חברת N.A. Security מתמחה ומתמקדת בשלושה תחומי פעילות אשר קשורים ומשלימים האחד את השני:
- מודעות להיבטי אבטחת מידע ואיכות – העלאת המודעות לעובדי הארגון ולמנהליו בכל היררכיה שהיא.
- הדרכות – קיום הדרכות פרטניות וקבוצתיות בהתאמה לתרבות הארגון ולעובדיו.
- מנהלי אבטחת מידע ואיכות – פיתוח, קידום, אימון והעלאת מיומנויות מובילי אבטחת המידע והאיכות.
אנו כבני אדם בבסיסנו תרבותיים ומעוניינים לעזור לכל אחד תוך מסירת מידע ופרטים רבים ומיותרים, דבר אשר הופך את העובד (בכל רמה היררכית שהיא) לחוליה החלשה בארגון, מחקרים מלמדים כי מרבית כשלי אבטחת המידע מקורם באדם בכלל ובעובד של הארגון בפרט.
הנדסה סוציאלית Social Engineering –
היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע שמשמעותו שילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ. למשל, לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו (מתוך "ויקפדיה").
דוגמאות לרמאויות ולטריקים שבעזרתם העובד מוסר בתמימות מידע עסקי חסוי או אף מידע אישי רגיש לגורמים לא רצויים ו/או אף פלילים לא חסרות:
- שיחת טלפון ממישהו הטוען כי הוא נציג השירות של חברת כבלים, וכתוצאה מכך למסור פרטי סיסמת כרטיס אשראי ועוד.
- מייל עם לוגו של הבנק אשר מבקש אימות פרטים וסיסמא כולל מספר כרטיס אשראי.
- שיחת טלפון מאדם אשר מציג עצמו כבכיר בחברה וסיסמתו לא פעילה.
- פגישה עם אדם במעלית החברה ומתן אפשרות כניסה לאזור ממודר בארגון.
להלן דוגמא קלסית בהנדסה סוציאלית של איתור כתובת הבית והמייל של עובד לפי מספר הטלפון שלו:
הפורץ מתקשר למספר הטלפון, ובמידה והגיע לבית המבוקש, מזדהה כנציג שירות של חברת ביטוח כלשהי וברצונו לשלוח מכתב עם פרטים מאוד חשובים בדואר ובמייל, בדרך כלל הפרטים נמסרים ללא כל שאלות וברורים מיותרים. זו גם הדרך לקבל סיסמא של בכירים בארגונים דרך מרכזי התמיכה.
אז מה עושים? איך מתגוננים?
מעלים בעזרתנו את מודעות העובדים בכל רמה היררכית שהיא לנושאי והיבטי אבטחת מידע ואיכות.
מתן הסברים ודוגמאות לסיכונים ולאיומים הטמונים בשימוש במערכות המידע הממוחשבות בכלל לרשתות התקשורת הציבוריות בפרט. קידום ופיתוח מנהלי ונאמני אבטחת מידע כדי שיראו את הארגון בראיה רחבה. קיום בקרות ומבדקים פנימיים לבחינת רמת המודעות והידע.
דרכים ושיטות:
חברת N.A. Security בעלת ניסיון של שנים רבות בקיום הדרכות וקורסים להעלאת מודעות עובדים והפורומים המקצועיים להיבטי אבטחת מידע ואיכות. ההדרכות מותאמות לארגון ולתרבות הארגונית שלו תוך מתן דוגמאות מהשטח. ההדרכות תתקיימנה בארגון עצמו או במרכז הדרכה אשר נמצא במשרדי חברת N.A. Security. יש לנו את הניסיון לקיים הדרכות פרונטאליות או קבוצתיות מהדרכה בת שעה ועד לקורס של כ 20 שעות. קיימת אפשרות של שילוב לומדה אינטרנטית ב WEB, לשם מניעת בזבוז משאבי עובדים, בארגונים מבוזרים לדוגמא, וכן ליצירת מנגנון בחינת אפקטיביות ההדרכה.
חברת N.A. Security פיתחה תהליך של קידום ואימון בעלי התפקיד בתחומי אבטחת מידע תוך הקניית כלים ותובנות אשר יובילו את מנהל אבטחת המידע לחקור יותר, לשנות, להקשיב, להוביל ולקדם את מערכת ניהול אבטחת המידע עליה הוא אמון.
קישורים:
הרצאה בכנס של האיגוד הישראלי לביקורת ומערכות מידע ISACA "אבטחת מידע עוקפת מיתון"
הרצאה בוועידה ה 9 לאבטחת מידע "אבטחת מידע כתרבות ארגונית"
Follow