Chat with us, powered by LiveChat

סקר סיכונים אבטחת מידע

סקר סיכונים ואבטחת מידע

על מנת להתכונן טוב יותר מפני התקפות סייבר, על כל ארגון להעריך באופן קבוע את הסיכון הכולל שלו כדי לנהל באופן פרואקטיבי את ההגנה שלו מפני מתקפות כאלה באמצעות סקר סיכוני סייבר. נכסי המידע הקריטיים בארגון הינם הנכסים והתהליכים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי, ייצרו נזקים משמעותיים לארגון. לכן, על כל ארגון לקבל החלטה ולדעת מהם אותם נכסי מידע שהינם קריטיים להתנהלותו או לחילופין, יש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן. היכן הם שמורים, מי הם בעלי הרשאות הגישה לנכסי המידע הללו ואילו בקרות הגנה יש ליישם על מנת לצמצם את הסיכון שבזליגתם.

סקר סיכוני אבטחת מידע היא הפעילות הראשונית בתהליך המיגון הארגוני מפני מתקפות סייבר וזליגת מידע ארגוני רגיש למקומות שהוא לא צריך להיות בהם. מטרתו של סקר סיכונים אבטחת מידע היא לקבל תמונת מצב אודות מצב אבטחת המידע בארגון באמצעות בדיקה לקבלת תמונת מצב אמיתית על הסיכונים הקונקרטיים למערכות התשתית והאפליקציה, והמלצות ראשוניות להתמודדות עם סיכונים אלו. הצוות המקצועי המוקם לצורך ביצוע הפרויקט, מאפשר את ביצועו תוך פגיעה מינימאלית במהלך העבודה השוטף של הארגון.

שלבי הפרויקט

שלב א’
ביצוע סקר סיכונים ומבחנים המקיף לכל הפחות, את הנושאים הבאים:
כיסוי של כל רמות האבטחה של התהליכים והמערכות, לרבות: הגנות פיסיות וסביבתיות, הגנות תשתיתיות הכוללות אחסון, מערכות הפעלה, רשתות, בסיסי נתונים, רכיבי Middleware וכדומה, הגנות אפליקטיביות, הגנות ברמת הלוגיקה העסקית המיושמת במערכת, וכן התהליכים הסובבים את המערכת כגון ניהול משתמשים והרשאות, תהליכי גיבוי, ניטור וכדומה.
שלב א’
שלב ב’
הכנת דוח תוצאות הכולל את הנושאים הבאים:
א. - תקציר מנהלים תיאור תהליך הבדיקה.
- ריכוז ממצאים וסיכונים עיקריים אשר התגלו במהלך הבדיקה.
- ציון לממצא 1-5 על פי סטנדרט המקובל בתעשייה (OWASP).

ב. רשימה מפורטת של כלל הממצאים .עבור כל ממצא יפורט :
- רמת הסיכון ומשמעותו העסקית.
- הסבר טכני מפורט של החולשה/ממצא.
- האם קיימות בקרות מפצות כרגע בארגון.

ג. הסבר טכני מפורט של אופן ניצול החולשה, הכולל :
- פרטי ההתקפה , URL ) קוד וכד’).
- תהליך שיחזור ההתקפה.
- צילומי מסך של התוצאה המתקבלת.

ד. המלצות מעשיות לתיקון.
שלב ב’

מתודולוגיית ניהול הסיכונים

ייעוץ סקר סיכוני סייבר יינתן בהתייחס לאסטרטגיה העסקית ומטרות הארגון ובכך אנו מסייעים לו באמצעות:

1. הערכת חשיפה – זיהוי סיכונים, ניתוח ומדידה של השפעת הסיכונים והערכת יעילות הבקרות.

2. יישום בקרות – יישום בקרות אמינות בעלות יחס עלות תועלת גבוה להקטנת סיכונים.

3. ניהול הסיכון – ניטור הבקרות וסביבת הסיכון ומדידת ביצועים שיבטיחו רמת חשיפה סבירה.

יתרונות ניהול הסיכונים:

נראות ברורה של סיכונים ידועים ובעיות.

תשומות לתהליך הדיווח.

אבני דרך ושיטת עבודה בביצוע סקר סיכונים

מסג’נט בנתה מסגרת בדיקות אשר מאפשרות לחברה לזהות את נכסי המידע ולהבין את הסיכונים בתחום אבטחת המידע על כלל רמותיהם, ובמקביל ליישם מערכי התייעלות מגוונים אשר מטרתם לתת מענה לסיכונים הנ”ל ולמקסם את היכולות לרמה אופטימלית.

