דף הבית > בלוג > מאמרים על תקן ISO 27001 > אבטחת מידע בארגון – כל מה שצריך לדעת

אבטחת מידע בארגון – כל מה שצריך לדעת

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

למאמרים על ISO 27001 לחצו כאן

 

מהי אבטחת מידע?

 

מהי משמעות ההגנה על המידע?

  • מידע יכול להתקיים בצורות רבות.
    הוא יכול להיות כתוב על נייר, מאוחסן על מצעים אלקטרוניים, מועבר בדואר או באמצעים אלקטרוניים, להיות מוצג בסרט הקלטה או להיות מועבר בשיחה.
  • לא משנה איך המידע מוצג, מועבר, מופץ או מאוחסן חייבים להגן עליו כראוי.

 

הגדרות אבטחת מידע:

  • חיסיון (Confidentiality): וידוא שהמידע נגיש רק למי שקיבל הרשאת גישה; התייחסות מיוחדת למידע רגיש במיוחד.
  • כלילוּת (integrity): שמירת הדיוק והשלמות של המידע ושל שיטות העיבוד.
  • זמינוּת (Availability): וידוא שלמשתמשים מורשים יש גישה למידע ולנכסים הקשורים בו, לפי הצורך. התייחסות מיוחדת בתהליכים רגישים.
  • המשכיות עסקית (Business Continuity): קיימת תכנית התאוששות מתאימה ומתורגלת.

 

מהו מאגר מידע רגיש?

  • נתונים על אישיותו של אדם, צנעת הפרט, למשל הרגליו המיניים, מצב בריאותי, מצב כלכלי, דעות ואמונות.
  • יש לדווח ולרשם מאגרי המידע הממשלתי ולהגן על מאגר המידע בהתאם לדרישות החוק.

 

מהי נקודת התורפה העיקרית בתחום אבטחת המידע ?

 

הגורם האנושי בארגון:

 

תוכלו לקרוא את הכתבות כאן:

https://www.calcalist.co.il/internet/articles/0,7340,L-3741738,00.html

https://www.calcalist.co.il/internet/articles/0,7340,L-3754990,00.html

https://www.globes.co.il/news/article.aspx?did=1001273414

 

נקודות מפתח:

  • אתם חשובים.
  • החשיבות, והאחריות האישית שלכם.
  • היו מודעים וערניים.
  • כדי לעזור בכך יש כמה כללים פשוטים…

 

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

הגנו על המחשב: הנחיות בסיסיות לעבודה:

  • ס י ס מ א – בחירת סיסמא נכונה ומתאימה, ושמירה עליה במקום בטוח.
  • כשעוזבים את שולחן העבודה יש לנעול את המחשב בעזרת לחיצה על מקשי – .WIN + L יש לוודא שקיימת נעילת מערכת אוטומטית לאחר כמה דקות ללא שימוש במחשב.
  • יש לגרוס ניירת מסווגת שאין בה צורך.
  • התקן רק תכנות חוקיות ומאושרות לשימוש.
  • זהירות בשימוש בהתקנים ניידים (כוננים קשיחים ניידים, טלפונים סלולריים, DOK וכו').
  • כבו את המחשב בסוף היום גם בבית על מנת לאפשר עדכוני תוכנה קריטיים.

 

כאשר מקבלים מייל או הודעה שאלו את עצמכם את השאלות הבאות:

  • האם אתם מכירים את השולח?
  • ניתן לזייף אימייל זדוני בקלות על מנת שיראה כאילו נשלח מכתובת מוכרת מתוך הארגון.
  • האם אתם מצפים למייל או הודעה מהשולח?
  • האם זה מתאים לסוג ההודעות שאתם מצפים לקבל מהשולח?
  • קישור לא חייב להיות מה שכתוב.
  • קובץ מצורף למייל כגון מצגת, תמונה או PDF עשוי להיות וירוס או תוכנת מעקב.

 

סוף מעשה במחשבה תחילה!

