איתור מעילות

בשנים האחרונות מתחזקת יותר ויותר ההבנה כי המידע הפנים ארגוני הוא מרכיב מרכזי באיתנותו של הארגון, החל ממידע עסקי הנוגע לפרויקטים עסקיים עתידיים ועד למידע בנקאי רגיש ופרטי לקוחות. לצד ההבנה כי מידע שכזה הינו מידע שמסוכן לחשיפה מבחינה עסקית ולעיתים גם מבחינה רגולטורית קיימת ההבנה כי בעידן הסמארטפון והרשתות החברתיות מלאכת אבטחת המידע הופכת מורכבת יותר ויותר, שכן גובר הצורך מצד  ארגונים מתחרים וגורמי פשיעה לשים ידם על המידע של הארגון.

בשנת 2018 נכנסו לתוקף תקנות הגנת הפרטיות בישראל, מטרת תקנות אלו הינה הגנה על פרטיותם של אזרחים אשר פרטיהם האישיים מצויים במאגרי מידע בחברות שונות, תקנות הגנת הפרטיות מכתיבות את הדרישות לאבטחת המידע במאגרים ואת מנגנוני הבקרה למניעת דלף מידע ופגיעה בהגנת הפרטיות של הפרט.

דלף מידע יכול שיבוצע ע"י עובד בדרך של עבודה רשלנית ואי עמידה בנהלי הארגון הנוגעים לאבטחת מידע וכתוצאה מזה יאפשר האחרון גישה למידע רגיש מצד גורמים שלישיים, יכול שיבוצע באמצעות הדלפת מידע יזומה מצד העובד,  ויכול שיבוצע באמצעות פעילות אקטיבית של התוקף, העבריין, אשר מטרת הפעולה לגרום לדלף המידע.

במאמר זה אפרט בקליפת אגוז מהן הפעולות הבסיסיות הנדרשות לביצוע לצורך הגנה ואבטחת המידע הפיזי בארגון:

  1. ניהול הרשאות גישה:

יש לנהל את הרשאות הגישה של עובדים ובאי הארגון בשני מישורים:

הראשון, מתן הרשאות גישה למערכות ותיקיות פנים ארגוניות לאחר בחינה של הצורך מצד בעל התפקיד מבקש ההרשאה לבין ההרשאה המבוקשת.

השני, הרשאות גישה פיזית לחדרי ישיבות ומשרדים בהתאם לצורכי התפקיד בלבד.

במסגרת זו, יש להקפיד על סגירת הרשאות לעובדים מסיימי העסקה ולבקר התנהלות חריגה מצד תגי עובד הן באמצעות ניסיונות מרובים לגשת למשרדים שאינם בתחום העיסוק של בעל התג והן באמצעות שימוש בתג שלא במסגרת שעות העבודה. כמו כן, יש לנהוג במשנה זהירות באופן שבו מתנהלים אורחים ומבקרים המגיעים לארגון, החל מליווי שהות המבקר בארגון מתחילתה ועד סופה, ועד לבקרה אחר המקומות בהם רשאי לשהות האורח לבדו.

