דלג לתוכן

סיקור אבטחת מידע

על התחום ועל איפה הוא פוגש אותנו כארגון

עמוד ראשי » בלוג » אבטחת מידע » סיקור אבטחת מידע

הקדמה כללית - אבטחת מידע

אבטחת מידע היא התחום המתייחס להגנה ושמירה על מידע שברשותנו
מפני מה נרצה לשמור על המידע?
1. הרס מידע
2. מעקב
3. השגת גישה למידע מצד גורמים לא מורשים

אופיס 365 לעסקים באקסיטו

יש התייחסות מרכזית ל-3 אלמנטים של המידע

חיסיון המידע –
רק לגורמים אשר קיבלו הרשאה למידע יש גישה אליו.
דוגמה לבעיה בחיסיון המידע: גישה למידע רפואי של מטופלים ע”י גורם חיצוני לא מורשה.

שלמות ואמינות המידע –
המידע הנמצא במערכת מוגן מפני עריכה או שינוי של גורמים לא מורשים או זדוניים.
דוגמה לבעיה בשלמות ואמינות המידע: מחיקה של נתונים חשובים או שינוי שלהם.

זמינות המידע –
שימור היכולת של הגורמים המורשים לגשת למידע הרלוונטי אליהם.
דוגמה לבעיה בזמינות המידע: מניעת גישה לתיקייה אליה העובד מורשה.

אופיס 365 לעסקים באקסיטו

נוחות אל מול בטיחות

כדי להבין את תחום אבטחת המידע
ולמצוא פתרונות רלוונטיים לארגון יש לבחון את הפתרונות
באספקט הנוחות אל מול הבטיחות

הדרך הכי נוחה באופן אידיאלי להתנהלות היא:

  • לאפשר לכולם גישה לכל המידע
  • לדבר על מידע רפואי אישי של לקוחות בחופשיות
  • להיכנס לכל הקישורים שנרצה בלי לדאוג אם הם מסוכנים

אבל בפועל יהיו גורמים שיוכלו לנצל את פרצות האבטחה שלנו,
או לחלופין פרטיות הלקוחות יכולה להיפגע.

מצד שני ההתנהלות הבטוחה ביותר הדרך תהיה:

  • לאבטח את המשרדים עם שומרים
  • לא להתחבר לאינטרנט בכלל
  • לא לקחת שום מידע מלקוחות

אבל המצב הזה לא באמת יאפשר עבודה כלשהי.

בגלל הסיבות האלו אנחנו מבקשים למצוא פתרונות שהם בטוחים
אבל עדיין מאפשרים את נוחות העבודה שאנחנו רוצים שתהיה לנו כעובדים.

אופיס 365 לעסקים באקסיטו

בעיות אפשריות

למרות מה שחושבים לפעמים,
רוב הפריצות מתבצעות כשעובדי החברה מכניסים
את הפורצים ללא ידיעה – באמצעות לחיצה על קישורים בעייתיים ללא ידיעה.

  • טכניקה זו נקראת Phishing.

בשביל להגן על עצמנו מPhishing
אנחנו צריכים להתנהל בצורה חכמה
וזהירה יותר עם התכנים אליהם אנחנו נכנסים באינטרנט ובמייל.

נראה כמה דוגמאות –

1. הבעיה:
גורמים לא מורשים שיכולים להיכנס פיזית למתחם ולצלם / לגנוב מסמכים
דרך ההתמודדות:
בקרה על הגישה של הנכנסים לקומה (מפתח למעלית + אינטרקום),
ליווי האורחים המגיעים לדין.

2. בעיה:
תקלות טכניות שיכולות לקרות למחשבים / שרתים.
מחיקה בטעות של נתונים חיוניים.
דרך ההתמודדות:
גיבוי הנתונים ואחסונם במקומות רלוונטיים ומאובטחים.
ביצוע ניהול סיכונים למקרים בהם דברים משתבשים.

3. בעיה:
גישה של גורמים לא מורשים למחשבי העובדים או לתיקיות חשובות.
דרך ההתמודדות:
שימוש בסיסמאות למחשבים.
אבטחה לתיקיות המוגדרות כחשובות.

 

 

אופיס 365 לעסקים באקסיטו

תקני ISO – מדוע זה נדרש?

  • ככל שמידע החל לקחת חלק משמעותי יותר בפעילות של ארגונים,
    גברה ההבנה שיש לדעת איך להתנהל עם מידע זה בצורה אחראית
  • כשמדובר במידע רפואי של מטופלים, הדבר משמעותי עוד יותר
  • חברות רבות, במיוחד בתחום המכשור הרפואי, דורשות הסמכה לתקני אבטחת מידע כתנאי לשיתוף פעולה.
אופיס 365 לעסקים באקסיטו

אילו תקני ISO יש?

  • ISO 27001
    תקן לאבטחת מידע כללית אשר נותן כלים להתנהלות בטוחה יותר עם המידע שלנו בארגון
  • ISO 27799
    תקן להתנהלות עם מידע רפואי של מטופלים ולקוחות
אופיס 365 לעסקים באקסיטו

דגשים מתקן ISO 27001

  • ראשית יש להבין מהם המקומות בהם יש לנו מאגרי מידע
  • למי יש גישה למאגרי המידע ולמי צריכה להיות גישה
  • אילו בעיות עלולות להתרחש במאגרי המידע הנ”ל וכיצד אנו נתמודד איתן אם יקרו
  • הגיבויים שצריכים להתקיים והאחראי על ביצוע גיבויים אלו
  • ניסוח נהלים להתנהלות נכונה עם המידע האישי והרפואי במידה שתהיה מספיק נוחה לעבודת היום-יום
  • הקצאת המשאבים הנדרשים כדי להגן על המידע הרלוונטי
  • מחויבות ההנהלה לתמוך בתהליכים השונים אשר נדרשים
  • קיום הדרכות להעלאת המודעות לאבטחת מידע