סקר סיכוני אבטחת מידע – מורה נבוכים

  1. ראשי
  2. בלוג
  3. סקר סיכוני אבטחת מידע – מורה נבוכים

סקר סיכוני אבטחת מידע הוא פעילות למיפוי מוקדי סיכון ו’חוליות חלשות’ בתחום אבטחת המידע וסייבר בארגון. הסקר מייצר שיקוף ומפה ראשונית המציגים את סיכוני הסייבר אליהם חשופה החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע.

במסגרת הפרויקט מבוצע מיפוי מוקדי הסיכון המרכזיים בתחום אבטחת המידע הקיימים במסגרת פעילות החברה תוך התייחסות להשפעתם הישירה על סיכונים כספיים, תפעוליים, סיכוני אי עמידה ברגולציה וסיכוני תדמית.

מהו הסקר – וכיצד הוא מבוצע?

סקר סיכוני אבטחת מידע הוא אחד החלקים החשובים ביותר ביישום אסטרטגיית אבטחת המידע והגנת המידע בארגון. סקר סיכוני סייבר הוא תהליך ראשוני ומהותי במכלול הצעדים להגנה על נכסי המידע של הארגון, ומטרתו למקד ולהפוך את ההוצאה על אבטחת המידע ליעילה יותר.

 

התהליך כולל תהליך יסודי של בדיקת סיכוני אבטחה, לצד איתור והמלצות להפחתת סיכוני אבטחה המאיימים על הארגון. סקר סיכונים אבטחת מידע מיועד לאיתור וניהול הסיכונים לטובת הקטנה או ביטול הסיכונים, כגון דליפת מידע, גניבת מידע, פגיעה בנתונים או בתהליכים חיוניים.

 

סקר הסיכונים מתייחס לכל רמות האבטחה – פיזית, תשתית, מערכות הפעלה, רשתות, בסיסי נתונים, ניהול משתמשים, ניהול הרשאות, גיבוי ועוד.

 

security button

מטרת סקר סיכוני אבטחת מידע

המטרה של הפרויקט היא למדוד ולמפות את מאפייני אבטחה הקיימים בארגון ולבדוק את העמידה של הארגון בדרישות האבטחה המקובלות בענף. הסקר מגדיר את מידת הנזק הפוטנציאלי לארגון בזמן אירוע חירום. בנוסף, הערכת סיכוני אבטחת מידע כוללת הצעה של פתרונות הגנת מידע וסייבר ואבטחת מידע בהתאם לממצאים. הסקר בוחן את האבטחה מבחינה עסקית וניהולית.

 

סוגי סקרי סיכונים

קיימים סוגים שונים של סקרי סיכונים טכנולוגיים, כגון סקר למערכות תעשייתיות (מיפוי הבקרים, התוכנות והתקשורת בין הרכיבים לרבות מערכת IT), סקר למערכות בענן (הבנת אופן זרימת המידע, דרכי האחסון שלו ואופן הגישה אליו), סקר סיכוני אבטחת מידע, סקר סיכונים למאגר מידע, הכנה לתקינת ISO 27001 (תקן לניהול אבטחת המידע בארגון, סקר הכנה ל-GDPR וסקר הכנה ל-HIPAA (בחינת ממשקים של מערכות המכילות מידע רפואי). סקרים המתמקדים בדרישות רגולציה, כגון HIPAA ו-GDPR, נקראים GRC.

 

אופן ביצוע הערכת אבטחת מידע

הערכת אבטחת מידע מורכבת משלושה חלקים מרכזיים:

סקר אבטחת מידע תפעולי (מערכות הגנה על נתונים, תשתית הגנת רשת, סביבות VoIP, מערכות זיהוי ואימות משתמשים, מדיניות הקשחה וסביבת משתמשים).

סקר תפעולי (סקירת מערכות SQL לאיתור נקודות תורפה, פיקוח וניטור על מידת האבטחה של שרתי DB בארגון, בדיקת ההטמעה של מערכות הגנה ייעודיות.

הדרכות בתחום אבטחת מידע (הדרכות לעובדים על נושאים כמו חשיבות העובדים בתפעול השוטף, שיטות הונאה פופולאריות, נקודות תורפה וטכנולוגיות להתמודדות עם הבעיה).

 

מדוע חשוב לבצע סקר אבטחת מידע?

לארגון ישנן סיבות רבות לנקיטת גישה פעילה ושוטפת בהתמודדות עם איומי סייבר ואבטחת מידע, זאת לצד דרישות משפטיות על פי חוק להגנה על נתונים אישיים, וציפיות מצד קהל המשתמשים\צרכנים לשמירה על הנתונים שלהם.

 

סקר אבטחת מידע יכול להיות מבוצע במספר אופנים מבחינת שיטה, קפדנות והיקף, אך המטרה המרכזית שלו היא תמיד לזהות ולכמת את היקף הסיכונים שבפניהם עומד הארגון והמידע העסקי שהוא מחזיק.

בין היתר, סקר מסוג זה מתייחס להיבטים של הצדקת עלויות הגברת האבטחה, תפקוד יעיל מבחינת תפוקה, רמת האבטחה, היבטים של IT וביקורת (באמצעות מיסוד, יצירת מבנה איסוף ידע ויישום של ניתוח עצמי- הערכת הסיכונים מובילה להגברת התפוקה), קידום נושאים מעוכבים ותקשורת המזרזת את תהליך קבלת ההחלטות בארגון.

