ניהול אבטחת מידע ושירותי ענן (PDF)

Summary

המסמך מסכם מצגת בנושא ניהול אבטחת מידע ושירותי ענן. הוא דן במגמות בשימוש בענן, בסיכונים האבטחתים הקשורים לו, בחלוקת האחריות בין ספק הארגון, ובקרת אבטחה. במסמך נכללות גם שאלות למחשבה, ותהליכי פיקוח ובקרה. עוסק בנושאי אבטחת מידע וניהול סיכונים דיגיטליים.

Full Transcript

 ‫ניהול אבטחת מידע ושירותי ענן‪ :‬סיכום מצגת ענן‬

‫מבוא‬
‫המאמר עוסק במגמות הצומחות בשימוש בשירותי ענן בארגונים‪ ,‬לצד הסיכונים האבטחתיים הנלווים‪.‬עם העלייה החדה בשימוש‬
‫בשירותי ענן‪ ,‬ניהול אבטחת המידע הופך למשימה מרכזית עבור ארגונים‪ ,‬במיוחד כאשר מדובר במידע בעל ערך עסקי גבוה‪.‬‬

‫שירותי ענן‬
‫שירותי הענן מתקדמים במהירות ומציעים פתרונות מגוונים כגון אחסון‪ ,‬עיבוד נתונים ויישומים‪.‬השימוש בהם מאפשר לארגונים‪:‬‬
‫ גמישות תפעולית‪.‬‬
‫ חיסכון בעלויות‪.‬‬
‫ יכולת להתרחב במהירות‪.‬‬

‫עם זאת‪ ,‬המעבר לענן יוצר אתגרים משמעותיים בתחום האבטחה‪ ,‬כולל שמירה על סודיות‪ ,‬זמינות ושלמות המידע‪.‬בשנת‬
‫‪ ,2017‬לדוגמה‪ ,‬חלה עלייה של ‪ 18%‬בצריכת שירותי ענן‪ ,‬עם הוצאות גלובליות של ‪ 246.8‬מיליארד דולר‪.‬‬

‫חלוקת אחריות‬
‫אחד הנושאים המרכזיים בניהול אבטחת מידע בענן הוא חלוקת האחריות בין הספק לארגון‪.‬‬
‫ על הארגון להגדיר דרישות אבטחה מדויקות ולוודא עמידה בתקנים‪.‬‬
‫ חלוקת האחריות משתנה לפי מודל השירות‪:‬‬
‫‪.‬הארגון אחראי יותר על התשתית והאבטחה ‪ IaaS:‬‬
‫‪.‬אחריות משולבת על פלטפורמות הפיתוח ‪ PaaS:‬‬
‫‪.‬רוב האחריות על האבטחה היא של הספק ‪ SaaS:‬‬

‫בקרות אבטחת מידע‬
‫המאמר ממליץ על יישום בקרות אבטחה מגוונות‪ ,‬הכוללות‪:‬‬
‫‪.1‬הגנה מפני התקפות ‪ :DDoS‬מערכות לניהול תעבורת רשת וזיהוי התקפות‪.‬‬
‫‪.2‬ניטור גישה בלתי מורשית‪ :‬מערכות לניהול לוגים וניטור שינויים‪.‬‬
‫‪.3‬שימוש בחומות אש ומערכות זיהוי חדירות )‪ :(IPS‬למניעת חדירות למידע רגיש‪.‬‬

‫תהליכי פיקוח ובקרה‬
‫ נדרש פיקוח שוטף על עמידת ספקי הענן בהתחייבויותיהם‪.‬‬
‫ יש לבצע בדיקות תקופתיות על ידי גורמי צד שלישי לאיתור חשיפות אבטחה‪.‬‬
‫ הפיקוח כולל סקירת תקינות מערכות האבטחה ופעולות מניעה שוטפות‪.‬‬

‫סיכום‬
‫המאמר מדגיש את חשיבות ניהול אבטחת המידע בשירותי ענן‪.‬‬
‫ יש לקבוע מדיניות אבטחה ברורה ולהבטיח עמידה בדרישות האבטחה‪.‬‬
‫ ארגונים נדרשים להכיר בסיכונים הקיימים ולנקוט בפעולות יזומות כדי למנוע אותם‪.‬‬

