09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

ניהול סיכונים

ניהול סיכוני אבטחת מידע הינו תהליך קריטי שכל ארגון צריך ליישם בכל הרמות (הדירקטוריון, ההנהלה ואנשי האופרציה) על-מנת להקטין את סיכויי הפגיעה ולמנוע הפתעה וסיכונים לא מחושבים. מתודולוגיית איי פי וי סקיוריטי לניהול סיכונים מזהה ומדרגת את הסיכונים וממליצה באופן אופטימלי על פתרונות ממוקדים בהתאמה לפוטנציאל הנזק.

אחת למספר חודשים אנחנו עדים להתפרצות תולעת הרסנית, אשר פוגעת בתשתיות ורשתות מיחשוב, מסבה נזק גדול מאוד להרבה חברות אשר נפגעות ברמות חומרה שונות עד כדי השבתת כל הארגון למספר ימים. התוצאה: הפסדים של מליוני שקלים.

RiskMngmnt3לעומת זאת, ישנן גם הרבה חברות אשר לא נפגעות כלל מאותה תולעת הרסנית בעת התפרצותה...! 

השאלות שמייד צצות הן:
  • למה ארגון אחד נפגע והשני לא?
  • האם ניתן היה למנוע את הפגיעה? לנהל את הסיכונים כראוי!
  • מה היה שונה אצל אותם ארגונים שלא נפגעו אשר השפיע/מנע את הפגיעה?
  • מה לא היה בחברות שנפגעו אשר גרם לכך שהם נפגעו?
  • מה הגורמים אשר השפיעו על מידת הפגיעה והנזק שנגרם?
  • מה, אם בכלל, זרז/האט את מידת ההתפשטות של התולעת?
  • וכן הלאה וכן הלאה...

בין הגורמים אשר משפיעים על הסבירות לפגיעה ועל מידת הפגיעה ניתן למצוא: מזל, דרכי התנהלות ומימוש נהלי ומדיניות אבטחת מידע, התייחסות הארגון לאבטחת מידע וביצוע ביקורות אבטחת ומידע ובשורה התחתונה ניהול סיכונים, הנחייה, בקרה ומניעה.

ראשית נזכור, יישום ניהול הסיכונים של הארגון הוא באחריות ההנהלה והמנכ"ל/ית שבראשו והבקרה היא באחריות מבקר החברה והדירקטוריון.

אך על-מנת לקבל החלטות מושכלות התואמות את צרכי הארגון נדרשים אנשי אבטחת המידע והמיחשוב, בכל הרמות ההיררכיות של החברה, לספק מידע וכלים באוריינטציית ניהול הסיכונים הארגונית.

גורמים משפיעים: דינמיקה והשתנות

כמות אירועי אבטחת מידע הפוגעים בזמינות מערכות המידע (Availability), בסודיות (Confidentiality) ובשלמות הנתונים (Integrity) הולכת וגדלה באופן אקספוננציאלי משבוע לשבוע. לפיכך, ההנחה כי "לא קרה לנו כלום ב-5 השנים האחרונות" לא בהכרח תופסת לגבי ה-5 שנים הבאות; לא כל שכן לגבי השבועות הבאים...

גם מערך המיחשוב אינו כתמול שלשום. הדינמיקה של הרשת, כמו גם דרישות וצרכי המשתמשים, משתנים ברמה יום-יומית.

והתקציב... טוב תודה, מקצצים הרי אנו בשנת בצורת!

הפתרון: ניהול סיכונים
מתודולוגיית איי פי וי סקיוריטי לניהול סיכונים מזהה את הסיכונים ורמת סבירותם לכל ארגון וארגון, ממפה את נכסי המידע של הארגון ואת מיקומם הפיזי, בודקת את רמת הפגיעות של מערכות המידע בארגון ושל הגורם האנושי וממליצה באופן אופטימלי על פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. לא עוד השקעה אינסופית באבטחת מידע אלא השקעה ממוקדת על בסיס סבירות האיומים ופוטנציאל הנזק.

כמובן שלא ניתן לדון בניהול סיכונים ללא התייחסות לנושא ההחזר על ההשקעה כי הרי איך שלא נבחן את הנושא נגיע לדון על תקציבים.

ובכן, לפני שנתייחס להחזר על ההשקעה בתחום אבטחת מידע, נשאל מספר שאלות לחשיבה: מהו ההחזר על ההשקעה בבדיקה הרפואית השנתית (checkup) שאנו נדרשים לעשות על ידי רופא המשפחה? מהו החזר ההשקעה על טיפול 15,000 ק"מ לרכב? מהו החזר ההשקעה על ביצוע גיבויים של המידע מכל מחשבי ושרתי הארגון? מהו החזר ההשקעה על שדרוג מחשב (הוספת זכרון, מעבד יותר חזק, וכד') של עובד? על ביטוח חיים או ביטוח תכולת דירה...

דוגמאות אלו ממחישות כי ביום יום יש אינסוף פעולות ושירותים שאנו רוכשים על בסיס תחושות בטן והערכות ולא רק על בסיס החזר ההשקעה. אם זאת, הדוגמאות אינן פותרות אותנו מהצורך לתקצב ולתעדף נכון (!?) את פרוייקטי אבטחת המידע וכמובן להסביר מדוע למשל התקנת מערכת ניטור יותר חשובה ודחופה משדרוג תשתית הרשת או להיפך.

מתודולוגיית איי פי וי סקיוריטי מאפשרת לנהל את הסיכונים ולבחון את ההחזר על ההשקעה בתחום מערכות אבטחת המידע. בתהליך ניהול הסיכונים אנו מכמתים באופן מתודי ומסודר את כל הפרמטרים והסיכונים בהקשרם הארגוני ובכך עוזרים לאנשי המיחשוב ולהנהלה לקבל את ההחלטות המושכלות והמתאימות ביותר לצרכי הארגון.

מומחי ניהול הסיכונים ואבטחת מידע של איי פי וי סקיוריטי ישמחו להיפגש, ללמוד על צרכי הארגון שלכם ולהתאים את המתודולוגייה הייחודית לניהול הסיכונים של איי פי וי סקיוריטי לארגון שלכם.

צרו איתנו קשר עוד היום. מלאו את טופס צור קשר!

צור קשר

איי פי וי סקיוריטי בע"מ

נא להקיש שם חוקי (אותיות בלבד)
נא להקיש שם חוקי (אותיות בלבד)
נא להקיש ספרות בלבד
נא להקיש כתובת אימייל חוקית
Invalid Input

נא לאשר שאינך רובוט

Invalid Input

User login