למה לבצע סקר סיכוני סייבר

סקר סיכוני סייבר כולל מיפוי נכסי החברה וסיווגם לפי רמת הערכיות של יעדי ההגנה. המיפוי כולל מערכות מידע, תשתיות טכנולוגיות, תהליכי עבודה ומאגרי מידע.
מטרת הסקר לעזור לתהליך קבלת ההחלטות בארגון סדרי העדיפות והקצאת המשאבים להגנה על נכסי המידע שלו. ממצאי הסקר חיוניים להשלמת ההגנה על מערכות המידע בארגון בהתאם לרמה החומרה והסבירות. כמובן כל זאת בהתאם לאיומי הייחוס הרלוונטיים לאותו הארגון. ישנם מקרים בהם מופעל מערך SIEM SOC לניטור תקיפות ומימוש תהליכי הגנה בפועל. שירות זה יכול להיות על בסיס משאבי הארגון או משאבים חיצוניים, ניתן לקבלו אצלנו ב  RedX .

תכולת סקר סיכוני סייבר

אבטחת המידע נדרשת לשמירה על סודיות המידע, זמינות המידע ושלמותו.
RedX עובדת לפי מתודולוגיית מטה הסייבר הישראלי עם התאמות הנדרשות לכל ארגון בהתאם לגודלו, אופיו, פריסתו הגיאוגרפית, דרישות הרגולציה, האיומים והחשיפות הרלוונטים.

תכולת הסקר משתנה בהתאם ללקוח ועשויה לכלול:

  • מיפוי מערכות המידע
  • מיפוי תשתיות טכנולוגיות
  • מיפוי תהליכים בארגון
  • מיפוי מאגרי מידע
  • ראיונות עם אנשי מפתח
  • מבדקי חדירה
  • סריקת מערכות לזיהוי חולשות ברשת
  • בקרת ספקים
  • בקרת יישום נהלי אבטחת המידע של הארגון ועוד.

בסיום הסקר יופק דו”ח הנהלה המשקף להנהלת הארגון את המצב הקיים. דו”ח סקר סיכוני סייבר בארגון חייב להיות מסמך מנחה לביצוע פעולות אקטיביות.
הדו”ח יפרט את הממצאים ורמת הסיכון המבוססת על הסבירות מול הנזק של כל חשיפה כמו גם המלצות לתיקון הליקויים על פי תעדוף.

שאלות נפוצות עבור סקר סיכוני סייבר:

  • מתי נדרש לבצע סקר סיכונים?
    מקובל לבצע סקר סיכונים אחת ל-12 חודשים. התדירות עשויה להשתנות בהתאם לסוג הארגון, סוג המידע ודרישות רגולציה.
  • כמה עולה סקר סיכונים?
    מחירי השוק לעסקים קטנים ובינוניים נעים לרוב סביב ה-10,000 ש”ח. המחיר יכול להשתנות בהתאם לתכולת הסקר, מספר מערכות המידע בארגון, מספר המחלקות וכו’..
    ארגונים גדולים, לרוב יבצעו סקרי סיכונים ממוקדים למחלקות ואפילו למערכות.
    בארגונים קטנים RedX מיישמת פתרון משולב הכולל סל שירותים רזה ומוגבל שמתאים לעסקים קטנים.
  • מהו משך התהליך?
    סקר סיכונים ממוצע אורך כ-3 שבועות. עיכוב או זירוז תהליכים תלוי לרוב בשיתוף הפעולה מצד הארגון.
  • האם החוק מחייב ביצוע סקר סיכונים?
    ארגונים המחזיקים במאגרי מידע שחלה עליהם רמת האבטחה הגבוהה, מחוייבים בביצוע סקר סיכונים אחת ל-18 חודשים לכל הפחות (תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-20175 ג)
  • האם יש מספר סוגים של סקרי סיכונים?
    כן, ישנם סקרי סיכונים ייעודיים לדרישות תקינה או רגולציה, סקרים לביקורות פנים או לקראת ביקורות חוץ, סקרים ממוקדים למחלקה/ תשתיות או מערכות.

פרט לכך אצלנו ב RedX תוכלו להנות משירותי גיבוי ענן לעסקים בצורה מאובטחת ומקצועית. שירות מקצה לקצה מול אפיון הדרישות הרלוונטיות לארגון. כיום אחסון וגיבוי בענן הפך להיות צורך בסיסי לכל ארגון, אין זאת שאלה של האם אלא שאלה של מתי. נשמח ללוות אותכם בתהליך העלאת המידע לענן ולהסביר מדוע הדבר נכון עבורכם.

