בסופה של שנה עמוסת פריצות שזכו לסיקור תקשורתי נרחב ומתקפות בעלות רמת תחכום שמתעצמת, ייתכן וזה המועד לבחון את. . .
סדרי העדיפויות בכל הנוגע לניהול סיכוני האבטחה בארגון. בשעה שכל ארגון הוא ייחודי בפני עצמו, מומחי ניהול סיכונים מציינים כי ישנם מספר צעדים אשר נקיטתם יכולה להביא לשיפור בכל ארגון באשר הוא. להלן 5 הצעדים המומלצים בהיבט זה:
1) שיפור ניהול הסיכונים בקרב גורמי צד ג'- ההסתמכות הגדלה והולכת על גורמי צד ג' דורשת כי תתקיים אצלם תוכנית ניהול סיכונים בשלה יותר, וזאת במטרה להבטיח כי הסיכונים מזוהים, מוערכים ומנוהלים באופן נאות.
2) התאמת ניהול הסיכונים כך שיהיה בעל יכולות גמישות ומענה גבוהים יותר- הנזק הנגרם על ידי תקיפות ממוקדות ומתקדמות חמור מספיק בכדי לשנות את גבולות ההגנה הסטטיים ותוכניות האבטחה המבוססות על בקרה גישה, לתוכניות דינמיות המנתחות איומים וסיכונים חדשים על בסיס יומי, ובהתאם לכך מציעות שדרוגים, עדכונים ושינויי מערכת.
3) שימוש במידע רב יותר הקיים בארגון בכדי להעריך סיכונים- חלק חשוב משיפור תהליך ניהול הסיכונים טמון בשיפור המידע בו נעשה שימוש בתהליך זה. מידע הנכרה מטכנולוגיות אבטחה ותשתית ה-IT חשוב על מנת לאמת כי המידע והנתונים הנמסרים בסקרי התהליך אכן מתקיימים בפועל. ארגונים רבים טרם למדו לנצל את המידע הרב הנמצא ברשותם בהקשר זה.
4) שיתוף פעולה עם המשתמשים העסקיים לצורך תהליך ניהול סיכונים טוב יותר- מומחי אבטחת מידע קוראים מזה תקופה ארוכה לתיאום הדוק יותר בין שיטות אבטחת המידע לבין דפוסי פעילותו של העולם העסקי. הדבר מתחיל עם שיתוף פעולה נרחב יותר בתהליך ניהול הסיכונים בין מנהלי הסיכונים לבין המשתמשים העסקיים, הן בתוך הארגון והן מחוצה לו.
5) איזון בין בקרות מונעות לבין בקרות מגלות- ארגונים רבים צריכים לשפר את האיזון שבין הבקרות המונעות לבין הבקרות המגלות. בעבר, ארגונים הסתמכו כמעט באופן בלעדי על בקרות מונעות, אשר אינן יעילות במאת האחוזים. כתוצאה מכך, התגבר השימוש בבקרות מגלות, וזאת על מנת להבטיח כי תקריות אבטחה שאינן נמנעות, מתגלות, מבודדות ומטופלות כהלכה. האיזון בין שני סוגי הבקרות צריך להיות מושתת על מסגרת מבוססות של ניהול סיכוני אבטחה.
מיפוי כלל איומי וסיכוני האבטחה בארגון, לרבות רמת סבירותם, מחייב עריכת סקר סיכונים מקצועי. סקר זה צריך לכלול גם מיפוי של נכסי המידע של הארגון ומיקומם הפיזי, רמת הפגיעות של מערכות המידע בארגון ושל הגורם האנושי. על בסיסו, ניתן לגבש המלצות אופטימליות בדבר פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. מתודולוגיה זו יושמה הלכה למעשה אצל עשרות מלקוחותינו בשנה האחרונה, בין אם במסגרת ביצוע סקר סיכונים ותהליכים מלא או במסגרת פרויקט ניהול סיכונים ייעודי. אם ברצונך לשמוע פרטים נוספים, אנא צור עימנו קשר.
לידיעה המלאה- כאן