האם יש לכם אבטחת מידע בארגון?

“בטח שיש לנו אבטחת מידע, יש לנו חומת אש ואנטי וירוס, אני סומך על איש המחשבים שלנו ב-100%”

זו התשובה הנפוצה ביותר שאנחנו מקבלים מארגונים לשאלה וזו כמובן, הנחה שגויה.

ריכזנו לכם את הטעויות הנפוצות בנושא אבטחת מידע לעסק.

כמו כן מוזמנים להתעניין במידע רלוונטי נוסף כמו נהלי אבטחת מידע או ייעוץ אבטחת מידע וכדומה .

1 חומת אש (Firewall) ואנטי וירוס

פגיעה בפעילות עסקית כבר שנים ארוכות אפשרית במגוון ערוצים שאינן מוגנים ע”י חומת האש והאנטי וירוס.
בארגונים רבים עובדים היום מהבית שאינו מוגן ע”י חומת האש הארגונית ובמקרים רבים עובדים על מערכות עסקיות ממחשבים וטלפונים פרטיים שאינם מאובטחים כלל.
אבטחת המידע נדרשת ברמת הספקים, כח-האדם, אבטחה פיזית ועוד, כל אלו לא מוגנים ע”י המערכות המקומיות.
כמה דוגמאות להמחשה:

  • העובד התחבר עם המחשב הנייד לרשת אלחוטית בבית הקפה.
  • העובד קיבל מייל פישינג אשר מבקש ממנו להזין הרשאות שנאספות ע”י ההאקר ומשתמשות אותו לגישה למערכות הארגון.
  • מחלקת משאבי אנוש, קיבלה קו”ח נגועים בוירוס Zero Day שאינו מוכר עדיין ע”י מערכות האבטחה.
  • חומת האש לא עודכנה והאקר יושב בסמוך למשרד ופורץ דרך הרשת האלחוטית בקלות.

2 איש המחשבים אחראי לאבטחת המידע בארגון.

טעות, איש המחשבים אחראי לניהול הרשת, הוא לא יבצע הדרכה לעובדים, לא ינהל אירועי אבטחה, לא מכיר את דרישות החוק ואינו מבין את המשמעות העסקית של זליגת מידע או אבדן מידע.
האם איש המחשבים יכול לבקר את עצמו? האם הוא יודה בכל פעם שהוא טעה? ביקורת תמיד חייבת להיות חיצונית.
באופן טבעי אנשי המחשוב עושים ככל יכולתם והבנתם, לא תמיד זה מספיק, ועין מקצועית נוספת הכרחית לבקרה.

3 אבטחת מידע היא חלק משירותי המחשוב

טעות, אבטחת המידע היא שורת תקציב נפרדת, שירותי המחשוב אחראים לתשתיות הארגון ולחלק הטכנולוגי של אבטחת המידע.
שורת התקציב של אבטחת המידע מיועדת לניהול בלבד, בקרות, נהלים, הדרכות, מבדקים וסקרים.

4 המידע שלי לא מעניין אף אחד

אולי אתם צודקים, אבל הכסף שלכם ושל הלקוחות שלכם מאוד מעניין.
צריך להבין שהאקר זו עבודה, מקור פרנסה. ולא משנה מי הקורבן אם זו מרפאה קטנה, משרד של 2 עורכי דין או בית חולים גדול.
כולם חייבים את המערכות שלהם והמידע זמין בכדי לעבוד. כלום חשופים לעבירה פלילית במקרה של זליגת מידע רגיש (תקנות הגנת הפרטיות).
תופעה שכיחה באירועי אבטחה היא פגיעה בארגון דרך הספקים שלו, למה להאקר לפרוץ לארגון שמוגן היטב אם הוא יכול להשיג את המידע דרך רו”ח שלו, או איש המחשוב שלו שיש לו הרשאות וגישה לכל המערכות והמידע?

5 יש לי גיבוי, אני יכול לישון בשקט

גיבוי זה מנגנון שיקום, כלומר אחרי שכבר הארגון נפגע, הושבת, אולי איבד מידע, אולי זלג מידע. הגיבוי הכרחי, אבל אם אתם צריכים להשתמש בו, כנראה שיש בעיה גדולה יותר.
במרבית המקרים שבדקנו מערכות הגיבוי לא עובדות כנדרש, אין מדיניות גיבוי מוסדרת, מערכות מידע רגישות שכלל לא הוגדרו לגיבוי, כמו Office365, Dropbox שרתים וירטואלים בענן, המידע לא נשמר במקום מאובטח.

אבטחת מידע מתחילה במדיניות אבטחת מידע ונהלי אבטחת מידע, אם אין לכם כאלו -אין לכם אבטחת מידע.
נוהל אבטחת מידע מסודר, חייב לרדת לפרטי פרטים של מערך ההגנה, הזיהוי, התגובה והשיקום.
הנוהל יפרט מי אחראי בארגון על כל נושא, איך הוא יבצע את עבודתו, כל כמה זמן, מי מבקר אותו ואיך מציגים זאת להנהלת הארגון.

לקבלת מידע נוסף השאירו פרטים: