מתקפות סייבר הפכו לנפוצות יותר ונראית מגמה ברורה של עלייה משנה לשנה. אי לכך ובמקביל, דרישות הרגולציה החריפו בהתאמה. לפיכך על כל ארגון להכין את עצמו ולשקף להנהלה, עד כמה הוא מוכן וערוך מפני מתקפות אלה ומה חסר לו להשלים את מערך ההגנה שלו.

סקר סיכוני אבטחת מידע מתייחס לכל רמות האבטחה במסגרת התהליכים והמערכות הקיימים בארגון. החל מהתייחסות לאבטחה פיסית וכלה באבטחה של תשתיות, מערכות הפעלה, רשתות, נתונים בסיסיים, ניהול משתמשים ומתן הרשאות, תהליכי גיבוי ועוד.

במילים אחרות, הסקר בוחן את רמת אבטחת המידע הארגונית מקצה לקצה הן מבחינת תהליכים עסקיים וניהוליים, האם ישנם מדיניות ונהלי אבטחת מידע לפי הסטנדרטים המקובלים בתחום. כחלק מהתהליך נבצע מיפוי נכסי המידע הקריטיים של הארגון אשר במידה וידלפו לגורם לא מורשה, ייצרו נזקים כבדים לארגון. כמו כן חלק ניכר מהתהליך כולל סקירה טכנולוגית על המערכות הקיימות בארגון ,בדיקת ארכיטקטורה כללית של הרשת, בדיקת מערכות הפעלה מרכזיות , בחינת הגדרות בציוד אבטחת מידע כגון פירוול ומערכות אנטי וירוס, בדיקת הקשחות לשרתים ועמדות קצה מייצגות, האם קיימת הלימה עם תקנים ורגולציה, בדיקות כלליות להגדרות בציודי תקשורת שונים כולל WI FI ועוד..  

הסקר במהות שלו רוחבי ועמוק, תשאולי וגם יישומי ומציף את פערי אבטחת המידע הקיימים מבחינת מבנה החברה, התרבות הארגונית בהיבט אבטחת מידע, סטטוס מודעות עובדים, אבטחה פיזית, ממשל אבטחה ועוד. 

מטרת הפרויקט הינה לבצע סקר מיפוי מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בארגון על מנת לשקף מפה ראשונית של סיכוני סייבר של החברה, לרבות השלכתם של מוקדי הסיכון על תהליך ניהול סיכונים וקבלת החלטות בתחום אבטחת המידע. 

במסגרת הפרויקט ימופו מוקדי הסיכון המרכזיים בתחום אבטחת המידע הקיימים במסגרת פעילות החברה תוך התייחסות להשפעתם הישירה על סיכונים כספיים, תפעוליים, סיכוני אי עמידה ברגולציה וסיכוני תדמית. 

מתודולוגית עבודה והצוות המבצע

חברת Avalon Security פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים.  חברתנו מספקת מומחים ויועצים בתחומי אבטחת מידע וניהול סיכונים בעלי היכרות מעמיקה עם תקני אבטחת המידע ISO 27001/27799. 

 הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה הנ”ל ועל Good Practices מקובלים בעולם הגנת המידע כגון NIST. 

אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויישומה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של החברה ויועציה ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן התמודדותם.  

הצוות המקצועי שיוקם לצורך ביצוע הפרויקט, יאפשר ביצועו תוך פגיעה מינימאלית במהלך העבודה השוטף של הארגון. 

שיטת העבודה:

• ראיונות עם גורמי המפתחים האחרים .
• עיון במסמכים פנים ארגוניים למשל: מדיניות מסמכים אבטחת מידע, נהלים המכתיבים את התנהלות הארגון ועוד.
• מיפוי מערכות קריטיות בארגון : תשאול וקיום ראיונות אל מול מנהלי המערכות והגורמים הרלוונטיים בתחום.
• בדיקה באתר: הבדיקה מכסה את אותם תחומי חברה הם כלולים להיווצר סיכונים פוטנציאליים חשובים להערכת סיכונים.
• ייצור, עיבוד, אחסון, ניהול וכו’.
• מתקני אספקה, חדרי בקרה, מרכזי מדיה וכו’.
• תחומים אחרים לפעילות, תחומים מועדים לסיכונים, נכסים מרוכזים וכו’.

במסגרת הסקר תהיה התייחסות מפורטת לנושאים הבאים:

1. בחינת כל אמצעי התקשורת השייכים לרשת כגון שרתים, עמדות קצה, מכשירים סלולריים וכדומה.
2. ניתוח תשתיות התקשורת – ניתוח קווי ה- WAN , רשת ה- LAN והתקשורת האלחוטית בארגון .
3. ראיונות עם אנשי מפתח – ראיונות עם גורמים שונים בארגון לקבלת נקודות מבט שונות על אבטחת המידע, על תיעדוף משאבים וכדומה.
4. בחינת נהלי אבטחת המידע בארגון, הן מבחינה פורמלית הן מבחינת היישום.
5. בדיקת מאגרי המידע ע”פ דרישות רגולטוריות, רישום במשרד המשפטים ורגולציות שונות על פי הצורך.
6. אפיון המידע המוחזק בארגון, הגדרת עדיפויות, הגדרת מערכות קריטיות וכדומה.
7. בחינה מעמיקה של אמצעי האבטחה הקיימים בארגון, מבחינת הארכיטקטורה שלהם, הקונפיגורציה, וניתוח כשלי האבטחה שהם מותירים, כל זאת תוך התייחסות לאפיון המידע ובהתאם לרגישותו על פי צרכי הארגון .
8. בדיקת האופן בו מנוהלים המשתמשים במערכות מבחינת הרשאות התחברות, גישה למשאבים ועוד .
9. בדיקת מודעות העובדים לנושאי אבטחת מידע, מדיניות הדרכות בארגון, שמירה על סיסמאות וכדומה.
10. ניתוח אופן העבודה מול חברות במיקור חוץ, צורות ההתחברות, הסכמי ההעסקה וכדומה.

תוצרי הפרויקט:

בסיום הפרויקט החברה תקבל דו״ח אשר יכלול את כל הממצאים שנאספו במהלך הבדיקות, המלצות ראשוניות לתיקון הכשלים שנתגלו והתייחסות. הדו״ח ייכתב בפירוט רב ויכיל בנוסף לממצאים גם רקע טכנולוגי ופירוט מתודולוגי לבדיקות.

כמו כן חלקו הראשון של הדו”ח יוגש כתקציר מנהלים, ובו יפורטו עיקרי הדו׳׳ח לטובת כוח אדם שאינו בקיא במושגים הטכנולוגיים . הממצאים העיקריים בדו”ח יסווגו על פי רמת סיכון וסבירות למימוש האיומים, והן על פי חומרת הפגיעה במקרה של מימושו.

יועצי אבטחת המידע שלנו עם ניסיון ומוניטין של מעל כעשור עם בקיאות בהערכת סיכונים וכתיבת דוחות איכותיים, וילוו את ארגונך מקצה לקצה עד לעמידה בתקנות ובהתאמה מלאה לתחום הפעילות שלך.