09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

ביקורות וסקר סיכונים

לשיחת התייעצות בנושא סקר סיכונים, לחצו כאן
להצעת מחיר לסקר סיכונים, לחצו כאן

סקרי סיכונים וביקורות אבטחת מידע הם מכלול של בדיקות טכנולוגיות, תהליכים ונהלים, המאפשרים לזהות במהירות את החשיפות של נכסי המידע הקריטיים בארגון. בדיקות אלו מתמקדות בשלושה היבטים עיקריים: סודיות (Confidentiality), זמינות (Availability) ושלמות (Integrity) המידע. ארגונים אשר יישמו את המלצות סקר הסיכונים שבוצע על-ידי צוות IPV Security הצליחו להפחית את הסיכון העסקי שלהם בלמעלה מ-90%.

מחקרים מצביעים באופן חד-משמעי על קשר ישיר בין גישה פרו-אקטיבית של ארגונים לבין הפחתת סיכונים. ככל שארגון משקיע יותר בפעולות מניעה - כגון סקרי סיכונים, עמידה בתקנים, ניהול אבטחת מידע שוטף - כך פוחתת הסבירות לפגיעה וחשיפה למתקפות סייבר. 

סקרי סיכונים

סקרי סיכונים: התאמה אישית לצרכי הארגון

היקף ומיקוד סקר הסיכונים נקבעים בהתאמה מדויקת לצרכי הארגון הספציפי. הסקר מתוכנן תוך התחשבות במגוון גורמים, ביניהם:
- גודל הארגון
- פריסה גיאוגרפית
- אופי התעשייה
- דרישות רגולטוריות ייחודיות
- מבנה ארגוני ותפעולי

הסקרים מבוצעים על-ידי צוות מומחי אבטחת מידע מוסמכים (Ethical Hackers) של חברתנו, תוך שימוש במתודולוגיה ייחודית שפיתחנו לאורך שנות פעילותנו בתחום.

ניסיון מוכח: 20 שנות מומחיות בתחום.

חברת איי פי וי סקיוריטי מתגאה ב-20 שנות ניסיון בביצוע סקרי סיכונים ומבדקי אבטחת מידע מקיפים.
לאורך השנים, זכינו לאמונם של מאות לקוחות מובילים במשק הישראלי, אשר נעזרו בשירותינו לחיזוק מערך אבטחת המידע שלהם.

1. מהן המטרות העיקריות של סקר הסיכונים?
2. אילו סוגים של סקרי סיכונים קיימים ומתי כדאי ליישם כל אחד מהם?
3. באיזו תדירות מומלץ לבצע סקר סיכונים?
4. מהם המרכיבים העיקריים הנכללים בסקר סיכונים מקיף?
5. מהו תהליך ביצוע סקר סיכונים, משלב התכנון ועד להשלמתו?
6. כיצד נקבע מועד הסיום של סקר סיכונים?
7. באילו מדדים ניתן להעריך את הצלחתו של סקר סיכונים?
8. מהם הקריטריונים החשובים בבחירת חברה לביצוע סקר סיכונים?

מטרות סקר סיכונים: הגנה מקיפה בעידן הסייבר המודרני

בעולם שבו איומי הסייבר מתרבים והולכים, ולנוכח הדרישות הרגולטוריות המתהדקות, סקר סיכונים הפך לכלי חיוני עבור ארגונים מכל הגדלים והתחומים.

להלן הסיבות העיקריות לביצוע סקר סיכונים:
1. עמידה בדרישות רגולטוריות:
    • חוק הגנת הפרטיות ותיקון 13 (צפוי להיכנס לתוקף ב-5 באוגוסט 2025)
    • דרישות רשות ניירות ערך
    • תקנות ורגולציות נוספות בתחום אבטחת המידע והגנת הסייבר

2. הגנה על נכסי הארגון:
    • מניעת פגיעה במוניטין
    • שמירה על זמינות מערכות המחשוב
    • הגנה מפני הפסדים כלכליים משמעותיים

3. מניעת אסונות עסקיים: לדוגמה: אירוע Code Spaces (2014) - חברת אחסון קוד שקרסה תוך פחות מ-24 שעות בעקבות מתקפת סייבר.

4. גישה פרו-אקטיבית: סקר סיכונים מאפשר לארגונים לזהות ולטפל בחולשות לפני שהן מנוצלות על-ידי תוקפים, בבחינת "יפה שעה אחת קודם".

חשוב לציין כי ביצוע סקר סיכונים מומלץ גם לארגונים שאינם כפופים לרגולציה מחייבת, כאמצעי הגנה מקיף על נכסי החברה ועתידה העסקי.

יעדים מרכזיים של סקר סיכונים:
שיפור מוכנות לאירועי סייבר:
- קבלת תמונת מצב מקיפה של מערך אבטחת המידע הארגוני
- זיהוי פערים וחולשות במערכות ובתהליכים
- הערכת יכולת התגובה והתאוששות מאירועי סייבר

עמידה בדרישות חיצוניות:
- מענה לדרישות רגולטוריות מחייבות
- התאמה לסטנדרטים מקובלים בתעשייה
- מילוי ציפיות לקוחות וספקים בתחום אבטחת המידע

תכנון אסטרטגי ותקציבי:
- בניית תכנית עבודה ממוקדת לשיפור מערך אבטחת המידע
- תעדוף משימות והשקעות בתחום הסייבר
- הצדקת תקציבים נדרשים להנהלה ולדירקטוריון

סוגי סקרי סיכונים

סקרי הסיכונים מותאמים למטרות, לצרכים ולמאפיינים הייחודיים של כל ארגון. להלן סוגי הסקרים העיקריים:
- סקר סיכונים כללי
- סקר סיכונים טכנולוגי
- סקר סיכונים עסקי
- סקר סיכונים רגולטורי
- סקר סיכונים ממוקד (למערכת או תהליך ספציפי)

בכל סוגי הסקרים, התוצר הסופי הוא דוח מפורט הכולל:
 ניתוח מקיף של המצב הקיים
 זיהוי וסיווג של נקודות תורפה
 המלצות מעשיות ומתועדפות לשיפור
 תכנית פעולה מוצעת ליישום ההמלצות

להלן טבלת סוגי סקרי הסיכונים הנפוצים:

סוג סקר הסיכונים
סקר סיכונים טכנולוגי
סקר סיכונים עסקי
משולב עם רגולציה
מטרה הערכה מקיפה של רמת האבטחה בתשתיות הטכנולוגיות ורכיבי ההגנה המרכזיים. הרחבת הסקר הטכנולוגי לכדי ראייה עסקית כוללת, תוך התייחסות לתהליכים ארגוניים ומוכנות לאיומים מורכבים. שילוב הערכת סיכונים מקיפה עם בחינת עמידה בדרישות רגולטוריות ותקנים מחייבים.
ניתוח מעמיק של מעגלי ההגנה הארגוניים
בחינת אבטחת רשתות ותקשורת
הערכת אבטחת מערכות ההפעלה והשרתים
בדיקת יעילות מערכות ההגנה (כגון: firewall, אנטי-וירוס, EDR)
סקירת אבטחת מסדי הנתונים ומערכות האחסון
מיפוי מקיף של נכסי מידע עסקיים קריטיים  
זיהוי וניתוח מקורות איום פוטנציאליים  
הערכת מוכנות הארגון לאירועי כופרה (Ransomware) והמלצות לשיפור  
בחינת מדיניות אבטחת המידע הארגונית ונהלי העבודה הקשורים  
ניתוח השפעות עסקיות של איומי סייבר פוטנציאליים  
הערכת תהליכי ניהול סיכונים קיימים והמלצות לשיפורם  
בחינת תאימות לרגולציות ותקנים רלוונטיים    
הערכת עמידה בדרישות חוק הגנת הפרטיות והכנת דוח ציות מפורט    
בחינת התאמה לתקן ISO 27001 וזיהוי פערים    
ניתוח עמידה בדרישות "תורת ההגנה" של מערך הסייבר הלאומי    
גיבוש המלצות לשיפור התאימות הרגולטורית    
 

דוגמאות לסקרי סיכונים מותאמים לצרכים ייחודיים

סקר  מוכנות לאירועי כופרה (Ransomware) סקר זיהוי חשיפות לזליגת מידע סקר סיכונים בהתאמה לדרישות SOX/iSOX
 הערכת יכולות זיהוי, הגנה, תגובה והתאוששות מאירועי כופרה
 בחינת מנגנוני גיבוי ושחזור
 ניתוח תרחישי תקיפה והמלצות למניעה וצמצום נזקים		  מיפוי נכסי מידע קריטיים לארגון
 זיהוי נתיבי זליגת מידע פוטנציאליים
 הערכת אפקטיביות מנגנוני DLP (Data Loss Prevention) קיימים		  בחינת בקרות פיננסיות ותפעוליות
 הערכת תהליכי דיווח כספי ובקרה פנימית
 זיהוי פערים ביחס לדרישות החוק והמלצות לסגירתם
     
סקר סיכונים לביקורת פנימית סקר תשתיות מערך המחשוב סקר סיכונים למערכות קריטיות
 תמיכה בתהליכי ביקורת פנים בהיבטי אבטחת מידע וסייבר
 זיהוי חולשות בתהליכי בקרה פנימיים
 המלצות לחיזוק מערך הביקורת הפנימית בהיבטי אבטחת מידע		  הערכה מקיפה של כלל תשתיות ה-IT בארגון
 זיהוי נקודות כשל פוטנציאליות ו"צווארי בקבוק"
 המלצות לשיפור יציבות, ביצועים ואבטחה של התשתית		  ניתוח מעמיק של מערכות ליבה ומערכות קריטיות לעסק
 הערכת חוסן ויכולת התאוששות של המערכות
 גיבוש תכנית להגנה מתקדמת על מערכות קריטיות

תדירות מומלצת לביצוע סקר סיכונים

קביעת התדירות האופטימלית לביצוע סקרי סיכונים מושפעת ממספר גורמים מרכזיים:
- מאפייני הארגון: • גודל החברה • סוג התעשייה והסקטור העסקי • מורכבות מערכות המידע והתשתיות הטכנולוגיות.
- דרישות רגולטוריות: • תקנות הגנת הפרטיות: ארגונים בעלי מאגרי מידע ברמת אבטחה גבוהה נדרשים לבצע סקר סיכונים אחת ל-18 חודשים • רגולציות ענפיות ספציפיות (כגון: פיננסים, בריאות, ממשל).
- קצב השינויים הטכנולוגיים: • תדירות עדכונים ושינויים במערכות המחשוב של החברה • הטמעת טכנולוגיות חדשות או שינויים ארכיטקטוניים משמעותיים.
- שינויים ארגוניים: • מיזוגים ורכישות • הרחבת פעילות לתחומים או שווקים חדשים.

המלצות לתדירות ביצוע סקרי סיכונים:
ארגונים תחת רגולציה מחייבת: בהתאם לדרישות הרגולטוריות, אך לא פחות מאחת ל-18 חודשים.

ארגונים ללא רגולציה מחייבת:
- סקר מקיף: אחת לשנה עד שנתיים
- סקרים ממוקדים: בהתאם לשינויים משמעותיים בארגון או בסביבת האיומים

מצבים המחייבים ביצוע סקר סיכונים מיידי:
- לאחר אירוע אבטחה משמעותי
- בעקבות שינויים מהותיים בתשתיות או במערכות הליבה
- לפני ואחרי מיזוג או רכישה משמעותית

חשוב להדגיש: גם אם אין חובה רגולטורית, ביצוע סקרי סיכונים באופן סדיר הוא פרקטיקה מומלצת לכל ארגון. זאת, כחלק מאסטרטגיית ניהול סיכונים כוללת, המסייעת להפחית משמעותית את הסיכוי לאירועי אבטחת מידע ולשמור על חוסן ארגוני בפני איומי סייבר מתפתחים.

מרכיבי סקר סיכונים מקיף

סקר סיכונים איכותי מתמקד בשלושה מרכיבים מרכזיים של הארגון: אנשים, תהליכים וטכנולוגיה. ניתוח מעמיק של כל אחד מהמרכיבים הללו מאפשר זיהוי מקיף של נקודות תורפה ושורשי בעיות אבטחה פוטנציאליות.

חשיבות הניתוח התהליכי: מחקרים וניתוחי אירועי סייבר מראים כי מקורם של רוב האירועים נעוץ בתהליכים ארגוניים פגומים. לכן, סקר סיכונים אפקטיבי מתמקד בזיהוי ליקויים בתהליכים, ולא רק בסימפטומים טכניים.

דוגמה:
סימפטום: חוק בפיירוול המאפשר גישה לא מורשית לרשת הארגונית.
שורש הבעיה: תהליך לקוי של ניהול ועדכון חוקי פיירוול.

מרכיבי הסקר:

הגורם האנושי

תהליכים ארגוניים

הערכת מרכיב הטכנולוגיה
הערכת המוכנות האנושית היא קריטית, שכן העובדים הם לעיתים קרובות החוליה החלשה בשרשרת האבטחה.

מתודולוגיות הערכה:
• מבדקי פישינג מתקדמים: סימולציות מותאמות אישית לבחינת ערנות העובדים לאיומי סייבר.

• ראיונות עומק עם אנשי מפתח: הבנת תפיסות אבטחה, תהליכי קבלת החלטות, ומודעות לסיכונים.
• סקרי מודעות אנונימיים: איסוף נתונים על רמת הידע והמודעות של כלל העובדים.
• תצפיות על התנהגות אבטחתית: בחינת יישום נהלי אבטחה בפועל.
תוצרים:
• מפת פערי מודעות ארגונית
• המלצות לתכניות הדרכה ממוקדות
• אסטרטגיות לשיפור תרבות אבטחת המידע בארגון		 תהליכי העבודה הם ליבת הפעילות הארגונית, וליקויים בהם מהווים שורש לרבים מאירועי אבטחת המידע.

סוגי תהליכים הנבחנים:
• תהליכי ליבה עסקיים
• תהליכי ניהול טכנולוגיה ומערכות מידע
• תהליכי ניהול סיכונים ואבטחת מידע
• תהליכי תגובה לאירועים וניהול משברים

מתודולוגיות ניתוח:
• מיפוי נכסי מידע ותהליכים
• ניתוח פערים מול תקנים ורגולציות רלוונטיות
• בחינת תרחישי איום ובחינת עמידות התהליכים

תוצרים:
• מפת תהליכים ארגונית עם דגש על נקודות תורפה אבטחתיות
• המלצות לשיפור ואופטימיזציה של תהליכים קריטיים
• תכנית לשילוב שיקולי אבטחת מידע בתהליכי העבודה השוטפים

דוגמה לחשיבות ניתוח תהליכים: אירוע ההשבתה העולמי של Crowdstrike (יולי 2024):
• סימפטום: השבתת שירותים גלובלית
• שורש הבעיה: כשל בתהליך עדכון והפצת טלאי אבטחה
• לקחים: חשיבות תהליכי בקרת איכות, ניהול שינויים, ותכניות המשכיות עסקית		 רכיב הטכנולוגיה הוא אבן יסוד בסקר סיכונים, בשל מרכזיותו באחסון ועיבוד נכסי המידע הארגוניים ותפקידו הקריטי במערך ההגנה.

בסקר סיכונים בדרך כלל משלבים:
- סקירת ארכיטקטורת אבטחת המידע
- מבדקי חדירה (Penetration Tests) למערכות ורשתות
- הערכת יעילות כלי אבטחה ובקרה
- בחינת מדיניות גיבויים והתאוששות מאסון
- ניתוח לוגים ומערכות ניטור
- מבדקי תשתיות ורשת
- מבדקי חדירה פנימיים וחיצוניים
- מבדקי מערכות ניהול משתמשים והרשאות
- מבדקי אופיס 365
- מבדקי מוצרי ההגנה כגון: פיירוול, EDR וכד'.
חשיבות הגישה המשולבת:
ניתוח משולב של הגורם האנושי והתהליכים הארגוניים מאפשר זיהוי נקודות תורפה מערכתיות ופיתוח פתרונות הוליסטיים.
גישה זו מגבירה את האפקטיביות של מערך אבטחת המידע ומחזקת את החוסן הארגוני הכולל.		  


מתודולוגיית הסקר:

    

תוצרי הסקר:
 ראיונות עם בעלי תפקידים מפתח
 סקירת מסמכים ונהלים
 מבדקים טכניים ובדיקות חדירה
 ניתוח תרחישי איום ומודלי סיכונים
 הערכת בשלות תהליכים ומערכות		      דוח ממצאים וסיכונים ארגוני
 ניתוח פערים בין המצב הקיים למצב הרצוי
 המלצות מעשיות לשיפור, מתועדפות לפי רמת הסיכון וישימות
 תכנית עבודה רב-שנתית לשיפור מערך אבטחת המידע


כיצד מתבצע סקר סיכונים?

1. פגישת אתחול

סקר סיכונים מתחיל בפגישת אתחול לצורך הבנת צרכי הארגון, סביבות המחשוב והתאמת ציפיות לאורך הסקר.
במסגרת פגישת האתחול התהליך מוסבר באופן פרטני ונקבעים לוחות הזמנים ליישום.

בפגישת האתחול גם מובהר מה נדרש מהארגון לצורך התכוננות לסקר.

2. מבדקים ובקרות

בשלב זה מתבצעים כל המבדקים והראיונות לצורך זיהוי הסימפטומים ומיפוי החשיפות הטכנולוגיות.
הפצחנים שלנו מבצעים מבדקים לזיהוי פרצות בארגון שלכם במתודולוגיות שונות: Gray Box ,Black Box ו-White Box.

3. דוח מפורט

לאחר גמר המבדקים והראיונות מתבצע תהליך ניתוח מעמיק של כל החשיפות שנמצאו.
התהליך כולל זיהוי הפגמים בתהליכים שגרמו לחשיפות הטכנולוגיות וניתוח שורש הבעיות שנמצאו.

עם סיום הניתוח, מוגש דוח המפרט את כל החשיפות שנמצאו, רמת חומרתם והמלצות לתיקון.

4. פגישת תיקוף

לאחר הגשת הדוח, מתבצעת פגישת תיקוף למעבר פרטני על הממצאים והשפעתם על הארגון, כולל הנחיות והמלצות לפעילויות אשר יסגרו את החשיפות שנמצאו. 

מתי מסתיים סקר הסיכונים?

סקר סיכונים מסתיים רק לאחר שכל התהליכים והסימפטומים שנמצאו תוקנו ונבדקו בשנית.
זהו תהליך שלוקח כמה חודשים והוא קריטי.

כעזרה לתהליך תיקון הממצאים שנמצאו, אנו מספקים ללקוחותינו, ללא תוספת עלות, רישיון ל-3 חודשים לשימוש בפלטפורמת CISOteria לניהול סיכונים ופרויקט סגירת הפערים.
הפלטפורמה פותחה במיוחד לצורך ניהול אבטחת מידע ארגונית וכוללת מודול תאימות לחוק הגנת הפרטיות ו-ISO 27001.

