1. דף הבית
  2. בקרות אבטחת מידע
מחפש...

בקרות אבטחת מידע

בקרות אבטחת מידע הן בסיס קריטי באסטרטגיית האבטחה של כל ארגון.
בקרות אלו נועדו להגן על מידע רגיש מפני גישה לא מורשית, שימוש, חשיפה, שיבוש, שינוי או הרס. במאמר קצר זה, נדון בחשיבותן של בקרות אבטחת מידע ובסוגי הבקרה השונים שארגונים יכולים ליישם כדי להגן על נכסי המידע שלהם.

החשיבות של בקרות אבטחת מידע

בקרות אבטחת מידע מספקות מסגרת לזיהוי, הערכה והפחתת סיכונים למידע של ארגון.
בדומה לניהול כספים, הנדרש להבטיח כי דרישות החוק והארגון ינוהלו באופן אשר יבטיח ניהול ספרים תקין, ועמידה בהחלטות העסקיות. בקרות הכספים ידעו לזהות תשלום חסר או כפול וינהלו תהליך מוסדר של ביצוע תשלום ע"י מורשי חתימה. כך בקרות אבטחת מידע ידעו לזהות חולשות טכנולוגיות, תהליכים חסרים או הרשאות יתר אשר יכולים לגרום לנזקים בשוגג או בזדון, אם ע"י גורמי פנים או גורמי חוץ.
הבקרות הן דרישות חוק / רגולציה/ תקינה בנוסך לדרישות של חברות הביטוח, לקוחות והנהלת הארגון, הכל כחלק מניהול סיכונים, במטרה לצמצם את הסבירות ועוצמת הנזק של אירוע סייבר.

סוגי בקרות אבטחת מידע

ישנם סוגים שונים של בקרות אבטחת מידע שארגונים יכולים ליישם כדי להגן על הנתונים שלהם. ניתן לסווג את הבקרות לשלוש קטגוריות: מנהלתיות, טכניות ופיזיות.

בקרות ניהוליות:
מדיניות ונהלים השולטים כיצד הארגון מנהל את אבטחת המידע שלו. בקרות אלה כוללות הדרכת מודעות לאבטחה, סקר סיכונים, ביקורות אבטחה, תוכנית המשכיות עסקית, צוות תגובה לטיפול באירועי סייבר.

בקרות טכנולוגיות:
בקרות טכניות מיושמות באמצעות מערכות חומרה ותוכנה כדי להגן על מידע. אלו כוללות אנטי-וירוס, חומות אש, מערכות זיהוי ותגובה לתחנות הקצה (EDR), מערכות בקרת גישה וטכנולוגיות הצפנה, שירותי SIEM-SOC לזיהוי התנהגות אנומלית במערכות התשתיות הארגון

בקרות פיזיות:
בקרות פיזיות מכסות את שכבת ההגנה אשר אמורה למנוע מגורם לא מורשה למיקומים פיזיים, לציוד ולאמצעי אחסון. דוגמאות כוללות מנעולים, אזעקות, מצלמות אבטחה ומערכות ביומטריות.

בקרות נפוצות

סקר-סיכונים / Risk Assessment

הסקר כולל זיהוי, ניתוח והערכת סיכונים ופגיעות פוטנציאליים למערכות המידע ולנכסי הארגון. המטרה העיקרית של הערכת סיכונים של היא לזהות איומים ופגיעות פוטנציאליים, להעריך את הסבירות וההשפעה שלהם, ולקבוע את האמצעים המתאימים להפחתת הסיכונים או לנהל אותם.

סקר-סיכונים כולל בדרך כלל את השלבים הבאים:

  • זיהוי נכסים: זהה את הנכסים והנתונים שיש להגן עליהם, כגון נתוני לקוחות, מידע פיננסי, קניין רוחני ותשתיות קריטיות.
  • זיהוי איומים: זיהוי איומים פוטנציאליים שעלולים לגרום לפגיעה בנכסי הארגון, כגון התקפות סייבר, כשל תשתיות וטעויות אנוש.
  • הערכת סיכונים: מבוססת על הסבירות למימוש אל מול עוצמת הנזק. לדוגמה אתר תדמיתי שאינו מאובטח הסבירות לפגיעה גבוהה, אך עוצמת הנזק לארגון תיהיה קטנה. להבדיל משירותי הדואר או שרת הקבצים אשר עוצמת הנזק תיהיה גבוהה מאוד ולכן נדרשות הגנות ובקרות המותאמות

סקר סיכונים הוא מרכיב קריטי בתוכנית אבטחת מידע יעילה, הממצאים מסייעים לארגונים לקבל החלטות הנדרשות להקצאת משאבים, תעדוף וגיבוש אסטרטגיית ההגנה של הארגון.

