
בעולם המודרני, הממוחשב, חייבים להשתמש במערכות מידע ובאגרי מידע בתצורות שונות, זוהי דרך לתקשר עסקית ואישית עם כל ארגון. הרגישויות הנפוצות והמסוכנות עבור ארגונים הם בעיקר גניבות מידע של עובדים מתוך הארגון לטובת חברות מתחרות וחשיפה לחומר רגיש
פורסם: 28.11.18 צילום: יח"צ
הנתונים מעידים על גניבות וניסיונות של גניבת מידע ואיסוף מידע בעיקר של עובדים ממעסיקים עבור חברות מתחרות. התופעה רחבה וגדלה כל הזמן, מדובר על היקפים רחבים מאוד, כאשר בפועל רק אחוז קטן מדווח.
כל ארגון מחויב להטמיע נהלי עבודה חדים וברורים כדי להגן על החומר הרגיש שברשותו ולפעול לפי עקרונות מנחים לתכנון אבטחת מידע בחברה. אלו הנהלים העיקריים שצריכים להתקיים באופן שוטף:
- נוהל מדריך לסיווג ואבטחת רשומות
- נוהל ביטחון לכניסת עובדי גופים חיצוניים
- נוהל ביקורים רגישים
- נוהל תדרוך קבלני משנה
- אבטחת חומר מסווג ורשומות בבתי עובדים
- נוהל הוצאת חומר מסווג לספקים וקבלני משנה
- נוהל התקשרות ושמירת סודיות עם קבלן משנה
- נוהל גריסה
כמו גם, חשוב להגדיר לעובדים אמות מידה לשימוש אבטחתי בסיסמאות במערכות התקשורת של הארגון. הגדירו איך בוחרים נכון סיסמה ואיך משתמשים בה נכון, כמו גם הגדירו את תדירות החלפת הסיסמה.
- סודיות הסיסמה: סיסמת המחשב הנה סודית ואישית. רק בעל הסיסמה צריך לדעת אותה, היא מוצפנת ומוגנת ברשת. אין להעביר את הסיסמה לאחר, גם בעת היעדרות או חופשה.
- בחירת סיסמה: אין לבחור סיסמה פשוטה כגון שם משתמש, צירוף מספרים פשוט, "רצף מקשים", על המקלדת, מס' ת.ז., תאריך לידה או מילה מוכרת כגון PASSWORD, SECRET.
- שימוש נכון בסיסמה: אין לכתוב את הסיסמה בקרבת המחשב, במגירות או בסביבת העבודה. יש להשתמש בשומר מסך מוגן סיסמה. בעת יציאה להפסקות קצרות יופעל שומר מסך המונע גישה למידע המצוי על המחשב. בסוף יום עבודה יש לצאת באופן מסודר מהמערכות ולכבות את המחשב לחלוטין.
- החלפת סיסמה: הנחו את העובדים להחליף את הסיסמה אחת ל- 90 יום לפחות. אין צורך לזכור מספר רב של סיסמאות. במידה ונעשה שימוש במספר מערכות, מומלץ לבחור סיסמה דומה אך לא זהה לכל המערכות.
גלישה באינטרנט:
חשוב לזכור כי השימוש באינטרנט לצורכי דואר אלקטרוני, העברת וחיפוש מידע או שיטוט כרוך בסיכוני אבטחת מידע כלפי החברה וגם למשתמש ברשת המחשב המרכזית.
לכן חשוב להגדיר הנחיות ברורות בעת השימוש ביישומי האינטרנט (דפדפן, תוכנת דואר וכו') ולפעול על פי הכללים.
- הורדת תוכנות – אין להתקין ולעשות כל שימוש בתוכנה רגילה/זדונית שהורדה מהאינטרנט או מכל.
- טפסים המוצעים על ידי נתוני שירותים וספקים המציעים הטבות. דוגמאות למידע מסוג זה: מספר ת.ז, תפקיד, מספר כרטיס אשראי, פרטים עסקיים אודות החברה ופעילותה מאגר מידע אלקטרוני אחר, בכל מחשב שנמצא בארגון, ללא קבלת אישור ממחלקת מערכות המידע.
- מניעת פגיעה לוגית דרך הרשת- הגדירו הרשאות גלישה לעובדים אך ורק דרך הדפדפן של החברה. אין להתקין דפדפן אחר ללא אישור מחלקת מערכות מידע. כמו כן, וודאו שקיימת תוכנת אנטי ווירוס פעילה במחשבים של העובדים ובידקו את הימצאותו של ICON אנטי וירוס בשורת המשימות.
- מניעת איסוף מידע והסתרת זהות המשתמש- אין למסור פרטים עסקיים ו/או אישיים חסויים על ידי רישום מקוון (Registration) באמצעות והסיסמה האישית. כמו כן, איסרו למסור פרטים עסקיים ו/או אישיים חסויים באמצעות רשת האינטרנט בכל צורה שהיא, לרבות E-Mail, טפסים מקוונים, צ'ט, קול או וידאו.
- תוכנות מחשב אסורות – וירוסים- התקנת תוכנה או חומרה על המחשב האישי אסורה. תוכנות המותקנות על המחשב הינן ברישיון והותקנו על ידי מחלקת מערכות מידע, שינוי בפעולות המחשב עשוי לגרום לשיבוש פעילותן של תוכנות אלו
- שמירה על קבצים ומסמכים- יש לשמור את כל הקבצים בשימוש על כונני הרשת המיועדים לכך. אין לשמור קבצים ומסמכים על הכוננים המקומיים (C:) . שמירת קובץ על הכונן המקומי לא תאפשר שחזור במקרה של גניבת המחשב או תקלה טכנית.
פיקוח ובקרה:
- מנהל אבטחת המידע בארגון צריך להגדיר תוכנית פעולה בקרה אחת לשבוע בה יתקיים מעבר על לוגים Firewall, Anti-Virus, סינון תוכן (Content Filtering) זאת בכדי למדוד אפקטיביות ולאתר תקריות, לראות מגמות או התדרדרות (ביצועים).
- על מנהל אבטחת מידע להגדיר התראות נוספות בזמן אמת על הקיים אשר יישלחו ב-SNMP
- על מנהל אבטחת מידע לקבוע אחת לתקופה מדדים ועדכון התראות שתתקבלנה ממערכות אלו
- על מנהל אבטחת מידע וצוותו לקיים ביקורות שגרתיות יזומות/רנדומליות ע"מ לוודא שלא חלו נסיונות כלשהם לשימוש לרעה במידע הרגיש שנצבר בחברה ע"י כל גורם עויין.
שלומי אדר, מומחה לביטחון ואבטחת מידע, עוסק ביישום אסטרטגיות ניהוליות בסקטור העסקי/פרטי בתחום הביטחון הפיזי/מידע, היערכות ומוכנות לחירום, אירועי אפר"ן (אירועי פתע רבי נפגעים) ובחינת תהליכי עבודה והתאמתם לארגון. בעל ניסיון של מעל 25 שנה במגזרי התעשייה, חברות היי-טק ותשתיות.
http://www.adarsecurity.co.il/
* הכותב שלומי אדר הוא מומחה לביטחון וטרור בינלאומי
Tags: אבטחת מידע אבטחת סייבר אחריות חברתית אסטרטגיה חדשנות טכנולוגיה