פתיחת קריאת שירות

שירות ותמיכה

072-2126999

מדריך להיערכות לביקורת אבטחת מידע

מדריך להיערכות לביקורת אבטחת מידע

ביקורת אבטחת מידע לא מתחילה ביום שהמבקר מגיע. היא מתחילה הרבה קודם – בדרך שבה הארגון מנהל משתמשים, שומר הרשאות, מגבה מידע, מתעד שינויים ומגיב לאירועים. לכן מדריך להיערכות לביקורת אבטחת מידע הוא לא רק הכנה לפגישה או למסמך מסכם, אלא מהלך שמטרתו להוכיח שהעסק פועל באופן מסודר, אחראי וניתן לבקרה.

עבור בעלי עסקים, מנהלי תפעול, מנהלות משרד, מוסדות חינוך, מרפאות ורשויות, האתגר בדרך כלל אינו רק טכנולוגי. הוא ניהולי. לרוב אין מחלקת סייבר פנימית רחבה, ולעיתים יש שילוב של ספקים, מערכות ישנות, עובדים מרחוק ונהלים שנבנו לאורך זמן בלי סטנדרט אחיד. בדיוק בנקודה הזאת ההיערכות הנכונה עושה את ההבדל בין ביקורת מלחיצה לבין תהליך ענייני שמחזק את הארגון.

למה ביקורת אבטחת מידע היא מבחן תפעולי

ביקורת טובה לא בודקת רק אם יש אנטי וירוס או פיירוול. היא בוחנת אם יש שליטה. מי מקבל הרשאות, מי מאשר אותן, איך מטפלים בעובד שעוזב, האם גיבויים נבדקים בפועל, מה קורה במקרה של מתקפת כופר, והאם הנהלים שקיימים על הנייר באמת מיושמים בשטח.

זו הסיבה שעסקים נופלים לעיתים דווקא על פרטים שנראים קטנים. משתמשים ישנים שלא בוטלו, שרת שלא עודכן, תחנה עם גישה חריגה, או מדיניות שקיימת במסמך אך לא הוטמעה בפועל. הביקורת מחפשת עקביות בין המדיניות, המערכות וההתנהלות היומיומית.

מדריך להיערכות לביקורת אבטחת מידע – מאיפה מתחילים

נקודת הפתיחה הנכונה היא להבין מה היקף הביקורת. יש הבדל בין ביקורת פנימית, דרישת רגולציה, ביקורת לקוח, בדיקת ספקים או היערכות לתקן. בכל אחד מהמקרים רמת העומק, סוג הראיות והדגשים משתנים. אם לא מגדירים מראש מה בודקים, קל מאוד להשקיע זמן במסמכים הלא נכונים ולהשאיר פערים במקום החשוב באמת.

מיד לאחר מכן כדאי למנות גורם אחראי אחד שמרכז את התהליך. לא חייבים איש סייבר ייעודי, אבל כן צריך בעל תפקיד שמחזיק את התמונה המלאה, מתאם בין הנהלה, IT, משאבי אנוש וספקים, ודואג שכל בקשה של המבקר מקבלת מענה מסודר. כשהאחריות מפוזרת בין כמה אנשים, נוצרות כפילויות מצד אחד וחוסרים מצד שני.

בשלב הזה נכון למפות את הנכסים העיקריים של הארגון: שרתים, מחשבים, מערכות ענן, דואר אלקטרוני, פתרונות גיבוי, מערכות גישה מרחוק, מרכזיה, ציוד תקשורת, אפליקציות קריטיות וספקים עם גישה למידע. המיפוי הזה לא נועד להרשים את המבקר. הוא נועד לייצר תמונה אמיתית של מה שיש לכם, כדי שאפשר יהיה לבדוק עליו הרשאות, גיבויים, עדכונים וניטור.

המסמכים שצריכים להיות מוכנים מראש

אחד המקומות שבהם ביקורות נתקעות הוא תיעוד. בפועל, הרבה עסקים מבצעים פעולות נכונות אבל לא מחזיקים הוכחה מסודרת. מבחינת מבקר, פעולה שלא תועדה עלולה להיחשב כפעולה שלא בוצעה.

