top of page

אבטחת מערכות מידע וסקרי סיכונים
 

ביצוע סקרי סיכונים טכנולוגיים וביקורת מערכות מידע ובכלל זה:

  • מבדקי חדירה מבוקרים.

  • בחינת אבטחת אפליקציות.

  • בחינת אבטחת תקשורת חיצונית.

  • בחינת אבטחת תקשורת פנימית.

  • מימוש אמצעי אבטחה חוצי ארגון.

  • בחינת אפשרות דלף מידע.

  • בחינת מערכות הטלפוניה (VoIP).

  • בחינת מערך ניהול אבטחת המידע.

  • בחינת מערך ניהול אירועי אבטחת מידע.

  • ביצוע ביקורות ספק.

ניהול סיכונים ורגולציה

  • בחינת תאימות הארגון לעמידה בדרישות תקן PCI DSS של איגוד חברות כרטיסי האשראי

  • סיוע לארגונים בניהול הסיכונים התפעוליים, סיכוני מערכות מידע, סיכונים משפטיים וסיכונים פיננסיים, תוך עמידה בדרישות החוק, התקינה והרגולציה לרבות:

  • בחינת תאימות לחוק הגנת הפרטיות התשמ"א 1981.

  • בחינת תאימות הארגון להוראות ניהול בנקאי תקין - 357.

  • בחינת תאימות הארגון להוראת המפקח על הביטוח לניהול סיכוני אבטחת מידע של הגופים המוסדיים.

:במסגרת פעילות זו אנו מבצעים

  • ביקורת אבטחת ופיתוח יישומים

 באופן אידיאלי, בדיקות אבטחה ברמת האפליקציה מיושמות לאורך כל מחזור החיים של פיתוח תוכנה(SDLC). באופן זה פגיעויות מתגלות בזמן וניתן לתקנן באופן ייסודי. הלכה למעשה, מבוצעת הבדיקה עם תום הפיתוח או הרבה מעבר לכך מה שמקשה על מתן מענים מושלמים ומצריך לעיתים הגנה ברמת המעטפת.

 

:בחינת האפליקציה תכלול בין השאר את הנושאים הבאים

  • תהליך הזדהות המשתמשים אל המערכת

  • מדיניות הסיסמאות במערכת ואופן ניהולן

  • שמירה על חיסיון מידע (חשיפת מידע נדרש בלבד)

  • בדיקת קלטים, סוגי קלט ומשמעותם

  • אמינות הנתונים

  • מערך הרשאות באפליקציה

  • הזדהות בין רכיבי המערכת עצמם

  • אופן ניהול Sessions

  • צורת הגישה לבסיסי הנתונים

  • קיום (שמירת) מידע רגיש בתחנת הקצה

  • בחינת מערך החיווי והבקרה

  • ביקורת מימוש אמצעי אבטחה חוצי ארגון

 

פעמים רבות, נוטים ארגונים לממש כלי אבטחת מידע מתוך שגרת

פעולה שלא בהכרח תואם את צרכי האבטחה של הארגון

מטרת הבחינה: לסקור את כלי אבטחת המידע בהם מבצע הארגון שימוש ובחינת התאמתם לצורכי האבטחה העסקיים בארגון ושיטת העבודה הנהוגה בו. לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים העומדים לפתחו של הארגון הלכה למעשה, מתוך מטרה לייצר התאמה בין האיום- למענה ברמת המוצר

 

סקר סיכונים - בחינת אפשרות דלף מידע

  • ​בחינת מיפוי נתונים רגישים בארגון

  • בחינת סיווג רגישות הנתונים בארגון

  • בחינת אופן ההתמודדות הארגונית אל מול נתונים ברמות רגישות שונות

  • קיומם של נהלי עבודה אל מול סוגי רגישות שונה של נתונים

  • בחינת הפעלתם של כלים בתהליך ההגנה על המידע (הצפנה וכו')

  • בחינת הפעלתם של כלי - DLP - Data Leakage Prevention

  • בחינת טיפול באירועי דליפת מידע

 

 

 ביקורת מערך הטלפוניה (VoIP)

. Telephony IP על ארגונים בכל הגדלים אשר אימצו 

 לשקול ברצינות את נושא אבטחת המידע. אל מול מספרים גדלים והולכים של ארגונים עולים האקרים ופושעים מסוגים שונים המנצלים חולשות הקיימות בטכנולוגיה זו למטרותיהם. סקר אבטחת המידע המתקדם של סקאודיט מסייע במתן מענה הגנתי אל מול איומים פנימיים וחיצוניים למשתמשים בטכנולוגיית הTelephony IP. 

