דברו איתנו

GRC – ניהול ממשל, סיכונים ותאימות

בעידן הדיגיטלי של היום, תחום ה – GRCGovernance Risk and Compliance הפך למרכיב חיוני בניהול עסקי מוצלח.

ממשל (Governance)תהליכים ומבנים שנועדו להבטיח שהארגון יפעל בצורה אחראית, אתית ויעילה.

סיכונים (Risk)זיהוי, הערכה וניהול של סיכונים פוטנציאליים שיכולים להשפיע על השגת מטרות הארגון.

תאימות (Compliance)עמידה בתקנים, חוקים ורגולציית תאימות רלוונטיות.


איש ה – GRC הוא מומחה בתחום ניהול ממשל, סיכונים ותאימות בארגון. תפקידו כולל הבטחת עמידה בתקנים רגולטוריים, זיהוי וניהול סיכונים, פיתוח תהליכים ונהלים לשיפור התנהלות הארגון. תחום האחריות שלו כולל את:

ניתוח סיכונים פוטנציאליים והערכת ההשפעה שלהם על הארגון.

כתיבת מדיניות ונהלים לניהול סיכונים ותאימות.

ביצוע בדיקות וסקרים, לוודא עמידה בתקנים רגולטוריים ודרישות פנימיות. 

העברת הדרכות לעובדים בנושאי אבטחת מידע ותאימות.

הכנת דוחות להנהלת הארגון על מצב הסיכונים והתאימות.

טיפול באירועי אבטחת מידע ותכנון תגובה.

בדיקות תקופתיות להערכת מצב האבטחה והתאימות.

זיהוי הזדמנויות לשיפור תהליכי GRC בארגון.

איש ה – GRC כפוף בדרך כלל למנהל האבטחה הראשי (CISO – Chief Information Security Officer) או למנהל הסיכונים הראשי (CRO – Chief Risk Officer).

בארגונים גדולים יותר, הוא עשוי להיות כפוף גם למנכ"ל (CEO – Chief Executive Officer) או למנהל הכספים הראשי (CFO – Chief Financial Officer).

תפקיד איש ה – GRC חיוני להבטחת פעילות תקינה ובטוחה של הארגון בכך שהוא מבטיח שהארגון יעמוד בדרישות רגולטוריות, יזהה וינהל סיכונים בצורה יעילה, וימנע אירועי אבטחה ותאימות שעלולים לגרום לנזק כלכלי או למוניטין.

הסיכונים הגדולים ביותר שעומדים מול אחראי ה – GRC 

  1. פישינג: התקפות המבוססות על התחזות, שמטרתן לגנוב מידע רגיש.
  2. תוכנות כופר (Ransomware): התקפות שמטרתן לנעול את המידע ולדרוש כופר עבור שחרורו.
  3. דליפת מידע (Data Breach): גניבת מידע רגיש על ידי תוקפים.
  4. התקפות על שרשרת אספקה: התקפות המנצלות חולשות אצל ספקים חיצוניים.
  5. מניפולציות תאימות ברשתות חברתיות: ניצול רשתות חברתיות להפצת מידע כוזב או גניבת זהויות.

 

שנת 2024 רוויה בהתקפות פישינג מתוחכמות יותר, כולל שימוש בבינה מלאכותית ליצירת הודעות מותאמות אישית. המדד השנתי מראה עלייה בהתקפות תוכנות כופר שממוקדות בארגונים חיוניים. קיימת מגמת התמקדות במתקפות על תשתיות קריטיות, כמו מתקני מים וחשמל.

להלן מספר דוגמאות עבור איש ה GRC שהוא עלול להיתקל בהן

סיפורי פישינג ב – SMS כוללים הודעות שמתחזות לבנקים או חברות מוכרות ומבקשות מהמשתמשים ללחוץ על קישור ולהזין פרטים אישיים.

לדוגמה, משתמש מקבל הודעה מ"חברה סלולארית" עם הודעה על בעיה בחשבון ובקשה לעדכן פרטי כרטיס אשראי או מ "שירות דואר" לעדכן פרטי משלוח \ לשלם אגרת משלוח או מס.


