ראשי » ניהול ידע ולמידה ארגונית » אבטחת מידע » חוסר במדיניות ברורה ביחס לאבטחת מידע בארגונים בארץ

חוסר במדיניות ברורה ביחס לאבטחת מידע בארגונים בארץ

הרחבה לכתבת משאבים, גיליון 166, 25 ביוני, 1999

 

למרות החשש הקיים לפגיעה במערכות המידע, על -ידי וירוסים, ונדליזם, יישומים עוינים הריסת תוכנות ואתרים, גניבת מידע ואף גניבת חומרה, מרבית הנהלות הארגונים אינן מודעות לצורך החיוני במדיניות ברורה ותכנית מסודרת של אבטחת מערכות המידע. כך עולה מדבריהם של מומחים בכנס שכותרתו "אבטחת מידע – המלחמה של המאה ה- 21", שנערך ביוזמת הירחון "סטטוס".

ד"ר משה צבירן, מהפקולטה לניהול באוניברסיטת תל-אביב, סיפר, למשל, כי בכל חודש מתבצעים בין 300 ל- 350 נסיונות חדירה, 80 אחוז מהם מחו"ל, למערכות המחשוב באוניברסיטת תל-אביב.

אורי נאמן, מנכ"ל חברת "אבנת – אבטחת מידע" דיווח כי על-פי סקר שערכה חברת צ'ק פוינט, כ- 80 אחוזים מהחברות בארה"ב סובלות מפריצות למערכות המחשוב שלהן, וכרבע מהחברות סבלו מנזקים של כ- 250 אלף דולר בממוצע לחברה.

אלי משיח, מנהל הפיתוח של מוצרי אבטח מידע בחברת CA העולמית, ציטט מחקר שנערך על-ידי המוסד לאבטחת מידע של האף בי איי, ולפיו הנזקים וההפסדים הכספיים החמורים ביותר מהפריצות והשימוש לרעה במערכות המחשוב, נגרמים על-ידי אנשים מתוך הארגון עצמו.

בין פשעי המחשוב נכללים גניבת מחשבים ניידים על התוכנות שבהן, וגרימת נזקים למערכות המידע על-ידי "הפגזת" אתר אינטרנט והפלתו. ההפגזה היא הצפת האתר בכמות הודעות אדירה, עד שנמנעת הגישה אליו. כן, ישנם עובדים המנצלים לרעה נקודות חולשה או באג בתוכנה, הידועים להם, על מנת להפסיק את יכולת העבודה עם התוכנה. נזקים נוספים הנגרמים מתוך הארגון, לעתים כנקמה על-ידי עובד מפוטר, הם גניבת טכנולוגיה וסודות מקצועיים, וכן העברת כספים לא חוקית.

לדברי ד"ר צבירן, הנהלות בוחרות שלא להתמודד עם בעיות אבטחת מידע, בשל כמה סיבות: העדר מודעות, התעלמות בנוסח "לי זה לא יקרה", או חוסר רצון להשקיע בתחום שלא נראית בו תמורה ותועלת ישירות, שלא רואים בו הכנסה צפויה. "לא מפנימים את העובדה שיכול להיגרם אובדן הכנסה רב ללא מערכת אבטחת מידע רצינית".

לדברי אורי נאמן, במרבית החברות נוהגים לאבטח את מערכות המידע רק על-ידי סגירת פרמטרים המגינים על חשיפת המערכות להתקפות חיצוניות, והקיימים בילד-אין במערכות המחשוב. לעבודה זו, הנעשית על-ידי אנשי מערכות המחשוב בארגון, אומר נאמן, אין ערך רב, כי ללא קונפיגורציה מסוימת ומדיניות מוגדרת לא תתקיים הגנה רצינית על המערכות, לסגירת כל הפרצות האפשריות. לדבריו, רק מיעוט קטן מהחברות נוקטות בפעולות שהן יותר מסגירת פרמטרים, כגון עריכת סקר סיכונים, ומיעוט קטן עוד יותר של ההנהלות גיבש מדיניות מוגדרת, המובילה לתכנית אבטחה מקיפה בהתאם. לדבריו, בניית תכנית אבטחת מידע, צריכה להיות מורכבת משלושה שלבים: מיפוי מערכות המידע הרגישות לפגיעה או קריטיות מההיבט הניהולי, הגדרת יעדי האבטחה – עד כמה הארגון רוצה להיות 'פתוח' או 'סגור', ובהתאם לזה ביצוע סקר סיכונים לאיתור נקודות התורפה.

להערכת נאמן, רק בעשירית מהארגונים בארץ קיימת תכנית התאוששות מסודרת לפגיעה מוחלטת במערכי המחשוב ושיתוק פעילות הארגון, ורק מחציתם מתרגלים את התכנית כל פרק זמן קבוע.

 

קישורים רלבנטים באתר:

 

 

יכול לעניין..

אבטחת מידע באתרי תעסוקה

הרחבה לכתבת משאבים, גיליון 179, 24 בספטמבר, 1999   באתרי תעסוקה באינטרנט ייתכנו בעיות של ...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *