אבטחת מידע

אבטחת מידע – כך מתחילים (מעודכן דצמבר 2020)

מי אחראי לאבטחת המידע? 

האחריות היא בראש ובראשונה על הנהלת הארגון!. לא איש המחשבים וגם לא מנהל אבטחת המידע בארגון.
מדריך זה מיועד לסייע להנהלת הארגון להבין את יסודות והתהליכים הנדרשים ליישום אבטחת מידע בעסק.
כיצד מתמודדים באופן מידתי עם איומי הסייבר ודרישות הרגולציה בהתאמה לגודל הארגון ואופי פעילותו.

חודש דצמבר 2020 שינה את עולם אבטחת המידע מקצה לקצה. אירוע האבטחה בחברת הביטוח שירביט הוא אולי משמעותי לנושא המודעות בישראל,אך כמותו יש עוד רבים שפשוט לא היו בחזית התקשורת.
שרשרת אירועי האבטחה של מתקפות אירניות על עשרות ארגונים בישראל ומתקפה עולמים על ארגונים דרך מערכות Solarwinds, חברה מובילה לניהול רשתות מחשוב (שרשרת אספקה), גרמה לפגיעת שרשרת למול מאות ארגונים מהגדולים והמאובטחים בעולם, כולל חברת מיקרוסופט, משרד האנרגיה האמריקאי, חברת האבטחה סייבראיי ורבים נוספים.

הטעויות הנפוצות

האחריות על אנשי המחשוב
אנשי המחשוב הם הזרוע המבצעת ושותפים חשובים ליישום אבטחת המידע, הם לא יכולים לבקר את עצמם (ניגוד עניינים), הם לא מכירים את החוק או את המשמעויות העסקיות במקרה של השבתה או זליגת מידע.
האחריות לאבטחת המידע היא אך ורק על הנהלת הארגון, היא זו שמחוייבת לקבל החלטות, להקצות משאבים ולהגדיר בקרות.

אבטחת מידע מושגת באמצעות הטכנולוגיה
הטכנולוגיה היא רכיב חשוב אך מספקת כיסוי חלקי. מעל ל-90% מאירועי הסייבר מבוצעים באמצעות ניצול חולשות של הגורם האנושי (עובדים/ ספקים/ משתמשים), קידום מודעות עובדים, תהליכים ובקרות הם רכיבים קריטים לאבטחת המידע.

האחריות על הספק
יש לכם שרתים באמזון? דואר בOffice365? אתר אינטרנט?
כברירת מחדל שירותי הענן מגיעים לרוב עם אבטחה בסיסית, האחריות של הארגון להגדיר את דרישות האבטחה וליישמן. הדוגמה הנפוצה ביותר היא שירותי הדואר של Office365 וגוגל שמגיעים ללא גיבוי.

המידע שלי לא מעניין אף אחד
המידע אולי לא מעניין אף אחד, אך מרבית המתקפות מבוצעות ע”י כלים אוטומטיים שיודעים לאתר חולשות במערכת ולנצלן למטרות שונות: סחיטה, שימוש במשאבים, גניבת מידע ומכירתו, פגיעה מסיבות פוליטיות או מסחריות.
בחלק מהמקרים המתקפה מיועדת לפגוע בלקוחות או ספקים, אתם רק דלת הכניסה.

למה צריך אבטחת מידע?

אולי זו נשמעת שאלה מטופשת, אך אבטחת-מידע היא הרבה מעבר לטכנולוגיה או זליגת מידע. 
אבטחת מידע והגנת סייבר היא חלק קריטי באסטרטגיית ניהול העסק. מי שמאמין שהוא לא צריך אבטחת מידע, או שהארגון שלו לא מהווה מטרה כנראה שהוא חי בעולם דמיוני.
אירועי סייבר הם שגרה ואבטחת המידע לא עוסקת רק במניעה, אלא גם בניהול אירועי סייבר, מתוך ההבנה שכל הארגונים נפגעים. השאלה היא לא האם אלא מתי הארגון יפגע.
ההנהלה מחויבת להגנה על נכסי הארגון, לציות לחוקי הגנת הפרטיות, לדרישות הרגולציה ולעמידה במחויבויות כלפי לקוחות, שותפים והנהלת הארגון.
אבטחת מידע דורשת נהלים בנושא משאבי אנוש, כספים, ספקים ולקוחות, אבטחה פיזית ולוגית, בקרות ועוד. הימים שחומת אש ואנטי וירוס הספיקו לשמור על הארגון עברו לפני שנים רבות.

ניהול אבטחת מידע – מבוא

אבטחת המידע נדרשת להגן על שלושה יעדים:
סודיות המידע (Confidentiality)
הגבלת גישה או חשיפה לגורם שאינו מורשה.
לדוגמה: למנוע זליגת מידע רגיש כמו פרטי לקוחות, סודות מסחריים, הרשאות גישה ע”י עובד, ספק או האקר שמנצל חולשות אבטחה.

אמינות/ שלמות המידע (Integrity)
הגנה מפני שינוי זדוני או השמדת המידע, כולל הבטחת אמינות המידע.
לדוגמה: הגנה בפני וירוס כופר, הגנה בפני עדכוני מידע ע”י גורמי פנים או חוץ שאינם מורשים.

זמינות המידע (Availability)
הבטחת זמינות ויעילות הגישה למידע בכל זמן נתון.
לדוגמה: עומס על שרתים המספקים שירות ללקוחות שיגרום לקריסתם.

המחשה של אירועי סייבר
המתקפה הנפוצה ביותר היא וירוס כופר (ransomware) אשר פוגעת קודם כל בזמינות המידע (המערכות מוצפנות והארגון לא יכול לתפקד. אם לארגון אין מערכות אמינות המאפשרות שיקום, מדובר על פגיעה בשלמות המידע לעיתים, אם התוקף הצליח לגשת למידע זו כבר פגיעה בסודיות המידע.

