מנהלי אבטחת מידע רבים משקיעים את מירב זמנם בפעולות שוטפות, כגון רכש והטמעת מערכות אבטחת מידע, ביצוע הדרכות מודעות סייבר לעובדים ועוד. יחד עם זאת, נראה שחלקם הגדול פועלים באופן דומה ורוכשים מגוון מערכות, מבלי שיהיה בהכרח מתאם מדויק בין צרכי הארגון לבין פעולות הרכש, וודאי שלא בראיה רב שנתית. בין הסיבות לכך ניתן למנות:
- חוסר בתקשורת שוטפת מול ההנהלה הבכירה, דבר שמוביל לקשיי תקצוב ולאי תיאום בציפיות
- מחסור תמידי במשאבים, דוגמת מערכות אבטחת מידע ואנשי אבטחת מידע
- רגולציה הולכת ומכבידה, אשר גורמת בסופו של דבר, לכך שמנהל אבטחת המידע מובל על ידי דרישות הרגולציה ולא בהכרח על ידי הצרכים האמיתיים של הארגון.
כיום, כאשר ברור גם להנהלות בארגונים השונים, שסייבר מהווה איום מהותי להמשכיות העסקית של הארגון, על מנהל אבטחת המידע להשקיע מאמצים רבים בתכנון אסטרטגית סייבר ארוכת טווח שתקבל את אישור ההנהלה. באופן הזה כל הפעולות יהיו מוכוונות לצרכים האמיתיים של הארגון ובמקביל תיאום הציפיות ישפר את ההתנהלות מול ההנהלה.
במאמר זה אסקור את עקרונות תכנון ויישום אסטרטגית הסייבר.
שלב 1 – ביצוע הערכת סיכוני סייבר
הערכת סיכוני האבטחה מאפשרת למנהל אבטחת המידע לזהות ולשנות במידת הצורך, את עמדת הארגון בנוגע לאבטחת מידע. פעילות זה מחייבת, מטבע הדברים, שיתוף פעולה עם מספר מחלקות בארגון ויכולות להיות לה השלכות חיוביות בנוגע למחויבות הנהלת הארגון להקצאת משאבים וליישום הפתרונות. להלן רשימה של תחומים המהווים מקורות להערכת הסיכונים:
זיהוי נכסים
- תחנות עבודה, מכשירים ניידים, מערכות הפעלה ושרתים, כולל מערכות אשר הגיעו או מתקרבות ל EOL (סוף תקופת התמיכה)
- זיהוי המערכות והציוד שאינן נסקרות באופן שוטף (Shadow IT)
מיפוי נכסים לקטיגוריות שונות
- רשימת התוכנות הקיימות בארגון
- קטלוג ומיפוי המשתמשים למחלקות שונות, לדוגמה דרך מערכת LDAP כגון Active Directory
- זיהוי וקישור בין זהות המשתמש לאופן הגישה למשאב בהתאם לתבניות קבועות בארגון
סיווג רמת הסודיות של הנתונים
- ציבורי – כל מידע שניתן לשתף בפומבי מבלי שישפיע לרעה על הארגון
- סודי – נתונים שאין לשתף בפומבי, וכל שיתוף עם גורם שלישי יחייב הסכם סודיות (NDA)
- שימוש פנימי בלבד – דומה לנתונים סודיים, אך אסור לחלוק אותם עם צד שלישי
- קניין רוחני – נתונים קריטיים לעסקי הליבה אשר במידה וייחשפו, יפגעו בכושר התחרותיות של החברה.
- נתונים מוגבלים לציות מסוים – נתונים שהגישה והאחסון שלהם מחייבים ניהול קפדני, בהתאם למסגרת שהפעילות קשורה אליה, כגון: CMMC, HIPAA, GDPR וחוק הגנת הפרטיות.
זיהוי משטחי התקיפה הרלוונטיים לארגון
- מיפוי דרכי ההתקשרות והסיכונים הפוטנציאליים בעבודה עם גופי צד שלישי
- זיהוי כל נקודות היציאה והכניסה לרשת הפנימית של הארגון
- הכנת דיאגרמת רשת מעודכנת, הכוללת גם מערכות בענן ובסניפים נוספים
תיעדוף סיכונים
ניתוח השפעתו של אירוע סייבר על הפעילות העסקית (BIA-Business Impact Analysis) בכדי לזהות מערכות ונתונים קריטיים.
שלב 2 – הגדרת רמות השירות הנדרשות
- בדיקת רמת השירות SLA הנדרשת מהארגון עבור לקוחותיו, וכן מהי רמת הSLA שהספקים מחויבים אליה? הדבר יסייע להגדיר את יעדי האבטחה ורמת השרידות הנדרשת.
- קביעת רמת הניטור הנדרשת, לדוגמה מהם אינדיקטורים מתאימים (KPI) שיש לנטר באופן שוטף? ומהו זמן התגובה הנדרש עבור אירועים מסוג מסוים?
שלב 3 – בחירת מסגרת מתאימה עבור הבקרות
- בחינת התקנות שחובה להיצמד אליהן בהתאם לסוג הארגון, למשל: PCI, SOX, GDPR ו- HIPAA. לעיתים מדובר בשילוב של מספר תקנות וחקיקה.
- בחירת המסגרת המתאימה (framework), לדוגמה: CMMC, NIST 800-53, PCI-DSS והגדרת הבקרות וההנחיות הרלוונטיות.
- הגדרת מדיניות אבטחת המידע ויישום כלים שיאפשרו ניטור של פעולות שחורגות ממדיניות זו.
שלב 4 – יצירת תוכנית לניהול סיכונים
- יצירת תוכנית המשכיות עסקית BCP- Business Continuity Plan. זו תהליך מניעתי שמתמקד בהיערכות למקרה של אירוע סייבר חמור. הדגש הוא בהחזרת המערכות והפעילות העסקית, וכולל בין היתר נהלי תקשורת, הקצאת משאבים ותוכניות להקטנת נזקים.
- יצירת תוכנית התאוששות מאסון DRP- Disaster Recovery Plan. תחום זה מתייחס לתהליכים שיש לנקוט במהלך ואחרי אובדן הנתונים או הגישה אליהם, כתוצאה מאירוע סייבר, דוגמת שחזור נתונים וגישה לגיבויים. DRP מהווה חלק מ- BCP.
- הכנת תוכנית תגובה לאירוע סייבר IR – Incident Response. הדגש הוא על הטיפול המיידי באירוע, לדוגמה זיהוי הפוגען, דיווח לגופים רלוונטיים וביצוע סטריליזציה לרשת הארגונית. IR מהווה חלק מ- DRP.
שלב 5 – יצירת מחויבות הנהלה
- הקמת צוות שיכלול חברי הנהלה אשר יקיים ישיבות קבועות מדי רבעון. המטרה היא לשתף את ההנהלה באופן העמידה ביעדים ובקשיים שהתגלו.
- הגדרת רמת הסיכון המקובלת על הארגון וקביעת רמת ציפיות סבירה בשיתוף עם ההנהלה.
- הגדרה משותפת של התקציב עבור אבטחת המידע
שלב 6 – יישום נכון של אסטרטגיית הסייבר
מומחי אבטחת המידע של Madsec ישמחו לסייע לכם בשלבים שצוינו קודם לכן, כמו גם במשימות החשובות של שלב זה אשר כוללות:
- הכנת הקבצים הרלוונטיים שהוזכרו במאמר, כולל ביצוע סימולציית סייבר להנהלה בכירה
- הכנת מסמכי האסטרטגיה בהתאם לניתוח הסיכונים של הארגון
- שימוש בחוכמה בתקציב שאושר, תוך הפרדה בין תקציב שמשמש לרכש, כלומר השקעות CapEx לבין תקציב שמיועד לפעולות שוטפות (OpEx) דוגמת שימוש ב- SOC חיצוני.
- ביצוע תיעדוף למשימות בהתאם לניתוח הסיכונים והתקציב שנקבע עם ההנהלה
- הגדרת תוכנית עבודה דו שנתית, עם יעדים ברורים ומציאותיים.