העידן המודרני בו אנו חיים והיכולת להשיג כל סוג של מידע בין אם הוא למען הגנה על מערכות מחשב שלנו ובין אם הוא מסביר כיצד לעקוף את ההגנות ולחדור להשגת המידע ממערכות המחשוב, מחייב שבכל ארגון יטמיעו תהליך מחשבתי בנוגע לאבטחת מידע.
אבטחת מידע הינו מושג מוסדי רחב, אך אפשר להתאים אותו לכל עסק או ארגון, לדוגמא:
* הגנה על מידע חיוני של ארגון או עסק מפני גניבת מידע, שימוש במידע לטובת ריגול עסקי, מסחור של מידע וכן ניצול מידע לפגיעה בשם טוב של עסק.
* ניטור בעיות וכשלים טכניים (לדוגמא מחשב שבו קיימת תוכנת שיתוף קבצים על כל ההשלכות שמגיעות עימה), תקלות שקרו בעבר ועדיין צצות ולא טופלו הקשורות לתפול השוטף של מערכות הארגון.
* הכלת פתרונות זמינים לארגון ופתיחת קו הגנות בשלל פתרונות לעסק, מבלי להשקיע בכך זמן ומשאבים מיותרים וזכיה בתפעול יעיל וזול.
גישת הארגון
עסקים קטנים רבים (בין אם הם מתופעלים ע"י אדם אחד או יותר) אינם מודעים למשמעות התפיסה החדשה של אבטחת מידע ארגוני בסיסי בעסק שלהם, ולכן אינם עושים כל צעד לכיוון בחינה של איומי פריצה, ונגישות ע"י אנשים או מנגנונים שעלולים להזיק לעסק. הדבר נובע בעיקר מחוסר המודעות של בעלי העסק, העובדים ומקבלי ההחלטות החיצוניים כגון: מנהח"ש ועו"ד המלווים את העסק בשלבים שונים.
ברוב העסקים הרעיון של אבטחת מידע נדחה על הסף בגלל מגבלות תקציב שמופעלים על העסק, בעיקר אם העסק מצוי עדיין בהקמה.
סיכוני פריצה וגניבת מידע
רוב העסקים שבאו עימי במגע גרסו בתחילה כי מכיוון שהם נחשבים לעסק קטן, רמת הסיכון שלהם נמוכה עקב הרצון של הפורצים להגיע לדברים גדולים בעלי משמעות ולכן לא יפגעו בו. אולם תחושת הביטחון נאלמת ככל שקורה פתאום תופעה של תקלה לא מוסברת, או כששומעים על עסק אחר שמכירים, שבו כן פגעו.
ההחלטה להתעלם מאיומים על מערכות המידע הכוללים גם את הסמארטפון החדיש אותו מחזיק בעל העסק מהווים זירה טובה יותר למי שכן רוצה לפעול, לבצע את זממו.
הגנה על המידע (אבטחת מידע)
האם לבצע שינוי או להתעלם מהתופעה? האם להמשיך לפעול למזעור נזקים בשיטת כיבוי שריפות או לבחור בדבר האחר?
זו תשובה שתידרשו לה בסוף המאמר, עשרות ארגונים שפנו אליי ביצעו זאת כשהם מבקשים לדעת קודם כל כמה זה יעלה ואם יוכלו לעשות זאת לבד ושאני אדריך אותם.
מכאן ברור שהדבר הראשון עליו מסתכלים בעלי עסקים בישראל על פתרונות הגנה, הוא על מזעור נזקי ההוצאה, ע"י מינון האיכות של התוצאה. ארגון קטן שאינו יכול להשקיע משאבים גדולים ביישום והטמעה של מערכות אבטחה, יכול להפעיל מדיניות אבטחה ולהטמיע מוצרים זולים להתקנה גם ללא הפיכתו לפרויקט שרק אינטגרטור חיצוני, שמן וראוותן יכול, וזו הטעות.
עשה זאת בעצמך
עסקים קטנים ובינוניים יכולים להטמיע פתרונות זולים, אפילו פתרונות Freeware (חינם) בדברים מסויימים ומלבד שיקיים נוהל מוסדר לאבטחת מערכות המידע הארגוניות כשהם כוללות גם את הסמארטפון האישי. ניתן להרים אלינו ב BComSecure טלפון ולהסביר את המצב והתנאים הקיימים בעסק, לשלם עבור חבילת ייעוץ קטנטונת ולא כבדה ולקבל מגוון של פתרונות - עשה זאת בעצמך.
זכרו: רוב הפתרונות שאתם שומעים עליהם מפי טכנאים ואנשי IT פרילנסרים קטנים, באים מנקודת המכירה, הם מנסים למכור לכם פתרונות שהם יטמיעו אצלכם ולכן רמת המחירים גבוהה מאוד. אנו נתאים לכם מגוון פתרונות ונייעץ כיצד מטמיעים מדיניות אבטחת מידע בארגון ומהם הפעולות שצריך לעשות כאשר גדלים ומתרחבים בעסק, ליווי כזה יעזור לכם גם כשהעסק גדל ומאפשר לכם לפעול תוך ידיעה כי יש לכם שותף עסקי לתחום אבטחת המידע החיוני, אשר חשוב לו הצלחת העסק שלכם, בייחוד בתקופה בה נדרש צמצום הוצאות מירבי.
ניהול מדיניות אבטחת מידע בארגון חיונית מאוד ומאפשרת להעניק לעסק יתרון משמעותי מול מתחרים.
אבטחת מידע - פילוסופיה ארגונית
אבטחת המידע איננה רק טכנולוגיה בלבד, אלא מטודולוגיה שיש ליישם בעסק, התהליך ארוך רוחבי ומחובר לכל התהליכים העסקיים שלכם בהווה ובעתיד לבוא.
הסיכונים היו שם בעבר והם מצויים שם גם בהווה ובעתיד. היכולת להפיק מכם מידע זמינה בכל מקום, יכולות הפריצה והחדירה הופכות לזמינות ופשוטות יותר מתמיד, הנוער גדל ומשכלל את יכולותיו לפעול מרחוק בזמן קצר ולהפיק מזה רווחים, פועל יוצא זוהי מתודולוגיה משתנה וצריך שותף שיעזור לנתח אותה בראיה עסקית רחבת אופקים, במטרה לסייע וללוות אתכם בשנים הבאות.
חמש פעולות להתחלת פעילות של אבטחת מידע בעסק
בחירת ייעוץ חיצוני מאנשי מקצוע המבינים במגמות ושינויים בתחום אבטחת המידע, אך לא פחות מזה בעלי הבנה עיסקית נאותה.
יועץ חיצוני יבחן את התהליכים עבורך ויסייע לכך במינימום הוצאות להוביל את העסק לרמה בסיסית לפחות של אבטחה נדרשת, כשהוא מסתכל על האופק ועל ליווי לעתיד לבוא.
היו קשובים לשינויים, ותתכילו בצעד הראשון ולו הקטן ביותר כדי לבנות מדיניות אבטחה שהיום חשובה גם ללקוחות הפונים ותאפשר לכם להתבדל מאחרים.
הכותב: גולן כהן, יועץ אבטחת מידע ופתרונות הגנה בחברת BComSecure בעל תואר במנהל עסקים והסמכות במערכות מידע, המתמחה בשירותי ייעוץ עסקיים וטכנולוגים.
אבטחת מידע הינו מושג מוסדי רחב, אך אפשר להתאים אותו לכל עסק או ארגון, לדוגמא:
* הגנה על מידע חיוני של ארגון או עסק מפני גניבת מידע, שימוש במידע לטובת ריגול עסקי, מסחור של מידע וכן ניצול מידע לפגיעה בשם טוב של עסק.
* ניטור בעיות וכשלים טכניים (לדוגמא מחשב שבו קיימת תוכנת שיתוף קבצים על כל ההשלכות שמגיעות עימה), תקלות שקרו בעבר ועדיין צצות ולא טופלו הקשורות לתפול השוטף של מערכות הארגון.
* הכלת פתרונות זמינים לארגון ופתיחת קו הגנות בשלל פתרונות לעסק, מבלי להשקיע בכך זמן ומשאבים מיותרים וזכיה בתפעול יעיל וזול.
גישת הארגון
עסקים קטנים רבים (בין אם הם מתופעלים ע"י אדם אחד או יותר) אינם מודעים למשמעות התפיסה החדשה של אבטחת מידע ארגוני בסיסי בעסק שלהם, ולכן אינם עושים כל צעד לכיוון בחינה של איומי פריצה, ונגישות ע"י אנשים או מנגנונים שעלולים להזיק לעסק. הדבר נובע בעיקר מחוסר המודעות של בעלי העסק, העובדים ומקבלי ההחלטות החיצוניים כגון: מנהח"ש ועו"ד המלווים את העסק בשלבים שונים.
