אלי שלמה

עוד יום של סייבר בענן

דגשים לביקורת אבטחת מידע וסייבר

by · 17/03/2019

כיום תחום אבטחת מידע וסייבר מכיל מתודולוגיות שונות לשמירה על המידע כאשר רובן מסתמך על אותן עקרונות, ולכן כל ארגון באשר הוא עם מידע רגיש יותר או פחות צריך לשמור על הנכסים הנמצאים ברשותו.

ואגב מהו ההבדל בין אבטחת מידע והגנת סייבר? למרות שישנם סברות שונות אפשר לומר באופן כללי כי סיכוני סייבר מתממשים חדשות לבקרים, ולכן ארגונים נדרשים להיערך לסיכונים מידי יום.

הגנת סייבר היא למעשה שינוי אבולוציוני של תחום אבטחת המידע, כאשר בעידן הסייבר ניכרת עלייה חדה ב:

  • מספר התוקפים
  • רמת התחכום של התוקפים
  • איכות התקיפה
  • כמות המטרות לתקיפה

ביקורת אבטחת מידע אינה חדשה כלל אך בעקבות השינויים בתחום הסייבר קיבלה תפנית מעניינת ולכן חשוב להדגיש כי ישנם הבדלים רבים בין ביקורת אבטחת מידע קלאסית, סקרי סיכונים וניהול סיכוני אבטחת מידע ארגוני.

מאמר זה הינו מאמר קצר וחלק מתוך ממאמר נרחב ומפורט (ביקורת אבטחת מידע וסייבר) לגבי ביקורות, סיכונים ומדיניוצ ארגונית.

ביקורת אבטחת מידע וסייבר

בארגונים רבים ביקורת אבטחת מידע היא ביקורת נפוצה וחשוב להבדיל מפעילות של סקרי סיכונים, ומעת לעת ארגונים מבצעים ביקורת אבטחת מידע בכדי לוודא שמירה על סטנדרטים שמטרתם לשקף את מצב אבטחת המידע להנהלה.

בעבר נעשה שימוש בביקורות אלה כמדד יחיד לרמת אבטחת המידע, אך כיום נעשים לצד הביקורות גם סקרי סיכונים, ניהול סיכונים ועוד פעילויות נוספות במטרה לתת תמונה כללית לגבי אבטחת המידע הארגונית.

בדרך כלל כאשר מבצעים ביקורות אבטחת מידע יש להתחשב סיכונים שאמורים לפגוע בארגון במידה ויהיה תרחיש אשר יגרום לנזק ומידע רגיש יזלוג מחוץ ארגון.

הסיכונים השונים של ביקורת אבטחת מידע נחלקים למספר קטגוריות, קריטריונים ופרמטרים, אלה הם הבולטים שבהם:

סיכון פנימי – שימוש בכוונה תחילה של מידע ארגוני כלשהוא בין אם מידע רגיש או מידע כללי ע"י עובדי הארגון או קבלני משנה במטרה לגרום לנזק כלשהוא (תדמיתי, כלכלי וכן הלאה).

סיכון חיצוני – סיכון חיצוני אשר נגרם כתוצאה מתוך גישה חיצונית אל הארגון ע"י מנגנונים שונים כדוגמת VPN, גישה ישירה למשאבים, גישה ממקומות שאינם מורשים וע"י כך חושפים את המידע הארגוני לרשת חיצונית וללא הגנות כלשהן.

סיכון טכנולוגי – סיכון אשר נובע מהגדרה לא נכונה במוצר או באג כלשהוא במוצר, המוצר יכול להיות מוצר בסיבה המקומית אשר מבצע הגנה או כל אפליקציה ארגונית אשר נמצא בענן.

מכיוון שהסיכונים מתחוכמים, בעלי עוצמה ובעלי השלכות ארגוניות חייבת להיות התייחסות לרובדים שונים במסגרת הביקורת.

  • רובד האסטרטגי – מעורבות דירקטוריון והנהלה, לרבות קביעת מדיניות ניהול סיכוני סייבר, הקצאת משאבים, קבלת דיווחים שוטפים, דיווח בועדת הביקורת של הדירקטוריון.
  • רובד התפעולי – גיבוש מפת איומי סייבר רלוונטית לארגון, יישום נהלי אבטחת מידע, המלצה על בקרות שיסייעו בצמצום סיכונים עסקיים הנובעים מאיומי סייבר.

