בעוד שארגונים מעוניינים בביצוע הערכת סיכוני אבטחת מידע מקצועית ויעילה, התדירות בה מתבצעת הערכה זו חשובה לא פחות מהאמצעים המוקצים לכך. למרבה הצער, גם כאשר. . .
מומחי אבטחה גורסים כי למרות יישום הנחיות רגולטוריות שונות בדבר תדירות ביצוע סקר הסיכונים (לרוב, על בסיס שנתי), תדירות זו אינה תמיד מספקת, וחלקם אף טוענים כי יש לבצע הערכת סיכונים מחודשת אחת לרבעון, ואף על בסיס חודשי. עם זאת, בפועל, מרבית הארגונים מתקשים היום אפילו לעמוד ביעד של הערכת סיכונים על בסיס שנתי.
מומחי ניהול סיכונים גורסים כי יש ליישם את הערכת הסיכונים במודל של תהליך מחזורי- הערכות הסיכונים מתבצעות באופן מתמשך לאורך השנה, תוך איסוף מידע על פגיעויות חדשות, טיפול בפגיעויות ישנות, וזיהוי של אזורים בעיתיים בהם לא ניתן לטפל בפגיעות, ותיעוד ההחלטה העסקית שהתקבלה באשר להפחתת הסיכון והיקף פגיעתו לרמה קבילה. מעבר להערכת סיכונים מחזורית מחייב בניית מסגרות זמן ומשאבים לביצוע ביקורות בתהליך מחזור החיים של ה-IT.
יתרה מכך, חלק מעיצוב תוכנית הערכת סיכונים שכזו צריך לכלול מעקב יום-יומי אחרי גורמי סיכון תפעוליים המשפיעים על מצב האבטחה של פעילותו העסקית של הארגון. הדבר חשוב במיוחד בכל הנוגע למעקב אחר שינויים בסביבת ה-IT או סביבת האיומים אשר מתרחשים בין ההערכות.
נוכח הגידול בהיקף ובתחכום איומי אבטחת המידע, חברתנו ביצעה אצל עשרות לקוחות סקר סיכוני אבטחת מידע אשר מטרתו לגלות תוך פרק זמן קצר את החשיפות של נכסי המידע הקריטיים של הארגון לפגיעה בהיבטי סודיות, זמינות ונכונות/שלמות. עם השלמת הסקר, ובהתאם לתהליך ניהול הסיכונים, לקוחות רבים בוחרים להיעזר בשירות הניטור המקצועי של החברה, אשר מאפשר זיהוי מיידי של פעולות חריגות המבוצעות ברשת וכן ניתוח לאחור (Forensics) של אירועים חריגים אשר אירעו ברשת בחתכים שונים. נשמח למסור לך פרטים נוספים אודות כך.
לידיעה המלאה- כאן