ביקורת אבטחת מידע של החברה

חברת Shtein Solutions מספקת שירותי סקר כללי להערכה של רמת אבטחת המידע בחברת הלקוח.

ביקורת אבטחה היא הערכה מקיפה של מערכות האבטחה של הארגון, לרבות ניתוח ואימות של כל ההיבטים של אבטחת מידע, טכנולוגיות ותהליכים שמטרתם להבטיח את סודיות, שלמות וזמינות הנתונים. ביקורת אבטחה נערכת כדי לזהות נקודות תורפה, להעריך את האפקטיביות של אמצעי האבטחה הנוכחיים ולפתח המלצות לשיפורי אבטחה.

היבטים עיקריים של ביקורת אבטחה

 1. אזורי ביקורת:
  • אבטחה פיזית: בדיקת האבטחה של משרדים ומרכזי נתונים, מערכות בקרת גישה, מעקב וידאו ומערכות אבטחה.
  • אבטחת רשת: ניתוח של אבטחת רשתות ארגוניות, כולל חומות אש, נתבים ומערכות זיהוי ומניעת פריצות (IDS/IPS).
  • אבטחת מידע: בדיקת הגנת נתונים בכל הרמות, כולל הצפנה, מערכות בקרת גישה ותוכניות אנטי-וירוס.
  • אבטחה תפעולית: הערכת נהלים ותהליכים של ניהול אבטחה, כולל ניהול שינויים, גיבוי ושחזור נתונים.
  • עמידה ברגולציה: מאמת עמידה בתקני אבטחה וחקיקה מקומיים ובינלאומיים (למשל GDPR, HIPAA).
 2. שלבי ביקורת אבטחה:
  • תכנון: קביעת מטרות והיקף הביקורת, בחירת שיטות וכלים, הגדרת צוות ולוח זמנים.
  • איסוף נתונים: ראיונות עם עובדים, ניתוח מסמכים, איסוף יומנים ודוחות, עריכת בדיקות (למשל בדיקות חדירה).
  • ניתוח: זיהוי נקודות תורפה, הערכת אמצעי הגנה נוכחיים, ניתוח סיכונים.
  • דיווח: הכנת דוח עם תוצאות ביקורת, המלצות לביטול נקודות תורפה ושיפור אמצעי אבטחה.
  • יישום המלצות: פיתוח תכנית פעולה ויישום אמצעים מוצעים לשיפור ההגנות.
 3. שיטות ביקורת:
  • ראיונות: שיחות עם עובדים כדי להבין את התהליכים הנוכחיים ולזהות בעיות אפשריות.
  • סקירת תיעוד: ניתוח של מדיניות, נהלים, הוראות ומסמכים אחרים הקשורים לאבטחה.
  • ביקורת טכנית: ביצוע בדיקות חדירה, סריקת פגיעויות, ניתוח תצורות מערכת ורשת.
  • ניתוח יומן ואירועים: בדוק יומני אבטחה כדי לזהות חריגות ופעילות חשודה.
 4. כלי ביקורת אבטחה:
  • סורקי פגיעות (למשל Nessus, OpenVAS): משמשים לזיהוי אוטומטי של פגיעויות ידועות במערכות.
  • כלי בדיקת חדירה (למשל Metasploit, Burp Suite): משמשים לסימול התקפות ובדיקת אבטחת המערכות.
  • מערכות ניהול אירועי אבטחה (SIEM, למשל, Splunk): משמשות לאיסוף וניתוח יומנים, ניטור אירועי אבטחה.
 5. החשיבות של ביקורת אבטחה:
  • הגברת רמת ההגנה: זיהוי וביטול פגיעויות, שיפור אמצעי אבטחה.
  • ציות: הבטחת עמידה בדרישות החוק והרגולציה.
  • ניהול סיכונים: הערכה והפחתת סיכונים הקשורים לאבטחת מידע.
  • הגברת המודעות: הכשרת עובדים והגברת המודעות שלהם לבעיות אבטחה.

סטנדרטים

ביקורות אבטחה נעשות בהתאם לתקנים ודרישות רגולטוריות בינלאומיות שונות המספקות גישה מובנית ושיטתית להערכת ושיפור אבטחת מערכות המידע. התקנים העיקריים המשמשים לביצוע ביקורת אבטחה כוללים:

 1. ISO/IEC 27001

  ISO/IEC 27001 הוא תקן בינלאומי למערכות ניהול אבטחת מידע (ISMS). הוא מספק דרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע.

  • יעדים: הגנה על הסודיות, שלמות והזמינות של המידע.
  • גישה: מבוססת סיכונים, מבוססת על זיהוי וניהול סיכונים.
 2. NIST SP 800-53

  NIST Special Publication 800-53 הוא מדריך של המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) המספק המלצות אבטחה וניהול סיכונים עבור מערכות מידע וארגונים פדרליים.

  • יעדים: לספק מקבץ מקיף של אמצעי אבטחה להגנה על מידע.
  • גישה: סיווג מערכות ונתונים לפי רמות השפעה ועמידה בבקרות האבטחה.
 3. COBIT

  COBIT (יעדי בקרה לטכנולוגיות מידע וטכנולוגיות קשורות) היא מסגרת לממשל ותאימות לניהול IT. תקן זה מתמקדת בניהול ובקרה של טכנולוגיית מידע ותהליכים.