סקר סיכונים הוא דרישת בכל דרישות חוק ורגולציה בנושאי אבטחת מידע והגנת פרטיות, תקינה ומתודולוגיה לניהול אבטחת מידע.

מבדק חדירה / Penetration Test

בדיקת חדירה, המכונה גם מבדק חוסן, היא שיטה להערכת האבטחה של מערכת מחשב, רשת או אפליקצית אינטרנט על ידי הדמיית מתקפה ע"י גורם עויין. המטרה העיקרית של מבדק חדירה היא זיהוי חולשות שעלולות להיות מנוצלות על ידי תוקפים כדי לקבל גישה לא מורשית למערכת או למידע רגיש.

ממבדק מבוצע ע"י האקרים אתיים (האקר לבן) המנסה לנצל נקודות תורפה במערכת היעד תוך שימוש במגוון כלים וטכניקות. התוקף יכול להשתמש בכלי סריקה אוטומטיים בשילוב של בדיקות ידניות כדי לזהות חולשות בהגנות של מערכת. המבדק יכול גם לנסות לבצע מניפולציה על הגורם האנושי (הנדסה חברתית, כדי לקבל גישה למידע רגיש, או לתשתיות הארגון.

לאחר השלמת הבדיקה, יוגש דוח המפרט את הפגיעויות שהתוקף הצליח לזהות ו/או לנצל והמלצות איך לתקן את הנדרש. כל ממצא יקבל ציון המספק אומדן על רמת הקריטיות של החולשה, המונח המקצועי נקרא CVE וערכו משקלל את הקלות ניצול ועוצמת הנזק האפשרית. הדוח יכלול רשימת פעולות תיקון מומלצות עם עדיפות.

בדיקות חדירה הן חלק חשוב משיגרת האבטחה של הארגון, לזיהוי וסגירה של חולשות לפני ניצולן על ידי תוקפים.

מבדק חדירה נדרש בחוקי הגנה על הפרטיות, דרישות רגולציה , תקינה ומתודולוגיה לניהול אבטחת מידע.

סקר-פערים / Gaps Analsis

ניתוח פערי אבטחת מידע הוא תהליך המבצע מיפוי בין דרישות אבטחת מידע אשר הוגדרו למטרות המבדק.
המיפויים הנפוצים הם:

  • עמידה אל מול דרישות תקנות הגנת הפרטיות.
  • עמידה בדרישות שאלון ספקים לחיזוק שרשרת האספקה של מערך הסייבר.
  • מיפוי פערים אל מול סטנדרטים מקובלים בתעשייה, כגון: תורת הגנת הסייבר, ISO27001, NIST, PCI-DSS.
  • מיפוי פערים אל מול דרישות רגולציה, כגון: GDPR, HIPAA, המפקח על הבנקים, רשות ניירות ערך.

ניתוח הפערים יביא לדוח שיזהה את התחומים שבהם ייתכן שחסרות בקרות האבטחה של הארגון. הדוח יכלול בדרך כלל המלצות כיצד לטפל בפערים שזוהו, כגון יישום בקרות או נהלים חדשים, שיפור בקרות קיימות או עדכון מדיניות.

מטרתו של סקר-פערים היא לשקף לארגון את המצוי אל מול הרצוי.
זיהוי דרישות או המלצות אשר אינן מיושמות בחלקן או במלואן.

ניתוח פערי אבטחת מידע הוא כלי עבור ארגונים שרוצים לבחון כי הם עומדים בדרישות בעלי-עיניין כגון: רשויות החוק, לקוחות, חברות הביטוח וכדומה. המבדק גם משמש כדי להדגים עמידת הארגון בתקנות ותקנים בתעשייה, כגון ISO 27001 או NIST Cybersecurity Framework. על ידי טיפול בפערים שזוהו בניתוח, ארגונים יכולים לשפר את מצב האבטחה הכולל שלהם ולהפחית את הסיכון לפריצת אבטחה או אירוע אחר.