השאלות שכל דירקטוריון צריך לשאול את עצמו בנושא סייבר ואבטחת מידע - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

השאלות שכל דירקטוריון צריך לשאול את עצמו בנושא סייבר ואבטחת מידע

אירוע סייבר הוא אחד מהסיכונים הגבוהים ביותר לחברה. על כל דירקטוריון לבדוק אם גורמי הסיכון לפריצה נמצאים בארגון ולדרוש מההנהלה לתקן את הליקויים

ההודעה ששתלו ההאקרים במסגרת מתקפת הסייבר בבריטניה, במאי
@fendifille / אי־פי

על פי סקר שנערך על ידי חברת הייעוץ הבינלאומית פרוביליטי (Protiviti) שבדק את נושאי הסיכון הגבוהים ביותר ל-2018 בקרב יותר מ-700 מנהלים בכירים בעולם, נמצא כי סיכון הסייבר עדיין נמצא בין חמשת הסיכונים הגבוהים עם עלייה ברמת הסיכון לעומת 2017.

מחובתו של הדירקטור, שיושב במועצת המנהלים של אחת מהחברות בישראל לקבל תשובות לכמה שאלות מהותיות, תוך דרישה מהנהלת החברה לביצוע של כמה בדיקות ומהלכים. מערך הסייבר הלאומי במשרד ראש הממשלה הגדיר לאחרונה מה הן השאלות הבסיסיות ביותר שנדרשות להישאל ואנו הוספנו עוד כמה שאלות חשובות:

האם הנהלת הארגון הגדירה מה הנכסים ו/או התהליכים העסקיים הקריטיים ביותר בארגון? וכיצד אירוע סייבר עלול להשפיע על נכסים/תהליכים אלה?

"הגנת סייבר" משמעותה לאפשר לארגון להמשיך לפעול בסביבה האינטרנטית ללא חשש לפגיעה ברציפות התפקודית ובמוניטין, ולמזער את הפגיעה במקרה של סיכון שהתממש כתוצאה מפעילות במרחב הסייבר. לצורך כך, עליו לאפיין את אותם נכסי מידע אשר פגיעה או גילוי שלהם תגרום לנו נזק. במסגרת דיון זה יש לקחת בחשבון שלושה היבטים חשובים, זמינות, סודיות ומהימנות המידע.

על איזו מתודה נשענת הגנת הסייבר של הארגון?

הסתמכות על מתודה סדורה, הכוללת התייחסות לאתר אירוע ולהגיב (Detect & Respond) תורמת רבות להתמודדות בארגון בתחום. כיום קיימות כמה מסגרות עבודה ודרישות רגולציה שמספקות לארגונים קווים מנחים ואבני דרך הנדרשים ליישום בתחום. מסגרות העבודה ודרישות הרגולציה הנפוצות הן:  COBIT®5 for Security, ISO27001 שהן מסגרת עבודה ותקן כללים שטובים לכל ארגון ללא התייחסות למגזר פעילות ספציפי, HIPPA  (רגולציה אמריקאית בתחום הבריאות), PCI-DSS (תקן אבטחת מידע בנושא כרטיסי אשראי), חוזר ניהול סיכוני סייבר של רשות שוק ההון החל על גופים מוסדיים, תקנות הגנת הפרטיות של הרשות הגנת הפרטיות ועוד.

חשוב לציין כי גם ארגון שלא חלה עליו רגולציה מוסדרת, נכון יעשה אם יאמץ תקן בנושא לאחר ביצוע סקר סיכונים.

האם מצוי בידי הארגון המידע הדרוש לטובת קבלת החלטות וגיבוש האסטרטגיה בנושא סייבר?

קיימת חשיבות לסקירה עתית ואפשרות לתשאול באופן ישיר את הגורם האחראי לנושא על ידי ההנהלה. מחקרים רבים מראים כי לעתים קרובות נקודות החולשה בפגיעה בארגון היא שרשרת האספקה שלו. תלות גבוהה בספק חיצוני שלא נערך כיאות להתמודדות עם תחום הסייבר חושפת בצורה מלאה את הארגון גם עם לעתים הדבר לא נראה.

לאילו חוקים ורגולציה בתחום הסייבר הארגון כפוף ומהי מידת העמידה בדרישות אלו?

