בעידן הדיגיטלי של ימינו, התמודדות עם איומי סייבר ואבטחת מידע נמצאים בחשיבות עליונה ורלוונטיים לכל סוגי החברות ובכל הגדלים.
לשירותי ממונה אבטחת מידע (CISO) בחברה, חשיבות עליונה בשמירה על נכסי המידע, הבטחת עמידה בדרישות הרגולטוריות ושמירה על רמת אבטחה וחסיון מידע נאותים תוך מיפוי וניהול הסיכונים.
שירותי מיקור חוץ של CISO יכולים לספק לחברות הכוונה ותמיכה מקצועית שוטפת, ברמה גבוהה, תוך ליווי בביקורות רגולטוריות, ללא צורך להעסיק CISO במשרה מלאה.
עמידה בדרישות אבטחת וחסיון מידע, רגולציה וחוקים
שירותי CISO וממונה אבטחת מידע מסייעים לחברות לעמוד בדרישות ובתקנים רגולטוריים שונים כגון ISO 27001, ISO 27799, ISO 27701, HIPAA ואחרים.
עבודה לפי דרישות החוקים והרגולציה, אינה נעשית רק במטרה להמנע מקנסות ועונשים, אלא הכרחית להשגת מטרותיה העסקיות, תוך הגברת האמון עם לקוחות, עובדים ושותפים עסקיים. עמידה בדרישות אבטחת המידע וחסיון המידע של החברה, עם או בלי הסמכות לתקני אבטחת מידע, ללא ספק מצביעה על מחויבות החברה להגנה כל סוג מידע הנחשב כרגיש כגון פרטים אישיים, מידע רפואי, מידע עסקי וכו.
אחריות ומשימות מפתח של שירותי CISO במיקור חוץ
שירותי מיקור חוץ של CISO וממונה אבטחה וחסיון מידע בארגון יכולים לכסות מגוון רחב של אחריות ומשימות, כגון:
תחום אחריות ה- CISO | דוגמאות לפעילויות ה- CISO |
הדרכות עובדים לאבטחת מידע, HIPAA ו- GDPR | § ביצוע הדרכות וקורסים
§ הדרכות רענון תקופתיות לעובדים § בדיקת אפקטיביות הדרכה § פיתוח תוכניות לשיפור מיומנויות האבטחה של ההון האנושי בארגון § איתור הזדמנויות הכשרה ופיתוח מתמשכים |
הודעות פישינג (דיוג) | § ביצוע סימולציה ושליחת הודעות פישינג (דיוג) לעובדי החברה ושותפיה העסקיים לפי צורך
§ בחינת אחוז פתיחת המיילים והקלקה על הקישור § הכנת דוח, ניתוח תוצאות, הסקת מסקנות ויישום פעולות מתקנות ומונעות |
ביקורות אבטחת מידע פנימיות | § ביצוע ביקורות פנימיות בנושאי אבטחת מידע במחלקות הארגון
§ בחינת יעילות אמצעי אבטחת המידע בארגון |
שיפור מתמיד | § זיהוי וחקירה של אירועי אבטחת מידע
§ איתור תחומים לשיפור העמידה במדיניות אבטחת המידע § הכנת רשימת יעדי אבטחת מידע שנתיים ובחינתם בסוף השנה § השתתפות בסקר הנהלה שנתי בנושאי אבטחת מידע |
הערכת סיכונים | § ביצוע הערכת סיכוני אבטחת מידע וסייבר
§ ישום פעולות מתקנות ובקרות לפי צורך § ביצוע ניתוח והערכת סיכונים כפועל יוצא של שיפורים ושינויים במערכות/במוצר § עדכון תכנית ניהול הסיכונים בהתאם לממצאים § עדכון תקופתי של מסמכי הערכת וניתוח הסיכונים |
מערכת לניהול אבטחת מידע ISMS | § כתיבת נהלים ומסמכי מדיניות למערכת לניהול אבטחת המידע הארגונית
§ עדכון מסמכי ה- ISMS בהתאם לעדכוני דרישות הרגולציה והחוק § התאמת ה- ISMS לדרישות הסמכות כגון ISO 27001, ISO 27799, ISO ISO 27701, GDPR, HIPAA, SOC2 § צמצום הפערים והתאמה בין הכתוב בנהלים לבין דרכי העבודה בחברה § הסמכת החברה לתקני ISO הרלוונטיים § חידושי הסמכות תקופתיים |
