09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

חמישה מיתוסים שגויים על איומי אבטחת מידע

קטגוריה: אבטחת מידע וסייבר

בכל הנוגע לאיומי אבטחת מידע מגורמים פנימיים, קיימות תפיסות מוטעות ואי-הבנות רבות. ארגונים רבים כושלים לזהות את ההיקף והחומרה של הסיכון הנשקף להם מ. . .

 
איומים פנימיים, היות והם דבקים באמונות שגויות אודות סוג הגורמים הפנימיים אשר מהווים סכנה לארגונם ובאיזה אופן. באופן דומה, אי הבנה באשר לבקרות האבטחה אינה תורמות להקטנת הסיכון.

אם ארגונים מעוניינים להקטין את הסיכונים הפנימיים, הדבר הראשון שיש לעשותו הוא לנפץ את המיתוסים הקשורים אליהם אשר מונעים התקדמות בסוגיה:

1) מיתוס- רוב פרצות המידע הפנימיות הינן כתוצאה מפעילות גורם בין לאומי: מומחי אבטחת מידע מציינים כי בכל רגע נתון "רק חלק קטן מהאוכלוסייה מתכנן פריצות האקינג לארגונים וחברות". הבעיה מתחילה כאשר ארגון אינו מבין כי עובדיו עלולים לסכן אותו, גם ללא שהתכוונו לכך. לעתים קרובות, עובדים מעמידים את המידע העסקי בסיכון בשל טעמי נוחות, לדוגמה, עובד המעלה מידע עסקי רגיש על לקוח לספריית ענן ציבורית או למכשיר נייד לא מאובטח. באופן זה, רוב פרצות האבטחה נגרמות בשל עובדים שלא התכוונו לכך.

2) מיתוס- איומים פנימיים כוללים רק את עובדי הארגון: מומחי אבטחת מידע מזהירים כי עובדי הארגון אינם מקור האיום הפנימי היחיד שיש לקחת אותו בחשבון. כך, בארגונים כיום יש עובדים, אך יש גם עובדי צד ג', קבלנים, וספקים שונים, כאשר כולם בעלי גישה למידע ונתונים, והשאלה העולה היא מי נגיש לאיזה מידע? באם אנו לא יודעים לענות על השאלה הזאת, אנחנו בבעיה.

3) מיתוס- אבטחה כנגד איומים פנימיים בסביבת ענן וירטואלי זהה לאבטחה בסביבה פיזית: אומנם וירטאוליזציה מאפשרת לבצע דברים באופן קל יותר בכל הקשור לתחזוקת התשתית שלה, אך היא גם מאפשרת בקלות רבה יותר לגורמים פנימיים לגנוב מידע. מומחי אבטחת מידע מזהירים כי ביצוע תקיפות וגניבות מידע בסביבה וירטואלית על ידי גורמים פנימיים קלה יותר מאשר בסביבה פיזית; יש לקחת נתון בחשבון.

4) מיתוס- ניתן להגן על מידע על ידי בקרת גישה וחומת אש: גם כאן, באם הגורמים הפנימיים הינם אלו הגונבים מידע או אלה המשוטים בידי גורמים חיצוניים לארגון על מנת שיוציאו לפועל את זממם, העובדה כי קיימות מספר בקרות גישה וחומות אש אין בה כדי לספק הגנה מספקת למידע כיום. נוכח זאת, מומחי אבטחה ממליצים לארגונים לנקוט בגישה ממוקדת מידע המסתמכת על הגנות שונות, דוגמת הצפנת נתונים.

5) מיתוס- פיקוח על עובדים תמיד מפחית סיכונים: פיקוח על עובדים איננו תרופת-פלא להפחתת הסיכונים מגורמים פנימיים לארגון. לפיכך, מומחי אבטחה ממליצים על מערכות רישום לוגים ומידע אבטחת וניהול אירועי אבטחה (SIEM), המשמרות תיעוד לטווח ארוך ומאפשרות זיהוי אירועי אבטחה בזמן אמת.

רבים מלקוחותינו טענו בתחילת ביצוע תהליך סקר הסיכונים כי "אצלנו הכל בסדר". עם התקדמות התהליך, מומחינו גילו ממצאים שונים שהצביעו על פערים שונים שאפשרו חדירה לארגון ופגיעה רחבה וקשה בנכסי המידע שלו. בתום תהליך הסקר, מכינים מומחי החברה ביחד עם הלקוח תוכנית ניהול סיכונים, המיושמת בכל הרמות (מהדירקטוריון עד אחרון האנשים האופרטיביים).

לידיעה המלאה- כאן

מאמרים קשורים

User login