20/08/2020 מאת אסף טויזר, יועץ אבטחת מידע
לפני שרצים צריך ללמוד ללכת – צעדים לבניית בסיס אבטחת מידע חזק בארגון
במציאות של היום, אבטחת מידע הפכה לחלק אינטגרלי ואסטרטגי בניהול תכנית עסקית של ארגונים רבים, במטרה לשמור על המשכיות עסקית, סודיות, שלמות מידע וזמינותו. בכדי לנהל ולהניע הליכים עסקיים, ארגונים רבים עושים שימוש במערכות מידע שונות ותקשורת פנים ארגונית, בדגש על מדיה חברתית, מה שהופך את אבטחת המידע לחשובה ומרכזית.
כך, לפני שאנו ממהרים לסגור את הרשת הארגונית ולהגדיר בקרות, עלינו להאט את הקצב וללמוד להכיר את התהליכים הארגוניים, הנכסים והסיכונים הפוטנציאלים בהם אנו נדרשים לטפל ולספק עבורם מענה.
בסיס חזק ויציב של אבטחת מידע משלב בתוכו הבנה מלאה של צרכי הארגון בהקשר של אנשים, תהליכים וטכנולוגיה (People, Process and Technology) ומאגד אותם יחד לתוכנית עבודה ליישום.
גיבוי מלא של הנהלת החברה – מעורבות ותמיכה שוטפת של ההנהלה בארגון נחוצה לביסוס תהליכי אבטחת מידע מוצלחים ויעילים. מעורבות ההנהלה תסייע גם בהסדרת תהליכים באבטחת מידע הדורשים מעורבות של יחידות ארגוניות נוספות כמו משאבי אנוש, מחלקה משפטית, מחקר ופיתוח וביטחון (אבטחה פיזית) ובכך תספק גיבוי ליישום התוכנית ותאפשר הובלת תהליך רוחבי לצמצום הסיכון ומתן מענה לצרכי הארגון. תקשורת טובה מול ההנהלה הבכירה בנוגע לצרכים והדרישות ייצרו מחויבות ארגונית לתהליכי אבטחת מידע.
למידה ארגונית – בתחילת הדרך חשוב ללמוד ולהבין את אופי הארגון, התהליכים העסקיים שבו, תהליכי הייצור, שיטת העבודה ונכסי המידע המחזיקים בתהליכי הליבה של כל יחידה ארגונית. בכדי שניתן יהיה ליצור בסיס משמעותי למיפוי וניהול סיכונים, יש ללמוד את תשתיות ומבנה הרשת הארגונית, אילו בקרות אבטחת מידע קיימות כבר ומה יעילותן ובכך להכיר את “מגרש המשחקים” ולהבין על מה למעשה צריך להגן.
מיפוי וניהול סיכונים – לאחר הלמידה הארגונית, יש למפות ולאפיין את הסיכונים העיקריים אליהם הארגון חשוף ועליהם לבסס תכנית עבודה אשר תתמקד ותקצה משאבים לטיפול בלב הבעיות של הארגון.
מסגרת אבטחת מידע – כלל הארגונים כפופים לחוק. אופיו וסוגו של הארגון משפיעים על הרגולציות אליהם הוא מחויב, למשל תקנות הגנת הפרטיות הישראלי, GDPR, תקנים כמו ISO27001. סטנדרט מחייב או מסגרת תומכת עוזרים לארגון להסדיר את הפעילות בתחום אבטחת המידע ובכך לטפל באופן שיטתי בסיכוני אבטחת המידע ובצרכים ארגוניים נוספים.
מדיניות ונהלים – מדיניות ונהלי אבטחת מידע יסייעו ליצור אחידות ולהגדיר את הבסיס של אבטחת המידע בארגון. ככלל, הנהלים עוסקים בהגדרה והסדרת כללים ליישום בקרות ותהליכי אבטחת מידע כמו תיעוד אירועים ושינויים, ניטור, הנחיית ספקים, אבטחת מידע לגיוס עובדים, משאבי אנוש וכו’…
מודעות ומעורבות עובדים – מודעות וחשיפה של ההנהלה ועובדי הארגון לאבטחת מידע, חשובה ביותר למערך ההגנה של הארגון, ולה מספר יתרונות. האחד, הגברת מודעות מקצועית בעזרת לומדות, עזרים, תרגול והדרכות, במטרה לחזק את ההתמודדות עם סיכוני אבטחת מידע בעבודה ובחיים האישיים ובכך להרוויח עוד בקרה, הבנה והקפדה על נהלים. השני, הסברה אודות שינויים וצעדים שנלקחים להגברת אבטחת המידע בארגון, למשל שיתוף העובדים בתהליך שינוי מדיניות הסיסמאות או שינוי מדיניות בנושא חיבור מחוץ לארגון למשאבי הארגון, במטרה מזער קשיים בנוגע לשיתוף פעולה ולאפשר תהליך יישום יעיל.
משאבים קיימים בארגון – טרם לתכנון התקציב לרכישת יכולות וטכנולוגיות לאבטחת מידע בארגון, חשוב להבין מה כבר קיים בארגון והאם אנחנו מנצלים את כלל היכולות הקיימות. יש לקיים תהליך סקירה מקצועי לבקרות אבטחת המידע הקיימות בארגון ולהבין אלו יכולות נוספות ניתן לקבל כמו יכולות זיהוי וסריקה, ניטור ומודולים למודעות אבטחת מידע, האם המערכות שלנו תומכות בעדכוני פגיעויות ידועות ותמיכה של היצרנים, האם המוצר תומך בעדכוני חתימות ועוד. מומלץ לקיים תהליך זה עם מומחה מערכת ולקבל תוצר סקירה מלא והמלצות ספציפיות ליישום וזאת על מנת לחסוך כסף ומשאבים לארגון.
לעדכונים שוטפים בתחום אבטחת מידע וסייבר בקרו בבלוג שלנו ועקבו אחרינו בדף הפייסבוק