סקר סיכונים בארגון לגבי ביטחון פיזי וסייבר: עדיף למנוע מאשר לכבות שריפות

סקר סיכונים בארגון לגבי ביטחון פיזי ואבטחת מידע: עדיף למנוע ולסכל מאשר לכבות שריפות
מאת: שלומי אדר, 28.3.17, 18:51

"הערכת סיכונים מבוקרת" הוא תהליך של מבדק, זיהוי והערכה של סיכונים בחברה מבחינת ביטחון פיזי, סייבר והיערכות למצבי חירום, שיכולים לגרום לכשל תפקודי או הפסקת פעילות שוטפת. כיום ניהול סיכונים בארגון מתבצע באמצעות מודלים משוכללים. כיצד בונים סקר סיכונים? מהם שלביו?

כחלק מתהליכי שרשרת האספקה בארגון, עולה מעת לעת דרישה לערוך סקרים במטרה ללמוד ולשפר תהליכים. סקר סיכונים בארגון או בשמו "הערכת סיכונים מבוקרת", הוא תהליך של מבדק, זיהוי והערכה של כלל הסיכונים והפערים הקיימים בחברה מבחינת ביטחון פיזי או ביטחון מידע ו/או היערכות למצבי חירום, שיכולים לגרום לכשל תפקודי או הפסקת פעילות שוטפת בחברה. הסיכונים יכולים לנבוע בתוך ומחוץ לחברה ע"י גורמים עוינים. ומטרת הסקר היא לאפשר ניהול סיכונים בארגון בצורה מיטבית.

ניהול מערך האבטחה בכל ארגון, קטן כגדול הוא תחום בעל חשיבות עליונה בשל הסיכונים הרבים מחוץ ומבית. כשלים במערך זה יכולים להשפיע על התנהלותו השוטפת של ארגון ואף לאיים על קיומו. בניה של פתרון אפקטיבי לאבטחה פיזית, מצריך מיפוי יסודי של כלל אתרי הארגון, סימון של נקודות התורפה והצלבת המידע עם תהליכי העבודה היומיומיים. שילוב של ידע וניסיון רב בהקמת מערכי אבטחה במגוון ארגונים הוא בעינינו המפתח להצלחה.

כיצד בונים סקר סיכונים בארגון?
הצעד הראשון הוא, כאמור, זיהוי של הסיכון, אותו ניתן להשיג באמצעות בניית תרחישים אפשריים. קבלת נתונים ממחלקות שונות ואסטרטגיות בחברה, כגון: מח' משאבי אנוש, תפעול, לוגיסטיקה ועוד.

לאחר קבלת ממצאי סקר סיכונים ביטחון, נבחנות אופציות פעולה רלוונטיות עפ"י תחום העיסוק של הארגון, כשהמחשבה העומדת מעל הכול היא כיצד ניתן בפעולות/ הנחיות לסכל ולמנוע. מכלול הפעולות והתהליכים מאפשרים חסכון משמעותי בהוצאות החברה בטווח הקצר והארוך.

סקר סיכונים בארגון הוא חלק ממערך ההיערכות לשעת חירום. כיום ניהול סיכונים בארגון מתבצע באמצעות מודלים משוכללים המאפשרים תפקוד מלא גם בשעת משבר.

סקר סיכונים נערך כדי לאתר ולנהל את  הסיכונים להם חשוף הארגון מתוך מטרה להקטין או לבטל את הסיכונים האפשריים כגון דליפת מידע, גניבת מידע, פגיעה בנתונים ופגיעה בתהליכים בעלי ערך לארגון. הסקר קובע עד כמה עלול להינזק הארגון בזמן אירוע חירום ולקבוע מהו שיעור ההפסד, שהארגון יכול לעמוד בו במקרה של נזק רציני. 

קיימים 2 סוגי סקרי סיכונים העוסקים בנזק פיזי בסביבת העבודה ובנזק במערכות מידע ממוחשבות - אבטחת מידע. סקרי הסיכונים מיועדים למנהלי אבטחת מידע, למנהלי כספים בחברות הייטק, לתעשיות ביוטק, תעשיות מזון, משרדי פרסום, חברות ממשלתיות ועוד. ההמלצה לכל ארגון היא לקיים את 2 סוגי הסקרים, שתומכים אחד בשני ומחזקים את יכולותיו של הארגון להתמודד בעת משבר בכל סדר גודל שהוא.

