הטעויות הגדולות שחברות עושות בנוגע לאבטחת המידע שלהן

כיום הרשת האינטרנטית היא הבסיס העסקי העיקרי של רבים מהחברות המצליחות ביותר בימינו. יחד עם זאת, היא הופכת עסקים לתלויים בהצלחת אבטחת המידע שלהם וחשופים לסכנה שבהפצת נתונים רגישים ופרטיים לעיני כל.

עבור כל אלו הרוצים ללמוד כיצד להתמודד עם מכשול זה, העלו שלושים מומחי אבטחת מידע לדיון בילי האחרון, מספר כללים שיסייעו לכם במניעת שגיאות חוזרות בכל הנוגע לאבטחת הנתונים:

  • חברות נכשלות בלהבין את גודל האיום שבפריצת אבטחת המידע שלהן. כתוצאה מכך, הן אינן בונות תכנית מקיפה, ממושכת וחדשנית לאבטחת מידע ומתבססות על מוצרים כוזבים שאינם אפקטיביים לאורך זמן. בנוסף, צוותי האבטחה בחברות לעיתים מקבלים החלטות מבלי ששקלו כיצד ישפיעו על היעדים העסקיים של החברה, וכך נוצרת תוכנית אבטחת נתונים לא רווחית ולא יעילה.
  • חברות אינן בודקות היכן הנתונים שלהן מאוכסנים ומופצים בתדירות גבוהה. הן צריכות להיות זהירות לגבי בחירת ספק ענן, לבדוק את הגישה אליו ולדאוג לאבטחתו, כך שהנתונים בו לא יזלגו מעבר לרצוי. בנוסף, חברות צריכות להצפין מידע חשוב, לא לקחת נתונים רגישים הביתה, לעבוד עם סיסמאות חזקות ולהימנע משימוש חוזר בהן, ולהיזהר מליפול במתקפות "פישינג".
  • לחברות רבות חסרה מדיניות סדורה להגנת נתונים. עליהן להבין כיצד לסווג נתונים, למי תינתן גישה אליהם ובאיזה תדירות בודקים גישה זו. כמו כן, יש לוודא גיבויים כדי להימנע מאובדן נתונים, לפעול באינטנסיביות להכשרת עובדים למודעות ביטחונית ולהיערך תמידית לאירועי ביטחון. טעויות נפוצות באבטחת נתונים שיש לשים לב אליהן הינן אבטחת תקשורת ב- Endpoints ללא אבטחת התקשורת בין השרתים ב- Backend ואי שימוש בשתי שכבות הצפנה במחשבים ניידים כאשר יש חשיבות גבוהה לפרטיות הנתונים.
  • חברות רבות מסתמכות על תוכנות אבטחה חיצוניות במקום לבנות תוכנה עצמאית. לעיתים יש לכך פרצות ולכן עליהן להציב שכבות הגנה נוספות שימנעו הפרות ויעמדו בתקנות אבטחת מידע. עמידה ברגולציה בתחום זה היא מומחיות משל עצמה הדורשת פרשנויות עכשוויות של התעשייה, שימוש בשפת בקרה חריגה מבוססת סיכון, ויכולת להתמודד עם תקנות מתנגשות. אחת הטעויות המובילות בחברות היא אי-ציות לתקנות אבטחת מידע ולכן יש להקפיד על כך תוך שמירה על תהליך הביטחון פשוט ואינטואיטיבי עבור הלקוחות.
  • כדאי לעבוד עם טכנולוגיות כגון חומת אש ולשים לב לפרצות האבטחה שלהן. יחד עם זאת, אין לשכוח ששום טכנולוגיה לא יכולה לבטל לחלוטין טעות אנושית ולכן יש להיערך ולפעול בספקנות וערנות. על ההנהלה לפקח על המידע בדרגת הרצינות בה היא מפקחת על המידע הכספי או מוצר החברה. מעבר לכך, מכיוון שלרוב החברות אין פקידים שעוקבים באופן יומיומי אחר הימצאות הנתונים הקריטיים ואין בקרות מספקות שימנעו גלישה או העתקת נתונים למערכות לא מאושרות, ההנהלה צריכה לשים דגש על מציאה מהירה של איזון בין צורך העובדים לגישה למידע לבין הרצון לפעול באופן ממודר ולפקח על הנתונים.
  • חברות נוטות לקצץ בבדיקות אבטחה או בתקציב לביקורת אבטחה ומגבילות אותה לחלקים מסוימים במערכת. זה אומנם עדיף מכלום, אבל זה בהחלט מפחית את הסיכוי למצוא נקודות תורפה דומיננטיות. בנוסף, התקציב הכולל שחברות מעניקות לאבטחת מידע בדרך כלל אינו פרופורציונלי ואינו מאפשר לספק הגנה, תגובה והחלמה באופן הולם. לכן, בתחום זה מוטב שלא להסתפק במשאבים מינימליים, אשר עלולים להתברר כהשלכות יקרות בהמשך.

בסופו של דבר, בכדי לשפר את אבטחת המידע יש להיות מודעים לגודל האיום, לבחון ספקים ותוכנות (כולל הפרצות שבהם), להטמיע בעובדי הארגון את החשיבות שבאבטחת מידע ולפקח על כך ולהשקיע את התקציבים הנדרשים. כמו כן מוכנות לאירועי ביטחון, זהירות יתר, הכרת התעשייה, וידע והתמחות בנושא הינם הכרחיים ומוטב לעדכנם באופן תכוף.

כתיבת תגובה