נובמבר 1, 2023

המדריך לבחירת אבטחת מידע

אבטחת מידע היא נושא מורכב למדי, זאת בוודאי כאשר אנו מדברים על עסקים בשונה ממשתמשי מחשוב פרטיים. להכין מחשב בודד למצב שבו הוא מאובטח כראוי, זהו אתגר לא קטן. הרבה נדרש כדי לאבטח כל זאת היטב ותמיד כלולים בכך גם תהליכי בחירה שונים במיוחד שמדובר על שירותי מחשוב לעסקים. יש לבחור היטב במוצרי אבטחה איכותיים לדוגמא חומת אש, במתודולוגיות אבטחה מתאימות וטובות, בספקיות אבטחה איכותיות ואמינות ועוד. בסופו של דבר מתקבל תמהיל של אמצעי אבטחה ושיטות פעולה, אשר מאפשר להגיע לרמת אבטחה רצויה ולשמור עליה. זהו לא מצב סטאטי – הדברים משתנים בהתמדה ולכן גם דורשים השקעה מתמשכת והסתגלות לשינויים. למשל הופעת איומי אבטחה מסוגים חדשים, בהנחה שהעסק רגיש לאיומים ספציפיים אלה ובמידה שבה הדבר קריטי בשבילו. כך שהתמונה מורכבת, וכאמור, בחירות שונות הן במרכז העניינים. אז כיצד בוחרים היטב? הינה כל מה שצריך לדעת.

איך בוחרים חברת אבטחת מידע?

בחירת חברת אבטחת מידע היא התקשרות עם ספק אשר יהיה מעין הרחבה של צוות המחשוב שלכם. יותר מכך – ספק זה יהיה מופקד על היבט קריטי של המחשוב שלכם. לכן מומלץ לבחור אותו בתשומת לב מיוחדת ובין השאר בתוך תשומת לב לנקודות האלה:

הוותק והניסיון – רצוי מאוד לבחור בחברה בעלת די ניסיון בשטח, בעיקר בעבודה עם עסקים מסוגכם. עוד היבט משנה לכך, הוא לבדוק לגבי דמויות המפתח בחברה – בהנהלה ובצוות המומחים שלה. היכן הם הוכשרו בנושא האבטחה והיכן הם רכשו בכך ניסיון מעשי.
המוצרים והשירותים – מה הם מציעים? אילו שירותים זמינים אשר תזדקקו להם מיידית, כגון ביצוע סקר סיכונים, והאם החברה מציעה שירותים נוספים, אשר עשויים להיות שימושיים לכם בהמשך? למשל שירות של בדיקות חדירה.
תנאי השירות – למה החברה מתחייבת בהסכם רמת השירות (SLA)? למשל מבחינת זמינות התמיכה הטכנית בשעות וימים שאינם זמני עבודה רגילים.
המוניטין – מהו המוניטין שלו זכתה עד כה החברה ושל מוצריה ושירותיה? בהקשר זה כדאי ואפשר לבצע חיפוש חופשי באינטרנט. ייתכן שתמצאו כתבות על החברה, ראיונות וכו'. אם זה למשל מוצר אבטחה בין-לאומי ידוע, תוכלו לראות סקירה מהירה שלו בוויקיפדיה. גם חיפוש מידע במקורות מקצועיים כמו אתרים שמתמקדים באבטחה עשוי לסייע מאוד.
המחיר – עלויות השירותים והמוצרים הן נקודה חשובה נוספת שיש להביא בחשבון. אלה עשויות לכלול עלויות מסוגים שונים. מצד אחד, יש עלויות חד פעמיות של רכישת מוצרי אבטחה. מצד שני, יש עלויות שוטפות של תשלום חודשי קבוע לשירותים בתחום זה. נוסף לאלה, עשויות להיות הוצאות חד פעמיות מיוחדות, למשל סביב שירותי ייעוץ. חברות ומוצרי אבטחה מסוימים יהיו באופן טבעי יקרים יותר מאחרים, אם כי עלותם עשויה להתבטא בחסכון בעלויות של נזקי תקריות אבטחה שונות בעתיד. זהו למעשה נושא רחב בפני עצמו, אשר מכונה Return on Security Investment או RoSI. ככל שהעסק גדול, כך אתגרי האבטחה עשויים להיות נרחבים וגם החישובים בהקשר זה.
היבט האמון – ספק שירותי אבטחה חייב להיות ספק שאתם סומכים עליו. הרי די בפרצה אחת במערכות האבטחה או בשירותי ונהלי העבודה מבחינת אבטחה כדי שתתאפשר תקיפה.

למה כדאי לשים לב?

