זה קורה לטובים ביותר מבינינו- אחד העובדים לוחץ על לינק חשוד, נכנסת לאתר פישינג או מוריד קובץ שמאפשר לוירוס לתקוף את המכשיר ולהשתלט על המחשב.
מתקפות הסייבר הפכו לנפוצות יותר ומשוכללות יותר, וארגונים רבים מוצאים את עצמם תחת איום תמידי של פריצת אבטחת מידע. גורם מספר אחד להצלחה של מתקפת סייבר- עובדי החברה. טעויות אנוש הן נפוצות, נקמה של עובדים ממורמרים היא גם אופציה, ורשלנות פושעת של בחירת סיסמאות קלות.
עם זאת, ניתן להקטין את הסיכוי משמעותית למתקפות סייבר בעזרת כתיבת נהלי אבטחת מידע והטמעתן בארגון, מה שייצור מדיניות ארגונית מוכוונת סייבר.
הנה כל מה שצריך לדעת על כתיבת נהלי אבטחת מידע בארגונים.
מה זה נהלי אבטחת מידע?
נהלי אבטחת סייבר הם תוכניות, פרוטוקולים, פעולות ואמצעים שמטרתם לשמור על הארגון שלך מפני התקפות זדוניות, פרצות מידע ואירועי אבטחה אחרים. על מנת לוודא שהארגון מוגן, על האחראים להשתמש בפרוטוקולים ותוכנות שונות שפועלות יחד. מכיוון שישנן מספר דרכים שבאמצעותן תוקף יכול לקבל גישה לרשתות, למערכות ולנתונים הרגישים, על הארגון להפעיל יותר מאמצעי אבטחה אחד, לבדוק ולעדכן אמצעים אלה באופן קבוע.
למה נהלי אבטחת מידע חשובים?
רבים נוטים לחשוב שהגנות סייבר הן מיותרות ויקרות, אך בהתחשב במציאות העוינות הן הכרח. לא רק שמתקפות סייבר כנגד ארגונים הופכות ליות נפוצות, גם המחיר שלהן עולה, וכל ארגון נאלץ להיפרד מכסף רב אחרי מתקפה שכזו. בעולם שבו נתונים ומידע הם הנכס הכי יקר שיש לארגונים, והתפתחות הטכנולוגיה מאפשרת לנו לגשת למידע זה מכל מקום, הסכנות רק מתגברות. עסקים קטנים נוטים לחשוב שהם מוגנים מתחת לרדאר של האקרים, אולם זו יכולה להיות טעות קטלנית. יותר ויותר האקרים תוקפים עסקים קטנים, ולעיתים מדובר במכת מוות- מחקר משנת 2020 גילה כי 60% מהעסקים שחטפו מתקפת סייבר פשטו רגל בעקבות כך.
מי כותב נהלי אבטחת מידע?
לרוב מי שאחראי על כתיבה והטמעה של נהלי אבטחת מידע הוא ה-CISO של ארגונים. עסקים קטנים לרוב לא מחזיקים CISO במשרה מלאה אצלם, שכן מדובר בתפקיד שקשה לאייש אותו. לכן חברות אבטחה רבות מציעות שירותי CISO as a Service– מודל המאפשר לעסקים לשכור את שירותיו של CISO חיצוני ולשלם שכר בהתאם לכמות הזמן הנרדש.
מה נהלי אבטחת מידע אמורים לכלול
שימוש בניהול סיסמאות ואימות דו-שלבי
השימוש במנהל סיסמאות, כמו 1Password, מאפשרים להגדיר סיסמאות חזקות וייחודיות בחשבונות אישיים וארגונים שונים, הן מנייד והן ממחשבים שולחניים/מחשבים ניידים. יש לא מעט מנהלי סיסמאות, חינמיות ובתשלום, אולם בבחירת מנהל סיסמאות חשוב להבין שלכל אחד צרכים אחרים, ועליכם למצוא את המנהל הנכון עבורכם. בבחירת מנהל סיסמאות עליכם לקחת בחשבון את רמת האבטחה, סוג ההצפנה, התאמה לתוכנה וחומרה, ממשק משתמש ומחיר.
בנוסף, חשוב לבצע אימות דו שלבי הכולל מכשיר נוסף, ועדיף להוסיף נתונים כמו מיקום גיאוגרפי, התנהגות משתמש ומידע נוסף שיכול לעזור למערכת להבין האם מדובר במשתמש הנכון או במתחזה.
עידוד ערנות
מתקפות פישינג אחראיות ל-90% מכלל ההנדסה החברתית, כאשר הודעות פישינג משתמשת באימיילים וס.מ.סים שנראו שנשלחו ממקור לגיטימי כדי לגרום למשתמשים לפתוח לינקים ולהוריד קבצים. פישינג, או דיוג לחובבי האקדמיה ללשון העברית, הוא ניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש. הפישינג היא השיטה הפופלרית ביותר להנדסה חברתית, בשל הגיוון הרב שיש בסוגי הפישינג, המאפשרים מתקפה פשוטה וקלה או מתקפות מתכוננות וממוקדות, על פי העדפת התקופים. מחקר של חברת הייעוץ Interisle גילה עלייה של 61% במתקפות הפישינג בשנה האחרונה, ועלייה של 83% במספר הדומיינים שנרשמו לשם אתרי פישינג. יתר מכך, גוגל דיווח שנכון ל-2021, ישנם ברשת 2,145,013 אתרי פישינג.
הימנעות ממכשירים אישיים בעבודה
מומלץ להימנע משימוש במכשירים אישיים לעבודה, וממכשירי עבודה לדברים אישיים.
גיבוי מידע רגיש
בחנו מהם המסמכים הרגישים והחיוניים של ארגונכם- מסמכים פיננסים, משאבי אנוש, פרוטוקלים, מידע על לקוחות- וצרו פרוטוקולים לגיבוי אוטומטי בהיווצרות מסמכים אלה. השקיעו באחסון הגיבויים בשרתים מאובטחים, המוגנים במערכות אבטחת מידע מתקדמות.
עדכונים
מפתחי תוכנה מוצאים באופן קבוע עדכונים שמטרתם מניעת ניצול של חולשה שהתגלתה בתוכנה. חשוב מאוד לשים לב לעדכונים אלה גם אם תדירותן גבוהה, כדגומת פייסבוק אפל ומיקרוסופט מהוציאים עדכונים על בסיס יומי לאור חשיבות המערכות שלהם. גם מערכות שנראות לכם שוליות, כמו מערכת ה-CMS שלכם או אפילו מערכות ה-IoT החל ממדפסות ועד למערכות אחזקת הבניין, זקוקים לעדכונים, אולם בתדירות נמוכה יותר. בנוסף, יש מה שנקרא Legacy Products, שהן בעצם מערכות שהיצרנים החליטו שתם זמנם והפסיקו להוציא עדכונים ולתמוך במערכת. לדגומא, מערכת ההפעלה מיקרוסופט 7 כבר אינה נתמכת על ידי מיקרוסופט, ומערכות הפועלות על מיקרוסופט 7 לאחר תאריך ה-EOL מהוות סכנת סייבר לרשת הארגונית.