ברוב העסקים הרעיון של אבטחת מידע נדחה על הסף בגלל מגבלות תקציב שמופעלים על העסק, בעיקר אם העסק מצוי עדיין בהקמה.
סיכוני פריצה וגניבת מידע
רוב העסקים שבאו עימי במגע גרסו בתחילה כי מכיוון שהם נחשבים לעסק קטן, רמת הסיכון שלהם נמוכה עקב הרצון של הפורצים להגיע לדברים גדולים בעלי משמעות ולכן לא יפגעו בו. אולם תחושת הביטחון נאלמת ככל שקורה פתאום תופעה של תקלה לא מוסברת, או כששומעים על עסק אחר שמכירים, שבו כן פגעו.
ההחלטה להתעלם מאיומים על מערכות המידע הכוללים גם את הסמארטפון החדיש אותו מחזיק בעל העסק מהווים זירה טובה יותר למי שכן רוצה לפעול, לבצע את זממו.
הגנה על המידע (אבטחת מידע)
האם לבצע שינוי או להתעלם מהתופעה? האם להמשיך לפעול למזעור נזקים בשיטת כיבוי שריפות או לבחור בדבר האחר?
זו תשובה שתידרשו לה בסוף המאמר, עשרות ארגונים שפנו אליי ביצעו זאת כשהם מבקשים לדעת קודם כל כמה זה יעלה ואם יוכלו לעשות זאת לבד ושאני אדריך אותם.
מכאן ברור שהדבר הראשון עליו מסתכלים בעלי עסקים בישראל על פתרונות הגנה, הוא על מזעור נזקי ההוצאה, ע"י מינון האיכות של התוצאה. ארגון קטן שאינו יכול להשקיע משאבים גדולים ביישום והטמעה של מערכות אבטחה, יכול להפעיל מדיניות אבטחה ולהטמיע מוצרים זולים להתקנה גם ללא הפיכתו לפרויקט שרק אינטגרטור חיצוני, שמן וראוותן יכול, וזו הטעות.
עשה זאת בעצמך
עסקים קטנים ובינוניים יכולים להטמיע פתרונות זולים, אפילו פתרונות Freeware (חינם) בדברים מסויימים ומלבד שיקיים נוהל מוסדר לאבטחת מערכות המידע הארגוניות כשהם כוללות גם את הסמארטפון האישי. ניתן להרים אלינו ב BComSecure טלפון ולהסביר את המצב והתנאים הקיימים בעסק, לשלם עבור חבילת ייעוץ קטנטונת ולא כבדה ולקבל מגוון של פתרונות - עשה זאת בעצמך.
זכרו: רוב הפתרונות שאתם שומעים עליהם מפי טכנאים ואנשי IT פרילנסרים קטנים, באים מנקודת המכירה, הם מנסים למכור לכם פתרונות שהם יטמיעו אצלכם ולכן רמת המחירים גבוהה מאוד. אנו נתאים לכם מגוון פתרונות ונייעץ כיצד מטמיעים מדיניות אבטחת מידע בארגון ומהם הפעולות שצריך לעשות כאשר גדלים ומתרחבים בעסק, ליווי כזה יעזור לכם גם כשהעסק גדל ומאפשר לכם לפעול תוך ידיעה כי יש לכם שותף עסקי לתחום אבטחת המידע החיוני, אשר חשוב לו הצלחת העסק שלכם, בייחוד בתקופה בה נדרש צמצום הוצאות מירבי.
ניהול מדיניות אבטחת מידע בארגון חיונית מאוד ומאפשרת להעניק לעסק יתרון משמעותי מול מתחרים.
אבטחת מידע - פילוסופיה ארגונית
אבטחת המידע איננה רק טכנולוגיה בלבד, אלא מטודולוגיה שיש ליישם בעסק, התהליך ארוך רוחבי ומחובר לכל התהליכים העסקיים שלכם בהווה ובעתיד לבוא.