בחודש יולי 2020, הותקפה חברת Garmin האמריקאית המייצרת מערכות GPS ומערכות ניווט וניטור (שעוני ספורט), החברה נפגעה מוירוס כופר אשר השבית את מערכות החברה לימים ארוכים ונדרשה ע”י התוקף לשלם 10 מיליון דולר.

סטטוס מצב הקיים

במרבית המקרים מבקש הארגון בתחילת הדרך לדעת האם הוא מאובטח? האם המערכות מוגנות? ניתן לבצע סקר אבטחה שישקף את המצב הקיים. אך מומלץ לבצע זאת באופן מסודר כחלק משגרת אבטחת מידע ולאחר כתיבת הנהלים.
סקר אבטחה לארגון ללא נהלים, לא יכול לבדוק האם הארגון מיישם את החלטות ההנהלה.

איך מתחילים? שלב אחר שלב

ניהול אבטחת מידע מתחיל בהכרה של הנהלת הארגון כי אבטחת-מידע היא חלק קריטי לפעילות הארגון. מנהל אבטחת המידע חייב לעבוד יחד עם חברי ההנהלה, לשקף להם את החשיפות והסיכונים השונים ולהציע את הפתרונות המתאימות להתמודדות עם איומי הסייבר השונים. 

שלב 1: הערכת סיכונים

מטרות העל של תהליך ניהול סיכוני סייבר הן הפחתת הסבירות לפגיעה בתהליכים העסקיים ובמידע של הארגון כתוצאה מהתממשות סיכונים אשר מקורם במרחב הסייבר, וצמצום ההשפעה עליהם, במקרה שהתממשו סיכונים אלו.
1. זיהוי של סיכוני הסייבר העלולים לפגוע בהשגת היעדים העסקיים;
2. הערכה של רמת הסיכון תוך שקלול מרכיבי עוצמה וסבירות;
3. הערכת אפקטיביות סביבת הבקרה של מערכות המידע התומכות בתהליכים עסקיים;
4. הצגה בפני הנהלת הארגון תמונת מצב עדכנית לשם קבלת החלטות.

שלב 2: מדיניות ונהלי אבטחת מידע

כתיבת נהלים אפקטיבית (לא חוברת שתכנס למגירה חשוכה) הכרחית לארגון שבוחר להתייחס לאבטחת מידע באופן רציני.
הגדרת משימות ותהליכים בכיסוי מלא, כל נוהל חייב להכיל 4 תשובות:
– מי (Who); לדוגמה: מנהל משאבי אנוש.
– מה (What); לדוגמה: החתמה של העובד על נוהל שימוש במערכות המחשוב.
– מתי (When); לדוגמה: בעת גיוס עובד חדש ומידי 24 חודשים.
– למה (Why); לדוגמה: בכדי להבטיח את מודעות העובדים לשמירה והגנה על מערכות המחשוב.

הנוהל יפרט את כל ערוצי החשיפה הרלוונטים בארגון (רשימה חלקית):
– ניהול וארגון אבטחת מידע
– ניהול נכסים
– משאבי אנוש
– אבטחה פיזית
– IOT/IIOT
– אבטחת תשתיות
– בקרות גישה
– ניהול אירועי אבטחה
– הגנת פרטיות ושמירת סודיות

שלב 3: ניהול אבטחת מידע כשיגרה

נהלי אבטחת המידע יקבעו את נפח העבודה והעלויות הנלוות.
ניהול כשיגרה ניתן לביצוע ע”י מנהל אבטחה פנימי או חיצוני (Ciso as a Service) בהתאם לצרכים והחלטת הארגון.
שגרת האבטחה תכלול מבדקים וסקרים תקופתיים, ביצוע בקרות של יישום הנהלים, ניהול אירועי סייבר ושיפור מתמיד של מערך האבטחה.

מסגרת תקציב לאבטחת מידע

כמה נדרש הארגון להשקיע באבטחת מידע? מסגרת התקציב המקובלת נעה בין 0.4% ל-2% מהכנסות הארגון, או 15-20% מתקציב הIT.
אבטחת-מידע בולעת כל תקציב שיוגדר ולכן מסגרת הפעולה תוגבל בהתאם למסגרת, אין אבטחת מידע מושלמת אלא מיטבית בהתאם למגבלות השונות.
מי שמבטיח פתרון של 100% הגנה הוא כנראה איש מכירות ולא איש אבטחת מידע. 

השורה התחתונה

אבטחת מידע היא לא פרוייקט חד פעמי ולא פעילות שאנשי המחשוב יכולים לבצע. מדובר על שיגרה בארגון המחייבת שיתוף פעולה של כל העובדים להגנה על נכסי החברה. נהלי אבטחת מידע הם היסודות ויש חשיבות קריטית ליצירה של מערך נהלים אפקטיבי שמוביל את כל הגורמים הרלוונטים לתהליכי עבודה נכונים.
ארגון שזורק את האחריות של אבטחת המידע על מנהל הרשת, בוחר לצאת ידי חובה ולא להגן כל נכסי הארגון.
אבטחת מידע אפקטיבית מנוהלת ע”י ה-CISO (מנהל אבטחת המידע) שחייב לקבל תקציבים וסמכויות בכדי ליישם את ההגנה המתאימה ביותר לארגון.


    בדוק גם

    משרד חכם

    משרד חכם

    המשרד החכם מבוסס על שירותי ענן. השירות מספק מענה מקיף לכל דרישות הארגון על תשתיות …