שימוש במדיה נתיקה | § בקרה על כלל סוגי המדיה הנתיקה בה נעשה שימוש בארגון
§ ניהול ואישור השימוש במדיה נתיקה § פירמוט והשמדת מדיה נתיקה בעת הצורך |
אירועי אבטחת מידע | § יישום והטמעת פתרונות טכנולוגיים למניעת פרצות וסיכוני סייבר
§ חקירת אירועי אבטחת מידע § מתן המלצות ליישום ולמניעת אירועים דומים בעתיד |
סימולציות Disaster והמשכיות עסקית | § בניית תוכנית המשכיות עסקית
§ כתיבת פרוטוקול סימולציה לבחינת יכולות ה- Disaster recovery של הארגון § ביצוע סימולציה § הערכת האפקטיביות של תוכניות ההתאוששות Disaster recovery § הסקת מסקנות וכתיבת דוח מסכם עם המלצות לשיפור |
ניהול נכסים | § ניהול ובקרה על רשימת הנכסים של הארגון
§ סיווג והערכת רמת הסיכון והקריטיות כל נכסי הארגון § עדכון תקופתי לרשימות הנכסים |
ניטור מערכות | § בניית תכנית ניטור אבטחת מידע
§ ניטור אבטחת רשתות אלחוטיות § ישום אמצעים למניעת גישה בלתי מורשית § מעקב רציף אחר איומי אבטחה פוטנציאליים § בניית לוגים לבדיקות תקופתיות של המערכות |
אבטחת מבנה | § בדיקת התנהלות נאותה של עובדים בחברה
§ בדיקת מערכות אבטחה פיזית של המבנה § בדיקת חדרי שרתים § בדיקת אפקטיביות אמצעי האבטחה של הארגון כולל חומרה, מערכות ומבנה |
ספקים | § הגדרת רמות אבטחת מידע נדרשת מספקים
§ הגדרת דרישות סף מספקים בכל הנוגע לאבטחת מידע § בדיקת הסמכות אבטחת מידע של ספקים § ביצוע הערכות שוטפות של נוהלי אבטחת מידע לספקים § אישור הסכמים מול ספקים § אישור תקופתי/חידוש/אי חידוש הסכמים עם ספקים |
שירותי אחסון בענן | § הגדרת אחסון מידע תוך שימוש בשירותי ענן
§ הגדרה סוגי מידע שניתן לאחסן בשירותי ענן § הגדרת תנאי סף לספקי שירותי ענן § הטמעת בקרות להגנה על נתונים המאוחסנים בענן § ביצוע בדיקות גיבוי ואחזור מידע משירותי ענן § אישורי גישת אדמין לשירותי ענן |
קבלת/סיום העסקת עובדים | § בדיקה ואישור תהליך קליטת עובד טרם העסקה
§ הדרכות עובדים בנושאי אבטחה וחסיון מידע בארגון § בדיקה ואישור תהליכי סיום העסקה של עובד § הסרת הרשאות עובדים שסיימו את עבודתם בארגון |
רשומות רפואיות ePHI | § בדיקה תקופתית לאפשרות גישה ל- ePHI
§ בקרה על הרשאות לצפיה ו/או שימוש ב- ePHI |
HIPAA | § ניתוח והערכת סיכוני חסיון מידע של לקוחות ומטופלים
§ לוודא עמידה בדרישות החוק בארה”ב § כתיבת נהלים בכל הנוגע לחסיון מידע § חקירת אירועי דליפת מידע אישי ויישום בקרות בהתאם |
מיקור חוץ לשירותי CISO בנושאי אבטחת מידע וחסיון מידע, מאפשר לחברות פתרון נגיש, מקצועי ואפקטיבי בפני איומי סייבר, אבטחת מידע חזקה ועמידה בדרישות הרגולטוריות הנדרשות.
באמצעות שירותי CISO חיצוניים, חברות יכולות להתמקד בפעילויות הליבה העסקיות שלהן תוך שמירה על במות אבטחה נדרשות ומתן מענה לאירועי אבטחה וסייבר.