1. דף הבית
  2. איך מתחילים?
  3. כמה יעלה להגן על העסק מפני איומי סייבר?
  1. דף הבית
  2. מודעות עובדים לאבטחת מידע
  3. כמה יעלה להגן על העסק מפני איומי סייבר?
  1. דף הבית
  2. שאלות נפוצות
  3. כמה יעלה להגן על העסק מפני איומי סייבר?
מחפש...

כמה יעלה להגן על העסק מפני איומי סייבר?

הפער בין "יהיה בסדר" אל "מוגן" – עובר דרך הכיס. כמה יידרש כדי לאבטח את העסק מפני איומי סייבר?

אחד התפקידים של ההנהלה היא להחליט כמה משאבים להקצות לתחומים השונים, בין היתר תחום אבטחת המידע – תחום בו ההחלטה חשובה "כמה להקצות" היא מצד אחד מאד חשובה ומצד שני – הפערים יכולים להיות מאד משמעותיים ובסיס ההחלטה – לא לגמרי ברור. בואו ונבין מה מקור הבעיה, ואיך אפשר לפרק את הסוגיה בדרך שתעזור לכם לקבל את ההחלטה הנכונה ביותר עבור העסק שלכם.

כיום, כאשר כל עסק חמישי חווה מתקפת סייבר והאחוזים רק ממשיכים ועולים – השקעה בתחום אבטחת המידע היא קריטית, אך השקעה זו היא משמעותית במיוחד עבור עסקים קטנים ובינוניים – אז איך יודעים כמה להשקיע?

הבעיה: לקבל החלטה מתוך חוסר ודאות

אתם יודעים שעל מנת להפעיל את העסק עליכם, לדוגמה, לרכוש מכונה ליצור רכיבים נדרשים. אתם יודעים מה מחירי המכונות בשוק, מה התפוקה של כל מכונה, עד כמה היא נחשבת אמינה, מה רמת השירות שאתם מצפים לקבל – לקבל החלטה איזו מבין המכונות לרכוש היא החלטה שבה יש מעט מאד חוסר ודאות. כאשר הדברים מגיעים לאבטחת מידע – המצב הוא מאד שונה.

גם במקרה הטוב ביותר, לכאורה לא תראו תוצאות – תשקיעו ולא תחוו מתקפת סייבר. מצב זה יכול להוביל להנחה השגויה שההשקעה שעשיתם הייתה מיותרת אך למעשה השקעה זו מורידה את הסיכוי לחוות מתקפת סייבר כך שסביר שדווקא העובדה ש"כלום לא קרה" – מעידה באופן הטוב ביותר על כך  שזה ששום דבר לא קרה (המצב שאליו אתם שואפים) הוא תוצר ההשקעה בתחום.

מה משפיע על עלויות ההשקעה בתחום האבטחה?

  • גודל ומורכבות העסק
  • סוגי נכסי הליבה הקריטיים עליהם יש להגן
  • רמת הסיכון שאתם מוכנים לספוג – האם תעמדו ותוכלו להתמודד כספית עם מתקפת סייבר?
  • האקלים הפוליטי והחברתי

בואו ונפרט לגבי חלק מהעלויות הכרוכות בניהול סיכוני אבטחת סייבר בעסק, ונתחיל מכלי האבחון.

הערכת מצב אבטחת המידע בעסק

עוד לפני שתוכלו לקבל החלטה מושכלת יש לבצע הערכה של מצב האבטחה הקיים בעסק: מיפוי נכסי הליבה הקריטיים, זיהוי כשלים ונקודות תורפה קיימות, הערכת רמת הסיכון, נזק וסבירות, למתקפת סייבר. קיימת חשיבות רבה לביצוע הערכה מהימנה כזו אשר תוכל לשמש כנקודת בסיס להמשך וככזו אשר תצביע על ביצוע פעולות ברורות לצורך שיפור מערך האבטחה בעסק, במילים אחרות – ביצוע סקר סיכונים. רצוי לבצע סקר סיכונים באמצעות חברה מתמחה בתחום, כזו אשר תוכל לספק לכם מידע מהימן ומקיף ובעקבות הסקר גם המלצות ברורות להמשך.

