מדוע אבטחת מידע תהווה חלק משמעותי מהתקציב שלך ב-2016

רגע לפני שאנחנו חוגגים את פתיחת השנה האזרחית החדשה, הנה 4 עקרונות שיעזרו לכם לגבש אסטרטגיית אבטחת מידע חזקה לחברה שלכם

shutterstock lock

מאת יואב לייטרסדורף ועופר שרייבר, שותפים בקרן הון סיכון YL Ventures.

על פי מחקר שפורסם בחודש שעבר, עלות נזקי פשעי הסייבר עלתה בכ-19 אחוזים בשנה האחרונה, וארגון ממוצע מוציא כעת כ-82 אחוזים יותר מאשר בשנת 2009 על מנת להתגונן מפני מתקפות סייבר.
לצד זאת, האיומים על ארגונים רק הולכים וגדלים – האקרים בחסות מדינות הגדילו את התקפותיהם על תאגידים, והתחכום של פושעי סייבר בעלי מניע כלכלי גדל באופן אקספוננציאלי בשנים האחרונות. כתבי האישום שהוגשו לאחרונה בעקבות פרשת ג’יי.פי מורגן חשפו רמת תיאום יוצאת דופן בין פושעי סייבר המתפרשים על פני רשת גלובלית, אשר אפשרה להם לגנוב מאות מיליוני דולרים. כיום קל וזול יותר מאי פעם להשיק מתקפות סייבר. אפילו צעצועי ילדים יכולים להיפרץ ולחשוף נתונים רגישים על מיליוני הורים וילדיהם.

כתוצאה מכך, חברות בקושי מצליחות להתמודד מול שטף איומי הסייבר. סקר שנערך לאחרונה על ידי מכון פונמון חשף כי איומים מתקדמים מטופלים בדרך כלל בין 98 ל-197 ימים לאחר חשיפתם. פרק זמן זה הינו די והותר עבור האקר נחוש לחדור אל תוך הארגון ולהסב נזק מאסיבי. זאת ועוד, התקפות רבות כלל אינן נחשפות במשך שנים ארוכות.

בנוסף לכך קיים מחסור חמור במצבת כוח אדם איכותית פנים ארגונית. בכתבה שפרסם מגזין SC, נמצא כי בין שלוש מאות אלף למיליון משרות אבטחת מידע פנויות כרגע בשוק האמריקאי. תאגידים אמריקאים מגלים כי אין מספיק כוח אדם מוכשר על מנת לענות על כל פערי אבטחת המידע הקיימים בארגון.
זוהי העת בה חברות צריכות להשתמש בטכנולוגיה בצורה חכמה יותר על מנת לאבטח את עצמן.

להלן 4 עקרונות לבניית אסטרטגיית אבטחת מידע חזקה בחברה שלך:

1. מודל “אפס אמון”

על מנת לתת פתרונות מקיפים לפערי אבטחת המידע שקיימים כיום, יש להביט מעבר ל-Perimeter (טבעת האבטחה הארגונית הקלאסית) ולהטמיע פתרונות אבטחה אשר מנטרים את כל חלקי הארגון, לרבות אלו הנחשבים “מהימנים” ברשת. גוגל וארגונים אחרים החלו לבנות נהלי אבטחה על בסיס מודל “אפס אמון”, בו טמונה ההנחה כי אנשים ומכשירים המתחברים באמצעות הרשת הארגונית אינם מהימנים יותר מאשר זרים באינטרנט.

ועם זאת, אפילו בגוגל לא ניתן לבטוח. ההגנות של החברה ושל ספקיות שירותי ענן אחרות הן טובות, אך בסיסיות ואינן חפות מחולשות. לקוחות של ספקיות הענן צריכים לשאת יחד איתן את האחריות לביטחון מידע. דוגמא קלאסית לצורך במודל אחריות משותף, היא עובד שפוטר אשר עשוי להמשיך ולקבל גישה למסמכים משותפים של גוגל או למידע בסיילספורס במשך שבועות או חודשים לאחר שעזב את החברה, דבר שהופך אותו ליעד לתוקפים חיצוניים, או לאיום בזכות עצמו.

חברות צריכות לקחת אחריות על אבטחת המידע שלהן, גם (ובמיוחד) כאשר הן משתמשות בשירותי ענן. חברות שמציעות אבטחה נוספת על גבי שירותי ענן כוללות את ,FireLayers Adallom (נרכשה לאחרונה על ידי מיקרוסופט, Netskope , Skyhigh Networks ,(Elastica (נרכשה לאחרונה על ידי Blue Coat), CipherCloud ו-BitGlass.

