טוב אז עכשיו קיבלת תפקיד חדש מנהל אבטחת מידע של הארגון אז מה עושים ?
המקרה הזה יכול להתחלק לשניים.
אדם שהגיע מתחום האבטחה ומומחה בנושא, לעומת אדם שקודם לתפקיד הנ"ל ולא כל כך מוצא את הרגליים והידיים.
עם זאת הכללים של מה לעשות מאוד מרוכבים ולכן החלטתי לנסות ולהוריד אותם לכתב כמובן שחלק מהכללים תלויים בחברה.
א. אם אני לא מבין כלום באבטחת מידע אולי עלי ללמוד את הנושא, נכון שאני לא יהפוך להיות המומחה הכי גדול אבל עדיין זה ייתן לי מושג על מה מדברים איתי (קיימים מספר רב של קורסים אשר יכולים להביא את האדם לנקודה זו. עליהם אולי הרחיב מאוחר יותר בפוסט אחר)
ב. אני כבר מומחה אבל בכל זאת הארגון גדול אז איפה מתחילים?
השלב הראשון הוא להבין את הארגון שלב זה הוא השלב העיקרי בבניית עץ ההגנה הבנתו תתרום המון להצלחתך בתפקיד.
אז איך מתחילים ?
אנסה לפרט כלל הניתן את מכלול הפרטים הדרושים להכרת הארגון:
הבנת הרשת - מניסיון בשטח לא תמיד קיימים סרטוטים עדכניים של הרשת ולא תמיד יש את מי לשאול אז כדאיי בשלב זה לנסות להשיג את מרבית המידע שניתן. תהליך זה יכול להתבצע על ידי פגישות עם אנשי מפתח כגון מנהל הרשת,מנהלי הו , DB עובדים ותיקים, איתור קבצים רלוונטיים ברשת, קבלת סרטוטים קיימים ,על ידי שילוב כליי מיפוי אוטומטים הכוללים שימוש בסריקת מכונות, פורטים, שימוש ב - SNMP ועוד.
לא תשמעו אותי פה ממליץ על כלים שמבצעים הדמיה של פורץ מכיוון שאני לא מאמין בהם (ממממ רעיון לפוסט אנחנו עוד נדבר על זה).
שלב זה חייב לכלול גם את הרשת הפנימית, החיצונית והסניפים במידה וקיימים.
חשוב לציין כי נושא הסניפים הוא סוגיה בפני עצמה מכיוון והסניפים הם מעין איים הפזורים ברחבי המדינה או העולם ולכן קיים קושי כל שהוא לשלוט עליהם.
אך הדרך להתמודד עם נושא היא לשלב זהות קבועה בניהם במידה ואפשר. זהות שכזו תאפשר חיבור נכון שלהם לרשת המרכזית של החברה ויצירת מעטה הגנה נכון בסניף עצמו.
לאחר שלב הבנת הרשת יש צורך להבין אילו הגנות מיושמות?
יכול להיות שקודמנו לתפקיד השקיע במספר רב של הגנות או לחילופין לא קיימת כל תפיסה אבטחתית ולכן יש צורך לשאול שאלות כגון
איך הרשת מוגנת יש FW ?
מי מנהל את החוקים ?
כיצד מאושר חוק ב - FW האם יש תהליך מסודר או לא?
מה התהליך לפתיחת קו אינטרנט חדש? האם כל מחלקה היא עצמאית ובעלת תקציב משלה ?
האם יש מוצרי IPS,IDS בארגון?
האם מישהו חשב לשים NAC ?
האם קיים WSUS בארגון ? האם טלאי האבטחה מותקנים על השרתים ועל התחנות ?
אנטי וירוס איזה, איפה לא מותקן ?
כיצד ה - SWITCH וה - ROUTERS מנוהלים ?
האם יש הצפנה על הניידים?
האם ניתן להכניס אמצעים נתיקים מה המדיניות ?
מה מוגדר למשתמשים ב - GPO ?
האם כל משתמש ברשת הוא Administrator על התחנה?
מעבר לשאלות הטכניות יש לשאול שאלות כגון
מהי מדיניות האבטחה הקיימת, האם קיימים נהלים ברורים ופשוטים אשר העובד יבין אותם?
האם הארגון נמצא תחת איזו רגולציה ומהן הגדרותיה ?
מהי התרבות הארגונית הקיימת ( את זה צריך לחוש או להבין דרך עובדים ותיקים)
הבנת התהליכים העסקים של הארגון היא פן לא פשוט אך הבנתו תעזור למקד היכן יש להשקיע מאמץ בהגנה.
בנוסף הבנת נכסי החברה: היכן ממוקם המידע העסקי של לקוחות, היכן ממוקם ה - Source Code, מהם המערכות הרגישות שדורשות מעטפת הגנה נוספת לזו שקיימת
הבנת משתמשי הקצה
אם תבין מי המשתמשים שלך ולמה הם מסוגלים טכנית תבין מה אתה יכול לכפות עליהם ומה לא וכיצד תהיה שקוף להם ככל שניתן אך תיתן את ההגנה הרצויה.
איך לא להתנגש עם ה - Business שאלה חשובה קיימים מספר מנהלי אבטחה אשר לא מבינים כי בסוף היום הארגון צריך לעבוד ולכן זה שיש לכם "מפלצת" ששומרת על הארגון אך הארגון לא עובד לא תועיל לאף אחד ולכן יש לנסות במהלכים קריטיים ואגרסיבים לשתף את העובדים ולבחון כיצד הם מגיבים.
תהליך שכזה יכול להתבצע על ידי שימוש בקבוצת ניסוי או לחילופין על פי הגרלה של משתמשים מסוגים שונים.
לקוחות החברה
לקוחות החברה הם המשאב העיקרי של החברה בלעדיו החברה לא קיימת ולכן יש להבין את הצרכים הקיימים ללקוחות ולבנות מענה אשר לא יגביל אותם תפעולית אך יעזור לך להגן עליהם בצורה טובה בנושא זה צריך להיזהר ולא להתפשר
אני בטוח שלא חשבתי על כל הנושאים אך זו התחלה טובה
חשוב לזכור כי עולם אבטחת המידע הוא עולם דינאמי המכיל מספר רב של מערכות,משתמשים, תהליכים עסקים ועוד וניתוח נכון של הסיכונים הבנתם ואיתורם בזמן הוא ההבדל בין מנהל אבטחת מידע למנהל אבטחת מידע מצוין J.