הכתבה בשיתוף CyberSafe
בעולם שבו האיומים על המידע שמוחזק בארגונים הולכים וגדלים ואף משתכללים, חשוב לבדוק שמערכות אבטחת המידע לעסקים מתאימות לצרכים הארגוניים. בין אם מדובר בהגנה על מערכות המידע בארגון או על מערכות מידע הנמצאות בענן. בשוק מגוון רחב של פתרונות טכנולוגים לאבטחת מידע. עם זאת, הבחירה בפתרונות אבטחת מידע לעסקים צריכה להיות מותאמת לצורך העסקי של הארגון.
אז כיצד בוחרים את מערכת ההגנה שהכי מתאימה ונכונה לארגון ובודקים שהיא אכן מגנה על המידע כמצופה? התשובה לכך טמונה בבחינה של סוג פתרון אבטחת מידע, בעמידות המערכת למבחני חדירה שבהם מנסים אנשי המקצוע לבחון עד כמה הגנות הארגון חזקות ובכללי הרגולציה שמאפיינים את השוק שבו פועל הארגון.
כדי להבין לעומק את המורכבות של מציאת פתרונות אבטחת מידע לעסקים, שוחחנו עם ירון כהן ותומר סמולנסקי, המייסדים של חברת אבטחת מידע CyberSafe, המחזיקים בלמעלה מ-20 שנות ניסיון בעולמות הסייבר. CyberSafe מעניקה כיום שירותי אבטחת מידע לעסקים ומבדקי חדירות לחברות במגוון תחומים, מגזר ביטחוני, חברות סטארט-אפ, גופים ציבוריים, גופים פיננסים בריאות ועוד.
"שיקולי האבטחה של ארגון נקבעים כיום על בסיס שלושה גורמים מרכזיים: רגולציה, צורך עסקי והדאגה העצמית לשמירת מידע", מסביר כהן, המשמש כמנכ"ל החברה, ומרחיב: "חברה שפועלת בתחום מסוים, בשוק מסוים, נדרשת לעמוד בדרישות הרגולטוריות הרלוונטיות לשוק שלה. ברמה השנייה - זו של הצורך העסקי, עסקים רבים חייבים לעמוד בכללי אבטחת מידע כחלק מ ההתקשרות עם חברות אחרות להן הם מספקים שירותים. כאן נוצר צורך עסקי לעמוד באמות המידה של החברה שמולה הם עובדים". סמולנסקי, המשמש גם כמנהל הטכנולוגיות הראשי של CyberSafe, מוסיף על הגורם השלישי: "גם ללא התלות באחרים, חברה מעוניינת להגן על המידע שלה. היא אינה רוצה שיגנבו לה פטנטים / תהליכים עסקיים או מידע על לקוחות . היא עצמה רוצה לדאוג לאבטחת מידע מתוך האינטרסים העסקים שלה".
אל תשאירו את המידע שלכם חשוף - לפתרונות אבטחת סייבר לחברות. הקליקו כאן>>
HIPAA - רגולציית אבטחת מידע בתחום הרפואי
כדי להבין את חשיבות הרגולציה בהתאמת פתרון אבטחת מידע לעסק/לארגון,
ניתן לקחת כדוגמה את אחת מהרגולציות המרכזיות בשוק האמריקני, Health Insurance Portability and Accountability Act, או בקיצור, HIPAA. מדובר ברגולציה שהיא תוצאה של חקיקה אמריקנית שקובעת את כללי ניהול, אחסון והעברת מידע רפואי. זאת תוך שמירה על פרטיות המידע הרפואי של מטופלים. הטמעת רגולציית HIPAA כוללת את בחינת מערכות המידע של הארגון, את זרימת המידע, בחינת הבקרות לשמירת המידע , כל זאת בהתאמה לכללים שנקבעו בחוק.
ירון כהן, מנכ"ל ותומר סמולנסקי, מנהל טכנולוגיות ראשי, חברת CyberSafe / צילום: CyberSafe
כהן מסביר: "קח מקרה בו חברת סטארט-אפ מפתחת מוצר בתחום הטכנולוגיות הרפואיות שמיועד לשוק האמריקני. אותה חברה תידרש על ידי בית החולים, חברת הביטוח או אפילו מעבדת מחקר גדולה, לעמוד ברגולציית HIPAA - החוק האמריקני מחייב - להיות 'HIPAA Compliant'. סמולנסקי מוסיף כי "לאחרונה לא מעט חברות סטארט-אפ בתחום הטכנולוגיות הרפואיות פיתחו מוצרים מעולים, אך נבלמו על ידי הגופים האמריקנים בשל אי עמידתם ברגולציה - בין אם מדובר בגופים הרפואיים או בקרנות השקעה".
כחלק מהשירותים שהיא מספקת, חברת CyberSafe מעניקה יעוץ לחברות כיצד לעמוד ברגולציית HIPAA, כמו גם ברגולציות מחמירות אחרות להגנה על מידע. כמו למשל, GDPR, ותקנות הגנת הפרטיות הישראליות.
לערוך מבדקי חדירה - Penetration Testing
גורם נוסף שעליו יש לשים דגש בבחינת אפקטיביות הבקרות להגנת המידע בארגון הוא מבדקי חדירה או מבדקי פגיעות. "המטרה של מבדקי חדירה היא לוודא שהבקרות שהארגון מיישם אפקטיביות", מסביר כהן. בבדיקת חדירה, יושבת קבוצת מומחי אבטחת מידע ומנסה לפרוץ את חומות המגן של הארגון, בכדי לבדוק אם ניתן להיכנס לרשת, לבסיסי הנתונים, להוציא מידע מחוץ לארגון ואולי לגרום לפגיעה בזמינות המידע.
"מבדקי חדירה מתחלקים למספר סוגים", אומר סמולנסקי, "הם יכולים להיות מבוצעים על פלטפורמה חדשה שפותחה, כשהמבדק בודק את העמידות שלה, והם יכולים להיערך על התשתיות של הארגון. במסגרת התהליך, אנחנו מגדירים יחד עם הלקוח היכן למקד את מבדקי החדירות, אנחנו מנסים לזהות היכן נמצא פוטנציאל החשיפה של מערכות המידע, אנו שומעים מהן החששות שלו ורק לאחר שהגדרנו את ה-SCOPE והמטרה, אנחנו מתחילים את מבדק החדירה. בסופו של התהליך, הלקוח מקבל דוח כולל סקר סיכונים ובו כל הממצאים כשהם מסווגים לרמות חומרה שונות. הדו"ח כולל את כלל הפעולות שיש לנקוט בכדי להוריד את רמת הסיכון בהתאם לתאבון הסיכון של הלקוח".
כדי להמחיש את החשיבות של מבדקי חדירה, מביא סמולנסקי דוגמה לחברה בה בוצע מבדק חדירה. החברה פיתחה מוצר שטרם היה רשום כפטנט. "אם חלילה היו גונבים לחברה את אותו קניין רוחני, היא הייתה מאבדת את זכות הקיום שלה. "בסופו של דבר, לאחר שערכנו מבדקי חדירה לחברה מצאנו את החולשות וביצענו מיטגציות (ניהול סיכונים - נ.ס.), בעלי החברה היו מאוד מרוצים והמשיכו בפיתוח המוצר תוך כדי רישומו כפטנט".
שירותי SOC אבטחת מידע - ניטור מערכות 24/7
לאחר ההתאמה לכללים הרגולטורים הרלוונטיים ומבדקי חדירה, הפרמטר השלישי שאותו יש לבחון נוגע למערכת אבטחת מידע שפועלת באופן שוטף ומנטרת את פעילות מערכות המידע בארגון. "הפתרון שאנחנו מציעים נותן מענה לכל השרשרת, מקצה לקצה. זה נעשה באמצעות צוות אנליסטים מומחי אבטחת מידע המנתחים את ההתרעות המתקבלות במוקד ה-SOC", אומר כהן ומקביל את שירותי SOC לצילום רנטגן, המספק תמונה מלאה על תפקוד מערכות המחשוב ואבטחת המידע לעסקים וארגונים.
"ה-SOC הוא שירות מנוהל לניטור והתראות", מסביר סמולנסקי. "אנחנו מנטרים את תעבורת המידע בארגון 24/7 ויודעים להגיד בכל רגע נתון אילו התקפות יש על מערכות המידע בעסק ובאילו פעולות יש לנקוט בכדי להתגונן". הוא מוסיף ואומר כי בחברת CYBERSAFE קיים מערך שלם של צוות מומחים בעלי ניסיון רב בכל נושאי אבטחת המידע בענן וסביבות עבודה באתר הלקוח, כולם בעלי הסמכות בינלאומיות בכל רבדי אבטחת המידע".
נקודת התורפה של שירותי SOC אבטחת מידע היא המחיר של ההטמעה של מערכת SIEM (מערכת שבה ניתן לבצע שליטה ובקרה בצורה שוטפת על אירועי אבטחת המידע בארגון). לדברי כהן וסמולנסקי הרבה גופים זקוקים אך חוששים ממוצר יקר רחב היקף, ולכן מחפשים מוצר רזה יותר שייתן להם הגנה מקיפה ומקצועית, ללא התוספות הנדרשות בארגונים גדולים. "לדוגמה חברת סטארט-אפ קטנה, שמעוניינת במערכת ניטור ובשירותי SOC, שיתנו מענה לאבחון וגילוי של מתקפות סייבר ופעילויות לא שגרתיות, ואין לה סכומים גבוהים להשקיע. כאן אנחנו נכנסים לתמונה ע"י תפירת מענה מותאם במחיר שמצדיק את ה-ROI. הפתרון יכול להיות מנוהל בענן או ישירות בשרתים של הלקוח זו המומחיות שלנו ב-CyberSafe", מסביר סמולנסקי.
"בסופו של דבר", מסכם כהן, "אבטחת מידע לעסקים צריכה לתמוך במטרות העסקיות של כל ארגון, ולא חייבת להיות מאוד יקרה. אנחנו כמי שמגיעים מעולמות הטכנולוגיה יודעים לתת מענה בדיוק לצרכים הספציפיים של כל ארגון מהשיטה ועד היישום בפועל".
CyberSafe - פתרונות הגנה ואבטחת מידע לחברות. לפרטים נוספים הקליקו כאן>>