איך להגן על המידע בארגון?
ריכוז הטיפול
כל הטיפול במחשוב צריך להיות מרוכז על ידי גוף אחד בלבד. מספר האנשים שיש להם גישה לסיסמאות ולטיפול במערכת צריך להיות מוגבל, מצד שני אסור להיות תלויים רק באדם אחד גם מסיבות של אמינות וביקורת וגם מסיבות של תאונה חס וחלילה שיחד עם האיש עלול להיחסם הקשר אל המערכות.
נגישות
מידע צריך להיות נגיש רק למי שהוא רלוונטי לעבודה שלו. מנהל חשבונות לא צריך לראות שרטוטים ותכניות. ומתכנת לא צריך לראות משכורות. כל אחד והמידע שרלוונטי לגביו. כך לגבי ספריות מידע, וכך לגבי סיסמאות. וכך לגבי סיסמאות גישה לשרתים ולמערכות מידע ארגוניות. מי שלא מטפל ישירות במערכת לא צריך להחזיק בסיסמאות למעט מנהל שצריך להחזיק במקום מוגן את תיק מערכת מסודר ובו כתובות וסיסמאות לכל מערכות השליטה בארגון.
חומת האש
כדי להגן על הרשת הארגונית יש חובה להחזיק מערכת חומת אש פעילה ומעודכנת. הגישה למערכת הזאת צריכה להיות לאנשי המקצוע של הארגון בלבד. אין היגיון להפקיד את המערכת הזאת בידי גוף חיצוני שכן זה גורם לתלות מיותרת ולסרבול בביצוע שינויים ובטיפול שוטף.
מניעת זליגת מידע
חומת האש חוסמת את החדירה לארגון מבחוץ אך קיימות סכנות גם של בריחת מידע מבפנים החוצה. צריך לתת לזה את הדעת ולבצע כמה שיותר פעולות כדי למנוע כמה שאפשר.
כדי למנוע את המידע מלצאת החוצה יש כמה וכמה פעולות שצריך לנקוט.
מידור
סידור כל המידע בארגון בספריות לפי תחומים כגון הנהלת חשבונות, שכר, תכנון, מכירות, תמיכה, וכו'. במיוחד צריך למנוע גישה לחומר הרגיש מכל מי שלא מחויב לראות אותו לצורכי העבודה שלו.
הקשחת אבטחה
קביעת סיסמאות למייל כך שלא יהיה אפשרות לפצח אותן (סיסמא ארוכה יחסית שעושה שימוש באותיות קטנות, גדולות, מספרים וסימנים).
חסימת ערוצים
כל ערוץ שהוא לא ערוץ רשמי של העברת מידע (כמו מייל דרך OUTLOOK) ושאפשר לנטר אותו שיחסם. לצורך זה יש לבטל אפשרות צריבת דיסקים במחשבים שלא מחוייבים. יש לחסום יציאות USB כדי שלא יתחברו אליהם עם דיסק או קי או / מצלמה / דיסק חיצוני וכו'.
יש לחסום בחומת האש ערוצי מידע עוקפים כגון FACEBOOK, GMAIL, HOTMAIL, WALLA, MESSENGER וכו'.
הצפנה
צריך ללמד את האנשים בארגון איך להצפין מסמכים רגישים במיוחד. יש לשלוח מסמכים אלה במייל רק בצורה מוצפנת וכמובן העברת הסיסמא בטלפון או ב-סמס ללא צרוף טקסט שמסביר שזו סיסמא.
נהלים
צריך להעביר לעובדים כללים ברורים של מותר ואסור למשל שאין להדפיס חומר רגיש, אין להוציא תדפיסים של חומר רגיש מהמשרד, חומר רגיש שהודפס צריך לשמור בכספת או להשמיד.
קביעת סמכויות
החלטה והבאה לידיעת העובדים למי מותר לעשות מה ולמי תהיה דגישה לאיזה מידע.
איסור התקנת תכנות
תוכנות חיצוניות מותקנות (משחקים, הימורים, סקס וכו') הם כלי העבודה של ההאקר. ביחד עם ההתקנה הן מכניסות רכיבים שמאפשרים גניבת מידע ועשיית נזקים ובוודאי שאינן תורמות לעבודה ולכן צריך לאסור אותן בנוהל.
תכנת הגנה לתחנת העבודה ולרשת
לצורך הגנה על תחנת העבודה מפני סיכונים רבים שיכולים להגיע מחוץ או מתוך הארגון, יש צורך בקיום של תוכנה להגנה על התחנה. בעבר השתמשו רק באנטי וירוס למטרה הזאת.
כיום עם התרבות הסיכונים וריבוי המכשירים שמתחברים לרשת הארגונית (סלולריים, טאבלטים, מחשבים ניידים) עברו החברות שמכרו אנטי וירוס לעבודה עם תוכנות שמספקות הגנה נרחבת יותר על המשתמש, על המידע ועל תחנת העבודה. התוכנה שאנחנו עובדים אתה בחברת דבש היא תוכנה שנקראת Symantec Endpoint Protection ("הגנת נקודת קצה של סימנטק") היא גם התוכנה שמומלצת על ידינו.
הגבלת השימוש בטלפונים ניידים
איסור על הפעלת המצלמה בסלולרי במשרד. ואיסור על צילום מסמכים רגישים במצלמה.
גיבוי
שמירת המידע יכולת לחזור אחורה לאיתור מידע שהיה קיים בעבר אך מאז הוא נמחק או השתנה.
שרידות
יכולת קיום המידע המעודכן גם במקרה שהדיסק עליו הוא נמצא ייהרס, יאבד, יושמד וכו'.
המשכיות עסקית DR
קיום מערכת מחשוב נוספת ומקבילה למערכת הראשית שביכולתה להחליף את המערכת הראשית במקרה שהמערכת הראשית או חלק ממנה מפסיקים לתפקד.
הקשחת אבטחה בארגון כוללת
- התקנת והגדרת מערכת הגנה לתחנות עבודה (SYMC ENDPOINT PROTECTION) בכל תחנות העבודה בארגון.
- בדיקת הגדרות חומת האש וביצוע שינויים שייקשו על הוצאת מידע החוצה.
- כתיבת נהלים "מותר ואסור בנושא שמירת המידע בארגון".
- בניית תיקיות ארגוניות, הגדרת הרשאות ספיציפיות לכל עובד לכל תיקיה ארגונית.
- החלת סיסמאות מורכבות. כל עובד יקבל הנחיות ליצירת הסיסמאות וידע את הסיסמאות שלו בלבד. מעבר על התחנות והחלפת הסיסמאות בסיסמאות החדשות.
- בניית קובץ סיסמאות (ממוגן סיסמא, כמובן) ובו סיסמאות הכניסה לתחנות העבודה והסיסמאות למיילים. קובץ זה ישמר אצל המנהל בלבד.
- הגדרת נעילת מחשבים לאחר 5 דקות ללא פעילות.