  • עצרו וחישבו לפני מסירת מידע וביצוע פעולות:

Stop. Think. Act. Check.

  • גם לאחר מעשה חשבו שוב ובמידה וקיים ספק התייעצו עם ממונה אבטחת המידע.

זכרו כשיש ספק אין ספק!

 

הגנו על מידע רגיש: איך מזהים הונאות רשת או Fake news?

כאשר מקבלים הודעה המכילה את אחד הסימנים הבאים:

  • תוכן מדאיג/מפחיד ודחוף:

"חשבונך ינעל אם לא תפעל כעת, לחץ על הלינק להפעלת החשבון."

"אני תקוע בלונדון ואני זקוק לעזרתך הדחופה לחזור הביתה אנא שלח לי כל  עזרה שתוכל…"

  • הצעות שהן טובות מידי מכדי להיות אמיתיות:

"מזל טוב אתה הזוכה היחיד בפרס הגדול בלוטו, אנא שלח דמי טיפול לקבלת הכסף…"

"נמצא כי אתה היורש הבלעדי להון של הנסיך אנא שלח את פרטי חשבון הבנק שלך…."

  • בקשה למידע רגיש:

"אנא שלח מספר ת"ז ומספר כרטיס אשראי להפעלת השרות…"

  • שגיאות כתיב או תחביר בעקבות תרגום שפה זרה דרך Google translate:

"שלח כסף עכשיו הרבה מתנות מקבל…"

 

אתר מומלץ לבדיקה אם מייל שקבלתם הוא אמיתי הוא "לא רלוונטי" , מאגר של שמועות אינטרנט ומכתבי שרשרת בעברית שמסתובבים בין תאי הדואר האלקטרוני: https://irrelevant.org.il/

 

לדוגמא:

לקוח נכבד,

כדי להבטיח שאתה מוגן תמיד, אנחנו מציגים תכנית חדשה על אבטחה בשם בנק מאובטחת.

מטעמי אבטחה, עליך לעדכן את החשבון שלך לשחזר גישה מלאה בנקאות מקוונת שלך.

אנא לחץ כאן כדי להשלים לעדכן את החשבון שלך.

הרשם כדי להתחיל תהליך האימות.

בנקאות ישירה, בנק לאומי

לכתבה המלאה: https://www.themarker.com/markets/1.490938

התוצאה: אתרים למכירת פרטי אשראי גנובים!

 

גם בשיחות טלפון או צ'ט:

במקרה ומתקשר לא מזוהה או לא צפוי יוצר קשר ומבקש מידע רגיש הכולל פרטים אישים, פיננסים או כל מידע שנראה לא רלוונטי לשיחה.

לפני מסירת פרטים מזהים ומידע רגיש (ובכלל) בטלפון או באינטרנט בדקו את הדברים הבאים:

  • מי הוא ואת מי הוא מייצג?
  • למה הוא צריך את הפרטים?
  • האם הוא צריך אותם?

זכרו, גם אם האדם בצד השני מזדהה, אין אפשרות אמיתית לוודא במהלך השיחה את זהותו האמיתית ואת אמיתות דבריו!

 

איך מוודאים האם המידע הנדרש לגיטימי?

  • במידה והפניה היא מארגון מוכר ניתן לחזור אליו בשיחה או הודעה חוזרת על מנת לאמת שהפניה היא מהארגון.
  • במידה והפניה מארגון לא מוכר ניתן לחפש באינטרנט את אתר החברה  או לבדוק פרטים המלצות או מידע לפני מתן מידע רגיש.

