נושא 1 - Security and Risk Management
פרק 1 - Cybersecurity Governance
בפרק זה - מהי אבטחת סייבר וכיצד יש לנהל אותה
נושא 4 - Personal Security
Personal Security
Separation of duties
אבטחת מידע ארגונית - הגורם האנושי
למרות שהטכנולוגיה הפכה לחיונית בעולם העבודה, האנשים הם עדיין החוליה החלשה
בשרשרת האבטחה - בין אם מתוך רשלנות, חוסר הכשרה, או כוונת מרמה. סיכוני הגורם האנושי לרוב חמורים וקשים לגילוי יותר מהתקפות סייבר חיצוניות.
אמצעי מניעה
כדי למזער סיכונים ניתן לנקוט:
1. גיוס מועמדים מוסמכים + בדיקות רקע
2. הכשרה שוטפת לעובדים
3. בקרות גישה מחמירות
4. נהלי פיטורים שמגנים על כל הצדדים
Separation of duties
Separation of duties
אבטחת מידע ארגונית - הגורם האנושי
למרות שהטכנולוגיה הפכה לחיונית בעולם העבודה, האנשים הם עדיין החוליה החלשה
בשרשרת האבטחה - בין אם מתוך רשלנות, חוסר הכשרה, או כוונת מרמה. סיכוני הגורם האנושי לרוב חמורים וקשים לגילוי יותר מהתקפות סייבר חיצוניות.
אמצעי מניעה
כדי למזער סיכונים ניתן לנקוט:
1. גיוס מועמדים מוסמכים + בדיקות רקע
2. הכשרה שוטפת לעובדים
3. בקרות גישה מחמירות
4. נהלי פיטורים שמגנים על כל הצדדים
הפרדת תפקידים (Separation of Duties - SoD)
זהו עיקרון אבטחה מרכזי - אדם אחד לא יכול לבצע לבד פעולה קריטית.דוגמה מהסרטים: שיגור טיל גרעיני מצוללת דורש שני קודים שמוזנים בו-זמנית על ידי שני קצינים בכירים שונים - לא רק הקפטן.דוגמה עסקית: עובדת לא יכולה להשלים עסקה פיננסית מהותית לבד - נדרש אישור מנהל, ובדיקה של צד שלישי.קנוניה (Collusion)כאשר ישנה הפרדת תפקידים, כדי לבצע מרמה חייבים לפחות שני אנשים לשתף פעולה בזדון. הצד השלישי (המבקר) מאפשר גילוי מוקדם של שיתוף פעולה כזה - ובכך מוסיף שכבת הגנה נוספת.
Security Policy
מדיניות אבטחה
מה זה מדיניות אבטחה?
מדיניות אבטחה היא מסמך כללי שמנהלים בכירים כותבים, שמגדיר:
מה תפקיד האבטחה בארגון
מי אחראי על מה
כמה סיכון ההנהלה מוכנה לקבל
3 סוגי מדיניות
ארגונית (Master)
כללית - מגדירה את כל תוכנית האבטחה
נושאית (Issue-specific)
נושא ספציפי - למשל: מדיניות דוא"ל, גישה מרחוק
מערכתית (System-specific)
מחשב/מערכת ספציפית - למשל: איך להגן על מסד נתונים מסוים
אכיפת אי-ציות
חייב להיות תהליך מובנה ומוגדר מראש למי שלא מציית, כולם צריכים לדעת מה מצופה מהם ומה התוצאות של הפרה.
כללים חשובים לכתיבת מדיניות טובה
המדיניות משרתת את העסק - לא להיפך.
היא לא אמורה לעכב את הפעילות העסקית
שפה פשוטה וברורה - כולם צריכים להבין, לא רק אנשי IT
לא תלויה בטכנולוגיה ספציפית - מגדירה מה רוצים להשיג, לא איך בדיוק
תחת ניהול גרסאות - כל עדכון ממוספר ומתוארך
נגישה לכולם - בדרך כלל מפורסמת ב-Intranet הארגוני
מתעדכנת באופן קבוע - בעיקר לאחר אירועים, שינויים ארגוניים או מיזוגים
מראה מקצועי - מסמך מקצועי מחזק את חשיבות המדיניות ואת הציות אליה
נכתבת לטווח ארוך - מתוכננת למספר שנים קדימה, לא לטווח קצר
דוגמה - מדיניות דוא"ל
מדיניות נושאית על דוא"ל יכולה לקבוע:
ההנהלה רשאית לקרוא מיילים שנמצאים על השרת
אסור לעובדים לשלוח מידע סודי במייל
לפני השימוש - העובד חותם שקרא והבין את המדיניות
היררכיה נפוצה של מדיניויות
מדיניות ארגונית ראשית
├── שימוש מותר (Acceptable Use)
├── ניהול סיכונים
├── הגנת מידע
├── בקרת גישה
├── המשכיות עסקית
├── מדיניות דוא"ל
├── תגובה לאירועים
└── ... ועוד
המבנה השלם של תוכנית אבטחה
מדיניות → בסיס כללי
נהלים + תקנים + הנחיות → מסגרת מפורטת
בקרות טכניות / מנהלתיות / פיזיות → יישום בפועל
המדיניות היא הבסיס — אבל בלי הנהלים והבקרות שמגיעים אחריה, היא נשארת דף ריק.
Implementation
יישום - קישור כל המרכיבים יחד
דוגמת יישום מלאה
מדיניות: "מידע סודי חייב להיות מוגן כראוי"
↓
תקן: "מידע לקוחות בבסיסי נתונים — מוצפן ב-AES
שידור באינטרנט - רק עם IPSec"
↓
נוהל: הוראות מפורטות להטמעת AES ו-IPSec
↓
הנחיה: מה עושים אם מידע נפגם בטעות בזמן שידור
↓
Baseline: המצב לאחר ההגדרה הנכונה = המינימום שיש לשמור
הבעיה הנפוצה - מסמכים שלא בשימוש
מסמכי אבטחה רבים נכתבים רק כי רואה חשבון/מבקר ביקש זאת - ואז נשמרים בשרת קבצים ואף אחד לא קורא אותם.
מסמכים שלא מיושמים = חסרי ערך.
תנאים ליישום אפקטיבי
1. נראות (Visibility) עובדים לא יפעלו לפי כללים שלא יודעים שקיימים.
אמצעים להגברת נראות:
הדרכות מודעות אבטחה
מדריכים ומצגות
ניוזלטרים פנימיים
באנרים על מסכי המחשב
2. תמיכת הנהלה ברורה
חייב להיות ברור שההנחיות מגיעות מהנהלה בכירה ושהיא עומדת מאחוריהן.
3. ציפיות ברורות
עובדים חייבים להבין מה מצופה מהם ב:
פעולות יומיומיות
התנהגות
אחריות אישית
אחריות משפטית (Liability)
יישום מדיניות = הוכחת Due Care של הארגון.
דוגמה:
עובד שפוטר בגין הורדת תוכן פורנוגרפי יכול לתבוע ולנצח בבית משפט - אם יוכיח שלא הוסבר לו מה מותר/אסור ומה ההשלכות.
המסקנה: הודעה לעובדים על הכללים והתוצאות של אי-ציות היא חובה משפטית, לא רק פורמליות.
נקודות מפתח לבחינה
מסמך שלא מיושם = חסר ערך, גם אם כתוב מצוין
Due Care = ארגון הוכיח שנקט צעדים סבירים להגנה
חוסר בהדרכה = חשיפה משפטית בפיטורי עובד
נראות + תמיכת הנהלה + ציפיות ברורות = מדיניות אפקטיבית
