אלי שלמה

הערכת סיכונים בשירות Office 365

by · 08/11/2018

אחד האתגרים הגדולים במעבר לשירותי הענן הוא אבטחת מידע.

בניהול נכון של טרנספורמציה דיגיטלית ישנם עלויות למרכיבים השונים כגון: מיגרציה, יישומים, בקרות והערכת סיכונים. אם נקח למשל את עלויות היישום אז יחסית קל לאמוד את העלויות כי כבר מראש ידועים לנו כל אותם מרכיבים בתוך אותם עלויות, כגון: רישוי, יישום, כח אדם וכן משאבים נוספים.

בנוסף לכל המרכיבים והגורמים במעבר לענן ישנו מרכיב חשוב מאד והוא אבטחת מידע והדגש הוא על Cloud Security, ולכן הניהול של אבטחת מידע בטרנספורמציה דיגיטלית הוא אולי אחד המרכיבים העיקרים.
ניהול נכון של אבטחת מידע בענן מורכב מכמה גורמים כאשר אחד מאותם גורמים הוא הערכת סיכונים (Risk Assessment), ולכן אנו מחויבים להתייחס למרכיב של ניהול סיכונים בכובד ראש בגלל משמעויות ואפקט ארגוני.

הערכת סיכונים מורכבת משני גורמים מרכזיים:

  • נזק ארגוני – נזק שעלול להיגרם מאובדן מידע ונכסים רגישים, פגישה באמינות הנתונים והארגון, נזק כלכלי ישיר ועקיף.
  • הסתברות – אירוע אבטחת מידע עלול להתרחש בארגון במועד כלשהוא

בשני הגורמים מדובר על נוסחה שאי אפשר לאמוד בדרך כלשהיא, אך תמיד אפשר להעריך באופן קיצוני את עוצמת הנזק וההשלכות שעלולות להשפיע על הארגון.

הערכת סיכונים – אבטחת מידע בענן

ניהול והערכת סיכונים באבטחת מידע בענן של הארגון כוללת בדיקות שונות בין היתר נכסים רגישים של הארגון, דלגציה וחלוקת הרשאות, התאמת צורכי אבטחת מידע לארגון, אכיפת מדיניות ארגונית וכן הלאה. הצורך בניהול סיכוני אבטחת מידע מבוסס על האופן שבו הוא פועל החל מהכרת ההנהלה בחיוניותן של מערכות אבטחת המידע, איומי חדירה למערכות המידע והבנת הצורך בהקצאת משאבים לניהול סיכונים.

הערכת סיכוני אבטחת מידע הוא תחום רחב המקיף נושאים רבים, כגון: מיפוי מצב קיים, ניתוח נתונים, בדיקות יישום תהליכי הגנה על מידע, תכנון נהלי אבטחת מידע והכל צריך להיעשות במקביל ובתיאום עם הפעילויות הקיימות בארגון.

ניהול והערכת סיכונים של אבטחת מידע בענן מאפשרת לארגון היערכות אפקטיבית מפני איומים וסיכונים, הקטנת שטח התקיפה, הבטחת שלמות וזמינות המידע וע”י כך מתאפשרת הגנה מירבית על מערכות המידע בענן של החברה ועל מידע הקשור לגורמים מחוץ לחברה, דבר אשר גורם לאפקט ויצירת תדמית חיובית.

Cloud Risk Assessment

מהו Cloud Risk Assessment? תוצר Cloud Risk Assessment הינו תוצר להערכת סיכונים של שירותי הענן המבוססים על Office 365.

התוצר Cloud Risk Assessment לשירות Office 365 מספק לארגון הערכה לגבי הסיכונים הקיימים בשירות Office 365 וע”י כך נותן מענה לגבי הסיכונים הקיימים בארגון והדרכים להתמודד עמם ע”י ביצוע פעולות מותאמות.

התוצר של Cloud Risk Assessment נחלק למספר נקודות עיקריות:

  • הערכה (Assessment) – בשלב זה מתבצע מיפוי וסריקה של שירותי הענן הקיימים בשירות Office 365 וכן תפקידים ורכיבים שונים הקשורים לשירות Office 365.
  • זיהוי (Identify) – בשלב זה ועל סמך המיפוי מתבצע זיהוי של סיכונים, איומים וחולשות אשר יכולים להשפיע על הארגון בטווח המיידי ובטווח הרחוק.
  • תוכנית לסידור הממצאים (Remediation Plan) – בשלב זה יוצרים את התוכנית לסידור כל אותם ממצאים שעלו במיפוי ונמצאו כשמפיעים על הארגון.

אפשרויות בתוצר

  • התוצר בנוי מכלים שונים המבצעים מיפוי ובדיקה על שירותי הענן בשירות Office365 החל משירות Exchange Online, Skype for Business, Teams, SharePoint Online וכן הלאה.
  • המיפוי נעשה מול תפקידים ורכיבים הקשורים לשירות Office365 כדוגמת AAD Connect.
  • בנוסף לכך מתבצעת בדיקה ידנית נוספת מול שירות Office 365 על רכיבים שונים במטרה לוודא את אופן העבודה והשימוש בשירות.
  • בסיום המיפוי מופק דוח טכני לפי קטגוריות שונות החל מסיכון קריטי ועד סיכון בעל השפעה נמוכה.
  • בנוסף לדוח טכני מופק דוח מנהלים שמאפשר הצגת הסיכונים בדרג הניהולי.
  • היישום נעשה לפי המלצות (Best Practices) של Microsoft.

תועלות

  • מבוצע מרחוק ללא הפרעה לפעילות הארגונית
  • דוחות (טכניים וניהוליים) מופקים תוך זמן קצר
  • מבט על ונקודתי על הסיכונים בשירות Office365
  • מספק תכנון ומענה לרובדי אבטחת מידע שונים בשירות Office365

הערה: תוצר הערכת סיכונים לשירות Office365 אינו מחליף או מספק Penetration Test

Tags:

You may also like...

השאר תגובה