‫שאלות למחשבה‬
‫‪.1‬כיצד ניתן לשפר את הגנת הסייבר בארגון?‬
‫‪.2‬מהן דרישות האבטחה המינימליות שעל ארגונים להגדיר לספקי שירותי ענן?‬
‫‪.3‬אילו כלים נוספים יכולים להבטיח את בטיחות המידע בענן?‬

‫המלצות‬
‫ פיתוח תוכנית אבטחת מידע מקיפה‪.‬‬
‫ הכשרת צוותי הארגון בנושא סיכונים ואמצעי הגנה‪.‬‬
‫ ביצוע הערכות סיכונים תקופתיות וזיהוי חולשות פוטנציאליות‪.‬‬
 ‫שקופית ‪ :1‬ניהול אירועי סייבר‬

‫ניהול אירועים הוא תת קבוצה של ניהול סיכונים‪ ,‬המתמקד בזיהוי‪ ,‬טיפול ומניעת אירועים בתחום הסייבר‪.‬‬
‫מטרות כוללות הכלת נזק‪ ,‬שיחזור תפעול רגיל וניהול מונע על ידי תיאבון סיכונים‪.‬‬
‫שקופית ‪ :2‬סיווג אירועים‬

‫סיווג אירועים מאפשר תגובה מתאימה‪ ,‬משפר עלות‪/‬תועלת ומקל על תכנון בקרות זיהוי‪.‬‬
‫שקופית ‪ :3‬סוגי אירועים נפוצים‬

‫סוגים נפוצים כוללים התקפות קוד זדוני‪ ,‬גישה לא מורשית‪ ,‬התקפות ‪ ,DoS/DDoS‬הנדסה חברתית ועוד‪.‬‬
‫שקופית ‪ :4‬תכנון התגובה לאירוע‬

‫תהליך התגובה כולל הכנה‪ ,‬זיהוי‪ ,‬בלימה‪ ,‬חיסול‪ ,‬התאוששות והערכה‪.‬‬
‫שקופית ‪ :5‬תהליך התכנון‬

‫כולל הכרת תיאבון הסיכון‪ ,‬ניתוח פערים‪ ,‬בניית תוכנית לסגירת הפער‪ ,‬והקפדה על משאבים‪.‬‬
‫שקופית ‪ :6‬הרכב צוות התגובה‬

‫צוות התגובה כולל מנהל אבטחת מידע‪ ,‬ועדת היגוי‪ ,‬חברי צוות קבועים וירטואליים‪ ,‬ותפקידים נוספים כמו חוקר ומומחי ‪.IT‬‬
‫שקופית ‪ :7‬יכולות צוות התגובה‬

‫יכולות אישיות וטכניות נדרשות‪ ,‬כולל תקשורת‪ ,‬כתיבה‪ ,‬פתרון בעיות ומיומנויות טכניות‪.‬‬
‫שקופית ‪ :8‬ניהול אירועים ודיווח‬

‫הארגון צריך לנהל אירוע סייבר כדי למזער פגיעות ולחזור לשגרה במהירות‪ ,‬כולל תחקור והפקת לקחים‪.‬‬
‫שקופית ‪ :9‬מדיניות טיפול באירוע סייבר‬

‫קיום נוהל טיפול באירוע סייבר‪ ,‬הגדרת תפקידים‪ ,‬בקרה ועדכון תקופתיים וערוצי דיווח לעובדים‪.‬‬
‫שקופית ‪ :10‬תרגול והדרכה‬

‫תיעוד ותרגול אירועים חיוניים לשיפור היכולות‪ ,‬כולל סימולציות והדרכות לצוותים‪.‬‬
‫שקופית ‪ :11‬מה מציע השוק?‬

‫‪.‬המגיע למקום האירוע ‪ IR‬מציע פתרון מיידי לאחר התקפה‪ ,‬עם צוות ‪IRT as a Service‬‬
‫שקופית ‪ :12‬שאלון ספקים‬

