בחלק א' הצגתי את הצעדים הארגוניים הראשונים שעל מנהל אבטחת מידע לנקוט ביצירת הפונקציה הזו. התהליך הזה אורך זמן – הרבה יותר ממספר הימים שעברו מפרסום חלק א'. הצעדים הבאים – אותם אפשר להתחיל לפני השלמת הנקודות של חלק א' – הם פעולות רוחביות ראשונות ליישום המדיניות. בעיקר מדובר בהגדרת הסיכונים של המערכות השונות והטמעת נהלי אבטחת מידע ראשונים.
כיוון שהצעדים הראשונים לעיל אורכים זמן, והאויב לא ממתין בסבלנות עד שנהיה ערוכים למגננה, כדאי במקביל לנקוט מספר צעדים נוספים שהם די סטנדרטיים. אלה צעדים שלא מחייבים השלמת ואישור מדיניות אבטחת מידע או הערכת סיכונים. בגלל היותם סטנדרטיים, הם קלים ליישום וכמעט ולא תלויים באסטרטגיה ארגונית, כפי שמפורט להלן.
מיפוי נכסים והערכת סיכונים:
תופתעו לגלות כמה מערכות עובדות בארגון. הרבה יותר ממה שאתם מנחשים. שלא לדבר על איזה מידע אגור בהן. מה הסיכון הנובע משימוש במערכות אלה? האם צריך להקצות משאבי אבטחה יקרים על מנת להגן עליהם? האם בכלל יש הצדקה להגן עליהם מעבר לכמה אמצעים סטנדרטיים? ואולי, מאידך, חובה להשקיע מאמץ רב בהגנה עליהם – הן מסיבות עסקיות והן מסיבות רגולטוריות?
תהליך הערכת הסיכונים הינו תהליך מתודולוגי שבו קובעים סט פרמטרים שמגדיר האם המערכות שמופו טומנות בחובן סיכונים (מהיבטי חשאיות המידע, שלמותו ואמינותו) לארגון. בתום התהליך הזה, תהיה לכם מפה של כל המערכות בארגון, פירוט של המידע והתהליכים העסקיים שלהן, ורמת הסיכון שלהן (לרוב: גבוה, בינוני, נמוך). כמובן שתרצו להתחיל באבטחה של המערכות בסיכון גבוה.
הגדרת נהלי אבטחת מידע ראשונים:
אני מציע להתחיל בכתיבה והטמעה של מספר נהלים מוגבל. לאחר בחינת הצלחת הטמעתם בארגון, תפיקו לקחים ובמידת הצורך עדכנו את הנהלים האלה. לאחר מכן תוכלו לכתוב נהלים נוספים.
מספר נהלים שכדאי להתחיל איתם: מדיניות סיסמאות, גלישה בטוחה באינטרנט, שימוש נאות במשאבי המחשוב, אבטחת סביבת עבודה, מתן הרשאות וחתימה על סודיות.
סקר סיכונים (רוחבי):
ההבדל המהותי שבין תהליך הערכת סיכונים לבין סקר סיכונים הוא שהערכת סיכונים מעריך באופן פוטנציאלי את הסיכון של המערכות השונות. סקרי סיכונים בוחנים בפועל את רמת אבטחת המידע של סביבת העבודה והמערכות השונות. סקר סיכונים יכול גם לבחון מערכת בודדת או נושא מסוים.
בארגון הנמצא בתחילת דרכו ביישום אבטחת מידע, אני מציע להתחיל בסקר סיכונים רוחבי. תקבעו אתם את תכולתו. הסקר יכול לשלב קצת אבטחה פיזית (כניסות לאזורים שונים כולל חדר מחשב, אבטחת סביבת העבודה), קצת נהלים (מדיניות סיסמאות ברשת ובמספר מערכות עיקריות), קצת הקשחה של שרתים (למשל Active Directory), בחינה כללית של ארכיטקטורת רשת וחוקים ב – Firewall, וכדומה.
התוצרים של סקר סיכונים כזה יאפשרו למפות סיכונים וכשלים רוחביים ולטפל בחלקם בפרק זמן יחסית קצר. בנוסף, המסקנות של הסקר יעזרו להגדיר תוכנית עבודה ראשונית לשנה הראשונה. אם זה פעם ראשונה שהארגון עובר כזה סקר, תהיו מוכנים שהתוצאות יגרמו להרבה רעש והמולה. תהיו בטוחים שהממצאים אומתו מול הגורמים השונים לפני הפצת הדוח וכי נשמר תיעוד מסודר לליקויים.
התקנת מנגנוני אבטחה סטנדרטיים:
כפי שציינתי בפתיחה, ישנם מספר מנגנונים שניתן להתקין כבר בהתחלה בלי להמתין לאישור מדיניות, הגדרת נהלים או ביצוע סקר סיכונים.
די בטוח שאנשי הסיסטם שלכם כבר התקינו אנטי-וירוס בכניסה לרשת ועל התחנות והשרתים. תוודאו שזה כך ואם טרם בוצע, תפעלו מיידית שזה יקרה.
כנ"ל לגבי Firewall בכניסה לרשת והגדרת חוקים נכונה.
תוודאו שמשתמשים שמתחברים מרחוק לרשת הארגון, מתחברים דרך VPN ומשתמשים בטוקן להזדהות מרחוק (כמובן, נושא לעיגון בנוהל בהמשך או לפני).
תפעלו להתקנת שרת לסינון גלישה לאינטרנט – URL Filtering. העובדים מאוד יאהבו אתכם לאחר שתחסמו להם אתרים מסוכנים, אבל בעלי המניות יישנו טוב יותר בלילה. אין הרבה מתחרים בשוק ורובם עושים עבודה טובה.
תגובות אחרונות