  • יעדים: הבטחת השלמות, הזמינות והסודיות של המידע.
  • גישה: מודל ניהול ובקרה מבוסס תהליכים.
 4. PCI DSS

  PCI DSS (Payment Card Industry Data Security Standard) הוא תקן אבטחה המיועד לארגונים העובדים עם כרטיסי תשלום. הוא קובע דרישות לאבטחת נתוני בעל הכרטיס.

  • יעדים: הגנה על נתוני כרטיסי תשלום מפני דליפות והונאות.
  • גישה: קבוצה של 12 דרישות אבטחה הכוללות בקרת גישה, ניטור רשת ובדיקות.
 5. GDPR

  GDPR (General Data Protection Regulation) היא תקנה של האיחוד האירופי שמטרתה להגן על הנתונים והפרטיות של כל אזרחי האיחוד האירופי.

  • יעדים: הגנה על נתונים אישיים והבטחת זכויותיהם של נושאי מידע.
  • גישה: דרישות מחמירות לעיבוד, אחסון והעברה של נתונים אישיים, כמו גם להודעה על פרצות אבטחה.
 6. HIPAA

  HIPAA (חוק ביטוח בריאות ניידות וחשבון) הוא חוק אמריקאי שקובע סטנדרטים להגנה על מידע בריאותי.

  • יעדים: הגנה על הפרטיות והאבטחה של מידע רפואי.
  • גישה: קביעת דרישות לאבטחה פיזית, מנהלית וטכנית של נתונים.
 7. SOX

  חוק Sarbanes-Oxley (SOX) הוא חוק אמריקאי שנועד להגן על משקיעים על ידי שיפור הדיוק והאמינות של גילויי החברות.

  • יעדים: הבטחת שקיפות ושלמות הדיווח הכספי.
  • גישה: דרישות לבקרה ודיווח פנימיים, כולל היבטי IT.
 8. ITIL

  ITIL (ספריית תשתיות טכנולוגיות מידע) היא קבוצה של שיטות עבודה לניהול שירותי IT.

  • יעדים: הבטחת איכות שירותי ה-IT וניהול תשתית ה-IT.
  • גישה: מדריכים לתהליכים ושיטות עבודה מומלצות לניהול שירותי IT.

ביקורת אבטחה היא מרכיב מרכזי באסטרטגיית ניהול אבטחת מידע, המסייעת לארגונים להגן על הנתונים והמוניטין שלהם מפני איומים והפרות.

תוצאות הביקורת יכולות להוות בסיס טוב לתכנון פעילות אבטחת המידע בארגון לשנים הקרובות.

במסגרת שירות התמיכה אנו מנסים, על סמך בדיקות, להכין עבור הלקוח מפת סיכונים עדכנית עם המלצות והצעות מה ואיך לפתור קודם.

הגן על העסק שלך - אנחנו מוכנים לעזור

צור קשר

השירותים שלנו

החברה שלנו מציה את השירותים הבאים:

ייעוץ ותמיכה

בדיקות טכנולוגיות ובסיסיות ראשוניות בתחום אבטחת המידע. בדיקת ארכיטקטורת הרשת, מערכות אבטחה, זכויות גישה. בניית מפת סיכונים.

פרטים נוספים

בדיקות חדירה

בדיקה זו מזהה נקודות תורפה הקיימות בתשתית ובאפליקציות על מנת לגבש המלצות לסילוקן.

פרטים נוספים

בדיקות PHISHING

מבחן באמצעות שיטות הנדסה חברתית. מטרת המבחן היא לזהות את רמת המודעות של הצוות בתחום אבטחת מידע והגנה נגד PHISHING

פרטים נוספים

הדרכה ותרגול סייבר

הרצאות והדרכות בנושא מודעות הצוות לאיומי אבטחת מידע, וכן הדרכות לפיתוח מאובטח למתכנתים.

פרטים נוספים

סקרי אבטחת מידע

בדיקת אבטחת החברה לפי הפרוטוקול. מטרת הבדיקה היא להראות באילו תחומי אבטחת מידע קיימים ליקויים וכיצד לתקן אותם.

פרטים נוספים

חקירת אירועי סייבר

כאשר מתרחש אירוע סייבר, חשוב להבין בדיוק מה קרה וכיצד, ולטפל בגורמים ובפערים באבטחת המידע של החברה.

פרטים נוספים

בדיקת אבטחת דוא"ל פרואקטיבית

סימולציית התקפת דוא"ל בודקת את היעילות של כלי אבטחת דוא"ל כגון שערי דוא"ל, אנטי וירוסים, ארגזי חול ואחרים.

פרטים נוספים

ניתוח אבטחת יישומים

נזהה חולשות ביישומי מובייל ואינטרנט, במערכות שירות מרוחקות ונפתח המלצות לביטול פגיעויות שזוהו.

פרטים נוספים

ניתוח אבטחת מחשב משתמש

אנו נזהה בעיות בהגנה על מחשבי משתמש עבור הפעלת יישומים זדוניים וניטור מערכות.

פרטים נוספים

עלינו במספרים

במהלך קיומה של החברה עשינו עבודה רבה. זה כולל בדיקות חדירה וסקרי אבטחת מידע, ניהול סיכונים, חקירות אירועי סייבר, כמו גם ייעוץ ותכנון פתרונות.

0

שנים של ניסיון

> 0

פרוייקטים שהושלמו

0

לקוחות מרוצים

0

כוסות קפה