‫ניהול אירועים כולל קיום נוהל טיפול‪ ,‬תרגול ואופן יישום הנוהל‪.‬‬
 ‫שקופית ‪ :1‬ניהול והערכת סיכונים בארגון‬
‫נקודות מרכזיות‪:‬‬
‫תהליך מחזורי‪ :‬ניהול והערכה של סיכוני סייבר‪.‬‬
‫שינויים בסביבה‪ :‬יש לבצע את התהליך כאשר יש שינויים פנימיים או חיצוניים בסביבת הסייבר‪.‬‬
‫זיהוי יעדי הגנה‪ :‬הגדרת בקרות ובניית תוכנית עבודה‪.‬‬
‫‪.‬טכנולוגיה להערכת סיכונים בעזרת למידת מכונה או אלגוריתמים מתקדמים ‪BLACKBOXAI:‬‬
‫טקסט‪ :‬תהליך ניהול והערכה של סיכוני סייבר הוא מחזורי ויש לבצע אותו כאשר יש שינויים פנימיים או חיצוניים בסביבת הסייבר של‬
‫הארגון‪.‬נדרש לזהות יעדי הגנה‪ ,‬להגדיר בקרות ולבנות תוכנית עבודה מתאימה‪.‬‬
‫שקופית ‪ :2‬הגדרת גבולות הארגון ומיפוי יעדי ההגנה‬
‫נקודות מרכזיות‪:‬‬
‫תהליך הגדרה‪ :‬הגדרת גבולות הארגון‪.‬‬
‫מיפוי יעדים‪ :‬כולל תהליכי עבודה‪ ,‬מערכות ומאגרים‪.‬‬
‫רמת הערכיות‪ :‬נקבעת לפי השפעות פגיעה בחסיון‪ ,‬זמינות ושלמות‪.‬‬
‫טקסט‪ :‬יש להגדיר תהליך להגדרת גבולות הארגון‪ ,‬כאשר מיפוי יעדי ההגנה כולל תהליכי עבודה‪ ,‬מערכות ומאגרים‪.‬רמת הערכיות‬
‫של יעדי ההגנה נקבעת לפי השפעות פגיעה בחסיון‪ ,‬זמינות ושלמות‪.‬‬
‫שקופית ‪ :3‬תהליך הערכת סיכוני סייבר‬
‫נקודות מרכזיות‪:‬‬
‫תהליך תקופתי‪ :‬הערכת סיכוני סייבר בהתאם למתאר האיומים‪.‬‬
‫מפה עדכנית‪ :‬לספק תמונה עדכנית של סיכוני הסייבר‪.‬‬
‫עדכון סקר‪ :‬יש לבצע את הסקר באופן תקופתי ולעדכנו בעת שינויים בתהליכים ובמערכות‪.‬‬
‫טקסט‪ :‬יש להגדיר תהליך תקופתי להערכת סיכוני סייבר‪ ,‬כאשר המטרה היא לספק מפה עדכנית של סיכוני הסייבר‪.‬יש לבצע את‬
‫הסקר באופן תקופתי ולעדכנו בעת שינויים בתהליכים ובמערכות הארגון‪.‬‬
‫שקופית ‪ :4‬ממשל תאגידי – הערכת סיכונים‬
‫נקודות מרכזיות‪:‬‬
‫תהליך הערכת סיכונים‪ :‬כולל בדיקה של רמת ההגנה של הארגון‪.‬‬
‫הצגת ממצאים‪ :‬להנהלת הארגון וטיפול בליקויים‪.‬‬
‫עמידה בדרישות רגולציה‪ :‬כולל תקנות הגנת הפרטיות ותקני אבטחת מידע‪.‬‬
‫טקסט‪ :‬נדרש תהליך הערכת סיכונים הכולל בדיקה של רמת ההגנה של הארגון‪.‬יש להציג את הממצאים להנהלת הארגון ולטפל‬
‫בליקויים שהתגלו‪ ,‬כולל בחינת פגיעויות ואיומים על הארגון‪ ,‬תוך עמידה בדרישות רגולציה כמו תקנות הגנת הפרטיות‪.‬‬
‫שקופית ‪ :5‬הגנת הפרטיות‬
‫נקודות מרכזיות‪:‬‬
‫עמידה בדרישות‪ :‬תקנות הגנת הפרטיות‪.‬‬
‫ממונה מאגר מידע‪ :‬נדרש להגן על המידע בהתאם לדרישות החוק‪.‬‬
‫שירותי ‪ :BLACKBOXAI‬עשויים לכלול פתרונות להגנה על פרטיות המידע בעזרת אנליזה אוטומטית‪.‬‬
‫טקסט‪ :‬יש לבחון את עמידת הארגון בדרישות תקנות הגנת הפרטיות‪ ,‬כאשר נדרש ממונה מאגר מידע והגנה על המידע בהתאם‬
‫לדרישות החוק‪.‬‬
‫שקופית ‪ :6‬ספקי משנה מהותיים‬
‫נקודות מרכזיות‪:‬‬
‫נוהל עבודה‪ :‬לספקי משנה המהותיים‪.‬‬
‫שמירה על מידע‪ :‬מידע הלקוח נשמר גם אצל ספקי המשנה‪.‬‬
‫מסמכים מפורטים‪ :‬נדרשים לגבי רמת ההגנה וההסכמות עם ספקי המשנה‪.‬‬
‫טקסט‪ :‬יש ליישם נוהל עבודה לספקי משנה המהותיים‪ ,‬אשר מבטיח שמירה על מידע הלקוח גם כאשר הוא מועבר לספקי המשנה‪.‬‬
‫יש לבדוק קיום מסמכים מפורטים ועדכניים לגבי רמת ההגנה הנדרשת‪.‬‬
‫שקופית ‪ :7‬תקנים ורגולציה‬
‫נקודות מרכזיות‪:‬‬
‫הכרה בתקנים‪ :‬הכרת התקנים והרגולציות החלים על אבטחת מידע‪.‬‬
‫סיעור מוחות ותרגולים‪ :‬להבטחת עמידה בדרישות ובתקנים בינלאומיים‪.‬‬
‫יישום ‪ :BLACKBOXAI‬לצורך הערכת עמידה בתקנים על בסיס נתונים גדולים‪.‬‬
‫טקסט‪ :‬יש להכיר את התקנים והרגולציות החלים על אבטחת מידע‪ ,‬ולבצע סיעור מוחות ותרגולים כדי להבטיח עמידה בדרישות‬
‫ובתקנים בינלאומיים‪.‬‬
 ‫ניהול והערכת סיכונים‪:‬‬
‫תהליך זיהוי‪ ,‬הערכה וטיפול בסיכונים הקשורים לאבטחת מידע וסייבר בארגון‪.‬‬

‫סביבת סייבר‪:‬‬
‫כל הגורמים הפנימיים והחיצוניים המשפיעים על הארגון מבחינת אבטחת מידע‪.‬‬

‫יעדי הגנה‪:‬‬
‫מטרות שהארגון מגדיר כדי להגן על מידע‪ ,‬מערכות ותהליכים עסקיים‪.‬‬

‫בקרות‪:‬‬
‫אמצעים או פעולות שננקטות כדי להגן על יעדי ההגנה ולמנוע פגיעות‪.‬‬

‫רמת הערכיות‪:‬‬
‫מדד לקביעת החשיבות של יעדי ההגנה‪ ,‬בהתבסס על השפעות פגיעה בחסיון‪ ,‬זמינות ושלמות‪.‬‬

‫סקר סיכונים‪:‬‬
‫תהליך הערכה תקופתי של סיכוני הסייבר בארגון‪ ,‬כולל זיהוי איומים ופגיעויות‪.‬‬

‫ממשל תאגידי‪:‬‬
‫מערכת של כללים‪ ,‬פרוצדורות ונהלים המנחים את ניהול הארגון‪ ,‬כולל ניהול סיכונים והגנת פרטיות‪.‬‬

‫תקנות הגנת הפרטיות‪:‬‬
‫חוקים ודרישות המיועדים להגן על פרטיות המידע של לקוחות וספקים‪.‬‬

‫ספקי משנה‪:‬‬
‫חברות או גורמים חיצוניים המספקים שירותים לארגון‪ ,‬אשר עשויים להיות אחראים על טיפול במידע רגיש‪.‬‬

‫תהליך תקופתי‪:‬‬
‫תהליך המבוצע באופן קבוע‪ ,‬לדוגמה‪ ,‬הערכת סיכונים או עדכון נהלים‪.‬‬

‫סיעור מוחות‪:‬‬
‫תהליך של דיון קבוצתי במטרה לייצר רעיונות או פתרונות לבעיות קיימות‪.‬‬
 ‫‪IDS‬‬
‫מזהה חדירות ושולח‬
‫התראות‪,‬‬
‫בעוד ‪ IPS‬מזהה ומונע את‬
‫החדירות באופן אוטומטי‪.‬‬