מהו סקר סיכונים
"סקר סיכונים" הינו תהליך שהפך להיות בגדר חובה לכל אירגון או חברה קיימת עקב מתקפות הסייבר התכופות, הונאות הרשת, פישינג וכד' וזאת במקביל לדרישות הרגולציה המחריפות בהתאמה (של תקנות הגנת הפרטיות). למעשה, סקר סיכוני אבטחת המידע בודק את מערך האבטחה של האירגון, עד כמה הוא מוגן ומהן פירצות האבטחה בו. סקר זה בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות באירגון, החל מאבטחת המידע הפיזית ועד לאבטחת התשתיות הכוללים את אתרי האינטרנט של האירגון, מערכות הפעלה, רשתות, מאגרי מידע, בסיסי נתונים, ניהול משתמשים והרשאות, תהליכי גיבוי ועוד.
הסקר בודק את רמת האבטחה הכוללת של האירגון מקצה לקצה מבחינה עיסקית וניהולית ובוחן: האם קיימים נהלי אבטחת מידע ומדיניות אבטחת מידע לפי הסטנדרטים המקובלים בתחום, מהי הטכנולוגיה המופעלת על המערכות הקיימות באירגון, מהי הארכיטקטורה הכללית של הרשת והאם היא בנויה בצורה נכונה, עד כמה מאובטחות מערכות ההפעלה המרכזיות, מהו הציוד המרכזי בתחום אבטחת המידע מבחינת תוכנות אנטי וירוס, חומת אש וכדומה..
כיצד סקר סיכוני אבטחת מידע מתבצע
סיכוני סייבר מהווים חלק נרחב מכלל הסיכונים התפעוליים אליהם חשופים אירגונים ולהתממשותם עלולות להיות השלכות עסקיות שונות הכוללות פגיעה במוניטין, אובדן הכנסות, חשיפה משפטית וכו'. במהלך הסקר נעשה מיפוי נכסי המידע הקריטיים של האירגון אשר במידה וידלפו לגורם לא מורשה ייצרו נזקים מסוג זה. סקר הסיכונים לעיתים כולל בדיקות חדירות המתחלק ל3 סוגים– מבדק חיצוני, מבדק פנימי ומבדק אפליקטיבי במגוון תצורות.
מטרת סקר סיכונים
מטרות העל של תהליך ניהול סיכוני סייבר הן הפחתת הסבירות לפגיעה בתהליכים העסקיים ובמידע של הארגון כתוצאה מהתממשות סיכונים אשר מקורם במרחב הדיגיטלי, בתחום אבטחת המידע וצמצום ההשפעה עליהם, במקרה שסיכונים אלו ייתממשו.
מה מאפשר תהליך ביצוע סקר סיכוני אבטחת מידע?
• זיהוי סיכוני הסייבר העלולים לפגוע בהשגת היעדים העיסקיים
• הערכת רמת הסיכון באירגון
• הערכת אפקטיביות סביבת הבקרה של מערכות המידע התומכות בתהליכים עסקיים
• להציג בפני ההנהלה ודירקטוריון תמונת מצב עדכנית לשם קבלת החלטות בהמשך
סקר סיכונים אבטחת מידע – תוצרים
תוצר סקר סיכוני סייבר הוא בעל משמעות נרחבת לאירגון ולמעשה מהווה חלק מהפעילות הבסיסית הראשונה שנדרש לבצע עבור תהליך שגרת הגנה בארגון.
בסיום העבודה צוות מומחי אבטחת המידע יפיק דו”ח מסודר אשר יכיל את הממצאים הרלוונטיים. כלל הממצאים נאספים במהלך הבדיקות ויכללו המלצות ראשוניות ופרקטיות לתיקון הכשלים והמלצות אשר ניתן ליישם בהמשך.
הדו”ח מורכב בחלקו הראשון מתקציר מנהלים הכולל את כלל הממצאים וייספק תמונת מצב עדכנית גם עבור אלו אשר אינם בקיאים בתוכן המקצועי בתחום מערכות המיחשוב.
כלל הממצאים יקוטלגו על פי רמת הסיכון וסבירות למימושם אל מול האיומים הרלוונטיים לארגון.
במקביל, לצידם יוצגו חומרות מימוש הסיכונים, כלומר הנזק היכול להיווצר.
תמונת המצב שתתקבל לאור הסקר תציג את הסיכונים הקונקרטיים לתשתיות המידע בארגון.
בסופו של הסקר יוגש דו"ח מצב הכולל מסקנות והמלצות לשינוים בפן הטכנולוגי, התהליכי והאנושי והקמת מדיניות לסיווג נכסים. כמו כן, יינתנו המלצות בפן הניהולי לשינוי נהלים, לרבות עדכון הסכמי עבודה וכדומה.
שאלות נפוצות – סקר סיכוני סייבר מתי קיים צורך לבצע סקר סיכונים?
בדרך כלל מבצעים סקר סיכוני סייבר אחת לשנה. התדירות יכולה להשתנות בהתאם לסוג הארגון, סוג המידע ודרישות רגולציה.
מהו משך זמן הביצוע של סקר סיכונים?
זמן ביצוע סקר סיכונים ממוצע אורך כ-3 שבועות. עיכוב או זירוז תהליכים תלוי לרוב בשיתוף הפעולה מצד הארגון.
האם ביצוע סקר סיכונים חייב על פי החוק?
ארגונים המחזיקים במאגרי מידע ברמת האבטחה הגבוהה, מחוייבים בביצוע סקר סיכונים אחת לשנה וחצי (18 חודשים) לכל הפחות (על פי תקנות הגנת הפרטיות (אבטחת מידע)) .
האם קיימים מספר סוגים של סקרי סיכונים?
אכן כן, קיימים סקרי סיכונים ייעודיים לדרישות תקינה או רגולציה, סקרים לביקורות פנים או לקראת ביקורות חוץ, סקרים ממוקדים למחלקות מסויימות/תשתיות או מערכות.
לסיכום,
"מניעה היא ההגנה הטובה ביותר", כך נאמר לא פעם ולא פעמיים בעבר, ומשפט זה נכון פי כמה כאשר מדובר בביטחון מאגרי המידע שלך. אין ספק כי אירוע סייבר הוא אחד מהסיכונים הגבוהים ביותר לחברה ועל כן על ההנהלה לבדוק אם גורמי הסיכון לפריצה נמצאים בארגון ולדרוש לתקן את הליקויים. סקרי סיכוני סיייבר הוא נקודה מצויינת להתחיל איתה, מכיוון שהיא בודקת וממפה בצורה יסודית את כל מערכות המידע. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוק הגנת הפרטיות ואבטחת המידע ובכדי לשמור על המידע בארגונכם ע"י סקר סיכוני אבטחת מידע וביקורת אבטחת מידע. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא.
Comments