בלוג-און

להעלות לענן או לא להעלות לענן? 4 טעויות שאנשי אבטחת מידע עושים בשימוש בשירותי ענן

כשזה נוגע לשמירה על מידע רגיש בארגון, כאנשי אבטחת מידע, אתם גיבורי העל העומדים על המשמר מפני כל איום. אבל כמו שפ.פארקר פעם אמר: "עם כוח גדול באה אחריות גדולה". אחד האתגרים הגדולים שלכם הוא פיתרון בעיות ושגיאות תוך כדי תנועה ובשאיפה למינימום טעויות. אתגר זה נהפך לגדול אפילו יותר עם המעבר המאסיבי של חברות וגופים לסביבות ענן דיגיטליות חסכוניות ויעילות. האתגרים מתרבים כשבראשם אתגרי אבטחת המידע. איך תדעו לצפות ולמנוע את האתגרים האלה? ריכזנו עבורכם 4 טעויות נפוצות שכאנשי אבטחת מידע אתם עלולים לעשות בשימוש בשירותי ענן.

1. מי שקונה בזול בסוף משלם ביוקר

פעמים רבות המוטיבציה הבסיסית לשימוש בשירותי הענן היא חסכון בכסף. מערכות ענן הופכות עם הזמן לתשתית העולם הדיגיטלי. הן מספקות דרך זולה וגמישה יחסית לאחסון וניהול מידע עבור ארגונים גדולים וקטנים. למרות התפיסה הרווחת, זול לא בהכרח חוסך ועלול לעלות ביוקר גם באנרגיה, גם בזמן וגם בפגיעות למערכות הארגון.

מצד אחד, ניתן להגיע לרמת אבטחת מידע גבוהה במיוחד בסביבות הענן. מצד שני, כאנשי אבטחת מידע המשתמשים בשירותי ענן תמיד תחששו מהסכנה של בעיות קונפיגורציה (Misconfiguration). כדי לפתור בעיה זאת ולחסוך אנרגיה וזמן יקר של עובדים וחברי הנהלה כדאי להשקיע בבניית תכנית קומפליינס. תהליכי קומפליינס מלווים בעבודה סיזיפית של הארגון במגוון תחומים, כמו אדמיניסטרציה ידנית, הטמעת תהליכים ופריסה של סביבות וכלים חדשים. תהליכים אלה נועדו לעמוד בסטנדרטים גלובליים לאבטחת מידע (SOC 2, ISO 27001).

Big Data

2. הערכת סיכונים פוטנציאליים לקויה באבטחת הענן

לטעות זה אמנם אנושי, אבל בעולם אבטחת המידע, טעויות אנוש עשויות להיות נקודות אל חזור עבור החברה. משאבי ענן הם פגיעים במיוחד ועל כן משטח ההתקפה בענן הוא הרבה יותר נגיש לתוקף. האתגר נובע מכך שקל מאוד להגדיר באופן שגוי שירותי אחסון ומאגרי מידע בענן. במקרה של מיסקונפיגורציה, נוצר מצב בו ה-Data Base חשוף לעין התוקף. לאחר שהם נותרים חשופים, יהיה קל יחסית לאתר אותם באמצעות כלי מדף לסריקת אתרי אינטרנט.

3. ניהול שגוי של מפתחות ההצפנה בענן

משטח התקפה נוסף נוגע בנושא ה- Private keys וניהול מפתחות ההצפנה בענן. מפתחים נוטים פעמים רבות להשאיר את אותם מפתחות חשופים לתוקפים פוטנציאליים. המשמעות היא חמורה, ודומה לפיזור מפתחות של ביתנו הפרטי במקומות ציבוריים, שאנחנו לא רוצים שיימצאו אותם. חשיפת המפתחות מתרחשת בעקבות תצורת עבודה שגויה, בשל באג או בעיה תפעולית.

תרחיש זה מפחיד במיוחד כאשר מדובר במידע רגיש שחשיפתו עשויה להיות הרסנית ובעלת נזק גדול לחברה. בעולמות של תשתיות ה-On-prem כנראה יהיה שימוש בשירותי צד שלישי לביצוע הזדהות. לעומת זאת, בעולם של אבטחת הענן, מספיקה הגדרה שגויה של שירותים מבוססי ענן, בשביל פריצת המקום הכמוס ביותר בעולם מערכות המידע של ארגון מסוים. 

גיבור על

4. הצורך בתכנון אסטרטגיה מובנית לאבטחת ענן

עבור חברות רבות פרצות האבטחה נוצרות בשל רשלנות. תרבות ארגונית המעודדת אבטחת מידע יכולה לסייע בפיתוח מודעות לעניין. מעבר לסביבת ענן דורש הגדרה של שירותים מבוססי הענן וכן יצירת אסטרטגיה מובנית לאבטחתו. תכנון אסטרטגיה הכרחי ליצירת הגדרות נכונות של הענן ולמניעת פרצות אבטחה. התכנון האסטרטגי מסייע בחסכון של זמן, מאמץ וכסף.

כאנשי אבטחת המידע תהיו שומרי הסף וגיבורי העל של הארגון וגם המקור המקצועי והאמין בשמירה על נתונים ומידע בתוך הארגון. אבל לפני הכול אתם בני אדם וכנגזר מכך אתם עלולים לטעות כמו כל אחד ואחת מאיתנו. עליכם להיות ערניים ולגלות מודעות לטעויות הפוטנציאליות בשביל להגן על הנכסים הארגוניים שלכם.

מקצוע מבוקש בהייטק מדבר אליכם? מגוון משרות מבוקשות מעולם אבטחת המידע והסייבר מחכות לכם אצלנו! >>>

דברו איתי כדי למצוא את המשרה הבאה שלכם!