מבנה סקר סיכונים בארגון


מהו המבנה הכללי של סקר סיכונים?

רקע

סקר סיכונים בארגון או בשמו "הערכת סיכונים מבוקרת", הינו תהליך יסודי של בדיקה, זיהוי והערכה של כלל הסיכונים אליהם חשופה החברה מבחינת ביטחון פיזי, ביטחון מידע והיערכות למצבי חירום (שעלולים לגרום לכשל תפקודי או הפסקת פעילות שוטפת בחברה). הסיכונים יכולים לנבוע בתוך ומחוץ לחברה ע"י גורמים עוינים. ומטרת הסקר היא לאפשר ניהול סיכונים בארגון בצורה מיטבית.

מטרת הסקר
 

סקר סיכונים נערך על מנת לאתר ולנהל את  הסיכונים להם חשוף הארגון מתוך מטרה להקטין או לבטל את הסיכונים האפשריים כגון דליפת מידע, גניבת מידע, פגיעה בנתונים  ופגיעה בתהליכים בעלי ערך לארגון. הסקר קובע עד כמה עלול להינזק הארגון בזמן אירוע חירום ולקבוע מהו שיעור ההפסד שהארגון יכול לעמוד בו במקרה של נזק רציני. 

2 סוגים של סקרים

קיימים שני סוגי סקרי סיכונים העוסקים בנזק פיזי בסביבת העבודה ובנזק במערכות מידע ממוחשבות - אבטחת מידע. סקרי הסיכונים מיועדים למנהלי אבטחת מידע, למנהלי כספים בחברות היי טק, לתעשיות ביוטק, תעשיות מזון, משרדי פרסום, חברות ממשלתיות ועוד. ההמלצה לכל ארגון היא לקיים את שני סוגי הסקרים אשר תומכים אחד בשני ומחזקים את יכולותיו של הארגון להתמודד בעת משבר בכל סדר גודל שהוא.

לכל סקר קיימים 3 שלבים חשובים -

שלב ראשון - איסוף המידע המקדים. עפ"י רשימת נושאים המוגדרים מראש מקבלים מהחברה בכל הנוגע לביטחון פיזי, תכניות של המקום ובכל הנוגע לביטחון מידע מקבלים עץ מבנה של החברה, פרופיל העיסוק, רשימות בעלי התפקידים והגדרת תפקיד ותחום האחריות של מנהלי מערכות המידע.

שלב שני - עיבוד וניתוח המידע. לאחר איסוף המידע המקדים ולאחר סבב פגישות עם בעלי התפקידים הרלוונטיים. בשלב זה בוחנים מספר נושאים עיקריים עבור סקר סיכונים ביטחון מידע פיזי (סביבת עבודה):

•    כללי - מיפוי כלל הנתונים בחברה לרבות הסיכונים האפשריים: דליפת מידע, גניבת מידע, פגיעה בנתונים  ותהליכים בעלי ערך לחברה.

•    מעגל ראשון I -

> מעבר על נהלי אבטחה קיימים והתאמתם לצרכי החברה.
> אופן השמירה על מידע רגיש בסביבת העבודה עתירת מידע וידע (משרדים אישיים, חללים פתוחים, חדרי ישיבות וכד').

•    מעגל II - שמירה על מידע מחוץ לחברה: עבודה מבתי עובדים, ניסויים, קבלה והעברת מידע עם יועצים, ספקים אסטרטגים ,משקיעים וכד'.

•    מעגל III - חשיפה של מידע רגיש במסגרת השתתפות בכנסים, תערוכות ומפגשים מקצועיים בארץ ובחו"ל.

•    מעגל IV - בדיקת המימד אנושי- מבדק מהימנות מקדים ע'פ הצורך, הגדרת שותפי סוד, ספר תפקידים וכד'.

•    מעגל V - תהליכי ניטור ובקרה על ארבעת המעגלים המוצעים מעלה.
 
 

נושאים עיקריים לבחינה במסגרת סקר סיכונים עבור מערכות מידע ממוחשבות (סייבר):

•    מעגל  I - בחינת ארכיטקטורת רשת אופטימלית ובדיקת תשתית השרתים והרשת.

•    מעגל  II -

> מבדק חדירה פנימי וחיצוני - penetration test in LAN.
> ניתוח firewalls audit. בדיקת מדגם עמדות קצה וניידים.
> בדיקת ניהול משתמשים והרשאות הכולל מעבר על נהלי אבטחה קיימים והתאמתם לצרכי החברה.

•    מעגל III - גיבוי המערכות

•    מעגל IV - הצפנה, אישור חיבור מרחוק, שרתי ביניים ובדיקת בסיס נתונים.

•    מעגל V- בדיקת סביבה וירטואלית, בדיקת מובייל. בדיקת רשתות אלחוטיות ובדיקת יעילות מעגלי האבטחה הקיימים.
 

שלב שלישי - הצגת תוצרים – הצגת מסגרת כללית למימוש המלצות הסקרים שתכלול משאבים (הערכה), לוחות זמנים ומתכונת מוצעת. שלב התוצרים כולל את בהסתברות, החשיבות ודרגת קושי למימוש. המטרה להציע תמונת מצב אובייקטיבית על בסיס ממצאי הסקרים העוסקת ב:

1.    אלו נכסים קריטיים של החברה חשופים לפגיעה.
2.    מה רמת החשיפה והסיכון של אותם נכסים ואלו מקורות איום קיימים.
3.    האם מעגלי אבטחת המידע יעילים.
4.    איזה פתרונות אבטחת מידע נדרש ליישם ובאיזו דחיפות.
5.    האם ניתן לחסוך בעלויות אבטחת מידע ובאיזה אופן.

במסגרת זו יינתנו המלצות לפתרונות עבור ביטחון מידע פיזי הכוללות:

1.    המלצות למניעת ריגול עסקי ומסחרי.
2.    פעילות מבוקרת בסביבת עבודה (משרדים, חלל פתוח).
3.    המלצות לטיפול בניירת משרדית הכוללת קלטו פלט ניירות אחסון, גריסה וטיפול  במידע.
4.    המלצות להסכמי סודיות והסכמי עבודה עם  ספקים אסטרטגים ושותפים עסקיים
5.    מעבר על נהלי אבטחה קיימים ומתן המלצות לנהלים קיימים ואלו הנדרשים התואמים את צרכי החברה הכוללים תהליכי בקרה ופיקוח.
 

מתן המלצות לפתרונות עבור מערכות מידע ממוחשבות:

1.    ניתוח נושא ההקשחה של מחשבים ומערכות.
2.    קשרי גומלין עם האינטרנט ומהם צרכי התקשורת האמיתיים והמינימאליים הנדרשים.
3.    היבטי יתירות, גיבוי, התאוששות מאסון או התאוששות ממתקפת סייבר, הצפנה, אישור חיבור מרחוק, שרת ביניים וכד'.


ניהול מצבי חירום - דגשים חשובים

למה חשוב להיערך לשעת חירום? כדאי לדעת

Company Slogan

There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.