לכן חשוב להכין מראש סט מסמכים בסיסי: מדיניות סיסמאות, מדיניות הרשאות, נוהל קליטת עובד וסיום העסקה, נוהל גיבוי ושחזור, נוהל תגובה לאירועי סייבר, רשימת מערכות קריטיות, רשימת בעלי הרשאות מנהל, ורישום של עדכונים או תחזוקה שוטפת. אם קיימים הסכמים עם ספקי IT, ענן, תקשורת או אבטחה, כדאי לוודא שגם הם זמינים וכוללים הגדרה ברורה של אחריות.

כאן חשוב לומר את האמת המקצועית: לא כל עסק צריך מערך תיעוד כבד כמו של גוף פיננסי. אבל כל ארגון כן צריך מסמכים שמתאימים לסיכונים, להיקף הפעילות ולרגולציה שלו. עודף מסמכים שלא מעודכנים מזיק כמעט כמו חוסר תיעוד.

תיעוד שלא מספיק להחזיק – צריך גם לעדכן

מבקרים בודקים לא רק אם יש מסמך, אלא אם הוא רלוונטי. נוהל שנכתב לפני ארבע שנים ולא משקף עבודה בענן, התחברות מרחוק או שימוש ב-Microsoft 365, עלול להעלות סימני שאלה. אותו דבר לגבי רשימות משתמשים, תרשימי רשת או מלאי ציוד שאינם תואמים את המציאות.

כדאי לעבור על המסמכים ולבדוק שלושה דברים: האם הם עדכניים, האם יש להם בעל אחריות ברור, והאם הם מיושמים בפועל. אם התשובה לאחת השאלות היא לא, עדיף לתקן לפני הביקורת ולא לנסות להסביר תוך כדי.

הפערים שהביקורת כמעט תמיד מגלה

יש כמה תחומים שחוזרים שוב ושוב בביקורות, בעיקר בעסקים קטנים ובינוניים. הראשון הוא ניהול הרשאות. עובדים מקבלים גישה מהר כדי להתחיל לעבוד, אבל לא תמיד מסירים גישות ישנות או בודקים אם הן עדיין נדרשות. לאורך זמן זה יוצר הרשאות עודפות, חשבונות לא פעילים וגישה רחבה מדי למידע רגיש.

התחום השני הוא גיבוי. עסקים רבים בטוחים שהם מגובים, אך לא בודקים שחזור בפועל. מבחינת ביקורת, גיבוי שלא נוסה הוא סיכון. השאלה איננה רק אם הקבצים נשמרים, אלא אם אפשר לשחזר מערכת, שרת או תיבת דואר בזמן סביר ובלי אובדן משמעותי.

התחום השלישי הוא תחנות קצה ועדכונים. מחשבים שלא קיבלו עדכוני אבטחה, שרתים ישנים, מערכות הפעלה שלא נתמכות או תוכנות צד שלישי עם גרסאות ישנות – כל אלה מושכים תשומת לב מיידית. לפעמים הסיבה מובנת, למשל תוכנה עסקית ישנה שמגבילה שדרוג. אבל גם אז צריך להראות פיצוי תפעולי כמו בידוד, הגבלת גישה או ניטור מוגבר.

האנשים הם חלק מהביקורת, לא רק המערכות

הרבה ארגונים מתמקדים בטכנולוגיה ושוכחים שהמבקר יבחן גם מודעות ויישום. אם העובדים לא יודעים למי מדווחים במקרה של מייל חשוד, אם מנהלים לא מכירים את נוהל ההרשאות, או אם מחלקת משאבי אנוש לא מעדכנת בזמן על עובד שעוזב – יש כאן חוליה חלשה, גם אם כלי ההגנה טובים.

לכן לפני ביקורת כדאי לבצע רענון קצר לצוותים הרלוונטיים. לא צריך להפוך את זה לקורס. מספיק ליישר קו על נושאים מעשיים: סיסמאות, אימות דו-שלבי, דיווח על חריגות, עבודה מרחוק, שימוש בציוד אישי ואחריות על מידע רגיש. המטרה היא לא לייצר תשובות בעל פה, אלא לוודא שיש שגרה ארגונית ברורה.

תיאום בין IT, הנהלה ומשאבי אנוש

אחד המדדים הלא רשמיים של ארגון מסודר הוא היכולת של יחידות שונות לתת תמונה אחידה. אם ה-IT אומר שכל עובד שעוזב נחסם מיידית, אבל משאבי אנוש פועלים בלי טופס מסודר והנהלה לא יודעת מי מאשר חריגות, הביקורת תזהה את הפער במהירות.

כדאי לקבוע לפני הביקורת מי עונה על איזה תחום, אילו מסמכים מציגים, ואיך מתעדים פעולות בזמן אמת. זה נשמע בסיסי, אבל בדיוק כאן נמדדת בגרות תפעולית.

איך לבצע בדיקה פנימית לפני שהמבקר מגיע

הדרך היעילה ביותר להתכונן היא לבצע סימולציה פנימית. לעבור על הדרישות כאילו אתם המבקר, לבקש מסמכים, לבדוק הרשאות, לנסות לשחזר גיבוי, לאשר שרשימות המשתמשים מעודכנות, ולעבור על כמה דגימות של תחנות ושרתים. הבדיקה הזאת חושפת מהר מאוד אם יש פער בין מה שחושבים שקיים לבין מה שאפשר להציג.

בארגונים רבים נכון להיעזר בשותף טכנולוגי חיצוני שמכיר גם תפעול IT וגם דרישות אבטחת מידע. היתרון הוא נקודת מבט אובייקטיבית ומהירה יותר. החיסרון הוא שלא כל פער אפשר לסגור מייד, ולכן חשוב להתחיל בזמן ולא שבוע לפני הביקורת.

כאן נכנס גם שיקול עסקי. לא כל ממצא דורש השקעה גדולה ומיידית. יש ליקויים שצריך לתקן עכשיו, כמו הרשאות חריגות או היעדר אימות דו-שלבי. אחרים אפשר לנהל בתוכנית עבודה מסודרת עם לוחות זמנים, כל עוד מציגים שליטה, מודעות ואחריות.

ביום הביקורת – מה עושה רושם נכון

ביום הביקורת עצמו, הסדר חשוב כמעט כמו התוכן. רכזו את המסמכים במקום אחד, ודאו שכל בעלי התפקידים הרלוונטיים זמינים, והציגו תשובות ברורות בלי להרחיב מעבר לנדרש. אם יש פער, עדיף להכיר בו ולתאר כיצד מטפלים בו מאשר לנסות לטשטש.

מבקרים מנוסים יודעים לזהות מהר אם הארגון בשליטה או מגיב מתוך לחץ. ארגון בשליטה לא חייב להיות מושלם. הוא כן צריך להראות שיש נהלים, שיש אחריות, שיש תיעוד ושיש שיפור מתמשך. זו בדיוק הנקודה שמבדילה בין ביקורת שמסתיימת ברשימת ליקויים כבדה לבין ביקורת שמייצרת אמון.

מה עושים אחרי הביקורת

אחרי שמקבלים את הממצאים, לא נכון להתייחס אליהם כאל עוד מסמך לסגירה. ביקורת טובה מספקת תמונה ניהולית חשובה: איפה יש סיכון, איפה יש תלות באדם אחד, איפה חסר תיעוד, ואילו תהליכים צריכים בגרות גבוהה יותר. זה חומר עבודה לשיפור רציפות עסקית, לא רק לעמידה בדרישה נקודתית.

אם עובדים עם שותף טכנולוגי קבוע, זה הזמן להפוך את ההמלצות לתוכנית פעולה: מה מטפלים מייד, מה מתוקצב לרבעון הבא, ומה הופך לנוהל שוטף. זו גם הגישה שאנחנו ב-Tuzali מאמינים בה – לא טיפול חד פעמי לצורך ביקורת, אלא בניית סביבת IT ואבטחה שתומכת בפעילות העסקית ביום רגיל וגם ברגעי לחץ.

הדבר החשוב ביותר לזכור הוא שביקורת אבטחת מידע איננה מבחן שמטרתו להכשיל. כשהיא מנוהלת נכון, היא עוזרת לארגון להבין איפה הוא חשוף, איפה הוא חזק, ואיך מייצרים יציבות אמיתית לאורך זמן. מי שמתכונן אליה מוקדם, מסודר ובלי קיצורי דרך, מגיע לא רק מוכן יותר לביקורת – אלא גם מוכן יותר להגן על העסק עצמו.

תוכן עניינים