ביקורת אבטחת מידע


רקע -

בעולם הסייבר כיום עולה שוב ושוב הצורך לשמור על מידע שקיים ברשות ארגונים/חברות/גופים פיננסיים (בנקים חברות ניהול כספים/ניירות ערך) ולמעשה כל ארגון חברה שיש בידה מידע שעשוי לפגוע בה כלכלית/תדמיתי במידה ומידע זה יזלוג לגורמים מתחרים/עובדים שאינם עוד בחברה או האקרים ודומיהם.


מהו סקר סיכונים? מהי חשיבותו? לחץ כאן
נהלי אבטחת מידע (אסטרטגיית הגנה) - צפה עכשיו


מהי ביקורת פנים אבטחת מידע?
 

מתוקף דרישות לקוחות/משרדים ממשלה/רשויות - כל ארגון נדרש מעת לעת לבצע ביקורת אבטחת מידע ע"מ לוודא שהארגון אותו מייצג אכן שומר על סטנדרטים שאמורים לסכל/למנוע ואף להתריע במידת הצורך במקרה שקיים חשש לזליגת מידע.

בדרך כלל כאשר מבצעים ביקורות אבטחת מידע יש להתחשב באיומים/סיכונים שאמורים לפגוע בחברה/ארגון אם חלילה ויגרם נזק ומידע רגיש יזלוג מחוץ לכותלי החברה/ארגון.
 

להלן רשימה של קריטריונים לקביעת סוגי האיומים

איומים פנימיים -

שימוש לרעה במידע רגיש המצוי ע"ג רשומות/מערכות מידע ע"י מנהלים-עובדים כיום/בעבר ספקי שירותים מקומיים, ספקים אסטרטגים מתוך כוונת זדון/מסחר ע"י גרימת נזק תדמיתי, כלכלי בלתי הפיך.
 

איומים חיצוניים -

התחברות למאגרי מידע בעזרת קודי הפעלה וסיסמאות לנגישות קלה למידע לוגי בתוך החברה ומחוצה להן: בתי העובדים, מרכזי מידע ציבוריים וכד'.

שימוש לרעה בעובדי ניקיון לצורך ליקוט מידע רגיש/מסווג המצוי במשרדי החברה.

שיחוד מנהלים/עובדים/ספקים אסטרטגים ולגייסם לצורך העברת מידע רגיש שנצבר בידי עובדי החברה.

תקיפות למטרות יירוט מידע.
 

פגיעה במוניטין.

הפסד שווקים.

נזק כלכלי.

אי עמידה בדרישות חוקים ותקנים.

 

באילו שלבים ניתן לקיים את הביקורת?

קיימים מספר סוגי ביקורות אבטחת מידע:

> ביקורות יזומות שמתקיימות ע"פ החלטת הנהלה מקומית
> ביקורות רנדומליות אשר מתקיימות ע"י לקוחות על אשר מעסיקים את הארגון
> ביקורות קבועות/רנדומליות שמתקיימות מתוקף החוק/רגולציה.
 

ביקורות אבטחת המידע מחולקות לשני נושאים עיקריים

ביקורת אבטחת מידע פיזית - רשומות(סביבת העבודה)-כלומר כל מה שנפלט ממערכות המידע הממוחשבות.

ביקורת אבטחת מידע לוגי - כלומר כל מה שמייצר את המידע אשר נעשה בו שימוש הן כרשומה והן כדוא"ל/מסמך/קובץ לוגי בפורמטים שונים ומגוונים, דוגמת WORD וEXCEL - ודומיהם.

המועדים בהם מתקיימות ביקורות תלוי בהסדרה/באירוע מחולל שנגרם או בתחזוקת מונעת של מערכות המידע בארגון.

 

מי מבצע את ביקורת אבטחת המידע?
 

את ביקורת אבטחת מידע פיזית מבצעים ע"פ רוב מבקרי פנים /חוץ אשר נעזרים במומחי תוכן שמיומנים בכל הקשור בסיכול ומניעה של זלג מידע.

