נושא אבטחת המידע הפך לתפוח האדמה הלוהט ביותר בתקופה האחרונה – כולם מדברים עליו, אבל לא תמיד כולם באמת יודעים עד כמה הארגון שלהם מוגן ועד כמה הוא עלול להיות פרוץ לסכנות השתלטות של האקרים.
הכנו לכם מדריך קצר, שיעזור לכם לדעת מהם הכשלים ומהן החוזקות באבטחת מידע נכונה לארגון.
הכלל הראשון באבטחת מידע – שיטה פנים ארגונית
אבטחת מידע, היא הרבה יותר מטכנולוגיות ומערכות הגנה המותקנות על שרתי החברה. למעשה, החלק החשוב ביותר בנוגע לשמירה ואבטחת המידע שברשותכם, קשור בהבנה ובהתחייבות של הארגון, כי המידע שברשותו רגיש, וכי עליו לשמור עליו, בנהלי החברה עצמם. לשם כך, מומלץ שהנהלת הארגון תגבש מסמך מדיניות אבטחת מידע, אליו היא מחוייבת: מומלץ גם, כי הנהלת הארגון תחזור ותתקף מדיניות זו, לפחות כל שנה.
בניתם מסמך מדיניות לנהלי אבטחת מידע?
כעת מומלץ שתדאגו להציגו בכל מחלקה: בדרך זו, ידעו העובדים, כי המידע העובר תחת ידיהם הוא רגיש ועליהם לשמור עליו. את מסמך המדיניות לאבטחת מידע, חובה לאכוף: מנסיונינו, ארגונים אשר לא מייסדים מדיניות ברורה לאבטחת מידע, עלולים להגיע למצב בו כל עובד עלול לגבש שיטות עבודה משלו לאבטחת מידע, ללא סנכרון עם מדיניות רוחב כלל ארגונית, התומכת ברגולציות ובדרישות החוזיות של הארגון, אל מול לקוחותיו.
בסופו של דבר, על הארגון להיות נאמן לשיטה שקבע, תוך היכולת לבקר אותה, לתקף אותה ולאכוף אותה.
כל עוד תבטיחו כי בשיטת העבודה הפנים ארגונית בחברה, ייסדתם נהלים המאפשרים למידע לא לזלוג החוצה – הרי שהתחלתם את תהליך אבטחת המידע שלכם ברגל ימין.
אנחנו בדפוס בארי, פועלים כך כבר עשרות שנים: המידע המופקד באחזקתנו, הוא בדרגת החשיבות הגבוהה ביותר ולכן אנו מקפידים על יצירת נהלים רוחביים וכלל ארגוניים לאבטחת מידע, לצד עבודה פרטנית עם כל אחד מלקוחותינו ליצירת מתווה ברור שיענה על דרישות האבטחה שלו.
הכלל השני באבטחת מידע – תקן בינלאומי ISO 27001
ISO 27001 הוא תקן בינלאומי של אבטחת מידע. תקן זה הינו תקן גנרי, המותאם לכל סוגי הארגונים בעולם ומאפשר לחברות לאמץ אותו, בהתאם לתחום פעילותן. התקן ניתן לחברות שקיבלו על עצמן את ההתחייבות להחיל כללים בינלאומיים באופן ניהול ושמירת המידע.
תקן ISO 27001 מקיף תחומי פעילות הקיימים בכל עסק שיש לו צורך להגן על מידע: רשת, פיתוח תכנה, ניהול כח האדם, ניהול ספקים, ניהול קבלני משנה, ניהול ציוד, נהלי עבודה, בקרות, טכנולוגיות ועוד.
חברה המבקשת להחזיק בתקן ISO 27001, נדרשת לעבור מבחן הסמכה ראשון באמצעות חברה חיצונית המאושרת על ידי המדינה, ואז לשוב ולתקף את ההסמכה בכל שנה.
