סקרי סיכונים

Home/סקרי סיכונים
08

סקר סיכונים הינו תהליך שמטרתו לאפיין את פגיעויות האבטחה של הארגון, והוא מקיף תחומים רבים ומגוונים ובוחן היבטים שונים הקשורים לאבטחת המידע בארגון. סקר הסיכונים מתבצע על פי מתודולוגיית CobiT, מתודולוגייה בין לאומית העוסקת בניהול מערך המיחשוב בארגון החל משלב התכנון, דרך שלבי ההטמעה והיישום וכלה בשלב הבקרה. במהלך הסקר יבדקו הנושאים הבאים:

  • למידת מערך המיחשוב – בחינת כל אמצעי התקשורת השייכים לרשת כגון שרתים, עמדות קצה, מכשירים סלולריים וכדומה.
  • ניתוח תשתיות התקשורת – ניתוח קווי ה-WAN, רשת ה-LAN, והתקשורת האלחוטית בארגון.
  • ראיונות עם אנשי מפתח – ראיונות עם גורמים שונים בארגון המאפשרים נקודות מבט שונות על אבטחת המידע, על תיעדוף משאבים, וכדומה.
  • נהלים ומדיניות – בחינת נהלי אבטחת המידע בארגון, הן מבחינה פורמלית הן מבחינת היישום.
  • מאגרי מידע – בדיקת דרישות רגולטוריות, רישום במשרד המשפטים ורגולציות שונות על פי הצורך.
  • מערכות המידע בארגון – אפיון המידע המוחזק בארגון, הגדרת עדיפויות, הגדרת מערכות קריטיות וכדומה.
  • אמצעי הגנה – בחינה מעמיקה של אמצעי האבטחה הקיימים בארגון, מבחינת הארכיטקטורה שלהם, הקונפיגורציה, וניתוח כשלי האבטחה שהם מותירים, כל זאת תוך התייחסות לאפיון המידע ובהתאם לרגישותו על פי צרכי הארגון.
  • ניהול משתמשים – בדיקת האופן בו מנוהלים המשתמשים במערכות מבחינת הרשאות התחברות, גישה למשאבים ועוד.
  • Social engineering – בדיקת מודעות העובדים לנושאי אבטחת מידע, מדיניות הדרכות בארגון, שמירה על סיסמאות וכדומה.
  • מיקור חוץ – ניתוח אופן העבודה מול חברות במיקור חוץ, צורות ההתחברות, הסכמי ההעסקה וכדומה