בשוק פועלות חברות רבות, חלקן מקצועיות יותר, חלקן פחות. רצוי לא להסתמך על "סקר סיכונים" של חברות ביטוח, גם לא על כאלו אשר מציעות ביטוח סייבר – רמת המקצועיות של סקרים אלו אינה גבוהה לרב והם מושתתים על תבניות כלליות שעלולות לגרור הוצאות מיותרות, ומנגד לא לזהות סיכונים ברורים.

סקר סיכונים ראשוני כשלעצמו הוא הכרחי להערכת עלות האבטחה, אך הוא אינו האמצעי היחיד. במידה ומדובר בעסק שנוגע במאגרי מידע רגישים, לדוגמה מידע פיננסי או רפואי של לקוחות, בעסק מסועף ומבוזר או בכזה הנשען באופן משמעותי על הכנסות וחשיפה לאינטרנט רצוי לשלב גם מבדקי חדירה וכלים אחרים על מנת לקבל תמונה ברורה על המצב הקיים והפער בינו לבין המצב הרצוי.

נקודה נוספת שיש לקחת בחשבון היא כי מבדקים אלו אינם פעולה חד פעמית ראשונית אלא הוצאה תקופתית הנובעת משינויים תכופים בעסק, באקלים החברתי, בזהות וכלים הפריצה והאבטחה הקיימים בשוק. תכיפות ביצוע הערכות אלו תלויה בגודל ומידת הדינמיות של העסק בעיקר אך רצוי לבצע הערכה כזו לפחות פעם בשנה.

כלי האבחון הם רק השלב הראשון – זה שמאפשר לכם לדעת מה מצב העסק, היכן נמצאות הבעיות ומה צריך לתקן. השלבים הבא מייצגים הוצאות בתחומים שונים של ביצוע התיקונים עצמם. ללא השקעה בשלבים הבאים – העסק יישאר לא מוגן.

הדרכה בתחומי אבטחה

אבטחת מידע לא מסתכמת ברכישת כלי כזה או אחר אלא כוללת תהליכים ונהלים שעיקר עניינם הוא התנהלות אנושית ותרבות ארגונית. אחד התחומים החשובים ביותר בנושא זה הוא תחום הדרכת עובדים. כאשר עובדים מודעים לסכנות ולדרכים בהן הם עלולים להיתקל בהן, כאשר הם יודעים מה עליהם לעשות במקרה ונתקלו באיום – הסיכוי להתקפה מוצלחת יורד באופן משמעותי, וכן הסיכוי לכך שיקרה נזק משמעותי כתוצאה מפריצה. על מנת שדברים אלו יקרו יש להדריך את העובדים בנושאי אבטחה ולדאוג לקיום נהלי דיווח ברורים וידועים וכללי התנהגות מקובלים. הקמה וקיום מערכי הדרכה מתאימים הם נושא חשוב שיש לתקצב כאשר באים לחשב את עלויות האבטחה בעסק.

כלי אבטחה – תוכנה וחומרה

חלק מאבטחת העסק כוללת רכישת ציוד אבטחה ייעודי אשר יכול לבוא בתצורה של חומרה או תוכנה: חומות אש (Firewalls), תוכנות אנטי וירוס מתקדמות (EDR), מנהלי סיסמאות ועוד. זו, יכולה להיות אחת ההוצאות המשמעותיות ביותר בעסק והיא גם דורשת הקצעת כח אדם אשר ידע לתפעל ולתחזק את הכלים האלו לאורך זמן על מנת שיישארו עדכניים וידעו להגן גם מפני איומים חדשים אשר מתגלים בכל יום וכן על מנת לוודא זיהוי מוקדם של פריצות במטרה למנוע המשך התפשטות פגיעה. סקר סיכונים יסודי יוכל להצביע על הכלים בהם יש להצטייד, כמותם ועלותם המשוערת ובכלל זה עלות התאמה ועדכון.

גם אם העסק יהיה מאובטח היטב, תמיד קיימת האפשרות כי יהיה נתון למקפות סייבר. על מנת למזער את הנזקים, חשוב להתכונן לאפשרות מתקפות כאלו מראש ובמקרה שכאלו מתרחשות – יש לבצע פעולות ועדכונים על מנת לאבטח את החלקים שחולשתם התגלתה. גם פעולות אלו גוררות הקצאת משאבים כספיים.

מערך תגובה להתרחשות אירוע סייבר

תכנון תוכנית תגובה לאירועי סייבר כוללת גם את הקצאת משאבי כח האדם הדרושה לשם תיכנון התוכנית וגם השקעה באמצעי מיגון מוקדמים למזעור הנזק במקרה של מתקפה. דוגמה טובה לכך היא הקמת מערך גיבויים מהימן אשר יוכל להעמיד את העסק על רגליו ללא תשלום דמי כופר, לדוגמה.