מטרתו של התקן היא לוודא כי הארגון המחזיק בדאטה, מאפשר את ניהולו תחת שלושה פרמטרים:
סודיות – Confidentiality: ווידוא כי המידע נגיש רק לבעלי גישה שהוגדרו
אמינות – Integrity: וידוא כי המידע מעובד באופן שלם ומדוייק
זמינות – Availability: וידוא כי המידע זמין ונגיש
קבלת התקן כרוכה במבדקים פנימיים, פעולות מתקנות ומונעות, בקרת מסמכים ורשומות.
אנחנו בדפוס בארי מחזיקים בתקן ISO 27001 ומאושרים כחברת דאטה מאובטחת.
הכלל השלישי באבטחת מידע – שקיפות
שקיפות למול הלקוח, הוא אחד מהיסודות החשובים ביותר, לקשר שבין ארגונים ללקוחות. בכל הקשור לנושא אבטחת מידע, שקיפות היא יותר מערך יפה: היא הכרח של ממש.
אבטחת מידע נכונה, תאפשר ללקוחות לבצע בדיקות יזומות של מערכות אבטחת המידע בארגון המאחסן את הדאטה. אנו בדפוס בארי, מאפשרים ללקוחותינו לבצע סקרי אבטחת מידע ובטחון תקופתיים במשרדי החברה. במפגשים אלה, יכולים לקוחותינו ללמוד על שיטות העבודה ואופן הטיפול ושמירת המידע שלהם.
כך, אנו מבצעים בכל שנה סקרי סיכונים ומבדקי חדירות לרשתות החברה (Penetration Test) על ידי חברות מובילות בתחום. במבדקי חדירות מבצעים למעשה תקיפות יזומות ומבוקרות על מערכות ורשתות החברה מתוך מטרה לאתר פרצות אפשריות באופן יישום והטמעת הטכנולוגיות ברשתות ומחשבי החברה. איתור מוקדם של פרצות כאלה מאפשר לארגון לתקנן מבעוד מועד ולמנוע מקרים של זליגת מידע ו/או חדירה זדונית לרשת.
אנו מאפשרים ללקוחותינו ללמוד על הממצאים הללו כדי לקבל בטחון כי הארגון שומר על התחייבויותיו כלפיהם וכי המידע שמועבר אלינו, שמור ומוגן על-פי הסטנדרטים המחמירים ביותר.
הכלל הרביעי באבטחת מידע – פיצ'רים מתקדמים
דבר אחד קבוע בטכנולוגיה: היא משתנה כל הזמן. כל מי שעוסק באבטחת מידע, יגיד שאין דבר כזה "מוגן הרמטית", אבל בהחלט יש פיצ'רים ופיתוחים שיגנו על המידע, לאור הטכנולוגיות המשתנות.
ארגון ששומר על אבטחת מידע נכונה, הוא ארגון שמחובר למגמות ולחידושים בתחום אבטחת המידע, והדבר חשוב במיוחד עבור חברות המחזיקות בדאטה של לקוחות.
אנחנו בדפוס בארי, נעזרים בייעוץ של מיטב החברות במשק ובעולם לאבטחה באמצעותן אנו מוסיפים ורוכשים טכנולוגיות חדשות בכל שנה. מערכות כגון מערכות אנטי וירוס, מערכות בקרה על התקנים ניידים, מערכות בקרה על מחשבים ורכיבים שאינם מזוהים כשייכים לארגון, מערכות הלבנה, מערכות FW, מערכות רישות, סיגמנטציה, רישום פעילות על קבצים, הגנה וחסימת אתרים מסוכנים ברשת האינטרנט ועדו ועוד.
מדובר לא פעם במערכות יקרות ומורכבות ,אך כארגון ששם דגש על האחריות שלו לשמירה על המידע, אנו לא חוסכים במאמצים ובהשקעות כספיות במטרה לעשות זאת.
זכרו, אבטחת מידע הוא דבר חשוב אך גם מורכב ואנו ממליצים לכם לא להקל ראש בנושא זה.
Beeri Blog 