשים
3) התייחסות לנושאי יתירות/גיבוי/התאוששות מאסון/התאוששות מווירוס
4) הצפנה, אישור חיבור מרחוק, שרת ביניים וכד'
מתי מבוצעת ביקורת אבטחת מידע
· בעקבות אירוע אבטחה שקרה ברמת הארגון (גם כאשר אין נזק ארגוני)
· לאחר ביקורות יזומות שמתקיימות כל זמן מוגדר ע"פ החלטת ההנהלה
· בעקבות הערכת סיכוני סייבר
· על בסיס רנדומלי לפי דרישה של לקוחות ומדיניות מוגדרת
· כאשר ארגון נדרש לציית לרגולציה/תקנים
דו"ח אבטחת מידע דו"ח אבטחת מידע הוא הכלי אותו מקבל האירגון כדי לשפר את רמת האבטחה שלו, את רמת הגנת הפרטיות שלו ואת היעילות התפעולית שלו. על פי תוצאות הדו"ח, האירגון יכול לשנות מדיניות אבטחת מידע קיימת, לבצע כתיבת נהלים ועוד. חשוב שדו"ח אבטחת המידע יהיה נגיש וברור לכל מי שקורא אותו, וייכתב במושגים פשוטים ולאו דווקא מקצועיים, בכדי שיהיה יעיל וישים.
איך בוחרים חברה המבצעת ביקורת אבטחת מידע
הקריטריונים לבחירת חברת ייעוץ אבטחת מידע הם רבים: ידע, מקצועיות, ניסיון ועוד.. חשוב לבחור חברה שיש לה ניסיון עם גופים דומים לארגון שלכם. כמו כן, כדאי לבחור חברה אשר מנחה בצורה ברורה מה לעשות, כיצד לבצע זאת ועוד.. כדאי לוודא שהעבודה תתבצע על ידי צוות עובדים בעל ניסיון רב שנים ובעלי הסמכות מקצועיות בתחום כגון: CISSP, CISA ,CISM.
אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוקי אבטחת המידע ובכדי לשמור על המידע בארגונכם. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא.