סקר סיכונים – הגנה על הנכס המשמעותי ביותר של החברה
סקר סיכונים אבטחת מידע הוא הצעד הראשון והבסיסי ביותר לחברה מסחרית על מנת ליישר קו עם הסטנדרט הנדרש בעולם הטכנולוגי בו מתנהל היום העולם המסחרי.
אם פעם הנכסים המרכזיים של כל חברה היו יושבים במחסנים הלוגיסטיים, בחנות או בארכיון המשרדי, כיום, למעט אולי אצל הסנדלר השכונתי, רוב הנכסים המסחריים של חברות ועסקים הם נכסים דיגיטליים.
נכסים דיגיטליים – ליבת העסקים
חישבו רגע מה יקרה אם מחר, חו"ח תתרחש רעידת אדמה ויהרס הבניין בו ממוקמים משרדיכם. בכל חברה ועסק, סביר יהיה להניח שתוך כמה ימים החברה תצליח לאתר משרדים חליפיים ולחזור למתן שירות באופן תקין.
אך מה יקרה אם מערכות המידע של החברה, בהן אגורים כל הסודות המסחריים שלה, רשימת הלקוחות, החשבוניות הפתוחות והתוכניות העסקיות – ימחקו כליל על ידי האקרים? בכל עסק וחברה אשר נסמכים על מערכות מידע, או במילים אחרות, בכל עסק וחברה…כנראה שזו מכה עסקית שלא ניתן יהיה להתאושש ממנה.
הפתרון – סקר סיכונים
סקר סיכונים לא מהווה פתרון כולל לכלל הסיכונים הטכנולוגיים בפניהם עומדת חברה מסחרית, הוא מהווה רק צעד ראשון ובסיסי לסדר וארגון ולעמידה בסטנדרטיים הבסיסיים ביותר. בכך הוא תורם תרומה משמעותית לצמצום החשיפה של חברות מסחריות לסיכונים.
מי יכול לבצע את סקר הסיכונים?
למרבית האנשים שלא עוסקים בתחום הטכנולוגי כל מי שעוסק בטכנולוגיה נראה "מבין במחשבים". זו תפיסה שגויה ואפילו מסוכנת לעיתים. למשל, איש המחשוב של החברה, טכנאי המחשבים, מנהל מערכות המידע או מנהל ה-IT, לא יכולים לבצע סקר סיכונים לחברה. לעיתים בגלל שאין להם את הידע הנדרש, אבל יותר חשוב מכך – כי אי אפשר למנות אדם לבקר את עצמו.
לפיכך, סקר סיכונים צריך להתבצע על ידי מומחה סייבר ואבטחת מידע כגורם חיצוני ונטרלי, בדמות "אורח לרגע, רואה כל פגע". רצוי גם שאותה חברה שמתחמה בביצוע סקרי סיכונים לא תהיה גם זו שתיישם את מסקנותיו, כלומר, שהמסקנות יהיה נקיות משיקולים זרים של רצון למכור לחברה כלי הגנת סייבר שכלל לא בטוח שהיא זקוקה להם.
סקר סיכונים אבטחת מידע – היום שאחרי
לאחר קבלת מסקנות וסיכום סקר סיכוני הסייבר בחברה, על החברה לפנות לספקים שונים, קיימים או חדשים, על מנת שיישמו את מסקנותיו – אם בהגדרות במערכות המידע, אם בהצטיידות בכלי הגנה מתאימים כמו פיירוול,כלי EDR (אנטי-וירוס מדור מתקדם) וכדומה. זהו תהליך שרצוי שילווה על ידי אותו מומחה סייבר שביצע את הסקר, על מנת שיוודא שהספקים אכן ממלאים את הנדרש ולא מעמיסים על החברה כלים ומשימות מיותרות.
בסיום תהליך הטמעת ממצאי סקר הסיכונים מומלץ שתתבצע ביקורת על מנת לוודא כי ההטמעה בוצעה בהצלחה.
צעדים מומלצים נוספים אחרי יישום המסקנות
כפי שנאמר, סקר הוא רק הצעד הבסיסי והראשוני להקשחת מערכות החברה. מומלץ כי בנוסף יתקיימו פעילויות להעלאת מודעות העובדים לסיכוני סייבר ויתבצעו בדיקות חדירות – Penetration Test – למערכות המידע של החברה.
מודעות עובדים לאבטחת מידע
מודעות עובדים לסיכוני אבטחת מידע היא קריטית לצמצום החשיפה של החברה משתי סיבות מרכזיות, ראשית כל – ההשקעה הנדרשת מינורית יחסית לאמצעי הגנת סייבר אחרים, אבל יותר מכך – נתונים ממחקרים בינלאומיים על תקיפות סייבר מראים כי רוב רובן (יש המדברים על 95%!) של תקיפות הסייבר מתרחשות בגלל רשלנות המשתמשים.
בדיקות חדירות – Penetration Test
בדיקת חדירות, Pentest חשובה גם היא מאחר והיא חושפת חולשות טכנולוגיות שלא נחשפו בסקר הסיכונים עצמו, שממוקד בניהול וארגון נושא אבטחת המידע, מדיניות, נהלים וכדומה – אשר עשויות להוות פרצה הקוראת לגנב. בדיקות החדירות בוחנות בד"כ שני תרחישים מרכזיים – תקיפת הארגון על ידי גורם חיצוני לארגון ותקיפת הארגון על ידי אדם הנמצא בתוך המשרדים, יהא זה עובד שהחליט להזיק לארגון, או שליח שרק נכנס כדי למסור חבילה, אך כוונותיו אינן תמימות ובזמן השהות במשרדים, יחדיר לרשת נוזקה לצורך גרימת נזק, או סביר יותר – לצורך מתקפת ריגול עסקי על החברה.