הגנה בפני מתקפת סייבר
דובר צה"ל

על הארגון לדעת לאילו חוקים הוא כפוף ובכלל זה האם הרגולציה מחייבת דיווח על אירועי סייבר. לדוגמה, תקנות הגנת הפרטיות החדשות שנכנסו לתוקף במאי 2018 וארגונים אשר נכסים תחת רמת חשיבות גבוהה של מאגר המידע של ארגונם, חייבים בדיווח לרשות הגנת הפרטיות בקרות אירוע סייבר.

מה הם הסיכונים אשר קשורים לתחום הסייבר בארגונך?

מחשוב ענן (תצורת עבודה שתופסת תאוצה בתקופה האחרונה המאפשרת לאחסן מידע אצל גורמים חיצונים שלא ברשת הארגון וכן לקבל שירות תוכנה (SaaS – Software as a services) מגורם חיצוני כשכל המידע נאגר ונשמר במאגרי מידע מחוץ לארגון, לדוגמא: Office365, לשכות שכר ועוד), הבאת ציוד מחשוב מהבית, כגון: טלפונים חכמים ומחשבי לוח לעבודה שהם בבעלות העובד (Bring Your Own Device BYOD -) טרנד נפוץ כיום שחברות מאפשרות לעובדים להביא את ציוד המחשוב האישי שלהם (כגון: טלפונים חכמים, מחשבים ניידים, מחשבי לוח ועוד) ולחבר אותו למערכות הארגון. גם מיקור חוץ של פעילויות הליבה בארגון יוצר לא אחת פרצות מסוכנות וכך גם  היעדרות תוכנית לטיפול באירועי אבטחת מידע (IR – Incident Response), הרשאות גישה עודפות, אי איתור פעולות בלתי מורשות או חריגות בזמן אמת (סקירת יומני מערכת).

האם עובדים מודעים לתפקידם בתחום הסייבר והסיוע הנדרש בהתמודדות עם האיום?

הנהלת הארגון צריכה להטמיע בעובדים את חשיבות הנושא (Tone at the Top). לשם כך יש לפתח מערכי הדרכה ועדכונים שוטפים בנושא, כגון: שליחת דואר אלקטרוני אחת לתקופה על החשיבות של אי פתיחת אי-מיילים חשודים מגורמים לא מוכרים, אי הכנסת התקן נייד למחשבי הארגון ללא העברתו קודם לכן בעמדת הלבנה וכו'.

האם במקרה של פריצה ממשית, לארגון קיימת תוכנית להתמודדות עם אירועי אבטחת מידע שהתממשו?

לארגון צריכה להיות תוכנית להתמודדות עם אירועי אבטחת מידע, תוכנית להתמודדות עם אסון , המשכיות עסקית והתאוששות מאסון המשכיות עסקית והתאוששות מאסון (BCP/ DRP), הקמת צוות להתמודדות עם אירועי כשל והגדרת אחריותו וכמובן לא לשכוח תרגול התוכניות.

האם בעת בניית תוכנית ההתמודדות עם איומי הסייבר נלקחו בחשבון איומים חיצוניים ופנימיים כולל סיכונים בשרשרת האספקה?

אף שאיומים חיצוניים מקבלים חשיפה תקשורתית גבוהה יותר, הניסיון מלמד כי הסבירות לכשל אבטחתי כתוצאה מאיום פנים-ארגוני גבוהה יותר מאיום חיצוני. כדי להתמודד עם איומים פנימיים יש להתייחס, למשל, לאיום מצד עובדים וספקים שמקבלים גישה למערכות הארגון ועל ידי כך ייתכן וחשופים למידע רגיש, לפעול ליישום מערכות ניטור שמאפשרות בזמן אמת ובדיעבד לדעת אפילו מי הגורם שרק צפה במידע רגיש ללא ביצוע בו שינוי כלשהו (לדוגמה, הדלפת מכירת תיק ניירות ערך על ידי הרמטכ"ל לשעבר דן חלוץ בבנק לאומי בתחילת מלחמת לבנון השנייה), הגבלת גישה להתקנים ניידים למחשבי הארגון ועוד.

לגבי איומים חיצונים הארגון נדרש למפות את מכלול הסיכונים שבפניו הוא חשוף, לדרגם ובהתאם לממצאים לפעול ליישום מערכי הגנה למניעת הסבירות להתרחשותם מצד אחד, וגילוי למקרה והפריצה אכן התרחשה.

הכותב הוא רואה חשבון. לשעבר סגן נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע ISACA ישראל, שותף בחברת הייעוץ אלקלעי מונרוב AlMo המתמחה בתחום אבטחת המידע והסייבר



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#