2. אחסן מידע מועט ככל האפשר

חברות צריכות להימנע מאחסון מידע המאפשר זיהוי אישי (PII – Personally Identifiable Information) של לקוחות ככל האפשר. לדוגמא, כדי לטפל בעסקות מסחר אלקטרוני באינטרנט, מומלץ להשתמש בשירות כמו של PayPal המאפשר לבצע עסקאות מבלי לאחסן את פרטי כרטיס האשראי של הלקוח. שימוש בחברת צד שלישי מעביר את נטל אבטחת המידע אל PayPal במקום מחלקת ה-IT של הארגון. PayPal היא כמובן איננה הבחירה היחידה – Google Wallet, Dwolla, Stripe ואחרות, מספקות שירותים דומים.

לחברות אשר מאחסנות מידע רגיש בשרתים שלהן, מומלץ לשקול ליישם מספר טכנולוגיות אבטחת מידע משלימות אשר יאפשרו כיסוי מירבי של וקטורי ההתקפה השונים. לדוגמא, הצפנת מידע רגיש וכן ווידוא כי כלי ניהול זהויות וגישה (IAM – Identity & Access Management) של החברה מעודכנים. בנוסף, יש לעקוב אחר התנהגות המשתמשים – מה שמביא אותנו לסעיף הבא.

3. הגב במהירות

חברות יכולות להגיב הרבה יותר מהר באמצעות שימוש בכלים אוטומטיים. אנו מעריכים כי אוטומציה המבוססת על כללים מוגדרים מראש יכולה לסגור עד כ-80 אחוזים מפריצות הסייבר הנוכחיות. יכולת זו מאפשרת לצוותי אבטחת המידע למקד את מאמציהם וזמנם בהתקפות המתוחכמות והחמורות ביותר, תוך מזעור כמות הזמן שהם מבזבזים על אירועים שגרתיים והתראות שווא. הטמעת טכנולוגיות אוטומציה מסוג זה תגדיל את הפרודוקטיביות של אנשי אבטחת המידע בארגון. חברות בקטגוריה זו כוללות את Hexadite, Resilient Systems, Invotas, Swimlane, Bit9+ Carbon Black, Access Data, ו-Guidance Software.

4. שילוב הנהלה בכירה

הטמעת צעדי אבטחת מידע בארגון לא יכולה להתבצע ללא תמיכה והובלה של מנהלים בכירים בחברה. אם המנכ”ל וצוות ההנהלה לא יעלו את צורכי אבטחת המידע לראש סדר העדיפויות של הארגון, הדבר יישאר כעדיפות משנית ויבלע תחת צרכים ארגוניים אחרים. כפי שראינו לאחרונה בהתקפות על ארגונים כמו טארגט, ג’יי. פי מורגן וסוני, ישנן השלכות חמורות ביותר לתרחישים כאלו.

המחשה ברורה לעלייתו של תחום אבטחת המידע לראש סדר העדיפויות של ההנהלה הבכירה הוא תחום הביטוח לאבטחת מידע, שוק חדש אשר לפי חברת הייעוץ PwC, צפוי להגיע להכנסות בגובה של כ-7.5 מיליארדי דולרים עד לשנת 2020.

למרות הרשימה הארוכה של פריצות בעלות פרופיל גבוה בארגונים ידועים, קיימות חברות רבות המובילות את השוק בקביעת נהלי אבטחה טובים ומצטיינות בהגנה על הנתונים שלהם ושל לקוחותיהם. Box, Cadence Design Systems, Netflix, Graham Holdings, Morgan Stanley, ו-PayPal – כולן חברות אשר מיישמות נהלי אבטחת מידע ברמה הגבוהה ביותר. אבטחת הארגון שלך היא משימה קשה, אך היא איננה בלתי אפשרית. אנו ממליצים להתחמש בהגנות עכשיו, לפני שהפריצה הבאה תתרחש.

גילוי נאות: YL Ventures הינה משקיעה של Hexadite ו-FireLayers.

הכתבה פורסמה במקור באנגלית ב-VentureBeat ותורגמה לעברית עבור גיקטיים על ידי הכותבים.

תמונה: lock via shutterstock

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: