אבטחת מידע לעסקים – לא רק טכנולוגיה
טכנולוגיית המידע של ימינו מחייבת כל ארגון לניהול כולל של אבטחת המידע: הגנה על המידע החיוני של הארגון, הפעלת פתרונות, ניטור תקלות במערכות הממוחשבות ותפעול יעיל של מערכות הארגון.
עסקים קטנים רבים אינם מודעים לצורך באבטחת העסק שלהם, אם בגלל תחושת הביטחון כי לא קיימים איומי פריצה, אם בגלל חוסר?מודעות של מקבלי החלטות, או בשל מגבלות תקציב. ברוב המקרים גישת הארגון גורסת שכיוון שמדובר בעסק קטן יחסית, איומי אבטחה ופריצה ברשת לא יפגעו בו. אולם תחושת הביטחון וההחלטה להתעלם מאיומים ברשת עשויות להפוך לאיום בפני עצמו על הארגון. ניהול רוב הארגונים כיום תלוי ביכולתם להגן על מידע מפני גנבה, שינוי או חוסר?זמינות, ולהמשיך לפעול תוך מזעור נזקים, גם כאשר קיימים סיכונים שהם מודעים להם.
ארגון קטן אינו יכול להשקיע משאבים גדולים ביישום ובאחזקה של מערכות אבטחה כפי שנעשה בארגונים גדולים, אבל גם עסקים קטנים יכולים להטמיע נוהלי מערכת אבטחה על פי הנתונים הדרושים להם. ניהול של אבטחת מידע חיוני בארגונים קטנים, ברמות השונות שבהן העסק מפעיל מערכות מידע ממוחשבות.
אבטחת מידע אינה מסתכמת בטכנולוגיה בלבד, אלא מדובר בתהליך רוחבי במכלול התהליכים העסקיים. סיכונים משתנים תדיר וטכניקות הפריצה והחדירה לרשת משתכללים. זאת נוסף על השינויים והצרכים הארגוניים המתחלפים.
בחרנו בעשרה שלבים ארגוניים לקידום אבטחת מידע:
1. מדיניות אבטחת מידע של הארגון – תהליך הגדרת המדיניות של אבטחת מידע נועד לגבש מדיניות נהלים שתנחה את הארגון להטמעת נוהלי אבטחת המידע. מדיניות אבטחת מידע מגדירה את הדרישות הכלליות בנושא ניהול אבטחת מידע בארגון, דרישות כלליות ליישום בקרות אבטחת מידע ואת אופן הטיפול בנושאים הדורשים התייחסות מיוחדת. בתחומי מדיניות אבטחת מידע נכללים נושאים דוגמת: שימוש במידע, שמירה על מידע ועל חיסיון מידע, שימוש בתכנות, ברכיבי תכנה ועוד.
2. כתיבת נהלים בנושא אבטחת מידע – מומלץ להביא בחשבון את כל הנתונים הקשורים לניהול הגנה על המידע – הקצאת המשאבים להגנה על טכנולוגיית המידע, מינוי האחראים המתאימים לתפקיד, התייחסות העובדים לאמצעי האבטחה, תכנון מראש של תהליכים, אופן טיפול בנושאים הדורשים תשומת לב, כגון מדיניות סיסמאות, גלישה בטוחה באינטרנט, שימוש נאות במשאבי המחשוב, אבטחת סביבת עבודה, מתן הרשאות וחתימה על סודיות.
3. . הכרת פעילות הארגון – ניהול אבטחת מידע בארגון מחייב הכרה של תהליכי הארגון נכסי המידע שלו, קשרים עם לקוחות וספקים, סדרי הקדימות של הארגון לגבי עלויות ותקציבים ומטרות ויעדים לטווח הקצר והארוך.
4. העלאת מודעות – על הנהלת הארגון רובצת האחריות להגדרת הצורך של הארגון באבטחת מידע, בהקצאת המשאבים ובהעלאת המודעות בקרב העובדים. כל עובד חייב לדעת מהם הסיכונים שהוא מועד להם מהרגע שנחשף למידע ומהם הכלים האפשריים לשימוש במקרה של חשש לפריצת מערך האבטחה בארגון.
5. זיהוי הצורך באבטחה – זיהוי איומים חיצוניים ופנימיים. תכנון והתמקדות בצורכי האבטחה של הארגון, כולל סקרים ובדיקות חדירה. בחירת מערכות האבטחה המתאימות. התאמת המערכות לפעילות השוטפת של הארגון. הזיהוי הממוקד של צורכי אבטחת הארגון יאפשר ייעול בתהליכים והפחתת עלויות.
6. מעקב – הכנת תכנית ארוכת?טווח להפעלת מערכות אבטחת המידע. בדיקות קבועות של מערכות האבטחה.
7. זיהוי סיכונים – קבלת תמונת מצב עדכנית של הסיכונים ובדיקת יעילות האבטחה באופן תמידי ורציף. מתקפות של וירוסים ופולשים אחרים לא תמיד מכוונות לארגון מסוים. לעתים סכנות האבטחה הקיימות בארגון נובעות מסביבת הארגון עצמו או מטעויות אנוש.
8. הגנה בתוך הארגון – במשאבים הבסיסיים להגנה נכללים "חומת אש", אנטי וירוס, התקנת העדכונים והתיקונים שמיקרוסופט וספקיות תכנה מספקות לצורך תיקון באגים ולסגירת חורי אבטחה פוטנציאליים בתכנה שלהם. וכמובן – ביצוע גיבויים.
9. אמצעי הגנה נוספים – מלבד מערכות אבטחת מידע, המיועדות להגנה מפני חדירה למערכות המידע הממוחשבות, קיימים אמצעי הגנה אחרים: מערכות אזעקה, מערכות בקרת כניסה, מערכות אינטרקום ומערכות מעקב. בעבור ארגון קטן העלויות עשויות להיות גבוהות, ולעתים יש צורך בתכנון אמצעי הגנה חלופיים.
10. צורך ביעוץ חיצוני – חברות אבטחת מידע: בחירה ביועץ חיצוני המומחה בתחום אבטחת המידע. יועץ חיצוני יבחן את התהליכים בארגון במטרה להביא את החברה לרמת האבטחה הנדרשת ולייעל תהליכים, תוך יישום תהליך עסקי המקדם את השגת מטרות הארגון. מחשוב התהליכים ובחירת הכלים והמערכות המתאימים לצרכים ולאפשרויות התקציב, אף הם בעלי חשיבות בהשגת היעדים והמטרות של הארגון.
לסיכום: היו קשובים לשינויים, העריכו את הסכנות והסיכונים החדשים, הקפידו לפעול תמיד עם יד על הדופק ואל תקפאו על השמרים או תהיו שאננים ואל תאמרו "לי זה לא יקרה".
אירית אריק, מנכ"לית RUsafe , RUsafe הינה חברה המתמחה במתן שירותי יעוץ, אפיון, תכנון והטמעה בתחומי אבטחת מידע המגוונים. ניסיון מקצועי של 30 שנה בארגונים גדולים, ממשלתיים ופרטיים כאחד. www.rusafe.co.il