סקר סיכונים – השקט שאחרי האבטחה

סקר סיכונים בארגון - אבטחת מידע

תארו לכם שבוקר אחד אתם קמים וכל המידע של העסק שלכם נעלם. כל הסודות השיווקיים, השרטוטים והמסמכים שהכנתם לשם הגשה לפטנט, כל ה- Data  על לקוחות קיימים ופוטנציאלים, אסטרטגית השיווק, מבנה מחלקת התגמול והמכירות וכל המידע הפיננסי, הרווחים וההשקעות.

המידע הגיע לידיים זרות, פרוץ לכל דורש ולמרבה במחיר. מידע מסווג, מידע אינטימי או נתונים שאחרים לא יודעים. תארו לעצמכם בוקר שחור שכזה.

חברות קטנות, בינוניות ואפילו גדולות חיות באופוריה שלהן זה לא יקרה, שהמידע שלהן לא מעניין אף אחד ומי כבר ירצה את רשימת הלקוחות, מוצרים או מחירים… אבטחת המידע בארגונים האלה מסתכמת בלבחור סיסמה חכמה שלא כוללת את תאריך יום ההולדת של המנכ"ל.

אבל סטטיסטיקות בארגונים שנעשה סקר אבטחת מידע וסייבר מדברות על אחוזים גבוהים של פגיעה בנתונים שאמורים היו להיות מאובטחים. בין אם זה האקר שפרץ לשם האתגר וההנאה, בין אם לשם גניבת מספרי אשראי ונתונים פיננסים או בין אם מדובר על ריגול תעשייתי טהור, מערכות המידע הן מטרה לפריצה ופגיעה. הסכנות הטמונות במערכות הטכנולוגיות האלה הן רבות וכוללות בין היתר: תוכנות וירוס מגוונות שבלחיצת כפתור ופתיחה של לינק עלולות להדביק את כל המערכות הממוחשבות כולל מערכות המידע. הוירוסים נראים כקובץ או לינק תמימים שמועברים באמצעי התקשורת השונים ולאחר פתיחתם עלולים להתרבות ולהדביק את כל מי שבא במגע עם המערכת ולהיות מופצים הלאה דרך המיילים, מערכות מסרים מידיים, טלפונים חכמים וכד'

מערכות המידע ובכלל כל המערכות של הארגון עלולות להידבק גם בתולעים העלולות לפגוע במידע הצבור, למחוק קבצים במחשב הנגוע, לשלוח מיילים באופן עצמאי ולהדביק את התוכנות והקבצים במחשב כך שיגרם נזק רציני ל- Data ולכלל המערכות הארגוניות.

מידע אישי, פרטי או מסווג מתוך ארגונים ניתן להשיג ע"י תוכנות ריגול ((Spyware או באמצעות כלי ה – Phishing המתוחכם, בגדול מדובר על תוכנות מזיקות הנכנסות למערכות באמתלה כוזבת, מפתה את המשתמש לספק ידע או שולח מידע אודות הרגלי המשתמש, נתונים אישיים ועסקיים.

קיימות עוד פרצות אבטחה רבות ומגוונות ומן הסתם בכל יום נולד איום חדש ומשמעותי על הפרטיות והמידע הקיים במערכות המידע בארגונים השונים. חשוב מאוד לא להעלים עין ולא לטמון את הראש בחול, מכיוון שאין ארגון או אדם שחסין מפני חדירה לפרטיות.

אמנם לא ניתן לחסום הרמטית את כל החורים ברשת, מאחר ובמציאות טכנולוגית של היום התקשורת זורמת אל הארגון ומחוץ לו בדרכים שונות, אך ניתן לצמצם במידה ניכרת את איומי האבטחה.

כדי להצליח ב"מלחמת האבטחה" הארגונית יש צורך לעורר מודעות בקרב כלל העובדים וגיבוש מדיניות אבטחת מידע אחידה ומפורטת, נהלים ברורים ואכיפתם באופן חד משמעי.  מדיניות ונהלים יגזרו ברובם מתהליך סקר סיכונים שעיקרו הוא מיפוי האיומים והפרצות האפשריים. ברגע שיודעים היכן עשויים להיות כשלים ניתן לבדוק לעומק ולהתאים את הפתרון המתאים לכל פרצה או איום קיים ועתידי.

כאשר חוקרים פרטיים מבצעים סקר סיכונים בארגון בנושא אבטחת מידע נבדקות כל מערכות המחשוב והמידע שיש בארגון לאורכו ולרוחבו והסכנות/איומים נרשמות בטבלת ניהול סיכונים.

חוקרים שמבצעים את הסקר עורכים בחינה מדוקדקת של נהלי העבודה והתהליכים הארגוניים, נבדקות חולשות המערכת, נבדקת התשתית (כולל שרתים, מערכות קצה, ממשקים שונים, מערכות ניטור ובקרה וכד')   והיישומים של המערכת בפועל ונבחנים איומים ובאגים אפשריים וההשפעה שלהם על הפעילות השוטפת.

תחום אבטחת המידע הינו קריטי להצלחה העסקית של עסק, כל עסק גדול וקטן גם יחד. השמירה על חיסיון המידע, שלמותו וזמינותו לארגון ולמורשים בלבד הנה ערך שיש להגן עליו בצורה אקטיבית תוך הסתייעות באנשי מקצוע מומחים בביצוע אבטחה וסקר סיכונים בארגון כמו משרדי חקירות.  

למאמרים נוספים לחצו כאן