לכל סקר קיימים 3 שלבים חשובים:
שלב ראשון - איסוף המידע המקדים. עפ"י רשימת נושאים המוגדרים מראש מקבלים מהחברה בכל הנוגע לביטחון פיזי, תכניות של המקום ובכל הנוגע לביטחון מידע מקבלים עץ מבנה של החברה, פרופיל העיסוק, רשימות בעלי התפקידים והגדרת תפקיד ותחום האחריות של מנהלי מערכות המידע.
שלב שני - עיבוד וניתוח המידע לאחר איסוף המידע המקדים ולאחר סבב פגישות עם בעלי התפקידים הרלוונטיים.
בשלב זה בוחנים מספר נושאים עיקריים עבור סקר סיכונים ביטחון מידע פיזי (סביבת עבודה):

• כללי - מיפוי כלל הנתונים בחברה לרבות הסיכונים האפשריים: דליפת מידע, גניבת מידע, פגיעה בנתונים ותהליכים בעלי ערך לחברה.
• מעגל I - מעבר על נהלי אבטחה קיימים והתאמתם לצרכי החברה, ואופן השמירה על מידע רגיש בסביבת העבודה עתירת מידע וידע (משרדים אישיים, חללים פתוחים, חדרי ישיבות וכד').
• מעגל II- שמירה על מידע מחוץ לחברה: עבודה מבתי עובדים, ניסויים, קבלה והעברת מידע עם יועצים, ספקים אסטרטגים ,משקיעים וכד'.
• מעגל III- חשיפה של מידע רגיש במסגרת השתתפות בכנסים, תערוכות ומפגשים מקצועיים בארץ ובחו"ל.
• מעגל IV - בדיקת המימד אנושי - מבדק מהימנות מקדים עפ"י הצורך, הגדרת שותפי סוד, ספר תפקידים וכד'.
• מעגל V- תהליכי ניטור ובקרה על 4 המעגלים המוצעים מעלה.

נושאים עיקריים לבחינה במסגרת סקר סיכונים עבור מערכות מידע ממוחשבות (סייבר):

• מעגל I - בחינת ארכיטקטורת רשת אופטימלית ובדיקת תשתית השרתים והרשת
• מעגלII  - מבדק חדירה פנימי וחיצוני – penetration test in LAN, ניתוח firewalls audit. בדיקת מדגם עמדות קצה וניידים ובדיקת ניהול משתמשים והרשאות הכוללת מעבר על נהלי אבטחה קיימים והתאמתם לצרכי החברה.
• מעגל III- גיבוי המערכות.
• מעגל IV - הצפנה, אישור חיבור מרחוק, שרתי ביניים ובדיקת בסיס נתונים.
• מעגל V - בדיקת סביבה וירטואלית, בדיקת מובייל, בדיקת רשתות אלחוטיות ובדיקת יעילות מעגלי האבטחה הקיימים.

שלב שלישי - הצגת תוצרים - הצגת מסגרת כללית למימוש המלצות הסקרים, שתכלול משאבים (הערכה), לוחות זמנים ומתכונת מוצעת. שלב התוצרים כולל את ההסתברות, החשיבות ודרגת קושי למימוש. המטרה להציע תמונת מצב אובייקטיבית על בסיס ממצאי הסקרים העוסקת ב:

1. אלו נכסים קריטיים של החברה חשופים לפגיעה.
2. מה רמת החשיפה והסיכון של אותם נכסים ואלו מקורות איום קיימים.
3. האם מעגלי אבטחת המידע יעילים.
4. איזה פתרונות אבטחת מידע נדרש ליישם ובאיזו דחיפות.
5. האם ניתן לחסוך בעלויות אבטחת מידע ובאיזה אופן.

במסגרת זו תינתנה המלצות לפתרונות עבור ביטחון מידע פיזי הכוללות:

1. המלצות למניעת ריגול עסקי ומסחרי.
2. פעילות מבוקרת בסביבת עבודה (משרדים, חלל פתוח).
3. המלצות לטיפול בניירת משרדית הכוללת קלטו פלט ניירות אחסון, גריסה וטיפול  במידע.
4. המלצות להסכמי סודיות והסכמי עבודה עם  ספקים אסטרטגים ושותפים עסקיים.
5. מעבר על נהלי אבטחה קיימים ומתן המלצות לנהלים קיימים ואלה הנדרשים התואמים את צרכי החברה הכוללים תהליכי בקרה ופיקוח.

מתן המלצות לפתרונות עבור מערכות מידע ממוחשבות:

1. ניתוח נושא ההקשחה של מחשבים ומערכות.
2. קשרי גומלין עם האינטרנט ומהם צרכי התקשורת האמיתיים והמינימליים הנדרשים.
3. היבטי יתירות, גיבוי, התאוששות מאסון או התאוששות ממתקפת סייבר, הצפנה, אישור חיבור מרחוק, שרת ביניים וכד'.

מאת: שלומי אדר, מרץ 2017.
מומחה לביטחון ואבטחת מידע
http://www.adarsecurity.co.il