איך לכתוב תקנות אבטחת מידע לארגון שלכם?
מחשוב מביא אתו דאגות אבטחת מידע צפויות ומובנות שיש לפתור כבר מהרגע הראשון עם נהלי אבטחת מידע בארגון על מנת למנוע פריצות וגניבת מידע ושיבושים שונים בזדון. זה הבסיס של כל שירות ייעוץ ואבטחת מידע סייבר שבודק את הארגון שלכם ומאבטח את המידע שלכם ברמה הארגונית. כדי להצליח בשמירת הבטיחות של ארגון ולהבהיר לעובדים עד כמה זה חשוב, מומלץ גם להנחיל להם ידע והיכרות עם אבטחת מידע בכלל גם במכשירים האישיים שלהם כדי שיפנימו ויבינו עד כמה כל ארגון יכול להיות פגיע לפריצות מידע זדוניות בשיטות שונות. העיקרון החשוב ביותר שחשוב להבהיר לאנשים הוא שכל נוהל אבטחת מידע בארגון הוא מורכב מאשר אי פעם משום שגם המחשוב עצמו הסתעף והוא מורכב היום גם ממאגרי מידע מורכבים יותר. ניהול אבטחת מידע של מחשוב ענן ושמירת מידע בענן ועוד פונקציות שעוזרות לנו להתייעל בעבודה כיום חיוני משום שהם גם חושפים אותנו לפגיעות רבה יותר.
תקנות אבטחת מידע מתחילות במודעות של העובדים כמשתמשים
תקנות אבטחת מידע נועדו כדי להסביר לעובדים את החשיבות של אבטחת מידע וכדאי להדגים להם בעזרת האבטחה של המכשירים שבהם הם משתמשים, בעיקר הטלפון הסלולרי שלהם ואפילו המחשב הביתי. העיקרון הראשון שעליהם לדעת הוא שלכל נהלי אבטחת מידע יש כמה שכבות ולכל שכבה יש את התפקיד שלה במניעת זליגת מידע ופריצות וחדירות זדוניות. כל ייעוץ ואבטחת מידע סייבר מתחיל בהסרת השלבים האלה לעובדים על מנת להבהיר להם מהן תקנות אבטחת המידע. השכבה הראשונה של אבטחת המידע כוללת את האחריות של המשתמש ובמקרה זה העובד, לשמירת פרוטוקול האבטחה בעצמו. בטלפון סלולרי משתמשים בצורה הטובה ביותר באבטחת מידע על ידי הכנסת סיסמה מורכבת שקשה לנחש. זה הזמן להסביר בפרוטוקול של כל נוהל מדיניות אבטחת מידע שלא בוחרים סיסמה קלה שמנחשים בקלות והיא גלויה, כמו יום הולדת ושם פרטי או אפילו סדרת מספרים עוקבים. זה נכון לא רק לטלפון הפרטי אלא גם למחשב בעבודה כי אי אפשר לדעת אף פעם למי תהיה גישה למחשב שלכם, מקרוב או בהשתלטות מרחוק.
שימוש נכון בענן עם נוהל אבטחת מידע
אין כמעט ארגון היום שלא משתמש במאגרי ענן וזה נכון גם למשתמשים פרטיים וגם למקומות עבודה. תקני אבטחת מידע מטילים את האחריות על כל עובד גם בכניסה למאגר המידע ששמור בענן ושמירה על נוהל אבטחת מידע ארגוני, בין אם הטלפון שלו או המחשב פרטי ובין אם הוא של מקום העבודה. סיסמה איישת שרק העובד מכיר היא אמצעי ראשון נהדר כדי לנסות לנטרל חדירות זדוניות אבל יש גם את השלב הבא שהוא חיוני גם בכניסה לאתרים שונים שבהם מומלץ להשתמש בו – אימות דו שלבי. מומחי ייעוץ ואבטחת מידע סייבר טוענים שאין להקל ראש בכך ורצוי מאוד להזדהות מול הענן שבו שמור המידע בעזרת האימות הדו שלבי. זוהי שכבת הגנה נוספת שמספקת לכם עוד חומה מפני פריצות למאגר ולענן. דוגמא לנוהל אבטחת מידע היא ההזדהות מול הענן בעזרת מספר טלפון שמוגדר מראש. זה חיוני במקרים רבים ומומלץ גם למטרת נוהל אבטחת מידע בחברה במקומות עבודה במקרים מסוימים. בארגונים שבהם זה חיוני לא משתמשים אפילו בטלפון אלא באפליקציה או תוכנה שיוצרת קודים כאלה ללא תלות בטלפון וזה מותקן גם באפליקציות שונות לשימוש הפרטי ולא רק למקומות עבודה, כמו אפליקציות גוגל. כך גם שומרים על הסיסמאות שלא ידלפו כלל.
