מה זה אבטחת מידע?

אבטחת מידע הינה תחום רחב המתייחס לאבטחת מערכות המידע מפני סיכונים שונים, לרבות הנתונים שבהן (נכסי המידע), המערכות הפיזיות, התקשורת (פרוטוקלים), ניהול גישות והרשאות, התוכנות הבסיסיות המנהלות את המערכות וכן היישומים המשרתים את המשתמשים.

אבטחת מידע פירושה הגנה על כלל השכבות, הכלים, הטכנולוגיות, רכיבי האחסון, קווי התקשורת ועוד.

 

עולם המחשבים השתנה באופן דרמטי בשלושים השנים האחרונות, בשלהי שנות ה- 70 רוב המחשבים היו מרוכזים ומנוהלים במקום אחד תוך הקפדה על נעילת חדרי המחשוב. הסכנות היו ידועות וניתנות לצפייה.

 

בימינו, ארגונים מתנהלים אחרת לגמרי וחשופים לאיומים רבים ומסוכנים יותר מבעבר. הפתרונות מורכבים ודורשים הבנה רחבת היקף ביישום טכנולוגיות מורכבות. ​

הסכנות העיקריות נכון לימינו:

 

  • פריצה ושימוש בנתונים שמאוחסנים בארגון, בכלל זה העברת פרטי הלקוחות לסוחרי מידע ואפילו למתחרים, יצירת זהויות מזויפות על בסיס פרטי הלקוחות וכדומה.
  • מתקפה ישירה שתגרום להפלת האתר או פגיעה במערכות הפנימיות
  • החדרת וירוסים ותוכנות ריגול למערכות העסקיות, המשתלטים על המערכת, משדרים מידע לאתרים חיצוניים, מעמיסים על קווי התקשורת, אוספים סיסמאות וקבצי מידע, מוחקים קבצים חיוניים ועוד.
  • שימוש באתר/מחשבי החברה כמקפצה למתקפות על חברות אחרות.

 

 

מגוון הפתרונות המשווק בשוק כיום הולך וגדל, ויש להקפיד למפות נכונה את המערכת ולאתר את פתרונות האבטחה המתאימים לארגון. כיצד עושים זאת ביעילות?

  • הגדירו את מדיניות אבטחת המידע שמתאימה לכם: קחו בחשבון את המידע הארגוני אודות משתמשים ולקוחות, המידע העסקי והשיווקי המאוחסן ואת השירותים החיוניים להמשכיות הפעילות העסקית בארגון.
  • וודאו שאתם משתמשים בתוכנות עדכניות: מערכות הפעלה ותוכנות אנטי וירוס ו–Firewall מוציאות אחת לתקופה עדכונים בהתאם לעדכוני אבטחת המידע האחרונים או פרצות שנתגלו במערכת. ביצוע עדכונים אלו הינו חיוני לשמירה על עסק מוגן ומאובטח.
  • דאגו לבניית אתר חברה מקצועי ויציב: בונה אתרים טוב ייקח בחשבון גם את סיכוני האבטחה השונים ויבצע תהליכים מראש על מנת למנוע אותם.
  • הקפידו על נהלי עבודה אחראיים: עובדים ומשתמשים במערכות הארגון מהווים את פרצת האבטחה הגדולה ביותר. על כן וודאו שהעובדים שומרים על הסיסמאות שלהם ובוחרים בסיסמאות גישה חזקות בלבד, כמו כן וודאו כי מחשבים בהם מאוחסן מידע רגיש
  • נטרו ובקרו את התנהלות כל המשתמשים ברשת, חסמו גישה לאתרים שעשויים להיות פוגעניים וכדומה.
  • העזרו בכלים טכנולוגיים, כדוגמת חיבור VPN מוצפן, כדי להסדיר גישה מרחוק לשרתי האינטרנט שלכם עבור אנשי מכירות או עובדים מהבית. בצעו ניטור פרטני של השימוש בחיבורים אלה כדי לוודא שאינם מנוצלים לרעה על ידי גורמים זרים.

 

 

אבטחת מידע עוסקת בהגנה מפני תוקפים, ולכן לא די בהכרת סביבת ההגנה. נדרשת היכרות מעמיקה עם סביבת ההתקפה, מבחינה טכנולוגית, מבחינת טכניקה, ומבחינת הלך-רוח. כפועל יוצא יש לוודא את ההתאמה של הפתרון המוצע לארגון, ומפני מה הוא מגן, למול הצרכים.

אחת הבעיות המרכזיות היא שככל שרמת האבטחה של הארגון גוברת, כך קשה למשתמש לבצע את מטלותיו הכרוכות בעבודה מול מחשב. אין טעם בהעמסה של חומות הגנה ללא תועלת ברורה על שרתי האינטרנט של הארגון, המאטים משמעותית את ביצועי המערכת ועלולות לגרום לקריסתה עקב הגזמה בחסימת הרשאות למשתמשים.

 

בחירת הפתרון הנכון מתבססת, למשל, על המענה לשאלות הבאות:

  • מהן נקודות התורפה של הארגון?
  • איזה מידע מוגדר רגיש?
  • איזה מידע קשה לשחזור?
  • איזה מידע חשוב שיהיה זמין לעובדי הארגון ומתי? (וכמובן לאיזו קבוצת משתמשים)
  • איזה מידע רלוונטי ללקוחות הארגון צריך להישאר חסוי?
  • מהם צרכי הארגון בבחינת ניהול הרשאות? ניטור ובקרה? הצפנה?

 

 

ככלל, ניתן להגן על המידע הארגוני הרגיש באחת מ-2 דרכים:

ניהול הרשאות: חסימת הגישה למי שאינו מורשה למידע;

הצפנה: אחסון מפתחות ההצפנה באזור מאובטח המתיר גישה לגורמים עסקיים בארגון, הזקוקים למידע המסויים לצרכי עבודה שוטפת ותוך מעקב ובקרה הדוקים על פעילותם. זאת, הרחק  מהישג ידם של אנשי התשתיות, המיחשוב, המפתחים, ומנתחי מערכות שאין להם צורך, ברוב המכריע של המקרים, להחשף לתכני המידע עצמו.

 

אתגרי אבטחת מידע בעידן VDI  ו BYOD

יותר ויותר משתמשים הופכים תלויים במחשב ו/או בהתקן הנייד האישי שלהם לניהול סדר יומם באמצעות דואר אלקטרוני, יומן אלקטרוני, מסמכים הנשמרים על ההתקן וכיו"ב. הסכנות והאיומים אליהם נחשף המשתמש בזמן גלישה באינטרנט, העתקת קבצים מכל מדיה, פתיחת קובץ המצורף לדואר אלקטרוני, הורדת קבצים מהאינטרנט וכו' הולכים ומחמירים.

העקרון מאחורי BYOD למעשה מנוגד לאסטרטגיה לסטנדרטיזציה של תשתיות IT. אולם התרבות הארגונית הממוחשבת מתקדמת הלאה לכיוון זה ולשם כך קיים מגוון פתרונות טכנולוגיים המאפשרים לארגונים שימוש רחב במערכות המחשוב מחד ומאידך, בטחון בידיעה שהמידע עצמו מוגן היטב.

 

אתגרי אבטחת מידע בענן

קיימת נטייה לחשוב כי המידע בענן אינו מאובטח דיו. ספקים שונים מציעים רמות שונות של אבטחת מידע, כך שחשוב להבין מי בעל האחריות בכל רמה. ספקי תוכנה כשירות בענן נושאים ברוב האחריות על אבטחת מידע. ספקי פלטפורמה כשירות הם בעלי אחיזה נמוכה יותר בעוגת האבטחה, בעוד ספקי תשתית כשירות (IaaS), לקוחות וספקי ענן חולקים באחריות.

ספקים מסוימים, מציעים ללקוחות את האפשרות לבנות אזור מבודד משלהם בענן, כדי ליצור את מה שמכונה 'ענן פרטי וירטואלי'. במקרה כזה, ללקוחות יש שליטה מלאה על הסביבה הוירטואלית שלהם, בכלל זה; בחירת טווח כתובות ה- IP, יצירת רשתות משנה, הגדרת טבלאות ניתוב ונקודות גישה לרשת, ואת חוקי ה FireWall שלהם. הענן הפרטי רלוונטי לארגונים המעוניינים להשתמש בו כהרחבה למרכזי הנתונים הקיימים. לא קיים כלל ניגוד בין אספקה של תשתית לפי ביקוש, לבין שמירה על הבידוד המאובטח שחברות רגילות לקבל בתשתית הקיימת בארגונים.

 

הענן יכול לספק רמה של אבטחת מידע פיסית ולוגית גבוהה מאשר זו שרוב הארגונים יכולים להרשות לעצמם. מאידך, חשוב לציין כי אבטחת מידע בכללותה, היא אחריות משותפת בין הלקוח וספק מחשוב הענן. הגדרות הענן יכולות להבטיח רמת אבטחה מירבית, אך אם לקוח מפעיל אפליקציה שאינה מעודכנת או הנה פגיעה, הוא לוקח על עצמו סיכון לפריצה. באופן דומה, לקוח המפעיל אפליקציה מאובטחת מאוד בענן שאינו מאובטח כראוי, הנו בעל סיכון זהה. מטבעה של האחריות המשותפת הזו מתקבלות הגמישות והשליטה, שמאפשרות ללקוחות להפעיל אפליקציות העונות על הצרכים שלהם.

 

חברת סמרטאיקס משווקת פתרונות אבטחת מידע מגוונים המיועדים לארגוני אנטרפרייז.

 

הפתרונות שאנו מציעים מטרתם להבטיח את רמת אבטחת המידע מחוייבת המציאות בעידן הוירטואליזציה, המובייל והענן מול דרישות רגולציה, תשתית ו IT מחמירות.

 

תרצו ללמוד אודות פתרון אבטחת המידע האופטימלי לארגונכם?

לקבלת הצעה ממומחי סמרטאיקס צרו קשר