את ביקורת אבטחת מידע לוגית מבצעים ע"פ רוב מנהלי מערכות מידע חיצוניים/ מומחי תוכן אשר התמחותם באה לידי ביטוי מעצם היותם "פצחנים" ברשות או כאלה שעסקו במניעת האזנות/יירוט מידע לוגי.
 

יחד עם זאת קיימים מצבים שארגון/חברה גדולה אשר מעסיקה מטבע פעילותה קבלנים/ספקי משנה אלו אמורים גם לעמוד בסטנדרטים של אבטחת מידע כאשר אלו נבדקים ע"פ רוב ע"י נציגי הארגון אשר מעסיק אותם.

מהם "מבחני חדירה לארגון"? (Penetration Tests) - לחץ למידע נוסף

 

חשיבות הביקורת

ביקורות אבטחת מידע מהווים מעין " מראה " פנימית " אשר אמורה להציג בפני מנהלי החברות העסקיות תמונת מצב שעיקרה אמורה להכיל  דו"ח מפורט אשר יכלול הרכיבים הבאים:
 

א.    מיפוי כלל איומים והסיכונים קיימים/פוטנציאליים: דליפת מידע, גניבת מידע, פגיעה בנתונים / תהליכים בעלי ערך לחברה וכד'.

ב.    מתן המלצות לפתרון אבטחת מידע פיזית:
1)    למניעת  ריגול עסקי , מסחרי,
2)    פעילות מבוקרת בסביבת עבודה (משרדים, חללים  פתוחים
3)    קלט/פלט נייר אחסון/טיפול  במידע, גריסה
4)    הסכמי סודיות, ספקים אסטרטגים
5)    נהלים,  פיקוח /בקרה.

ג.    מתן המלצות לפתרון אבטחת מידע לוגית:
1)    ניתוח נושא ההקשחה של מחשבים ומערכות.
2)    קשרי גומלין עם האינטרנט ומהם צרכי התקשורת האמיתיים והמינימאליים הנדרשים.
3)    היבטי יתירות / גיבוי / התאוששות מאסון / התאוששות מווירוס.
4)    הצפנה, אישור חיבור מרחוק, שרת ביניים וכד'.

 

באילו סוגי ביקורות יש לה נדרשים הארגונים/ספקים חיצוניים לעמוד?
 

קיום הצהרת סודיות: מול החברה, מול העובדים, מול ספקי משנה.
קבלני משנה: סוג השימוש בקבלני משנה, אופן פיקוח ובקרה, חשיפה למידע רגיש.
אופן ניהול מערך הביטחון בחברה: מי אחראי, מי מנהל, נהלים מתאימים לנושא אבטחת המידע.
מהימנות עובדים (לפני קבלה לעבודה, במהלך העבודה).
תיקיות רשת ואישיות (גישה, מידור ומניעת גישה על בסיס "צריך לדעת").

הגנות פיזיות למחשבים ניידים:

מדיה נתיקה (אופן שימוש, אבטחה וניהול).
אבטחה לוגית (סיסמאות, הרשאות וכד').
משלוח קבצים מהחברה לספק וחזרה: משלוח קבצים מאובטח, דוא"ל, העברה פיזית של מדיה.
גיבוי מידע וקבצים: אופן הגיבוי, מקום אחסון וכד'.
תחזוקת הרשת, תחנות הקצה ותיקונים: ע"י עובדי חברה, קבלנים, פיקוח, בקרה.
אבטחה פיזית של השרת: (מניעת גישה, סיכוני אש וכד').
אבטחת ארונות תקשורת וטלפוניה (מניעת גישה ופגיעה).
אבטחת רשומות וגריסה (בחדרים, בארונות, בכספות לרבות מדפסות ופקסים).
אבטחה פיזית של המבנה (בקרת כניסה, אזעקה, מצלמות, ניהול מבקרים).

למידע נוסף אודות שלומי אדר אבטחה - לחץ כאן
מהימנות עובדים - כך תמנע גניבת ידע מתוך הארגון

 

 

 

 

 

 

Company Slogan

There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.