 

כללים לסיסמא חזקה ומאובטחת:

  • לפחות 8 תווים
  • אותיות גדולות, קטנות, מספרים, סמלים ותווים אחרים (למשל – !, @, #, $, % )
  • לא דברים ברורים… (תאריכים, ת.ז, שמות, רצף מספרים)
  • רצוי לא מילים שמופיעות במילון ולא להכיל את שם המשתמש בתוך הסיסמא.
  • ניתן לבנות סיסמאות ארוכות ממשפטים שקל לזכור
  • יש להחליף סיסמא מדי פעם כתלות ברגישות המידע שהסיסמא מגינה עליו.
  • סיסמא שונה בין אתרים.
  • לא לשמור על גבי המחשב או בסביבתו.
  • לא לשתף עם אף אחד!

 

היזהרו מחוץ לארגון: הרשת מחוץ לארגון:

 

בטיחות אתרים:

  • שימו לב כאשר גולשים ברשת מומלץ לגלוש באתרים מאובטחים בעלי קידומת HTTPS וסמל המנעול.

  • באתרים בהם יש צורך להכניס פרטים אישים או מספר כרטיס אשראי מומלץ לוודא שלאתר קיימת הצפנת SSL.

 

 

בעת כניסה לאתרים שאינם מאובטחים הדורשים, פרטים אישיים או מספרי כרטיסי אשראי.

מומלץ מאוד לא להזין מידע אישי או מספר כרטיס אשראי באתר לא מאובטח. משמעות הדבר היא שכל מי שמנטר את האתר יכול להעתיק ולהשתמש לרעה במידע. במידת האפשר עדיף ליצור קשר באמצעי אחר על מנת להעביר פרטים או לבצע רכישה.

 

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

אינטרנט אלחוטי – Wi-Fi:

ברשת Wi-Fi לא מאובטחת ולא מוצפנת קיימת סכנת חשיפה גדולה במיוחד!

  • מומלץ להתחבר אך ורק לרשתות מוכרות ומאובטחות בבית או במקום העבודה.
  • מומלץ מאוד לא להתחבר לרשתות לא מוכרות או רשתות פתוחות כגון: בתי קפה, שדות תעופה, בתי מלון או רשתות WIFI עירונית חופשית.
  • גלישה ברשתות פתוחות חושפות את המשתמש לפריצה.
  • עדיף במידת הצורך להשתמש בטלפון כמודם לחיבור למחשב.

לקריאת המאמר: https://www.geektime.co.il/firesheep-lets-you-steal-sessions/

 

במידה ומתחברים לרשת ציבורית פתוחה ולא מאובטחת:

הימנעו ככל הניתן מהפעולות הבאות:

  • העברת מידע רגיש (כלכלי, אישי וכו').
  • התקנות של תכנות חדשות.
  • שימוש בתכנות או אפליקציות המכילות מידע רגיש כגון מידע רפואי, כלכלי אישי.

 

רשתות חברתיות:

  • שימו לב איזה מידע אתם מפרסמים, היו מודעים לכך שאחרים נחשפים אליו.
  • שימו לב שגם ברשתות שבהן המידע "מוגבל" לחברים, קיימת אפשרות חשיפת מידע רגיש למתחרים או גורמים שעלולים לעשות במידע שימוש לרעה.
  • ברשתות מקצועיות בעלי אוריינטציה עסקית, הימנעו משיחה על נושאים רגישים שיכולים לגרום לפגיעה במוניטין החברה או עובדיה או בעלי רגישות עסקית– תמיד הניחו שהמידע חשוף.
  • שימו לב שקיימת אפשרות לקשר אותכם למקום העבודה דרך הרשתות החברתיות ולנסות לדלות מידע רגיש דרך הרשתות החברתיות או לפגוע במקום העבודה.

 

אתרים ותוספים להגברת הגנה:

אנטי וירוס איכותי חינמי:

https://www.avast.com/he-il/index#pc

חסימת Cookies ע"י שימוש בתוסף כרום:

https://www.ghostery.com/

מעקב על גנבת ססמאות ע"י שימוש בתוסף כרום:

https://chrome.google.com/webstore/detail/password-checkup

ניתן לבדוק אם המייל ופרטים שלכם נגנבו באתר הבא:

https://haveibeenpwned.com/

אתר ישראלי לבדיקת מכתבי שרשרת או Fake news :

https://irrelevant.org.il/

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

פרטיות וחוק הפרטיות הישראלי:

 

למאמרים על תקנות הגנת הפרטיות לחצו כאן

 

חוק הפרטיות הישראלי:

במאי 2018 התעדכן חוק הפרטיות הישראלי שחוקק ב-1981 ונועד לשמור על הפרטיות האישית שלנו ועל הפרטיות בעבודה.

