מה זה סקר סיכונים לארגון?
כל ארגון, מוסד או חברה, מיום הקמתם נמצאים ברמת סיכון מסוימת מעצם פעילותו השוטפת, עבודת הייצור, כספים, אסטרטגיה, מתחרים ועוד. בשנים האחרונות נוסף ממד חדש לכלל הסיכונים שישנם לעסק והוא נושא אבטחת מידע. סקר סיכונים לארגון הוא כלי יעיל שתורם משמעותית להפחתת רמת הסיכונים הכוללת למינימום אפשרי.
מהו בדיוק סקר סיכונים?
סקר סיכונים הנקרא גם הערכת סיכונים מבוקרת הוא תהליך בדיקה במהלכו חברה מקצועית המתמחה בתחום רואה מקרוב כיצד מתנהל העסק בכל ההיבטים, מההיבט של ביטחון פיזי ועד ההיבט של ביטחון מידע או היערכות לשעת חירום. מדובר על בדיקת כלל הסיכונים העומדים בפני חברה או ארגון בהתאם לענף בו הם נמצאים, גודלם, האסטרטגיה על פיה הם מתנהלים ועוד. התנהלות לא נכונה בכל אחד מהתחומים יכולה להביא לכשלים בתפקוד, לתפוקה נמוכה יותר ואף, במקרים חמורים, להפסקת עבודת הארגון באופן מוחלט.
אילו סוגי סקרים יש?
כדי להקיף את כלל הסיכונים בהם נמצא הארגון, לאמוד אותם היטב ולתת לכל אחת מנקודות התורפה את המענה הראוי, ישנם שני סוגי סקרים עיקריים: סקר סיכונים פיזי אשר בוחן את תהליכי העבודה ותפעול העסק, מהתנהלות פיננסית ואסטרטגית ועד תהליכי ייצור בסיסיים ביותר. סקר שני שהופך להיות משמעותי יותר ויותר הוא סקר סיכוני אבטחת מידע. סקר זה עוסק בפועל בסקירה של כל רמות האבטחה בכל הנוגע לרשתות, בסיסי נתונים, מערכות הפעלה, ניהול משתמשים ומתן הרשאות, תהליכי גיבוי ועוד. מומלץ מאוד לבצע את שני סוגי הסקרים על מנת להיות מכוסים לחלוטין מכל הכיוונים.
מהם שלבי ביצוע סקר סיכונים לארגון
בין אם מדובר על סקר סיכוני אבטחת מידע, סקר ביטחון פיזי או היערכות לשעת חירום, כל אחד מסוגי הסקרים מורכב משלושה שלבים עיקריים.
- איסוף מידע: ללא איסוף מידע מפורט על התנהלות הארגון בכל תחום לא יהיה ניתן למפות את הסיכונים הקיימים ולאמוד את רמת הסיכון בה נמצא הארגון. איסוף המידע כולל תשאול גורמי מפתח בארגון, בדיקת המקום מבחינה פיזית בסיור מפורט, בדיקת מערכות המחשוב. קבלת הנתונים תהיה מכל מחלקות הארגון כולל מחלקת משאבי אנוש, לוגיסטיקה, תפעול, כספים ועוד.
- ניתוח ועיבוד המידע: עיבוד הנתונים בוחן היטב את כל הממצאים ומשקלל אותם תוך דיון מפורט, ליבון וכניסה לפרטים יחד עם בעלי התפקידים הרלוונטיים, בין אם בתחום הביטחון הפיזי ובין אם בתחום אבטחת המידע (ראו פירוט בהמשך)
- הצגת תוצרי הסקר והמסקנות: יוצגו המלצות על פעולות נדרשות, כולל לוחות זמנים לביצוע אתן פעולות. תמונת המצב המוצגת כוללת נקודות כמו נכסי החברה החשופים לפגיעה באופן משמעותי, מהי רמת הסיכון של אותם נכסים ומהם הגורמים המאיימים עליהם, מצב מערכות אבטחת המידע כרגע- עד כמה הן יעילות, ואם אינן יעילות מספיק- מה נדרש לבצע כדי לשפר את תפקודן. יינתנו המלצות לגבי העבודה השוטפת: צורת העבודה (למשל באופן ספייס), התנהלות עם ניירת, כללים הרלוונטיים לכלל עובדי החברה או לעובדי מחלקות מסוימות ועוד.