 

שיטת ביצוע הסקר

בתהליך הכנת סקר אבטחת מידע, המומחים של ‘אינפורמט‘ מבצעים הערכה לכל חלק בתשתית הטכנולוגיות על פי פרופיל הסיכון שלו. על פי ההערכה של ממצאי הסקר, נקבעות המלצות להקצאת תשומת הלב והתקציב של הארגון לעמידה במדיניות האבטחה המקיפה המתאימה ביותר לארגון.

סקר אבטחת מידע בוחן גם את נהלי אבטחת המידע הקיימים, לצד התשתית הקיימת המותקנת בארגון.

בדו”ח המסכם של סקר אבטחת מידע, מפורטות ההשפעות האפשריות של חוסר פעולה או פעולה מסוג מסוים בטיפול בפערי אבטחה על משאבי ה-IT.

 

סקר אבטחת מידע נועד לייצר ‘מפת הדרכים’ מפורטת ליישום, הערכה ושיפור נהלי אבטחת המידע גם בהמשך.

יישום הסקר מבטיח כי סיכוני האבטחה מנוהלים היטב. הוא מציע מסגרת תהליכית ליישום וניהול בקרות, הגדרת תהליכים חדשים של אבטחת מידע, הנחיות להנהלה לניהול הפעילויות בתחום, שימוש בכלים חיצוניים ופנימיים של ביקורת לקביעת מידת העמידה במדיניות, ההוראות והתקנים שהארגון אימץ, ותמיכה באמצעות הדרכה וליווי להנהלה ולכלל העובדים.

שלבים מרכזיים בביצוע סקר סיכוני אבטחת מידע

סקר הסיכונים כולל ראיונות עם גורמי המפתח בארגון, עיון במסמכים פנימיים כגון מדיניות ונהלים, מיפוי מערכות קריטיות, בדיקות באתר, בדיקת מודעות העובדים לשמירה על מידע וניתוח העבודה מול ספקים חיצוניים.

השלב הראשון של סקר סיכונים הוא איסוף מידע על פי רשימת נושאים מוגדרים מראש, בניית תרשים מבנה החברה, מיפוי בעלי תפקידים ותחומי אחריות וכד’.

בשלב מיפוי כלל הנכסים הפיזיים, נבחנים נהלי אבטחה ואופן השמירה על מידע רגיש בסביבת העבודה (משרדים, חלל פתוח, חדרי ישיבות), נהלי ואופן השמירה על מידע במרחב שמחוץ לחברה (בתי עובדים, ניסויים בשטח, אינטראקציה עם יועצים, ספקים, משקיעים וכד’, ניהול ושמירה על מידע במהלך כנסים ותערוכות, בדיקת העובדים מבחינת מהימנות ולסיכום – מיפוי ובדיקת  המעגל של תהליכי ניטור ובקרה על כל השכבות המדוברות.

בשלב זה של עריכת סקר הסיכונים למערכות IT (סייבר), נבחנת ארכיטקטורת הרשת ותשתית השרתים, מבוצעים מבדקי חדירה פנימיים וחיצוניים (Pen test ב-LAN), ניתוח Firewalls (‘חומת האש’ הארגונית), בדיקת ניהול משתמשים והרשאות, גיבוי המערכות, הצפנה, אישור חיבור מרחוק, בחינת שרתי ביניים ובחינת בסיסי נתונים, בדיקת סביבה וירטואלית ומובייל, רשתות אלחוטיות ועוד.

בשלב הבא נערך עיבוד וניתוח של המידע, הכולל גם פגישות עם בעלי התפקידים הרלוונטיים.

בשלב זה הנכסים מסווגים לפי רמת הקריטיות שלהם בתהליכים העסקיים וההשפעה שלהם על העסק, על בסיס החשיפה, הסיכון לאירוע, מבדקי חדירה, סקר פגיעות, נהלים ועוד.

בשלב הבא אחריו, הממצאים מוצגים ללקוח באמצעות דו”ח סיכונים, המלצות לביצוע בהיבט הטכנולוגי, התהליכי והאנושי, ולצידו – הערכת המשאבים המשוערים הנדרשים ליישום הצעדים, לוחות זמנים ותכנית פעולה מוצעת. ההצעות ישקללו את ההסתברות לאירוע חירום, ביחס לחשיבות של המידע\מערכת עבור העסק ודרגת הקושי למימוש המתקפה.

בכל הנוגע למערכות IT, סקר הערכת סיכונים מציע ניתוח קשרי גומלין עם האינטרנט, היבטי יתירות, גיבוי והתאוששות מאסון או ממתקפה, הצפנה, אישור חיבור מרחוק, חשיבות שרת ביניים ועוד. בנוסף, הדו”ח ימליץ על נהלי אבטחה הדורשים גיבוש, ריענון או ניסוח מחדש.

בשורה התחתונה, תהליך סיווג נכסי המידע וסקר סייבר תקופה צפויים להעלות באופן משמעותי את רמת המוכנות של הארגון מול מתקפות סייבר.

 

סקר סיכונים אבטחת מידע עם אינפורמט – שקט נפשי לאורך כל הדרך
אינפורמט מציעה סקר סיכונים אבטחת מידע הכולל מיפוי, זיהוי והמלצה על כלל היבטי אבטחת המידע בארגון. מומחי הסייבר של אינפורמט מלווים את הלקוחות לאורך כל הדרך, מספקים מידע שקוף ודוחות מפורטים וברורים, לצד ייעוץ מקצועי והתאמת הפתרונות לצרכי הלקוח.