ייעוץ ואבטחת מידע סייבר לספקים עבור לקוחותיהם
שכבת ההגנה הבאה אמורה להיות אצל הספק של הארגון ובניהול מדיניות אבטחת מידע על ידי הצפנה הראויה לרמת הבטיחות הנדרשת בארגון. ענן נחשב לאמצעי הבטוח ביותר משום שספקים מפעילים הרבה מאוד אמצעים לאבטחת מידע כמיטב יכולתם. זה לא מונע את החובה של לקוחות לדאוג לחומה נוספת, עם זאת. אם מדובר בלקוחות שיש להם מאגרי מידע מהסוג שדורש הצפנה ואבטחה מחמירות במיוחד יש לדאוג לכך גם אצל הספק. כשאתם בוחרים חברה שמספקת לכם שירותי ענן או מחשוב עליכם לבדוק גם את אבטחת המידע שהיא מספקת לכם. אם אינכם יודעים מהן הדרישות בארגון שלכם שלפיהן עליכם לכתוב את אותן תקנות אבטחת מידע, שירותי ייעוץ ואבטחת מידע סייבר יספקו לכם את כל מה שנדרש לכם מבחינה זאת. תקנות המידע אמורות להצפין את המידע כדי שלא תהיה גישה מבחוץ לאף פריט מידע ולאף מאגר וכדי שלא תהיה דליפה כלשהי שתגרום לכך שאפשר יהיה להיכנס דרך רשלנות עובדים למאגרי אלה במיוחד בענן.
מידור מידע הוא הכרחי
אחת הדרכים לשמור על מידע מפני פריצות היא מידור המידע כחלק מהפעלת תקני אבטחת מידע וניהול סיכונים. זה לא נעשה בהכרח בגלל רוע וזדון של פורצים או בגלל חוסר אמון קיצוני בעובדים. זה חיוני משום שגם אם ישמרו על אבטחת מידע עדיין יכולות להיות תקלות בשמירתו. כמו כן, ככל שתהיה גישה למאגרים מסוימים וייבנו דלתות כניסה, גם אחוריות, זה יגביר את הסיכוי שגם מבלי משים או בגלל הצלחה אקראית של האקרים ופורצי מאגרים יחדרו למאגר הענן שלכם. כך שאחת המשימות של כותבי תקנות אבטחת מידע בארגון היא להבהיר לעובדים שזה נעשה על מנת לשמור על בטיחות המאגר ולאו דווקא כדי לחשוד בהם אוטומטית. זה נעשה לטובת הארגון ולא לרעתם.
למה זה קורה?
כדי להבין כיצד לכתוב את התקנות ולהתאים אותן למציאות יש לזכור שבאופן עקרוני יש פורצים שמנסים ספציפית להיכנס לארגונים מסוימים לצורך ריגול תעשייתי, ויש פורצים אקראיים שפשוט סורקים את החשבונות ומאגרי הענן על מנת למצוא פרצה כלשהי שתעזור להם לכרות מידע ולהשתמש בו לרעה, לשתול תוכנות זדוניות או תוכנות כופר ועוד.
Write a Comment