מתודולוגיית עבודה עבור סקר סיכוני סייבר

אנו עובדים לפי מתודולוגיה סדורה שבה מוכשרים ופועלים היועצים השונים.

זאת על מנת לספק ייעץ בתחומי המיפוי הגנת נכסיו הדיגיטליים של הארגון.

היועצים שאנו מספקים הם מומחים בתחום אבטח המידע וכל הקשור בניהול הסיכונים בנושא.

ליועצים הללו היכרות מעמיקה עם תקני אבטחת המידע והסייבר הרלוונטיים בעולם ההגנה.

לצד אכיפת נהלי העבודה מול התקנים הללו, ישנן גם המלצות וצעדים מקובלים בעולם ההגנה.

יש לנו אמונה שלמה כי שימוש סדור במתודולוגיה שבחנו ויישמנו בהצלחה בעבר, יצליחו גם בעתיד.

כמובן שאנו נוהגים לרענן ולתקף את המתודולוגיה בהתאם למציאות המשתנה, האיומים והעדכונים בתחום.

הצוות שאנו נשבץ לפרוייקט ישאף להבנה רחבה של הארגון וביצוע עבודה שורשית מצד אחד, אך כמה שפחות להפריע לתפקודו השוטף מצד שני.

שיטת העבודה עבור סקר סיכוני סייבר

באופן כללי השיטה יכולה להיות דימית ומשתנה בהתאם לפרוייקט והארגון, אך ישנה תבנית יחסית עקרונית.

  1. ראיונות עם פונקציות רלוונטיות ובעלות אחריות בארגון.
  2. מעבר על מסמכי תיעוד םנימיים של הארגון בהקשר התנהלות בתחום אבטחת המידע.
  3. מיפוי מערכות המידע הרקטיות על ידי תשאול האחראים על המערכות. לעיתים ייתכן גם מיפוי בעזרת כלים אוטומטיים.
  4. בדיקה בתחומי הארגון בהם עשויים להיווצר סיכונים הרלוונטיים להערכת המצב.

ההתייחסות בסקר סיכוני הסייבר תהיה הין היתר עבור הנושאים:

  1. פירוט וניתוח תשתיות התקשרות הפנימיות וכן החוצה.
  2. בחינת נהלי ושגרת אבטחת המידע בארגון.
  3. אפיון ובדיקה של תהליכי השמירה על מאגרי המידע, בהקשר לדרישות בחוק.
  4. סיכומי ראיונות שונים שהתקיימו על הגורמים בארגון.
  5. התייחסות למודעות העובדים בארגון לכל הקשור לשגרת אבטחת המידע.
  6. בדיקת אופן השימוש המאובטח במערכות המידע בארגון.
  7. בדיקה ובחינת של נקודות הרשת כמו השרתים, עמדות הקצה ורכיבים אחרים המתקשרים עם מערכות המידע.

תוצר סקר סיכוני סייבר

בסיום העבודה צוות המומחים יפיק דו”ח מסודר אשר יכיל את הממצאים הרלוונטיים.

כלל הממצאים נאספו במהלך הבדיקות ולצידם יהיו המלצות ראשוניות ופרקטיות לתיקון הכשלים.

חלק מן ההמלצות יכולות להיות מטופלות מיידית, וחלקן ידרשו עבודה מעמיקה יותר ולאורך זמן.

ייתכנו מצבים בהם תדרש גם בדיקת עומק נוספת עבור מידע והבנה טובה יותר.

הדו”ח יורכב בחלקו הראשון מקציר מנהלים ענייני אשר יאפשר לספק תמונת מצב ושורות תחתונות גם עבור אלו אשר אינם בקיאים בתוכן המקצועי.

כלל הממצאים יקוטלגו על פי רמת הסיכון וסבירות למימושם אל מול האיומים הרלוונטיים לארגון.

כמו כן לצידם יוצגו חומרות מימוש הסיכונים, כלומר הנזק היכול להיווצר.

תוצר סקר סיכוני סייבר הוא משמעותי ולמעשה מהווה חלק מהפעילות הבסיסית הראשונה שנדרש לבצע עבור תהליך שגרת הגנה בארגון.

תמונת המצב שתתקבל לאור הסקר תציג את הסיכונים הקונקרטיים לתשתיות המידע בארגון.

ההמלצות למימוש מן הסקר חייבות להילקח ברצינות הראויה.