מאמר נבחר
| קווים מנחים להזדהות מאובטחת ברשת |
כיצד לאפיין ולהטמיע תצורת הזדהות חזקה ללא פגיעה בפעילות התפעולית השוטפת? |
| קרא עוד |
משרות אבטחת מידע
מומחה אבטחת מידע /
Ethical Hacker
לחברת איי פי וי סקיוריטי דרוש/ה מומחה אבטחת מידע עם נסיון מוכח
לפרטים, נא להקיש כאןעדכונים יומיים מ-SANS Storm Center
- PHP 5.4 Remote Exploit PoC in the wild, (Sat, May 19th)
- ZTE Score M Android Phone backdoor, (Fri, May 18th)
- ISC StormCast for Friday, May 18th 2012 http://isc.sans.edu/podcastdetail.html?id=2545, (Fri, May 18th)
- ISC Feature of the Week: Tools->Information Gathering, (Thu, May 17th)
- New IPv6 Video: IPv6 Router Advertisements https://isc.sans.edu/ipv6videos, (Thu, May 17th)
- Do Firewalls make sense?, (Thu, May 17th)
- ISC StormCast for Thursday, May 17th 2012 http://isc.sans.edu/podcastdetail.html?id=2542, (Thu, May 17th)
ניהול סיכונים
| ניהול סיכונים |
|
התולעת ההרסנית, ה-Conficker, אשר התפרצה בתחילת 2009 ופגעה בתשתיות ורשתות מיחשוב, הסבה נזק גדול מאוד להרבה חברות ישראליות אשר נפגעו ברמות חומרה שונות עד כדי השבתת כל הארגון למספר ימים. התוצאה: הפסדים של מליוני שקלים (ר' אירוע חדירת וירוס לארגון). לעומת זאת, הרבה חברות לא נפגעו כלל...! מייד עולות מספר שאלות
בין הגורמים אשר השפיעו על הסבירות לפגיעה ועל מידת הפגיעה ניתן למצוא: מזל, דרכי התנהלות ומימוש נהלי ומדיניות אבטחת מידע, התייחסות הארגון לאבטחת מידע וביצוע ביקורות אבטחת ומידע וכמובן... ניהול סיכונים. ראשית נזכור, ניהול הסיכונים של הארגון הוא באחריות ההנהלה והמנכ"ל/ית בראשו. אך על-מנת לקבל החלטות מושכלות התואמות את צרכי הארגון נדרשים אנשי אבטחת המידע והמיחשוב, בכל הרמות ההיררכיות של החברה, לספק מידע וכלים באוריינטציית ניהול הסיכונים. ניהול סיכוני אבטחת מידע הינו מרכיב מרכזי בתהליך שכל ארגון צריך ליישם בכל הרמות (מהדירקטוריון עד אחרון האנשים האופרטיביים) רמות ההנהלה וברמות האופרטיביות על-מנת שפגיעה שכזו לא תבוא בהפתעה ואף תילקח בחשבון כסיכון מחושב. גורמים משפיעים: דינמיקה והשתנות גם מערך המיחשוב אינו כתמול שלשום. הדינמיקה של הרשת, כמו גם דרישות וצרכי המשתמשים, משתנים ברמה יום-יומית. והתקציב... טוב תודה, מקצצים הרי אנו בשנת בצורת! הפתרון: ניהול סיכונים כמובן שלא ניתן לדון בניהול סיכונים ללא התייחסות לנושא ההחזר על ההשקעה כי הרי איך שלא נבחן את הנושא נגיע לדון על תקציבים. ובכן, לפני שנתייחס להחזר על ההשקעה בתחום אבטחת מידע, נשאל מספר שאלות לחשיבה: מהו ההחזר על ההשקעה בבדיקה הרפואית השנתית (checkup) שאנו נדרשים לעשות על ידי רופא המשפחה? מהו החזר ההשקעה על טיפול 15,000 ק"מ לרכב? מהו החזר ההשקעה על ביצוע גיבויים של המידע מכל מחשבי ושרתי הארגון? מהו החזר ההשקעה על שדרוג מחשב (הוספת זכרון, מעבד יותר חזק, וכד') של עובד? על ביטוח חיים או ביטוח תכולת דירה... דוגמאות אלו ממחישות כי ביום יום יש אינסוף פעולות ושירותים שאנו רוכשים על בסיס תחושות בטן והערכות ולא רק על בסיס החזר ההשקעה. אם זאת, הדוגמאות אינן פותרות אותנו מהצורך לתקצב ולתעדף נכון (!?) את פרוייקטי אבטחת המידע וכמובן להסביר מדוע למשל התקנת מערכת ניטור יותר חשובה ודחופה משדרוג תשתית הרשת או להיפך. מתודולוגיית איי פי וי סקיוריטי מאפשרת לנהל את הסיכונים ולבחון את ההחזר על ההשקעה בתחום מערכות אבטחת המידע. בתהליך ניהול הסיכונים אנו מכמתים באופן מתודי ומסודר את כל הפרמטרים והסיכונים בהקשרם הארגוני ובכך עוזרים לאנשי המיחשוב ולהנהלה לקבל את ההחלטות המושכלות והמתאימות ביותר לצרכי הארגון. מעוניינים לשמוע כיצד המתודולוגייה הייחודית לניהול הסיכונים של איי פי וי סקיוריטי ניתנת להתאמה לארגון שלכם? |
