"בכל פעם שניסינו לחדור למערכות מחשוב של המדינה, הצלחנו. ההנחה שלנו היא כי מה שאנו יודעים ועושים - לומד האויב לעשות גם כן". כך הכריז ראש המטה ללוחמה בטרור. אם חשבנו כי לצורך ביצוע פשע קיברנטי אנו זקוקים להאקרים וליכולות טכנולוגיות מתקדמות, הרי טעויות תמימות או יד המקרה עלולות אף הן להוביל לנזקים קיברנטיים משמעותיים, כמו גם להשבתה רחבת היקף.
RSA, לוקהיד מרטין, אדובי (Adobe) וחברות ענק נוספות רבות נפרצו לאחרונה, כאשר כולם כנראה מימשו הגנה ברכיבי התקשורת, בבסיסי הנתונים, ברמת האפליקציה וכו'.
לטובת חידוד התועלות שבשימוש בסטנדרטים, שאל את עצמך את השאלות הבאות:
- האם ההנהלה מכירה את שפת ניהול הסיכונים, ההגנה על המידע?
- האם הדירקטוריון חותם על מפת הסיכונים הארגונית ומבין את המשמעויות?
- האם ישנה הלימה בין הכסף שמושקע בטכנולוגיות להפחתת הסיכונים, להגנה על המידע?
- מתי לאחרונה בחנת לעומק את עדכניות ורלוונטיות מדיניות ניהול הסיכונים ונהלי הגנה על המידע של הארגון?
העולם השתנה: המידע הפך להיות זמין יותר, נגיש יותר, מרוכז יותר ומהותי יותר לכל ארגון. מתקפת סייבר אלימה עלולה להוביל לקריסה של ארגונים - וחמור מכך, לאובדן חיי אדם. נזקים לתשתיות המידע עלולים לנבוע גם מחדירה פיזית בלתי מורשית לשטחי הארגון הרגישים, פגיעה בזדון או בשוגג על ידי גורמי צד ג' הנכנסים לחברה, הדלפה מכוונת של מידע על ידי עובדים ממורמרים ועוד שורה ארוכה של תרחישים. מנהל אבטחת מידע אינו יכול עוד למקד את פעילותו סביב סיכונים בהיבטים הלוגיים (המיחשוב והתקשורת), אלא עליו לנתח את התרחישים בכל קשת הסיכונים, הפרוסים על פני כל מעגלי האבטחה. המורכבות בניהול מקביל של הסיכונים והתרחישים בכל מעגלי האבטחה, מחייבת כיום שימוש בסרגל אחיד שירכז תחתיו את כל בקרות ההגנה. באנלוגיה לכך, משמשים רגולציות ותקנים בתחום הגנה על המידע, כסרגל זה.
צ'ק פוינט, המובילה במוצרי הגנה על הרשת והתשתיות, זיהתה את הצורך בפלטפורמה שתיתן מענה מקיף לכלל הרגולציות לממשל תאגידי GRC (ר"ת Government Risk Compliance). חטיבת ה-GRC של חברת צ'ק פוינט, בשיתוף הניסיון והידע הנרחב של חברת DataSEC מקבוצת SQLINK, המשמשת כמפיצה ומיישמת של מערכת easy2comply מבית צ'ק פוינט הינה מערכת ייחודית אשר מספקת לארגונים תשתית איכותית לניהול מתמשך של לכלל הרגולציות לממשל תאגידי.
המערכת בנויה על בסיס ארכיטקטורה רב שכבתית ייעודית המספקת תשתית משותפת לניהול רב תחומי של תהליכים אלו תוך שיתוף מידע בין התהליכים, ויצירת תהליכי עבודה מובנים בכל תחום תוך מתן האפשרות למשתמשים השונים לפעול בתחום אחריותם (חשב החברה, קצין הציות, מנהל אבטחת מידע).
מימין: ניר שגב, דטה סק; יובל שגב, מנהל פעילות GRC ישראל בצ'ק פוינט; חגי הלוי,
צ'ק פוינט; ומשה רז, מנכ"ל דטה סק
באמצעות מערכת easy2comply יוכל הארגון בין השאר לבצע:
- השוואה בין סקרים לאורך השנים ומציאת מגמות לניהול סיכונים בארגון.
- מיפוי נכסי מידע ומתן ציון אוטומטי למערכות בהתאם לרגישות המידע ולממצאים המשויכים לה.
- ביצוע הערכת סיכונים לנכסי המידע.
- ניהול אירועי אבטחה – מעבר מתיעוד פאסיבי לתיעוד אקטיבי.
- בדיקת תאימות מול תקנים אשר מחייבים את הארגון.
ניהול סיכונים יעיל ונכון, מהווה כיום את הבסיס לצמצום של סיכוני מידע בארגון. הדרך האופטימלית לניהול מקביל של כלל הסיכונים, הנה באמצעות מערך ממוחשב לניהול בקרות מרוכז.
חברת צ'ק פוינט, בשיתוף עם חברת DataSEC, ישמחו להעמיד גם לרשותכם את מערכת easy2comply, הכלי שיוביל אתכם לנהל, לטפל, לצמצם את הסיכונים ולדעת גם מה שלא ידעתם שאתם לא יודעים…