מדיניות "יהיה בסדר"

אחד הדברים העומדים בעוכרי מנהלים רבים, ובעיקר ישראלים, היא תרבות ה"יהיה בסדר". המחשבה היא שאם לא תהיה השקעה כלל באבטחה, הרי תמיד קיים סיכוי כלשהו שגם לא תתרחש מתקפה ואז… "יהיה בסדר". מחשבה שכזו מסוכנת מאד בגלל שתי סיבות מקבילות:

  • הנזק שעלול להיגרם ממתקפת סייבר הוא רב. לא מעט עסקים, בעיקר עסקים קטנים, נאלצו לסגור את שעריהם בעקבות מתקפות סייבר שהם לא היו ערוכים להתמודד מולן.
  • ככל שמערך האבטחה של העסק הוא דל יותר, כך הסיכוי להיות נתון תחת מתקפת סייבר הוא רב יותר. עסק בעל אבטחה יסודית ומקיפה עדיין נתון לאיומים מצד גורמים מקצועיים, נחושים, עדכניים ובעלי כיסים עמוקים. יחד עם זאת, מרבית התוקפים הם תוקפים של הזדמנות שימנעו מלתקוף עסקים בעלי אבטחה חזקה ויעדיפו לפנות לעסקים מוגנים פחות.

חוקי מרפי אומרים שאם תסתמכו על "יהיה בסדר" – כל מה שיכול להשתבש גם יקרה, ולא חסרות בארץ דוגמאות כלך, למשל אסון המכביה –  4 ספורטאים קיפחו את חייהם לאחר שגשר עליו היו אמורים לעבור במסגרת אירועי המכביה ה-15 התמוטט לנהר הירקון המזוהם. הגשר התמוטט כתוצאה משרשרת מחדלי "יהיה בסדר" – המהנדס דילג על פיקוח, הקבלן חסך על מנהל עבודה מוסמך, העיריות וחברות תעשייתיות דילגו על פינוי הולם של פסולת והמדינה דילגה על ניקוי הנהר. 77% מתקיפות הסייבר בעולם מופנות כלפי עסקים קטנים אך רק 42% מהם מאובטחים בדרך כלשהי, למרות שכששים אחוז מאלו שיותקפו צפויים לא לשרוד את התקיפה ולהתמוטט, והמספרים הללו רק הולכים וגדלים.

קישורים נלווים

  • מה הם הסוגים הנפוצים של איומי סייבר שהעסק שלי עלול להתקל בהם?
  • איזון בין סיכוי לנזק – איך לאמוד את רמת הסיכון לאיומי סייבר?
  • מה הם נכסי הליבה הקריטיים עליהם יש להגן בעסק והאם מוגדר גורם אחראי (Owner) לכל נכס?
  • עד כמה אמצעי אבטחה שונים ישפיעו על נוחות השימוש במערכות הארגון?
  • איך יישום אמצעי אבטחה יסייע בהגנה מפני מקרי פגיעה, לא רק מצד תוקפי רשת?
  • מה דרוש על מנת להבטיח כי אמצעי האבטחה שנקטנו יישארו מעודכנים?
  • האם יישמנו מספיק בקרות גישה כדי להגן מפני גישה לא מורשית למערכות ולנתונים שלנו?
  • האם הדרכנו נכון את העובדים לגבי שיטות עבודה מומלצות ומדיניות אבטחת מידע?
  • האם מבוצע שחזור נתונים ומערכות לבחינת אפקטיביות מערכות הגיבוי ותהליכי השיקום למקרה של אסון או מתקפת סייבר?
  • האם הארגון ערוך להתמודדות עם אירוע אבטחת סייבר?
  • האם הארגון נעזר במומחי אבטחת מידע שיעזרו לנו להישאר מעודכנים באיומים ובשיטות הגנה המומלצות העדכניות ביותר?
  • אחריות הנהלה בתחום הסייבר
  • אבטחת מידע לעסקים קטנים – איך מתחילים
  • אבטחת מידע בראיית הנהלת הארגון
עודכן ב 16/02/2023
מתויג:

האם המאמר הזה היה מועיל?

כן לא

פוסטים נוספים