מענה הגנתי אל האיומים הנפוצים בTelephony IP הינם:

  • הונאה: גניבת שיחות מתרחשת כאשר תוקף חודר לרשת ולמרכזיית ה – IP תוך שהוא "חוטף" קווים לשם ביצוע שיחות חיוב מקומיות, שיחות מעבר לים, או כל שירות אחר המסוגל לבצע חיוב על בסיס קו טלפון.

  • ציטוט והאזנה: הגם שציטוט והאזנה אינם סיכון ייחודי ל - Telephony IP, הרי שאופי רשת ה IP  הופך אותה לנגישה וחדירה הרבה יותר. אין צורך עוד בגישה פיזית למרכזיה לשם ציטוט לקווים ומרגע שהושגה גישה ניתן לבצע האזנה רציפה מנקודה מרוחקת בכל מקום בעולם.

  • מניעת שירות - Denial of Service:  התקפות מניעת שירות מסוגלות להשפיע על כל רשת שהיא, כמו גם רשתות - Telephony IP. פעולת מניעת השירות מתבצעת ע"י "הצפת" הרשת בבקשות.

  • פריצה ל VoIP: כמו לכל מערכת המבוססת IP, גם ברשת Telephony IP  קיים סיכון של פריצה מבחוץ. פריצה מעין זו משפיעה של כלל המשתמשים ועלולה להסתיים בפריצה גם  לרשת המידע הארגונית.

  • Spit - Spam over Instant Messaging: בעוד שדואר אלקטרוני ניתן לבחינה כי הוא נקי מספאם טרם העברתו למשתמש, הרי שספאם על ערוץ תקשורת הטלפוניה אינו ניתן לניקוי בשיטה דומה, לאור העברת המידע המיידית המתרחשת בעת שיחה. בשל כך קיים הסיכון של :"שיחות זבל" בדיוק כמו "דואר זבל".

 

ביקורת אופן ניהול מערך אבטחת המידע והגנת הסייבר

  • בדיקת מבנה כ"א במחלקה ואופן והפעלתו

  • בדיקת הסמכת עובדי המחלקה בהתאם לצורכיה ושמירה על "כשירות ברמת הידע"

  • היכרות המחלקה עם תקנים ורגולציה נדרשת

  • בחינת יכולת התמודדות של המחלקה אל מול אירועי אבטחת מידע

  • קיום מיפוי נכסי ארגון רגישים ואופן הטיפול בהם

  • בחינת קישור פעילות מחלקת אבטחת המידע לפעילות עסקית של הארגון (הבנה של הפועלים במחלקה את הרגישויות השונות ומתן דגשים מיוחדים להגנה על נכסי הארגון)

  • בחינת קיום והפעלת תוכנית אב בתחום אבטחת מידע 

 

ביקורת מערך ניהול אירועי אבטחת מידע - SIEM SOC

  • ​בחינת נהלים ומתודות לטיפול באירועי אבטחת מידע

  • בחינת קיום מיפוי אירועים אפשריים וקביעת חומרתם

  • בחינת קיומן של תוכניות מגירה מתאימות למגוון אירועים אפשריים

  • בחינת אופן הדיווח והטיפול בתקלות אבטחת מידע והאם עוברות עד רמת ההנהלה במידת הצורך

  • בחינת תכניות "צמצום חשיפה" בעת אירועי אבטחת מידע

ביקורת אבטחת מידע והגנת
הסייבר

 

bottom of page