בין לקוחותינו:

סקר סיכונים - אבטחת מידע

דף הבית >> שירותים >> סקר סיכונים - אבטחת מידע
במסגרת פעילות אבטחת מערכות מידע, פועל המשרד במסגרות של ביצוע סקר סיכונים טכנולוגיים וסקר סיכונים ארגוניים (או"ש), בין אם מונחי רגולציה מתאימה (בנקאות/ביטוח וכו') מקומית או בינ"ל ובין אם מונחה הנחיות ושיטות עבודה ארגוניות לוקאליות.  
פעילות המשרד כוללת:
 
  • סקר סיכונים - אבטחת אפליקציות
    באופן אידיאלי, בדיקות אבטחה ברמת האפליקציה מיושמות לאורך כל מחזור החיים של פיתוח תוכנה (SDLC). באופן זה פגיעויות מתגלות בזמן וניתן לתקנן באופן ייסודי. הלכה למעשה, מבוצעת הבדיקה עם תום הפיתוח או הרבה מעבר לכך מה שמקשה על מתן מענים מושלמים ומצריך לעיתים הגנה ברמת המעטפת.
    בחינת האפליקציה תכלות בין השאר את הנושאים הבאים:
    • תהליך הזדהות המשתמשים אל המערכת
    • מדיניות הסיסמאות במערכת ואופן ניהולן
    • שמירה על חיסיון מידע (חשיפת מידע נדרש בלבד)
    • בדיקת קלטים, סוגי קלט ומשמעותם
    • אמינות הנתונים
    • מערך הרשאות באפליקציה
    • הזדהות בין רכיבי המערכת עצמם
    • אופן ניהול Sessions
    • צורת הגישה לבסיסי הנתונים
    • קיום (שמירת) מידע רגיש בתחנת הקצה
    • בחינת מערך החיווי והבקרה
 
  • סקר סיכונים - בחינת מימוש אמצעי אבטחה חוצי ארגון
    פעמים רבות, נוטים ארגונים לממש כלי אבטחת מידע מתוך שגרת פעולה שלא בהכרך תואם את צרכי האבטחה של הארגון.
    מטרת הבחינה: לסקור את כלי אבטחת המידע בהם מבצע הארגון שימוש ובחינת התאמתם לצורכי האבטחה העסקיים בארגון ושיטת העבודה הנהוגה בו. לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים העומדים לפתחו של הארגון הלכה למעשה, מתוך מטרה לייצר התאמה בין האיום -  למענה ברמת המוצר.

  • סקר סיכונים - בחינת אפשרות דלף מידע
    • בחינת מיפוי נתונים רגישים בארגון
    • בחינת סיווג רגישות הנתונים בארגון
    • בחינת אופן ההתמודדות הארגונית אל מול נתונים ברמות רגישות שונות
    • קיומם של נהלי עבודה אל מול סוגי רגישות שונה של נתונים
    • בחינת הפעלתם של כלים בתהליך ההגנה על המידע (הצפנה וכו')
    • בחינת הפעלתם של כלי - DLP - Data Leakage Prevention
    • בחינת טיפול באירועי דליפת מידע
 
  • סקר סיכונים - בחינת מערכות הטלפוניה (VoIP)
    על ארגונים בכל הגדלים אשר אימצו Telephony IP לשקול ברצינות את נושא אבטחת המידע. אל מול מספרים גדלים והולכים של ארגונים המאמצים Telephony IP  עולים האקרים ופושעים מסוגים שונים המנצלים חולשות הקיימות בטכנולוגיה זו למטרותיהם. סקר אבטחת המידע המתקדם של Secaudit מסייע במתן מענה הגנתי אל מול איומים פנימיים וחיצוניים למשתמשים בטכנולוגיית Telephony IP.
    האיומים הנפוצים ב Telephony IP הינם:
    • הונאה: גניבת שיחות מתרחשת כאשר תוקף חודר לרשת ולמרכזיית ה – IP תוך שהוא "חוטף" קווים לשם ביצוע שיחות חיוב מקומיות, שיחות מעבר לים, או כל שירות אחר המסוגל לבצע חיוב על בסיס קו טלפון.
    • ציטוט והאזנה: הגם שציטוט והאזנה אינם סיכון ייחודי ל - Telephony IP, הרי שאופי רשת ה IP  הופך אותה לנגישה וחדירה הרבה יותר. אין צורך עוד בגישה פיזית למרכזיה לשם ציטוט לקווים ומרגע שהושגה גישה ניתן לבצע האזנה רציפה מנקודה מרוחקת בכל מקום בעולם.
    • מניעת שירות - Denial of Service:  התקפות מניעת שירות מסוגלות להשפיע על כל רשת שהיא, כמו גם רשתות - Telephony IP. פעולת מניעת השירות מתבצעת ע"י "הצפת" הרשת בבקשות.
    • פריצה ל VoIP: כמו לכל מערכת המבוססת IP, גם ברשת Telephony IP  קיים סיכון של פריצה מבחוץ. פריצה מעין זו משפיעה של כלל המשתמשים ועלולה להסתיים בפריצה גם לרשת המידע הארגונית.
    • Spit - Spam over Instant Messaging: בעוד דואר אלקטרוני ניתן לבחינה כי הוא נקי מספאם טרם העברתו למשתמש, הרי שספאם על ערוץ תקשורת הטלפוניה אינו ניתן לניקוי בשיטה דומה, לאור העברת המידע המיידית המתרחשת בעת שיחה. בשל כך קיים הסיכון של :שיחות זבל" בדיוק כמו "דואר זבל".

  • סקר סיכונים - בחינת מערך ניהול אבטחת המידע
    • בדיקת מבנה כ"א במחלקה ואופן והפעלתו
    • בדיקת הסמכת עובדי המחלקה בהתאם לצורכיה ושמירה על "כשירות ברמת הידע"
    • היכרות המחלקה עם תקנים ורגולציה נדרשת
    • בחינת יכולת התמודדות של המחלקה אל מול אירועי אבטחת מידע
    • קיום מיפוי נכסי ארגון רגישים ואופן הטיפול בהם
    • בחינת קישור פעילות מחלקת אבטחת המידע לפעילות עסקית של הארגון (הבנה של הפועלים במחלקה את הרגישויות השונות ומתן דגשים מיוחדים להגנה על נכסי הארגון)
    • בחינת קיום והפעלת תוכנית אב בתחום אבטחת מידע

  • סקר סיכונים - בחינת מערך ניהול אירועי אבטחת מידע
    • ​בחינת נהלים ומתודות לטיפול באירועי אבטחת מידע
    • בחינת קיום מיפוי אירועים אפשריים וקביעת חומרתם
    • בחינת קיומן של תוכניות מגירה מתאימות למגוון אירועים אפשריים
    • בחינת אופן הדיווח והטיפול בתקלות אבטחת מידע והאם עוברות עד רמת ההנהלה במידת הצורך
    • בחינת תוכניות "צמצום חשיפה" בעת אירועי אבטחת מידע
בקש מידע נוסף + oren@secaudit.co.il
 

לייבסיטי - בניית אתרים