למה צריך נהלי אבטחת מידע בחברה?

אם אתם שואלים את עצמכם למה צריך נהלי אבטחת מידע בארגון – בטח תשמחו לדעת שהגעתם למקום הנכון כי מיד נספק את כל התשובות לשאלה. אז למה בכלל צריך נהלי אבטחת מידע ומה הם צריכים לכלול ? המשיכו לקרוא וגלו כל מה שרציתם לדעת ולא העזתם לשאול על נהלי אבטחת מידע.

 

נהלי אבטחת מידע – למה זה טוב?

אבטחת מידע היא חלק מהמדיניות הארגונית וכמו כל מדיניות גם היא חייבת נהלים מסודרים. בניגוד לנהלים ארגונים אחרים, נהלים בתחום אבטחת המידע צריכים לכלול שני אלמנטים:

  • ניסוח הדרישות הארגוניות בתחום אבטחת המידע ברמת "עשה ואל תעשה"
  • אמצעי הבקרה השונים של הארגון בתחום אבטחת המידע

עם זאת יש לזכור שני דברים:

  • בראש ובראשונה כדאי לדעת ששום טכנולוגיה לאבטחת מידע אינה פועלת בריק. כלומר, אם לא תהיה הקפדה ארגונית על הנהלים שנקבעו בתחום אבטחת המידע (כלומר אמצעי הבקרה שהוזכרו לעיל)– לא יהיה שום ערך לטכנולוגיה טובה ככל שתהיה.
  • בנוסף, יש לדעת שנהלי אבטחת מידע אינם יכולים למנוע ולסכל לחלוטין מתקפות סייבר (ישירות או עקיפות) על הארגון, אלא רק למזער סיכונים לנכסים של הארגון בתחום המידע.

למעשה נהלי אבטחת מידע לא רק מהווים את הבסיס של כל מערך אבטחת המידע הארגוני, אלא גם נחשבים לחלק בלתי נפרד מהתרבות הארגונית – מה שהופך אותם להכרח אמיתי ולא למותרות.

 

מה צריכים לכלול נהלי אבטחת המידע?

יש לקבוע נהלים לכל אחת מ- 7 שכבות ההגנה הארגונית (מערכות ההפעלה, המחשבים, LAN- הרשת הארגונית המקומית, השרתים, WAN- רשת התקשורת המרחבית, אתרי האינטרנט הארגוניים ורשת האינטרנט) ולצאת מנקודת מוצא אחת – אמנם כל אחת משכבות אלו יכולה להיפרץ ע"י האקר, אבל לכל אחת אפיון משלה שמצריך נוהל נפרד.

עם זאת, יש לקחת בחשבון שהמסד הנתונים הארגוני נחשב יעד ראשון במעלה לתקיפת סייבר. לכן, יש לקבוע נוהל אבטחת מידע מיוחד עבורו ולמצוא פתרונות הגנה ייעודיים במטרה אחת – שתהיה גישה למסד זה רק למורשים מה שיבטיח שייעשה בו שימוש יעיל.

בנוסף, יש לכלול בנהלי אבטחת המידע גם את המנגנונים הארגוניים שעוסקים בנושא, למשל מיהם האחראים על התחום הזה בחברה ומהי בדיוק כוללת הגדרת התפקיד שלהם. חשוב שהאחראים בארגון על הנושא יהיו בעלי הכשרה המתאימה לחברה.

למשל יש לדאוג שהם לא רק ילמדו את הנושא, אלא לאחר שיסיימו קורס סייבר המלצות רלוונטיות בתחום יוגשו על ידיהם לארגון בתחום התקציב, מדיניות לגבי סיסמאות והרשאות כניסה למערכות השונות ועוד.

איש סייבר

שיתוף ב facebook
שיתוף ב whatsapp
שיתוף ב telegram