הסיכונים היו שם בעבר והם מצויים שם גם בהווה ובעתיד. היכולת להפיק מכם מידע זמינה בכל מקום, יכולות הפריצה והחדירה הופכות לזמינות ופשוטות יותר מתמיד, הנוער גדל ומשכלל את יכולותיו לפעול מרחוק בזמן קצר ולהפיק מזה רווחים, פועל יוצא זוהי מתודולוגיה משתנה וצריך שותף שיעזור לנתח אותה בראיה עסקית רחבת אופקים, במטרה לסייע וללוות אתכם בשנים הבאות.
חמש פעולות להתחלת פעילות של אבטחת מידע בעסק
- מדיניות – תהליך הגדרת הסיכונים כדי לגבש מדיניות ואח"כ נהלי עבודה (בין אם במסמך אחד ובין ביותר) תעזור להנחות את העובדים בעסק בדבר המדיניות, להציב להם גבולות לשימוש מותר או אסור, ולסייע ביצירת מידור של מורשי הגעה למידע חיוני. המדיניות מגדירה את הדרישות הכלליות של רמות הסיכון והחשיפה, סיווג המידע הקריטי והחשוב, ניהול המידע וההגנה עליו, דרישות כלליות ליישום בקרות ואת אופן הטיפול באירועי אבטחה הדורשים התייחסות מיוחדת.
- נהלים – הנהלים מסבירים בצורה פשוטה מהי מדיניות ההגנה על המידע, מהם המשאבים שנועדו לכך, ומיהם האחראים לכל אירוע על פי סיווג איזה מידע נחשף או נפגע, מהי ההתייחסות שיש על העובדים לקיים בסביבת האבטחה, מדיניות סיסמאות כניסה למערכות, מה הגלישה המותרת בעסק לאינטרנט, מהו השימוש המותר במשאבי המחשוב של העסק, מהי סביבת עבודה מאובטחת, מהי סודיות מידע ועל איזה מידע מדובר. הכי חשוב הוא ההכרה כי ארגון המקיים מדיניות אבטחת מידע ונתן לעובדיו לקרוא ולחתום על קריאת המדיניות והבנתו יסייעו לארגון במיקרה ועובד עבר על מי מסעיפי המדיניות וגרם נזק, להיתבע בחומרה במערכת המשפטית הקיימת.
- העלאת המודעות – בעל העסק (ואם התרחב וגדל) על מנהליו של העסק, האחריות והצורך של הסברה ורענון של מדיניות האבטחה והשמירה על סודיות ואבטחת מידע, לדאוג להעלאת המודעות בקרב העובדים ולצ'פר את מי שעושה זאת על הצד הטוב ביותר. 4. מעקב וזיהוי – אין מדובר בהכנת תכנית ארוכת טווח, כי אם במודעות לשינויים שהעסק עובר, להתאמת הנהלים ומערכות ההגנה לצורך החדש, לערנות ובקרות, תוך קיום בדיקות בסטנדרט קבוע הבודקות את יעילות ותקינות של מערכות ההגנה.
- בחינת אמצעים נוספים – מלבד פתרונות למערכות המחשוב, יש צורך באמצעי בקרה והגנה אחרים כשעסק גדל והם: מערכת אזעקה, מערכת בקרת כניסה למורשים בלבד, מערכת אינטרקום לבקרת הכניסה, מערכת צילום ומעקב. עסק זעיר לא צריך להכיל פרונות אילו ולו משום היותו בד"כ בסביבת הבית או במשרד בתוך ארגון גדול, אך חשוב לתת את הדעת לכך כאשר העסק גדל.
בחירת ייעוץ חיצוני מאנשי מקצוע המבינים במגמות ושינויים בתחום אבטחת המידע, אך לא פחות מזה בעלי הבנה עיסקית נאותה.
יועץ חיצוני יבחן את התהליכים עבורך ויסייע לכך במינימום הוצאות להוביל את העסק לרמה בסיסית לפחות של אבטחה נדרשת, כשהוא מסתכל על האופק ועל ליווי לעתיד לבוא.
היו קשובים לשינויים, ותתכילו בצעד הראשון ולו הקטן ביותר כדי לבנות מדיניות אבטחה שהיום חשובה גם ללקוחות הפונים ותאפשר לכם להתבדל מאחרים.
הכותב: גולן כהן, יועץ אבטחת מידע ופתרונות הגנה בחברת BComSecure בעל תואר במנהל עסקים והסמכות במערכות מידע, המתמחה בשירותי ייעוץ עסקיים וטכנולוגים.