  1. מערכות שליטה, אבטחה ובקרה:
  • הגבלת גישה מדומיין הארגון לכתובות מייל חיצוניות או אתרים לאחסון מידע.
  • הגבלת גישה של התקני זיכרון ניידים למחשבי הארגון.
  • שימוש במערכת Data loss Prevention  (Dlp) והגדרת תנאים וחוקיות לביצוע ניטור למניעת הוצאת מידע אסור מהארגון.
  • הגדרת התראות להדפסות מרובות ברמת משתמש.
  • הגבלת שימוש במדפסות הארגון ע"י תג עובד.
  • ניהול לוגים לפעולות משתמשים במערכות הרגישות בחברה.
  • הצבת מצלמות אבטחה במעגל סגור בדגש על הצבת מצלמות אבטחה בסמוך לחדרי ישיבות, משרדים ומדפסות.
  • יש לנהל תיעוד ממוחשב אודות כל באי הארגון ולא לאפשר כניסה בין כותלי הארגון מבלי שהכניסה תועדה ונרשמה כדין וכוללת צילום תעודה מזהה, סיבת הכניסה ואיש הקשר בארגון אליו הגיע האורח.
  1. התנהלות שוטפות:
  • הקפידו להוריד למינימום האפשרי את השימוש במסמכים מודפסים.
  • הציבו בסמוך לחדרי ישיבות ומשרדים מכונת גריסה והקפידו לגרוס את המסמכים הרגישים מיד בסיום השימוש בהם, אל תסתפקו ב"פח גריסה" שמועבר ביום מן הימים לגריסה אלא תגרסו את המסמכים בפועל.
  • ככל שיש צורך להעביר מידע מהארגון לשותפיו העסקיים יש להוריד למינימום הנדרש את היקף המידע המועבר כך שמחד יענה על הצורך שבקבלת המידע ומאידך לא יועבר מידע עודף.
  1. ערנות עובדים לנהלי הארגון:
  • נעילת משתמש בעזיבת עמדת העבודה.
  • איסור שמירת שם המשתמש והסיסמא בסמוך לעמדת העבודה.
  • סגירת דלתות ואיסור השארתן פתוחות כך שהכניסה תתאפשר רק באמצעות תג עובד המורשה לכך.
  • הגבלת השימוש בטלפון הנייד, לדוגמא: איסור צילום מסכי מחשב או חומר מודפס השייך לארגון.
  • ליווי אורחים המגיעים במסגרת העבודה השוטפת לארגון מכניסתם ועד יציאתם.
  • הקפידו לא לקבל מתנות שנמסרו באמצעות שליח מגורם שאינכם מכירים, בתוך הרמקול שהתקבל במתנה עשוי להיות מכשיר האזנה אשר יסייע למתחרה לשמוע היטב את כל הפגישות המתנהלות במשרד וכך גם העציץ שתפס מקום בפינת חדר ישיבות ההנהלה עשוי לצלם את כל חברי ההנהלה בדיונים הקריטיים ביותר בארגון.
  • יש לבצע בדיקת האזנות סתר תקופתיות בחדרי ישיבות ההנהלה ומשרדי נושאי משרה בכירים.
  • שימו לב להודעות דוא"ל המתקבלות מכתובות שאינכם מכירים, חוסר ערנות לתרגיל דיוג Pishing עשויה לגרום להשתלטות על מחשבי הארגון ע"י התוקף.
  1. נהלים, הדרכה, בקרה והרתעה:
  • יש להגדיר נהלים לאבטחת מידע והוצאתו מהארגון, למשל, הגדירו נוהל הוצאת מידע באופן טלפוני לבקשות אקראיות, הגדירו כיצד על נציג הסניף לפעול עת שמקבל שיחת טלפון ממנהל בכיר בחברה/ מנהל חשבונות ונדרש להעביר לו את פרטי כרטיסי האשראי אשר חויבו בשעה האחרונה או לחילופין נדרש להכין מסמכים ( ולעיתים גם ציוד) לצורך איסופו מהסניף ע"י בא כוחו של הבכיר המתקשר, הבכיר המתקשר עשוי להיות עבריין מתחזה. משכך, לדוגמא: הגדירו נוהל "חזרה בשרשרת ניהולית" לפיו עובד קצה הנדרש לבצע פעולה ע"י מנהל בכיר, פעולה שאינה במהלך הפעילות הרגיל, עליו להעביר את הפניה למנהלו הישיר וזה ימשיך בבדיקת הפניה בשרשרת מעלה עד לזיהוי אותנטיות הבקשה. להרחבה בנושא קראו על "עוקץ המנכ"לים".
  • הקפידו לבצע הדרכות בנושאי אבטחת מידע פיזי הן לעובדים חדשים והן לעובדים קיימים באופן שוטף, הדרכה הינה כלי אפקטיבי להגברת מודעות וערנות.
  • בצעו בקרות יזומות לצורך העלאת מודעות עובדים, למשל:

א. בצעו בדיקות חדירות פיזיות באמצעות ניסיון חדירה לארגון ללא היתרים לצורך בחינה האם הניסיון יצלח, וככל שכן מה מידת ערנות העובדים לאדם שאינם מכירים.

ב. שילחו הודעות "פישינג" מדומות.

ג. בצעו ביקורות פתע פיזיות במשרדים לאיתור חומרים שלא נגרסים.

ד. בצעו בדיקות תרגול שונות ע"פ אופי הארגון לצורך ניסיון הוצאת מידע שלא לצורך מצד העובדים.

ה. בסיום, הדריכו את העובדים על ממצאי הבקרה, הדרכה ובקרה יוצרות הרתעה ומעלות מודעות.

מאמרים נוספים

בדיקת פוליגרף

הפוליגרף בראי ההיסטוריה

לאורך ההיסטוריה זכורות היטב שיטות שונות לאבחון השקר, חלק המשיטות כבר אז הסתמכו על הפיזיולוגיה וחלק מהשיטות הסתמכו על הפסיכולוגיה, והיו גם שיטות אשר יתכן

קרא עוד »
סגירת תפריט