במאמר הבא אנחנו הולכים לענות על שאלות חשובות הקשורות לסקר סיכונים בסייבר. אנחנו מקווים שהתשובות והחשיבות של הסקר תעבור דרך התשובות שלנו ויצליחו לגרום לכם, הקוראים, להבין את החשיבות והאופן שבו אפשר להשתמש בדו"ח המופק בסוף הסקר בשביל לשפר את החברה ואת רמת האבטחה שלה בתחום הסייבר.
תכולת סקר סיכוני סייבר בארגונים וחברות:
בתחום אבטחת המידע נדרשת שמירה על סודיות המידע שנמצא בחברה, על השלמות שלו ועל זמינותו. חברות שעורכות סקרי סיכונים עובדות על פי מתודות מטה הסייבר הישראלי בהתאם לדרישות החלות בכל ארגון כמו: גודלו, אופיו, דרישות הרגולציות של מטה הסייבר, פריסתו, החשיפות האיומים הרלוונטיים.
תכולתו של סקר סיכוני סייבר משתנה בהתאם לארגון ויכולה לכלול:
- בקרת יישום נהלי אבטחת מידע של הארגון
- בקרת ספקים
- מבדקי חדירה
- מיפוי תשתית טכנולוגית
- ביצוע ראיונות עם אנשי מפתח בארגון
- מיפוי מאגרי מידע
- מיפוי מערכות מידע
- סריקת מערכות לזיהוי חולשות
- מיפוי תהליכים שונים שקורים בתוך הארגון.
בסיומו של כל סקר סיכונים מופק דו"ח שמטרתו לשקף לארגון את המצב הקיים המתרחש בתוכו. הדו"ח חייב להיות מסמך שמניע לפעולות אקטיביות לשיפור המצב בארגון ולחיזוק נקודות התורפה שהתגלו במהלך הסקר. הדו"ח מפרת על הממצאים ורמת הסיכון שמבוססת על סבירות מול נזק של כל חשיפה וגם המלצות לתיקון הליקויים על פי תיעדוף דחיפות של הארגון.
כל כמה זמן נדרש לבצע סקר סיכוני סייבר?
לפי הנורמות המקובלות ראוי לבצע סקר סיכונים בפעם בשנה. התדירות משתנה בהתאם לסוג הארגון, דרישות הרגולציה של מטה הסייבר הישראלי וסוג המידע שברשות הארגון.
כמה עולה סקר סיכונים?
המחיר הממוצע בשוק לעסקים בינוניים הוא בסביבות ה10,000 ₪ והוא משתנה בהתאם למספר מערכות המידע בארגון, המחלקות, התכולה של הסקר וכו'.
ארגונים גדולים מבצעים סקר סיכונים ממוקד על פי מחלקות או אפילו למערכות מסוימות. בארגונים קטנים ניתן ליישם פתרון המשלב סל שירותים מוגבל ומדויק שיתאים לעסקים קטנים.
כמה זמן לוקח להפיק סקר סיכונים?
סקר סיכונים אורך בממוצע כחודש והוא תלוי בעיקר ברמת שיתוף הפעולה שמתקיימת בין הארגון הנבדק לבין החברה שעורכת את הסקר.
את מי החוק מחייב בביצוע סקר סיכונים?
החוק מחייב ארגונים המחזיקים תחת חסותם מידע שחלה עליו רמת אבטחה גבוהה. הם מחויבים בביצוע סקר סיכונים כל 18 חודשים נכון לשנת 2022.
האם יש כמה סוגים של סקר סיכונים?
כמובן, ישנם מספר סקרי סיכונים בהתאם לדרישות רגולציה או תקינה, סקרים לביקורת חיצונים או פנימית, או סקרים המתמקדים במחלקה\מערכת או תשתיות מסוימת הקיימת בארגון.
לסיכום סקר סיכוני סייבר
לארגונים המחזיקים תחת חסותם מידע רגיש בעל רמת אבטחה גבוהה, צריכים לשים לעצמם כדגל שיפור המערכות באופן תמידי וחיזוק האבטחה בהם. זהו אחד התחומים המתפתחים והלוהטים ביותר ועל כן יש לשמור את היד על הדופק באופן תמידי.