09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

10 כשלים בהערכת סיכוני אבטחת מידע

קטגוריה: אבטחת מידע וסייבר

הבסיס לקבלת החלטות מונחות סיכונים בתחום אבטחת המידע הוא הערכה מוצלחת של סיכוני אבטחת המידע. עם זאת, אפילו כאשר ארגונים. . .

 
מבצעים הערכה מסוג זה, הם לעתים קרובות מבצעים טעויות אשר עלולות לפגוע בתהליך זה בצורה ניכרת. להלן הטעויות הנפוצות ביותר שיש לנסות ולהימנע מהן:

(1) היעדר הערכת סיכוני אבטחה מגורמי צד ג'- רוב מומחי הערכת הסיכונים אינם טורחים בכלל להעריך את הסיכונים הנשקפים מגורמי צד ג', דוגמת ספקים.

(2) הפיכת ההערכות לכמותיות מדי- החישוב האנליטי והמספרי הוא חשוב, אך יש נושאים בהם יש להציג טווח, כמו למשל, הנזק שעלול להיגרם כתוצאה מחשיפה מסוימת.

(3) הערכות בעלות טווח ראיה קצר- הגם שארגונים נוטים להגדיר את נכסי המידע שלהם, הם אינם דואגים לנהל מעקב מתמשך אחריהם ואחר רמת הסיכון שלהם, שעשויה להשתנות.

(4) הערכה נעדרת הקשר- ארגונים אשר אינם מציגים את הפגיעויות והאיומים בהקשר של נכסי המידע והחשיבות העסקית שלהם, לא יצליחו לפתח הערכת סיכון טובה.

(5) כשל הצגת הערכת הסיכון בתחומי המחשוב בהקשר הארגוני הכולל- באופן דומה, פעמים רבות ארגונים מתייחסים לסיכוני ה-IT כקטגוריה נפרדת, מבלי להבין את השפעתם הרחבה.

(6) תסמונת "הערך ושכח"- מומחי אבטחה מזהירים כי ארגונים אינם מבצעים הערכת סיכונים בתדירות מספקת. זוהי הדרך היחידה בה ניתן להדביק את סביבת האיומים המשתנה.

(7) הסתמכות רבה מדי על כלי הערכה- כלי הערכה אוטומטיים מסייעים בניטור מתמשך של נכסי המידע הארגוניים, אך חלק מהסיכונים אינם ניתנים לזיהוי ללא עבודה מעמיקה המתבצעת באופן ידני בידי מומחי אבטחת מידע.

(8) ביצוע הערכות מבוססות פגיעויות- כאשר ארגונים מעריכים את הפגיעויות הטכנולוגיות אשר תורמות לסיכון, הם לעתים כי רמת האבטחה או אי האבטחה של הנתונים עצמם היא גורם הסיכון ולא המערכת שבתוכה מאוחסן המידע.

(9) הימנעות מכימות הסיכון האנושי- באופן דומה, פעמים רבות ארגונים מתייחסים רק לפגיעויות הקיימות במערכות ובתוכנות, אך אינם לוקחים בחשבון את האפשרות לטעות אנוש או הנדסת אנוש.

(10) ההיבט הפיזי- כאשר ארגונים מבצעים את ההערכות שלהם, פעמים רבות הן אינן כוללות את ההיבט הפיזי. על פי רוב, למצב האבטחה הפיזי קיימת השפעה ישירה על הנכסים הטכנולוגיים.

מיפוי כלל איומי וסיכוני האבטחה בארגון, לרבות רמת סבירותם, מחייב עריכת סקר סיכונים מקצועי. סקר זה צריך לכלול גם מיפוי של נכסי המידע של הארגון ומיקומם הפיזי, רמת הפגיעות של מערכות המידע בארגון ושל הגורם האנושי. על בסיסו, ניתן לגבש המלצות אופטימליות בדבר פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. מתודולוגיה זו יושמה הלכה למעשה אצל עשרות מלקוחותינו בשנה האחרונה, בין אם במסגרת ביצוע סקר סיכונים ותהליכים מלא או במסגרת פרויקט ניהול סיכונים ייעודי. באם ברצונך לשמוע פרטים נוספים, אנא צור עימנו קשר.

לידיעה המלאה- כאן

 

מאמרים קשורים

User login