שתף    שלח לחבר  

        ינואר 2015
 


השאלות שכל דירקטור צריך לשאול  בנושא סייבר ואבטחת מידע

מאת רו"ח גיא מונרוב, CIACISACRISC, סגן נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע ISACA ישראל, שותף בחברת הייעוץ אלקלעי מונרוב AlMo

אני מניח שאין אחד שיקרא שורות אלו ויאמר לעצמו שלא שמע את המילה "סייבר" לפחות מספר פעמים בשנה האחרונה. עדות לכך שנושא זה נמצא רבות בכותרות, ניתן לראות במספר הפעמים בו הופיעה המילה "סייבר" בחיפוש פשוט בגוגל לעומת מילים אחרות בנושאים אשר מעסיקים אותנו רבות, כגון: "בנימין נתניהו", "יוקר המחייה" ואפילו צמד המילים "צוק איתן" לו היינו חשופים בחודשים האחרונים. עדות נוספת לכך ניתן לראות בפעולות של גורמי רגולציה שונים בישראל, כגון: בנק ישראל אשר דרש כי כל בנק יקים מערך הגנה קיברנטי וימנה מנהל הגנה קיברנטית שיעמוד בראשו, חברת חשמל אשר השיקה חמ"ל סייבר ורה"מ נתניהו אשר הודיע על הקמת רשות להגנת סייבר.
גם בעולם אנו רואים עדות לפעילות הרבה שנעשית בנושא. מסקר שנערך בקרב 340 מנהלי אבטחת מידע ומערכות מידע ע"י חברת הייעוץ הבינלאומית (Protiviti (www.protiviti.com, נמצא כי לשלוש מתוך ארבע מועצות מנהלים יש את ההבנה והידע בתחום אבטחת המידע והמחויבות הדרושה לכך.
גם אתה הדירקטור, שקורא ידיעה זו לבטח שואל את עצמו, מה אני אמור לעשות עם "באזז" הסייבר אשר לא שוכך. האם ישנן שאלות שאני צריך לשאול את עצמי ו/או את הנהלת החברה? מה השתנה מהשנה שעברה? האם אני צריך לדרוש מהנהלת החברה ביצוע פעולות מסוימות? מהן ההשלכות במקרה של מתקפת סייבר על הארגון שלי? וכו'.

 והתשובה הינה - כן, יש מספר שאלות שמחובתך לשאול וכמובן גם לקבל עבורן את התשובות.

1.האם הארגון משתמש במסגרת עבודה (קווים מנחים) לאבטחת מידע?

תשובה אפשרית: כיום קיימות מספר מסגרות עבודה ודרישות רגולציה אשר מספקות לארגונים קווים מנחים ואבני דרך הנדרשים ליישום בתחום. מסגרות העבודה ודרישות הרגולציה הנפוצות הינן:  COBIT®5 for Security, ISO27001 שהינן מסגרת עבודה ותקן כללים אשר טובים לכל ארגון ללא התייחסות למגזר פעילות ספציפי, HIPPA  (רגולציה אמריקאית בתחום הבריאות), PCI-DSS (תקן אבטחת מידע בנושא כרטיסי אשראי), חוזר אבטחת מידע של משרד האוצר המפקח על הביטוח החל על גופים מוסדיים ועוד. חשוב לציין כי גם לארגון שלא חלה עליו רגולציה מוסדרת נכון יהיה לאמץ תקן בנושא לאחר ביצוע סקר סיכונים אשר יפרט וידרג את מכלול הסיכונים מולם הארגון צריך להתמודד.

2.מה הם הסיכונים אשר קשורים לתחום הסייבר בארגונך?

תשובה אפשרית: מחשוב ענן (תצורת עבודה אשר תופסת תאוצה בתקופה האחרונה המאפשרת לאחסן מידע אצל גורמים חיצונים שלא ברשת הארגון וכן לקבל שירות תוכנה (SaaS – Software as a services) מגורם חיצוני כאשר כל המידע נאגר ונשמר במאגרי מידע מחוץ לארגון, לדוגמא: Office365, לשכות שכר ועוד) , הבאת ציוד מחשוב מהבית, כגון: טלפונים חכמים ומחשבי לוח לעבודה שהינם בבעלות העובד (Bring Your Own Device BYOD -) – טרנד נפוץ היום אשר חברות מאפשרות לעובדים להביא את ציוד המחשוב האישי שלהם (כגון: טלפונים חכמים, מחשבים ניידים, מחשבי לוח ועוד) ולחבר אותו למערכות הארגון. הבעיה העיקרית בתצורה זו שאין הארגון יודע מה היא רמת אבטחת המידע במכשיר והאם הוא נגוע בווירוסים ויכולת השליטה על המכשיר נמוכה ללא הסתייעות במערכות תומכות, מיקור חוץ של פעילויות הליבה בארגון, היעדר תכנית לטיפול באירועי אבטחת מידע (IR – Incident Response), הרשאות גישה עודפות, אי איתור פעולות בלתי מורשות / חריגות בזמן אמת (סקירת יומני מערכת). כל אלה מהווים גורמי סיכון משמעותיים אשר עלולים להוות חשיפה בתחום הסייבר בארגון.
 
