בימים אלה, אין מחסור בטכנולוגיות חדשות ובאיומי אבטחה חדשים בארגונים. עם זאת, ארגונים רבים שוכחים כי טכנולוגיות ישנות מציבות אף הן סיכונים, וסיכונים אלה. . .
אינם צפויים להיעלם מעצמם. למעשה, כאשר אותן מערכות בארגונים ממשיכות להתיישן בשעה שהעולם סביבן מתפתח, הסיכון עלול להתעצם. הגורמים שהופכים מערכות ישנות לבעלות סיכון הם, בין היתר- תוכנה שאינה מעודכנת, ססמאות הנמצאות בתוך המערכת (hard-coded passwords) ואי הקצאת התקציב הנדרש לתיקונים.
כך, למשל, בכל הנוגע לסוגיית ההטלאה, קיימים פערים רבים בגינם חברות אינן מתקינות את כל טלאי האבטחה ותיקונים מומלצים נוספים של מערכות ישנות. חלק מהתוכנות חשובות מדי מבחינה עסקית, כך שאיש אינו רוצה להתעסק עימן, ומהבחינה הזו, טלאי אבטחה הוא בעל פוטנציאל לשבש את "הסדר הקיים". כל טלאי שאינו מותקן או מחזור שדרוג תוכנה שאינו מתבצע, מגדיל את תשומות כוח האדם והכספים הנדרשים בהמשך הדרך, עד לנקודה בה הפער כה עמוק כך שאין ברירה אלא להתחיל את הכל מהתחלה.
חלק מהמערכות תוכנתו לפני שנים רבות, בטרם התבצעו תקיפות SQL Injections, האינטרנט לא היה קיים, אף אחד לא עסק בתכנון ממשק משתמש ועוד. כיום, הדברים שונים לגמרי, אך התוכנה שפותחה באותם ימים עדיין קיימת, ורצה על תשתיות קריטיות בתחום הפיננסי, הרפואי והאנרגטי. נושא בעייתי אחד בהיבט זה הוא הססמאות הנמצאות בתוך המערכת; לא בכדי צוות ה-CERT הלאומי של ארה"ב פרסם בקיץ האחרון אזהרה בה קרא לחברות לשנות את אותן ססמאות, אשר האקרים יכולים להשיג בקלות. במידה ואותה מערכת היא גם בעלת גישה לרשת, האקרים עלולים לחדור לתוכה בהרשאות Admin.
המצב המסוכן ביותר מתרחש כאשר הטכנולוגיה הישנה ביותר נחשפת לפתע לפיתוחים החדשניים ביותר. מומחי אבטחת מידע מזהירים מפני מצב כזה, ומדגישים כי יש לבצע את השילוב בין הדורות השונים באופן שקול ומתוכנן. כמו כן, מומחי האבטחה מזהירים כי מערכות ישנות אינן פגיעות רק לאיומים חיצוניים, אלא גם למערכות אחרות שנפגעו ונמצאות מאחורי הפיירוול הארגוני.
מיפוי כלל איומי וסיכוני האבטחה בארגון, לרבות רמת סבירותם, מחייב עריכת סקר סיכונים מקצועי. סקר זה צריך לכלול גם מיפוי של נכסי המידע של הארגון ומיקומם הפיזי, רמת הפגיעות של מערכות המידע בארגון ושל הגורם האנושי. על בסיסו, ניתן לגבש המלצות אופטימליות בדבר פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. מתודולוגיה זו יושמה הלכה למעשה אצל עשרות מלקוחותינו בשנה האחרונה, בין אם במסגרת ביצוע סקר סיכונים ותהליכים מלא או במסגרת פרויקט ניהול סיכונים ייעודי. אם ברצונך לשמוע פרטים נוספים, אנא צור עימנו קשר.
לידיעה המלאה- כאן