אבטחת מידע לעצמאים ועסקים קטנים

אחד הנושאים החשובים ביותר, אבל גם משום מה, מצד שני נדחק למטה בתיעדוף עסקים קטנים ועצמאיים שבדרך כלל אין ברשותם גורם פנים או חוץ ארגוני שאחראי על כך – הוא נושא אבטחת המידע והיערכות הארגון להגן על הדבר הכמעט הכי חשוב לכל ארגון בכדי שיוכל להתנהל ולהתקיים.

 

הנטייה הטבעית של ארגונים כאלו היא להסדיר באופן חד פעמי את אמצעי ההגנה על מידע הארגון ולהסתפק בכך שישנה שיטה לניהול אבטחת מידע מבחינתם. לפעמים אפילו את האמצעים הבסיסיים ביותר, לא מיישמים – ולא חלילה מתוך כוונה להתעלם מכך או כי אין את היכולת להסדיר מה שנדרש – אלא פשוט כי הנטייה הטבעית שלנו היא לדחות את מה שנראה לנו כי עשוי לא להתרחש או לא יתרחש בעתיד הקרוב. מה גם, שפעמים רבות אנו נוטים לחשוב ״למה שמישהו ירצה את המידע שקיים ברשות הארגון שלי. אנו לא מעניינים אף אחד״...

 

למעשה, אלו בדיוק הנקודות הקריטיות שעל כל ארגון להבין ולהפנים – זה לא תמיד משנה למי שמנסה לחדור למידע תוך ארגוני, אם המידע המסוים מעניין אותו או לא, אלא כי קיים פוטנציאל לבצע מחטף ולהשיג תמורה (לרוב כספית) כנגד המידע הנמצא – אם באמצעות פישינג להשגת מידע אישי (בצורה הכי פשוטה , אמצעי תשלום, כרטיס אשראי וכד׳) או לחסום את המידע של הארגון ותמורת שחרורו לקבל תשלום (מה שמוכר כ- ״כופר״).

 

מאחר ואין סוף לאמצעי אבטחת מידע וככל שארגון קטן יותר, כך העלויות והמורכבויות להגן על המידע ולנהל מערך לאבטחת מידע הופך להיות מורכב יותר ויקר יותר ביחס הפוך לגודל הארגון, אציג בפניכם מספר פעולות פשוטות שכדאי ליישם ומהוות אמצעי הגנה גבוה יחסית שיקשה על מי שמנסה להשיג את המידע הפנימי שלכם.

 

חומת אש ואנטי וירוס – שווה להשקיע ברישיון של החברות המובילות בתחום ולהיעזר בתוכנה שתגן על כל אחד ממחשבי הארגון. בדרך כלל קיימים לכל אחד מבתי התוכנה הללו גם מודול חינמי, אבל הרישיון בתשלום מכיל מגוון רחב יותר של אמצעי הגנה ומתעדכן מעת לעת ב- ״סתימת חורים״ חדשים שמתגלים. ואם יש ברשותכם גם שרת, תנטרו גם אותו בתוכנה מתאימה, כולל אמצעי לניטור ניסיונות חדירה חורגים מהרגיל (ישנה אפשרות להגביל כניסה לפי מזהה IP או מאזורים מסוימים ובכלל קיימות אפשרויות שונות ומגוונות. ראוי להתייחס לכך באופן תקופתי ולוודא שאכן קיימות הגדרות הגנה).

 

גיבוי – אנו רגילים לחשוב שיש לנו גיבוי (לענן) והחיים יפים ופשוטים. אז זהו, שלא תמיד... ראוי לוודא שהגיבוי מתקיים ומכיל את מה שרוצים לגבות ובתדירות שאנו מוכנים אליה. בנוסף, אחת לתקופה לבדוק שאכן פועל באמצעות ניסיון פשוט לשלוף קבצים ממנו.

 

רשתות – אל תתחברו לכל רשת, בוודאי לא ציבורית. שימו לב שהרשתות ברשותכם מאפשרות גם לאחרים להתחבר, אם יש להם הסיסמא (וכיום ניתן לזהות סיסמאות של רשתות) – לכן, אחת לתקופה תחליפו את הסיסמא ברשת הפנימית. בנוסף, אמליץ להפריד בין הרשת הפנימית לעובדי הארגון ובין רשת לאורחים. ואלו שמגדילים לעשות, לנטר את הרשתות דרך חומת האש שלכם.

 

סיסמאות – אל תזלזלו בסיסמאות שתבחרו, קיימת חשיבות למינ׳ מורכבות (8 תווים, אותיות גדולות וקטנות, סימנים ותווים, מספרים...), לא לשמור את הסיסמאות במקום גלוי לעין, לא להשתמש באותה סיסמא למערכות שונות שהן קריטיות עבורכם (חשבון בנק, מערכת ה- CRM שלכם וכד׳) ואם משהו מרגיש לכם לא טוב – זה הזמן להחליף סיסמא.

 

זיהוי כפול – מה שמוכר כ- 2FA או Two Factor Authenticator בהרחבה. מדובר על אמצעי לקבלת קוד משתנה שנמצא אצלכם באפליקציה על מכשיר הנייד או באמצעות מסרון שתקבלו בכל פעם. אמצעי זיהוי כפול זה הנו למערכות שבאמת חשוב לכם שלא יהיה גורם נוסף שייכנס אליהם (אפילו בטעות).

 

ערנות, מודעות ותשומת לב – הכי חשוב! בסופו של דבר כל ניסיונות הדיוג (פישינג) והשגת המידע הוא באמצעות ניצול תמימות, חוסר ידיעה או הבנה של הגורם הנפגע. רצוי להדריך את העובדים תקופתית, לגלות ערנות, להיות מודע לניסיונות השגת מידע ובאופן הכי ברור: מה שמרגיש לא טוב, כנראה שאכן מדובר בניסיון השגת מידע. אל תמסרו לאף אחד את הסיסמאות שלכם או את קוד ה- 2FA העדכני, אלא אם שוחחתם עם מדובר במישהו שאתם מכירים וסומכים עליו ושוחחתם עמו פיזית לוודא שאכן הוא ביקש את הסיסמא/קוד. אל תשיבו למייל או תפתחו קבצים שנראים לכם מוזרים.

 

חלק מהפעילות שלנו היא ללוות ארגונים בתהליכי ניהול אבטחת מידע, לרוב לפי אחד מתקני אבטחת המידע (בבסיסם ISO 27001) ובהם מידת ההשקעה של הארגון נמוכה ביחס לאפשרות שיתקפו אותו וידרשו כופר על המידע אם יזלוג. אנו ממליצים בחום רב לאמץ את גישת תקני אבטחת מידע; ואם לא, לפחות ליישם את רשימת ההמלצות בבלוג זה.

סינק פרויקטים - הבית שלך לאיכות ורגולציה.

קבלת ליווי צמוד ומקצועי שיחסוך לך זמן וכסף (וכאב ראש) - מוזמנים ליצור עימנו קשר

בהצלחה.