לעיתים, לקוחות מבקשים מאיתנו להמשיך וללוות את הארגון בניהול והובלה של פרויקט תיקון הממצאים והחשיפות.
צוות ה-CISO של איי פי וי סקיוריטי מוביל פרויקטי אבטחת מידע בארגונים רבים כולל ליווי שוטף וביצוע בקרות שוטפות לצורך שמירה על רמת אבטחה גבוהה.

המדדים להצלחת סקר סיכונים

הצלחה של סקר סיכונים, לאחר תיקון החשיפות, נמדדת לאורך זמן.

המדד המרכזי הוא ירידה משמעותית לאורך זמן בכמות אירועי אבטחת מידע ויכולת חזרה מהירה לשגרה לאחר אירוע.

ממדידות של לקוחותינו לאורך השנים עולה כי:
1) הסבירות לאירוע אבטחה ירדה מממוצע שוק של כ-66% ל-4%.
2) זמן החזרה לשיגרה ירד מממוצע שוק של 20 ימי עבודה ל-4-5 שעות.

מדדי ביניים יכולים להיות:
- זמן חזרה לשגרה בעת תרגול אירוע אבטחת מידע.
- בחינת מודעות העובדים במבדק חוזר והשוואה לבדיקות קודמות.
- בהירות הדו"ח - האם פירוט הממצאים והחשיפות מספיק ברור ונהיר כך שניתן להבין באופן חד-ערכי את ההמלצות ומה נדרש לתיקון.
- קבלת פירוט תהליכי המבדקים באופן שאינו כללי.

כיצד לבחור חברה לביצוע סקר סיכונים?

בשנים האחרונות צצו חברות ייעוץ אבטחת מידע ויועצים המציעים סקרי סיכונים כפטריות אחרי הגשם.

אך סקר סיכונים אינו עניין של מה בכך, אלא דורש מתודולוגיה סדורה, הרבה ניסיון ויכולת להתמקד בעיקר.

אנו נתקלים לעיתים קרובות בהצעות לסקרי סיכונים שנראות דומות להפליא (לעין בלתי מקצועית) להצעות של חברות מנוסות.
אך בבחינה מעמיקה של תכולת הסקר המוצע מתגלה (לעין מקצועית) הבדל גדול מאוד בתכולה המוצעת, ומכאן גם ההבדל במחיר.

מומלץ לזכור - אין ארוחות חינם!

אחד הלקוחות שעשה איתנו סקר סיכונים לפני מספר שנים החליט לעשות סקר סיכונים עם חברה אחרת. לא עזרו כל ניסיונות השכנוע שלנו.
לאחר שקיבל את דוח סקר הסיכונים מהחברה המתחרה, התקשר ואמר "טעיתי. עכשיו אני מבין מה ההבדל. שנה הבאה אני חוזר הביתה".

להלן הקריטריוניים העיקריים לבחירת חברה לביצוע סקר סיכונים:
א. ניסיון עשיר בביצוע סקרי סיכונים המשלבים מבדקים טכנולוגיים וניתוח תהליכים עסקיים.
ב. מתודולוגיה מוכחת לכימות הממצאים לסיכונים עסקיים ($).
ג. מתן כלי ייעודי, במסגרת הסקר, לניהול ומעקב יעיל אחר תיקון הממצאים - CISOteria.
ד. יכולת להציג את הממצאים והתהליך להנהלה ולדירקטוריון.

לשיחת התייעצות בנושא סקר סיכונים, לחצו כאן
להצעת מחיר לסקר סיכונים, לחצו כאן

 

צור קשר

איי פי וי סקיוריטי בע"מ

נא להקיש שם חוקי (אותיות בלבד)
נא להקיש שם חוקי (אותיות בלבד)
נא להקיש ספרות בלבד
נא להקיש כתובת אימייל חוקית
Invalid Input

נא לאשר שאינך רובוט

Invalid Input

מאמרים קשורים

User login