אם תחפשו חברות אבטחת מידע מקומיות, תגלו שישנו היצע עשיר מאוד. פעילות ההייטק הרחבה במדינה, כמו גם אתגרי אבטחה ביטחוניים מסוגים שונים, מביאים לכך שזהו ענף חזק מאוד בארץ זה שנים. המבחר הגדול הוא כשלעצמו דבר חיובי, אשר יאפשר לכם לבחור את הטוב ביותר. אך הוא גם מציב אתגר של בחירה מבין אפשרויות רבות וטובות. לכן, כדאי ומומלץ להתמקד בכך שתכינו מראש את רשימת הנקודות שחשובות לכם ביותר.

האם כל חברת אבטחת מידע מתאימה לי?

לגבי "הטוב ביותר", גם כדאי לזכור שהוא צריך להיות הטוב ביותר מבחינת מה שמתאים לכם. אם יש למשל חברת אבטחה מהשורה הראשונה בעולם, בכל הנוגע לאבטחת מערכות בקרה תעשייתיות מסוג SCADA – מצוין. אבל אם אתם בכלל לא משתמשים במערכות כאלה, אולי כדאי שתחפשו חברה אחרת. ואולי לא! ייתכן שזו חברה גדולה, עם מומחים רבים אשר מנוסים במגוון תחומי משנה. בכל אופן, בהחלט אפשר להניח שלא כל חברת אבטחת מידע תתאים לכם. עוד נקודה שכדאי לזכור: אבטחה וחברות אבטחה, עוסקים בשירותים שבעיקר מונעים נזקים ולא "מייצרים" דבר מה. זה לא פתרון שאפשר לומר עליו למשל שהוא מסוגל להגדיל את היקף המכירות שלכם בכך וכך אחוז. לכן חיוני להבין כיצד בכלל מעריכים איכות של מוצרי ושל שירותי אבטחה. לשם ההמחשה, נאמר שאתם מחפשים מוצר שמקל על ניטור ועל ניתוח המידע הרב שמגיע ממוצרי אבטחה אחרים, במקרה כזה הערך המוסף שלו מתבטא בין השאר בחסכון בזמן המעבר האנושי על "לוגים" שמפיקות מערכות כאלה. חסכון הזמן הוא נתון קונקרטי שעשוי לסייע להעריך כדאיות השקעה בפתרון כזה.

מהם טיפי הזהב לבחירת אבטחת מידע?

לבדוק את כל הפרמטרים לפני סגירת השירות

לבדוק את כל הפרמטרים החשובים, כגון ניסיון ותחום התמחות, מדיניות אבטחה וכל הכרוך באינטראקציה מול הספק.

להגיע עם מדדים מלאים על החברה

פרטים כגון מידת הרגישות של המידע ומדיניות הרשאות הגישה למאגרי המידע.

לבדוק את הגיבויים הקיימים

טיפ נוסף, הוא לבדוק אם יש גיבויים מקומיים, מאחר שגיבויים כאלה מעלים את רמת האבטחה.

מה הקשר בין אבטחת מידע לשירותי ענן?

שירותי ענן משולבים היום בפעילותם של עסקים רבים. לעיתים לא נדירות הם משמשים גם למידע רגיש ותהליכי עבודה חיוניים. לכן, האבטחה היא היבט חשוב ביותר בכל הנוגע לשירותים כאלה. מה גם, ששירותי ענן הם שירותים שפועלים ברובם אצל ספק חיצוני. לכן הם לא בשליטה ישירה ומלאה של העסק אשר משתמש בהם. נקודה זו מחזירה אותנו לנושא של בחירות מחושבות בנושא אבטחה ובמקרה זו, בחירה טובה של הספק. על אבטחה בהקשר לשירותי ענן אפשר להסתכל במבט על משני כיוונים. ראשית, צריך לאבטח את השימוש בשירותי ענן למיניהם, כגון שירות אחסון בענן, ושירותי גיבוי בענן. על אבטחה זו אחראי ספק שירות האחסון ולפני שמתקשרים איתו, כדאי וחשוב לברר באילו אמצעי אבטחה הוא נוקט. השימוש בשירות מסוג זה כולל גם את היבט התקשורת שיש לאבטח. למשל באמצעות שירות VPN או בעזרת הצפנת המידע שאתם שולחים אל שירות האחסון. היבט נוסף של אבטחה בהקשר לשירותי ענן, הוא שיש שירותי ענן שהם עצמם שירותים בתחום האבטחה. אלה הם לא מעט פתרונות לאבטחת מידע שאפשר לבחור מהם שזמינים היום כשירות ענן.

לסיכום

בחירות מחושבות וחכמות, יסייעו לכם להבטיח שנושא האבטחה בעסק שלכם מקבל את המענה הטוב ביותר.

Cloud Security