סקר ספקים הוא סקר בו נבדקת רמת אבטחת המידע אצל ספק של הארגון, החשוף למידע רגיש או מחזיק במידע רגיש של הארגון. הסקר דוגם את כל מעגלי אבטחת המידע כפי שיפורט בהמשך.
כיום, לא מעט פעילויות ותהליכים עסקיים מבוצעים על ידי ספקים, המהווים גורם חיצוני לארגון.
למרות תחושת האמון הבסיסית, קיימת חשיבות רבה לבדיקת את הדברים הלכה למעשה – מי נחשף למידע הארגוני, כיצד הוא מאוחסן, מיהם האנשים שמתחברים למערכות הארגון מטעם הספק, האם קיים תיעוד לפעולותיהם ועוד.
פעמים רבות, לספק הארגוני קיימים ספקי משנה, אשר גם הם מעבדים, מעבירים או מאחסנים מידע ונתונים השייכים לארגון.
כפי שהוכח בשנים האחרונות, ספקים וגורמי צד ג' עלולים לשמש כנקודת החדירה של האקרים וגורמים זדוניים אחרים לארגון.
כך, למשל, חקירת פריצת הענק (דצמבר 2013) לקמעונאית Target, בה נגנבו פרטי כרטיסי אשראי של למעלה מ-40 מליון לקוחות, העלתה כי החדירה למערכותיה התאפשרה כתוצאה מנתוני הזדהות (Credentials) שנגנבו מאחד מהספקים שלה בתחום מיזוג האוויר.
סקר ספקים נועד לוודא שהספק שומר על המידע של הארגון באופן מאובטח. במסגרת הסקר, נבדקים 5 תחומי-על:
• מחשוב
• אבטחה פיזית
• משאבי אנוש
• ניהול רשומות
• ספקים וגורמי צד ג'
התוצר המתקבל הוא מיפוי של כל אחד מהתחומים שנבדקו, פערים שנמצאו (באיזה מקומות המידע חשוף), כמו גם המלצות לתיקון הממצאים בתחומים השונים.
לאיי פי וי סקיוריטי צוות מומחים בעל ניסיון רב בביצוע סקרי ספקים במגזרי תעשיה שונים. ניסיון זה מאפשר קבלת תמונת מצב ברורה ומפורטת באשר לאופן שמירת המידע הארגוני על ידי ספק בתחומים השונים שנבדקים, תוך הצבעה על רמת הסיכון בהיבטי אבטחת מידע בכל תחום ומתן המלצות רלוונטיות.
כרובד משלים, ארגונים רבים נעזרים בנו לצורך:
• כתיבת נספח אבטחת מידע לספק, בהתבסס על כללי אבטחת המידע המקובלים ומדיניות האבטחה הארגונית.
• יצירת נהלי דיווח וטיפול באירועי אבטחת מידע
• סיוע לגיבוש הסעיפים הרלוונטיים במסגרת התקשרויות חוזיות
• ביקורת ספק תקופתית
• מבדקי חדירה של אפליקציות בשימוש הספק
• מבדקי חדירות פנימיים וחיצוניים של רשתות ומערכות ארגוניות