3.האם עובדים מודעים לתפקידם בתחום הסייבר והסיוע הנדרש בהתמודדות עם האיום?

תשובה אפשרית: הארגון נדרש לבסס תכנית הדרכה להעלאת המודעות בקרב עובדיו לסיכוני אבטחת המידע הקיימים בכלל ולסיכוני סייבר בפרט. הנהלת הארגון צריכה להטמיע בעובדים את חשיבות הנושא (Tone at the Top). לדוגמא: יש למנות מנהל אבטחת מידע ולהגדיר תקציב ליישום פעילויות האבטחה. חלק גדול בהתמודדות בנושא הינו מודעות עובדים ולשם כך יש לפתח מערכי הדרכה ועדכונים שוטפים בנושא, כגון: שליחת דוא"ל אחת לתקופה על החשיבות של אי פתיחת דוא"לים חשודים מגורמים לא מוכרים, אי הכנסת התקן נייד למחשבי הארגון ללא העברתו קודם לכן בעמדת הלבנה וכו'.

4.האם במקרה של פריצה ממשית, לארגון קיימת תכנית להתמודדות עם אירועי אבטחת מידע אשר התממשו?  

תשובה אפשרית: לארגון צריכה להיות תכנית להתמודדות עם אירועי אבטחת מידע (IR – Incident Response), תכנית להתמודדות עם אסון ,  המשכיות עסקית והתאוששות מאסון (BCP / DRP), הקמת צוות להתמודדות עם אירועי כשל והגדרת אחריותו וכמובן לא לשכוח תרגול התכניות. תפקיד תכניות אלה הינו התמודדות עם האיום לאחר התרחשותו בניסיון למזער את הנזק מצד אחד ולאפשר לארגון להמשיך לתפקד מהצד השני.

5.האם בעת בניית תכנית ההתמודדות עם איומי הסייבר נלקחו בחשבון איומים חיצוניים ופנימיים?

תשובה אפשרית: אף על פי שאיומים חיצוניים מקבלים חשיפה תקשורתית גבוהה יותר, הניסיון מלמד כי הסבירות לכשל אבטחתי כתוצאה מאיום פנים ארגוני (כגון: גניבת מאגר הלקוחות של חברת לאומי קארד על ידי עובד לשעבר אשר התרחשה לפני מספר חודשים), גבוהה יותר מאיום חיצוני. על מנת להתמודד עם איומים פנימיים יש להתייחס לדוגמא לאיום מצד עובדים וספקים אשר מקבלים גישה למערכות הארגון ועל ידי כך יתכן וחשופים למידע רגיש, לפעול ליישום מערכות ניטור אשר מאפשרות בזמן אמת ובדיעבד לדעת אפילו מי הגורם אשר רק צפה במידע רגיש ללא ביצוע בו שינוי כלשהו (לדוגמא: הדלפת מכירת תיק ניירות ערך על ידי הרמטכ"ל לשעבר דן חלוץ בבנק לאומי בתחילת מלחמת לבנון השנייה), הגבלת גישה להתקנים ניידים למחשבי הארגון ועוד . לגבי איומים חיצונים הארגון נידרש למפות את מכלול הסיכונים בפניו הוא חשוף לדרגם ובהתאם לממצאים לפעול ליישום מערכי הגנה למניעת הסבירות להתרחשותם מצד אחד וגילוי למקרה והפריצה אכן התרחשה.
 
6.האם בוצע בארגון סקר סיכונים בנושא אבטחת מידע לאיתור כלל הסיכונים ודירוגם על פי רמות חשיבות? האם נבנתה תכנית עבודה למיגור הסיכונים בעקבותיו?

תשובה אפשרית: כן (אתם בכיוון הנכון), לא (יש מקום לשיפור).
 

 
כניסה לאתר mail office@idu.org.il 03-7363146