התחזות בשיחה טלפונית יכולה לכלול תוקף שמתחזה לנציג בנק \ שירותי הביטחון \ צבא וממשל – ומבקש פרטים אישיים או קוד אימות. לדוגמה, אדם מקבל שיחה מ"נציג בנק" שמודיע לו על פעילות חשודה בחשבון ומבקש את קוד ה – SMS שהוא קיבל.

 

מיילים פישינג נפוצים כוללים הודעות מ"הבנק" או "חברת כרטיסי אשראי" שמבקשות מהנמען ללחוץ על קישור ולהזין פרטים אישיים.

לדוגמה, מייל מ"פייפאל" שמודיע על פעילות חשודה ומבקש מהנמען לאמת את זהותו.

 

פישינג ברשתות החברתיות כולל הודעות שמודיעות על זכייה בפרסים או הצעות מפתות.

לדוגמה, בפייסבוק: "זכית בהגרלת אייפון רק ב – 30 דולר! לחץ כאן לקבלת הפרס". באינסטגרם: "לחץ על הקישור כדי להיות מפורסם!".

 

התחזות בוואטסאפ כוללת הודעות שמתחזות לקרוב משפחה ומבקשות קוד אימות. לדוגמה, הודעה מאחד מאנשי הקשר שלכם (סביר להניח שפרצו אליו) שמבקש את קוד ה SMS שהוא קיבל בטעות.

 (מוזמנים לחפש במדריכים את המצגת מודעות שלנו)

 

מה הם תפקידי איש ה GRC בפועל ?

הבנת הצרכים והסיכונים לפני שמתחילים בתהליך GRC, חשוב להבין את הסיכונים והצרכים הייחודיים של הארגון:

  • זיהוי סיכונים: עריכת רשימה מקיפה של כל הסיכונים האפשריים, כולל סיכוני סייבר, סיכונים תפעוליים, סיכוני פיננסים ועוד.
  • הערכת סיכונים: קביעת רמת הסיכון (נמוכה, בינונית, גבוהה) על בסיס ההשפעה הפוטנציאלית והסבירות להתרחשות.

 

בניית מסגרת GRC לאחר זיהוי והערכת הסיכונים, יש לבנות מסגרת GRC שתספק תשתית לניהול הממשל, הסיכונים והתאימות:

  • מדיניות ונהלים: כתיבת מדיניות ונהלים ברורים לניהול סיכונים ותאימות.

לדוגמה, נוהל לניהול אבטחת מידע או מדיניות לניהול סיכוני סייבר.

  • מבנה ארגוני: קביעת תפקידים ואחריות בכל הקשור ל – GRC.

לדוגמה, מינוי קצין אבטחת מידע (CISO – Chief Information Security Officer) ואחראי סיכונים (CRO – Chief Risk Officer).


יש להשקיע בחינוך והדרכה: הקפדה על הכשרה שוטפת של עובדים בכל הרמות בנושאי GRC.

יש להשתמש בכלים טכנולוגיים: השקעה במערכות ותוכנות לניהול סיכונים ותאימות, כמו RSA Archer, MetricStream, ו – ServiceNow.

יש לבצע בדיקות וסקרים קבועים: בדיקות אבטחה פנימיות וחיצוניות, סקרים להערכת עמידה בתקנים ורגולציית תאימות.

לתעד כל תהליך: תיעוד קפדני של כל תהליך, אירוע וסיכון לניהול טוב יותר ולעמידה בראיות.

אסור להתעלם מהסיכונים: התעלמות מסיכונים עלולה לגרום לנזקים חמורים. חשוב להכיר ולטפל בכל סיכון, קטן ככל שיהיה.

אסור להזניח את התאימות: חוסר עמידה בתקנים ורגולציית תאימות עלול להוביל לקנסות ולפגיעה במוניטין.

אסור להזניח את ההדרכה: עובדים שאינם מודעים לסיכונים ולנהלים עלולים לבצע טעויות קריטיות.


תהליך ניהול תאימות:
    • בדיקת החוקים והתקנים החלים על הארגון.
    • פיתוח ויישום נהלים לעמידה בתקנים ורגולציית תאימות.
    • ביצוע סקרים ובדיקות לעמידה בנהלים.

 

ביצוע מבדקי פישינג:

    • שימוש בתוכנות כמו KnowBe4 או Cofense או Dcoya לביצוע מבדקי פישינג.
    • ביצוע מבדקים חודשיים להערכת מוכנות העובדים.
    • טיפול בעובדים שנפלו בתרגיל על ידי העברת הדרכות נוספות ודיווח למשאבי אנוש לפי הצורך.

בדיקות אבטחת מידע:
    • ביצוע בדיקות אבטחת מידע פנימיות וחיצוניות באופן רבעוני.
    • שימוש בכלים כמו Nessus או Qualys או Pentera לאיתור פגיעויות.
    • דיווח ממצאים להנהלה ופיתוח תוכניות לתיקון פגיעויות.

 

לעבוד עם מערכות לניהול GRC

  1. RSA Archer: מערכת מקיפה לניהול סיכונים ותאימות, מציעה מגוון רחב של מודולים לניהול סיכונים, תאימות, ותקריות.
  2. MetricStream: פלטפורמת GRC המספקת כלים לניהול סיכונים ארגוניים, תאימות ובקרות.
  3. ServiceNow: מערכת GRC המשלבת ניהול תהליכים, ניהול סיכונים וניהול תאימות בפלטפורמה אחת.
  4. Commugen: מערכת GRC לניהול סיכוני סייבר, רגולציה, שרשרת אספקה ותורת ההגנה הארגונית.

 

נוהל אבטחת מידע:

    • כל משתמש חייב להשתמש בסיסמאות חזקות ולהחליפן כל 90 יום.
    • גישה למשאבים קריטיים מוגבלת על פי עקרון המינימום ההכרחי.

נוהל ניהול פישינג:
    • כל העובדים מחויבים להשתתף בהדרכות פישינג רבעוניות.
    • תרגילי פישינג יבוצעו כל חודש עם דוחות שיפור.

 

תהליך בדיקת תאימות:

    • איסוף מידע על דרישות רגולטוריות.
    • ניתוח עמידה בדרישות.
    • פיתוח תוכניות פעולה לתיקון ליקויים.

תהליך הערכת סיכונים:
    • זיהוי סיכונים חדשים.
    • הערכת השפעה וסבירות (מפת חום).
    • ניהול ומעקב אחרי תכניות פעולה להפחתת סיכונים
      (מיטיגציה).

 

הדרכה לעובד חדש:

    • מבוא ל – GRC ולמדיניות הארגונית.
    • נהלי אבטחת מידע ושימוש בטוח ברשת הארגונית.
    • הדרכת פישינג וזיהוי התקפות סייבר.

הדרכה למחלקה:
    • עדכון על סיכונים חדשים והפחתת הסיכונים.
    • סקירת אירועים אחרונים ולקחים שנלמדו.
    • תזכורת על נהלי תאימות ודרישות רגולטוריות.

 

תוכן מצגות:

  • מבוא: הסבר כללי על GRC ומטרות ההדרכה.
  • נהלים: פירוט נהלי אבטחה ותאימות רלוונטיים.
  • סיכונים: דוגמאות לסיכונים ותקריות, ואיך להתמודד איתם.
  • משימות: הדרכה מעשית על משימות אבטחה יומיומיות.
  • שאלות ותשובות: זמן לדיון ושאלות מהעובדים.

 

מבדקים, סקרים ומפת חום:

  • מבדקי פישינג: בדיקות פישינג חודשיות להערכת מוכנות העובדים.
  • מבדקי אבטחה: בדיקות אבטחת מידע רבעוניות להערכת מצב האבטחה בארגון.
  • מבדקי חדירות: בדיקות חדירות תשתיתיות ואפליקטיביות כל 18 חודשים וכל העלאת גרסה. 
  • סקרי שביעות רצון: סקרים שנתיים לבדיקת שביעות רצון העובדים מהדרכות ונהלים.
  • סקרי תאימות: סקרים תקופתיים לבדיקת עמידה בתקנים ורגולציית תאימות. 
  • שימוש במפת חום: לזיהוי אזורים רגישים בארגון מבחינת סיכונים. עדכון מפת החום: באופן שוטף על פי ממצאי מבדקים וסקרים.

 

——

נכתב על ידי: רז זדה, תום מלכה ואושר עשור.
ILCD – Israel Cyber Defense
אתר להגנת סייבר אזרחי