ליבת הארגון – ניהול סיכונים

המידע, התהליכים והמערכות התומכות בו הם הנכס החשוב והעיקרי של כל ארגון אשר יש לשומרו מפני איומי הונאה, ריגול, חבלה, ונדליזם, איומי שרפה או הצפה, תוכנות זדוניות, השבתת מערכות, גניבה או שיבוש המידע. לאור זאת ולשם עמידה בדרישות חוקים, שמירה על תדמית הארגון, יתרון תחרותי ומסחרי, רווחיות ותזרים מזומנים על כל ארגון ליישם הגנות אבטחות ובקרות על המידע והמערכות התומכות.
חלק בלתי נפרד מהפעילות שלנו בכלל ומהפעילות העסקית בפרט הינו הסיכון שבביצועה. עלינו לזכור שאי ביצוע הפעולה או דחייתה לא ימנע את הסיכון או יפחית מנזקו אלא רק ידחה זאת, לכן מוטל עלינו לזהות ולמפות את הסיכונים תוך הגדרת הבקרות וההגנות הנדרשות כדי לקיים את התהליך העסקי ולפעול בהתאם למטרות הארגון.

לשם קיום תהליכי אבטחת מידע נאותים אשר מתאימים לסביבה הפיזית, התרבותית ואשר עונים לדרישות החוק והלקוחות על הארגון לזהות את דרישות האבטחה אשר נובעים משלושה מקורות:

1. הערכת סיכונים לארגון – תהליך בו מוגדרים האיומים והסיכונים על הארגון בכלל ועל נכסיו השונים בפרט. בהמשך מוערכת מידת פגיעות הארגון לאיומים, הסבירו?ת להתרחשותם והשפעתם האפשרית להמשך אספקת השירות ללקוח ואו אף קיום הארגון בכלל.
2. דרישות החוק והלקוח – הסביבות העסקיות והממלכתיות השונות הגדירו תקנות והנחיות בהיבטי אבטחת מידע עקב התחרותיות בין עסקים ומדינות, שמירה על מידע של הלקוח והאזרח ומניעת כשלים וקריסת הארגונים והלקוחות כאחד. הנהלת הארגון תזהה ותמפה את החוקים, התקנות והבקרות הנגזרות מהם לשם עמידה בדרישות החוק והלקוח, כגון: באזל 2, SOX; Sarbanes Oxley Act 2002 , המפקח על שוק ההון-הוראה לניהול סיכוני אבטחת מידע בענף הביטוח והפנסיה (הוראה 257), המפקח על הבנקים-ניהול בנקאי תקין-ניהול טכנולוגיית מידע (הוראה 357), התקן לניהול אבטחת מידע Iso27001:2005, התקן לניהול איכות Iso9001:2008, הנחיות הגורם המנחה (משרד הביטחון) SaS70, ואחרים.
3. מדיניות ועקרונות איכות הניהול ואבטחת מידע – לשם תמיכה בתהליכים ופעילויות עסקיות ארגונים רבים מגדירים וקובעים עקרונות ודרכי פעולה אשר מתועדים בנהלים והנחיות פנימיות, אשר עומדים בדרישות ההנהלה, הלקוחות והוראות שונות.

תהליך ניהול הסיכונים טומן בחובו שלושה רבדים:

• זיהוי, מיפוי וסיווג הסיכון והאיום על הארגון והנכס.
• סקר סיכונים ואיומים בתהליך העסקי והניהולי בארגון.
• סקר איומים וסיכונים טכנולוגיים לזיהוי ואיתור הכשל האפשרי במערכות המידע ובהגנות הפיזיות.

ניהול סיכונים הלכה ולמעשה

1. התהליך מתבצע לפי מתודולוגית Top to Down כאשר הראיה היא מכיוון הנהלת הארגון כלפי מטה לנקודות סיכון אפשריות נוספות.
2. סקר סיכוני אבטחת מידע מספק תמונת מצב לדרג הניהולי ולצוות הטכני לגבי סיכוני אבטחת המידע להם חשוף הארגון בראייה תלת ממדית ארגונית, טכנולוגית תהליכית עסקית, תוך מתן דגש לאפשרויות מזעור הסיכון בהתאם לרמתו.
3. שלבי ביצוע הסקר:
   • זיהוי, מיפוי ואיתור סיכונים ב:
     • תהליכים עסקיים.
     • תהליכים טכנולוגיים.
     • נכסים פיזיים.
     • נכסי מידע.
     • מערכות ותשתיות מידע.
   • מיפוי וזיהוי איומים אפשריים לנכסים ולתהליכים:
     • איום לזמינות
     • איום לאמינות.
     • איום לשלמות.
     • איום לשימוש בלתי הולם.
     • איום לזליגת מידע.
     • גורמי האיום
4. תנאי השוק בימים אלו של מיתון וגלובליזציה ושל תחרות רבה מציפים איומים אפשריים רבים. בעת קיום תהליך ניהול סיכונים יש לתת את הדעת לאיומים אלו כבסיס להערכת הסיכונים העסקיים הצפויים לחברה.
5. מתחרים עסקיים של לקוחות החברה.
6. מתחרים עסקיים של החברה.
7. עובדי החברה בכלל ומקושרים למערכת המחשב הארגונית בפרט.
8. עובדים לשעבר להם אין גישה למשאבי החברה.
9. ספקים חיצוניים בעלי גישה לנכסי המידע של החברה בכלל ולרשת המחשבים בפרט.
10. אמצעי תקשורת למינם (תקשורת ציבורית, טלפון, אינטרנט, דואר אלקטרוני וכדומה).
11. הסביבה הפיזית בה ממקום הארגון.

מבדקי הערכת סיכונים והתאמה למדיניות הארגון

1. לשם קיום הליך של שיפור מתמיד והעלאת רף אבטחת המידע בארגון יש לקיים באפן סדיר בקרות שוטפות אחר עמידת העובדים במדיניות אבטחת המידע והאיכות והנהלים הנגזרים ממנה וכן בעמידה בתקנים והחוקים אשר אומצו.
2. המבדקים יקיפו את כלל התהליכים והמערכות בארגון, כאשר תהייה השוואת ממצאים בין תקופות שונות להצגת מקדם השיפור.

המבדקים יהיו לגבי התהליך העסקי והטכנולוגי ויתבצעו על ידי מבקרים אשר לא קשורים לנשוא המבדק (גורם חיצוני לארגון או מיחידה אחרת בארגון).