ההתלבטות מתי לבצע סקר סיכונים, באיזה היקף, ואם בכלל יש צורך קיימת בכל ארגון ומקורה בעובדה ש"לא קרה לנו כלום כבר כמה שנים", אנחנו בטוחים שאנו עושים את כל הפעילויות כראוי, יש קיצוצים בתקציב וסקר הינו פריבילגיה ועוד ועוד.
להבדיל בדיקות וביקורת תקופתית/שנתית הן עניין שבשגרה כשמדובר בגופנו או ברכבנו למשל. אין לנו כל שאלה אם צריך, למה וכמה...
מטרות סקר סיכוני אבטחת מידע שונות בין ארגון לארגון ולעיתים תלויות גם בתפקיד ובאחריות המבקש. להלן מספר סיבות לביצוע סקר סיכוני אבטחת מידע:
- וידוא שאכן הפעולות שביצענו נכונות ולא נשארו פרצות
- העברת מסר שתקציב אבטחת המידע שלנו לא מספיק לסגירת החשיפות
- עזרה בניצול המשאבים באופן יעיל כך שניתן יהיה להתמקד בטיפול בחשיפות ובפרצות הקריטיות
- דרישות רגולטיביות מחייבות כגון: תקן PCI, הוראת המפקח על הביטוח, תקן ISO 27001 וכד'
- ביקורת המתבצעת על ידי מבקר החברה ו/או נדרשת מרואה החשבון של החברה
- ועוד...
מנסיוננו, עקב התרבות האיומים והחשיפות, חברות אשר לא מבצעות סקרי סיכונים אחת לתקופה הרי שהן מגדילות באופן משמעותי את הסיכוי להתפרצות אירוע אבטחת מידע. גישת סקר הסיכונים הינה גישה פרו-אקטיבית אשר מאפשרת תכנון נכון של תקציב אבטחת המידע ותעדוף של חלוקת המשאבים לטיפול בחשיפות.
לעומת זאת, העלויות לטיפול באירוע אבטחת מידע (בגישה הריאקטיבית) הינם בסדרי גודל אחרים לחלוטין ואינם באים כחלק מהתקציב המתוכנן אלא נדרשים לחריגות תקציביות מיידיות.
מתי מומלץ לבצע סקר סיכונים?
ובכן, התשובה לשאלה זו מורכבת ממספר פרמטרים, מה מצב מערך המיחשוב הנוכחי? מתי בוצע (אם בכלל) סקר סיכונים? האם מתבצעים שינויים מהותיים במערך אבטחת המידע? דרישות רגולטיביות? ועוד.
כמובן, נשמח לעזור ולייעץ - צרו עימנו קשר!