שירותי ייעוץ ואבטחת מידע

שירותי ייעוץ

סקר סיכונים הוא נקודת הפתיחה של כל מערך הגנה ארגוני אפקטיבי. במקום לנחש היכן הארגון חשוף, התהליך ממפה את הנכסים והתהליכים הרלוונטיים, הפיזיים והדיגיטליים כאחד, ומסווג אותם לפי מידת הקריטיות שלהם לפעילות העסקית ולפי ההשפעה של פגיעה בהם על המשך התפקוד. על בסיס מיפוי זה מתבצעת הערכת סיכונים מקיפה הנשענת על בחינת חשיפה והסתברות לאירוע, מבדקי חדירה, סריקת פגיעויות ומעבר על הנהלים הקיימים, ומתקבל דוח סיכונים כולל המציג תמונת מצב מלאה, לרבות סיכונים שאינם דורשים טיפול מיידי. מעבר לאבחון, התהליך מתורגם להמלצות מעשיות בשלושה מישורים, הטכנולוגי, התהליכי והאנושי, וכולל המלצות לייסוד מדיניות לסיווג נכסים, זיהוי תהליכים הדורשים ריענון כגון עדכון הסכמי עבודה ונהלי קליטת עובדים וסיום העסקה, ויישום בקרות ופתרונות אבטחת מידע לצד ניטור פעילות והעלאת מודעות בקרב עובדים ומנהלים. תהליך סדור של סיווג נכסי המידע וסקר סיכונים תקופתי מעלה באופן ניכר את מוכנות הארגון לאירועי סייבר.

ראשי » שירותי ייעוץ » סקר סיכונים

סקר סיכונים

מה כוללת הערכת סיכונים מקיפה בארגון

הערכת סיכונים מתחילה בהבנה מדויקת של מה שיש לארגון להגן עליו. השלב הראשון הוא מיפוי הנכסים והתהליכים הרלוונטיים, הן הפיזיים והן הדיגיטליים, ולאחריו סיווגם לפי מידת הקריטיות שלהם בתהליכים העסקיים ולפי ההשפעה של פגיעה בהם על המשך הפעילות. רק לאחר שהתמונה הזו מתבהרת אפשר לבחון את החשיפה בפועל, את ההסתברות להתרחשות אירוע ואת הבקרות הקיימות אל מול אלו שראוי להוסיף.

הערכת סיכונים איכותית נשענת על כמה מרכיבים משלימים שפועלים יחד:

✓ מיפוי וסיווג נכסי המידע לפי רמת הקריטיות שלהם לעסק

✓ בחינת חשיפה והסתברות להתממשות איום בכל נכס

✓ מבדקי חדירה וסריקת פגיעויות לזיהוי נקודות תורפה טכניות

✓ מעבר על נהלים ותהליכי עבודה קיימים בארגון

✓ הפקת דוח מסודר עם המלצות לפי סדר עדיפויות

השלבים המרכזיים בתהליך הערכת סיכונים

על פי עמדת הרשות להגנת הפרטיות, תהליך הערכת סיכונים בנוי ממספר שלבים סדורים שמתחילים בהגדרת נכסי הארגון וממשיכים בזיהוי וניתוח האיומים על אותם נכסים. בהמשך מזוהות החולשות והפגיעויות שעלולות לחשוף את הארגון לסיכון, ולאחר מכן נבחנת מידת ההשפעה של התממשות הסיכון על הפעילות. השלב הבא הוא מיפוי הפעולות והבקרות הקיימות אל מול אלו שראוי ליישם כדי לצמצם את הסבירות להתממשות, והתהליך נחתם בהערכת מצב מחדש שמוודאת שכל מרכיבי הסיכון אכן טופלו.

חשוב להבין שתהליך מסוג זה אינו עומד בפני עצמו. תוצריו מתורגמים להמלצות מעשיות בשלושה מישורים, הטכנולוגי, התהליכי והאנושי, ובכך הוא הופך מאבחון לתוכנית עבודה. הדוח המתקבל כולל גם סיכונים שאינם דורשים טיפול מיידי, כדי שלהנהלה תהיה תמונה שלמה של מצב הסיכון בארגון ולא רק רשימת המשימות הדחופות.

איור דיגיטלי של זכוכית מגדלת מעל רשימת בדיקה עם סימני V כחולים זוהרים, המסמלים בדיקה או סקירה על רקע כהה.

איור דיגיטלי של זכוכית מגדלת זוהרת הבוחנת רשימת משימות עם תיבות סימון, המסמלת בדיקה קפדנית, ניתוח או בקרת איכות על רקע כחול כהה.

מה כוללת הערכת סיכונים מקיפה בארגון

הערכת סיכונים איכותית נשענת על כמה מרכיבים משלימים שפועלים יחד:

✔ מיפוי וסיווג נכסי המידע לפי רמת הקריטיות שלהם לעסק

✔ בחינת חשיפה והסתברות להתממשות איום בכל נכס

✔ מבדקי חדירה וסריקת פגיעויות לזיהוי נקודות תורפה טכניות

✔ מעבר על נהלים ותהליכי עבודה קיימים בארגון

✔ הפקת דוח מסודר עם המלצות לפי סדר עדיפויות

השלבים המרכזיים בתהליך הערכת סיכונים

איור דיגיטלי של זכוכית מגדלת ופטיש שופט, העשויים מקווים מצולעים כחולים, המסמלים חקירה דיגיטלית או ניתוח משפטי מקוון על רקע כהה.

איור דיגיטלי של זכוכית מגדלת המונחת על יהלום, המורכב מקווים גיאומטריים כחולים ונקודות זוהרות, על רקע טכנולוגי כהה.

ניהול סיכונים כתהליך מתמשך ולא חד פעמי

ניהול סיכונים אינו מסתכם באירוע בודד אלא בתהליך מחזורי שמתעדכן עם הזמן. סביבת האיומים משתנה, הארגון גדל, מערכות חדשות נכנסות לשימוש ותהליכי עבודה מתחלפים, וכל שינוי כזה עשוי ליצור חשיפות חדשות. בשל כך נדרש לבחון את הסיכונים מחדש מעת לעת, ולעדכן את הבקרות בהתאם למציאות המתעדכנת. ניהול סיכונים מסודר שומר על רלוונטיות המיפוי הקיים ומפחית את הסיכון להסתמכות על תמונת מצב שכבר אינה משקפת את המתרחש בארגון.

כחלק מהתפיסה הזו, הרשות להגנת הפרטיות הבהירה כי הסיכונים נדרשים לבחינה מחדש לכל הפחות אחת ל18 חודשים. עם זאת, ארגון שנודע לו על סיכון או על שינוי במיפוי הסיכונים שלו נדרש לפעול מיידית לצמצומו ואינו רשאי להמתין עד לחלוף התקופה הזו. במילים אחרות, ניהול סיכונים שוטף ובניית תרבות ארגונית של אבטחת מידע הם תנאי להתמודדות אמיתית עם איומים, ולא רק דרישה שיש לסמן עליה וי.

כיצד ניהול סיכונים תומך ברציפות העסקית

הקשר בין ניהול סיכונים לבין רציפות עסקית הוא ישיר. כאשר הארגון יודע אילו נכסים קריטיים לפעילותו ואילו תרחישים מסכנים אותם, הוא יכול להיערך מראש למקרים של תקלה או מתקפה ולצמצם את משך ההשבתה האפשרי. תהליך מסודר של סיווג נכסי המידע וסקר סיכונים תקופתי מעלים באופן ניכר את מידת המוכנות של הארגון לאירועי סייבר, ומאפשרים חזרה מהירה יותר לשגרת פעילות גם כאשר משהו משתבש.

הערכת סיכונים נכונה גם מזהה תהליכים ארגוניים שדורשים ריענון או שינוי, ובכלל זה עדכון הסכמי עבודה, נהלי קליטת עובדים ונהלי סיום העסקה. רבים מהסיכונים אינם טכנולוגיים בלבד אלא נובעים מתהליכים אנושיים, ולכן חיזוק ההיבטים הללו הוא חלק בלתי נפרד מבניית מערך הגנה יציב. גישה זו מחברת בין הטכנולוגיה לבין הנהלים ומצמצמת את הסיכון שאחד המישורים יישאר חשוף.

לולאה אינסופית זוהרת בצבע כחול, המורכבת ממבנה תיל, עם שכבת מגן המונחת עליה על רקע כהה, המייצגת את מושגי אבטחת הסייבר והאינטגרציה הרציפה.

מגן דיגיטלי זוהר, המורכב מצמתים המחוברים זה לזה, מכסה לולאת אינסוף על רקע כהה, ומסמל אבטחת סייבר והגנה על נתונים.

ניהול סיכוני סייבר בעידן האיומים המתוחכמים

ניהול סיכוני סייבר דורש כיום התייחסות רחבה יותר מבעבר, מאחר שהאיומים הפכו מתוחכמים ומגוונים. מתקפות פישינג, נוזקות כופר וניסיונות התחזות מתקדמים מחייבים את הארגון להבין לא רק היכן הוא חשוף מבחינה טכנית, אלא גם כיצד גורם עוין עשוי לנצל חולשות בתהליכים ובמודעות העובדים. סקר סיכונים מספק את התשתית לזיהוי החשיפות הללו, אך התמונה השלמה דורשת ראייה רוחבית שמשלבת טכנולוגיה, תהליך וגורם אנושי תחת מטרייה אחת של הגנת סייבר.

מסגרת מסודרת של ניהול סיכוני סייבר מאפשרת לארגון לתעדף את הטיפול לפי רמת הסיכון בפועל, ולא לפי תחושת בטן. במקום לפזר משאבים על כל איום אפשרי, הארגון מתמקד תחילה בנקודות שבהן הסבירות לפגיעה והנזק הצפוי הם הגבוהים ביותר. כך מתקבלת מדיניות הגנה מאוזנת שמתעדפת את ההשקעה במקום שבו היא תורמת באופן המשמעותי ביותר לצמצום הסיכון.

בקרות ומדיניות במסגרת ניהול סיכוני סייבר

יישום בקרות הוא השלב שבו ניהול סיכוני סייבר הופך מתיאוריה למעשה. ההמלצות העולות מהסקר כוללות הטמעת פתרונות טכנולוגיים, ניטור פעילות במערכות, הדרכות והעלאת מודעות בקרב עובדים ומנהלים, וכן ייסוד מדיניות ברורה לסיווג נכסים. שילוב של בקרה טכנית עם נהלים מוגדרים יוצר מערך הגנה שעמיד יותר בפני תקלות אנוש ובפני ניסיונות חדירה. מדיניות סיווג נכסים מסייעת לכך שכל מידע מקבל את רמת ההגנה התואמת לחשיבותו, ולא יותר ולא פחות מכך.

איור דיגיטלי של שלד תלת-ממדי של טלסקופ בתוך מסגרת עגולה, המוצג על רקע רשת בצבע כחול כהה עם סמלי מגן אבטחה עדינים.

איור דיגיטלי של טלסקופ, המורכב מקווי שלד כחולים, על רקע רשת כהה.

ההבדל בין סקר סיכונים למבדק חדירות

נהוג לבלבל בין סקר סיכונים לבין מבדק חדירות, אך מדובר בשני כלים משלימים בעלי מטרות שונות. סקר סיכונים הוא תהליך רחב שבוחן את כלל הנכסים, התהליכים והבקרות בארגון ומספק תמונת מצב כוללת של רמת הסיכון. מבדק חדירות, לעומת זאת, הוא בדיקה ממוקדת שמדמה תקיפה אמיתית כדי לאתר חולשות טכניות שניתן לנצל בפועל. השניים פועלים יחד, כאשר מבדק החדירות מהווה אחד המרכיבים שמזינים את הסקר הרחב יותר ומחזק את אמינות הממצאים שלו.

אופק דיסט מלווה ארגונים בביצוע סקר סיכונים מסודר הכולל מיפוי נכסים, סריקת פגיעויות וניתוח חשיפות, ומציעה כחלק מהשירות סריקת פגיעויות ובדיקות התאמה לחוק ללא עלות. הליווי משלב בין ההיבט הטכנולוגי לבין ההיבט הרגולטורי, מתוך הבנה שעמידה בדרישות הרשות להגנת הפרטיות ובניית מערך הגנה יעיל הולכות יד ביד.

מה חשוב לזכור על סקר סיכונים

סקר סיכונים הוא הבסיס לקבלת החלטות מושכלות בתחום ההגנה הארגונית. ראינו שהוא מתחיל במיפוי וסיווג נכסים, ממשיך בזיהוי איומים וחולשות ובהערכת ההשפעה שלהם, ונחתם בהמלצות מעשיות במישור הטכנולוגי, התהליכי והאנושי. ראינו גם כי מדובר בתהליך מחזורי שדורש בחינה מחדש לאורך זמן, וכי הרשות להגנת הפרטיות רואה בו ובמבדק החדירות שלבים חיוניים שיש לבצע במאגרי מידע ברמת אבטחה גבוהה ומומלץ ליישם בכל ארגון. ניהול סיכונים שוטף הוא שמתרגם את הממצאים הללו למוכנות אמיתית מול אירועי סייבר. אופק דיסט מלווה ארגונים בביצוע סקר סיכונים הכולל סריקת פגיעויות ובדיקות התאמה לחוק. לפרטים נוספים: 073-2200123

איור דיגיטלי של מאזניים זוהרים, המאזנים בין מגן מצד אחד למטרה מצד שני, המסמל את ההשוואה בין ביטחון למטרות.

איור דיגיטלי של מאזניים, עם מגן בצד אחד ומטרה בצד השני, המסמל את הניגוד בין ביטחון להשגת מטרות.

שאלות ותשובות

מה ההבדל בין סקר סיכונים לבין הערכת סיכונים?

הערכת סיכונים היא מרכיב מרכזי בתוך סקר הסיכונים, השלב שבו בוחנים את החשיפה וההסתברות לכל איום. סקר סיכונים הוא התהליך הרחב יותר שכולל גם מיפוי נכסים, מבדקי חדירה והמלצות ליישום.

כל כמה זמן צריך לבצע סקר סיכונים?

על פי עמדת הרשות להגנת הפרטיות, יש לבחון את הסיכונים לכל הפחות אחת ל18 חודשים. ארגון שנודע לו על סיכון חדש נדרש לפעול לצמצומו מיידית ואינו רשאי להמתין עד לחלוף התקופה הזו.

האם החובה לבצע סקר חלה על כל ארגון?

על פי התקנות החובה חלה על מאגרי מידע ברמת אבטחה גבוהה. עם זאת הרשות ממליצה לבצע את הסקר גם בארגונים המחזיקים במאגר ברמת אבטחה בינונית או בסיסית, כפרקטיקה רצויה.

מה כולל דוח סקר הסיכונים?

הדוח מציג את הנכסים, האיומים והחולשות שזוהו, את מידת ההשפעה האפשרית ואת ההמלצות לטיפול. הוא כולל גם סיכונים שאינם דורשים טיפול מיידי, כדי לספק להנהלה תמונת מצב שלמה.

רוצה להיות שותף שלנו?

השאר פרטים ונציג מטעמנו יצור עמך קשר בהקדם

לקבלת ייעוץ

השאירו פרטים וניצור עמכם קשר בהקדם

התאוששות מאסון