החשיבות הרבה של סקר סיכוני אבטחת מידע
חלק בלתי נפרד מהפשיעה היום ואפילו מלחמות בין מדינות קשור לאבטחת מידע. איומי אבטחת מידע כמו מתקפות סייבר, הונאות רשת, פישינג ועוד משותפים לכל מדינות העולם ולכל גוף וארגון, מגוף ממשלתי ועד חברה פרטית, מבתי חולים ועד חברות הייטק. אין ארגון או חברה היום שחפים מאיומים אלה. ניתן לשמוע יותר ויותר על אירוע אבטחת מידע כזה או אחר, אם לדוגמה בארץ: פריצה לבתי חולים כמו הלל יפה. בהתאם לכך עלו גם הדרישות במיגון המידע וביצוע פעולות שיחזקו את מערכת אבטחת מידע לרמה הגבוהה ביותר, כמובן כל ארגון בהתאם לסיכונים שקיימים בו. לכן, בחינה מדוקדקת של הנתונים, קביעת רמת הסיכון, בדיקה "על רטוב" כיצד מתפקדת מערכת אבטחת המידע ומתמודדת עם אירועי אבטחת מידע היא בגדר הכרח היום.
27001ISO – יישור קו בתחום אבטחת המידע
ישנו היום תקן בינלאומי, ISO27001 שפותח ע"י ארגון התקינה הבינלאומי שמטרתו היא ליישר קו ברמה בינלאומית בנושא מתוך הבנה שמדובר על נושא רגיש שמשפיע על מהלכים גלובליים ותוצאותיה של פריצה כזו יכולות להיות גם הרות אסון. התקן מספק הגדרה מקיפה למערכת ניהול אבטחת מידע. הוא עוסק בכל צורות המידע כמו רשומות מידע, דו"חות כספיים, מידע על עובדי הארגון, גרפים, סרטונים ועוד.
מה כולל בדיוק סקר סיכוני אבטחת מידע?
רמת סיכוני אבטחת מידע והנקודות הבעייתיות נבדקות במספר דרכים. ברמה הרחבה יותר נבדקים כל אמצעי התקשורת של הרשת כולל שרתים, עמדות קצה ואף מכשירים סלולריים אם צריך. מתבצע ניתוח תשתיות התקשורת כמו רשת ה LAN , קווי ה WAN, תקשורת אלחוטית. אחת הבדיקות החשובות ביותר הבודקת בצורה חד משמעית כיצד מתמודדת מערכת אבטחת המידע עם ניסיון פריצה היא בדיקת חדירה, PT (penetration test). בדיקה זו מאתגרת את מערכת האבטחה כדי לאתר כשלים ופרצות אם ישנם. מבדקים אלה מבוצעים על ידי האקרים מומחים בעלי ידע נרחב ומעמיק ברשתות מחשוב העושים זאת כמובן רק למטרות חיוביות לשיפור מערך אבטחת מידע בארגונים וחברות. כדי שהבדיקה תהיה אפקטיבית, היא נעשית בצורה פנימית כאשר לבודק ניתנת גישה מלאה לרשת ((whitebox. כך ניתן לבדוק גם מצב בו חלילה ישנו ניסיון פריצה של אחד מעובדי הארגון. בנוסף ייבדקו גם גיבוי המערכות, הצפנה, חיבורים מרחוק ועוד.
כל כמה זמן מומלץ לבצע סקר סיכונים לארגון?
סקר סיכונים לארגון מומלץ לבצע פעם בשנה אלא אם כן צצו נסיבות מיוחדות הדורשות סקר סיכונים בכל אחד מהתחומים. כדי שהסקר יהיה יסודי וימצה את מלוא הפוטנציאל שלו, הוא נמשך כשלושה שבועות בהם ישנו איסוף נתונים מקיף, עיבוד הנתונים והצגת דו"ח מסודר כולל המלצות.
Write a Comment