בניגוד לתחומים אחרים בנושא האבטחה הארגונית, אבטחת מידע אינה מסתיימת בסופו של יום העבודה אלא מתקיימת 24/7 ויתרה מזאת – דווקא שעות הפעילות נחשבות יחסית לבטוחות. לעיתים מספיק בפרצת אבטחה אחת כדי לקרוא להאקר (פצחן) שינצל אותה ויפגע בארגון.
המשמעות היא שהארגון חייב להגן באופן תמידי על עצמו בכל הערוצים העומדים לרשותו. אמנם לכולנו יש טכנולוגיות שונות במחשב כמו מערכות אנטי-וירוס, קודים שונים לכניסה למערכת ועוד אבל לרוב ההאקרים פועלים מהר מאיתנו והם משוכללים מאיתנו, כך שלא תמיד יש בכך די.
סקר אבטחת מידע – חובה ולא מותרות.
סקר אבטחת מידע כשמו כן הוא – סקר שנועד לספק תמונת מצב לגבי מצב האבטחה של המידע בארגון מסוים. ואם אתם חושבים שסקר אבטחת מידע הוא שם אחר לסקר סיכונים – אתם לצערנו טועים ומטעים וזה הזמן להבין את ההבדל.
בניגוד לסקר סיכונים שמתמקד במיפוי הסיכונים שמאיימים על הארגון, סקר אבטחת מידע בודק את כל התחומים בארגון הקשורים לכך, למשל : נהלים, ניהול של תהליכים, רגולוציה, תוכניות עבודה, היעדים שהציב לעצמו הארגון ועוד. למעשה הסקר בוחן שני דברים:
- יישומם של תהליכים שונים בתחום אבטחת המידע
- הערכת היכולות הארגוניות בצמצום אירועים בתחום אבטחת המידע
מומלץ לבצע את הסקר אחת לשנה מינימום ולכלול בו את כל התשתיות הרלוונטיות, כלומר כל מה שקשור לאבטחת מידע ארגוני ללא תלות בסוג התשתית, במיקום שלה או במספר האנשים שעושים בה שימוש.
הגודל לא קובע
מכיוון שסקר בתחום אבטחת המידע הוא חלק חובה בשגרת החיים של כל ארגון, אין משמעות לגודל הארגון וגם ארגונים קטנים חייבים לערוך סקר זה אחת לתקופה. כדי לבצע את הסקר כהלכה יש לכלול בארגון אלמנטים שונים הקשורים לתחום, למשל:
- לבצע סקרי סיכונים
- להדריך עובדים (לשלוח אותם לקורס לימודי סייבר זו אפשרות מצוינת)
- לנהל בצורה יעילה אירועים שונים בתחום אבטחת מידע
- להגדיר בצורה ברורה תפקידים שונים בארגון בתחום אבטחת מידע
- לקבוע מדיניות ארגונית בנושא אבטחת המידע וליישם את הנהלים שנקבעו
מערך הסייבר הלאומי ואתם
אחת ההוכחות לחשיבות הנושא גם לעסקים קטנים היא חוברת שהוציא מערך הסייבר הלאומי ב-2018.
החוברת נקראת "המלצות לאבטחת מידע וצמצום סיכוני סייבר לעסק קטן", אבל כמו בחוברות רשמיות אחרות היא כללית ולא מאוד יישומית. למשל, בתחום סקר אבטחת מידע הם ממליצים לערוך טבלה של מיפוי הסיכונים.
הטבלה שלהם כוללת 4 אלמנטים בלבד:
- האפליקציה הארגונית (כולל מערכות השכר והפורטל הארגוני),
- התשתית התקשורתית (כולל טלפונים ודוא"ל)
- הרשת הקווית, האלחוטית, האופטית והלוויינית
- והטכנולוגיה שקשורה לאבטחה פיזית כמו טלוויזיה במעגל סגור.
אנחנו כמובן חושבים שזו התחלה טובה אבל ממש לא מספיקה, כך שכדי להבטיח שהעסק שלכם לא יישאר קטן אלא יהיה גדול מהחיים צריך יותר. הרבה יותר.
