בעולמנו הטכנולוגי, בו במרבית מהתהליכים מעורבים מחשבים ואמצעים טכנולוגיים – כך גוברים האיומים בסייבר. ככל שאנו מחוברים יותר טכנולוגית, כך אנו נחשפים למספר גדול יותר של סיכונים. בסביבת עבודה המערבת מחשבים ואמצעים חכמים, גדלה גם החדירות בסייבר והסיכונים הטכנולוגיים – בין אם בתחום הסייבר ההתקפי, ובין אם בתחום אבטחת המידע. מקומות עבודה רבים אינם מודעים לסיכונים אליהם הם חשופים, לעיתים משום שאינם בקיאים בתחום, ולעיתים משום שאינם מבינים את חומרת הדבר. מפאת חוסר טיפול ומודעות לסטטוס החדירות של מקומות עבודה, הם עשויים למצוא את עצמם בלתי מגונים מפני תקיפות כופר, גניבת מידע אישי ומקצועי, פגיעה במערכות החברה ועוד. על כן, מומלץ לבצע סקר סיכונים בעבודה.
מהו סקר סיכונים בעבודה?
סקר סיכונים בעבודה (Risk assessment) הינו תהליך בדיקה ומיפוי אשר מתבצע לרוב על ידי חברה חיצונית, ובו נבדקת מידת המוגנות בסייבר של חברה מסוימת או מקום עבודה. בסקר הסיכונים מתבצעות מספר בדיקות שונות אשר מטרתן היא לאתר פירצות בסייבר ברכיבי הרשת של החברה, בין היתר מתבצעות בדיקות חדירות למערכות המידע, מערכות תעשייתיות ומערכות ענן. סקר הסיכונים מתבצע במרבית החברות על ידי רכישת השירות מחברה חיצונית, המתמחה באבטחה בסייבר, אשר לאחר ביצוע שלל הבדיקות הנדרשות על ידי הלקוח, מציגה את מצב ההגנה והסיכונים בסייבר של חברה, וממליצה ומייעצת על צעדי המשך נדרשים לשם שיפור ההגנה בסייבר של החברה.
מהן הבדיקות המבוצעות בסקר הסיכונים בעבודה?
ישנם סוגים רבים של בדיקות אשר ניתן לבצע בסקרי סיכונים. בכל מקום עבודה, ניתן להתאים את סל הבדיקות הרלוונטיות ללקוח – כך לדוגמא, משרד עורכי דין גדול, לא יידרש לבצע בדיקה להגנה בסייבר על מערכות תעשייתיות. על ידי פריטת רכיבי הרשת של מקום העבודה יחד עם חברה מקצועית, ניתן להתאים את הבדיקות המתאימות ביותר, לסיכונים הסבירים ביותר.
בבדיקות ייבדקו לרוב מספר דברים, סוג בדיקה ראשון הוא בדיקות GRC, המתייחסת לבדיקת יישום רגולציות וחוקים ממשלתיים, המחייבים ארגונים וחברות בסטנדרטים מסוימים של אבטחת מידע והגנה.
סוג בדיקה שני הוא הבדיקות הטכנולוגיות, המתחלקות לסוגים שונים של בדיקות. בדיקות אלו יבדקו את רמת החומרה והתוכנה – ימפו את הרשת ואת הכשלים בה, יאתרו חולשות.
בסקר סיכונים בעבודה, בשונה מסקר סיכונים סטנדרטי, מלבד בדיקות מקיפות על חולשות הסייבר של מקום העבודה, יבוצעו בדיקות מקיפות גם על הסיכונים האפשריים הצפויים לחברה. כך, נבחנות החולשות בסייבר גם אל מול איומים עתידיים אפשריים, ולא רק כחולשות העומדות לבדן. על ידי כך, ניתן להתאים בצורה הטובה ביותר את ההגנה בסייבר הדרושה בעבודה. כך לדוגמא, חברות ביטוח המחזיקות פרטים רבים של אנשים, ביניהם גם פרטים פיננסיים, עשויה להוות מטרה לתקיפת סייבר לגניבת מידע לשימוש לסחיטה (תקיפת כופר).
למה צריך סקר סיכונים בעבודה?
- איתור והבנה של סיכונים: סקר סיכונים מאפשר לארגונים לזהות את הסיכונים הפוטנציאליים באופן מדויק ומדעי. הוא מאפשר לנו להבין את התהליכים השונים שלנו ואת הסיכונים הפוטנציאליים שיכולים להיווצר במהלך העבודה.
- מינימיזציה של סיכונים: על ידי זיהוי הסיכונים, אנו יכולים להקדיש משאבים להפחתת הסיכונים האלה על ידי שינוי תהליכים, יישום מדיניות חדשה, או שימוש בטכנולוגיה חדשה.
- כלים לתכנון והכנה: הסקר מספק מידע שמאפשר לנו לתכנן ולהתכונן לאירועים בלתי צפויים. הוא מספק לנו ראייה מקדימה של מה שעשוי לקרות ומאפשר לנו להתכונן מראש.
- שמירה על העובדים: לסקר סיכונים יש תפקיד חשוב בשמירה על בריאות וביטחון העובדים. על ידי זיהוי הסיכונים, אנו יכולים להפחית את הסיכוי שעובד ייחשף למצב מסוכן.
- תמיכה בתקנות וחוקים: בחלק מהמדינות והתעשיות, סקר סיכונים הוא דרישה חוקית. אפילו אם הוא לא נדרש על פי החוק, עלול להיות שזהו דרך יעילה להדגים את המאמץ של הארגון לשמירה על ביטחון העבודה.
מה נעשה בסיום הסקר?
בסיום סקר סיכונים בעבודה, יוצגו ללקוח מסקנות הבדיקה ותוצאותיה. בתוך כך, החברה המבצעת את הבדיקה תציע לרוב ניהול סיכוני סייבר – פתרונות לסיכונים המוצגים ותדע בדרך כלל גם לספק אותם, במידה והלקוח מעוניין בהמשך התכתבות עם החברה המבצעת.
ישנן חברות רבות המציעות סקרי סיכונים ממגוון סוגים. חברת MADSEC הינה חברת ייעוץ בסייבר וטכנולוגיה, מהמובילות בארץ. החברה מציעה שירותים מגוונים בתחום אבטחת המידע וההגנה בסייבר, ומתמחה בתחום בדיקות החדירות וסקרי סיכונים. לחברה לקוחות מגוונים בארץ ובעולם, ביניהם גם לקוחות ביטחוניים. לפרטים נוספים ולהצעת עבודה לסקר סיכונים במקום עבודתכם, מוזמנים לפנות בטלפון 03-6399668 או במייל [email protected].