החוק אוסר:

  • בילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת.  צילום אדם שהוא ברשות היחיד.
  • פרסום תצלומו של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו.
  • העתקת תוכן של מכתב שלא נועד לפרסום.
  • שימוש בידיעה על ענינו הפרטיים של אדם או מסירתה לאחר שלא למטרה שלמה נמסרה.
  • פרסום של עניין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.

 

חוק הפרטיות הישראלי 2018:

עדכון חוק הפרטיות ומאגרי מידע:

בעדכון הנוכחי חוק הפרטיות מייצר הגבלות איסוף, שמירה ושימוש במידע אישי:

  • קיים איסור לאסוף ולהשתמש במידע ללא הסכמתו המפורשת של נשוא המידע.
  • קיים איסור לשלוח מיילים או הודעות שיווקיות ללא הסכמה מפורשת.
  • על הפרט לאשר בצורה אקטיבית את הסכמתו למסור מידע ואו להירשם לקבלת מידע.
  • קיימות חובות על הארגונים או אנשים האוספים מידע ושומרים אותו במאגרי מידע. לרשום אותו אצל רשם המאגרים הממשלתי במשרד המשפטים.
  • על כל ארגון או פרט המחזיק מאגר מידע קיימת חובה לשמור ולהגן על המידע בצורה נאותה המוגדרת בחוק.
  • קיימת חובת דיווח במקרה של פריצה למאגר מידע וחשיפת מידע אישי.

 

דגשים לעמידה בחוק הפרטיות:

זכרו כי אתם עוסקים במידע רגיש שיש להקפיד על שמירתו והפצתו.

  • יש להקפיד למנוע חשיפה של מידע רגיש בעת שמירתו הדיגיטלית והפיזית –  המידע נגיש אך ורק לגורמים המורשים!
  • יש להקפיד למנוע חשיפה של מידע רגיש בעת העברתו – הקפדה מיוחדת בעת שליחת פקסים/מיילים/מסירת מידע בטלפון וכו'.
  • יש להקפיד לגרוס מסמכים המכילים מידע רגיש שאין בהם צורך.
  • שימו לב בעת שיחה לא לחשוף מידע פרטי ורגיש וגורם לא מוסמך.
  • אחת לתקופה יש לעבור על הרשומות למחוק/לגרוס מידע ישן שאין בו צורך.
  • במידה וקיים חשש לדליפת מידע, דווחו מידית לממונה על אבטחת המידע!
  • ככל שהדיווח קרוב יותר למועד האירוע ניתן לטפל בו בקלות ויעילות גדולות יותר.

 

סיכום:

  • חישבו לפני שאם לוחצים או מוסרים מידע.
  • ברשת ציבורית – הימנעו מהעברת מידע, התקנת תוכנה וביצוע פעולות רגישות.
  • התקינו תכנות חוקיות שאתם מכירים, שבחרתם להתקין, שמגיעות ממקור אמין.
  • הימנעו מהתקנת תכנות שאינן נחוצות או שמירה של תכנות ישנות שאינן בשימוש.
  • היזהרו מחיבורי חומרה או מדיה נתיקה לא מוכרת למערכות רגישות.
  • שימו לב למידע רגיש בטלפון הנייד.
  • דעו את זכויותיכם וחובותיכם לפרטיות המידע.

 

נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

כותב המאמר:

מעוניינים לקבל ייעוץ להטמעת תקן ISO 27001 - תקן לניהול אבטחת המידע?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00