בכל ארגון, מהקטן ביותר ועד לגדול ביותר, יש מידע קיים בתיקיות משותפות או במקומות שונים בארגון, אשר קיימת אליהם גישה לאנשים שונים מתוך ומחוץ לארגון. המידע הרגיש של ארגון וכל מידע ששייך לארגון עצמו צריך להיות נגיש אך ורק לאנשים שמורשים לו, לדוגמא מידע על משכורות של העובדים צריך להיות נגיש רק לחשב ולמנכ"ל הארגון. נגישות של אנשים שהם לא מורשים למידע כזה יכולה לסכן את הארגון, אם מידע זה נמצא במקום אשר נגיש לאנשים בארגון שהם לא החשב או המנכ"ל מדובר בפרצה באבטחת המידע של הארגון וסיכון בזליגתו של המידע לגורמים לא מורשים.
אבל סיכון זה הוא לא חדש, סיכונים כאלו היו קיימים עוד לפני עידן המחשבים, כאשר אז היית צריך לשמור את המסמכים בכספות וכו.
בשנה האחרונה יש יותר מודעות לנושא זליגת המידע ולמעשה ניתן לעשות משהו בקשר לזה על ידי מדיניות נוקשה של אבטחת מידע. כמו בכל דבר הפתרון תמיד מתחיל על ידי ניהול נכון וחכם של כל המקומות שבהן נמצא המידע הרגיש של החברה ועל-ידי קביעה ברורה למי יש ולמי אין גישה אל אותו המידע, ולאו דווקא על-ידי מוצר שמשמש ככלי עזר לאבטחת מידע ושאינו יכול למנוע כליל את האפשרות של זליגת מידע. על מנהל מערכות המידע בחברה (לא בהכרח איש המחשבים - אלא מי שאחראי על המידע בארגון) להנחיל את אותה מדיניות בחברה ולדאוג לאכיפתה, והוא צריך להיות מסוגל לאשר או לא לאשר גישה של גורמים מסוימים אל המידע.
בכל ארגון על מנת להגדיל את רמת אבטחת המידע יש לערוך סקירה ולבדוק את המקומות בהם יש מידע ששיך לארגון, לרכז את זה בצורה כזו שיהיו מספר כמה שיותר מוגבל של תיקיות על מנת שהניהול של המידע יהיה יעיל ולתת הרשאה לאנשים מסוימים בארגון לכל תיקיה ייעודית,
דוגמא לזליגת מידע מפורסמת שהייתה כאן בישראל בתחילת 2007 היא שנתונים מתוך מאגר המידע של משרד הפנים היו זמינים לכל אדם המחובר לאינטרנט. מה שקרה זה ששיתפו את המאגר של משרד הפנים באינטרנט מבלי לחסום את הגישה למי שאינו מורשה, וכך הגולש יכול היה לעיין בקבצים חסויים ללא כל הגבלה.
לסיכום, סקירה מקיפה בכל ארגון בו יש מידע נגיש למספר אנשים, ולאחר מכן ניהול נכון של המידע על ידי החלוקה שלו לאנשים שמורשים לראות אותו ויצירת מערכת הרשאות, תעניק לארגון שלכם או הארגון שאתם מטפלים בו אבטחה טובה יותר וסודות הארגון יהיו שמורים רק לו.
וחשוב לזכור שלא משנה איזה פתרון תיישמו, אסור לשכוח את שגורם האנושי הוא זה שמבקר ומנחה את המדיניות, הפתרונות הטכנולוגים הם רק כלי על מנת ליישם מדיניות זו.
אבל סיכון זה הוא לא חדש, סיכונים כאלו היו קיימים עוד לפני עידן המחשבים, כאשר אז היית צריך לשמור את המסמכים בכספות וכו.
בשנה האחרונה יש יותר מודעות לנושא זליגת המידע ולמעשה ניתן לעשות משהו בקשר לזה על ידי מדיניות נוקשה של אבטחת מידע. כמו בכל דבר הפתרון תמיד מתחיל על ידי ניהול נכון וחכם של כל המקומות שבהן נמצא המידע הרגיש של החברה ועל-ידי קביעה ברורה למי יש ולמי אין גישה אל אותו המידע, ולאו דווקא על-ידי מוצר שמשמש ככלי עזר לאבטחת מידע ושאינו יכול למנוע כליל את האפשרות של זליגת מידע. על מנהל מערכות המידע בחברה (לא בהכרח איש המחשבים - אלא מי שאחראי על המידע בארגון) להנחיל את אותה מדיניות בחברה ולדאוג לאכיפתה, והוא צריך להיות מסוגל לאשר או לא לאשר גישה של גורמים מסוימים אל המידע.
בכל ארגון על מנת להגדיל את רמת אבטחת המידע יש לערוך סקירה ולבדוק את המקומות בהם יש מידע ששיך לארגון, לרכז את זה בצורה כזו שיהיו מספר כמה שיותר מוגבל של תיקיות על מנת שהניהול של המידע יהיה יעיל ולתת הרשאה לאנשים מסוימים בארגון לכל תיקיה ייעודית,
דוגמא לזליגת מידע מפורסמת שהייתה כאן בישראל בתחילת 2007 היא שנתונים מתוך מאגר המידע של משרד הפנים היו זמינים לכל אדם המחובר לאינטרנט. מה שקרה זה ששיתפו את המאגר של משרד הפנים באינטרנט מבלי לחסום את הגישה למי שאינו מורשה, וכך הגולש יכול היה לעיין בקבצים חסויים ללא כל הגבלה.
לסיכום, סקירה מקיפה בכל ארגון בו יש מידע נגיש למספר אנשים, ולאחר מכן ניהול נכון של המידע על ידי החלוקה שלו לאנשים שמורשים לראות אותו ויצירת מערכת הרשאות, תעניק לארגון שלכם או הארגון שאתם מטפלים בו אבטחה טובה יותר וסודות הארגון יהיו שמורים רק לו.
וחשוב לזכור שלא משנה איזה פתרון תיישמו, אסור לשכוח את שגורם האנושי הוא זה שמבקר ומנחה את המדיניות, הפתרונות הטכנולוגים הם רק כלי על מנת ליישם מדיניות זו.
כפיר טויטו הוא מנהל טכנולוגיות בחב' קומסקיור, נציגת חברת ESET בישראל. כפיר מפתח וכותב תוכניות לניקוי מזיקים ולשמירה על המחשב. בעל ניסיון רב בכל נושאי אבטחת מידע ובניית פתרנות טכניים.
http://www.eset.co.il
http://www.eset.co.il