כללים באבטחת מידע בארגון

התגוננות יעילה, בכל תחום, מחייבת התבססות על כללים. עסק שלא נערך כהלכה מראש, עם כללי אבטחת מידע, ימצא עצמו במוקדם או במאוחר מתמודד עם אתגרים שלא היו מוכרים לו. לכן יש צורך בהיכרות מעמיקה עם כללי אבטחת המידע בארגון, ויישום יעיל שלהם.

מה זה אבטחת מידע?

מידע הוא כיום נכס מהמעלה הראשונה בכל ארגון ממוצע. כך היה תמיד, אך עוד יותר מכך בעקבות התרחבות המחשוב בארגונים, אשר מעודדת צבירת היקפי מידע אדירים. אבטחת מידע בארגון נחוצה כדי לאבטח נכס זה בפני שלל איומים, בדיוק כשם שמאבטחים את משרדי החברה בפני פריצה או את רכבי החברה בפני גניבה.

למה צריך אבטחת מידע בארגון?

הסיבות לצורך זה רבות והן נובעות מאופי הסיכונים השונים: התקפות למטרות סחיטה, חדירה למידע לשם ריגול תעשייתי, איומים על פרטיות (לקוחות ועובדים), טרור אנטי ישראלי או סתם האקר משועמם, שמתרגל את יכולותיו עליכם. כמו כן, כללי אבטחה נדרשים לעתים לשם עמידה בדרישות רגולציה וחוק. ברמה הטכנית, האיומים שבהם מדובר כוללים מונחים ידועים כמו וירוסים, רוגלות וכמובן פרצות אבטחה שמאפשרות להם לחדור למערכות המחשוב ולהזיק.

צעדים לבניית אבטחת מידע בארגון 

גיבוש נהלים ומדיניות

כחלק מניהול סיכונים כללי לעסק, יש לנתח את הסיכונים למידע ולגבש בהתאם לכך פתרונות. חשוב להוסיף לכך הכרת תקנות שמחייבות את העסק הספציפי כמו GDPR. הכוונה למדיניות ונהלים שמתבטאים למשל בעדכוני מערכות, גיבויים וכדומה, ובתגובות ספציפיות לאירועי אבטחה מסוגים שונים (למשל ניסיון סחיטה – האם לשלם או לא?).

ייעוץ

כדי להבטיח מענה מיטבי עבור אבטחת מידע בארגון, חשוב להיעזר בייעוץ מקצועי, ככל שנדרש.

רכישת ציוד מתאים

תוכנה וחומרה, פיירוולים, VPN, הצפנה, אנטי וירוסים וכדומה.

הדרכה ותרגול

בחלק מסוגי האיומים, בולטת במיוחד גישת התקפה שמכונה "הנדסה חברתית". מדובר על הטעיית עובדים לעשות דבר מה אשר מסייע לתוקף. הדרכה לעובדים חשובה במיוחד לגבי נושאים כאלה. ראו למשל "וירוס כופר" בפסקה הבאה.

חקר אירועי אבטחה

כאשר מתרחש מקרה אבטחה משמעותי, צריך לדעת מראש מה עושים, כולל חקר המקרה בסופו. הדבר חשוב ביותר, לשם שיפור מתמיד של הנהלים ויכולת ההתגוננות.

וירוס כופר

תארו לעצמכם שהפעלתם את המחשב בתחילת יום עבודה, לכאורה כרגיל, אך במקום מערכת ההפעלה והדסקטופ שאתם רגילים להם, הפתעה לא נעימה: הודעת סחיטה. אתם מתבקשים לשלם ללא דיחוי כופר מסוים, אחרת הפושעים יממשו איום מסוים, דוגמת מחיקת קבצים מהמחשב. כדי להמחיש לכם שהאיום רציני, ייתכן שההודעה תציין שכבר נמחקו קבצים מסוימים ואתם תבדקו ותגלו שזה נכון. על בסיס כללי זה, יש אינספור ווריאציות. לעתים, מתרצים את הדרישה לתשלום בסיפור מומצא, על כך שכביכול המחשב זוהה כמעורב בפעילות פלילית ולכן יש לשלם קנס. לעתים, התוקפים לא ימחקו קבצים אלא ימנעו גישה אליהם, באמצעות הצפנה. לעתים קרובות "ילחיצו אתכם" באמצעות תביעה לשלם עד מועד קרוב מסוים, כי אם לא, ימחקו עוד קבצים וכן הלאה. "כופרה" ("סוחטה", ransomware) כזו מתחילה את פעולתה בדרכים הרגילות, שבהן נוזקה (malware) מסוגים שונים חודרת למחשב. לכן, גם אמצעי ההתגוננות ברובם זהים. עם זאת, לאור היבט מחיקת המידע, יש כאן חשיבות גבוהה מהרגיל לביצוע גיבויים והחזקתם במקום נפרד. אם זה שרת – גיבויו על בסיס יומי. 

פתרונות אבטחת מידע בענן

גישת שירותי הענן מספקת יתרונות רבים, כולל חיסכון במשאבים וגמישות רבה. תוכלו להתרשם מכך אם תיכנסו לעמוד שירות אבטחת מידע בענן. ככלל, אבטחת מידע בענן עשויה להתייחס לשני דברים. האחד – הגנה על נכסים (כאתר) או פעילות (כתקשורת) שלכם באינטרנט. השני – שירותי אבטחה שנצרכים מרחוק.

השורה התחתונה

אבטחת מידע בארגון היא הכרח עבור כל גוף רציני. כדי לעשות זאת היטב, דרושים גיבוש כללים ונהלים ויישום יעיל שלהם.