שאלות מקדימות שהחברה רוצה לדעת:
1. במה שונה אבטחת מידע מאבטחה פיזית ומהן קווי הדמיון?
שלושת היעדים העיקריים של אבטחת מידע הם: חסיון המידע, שלמות המידע וזמינות המידע.
על כן, מערכת אבטחה מוצלחת תכיל מידע מרבדים שונים החל ממעבר בדלתות, וידאו ושמע, אלקטרוני, מודפס ועוד.
מלבד מערכת ניהול האירועים המשמשת את אבטחת המידע (SIEM), לצוות האבטחה הפיזית מערכת לניהול אירועי אבטחה פיזיים (PSIM) שתפקידה לנטר ניסיונות גישה בלתי מורשיים, פתיחת חלונות, רישום אורחים, נזקים ניהול ושליטה במערכות החשמל.
על מנת להגן על הארגון בצורה המיטבית ביותר על השתיים לשתף פעולה ואף מומלץ לבצע אימונים ומבדקי חדירה משותפים.
2. האם נדרש לגייס אנשי צוות יעודיים?
ראשית, יש להבין את דרישות הלקוח וגודל הארגון ובהתאם לכך להחליט אם בוחרים באפשרות של מרכז בקרה מנוהל (MSSP) או לגייס צוות ייעודי שישב באתר הלקוח.
בכל אחת מהאפשרויות הנ"ל חשוב לוודא שהצוות יורכב ממנהל צוות, מומחי SIEM שיכירו את המערכת המקומית של הארגון ויחסכו זמן יקר בעת אירוע אמת, אנליסטים לתחקור אירועים, הפקת לקחים, ייעול תהליכים וחוקים וכמובן, בקרים שישמשו לניהול ראשוני של האירוע ויבצעו אסקלציה.
כאמצעי עזר ניתן לרכוש שירותי צוות תגובה, מערכות מודיעין, מערכות לניהול אירועים ועוד.
3. מה תפקידם של אנשי מרכז הבקרה?
הצוות אחראי לניטור, זיהוי והתראה אודות איומי אבטחת מידע ו-IT החל מההיבט הפיזי של נקודות רשת ועמדות הקצה ועד למערכות החברה, סביבת הענן והתקני אחסון, רשת, ניידים ועוד.
הצוות משתמש במגוון רחב של תהליכים על מנת ליישם בקרות אבטחת מידע ולאכוף אותן.
על הצוות לקבוע אם קיימת מתקפה פעילה או שמא מתקיימת פעילות זדונית פנים ארגונית/חיצונית.
בהתאם להערכת הסיכון הקיימת על הצוות להנחות את הגורמים המתאימים ולסייע בתיקון ליקוי האבטחה / הפרצה (במידה וקיים כזה).
על אנשי הצוות להפעיל שיקול דעת רחב על מנת לשלול אירועי שווא, לפתח מנגנונים חכמים ולהתאים את עצמם לגורמי סיכון עתידיים.
4. כיצד בנוי הצוות ובאיזה כלים ישתמש?
כדי לענות על שאלה זו באופן מדויק נדרש לדעת מהו תקציב הארגון, את כמות התקנים המיועדים לאנשי צוות, גודל הארגון ואת האחוז מהתקציב שיופנה לרכש של מערכות הגנה ואוטומציות.
בינה אנושית: אנשי צוות הבוחנים וחוקרים איומים שונים על פי חשיבה אנושית.
תהליכי עבודה: סדרי עדיפויות והגדרת דרגות חומרה, ניהול אירוע, אסקלציה ועוד.
בינה מלאכותית: מערכות אוטומציה הבוחנות שינויים קיצוניים בהתנהגות המשתמש.
מערכות הגנה: בנוסף למערכות ההגנה הקלאסיות שנמצאות לרוב בצוותי התקשורת כגון: חומת אש, ניטור עומסים ועוד. מומלץ להוסיף מערכות אבטחת מידע שיסייעו לארגון לאתר חדירה, לבצע הערכת סיכונים אל מול הפגיעויות הקיימות, לנהל את אירועי אבטחת מידע המתרחשים בארגון ולנתח את פעילות המשתמש על מנת לשלול אירוע פנימי.
כל זאת על מנת לקצר את זמן התגובה, לצמצם את הנזק פגיעה במוניטין הארגון.
בדיקת מוכנות - שאלות פנימיות שיש לשאול כחלק מבקרה פנימית:
היכן אנו עומדים אל מול האיומים הקיימים בעולם האמיתי?
האם החוקה המוגדרת הינה עדכנית מספיק אל מול האיומים הקיימים?
האם הכלים שברשותי מוגדרים נכון, מעודכנים ועונים לדרישותיי?
האם נהלי מרכז הבקרה מספקים הסבר על מהות האירוע וכיצד להתמודד איתו?
האם חברי הצוות מתורגלים וידעו לתפקד בעת אירוע אמת?
האם עובדי החברה מכירים בחשיבותה של אבטחת המידע?
באיזה תדירות לבצע תרגילי מודעות עובדים על מנת לא להעמיס על הארגון?
עם איזה גורמי פנים נדרש לשתף פעולה על מנת להיות מוכנים בצורה מלאה?
מתי נצטרך לבצע אסקלציה חיצונית כדי להתמודד עם האיום?
5. משימות ראשוניות שיש לבצע לאחר חיבור המערכות הנדרשות אל מערכת ה-SIEM:
* מיפוי נכסים.
* ניתוח אירועים ובניית חוקים.
* הגדרת רמות חומרה להתראות מערכת.
* הגדרת SLA לטיפול בהתראות.
* ניהול אינדיקטורים.
* הבחנה בין אירוע שווא ואמיתי ומתי יש לבצע אסקלציה לצוות הבא.
* צמצום התראות שווא.בניית אוטומציות לחיסכון במשאבים וקיצור זמני תגובה.
* הפעלת סימולציות תקיפה לבדיקת סט החוקים ויעילותם.
* הזמנת ביקורת והפקת לקחים.
* ניהול פורטל ידע צוותי.
* שרידות והמשכיות עסקית.
* סימולציות שחזור מגיבויים.
