סקר סיכונים אבטחת מידע

מהו סקר אבטחת מידע? 

רקע -

קיימים 2 סוגי סקרי אבטחת מידע:

1. סקר אבטחת מידע  פיזי - או בהגדרתו המקצועית במ"מ (ביטחון מידע בסביבת העבודה)
2. סקר אבטחת מידע לוגי - או בהגדרתו המקצועית (IT)
 

סקר אבטחת מידע פיזי משמעותו - טיפול בכלל המידע אשר נפלט ממערכות המידע הממוחשבות בארגון או בעגה המקצועית רשומות, כלומר כל פלט מידע שנפלט (מודפס, מפוקסס, וכד') מיחידות המחשבים ומתורגם לניירת שנפלטת במדפסות, פקסים בעזרת תוכנות דוגמת Microsoft Office ותוכנות נוספות.
 

סקר אבטחת מידע לוגי משמעותו - כלל מערכות המידע האלקטרוניות (חומרה) הכוללות בין השאר - שרתים, ארונות תקשורת, וכן אביזרי קצה (דיסק און קי, מדפסות, מקלדות וכד'). 

מה זה סקר סיכונים? מהי חשיבותו? לחץ כאן
מבדקי חדירה - כך נחסום פרצות לארגון

מי צריך סקר סיכונים?

קהל היעד של סקר סיכונים אבטחת מידע הינם חברות וארגונים אשר עושים שימוש תדיר ובנפחים גדולים ברשומות (ניירת) מערכות מידע - שמשקלן הסגולי של רשומות אלו מוגדר כמידע רגיש אשר חשיפתו לגורמים עוינים, מתחרים, עובדים וגורמי חוץ מאושרים עשויה להסב נזק עסקי, תדמיתי, כלכלי בלתי הפיך לארגונם.

מידע שמוגדר כרגיש ניתן להגדירו –מידע אישי, רפואי, כספי, תפעולי, חוזי, הסכמי וכד'.

מהו משקלם הסגולי של סקרי אבטחת מידע פיזי/לוגי לארגונים?

1.    ביצוע סקר סיכונים אבטחת מידע פיזי/לוגי בכל ארגון שתואם להגדרות לעיל עשוי להציג תמונת מראה לארגון כיצד הוא חשוף למידע שקיים בידי כלל ציבור העובדים/מנהלים ובקרב גורמי חוץ אשר משרתים את ציבור מנהלי/עובדי הארגון.

2.    ערך מוסף נוסף לביצוע סקר סיכונים אבטחת מידע פיזי/לוגי מתבטא בהבנה ברורה ומעמיקה יותר של מנהליו הבכירים של הארגון את הסיכונים השונים. מהם הסיכונים שהארגון חשוף אליהם  ואילו מהם הם אלו שמאיימים בצורה מוחשית על הישרדותו של ארגונם.
 

כיצד מתבצע סקר סיכונים אבטחת מידע פיזי/לוגי הלכה למעשה?
 

שלב מקדים -

שלב שבו למעשה נעשות הכנות מקדימות טרם התייצבות הסוקרים בארגון, כאשר בשלב זה נעשות פעולות רבות ומגוונות דוגמת:
1.    חשיפה לעץ מבנה של הארגון/מנהליו וגורמי תמך חיצוניים להם הוגדרה/קיימת אפשרות ונגישות  מתוקף תפקידם להיחשף למידע רגיש.
2.    חשיפה לאירועי עבר בארגון בהם היה חשש לזליגת מידע.
3.    נהלים ותהליכים שקיימים בארגון.
4.    וכן רשימה ארוכה מאוד של נושאים שעשויים לשפוך אור עוד טרם דרכה רגלם של הסוקרים בארגון.

שלב ביניים - 

שלב שבו מתקיימות פגישות עם בעלי עניין/אינטרס בארגון ויש ברשותם מידע רגיש שעשוי להסב נזקים בלתי הפיכים לארגון ועובדיו, בשלב זה מתקיימים תהליכים  אשר כוללים ראיונות עם בעלי תפקידים שנבחרו להיות מוקדי מידע למימוש הסקר וכן חשיפה לדוחות/נהלים/פרוצדורות וכד' לצד תצפיות גלויות וסמויות אשר משלימות את מרבית פסיפס המידע הנדרש לביצוע סקר אבטחת מידע. המידע הנוסף נאסף במסגרת ניתוח כירורגי של הארגון.
 

נושאים עיקריים שנבחנים במסגרת סקר ביטחון מידע פיזי:
 

מעגל I - אופן בקרת כניסה /ליווי אורחים למחלקות רגישות של הארגון. בחינתם של תהליכי מידור אלקטרונים/אחרים בעת הצורך לעבור מקומה לקומה/ומעבר ממחלקה א' למחלקה ב' מאזור אחסנה, פריקה, ליקוט והעמסה, אזור שמוגדר מחוץ לתחום, בעל קוד ביטחון ע"י חב' שילוח/רשויות נוספות.
מעגל II - אופן השמירה על מידע רגיש בסביבת העבודה עתירת מידע וידע  (משרדים אישיים, חללים פתוחים, חדרי ישיבות).
מעגל III - שמירה על מידע מחוץ לארגון : עבודה מבתי עובדים. קבלת/העברת מידע עם יועצים, ספקים אסטרטגים.
מעגל IV - שמירה על מידע רגיש במסגרת השתתפות בכנסים/נסיעות בארץ/חו"ל וכד'.
מעגל V - תהליכי ניטור ובקרה על 4  המעגלים המוצעים מעלה.

נושאים עיקריים שנבחנים במסגרת סקר ביטחון מידע פיזי לוגי:

מעגל I - בחינת ארכיטקטורת רשת אופטימלית.
מעגל II - ניתוח נושא ההקשחה של מחשבים ומערכות.
מעגל III - גיבוי / התאוששות מווירוסים.
מעגל IV - הצפנה, אישור חיבור מרחוק, שרתי ביניים וכד'.
מעגל V - תהליכי ניטור ובקרה על 4  המעגלים המוצעים מעלה.

שלב סופי - מסירה (סקר) 

ניתן למזמין הסקרים בארגון מסמך מקצועי אשר עיבד ותרגם לתוצרי איכות את כלל המידע אשר נאסף ע"י מבצעי הסקרים. לאחר שהושלם שלב ביניים נאסף המידע הגולמי ומעובד למסמך מקצועי מפורט שעיקרו: 

1 - הצגת תמונת מצב אובייקטיבית על בסיס ממצאי הסקר.
2 - הצבעה על כשלים והמלצות לפתרון.
3 - הצגת מסגרת כללית למימוש המלצות הסקר שתכלול משאבים (הערכה), לוחות זמנים ומתכונת מוצעת.

לסיכום -

אפשר וניתן לבצע רק אחד מן הסקרים הללו ובלבד שלסקר פיזי לא תהיינה השלכות על פעילות מערך המידע הלוגי מחד ומערך אבטחת מידע פיזי במ"מ מאידך.

ביקורת אבטחת מידע - כיצד היא מתבצעת?
מהימנות עובדים - כך תמנע גניבת ידע/סודות