שיטת העבודה

-
ראיונות עם הגורמים שבאחריותם ביצוע המטלות השוטפות ועם הגורמים האחראים עליהם.
-
-
עיון במסמכים: מסמך מדיניות אבטחת המידע, נהלים ומסמכים קשורים קיימים.
-
-
מיפוי מערכות קריטיות בארגון: תשאול וביצוע ראיונות אל מול מנהלי המערכות בארגון ו/או מנהלי המחשוב, לצורך הבנת מבנה המערכות ואופן פעולתן.
-
-
מבדקים טכנולוגיים:
1. ארכיטקטורה כללית של הרשת בהיבטי אבטחת מידע.
2. בדיקת אבטחת השרתים.
3. בדיקת רשת התקשורת ורשת ה wireless.
4. סקירת הגדרות כלי אבטחת מידע ובדיקת הגדרות ה-Firewall.
5. מבדק מערכת האנטי וירוס הארגונית.
6. מבדק מערכת הגנת הדוא”ל.
7. בחינת הגדרות הגנה על ציוד קצה לרבות מחשבים ניידים, טלפונים חכמים, טאבלטים ועוד.
-

דרוג הסיכונים ותיקופם

הסיכונים ידורגו עפ”י סקאלה המורכבת מקריטריונים להסתברות הסיכון והנזק הגלום בו (מתודולוגיית דירוג הסיכונים). הקריטריונים והפרמטרים לסיכון יוגדרו בהתאם לקריטריונים שיוגדרו בפרויקט סקר סיכונים הכולל בחברה.

מתודולוגית דירוג הסיכונים

א. קביעת הסיכון השיורי (Residual Risk)
הסיכון השיורי מייצג את רמת הסיכון בתהליך או בפעילות, בהינתן הבקרות הקיימות בארגון. קביעת הסיכון השיורי מבוצעת באופן הבא:
תוצאת הסיכון השיורי הינה רמת הנזק במכפלה לסיכוי להתממשות הערכים המדורגים, שבמסגרתו של סקר סיכונים אבטחת מידע יתבססו על ממוצעי הערכות המשיבים את הסיכוי להתממשות הסיכון ואת רמת הנזק, לגבי תרחישי הסיכון הרלוונטיים לנושאי הפעילות:
סבירות להתממשות – מה הסבירות שאירוע/תרחיש שהוגדר אכן יתממש, בהכירם את הסביבה העסקית, התהליכים הקיימים והבקרות הקיימות ביחידה/חטיבה ובסוכנות.
סבירות הסיכון:
כימות הנזק – מה הנזק הכספי שייגרם ליחידה/חטיבה ולחברה בהינתן ותרחיש שהוגדר התממש.
בבוא המשיב לדרג את הנזק, יתבקש לקחת בחשבון פרמטרים נוספים כגון: פגיעה כספית, פגיעה במוניטין, פגיעה בתפעול השוטף ופגיעה לטווח הארוך.

ב. דרגות סיכון
בהתאם לערך הסיכון השיורי שחושב, תיקבע רמת החשיפה. בטבלה שלהלן מוצגות מדרגות הערכת הסיכונים:
דוגמא למטריצת שקלול הסיכון:

 

פגיעות גבוההפגיעות בינוניתפגיעות נמוכה
סבירות גבוההסיכון גבוהה מאודסיכון גבוהסיכון בינוני
סבירות בינוניתסיכון גבוהסיכון בינוניסיכון נמוך
סבירות נמוכהסיכון בינוניסיכון נמוךסיכון נמוך

תיקוף ודיון

בשלב זה יבוצע דיון ותיקוף ממצאי סקר הסיכונים והמלצותיו עם גורמים רלוונטיים החברה.

1. ניתוח ממצאי סקר סיכוני אבטחת מידע וכתיבת טיוטת דוח מסכם.

2. דיון בממצאי סקר סיכוני סייבר ובהמלצות ליישום לצורך שיפור המצב הקיים.

3. עדכון הסקר במידה ויידרש, והגשת דוח לחברה.

4. הצגה ודיון בדירקטוריון החברה בתוצאות הסקר, לפי דרישה.

תוצר הפרויקט

לאחר ביצוע בחינת הרשת ובדיקת כל המנגנונים שצוינו, יוגשו הממצאים במסמך מפורט
אשר ירכז את עיקרי הממצאים וההמלצות לביצוע.
המסמך יהיה ערוך באופן הבא:

  • עיקרי הממצאים ירוכזו בתמצית מנהלים.
  • יוגש דו”ח סקר סיכונים אבטחת מידע שיכיל:
    1. תיאור המצב הקיים.
    2. ניתוח המצב הקיים.
    3. ניתוח סבירות מול השלכות לכל סיכון.
    4. דירוג הסיכונים.
    5. ריכוז הבעיות הקריטיות.
    6. המלצות ראשוניות לפתרון הבעיות שאותרו.
    7. טבלת ריכוז חולשות שאותרו.
  • פרוט הליקויים שהתגלו בתהליך סקר אבטחת מידע (כולל צילומי מסך של תוצאות הבדיקות, תובנות וכו’).
  • הנחות בסיס בטרם ביצוע הבדיקה (מה ידוע לתוקף, מה התוקף מניח/מנחש, תנאים לביצוע הבדיקה).
  • תוצאות הבדיקה: רמת הפגיעות, סבירות מימוש ורמת הסיכון (לפי הטבלה לעיל).
  • הצעות מעשיות לטיפול בליקוי שנמצא.
שינוי גודל גופנים
בואו נדבר
close slider

נשמח לשמוע ממך

יש לך שאלה? רוצה לקבל הצעת מחיר?
כתבו לנו ואחד מנציגנו יחזרו אליכם בהקדם האפשרי: