אבטחת מידע לעסקים: כמו שצריך לעשות את זה

הסכנה לא נמדדת רק במונחי גניבת מידע. אובדן גישה למערכת לשבוע אחד יכול להפיל עסק שלם, גרירת לקוחות לחברה מתחרה היא דבר שבשגרה, וקנסות רגולטוריים על דליפת מידע אישי יכולים להגיע לעשרות אלפי שקלים. ההשקעה באבטחה תמיד זולה ביחס לעלות של מה שקורה כשאין אותה.

שירותי מחשוב

עסקים שעובדים עם ספק חיצוני נהנים מיתרון משמעותי בתחום האבטחה. הספק רואה את אותם איומים אצל מאות לקוחות אחרים, מזהה דפוסים מוקדם, ומעדכן את ההגנות בכל המערכות במקביל. עסק שמנסה להתמודד לבד עם המורכבות הזו נמצא במאבק לא הוגן מול התוקפים.

מעבר לידע המקצועי, ספק חיצוני מספק רציפות שירות שקשה להשיג בתוך הארגון. כשעובד IT פנימי יוצא לחופשה או עוזב, יש פער של ימים או שבועות שבו אף אחד לא מטפל במערכת. אצל ספק עם צוות, תמיד יש מישהו זמין, וזה הבדל גדול בעת תקלה דחופה.

שירותי מחשוב מקצועיים כוללים גם ניטור 24/7 שמזהה התקפות בזמן אמת ומגיב מיד, לפני שהנזק מתפתח. הסטנדרט בתעשייה היום הוא תגובה תוך דקות, לא שעות, וזו נקודה שעסק קטן לא יכול לעמוד בה לבד גם אם הוא מאוד מסור.

הצפנת נתונים

הצפנה היא שכבת ההגנה האחרונה והחשובה ביותר. גם אם תוקף הצליח לחדור למערכת ולגנוב קבצים, אם הם מוצפנים כראוי, הוא מחזיק בידיו גוש של ביטים חסרי משמעות. הסטנדרט המקובל היום הוא הצפנה ברמת AES-256, שעדיין נחשבת לבלתי שבירה גם עם משאבי המחשוב הזמינים בשנים הקרובות.

הצפנה צריכה לכסות שני מצבים: כשהמידע נמצא במנוחה על שרתים או כוננים, וכשהוא נשלח דרך הרשת. רוב העסקים שוכחים את החלק השני, ובכך משאירים פתח גדול. כשעובד שולח קובץ ללקוח דרך מייל לא מוצפן, המידע חשוף לכל מי שמאזין לתעבורה הזו, ולפעמים זה לא דורש שום מומחיות מיוחדת.

חשוב לזכור שהצפנה היא לא רק עניין טכני אלא גם תפעולי. מי שמחזיק את המפתחות, איך הם נשמרים, ומה קורה אם המפתח אובד, כל אלה שאלות שצריכות תשובה מסודרת לפני שמתחילים לעבוד. בלי תהליך מסודר, ההצפנה הופכת לבעיה במקום לפתרון, וזה מצב שצריך להימנע ממנו.

ניהול סיכונים

אבטחת מידע איכותית לא מתחילה במוצרים אלא בהבנת הסיכונים הספציפיים של העסק. עסק שעובד עם מידע רפואי חשוף לאיומים שונים מעסק שעובד עם מידע פיננסי, ובהתאם, ההגנות שכל אחד מהם צריך נראות אחרת. הגישה הנפוצה של להתקין הכל ולקוות לטוב יקרה ולא יעילה.

תהליך ניהול סיכונים נכון כולל מיפוי של הנכסים החשובים, זיהוי האיומים שעלולים לפגוע בהם, הערכת ההסתברות והנזק של כל איום, ובניית תוכנית הגנה שמותאמת לסדר העדיפויות. תהליך כזה לוקח כמה ימים של עבודה אבל חוסך כסף רב בטווח הארוך, וגם מבטיח שהדברים החשובים מקבלים את ההגנה הראויה.

הסיכון הגדול ביותר ברוב העסקים הוא לא טכני אלא אנושי. עובד שלוחץ על קישור חשוד, מנהל שמשתמש בסיסמה זהה בכל המערכות, או עוזרת חשבונאית שמעבירה כספים על סמך מייל מזויף. שום מוצר אבטחה לא יחליף הדרכת עובדים שגרתית ובניית תהליכי אישור ברורים לפעולות במערכות.

תשתית IT

אבטחת מידע לעסקים מחייבת התייחסות לתשתית הטכנולוגית כולה ולא רק לרכיב בודד. תשתית מחשוב מודרנית שונה במהותה מזו שהייתה לפני עשור: במקום שרתים פיזיים בחדר השרתים, רוב העסקים עברו לעבוד עם שירותי ענן. במקום מחשבים נייחים, רוב העובדים עובדים על נייד מהבית או מבית קפה. השינוי הזה מקטין עלויות אבל מרחיב משמעותית את שטח החשיפה.

עסק שעובד היום עם תשתית ענן צריך לוודא שכל החיבורים מוגנים בשכבת VPN איכותית, שיש מערכת ניהול גישה שמזהה כל מי שמתחבר, ושיש גיבוי אוטומטי שירוץ במקביל ולא תלוי בספק יחיד. הסטנדרט המקצועי הוא לפחות שני עותקים בשני שירותים שונים, באמצעות שני ספקים נפרדים.

תשומת לב מיוחדת צריכה להיות לעדכוני אבטחה. רוב הפריצות לא מנצלות חולשות חדשות אלא חולשות ידועות שלא תוקנו, בגלל שמישהו דחה עדכון חצי שנה. אוטומציה של תהליך העדכונים, יחד עם בדיקה תקופתית שכל המערכות מעודכנות, היא אחת ההגנות הזולות והיעילות ביותר שיש.

לסיכום

אבטחת מידע היא לא פרויקט שמסיימים אלא תהליך שמנהלים. האיומים מתפתחים כל הזמן וההגנות חייבות להתפתח אתם. עסק שמשקיע באבטחה באופן עקבי ומסודר, ולא רק כשמשהו קורה, חוסך כסף וזמן רב בטווח הארוך, ובעיקר חוסך לעצמו את הסיכוי לחוות את הסיוט של אובדן מידע קריטי או של פגיעה במוניטין שלוקח שנים לתקן.

אנו מכבדים זכויות יוצרים ועושים מאמץ לאתר את בעלי הזכויות בצילומים המגיעים לידינו. אם זיהיתים בפרסומינו צילום שיש לכם זכויות בו, אתם רשאים לפנות אלינו ולבקש לחדול מהשימוש באמצעות כתובת המייל: ashdodonline1@gmail.com