באילו שלבים ניתן לקיים את הביקורת

קיימים מספר סוגי ביקורות אבטחת מידע וסייבר:

  • בעקבות אירוע אבטחה ארגוני (גם כאשר אין נזק ארגוני)
  • ביקורות יזומות שמתקיימות ע"פ החלטת הנהלה
  • בעקבות הערכת סיכוני סייבר (יכול להיות גם הפוך)
  • ביקורות רנדומליות אשר מתקיימות לפי דרישה של לקוחות (לפי מדיניות מוגדרת)
  • ביקורות קבועות שמתקיימות מתוקף רגולציה

דרישות לעמידה של ביקורת ארגונית

ביוקרת ארגונית מצריכה דרישות שונות בין הארגון לקבלני משנה, בין היתר:

  • הצהרת סודיות – הארגון מול קבלני משנה
  • קבלני משנה – סוג השימוש בקבלני משנה, אופן פיקוח ובקרה, חשיפה למידע רגיש
  • ניהול מערך הסייבר –  מי אחראי, מי מנהל, נהלים מתאימים לנושא אבטחת המידע
  • מהימנות עובדים

מה התוצאות של ביקורת אבטחת מידע וסייבר

בדומה (מאוד) להערכת סיכוני סייבר או סקר סיכונים סייבר יתקבלו ממצאים שונים, בין היתר:

Governanceמעורבות הנהלה בכירה במניעת אירועי סייבר בארגון. במסגרת זאת, ההנהלה הבכירה סוקרת באופן תקופתי את המדיניות וההערכות בנושא אירועי סייבר, ולצד זאת קיימת מעורבות של הדרגים הניהוליים של יחידת טכנולוגיות המידע והיחידות העסקיות בהחלטות העקרוניות המתקבלות בנוגע למניעת מתקפה סייבר ובאופן המענה למתקפה.

מעורבות גורמים שונים במניעת אירועי סייבר – לגורמים העסקיים השונים ישנו תפקיד חשוב בהקטנת הסבירות להתממשות אירועי סייבר, זאת באמצעות ביצוע התהליכים הבאים:

  • ניהול סיכונים – על היחידות העסקיות לזהות את הסיכונים והפגיעויות הקיימים בתחום פעילותן, על ידי ביצוע סקר השלכות עסקיות על בסיס קבוע.
  • סיווג מידע – מתבצע בכל רחבי הארגון על בסיסי תבנית לסיווג מידע ובהתאם לקריטיות וחשיבות המידע, בדגש על מידע שיכול להוות מטרה לפשיעת סייבר.
  • תקשור עם יחידות עסקיות בנוגע לפשיעת סייבר – גורמי ניהול של יחידת טכנולוגיות המידע והיחידות העסקיות מקבלים עדכונים עתיים מיחידת אבטחת המידע.
  • כרייה וניתוח של מידע – מבוצעים במטרה לזהות תקיפות סייבר, ומשתכללים באופן רציף על ידי היחידות העסקיות.

ניהול טכנולוגיות המידע – בהיבטי איום הסייבר, קטגוריה זו מצריכה התייחסות למספר דגשים, החל מאבטחת התשתיות אשר כולל בחינת אופן ניהול תשתיות המחשוב, כולל ניהול תצורה, ניטור פעיל ודיווח על אירועי אבטחה

מדיניות ארגונית לניהול אירועי סייבר – מדיניות ניהול משבר צריכה לכלול ולהתבסס על סקר סיכונים ומיפוי של כל נכסי המידע הקשורים לרשת הארגונית. בנוסף, יש להקפיד על פעילות אפקטיבית של צוות תגובה לאירועי אבטחת מידע וסייבר, ערוצי דיווח יעילים ותחקור של אירועי סייבר.

צוות התמודדות עם אירועי סייבר – צוות זה הוא אחד החלקים המשמעותייםם בטיפול אירועי אבטחת מידע וסייבר במשך כל שלביהם  החל מניתוח הנתונים הרלוונטיים, קביעת אופי האירוע והשלכותיו. צוות זה חייב לבצע תרגולים קבועים, נקיטת צעדי מניעה שונים להפחתת הסיכונים, לעבוד עם כלים טכנולוגיים המתאימים.

מודעות עובדים – יש להגביר את מודעות העובדים לצורך בזיהוי אירועים חריגים העלולים להוות אינדיקציה לאירוע אבטחת מידע וסייבר, ולהגדיר עבורם ערוצי דיווח.

לסיכום

ישנם מבצים בהם הארגון נדרש לבצע ביקורת אבטחת מידע וסייבר וישנם מצבים בהם אין כלל דרישה, אך בתקופה בה הסייבר בהאצה מומלץ לבצע ביקורת או הערכת סיכוני סייבר במטרה לשקף את הסיכונים הקיימים ובכדי להקטין את בעיות הסייבר הקיימות.

Tags:

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *