קרדיט-Photo by FlyD on Unsplash

ביום עבודה רגיל, צוות אבטחת מידע וסייבר מתמקד בשמירה על הגנות קיימות ובחיפוש אחר חולשות לפני שגורמים עוינים מגלים אותן. העבודה שיטתית, מתועדת ומחייבת שיתוף פעולה עם כל מחלקות הארגון. אין "יום שקט" אמיתי כאשר מדובר בהגנה על מערכות מידע ארגוניות.

מה עושה צוות אבטחת המידע בבוקר?

כל יום מתחיל בסקירת ניטור שנאסף במהלך הלילה. מערכות SIEM ממשיכות לנטר גם כאשר אנשי הצוות ישנים, ואת הסיכומים יש לבחון מדי בוקר לחיפוש אנומליות, ניסיונות חדירה חשודים או דפוסי תעבורה שיצאו מהנורמה. זה הצעד הראשון שמגדיר את סדר עדיפויות היום.

לאחר מכן, הצוות עובר על התראות שנוצרו על ידי מערכות ההגנה השונות. לא כל התראה היא איום אמיתי, ואנשי אבטחה מנוסים מפתחים יכולת לזהות false positives מהר. הניתוח הזה מחייב הבנה מעמיקה של הסביבה הארגונית ושל הדפוסים התקינים של השימוש במערכות השונות.

דוחות שוטפים מרכיבים גם הם חלק מתחילת יום העבודה. ממצאים מניסיונות חדירה, מדדי ביצועים של מערכות ההגנה ועדכונים על פגיעויות שהתפרסמו עוברים סקירה. מידע על פגיעויות חדשות בתוכנות שהארגון משתמש בהן מחייב תגובה מהירה ומתואמת.

אילו משימות שוטפות מנהל צוות אבטחת המידע?

חלק ניכר מהעבודה השוטפת כולל ניהול גישות ורשאיות. אנשים מצטרפים לארגון, עוזבים, עוברים בין תפקידים. כל שינוי כזה חייב להשתקף בגישות למערכות המידע. צוות אבטחה שוקד על כך שלכל עובד יש בדיוק את ההרשאות הנדרשות לתפקידו, לא יותר ולא פחות.

ניהול עדכוני אבטחה הוא משימה מתמשכת. מערכות הפעלה, יישומים ותשתיות מקבלים עדכוני אבטחה בתדירות גבוהה, וכל עדכון שלא מיושם הוא פוטנציאל לסיכון. הצוות מפתח תהליך מובנה לבחינה, בדיקה ויישום של עדכונים בצורה שלא תשבש את המשך הפעילות הארגונית.

  • ניטור שוטף: מעקב אחרי לוגים, התראות ותעבורת רשת בזמן אמת
  • ניהול גישות: עדכון הרשאות לפי שינויי כח אדם ותפקידים בארגון
  • עדכוני אבטחה: יישום patches ועדכוני אבטחה לכל מערכות הארגון
  • מדיניות אבטחה: עדכון נהלים ומדיניות בהתאם לאיומים ולשינויים

כיצד צוות אבטחה מתמודד עם אירוע אבטחה?

כאשר מתרחש אירוע אבטחה, צוות האבטחה עובר ממצב שגרתי למצב תגובה. השלב הראשון הוא זיהוי ובידוד האירוע כדי למנוע התפשטות. אם מערכת מסוימת נפרצה או הודבקה בתוכנה זדונית, יש לנתק אותה מהרשת לפני שנגרם נזק נוסף.

לאחר הבידוד מתחיל שלב הניתוח: כיצד קרה האירוע, מה הושפע ומה הקיף. צוות האבטחה בוחן לוגים, בוחן את נתיב הפרצה ומכין תמונה מלאה של האירוע. מידע זה נדרש הן לתיקון הבעיה ולהפקת לקחים.

שלב האפיון מוביל לשחזור. לאחר שהבעיה הובנה, יש לוודא שהמערכות נקיות, שהפגיעות טופלה ושניתן לחזור לפעילות תקינה. צוות אבטחה שמתמחה בתחום יודע לאזן בין מהירות החזרה לפעילות לבין ביטחון שהבעיה אכן פתורה לחלוטין.

מה תפקיד הצוות בבניית מוכנות ארגונית?

מעבר לתגובה לאירועים, צוות אבטחת המידע פועל לשיפור מוכנות הארגון להתמודד עם איומים עתידיים. תרגילים מדומים, בדיקות חדירה ובחינת נהלי תגובה לאירועים הם חלק קבוע בלוח הזמנים. הכנה כזו מאפשרת לגלות חולשות לפני שגורם עוין עושה זאת.

הדרכת עובדים היא חלק בלתי נפרד מהעבודה. רוב פרצות האבטחה נובעות מטעות אנוש, כמו לחיצה על קישור זדוני בדוא"ל פישינג. צוות אבטחה שמשקיע בהדרכת כלל העובדים על איומים נפוצים מפחית את הסיכון בצורה ניכרת, גם ללא שינויים טכנולוגיים.

תרגילי חדירה ובדיקות red team מהווים כלי חשוב לגילוי חולשות לפני שמנצלים אותן. צוות חיצוני מנסה לחדור למערכות בדרכים שתוקפים עשויים להשתמש בהן. הממצאים מגיעים לצוות האבטחה כדי לטפל בחולשות ולחזק את ההגנות לפני שגורם עוין יגלה אותן.

מה מאפיין צוות אבטחת מידע מצוין?

הכישורים שמאפיינים צוות אבטחת מידע מצוין חורגים מהידע הטכני בלבד. יכולת ניתוח וחשיבה ביקורתית הן חשובות לא פחות, כי אנשי האבטחה צריכים להבין כיצד פועלים תוקפים ולחשוב כמוהם כדי להגן טוב יותר. חשיבה יצירתית לגבי נתיבי התקפה אפשריים היא נכס מקצועי.

  • ידע טכני עמוק: הבנת מערכות הפעלה, רשתות, קריפטוגרפיה ופרוטוקולים
  • חשיבה ביקורתית: יכולת לנתח מידע ולהסיק מסקנות ממידע חלקי
  • עבודת צוות: שיתוף פעולה עם מחלקות שונות ויכולת תקשורת ברורה
  • למידה מתמשכת: עדכון ידע שוטף בנוף האיומים המשתנה

כיצד שומרים על ידע עדכני בתחום המשתנה?

תחום אבטחת המידע משתנה בקצב גבוה מאוד. כל שנה מתגלות אלפי פגיעויות חדשות, מתפתחות שיטות תקיפה חדשות ומתבגרות טכנולוגיות הגנה שלא היו קיימות שנה קודם לכן. איש אבטחת מידע שאינו משקיע בלמידה שוטפת מוצא את עצמו מאחור בפרק זמן קצר.

הדרכים לשמור על ידע עדכני כוללות השתתפות בכנסים מקצועיים, קריאת מחקרי אבטחה ופרסומי קהילות מקצועיות, ועקיבה אחרי ניתוחים של אירועי אבטחה גדולים שהתרחשו בעולם. רשת הקשרים המקצועית גם היא מקור ידע, כי אנשי אבטחה רבים חולקים מידע ותובנות בקהילות מקצועיות פתוחות.

הסמכות מקצועיות כמו CISSP, CEH, CISM ואחרות מספקות מסגרת ידע מוגדרת ומוכרת. הן גם מאלצות חידוש שוטף ועמידה בדרישות פיתוח מקצועי לאורך זמן. ארגונים מעריכים עובדים שהשקיעו בהסמכות מקצועיות, כי הן מעידות על מחויבות להתפתחות בתחום.

מה ההבדל בין עבודה בצוות פנימי לעבודה דרך ספק חיצוני?

ארגונים רבים שוקלים בין הקמת צוות אבטחת מידע פנימי לבין שימוש בספק חיצוני. לכל מודל יש יתרונות: צוות פנימי מכיר את הארגון לעומק ויכול להגיב מהר לאירועים. ספק חיצוני מביא מגוון רחב של ניסיון מארגונים שונים ועדכון שוטף בנוף האיומים.

מודל היברידי שמשלב צוות אבטחה פנימי עם ספקים חיצוניים לתפקידים ספציפיים כמו בדיקות חדירה הוא פתרון נפוץ. הצוות הפנימי מנהל את השגרה ויודע את הסביבה, והספקים החיצוניים מביאים מיומנויות מתמחות לפרויקטים נקודתיים. השילוב הזה מאפשר לארגונים לקבל גמישות מקצועית מבלי לדרוש גיוס של כל הכישורים הנדרשים פנימית.

בחירה בין המודלים תלויה בגודל הארגון, בסוג המידע שאותו יש להגן ובתקציב הזמין. ארגונים שמטפלים במידע רגיש מאוד, כגון בנקים ובתי חולים, נוטים לשמור על צוותי אבטחה פנימיים גדולים. ארגונים קטנים יותר מסתמכים לעיתים כמעט לחלוטין על ספקים חיצוניים.

כיצד מתואמת עבודת אבטחת המידע עם שאר הארגון?

צוות אבטחת מידע אינו עובד בנפרד מהארגון, אלא בשיתוף פעולה עם מחלקות שונות. מחלקות IT, משפטים, ניהול סיכונים ותפעול כולם מעורבים בהגנת המידע הארגוני. תיאום בין המחלקות מאפשר מדיניות אבטחה שמיושמת בצורה עקבית בכל רחבי הארגון.

ועדת אבטחת מידע ארגונית, כאשר היא פועלת נכון, מאגדת נציגים ממחלקות שונות ומאפשרת לדון בסדרי עדיפויות ובמדיניות. הכרעות כגון אילו מערכות לשדרג, כיצד להתמודד עם עובדים שגורמים לאירועי אבטחה ומה הנהלים לגיבוי נדרשות לאישור רב-מחלקתי.

שיתוף פעולה עם מחלקת המשפטים חשוב בעיקר בנוגע לציות לרגולציה ולטיפול בדיווח על אירועי אבטחה. בישראל ובמדינות רבות ישנה חובת דיווח על פרצות אבטחה לרשויות ולגורמים מוסמכים. הגדרת תהליך ברור מראש חוסכת לחץ כאשר אירוע כזה מתרחש.

כיצד מודדים הצלחה בתחום אבטחת המידע?

מדידת הצלחה בתחום אבטחת המידע שונה ממדידה בתחומים עסקיים אחרים. בתחומים כמו מכירות ושיווק, ניתן למדוד תוצאות חיוביות בצורה ישירה. בתחום אבטחת המידע, ההצלחה מתבטאת לעיתים קרובות בהיעדר אירועים, כלומר במה שלא קרה.

מדדים מקובלים כוללים את זמן הזיהוי הממוצע של אירועי אבטחה, זמן התגובה לאחר זיהוי, מספר הפגיעויות שטופלו ביחס לאלו שנותרו פתוחות, ואחוז העובדים שסיימו הדרכות אבטחה. מדדים אלה נותנים תמונה כמותית של רמת ההגנה הארגונית לאורך זמן.

ארגונים בוגרים מבצעים גם הערכות מוכנות תקופתיות, שבמסגרתן מבדקים אם הנהלים שנכתבו אכן פועלים כמצופה בתנאים ריאליים. הפער בין הנהלים על הנייר לבין ההתנהגות הממשית בעת לחץ הוא נושא שרק תרגול מגלה.

מחשבות אחרונות

עבודת צוות אבטחת המידע היא שילוב של ניטור שוטף, תגובה לאירועים ובנייה פרואקטיבית של מוכנות ארגונית. ביום שבו לא מתרחש אירוע, הצוות עדיין עמוס בפעילויות שנועדו למנוע שאירוע יתרחש בעתיד. ההשקעה בצוות אבטחת מידע מקצועי ומנוסה היא ההשקעה שמגנה על הנכסים הדיגיטליים של הארגון ועל המשכיות הפעילות העסקית לאורך זמן. ארגונים שמבינים זאת מוקדם מספיק, לפני שפרצה מתרחשת, פועלים מתוך חוזק ולא מתוך לחץ.

 

אנו מכבדים זכויות יוצרים ועושים מאמץ לאתר את בעלי הזכויות בצילומים המגיעים לידינו. אם זיהיתים בפרסומינו צילום שיש לכם זכויות בו, אתם רשאים לפנות אלינו ולבקש לחדול מהשימוש באמצעות כתובת המייל:[email protected]