אבטחת מידע – מה זה, כמה וכיצד?

אבטחת מידעחשיבות אבטחת המידע בארגונים, כיצד שומרים על המידע שלנו מפני גורמים לא רצויים.

אבטחת מידע הנה הדרך שבה נשמור על המידע שלנו על מנת שלא יגיע למקומות שאנו לא מעוניינים בכך.

ישנם מספר אבני יסוד בתכנון מערך אבטחת מידע:
א. התנהגות משתמשים
ב. Firewall
ג. אנטי וירוס
ד. Group Policies

א. התנהגות משתמשים
"הדרך הקלה והזולה ביותר לשמור על המידע הוא פשוט לנתק את הרשת הארגונית מרשת האינטרנט".
משפט זה הוא נכון ביסודו אך בלתי ישים בעליל. בכל ארגון עסקי יש צורך רב לגישה למידעים ברשת האינטרנט, להוריד ולהעלות מידע (כגון דוא"ל) גלישה לאתרים וכדומה. אך בבסיס המשפט יש אמת אחת גדולה – מי שגורם למרבית הנזקים באבטחת המידע אלו המשתמשים בעצמם. באמצעות חינוך נכון – לא לגלוש לאתרים לא בטוחים, לא לפתוח דוא"ל ממקומות בלתי ידועים, לא להירשם באתרים לא בטוחים עם כתובת הדוא"ל של הארגון וכדומה, ימנעו מרבית הנזקים הנגרמים מכשלים באבטחת המידע.

ב. Firewall
זהו רכיב, בדרך כלל חומרתי, המותקן כ- Appliance Box (רכיב הכולל גם תוכנה וגם חומרה), המוצב בכניסה לרשת האינטרנט. זהו רכיב אשר תפקידו להפריד בין רשת הארגון לרשת האינטרנט. גם מידע אשר עובר דרכו נבדק, וה- Firewall בודק את המידע האם הוא מתנהג בהתאם לסט החוקים שנקבע. יש לשים לב כי דוא"ל עם וירוס הוא התנהגות חוקית לחלוטין. כיום נהוג כי ב- Firewall המתקדמים מותקנים מנועים של אנטי וירוס על מנת לבדוק את המידע שנכנס לארגון, זאת, עוד לפני שהוא מגיע למערכת השרתים והמחשבים.
כמו כן, היום יש הרבה אתרים אשר מריצים קודים זדוניים (בין בכוונה ובין שלא בכוונה). מנוע האנטי וירוס ב- Firewall, אשר מקונפג נכון, ימנע כניסה של קודים זדונים אלו לרשת הארגונית.

ג. אנטי וירוס
זהו רכיב תוכנתי אשר אמור להיות מותקן בכל המחשבים והשרתים בארגון. ישנם סוגים רבים של אנטי וירוס אך יש לזכור כי בבחירה של אנטי ורוס יש לבחור בחברה מוכרת, ויותר חשוב סוג התמיכה שהיא מעניקה בנושא רשתות. בנוסף, יש לבחור את המוצר המתאים לפי השירותים הרצים בשרת. לדוגמא : שרת Exchange דורש מנוע אנטי וירוס בפני עצמו.

ד. Group Policies
זהו רכיב תוכנתי, שבאמצעותו ניתן למנוע כמעט לחלוטין את כל סכנות אבטחת המידע. רכיב זה הוא חינמי. רכיב זה מתאים לרשתות עם שרתים. באמצעות רכיב זה נגדיר באופן פרטני מה מותר ומה אסור לכל משתמש. אם נאסור הרצה של קודים, התקנת תוכנות, שינויים בקבצי מערכות ההפעלה של המחשבים, ועוד, נקבל רשת בטוחה. למרות זאת, יש לזכור כי הפעילות ברשת הנ"ל תהיה לא נעימה למשתמש.

לסיכום
ברשתות של חברות קטנות ובינוניות יש אפשרות להגיע, בעלות יחסית קטנה, לרמות אבטחת מידע גבוהות יחסית. הדבר תלוי דבר ראשון במשתמשים עצמם, באופן ההגדרה של הרשת וברכיבי התוכנה והחומרה.

כותב המאמר: איב ויינשטיין מנהל מחלקת מחשוב ורשתות טל-אר