הרבה מאד ארגונים מנהלים את מאגרי מידע שלהם תוך הסתמכות על שירותי ענן. כתוצאה מכך, מירב החברות במשק חשופות לאיומי סייבר ואבטחת המידע שלהם בענן. איום פשעי הסייבר המבוצעים ברשת האינטרנט באמצעות חדירה למאגרי מידע פרטיים ועסקיים גובר מיום ליום. אפילו ארגונים בינלאומיים גדולים נלכדים בקורי העכביש של גורמים אפלים הפורצים למאגרי מידע מכל מיני סיבות לא סימפטיות עם השלכות כואבות מאד, כמו: סחר במידע פנים, בקשות כופר ועוד.
גילוי נאות, אי אפשר למנוע לחלוטין חדירות למאגרי מידע באמצעות ניהול כולל של מאגרי הנתונים. יחד עם זאת ניתן להוריד באופן משמעותי את הסיכונים לפריצות ופגיעה במאגרי מידע באמצעות הטמעת מערכת לניהול אבטחת מידע באמצעות תקן 27001 ISO.
לרוב, ניהול מאגרי מידע מבוצע ע"י הארגונים מול שירותי ענן, כך שמירב החברות במשק חייבות להתמודד עם איומי סייבר ואבטחת מידע בשירותי ענן.
תצפיותיי בארגונים מראות לי שבמקרים רבים ארגונים נכנסים לתהליכי תקינה בעקבות דרישה מלקוחות שיעמדו בתקן כזה או אחר, במקרה שלנו הפעם – תקן לאבטחת מידע. מדוע הלקוחות דורשים זאת? התשובה ברורה: הלקוחות רוצים לוודא שהספק שלהם מיסד תהליכים השומרים על אבטחת המידע של הלקוח.
בתקן כלולות דרישות שזוקקו מהידע הקיים בתעשיה. דרישות אלה מפרטות פרקטיקות בתחום שמירה על אבטחת מידע שיש לבצע. מאמר זה מפרט פרקטיקות אלה בהמשך. ראו להלן, וחשבו – האם כדאי לחכות ללקוח שידרוש זאת מאיתנו, או רחמנא ליצלן שניפגש מתקיפת סייבר, או להטמיע בעצמנו את אוסף הפרקטיקות המיטבות עימנו.
אפשר כמובן להטמיע את הפרקטיקות שלהלן גם בלי לעבור תהליך הסמכה מסודר. יתרונות ההסמכה הן בכך שלא נעגל פינות, נקפיד על הטמעה שוטפת, ונוכל להשתמש בתעודת ההסמכה כדי להרגיע את הלקוחות שלנו, ולתת לנו יתרון בתחרות מול ספקים אחרים שלא הטמיעו את התקן.
מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
ברור לכולנו, אך לצורך יצירת בסיס משותף לכולנו, הסבר קצרצר.
במונחי כלכלה שיתופית 'ענן' הוא אוסף שרתים שביחד מהווים בנק זיכרון כללי. באמצעות תוכנת שרת ענן, בעל הענן משכיר למשתמשים שטחי אחסון בהתאם לצורך שלהם, בתמורה לדמי שכירות. השירותים מבוססי הענן כוללים אירוח אתרים, אירוח ושיתוף נתונים, שיתוף תוכנות ויישומים ברשתות ברחבי העולם.
אין חולק על העובדה שהיום אנו חיים בעידן מחשוב ענן. ארגונים רבים מנהלים את המידע שלהם (מסמכים ונתונים) על שרתים משותפים ברשת. מידע זה מועד לדלוף לגורמים בלתי רצויים לא רק עקב פריצה זדונית שגורמת לנזקים עצומים אלא כתוצאה של תקלה טכנית שגורמת לשיבושים מרגיזים עקב הצורך לשחזר נתונים ולאבד זמן בעבודה חוזרת. הטמעת תהליכי אבטחת מידע בהתבסס על תקן 27001 ISO מסייעת להורדת סיכוני אבטחת מידע. הראייה לכך – ארגונים רבים המאפשרים לספקים שלהם לעבוד על הרשת הארגונית מחייבים אותם להטמיע תקן 27001 ISO לאבטחת מידע.
היתרון העיקרי של אחסון בענן הוא שבמערכת שכזו ישנם משאבים מבוזרים מרובים הפועלים וירטואלית כמשאב אחסון משותף. עבודה בענן מאפשרת לאנשים המפוזרים במקומות שונים בעולם לעבוד על קבצים משותפים, ולהיות תמיד מעודכנים עם הגרסה האחרונה. חוסך את הצורך בסנכרון גרסאות ותיקון טעויות הנובעות מעבודה על גרסאות לא עדכניות.
בעוד היתרונות של השימוש בענן ברורים ומפתים, אמינות שירותי הענן ואבטחת המידע המאוחסן בהם מטרידים מאד את המשתמשים בשירותי הענן.
תקן ISO 27001 הוא מודל המגדיר דרישות לפיתוח, ניהול ותחזוקה של מערכת אבטחת מידע. התקן דורש ליישם תהליכי בקרה פיזיים, טכניים ורגולטוריים. ניהול מערכת מידע המצייתת לדרישות התקן מפחיתה באופן משמעותי את הסיכונים לשלמות ואבטחת המידע המאוחסן בענן.תהליך הטמעת התקן כולל 6 שלבים כדלהלן:
הסוגיות שלהלן מקבלות מענה באמצעות הטמעת תקן 27001 ISO:
לא! קיימים עוד תקני נישה נוספים בנושא לחברות המעוניינות או הנדרשות להרחבות כדלהלן:
27017 ISO – הרחבת תקן 27001 ISO בנושאים הרלוונטיים לדרישות אבטחת מידע בשירותי ענן
27018 ISO – התקן מרחיב את דרישות תקן 27001 ISO בנושאים הרלוונטיים להגנה על מידע אישי מזהה שמאוחסן בשירותי ענן.
ארגון שנותן שירותי ענן ללקוחות, או ארגון שהמוצר שלו הוא מערכת SaaS – הרחבה ל- 27017 + 27018 מומלצת כחלק מתהליך הסמכה לתקן 27017.
מעוניינים לדעת עוד פרטים על תקני אבטחת מידע וכיצד להיערך להטמעתם, קראו בקישורים שלהלן: ISO27001, ISO27017,ISO27018.
מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
אשמח לשיתוף באחת הרשתות החברתיות שקישורן להלן.