אבטחת מידע מתחילה בנוהל!

נהלי אבטחת מידע הם התשתית לפעילות האבטחה, הנהלים נכתבים על בסיס מדיניות אבטחת המידע שאושרה ע”י הנהלת הארגון והם מפרטים את כל התהליכים והבקרות הנדרשים לביצועה.
סיכוני הסייבר מחייבים עבודה רחבה, מדוייקת ועקבית, הקלות לפרוץ למערכות הארגון, להשבית פעילות או לגנוב מידע זמינה באלפי ערוצים שונים, כניסה פיזית למשרדים, פריצה דרך טלפונים חכמים, מחשבים לא מעודכנים או ספקי שירות של הארגון.
“שטח העבודה” של האקר הוא אין סופי, כאשר ידו תמיד על העליונה. נהלי אבטחת המידע יכסו את שלב המניעה, הזיהוי, ניהול האירוע והשיקום.

אפקטיביות הכרחית

RedX כותבת את נהלי אבטחת המידע תוך חשיבה ומחוייבות לאפקטיביות תפעולית. נהלים שאינם נכנסים לשיגרת עבודה לא שווים את הדף עליו הם כתובים.
תהליך הכתיבה מבוסס על ממצאי סקר סיכונים מקדים ומדיניות אבטחת המידע שאושרה ע”י ההנהלה. כתיבת הנוהל מפרטת באופן פשוט וידידותי את תכולת הנהלים באופן מדוייק:

RedX אינה כותבת נוהל של 100 עמודים שיכנס למגירה, אנחנו שותפים לתהליך ולוקחים אחריות לבניית נוהל הניתן ליישום בארגון. נוהל אשר מקדם באופן משמעותי את האבטחה בארגון ויעמוד בכל מבדקי פנים וחוץ הנדרשים

תכולת נהלי אבטחת מידע

נהלי אבטחת מידע חייבים להיות מותאמים באופן מדוייק לכל ארגון, לא מדובר בתבנית אשר עוברת מלקוח ללקוח, אלא במסמך אשר נדרש לספק מענה להגנה אפקטיבית. נוהל של משרד עו”ד שונה מנוהל של מפעל ייצור או מוקד שירות של חברת תקשורת. הנוהל יהיה שונה בהתאמה לגודל הארגון, התקציבים, הסיכונים, ספקי החוץ, פריסה של הארגון, סוג הלקוחות ועוד.

מתודולוגיה בסיסית לבניית נוהל אבטחת מידע

  • בעלי תפקיד ותחומי אחריות
  • הגדרת משימות ותהליכים בכיסוי מלא.
    • מי אחראי לביצוע הנוהל?
    • כל כמה זמן צריך לבצע את הנוהל?
    • איך נדרש לבצע?
    • על מה חל הנוהל?
    • על מי חל הנוהל?
    • כל כמה זמן נדרש לרענן את הנוהל?
    • איך תבוצע ביקורת ליישום הנוהל?
    • מי אחראי לבצע את הביקורת?
  • הנוהל יפרט את כל ערוצי החשיפה הרלוונטים בארגון
    • ניהול וארגון אבטחת מידע
    • ניהול נכסים
    • משאבי אנוש
    • אבטחה פיזית
    • אבטחת תשתיות
    • בקרות גישה
    • ניהול אירועי אבטחה
    • הגנת פרטיות ושמירת סודיות
  • הנוהל יעודכן מידי תקופה בהתאם לאירועי אבטחה בארגון, איומי סייבר עדכניים, ודרישות חוק ורגולציה חדשות.