15 דרכים לתגבור אבטחת הסייבר בארגון

This post is also available in: English (אנגלית)

אם יכולנו להגדיר את השנים האחרונות דרך דבר אחד מרכזי, זה ודאי יהיה הזינוק הטכנולוגי האדיר שביצענו כחברה. אך עם הקידמה באות גם הבעיות, וככל שאנחנו מתקדמים מבחינה טכנולוגית אנחנו והארגונים שלנו נעשים חשופים יותר להתקפות-סייבר.

מוקדם יותר השנה, מצא מחקר ממשלתי כי כמעט חצי מהארגונים בבריטניה סבלו מהתקפות-סייבר ב-12 החודשים האחרונים, ושהתקפות אלו ממשיכות להיעשות מסובכות ונפוצות יותר.

העובדה היא כי כל הארגונים- ושלך ביניהם- נמצאים תחת סיכון להתקפת-סייבר.

כאשר אנו נושאים את העובדה הזאת בראשנו, מה יכולים ארגונים לעשות על מנת להגן על עצמם מהתקפות סייבר? Charitydigitalnews.co.uk אסף עבור ארגונים 15 טיפים בנושא:

1. אבטחה מתחילה בתהליכים ובמדיניות – צריכה להיות מדיניות אבטחה ברורה עליה צריכים להקפיד כלל העובדים בארגון.
2. תמיד השתמשו בחומת-אש על מנת לאבטח את החיבור לרשת האינטרנט – עליכם תמיד להגן על החיבור בעזרת חומת-אש. השימוש בה יוצר מעין אזור חיץ בין הרשת של ארגונך לרשתות אחרות. בבסיס הדברים, חומת-אש יוצרת הפרדה בין רשת המחשוב של הארגון ורשת האינטרנט הגדולה. באזור החיץ הזה מחלקת ה-IT בחברה יכולה לנתח את תעבורת המידע, ולהחליט האם להכניס מידע לתוך רשת המחשוב הארגונית.
3. תוכנת אנטי-וירוס היא חובה – ארגונים רבים אינם משתמשים בגרסה המעודכנת ביותר של תוכנת האנטי-וירוס, או שהרישיון שבידם אינו בתוקף. עכשיו זה הזמן הטוב ביותר לבדוק האם יש לארגונך תוכנת אנטי-וירוס באיכות גבוהה, והאם היא מעודכנת.
4. עדכן באופן תדיר את מכשיריך ואת תוכנותיך – לא משנה באילו טלפונים, טאבלטים, מחשבים ניידים ונייחים משתמש ארגונך, חשוב מאוד שיהיו מעודכנים. כמו כן, הדבר נכון גם למערכות הפעלה, לתוכנות ולאפליקציות מותקנות. יצרנים ומפתחים משחררים עדכונים תדירים שלא רק שמוסיפים יכולות חדשות, אלא גם מתקנים פרצות אבטחה שגולו לאחרונה. על מערכות הפעלה, תוכנה, מכשירים ואפליקציות להשתמש באופציית "עדכן באופן אוטומטי.
5. עדכן IT לא מעודכן – לכל חלק ב-IT יש אורך חיים מסויים. כששאר עדכונים חדשים מפסיקים להופיע לחומרה או לתוכנה שברשותך, תצטרך לשקול החלפה לרכיבים מודרניים יותר.
6. הורד אך ורק ממקורות עליהם ניתן לסמוך – מומלץ להוריד אפליקציות לסמארטפונים ולטאבלטים רק מחנויות האפליקציות של היצרנים (Google Play ו-Apple App Store). אפליקציות אלו נבדקו כנגד נוזקות (Malware) כדי לייצר רף מסויים של הגנה לצרכן. תצטרך למנוע מעובדיך להוריד אפליקציות ממקורות בלתי ידועים, כי אפליקציות אלו אינן נבדקות כלל.
7. שקול להשתמש ב'ארגז חול' – לאלו שאינם מסוגלים להתקין אנטי-וירוס או להגביל את עובדיהם לשימוש בחנויות האפליקציות בלבד, ישנו פיתרון אחר, טכני יותר. אפליקציות ותוכנות יכולות לרוץ בסביבת 'ארגז חול' – ביטוי המתייחס לסביבת ניסוי או בחינה של תוכנה, בה יכול הארגון של להשתמש כדי לנתק אפליקציות ותוכנות מרשת המחשוב של הארגון. ניתוק זה מונע מהתוכנות לתקשר, ואף להרע, לחלקים אחרים של רשת הארגון.
8. אמן את עובדיך לזהות התנהגות ופעילות לא רגילה – התקפות סייבר הינן מתוחכמות ויכולות להביס גם את תוכנות האבטחה המתקדמות ביותר, כך שהיכולת של עובד לזהות התקפה באופן מהיר יכולה לעשות שינוי גדול בהתגוננות מפניה.
9. חינוך העובדים לגבי הצורך באבטחה יעילה הוא חשוב – לעובדים יש חלק בתהליך הווידוא של עדכון תוכנות ומערכות הפעלה, ויש להם חובה לעבוד על פי הנוהלים הנכונים. אנו ממליצים על הוצאת מזכר חודשי לעובדים בנושא.
10. הגנה על סיסמאות היא חיונית, ועל הסיסמאות להיות חזקות! כמו כן, כדאי להזכיר שבנקים ממליצים לעולם לא לחלוק סיסמאות וקודי אשראי וכדומה עם אף אחד דרך הטלפון.
11. שינוי סיסמאות – אנו ממליצים שהעובדים בארגון יחליפו סיסמאות על בסיס דו-חודשי, על מנת לצמצם את האפשרות בה אדם לא מורשה יחזיק בסיסמת עובד.
12. גבה את כל המידע באופן תדיר כדי להגן על נתונים חיוניים – גיבויים לענן או ו\או גיבויים למקור חיצוני הם רעיונות טובים. כמו כן, הקפד על מצב "גיבוי אוטומטי" כדי לוודא שהגיבוי קורה בזמן.
13. שלוט בגישת עובדים לנתונים ושירותים – על מנת להוריד את פוטנציאל הנזק שיכול להיגרם אם משתמש של אחד העובדים נגנב למינימום, תיקי המשתמש של העובדים צריכים להכיל רק את הגישה וההרשאות לתוכנה, הגדרות, שירותי רשת וקישוריות מכשירים הנחוצים לתפקודו הסדיר של העובד. הרשאות נוספות צריכות להינתן רק לאלה הזקוקים להן לצורך עבודתם.
14. בחר את הגדרות האבטחה המחמירות ביותר למכשירים ולתוכנה שברשותך – לרוב, יצרנים בוחרים בברירות המחדל של תוכנות חדשות ומכשירים, על מנת להשאיר אותם פתוחים ונוחים ככל האפשר. הגדרות אלו באות עם גישת Everything on כדי לשמור אותן קלות לשימוש ולחיבור. לרוע המזל, הגדרות אלו יכולות לספק לתוקפי סייבר גישה קלה יחסית לקבל גישה לא-מורשית לנתונים של ארגונך.
15. נסה להיות מעודכן ככל האפשר במידע על איומי האבטחה האחרונים ועל דרכים לפעול נגדם – יש מידע חופשי רב ברשת, מקור טוב למידע כזה הוא ספקי תוכנות האנטי-וירוס כדוגמת kaspersky.com.. זכור, מידע הוא כוח בקרב שלך לאפשר לארגונך סביבת-סייבר בטוחה.