בעולם העסקי של ימינו מערכות המידע הממוחשבות הן חלק אינטגרלי בתהליכי העבודה. הצורך להסתמך על המידע המופק והמעובד ממערכות המידע דורש מהארגונים לוודא את נכונות, שלמות ודיוק המידע השמור בהן.

ב- RSM שיף הזנפרץ ושות' רו"ח מחלקת ביקורת IT (מערכות מידע) והגנת סייבר , המעניקה שירותים מתקדמים על ידי צוות עובדים מיומן המורכב מרואי חשבון בעלי השכלה וידע בתחום המחשוב ומערכות המידע, בעלי ניסיון בביצוע מאות עבודות בתחום מערכות המידע במגוון רחב של ארגונים ובמערכות מידע שונות.

להלן פירוט השירותים:

החלפת מערכת מידע

  • כתיבת המכרז (RFP) לצורך הפצה לספקים רלוונטיים, המסמך יכלול בין השאר: יעדים להשגה, תהליכי עבודה בארגון, מערכות וממשקים קיימים ועתידיים, מודולים נדרשים, התחייבויות הספק, אבטחת מידע, לוחות זמנים, בקשה להצעת מחיר מפורטת ובמבנה אחיד.

  • ייעוץ בבחירת המערכת והספק המיישם בהתאם למענה במכרז, תוך שקלול קריטריונים איכותיים וכמותיים.
  • ייעוץ בנושאים המסחריים מול הספק, שמירת האינטרס של הארגון מול הספק הנבחר.
  • ייעוץ בבניית הארכיטקטורה ותמיכת המערכת בתהליכים ובצרכים של הארגון וזאת מניסיוננו רב השנים בפרויקטים דומים, בדיקת האפיון שנכתב ע"י הספק ומתן דגשים לחוסרים או לתהליכים שלא אופיינו כנדרש.
  • ייעוץ וסיוע בהכנת תשתית נתונים תומכת בדיווח ניהולי וכספי, וכן טיוב נתונים באמצעות כלים ממוחשבים ייעודיים.
  • הכנת תסריטי בדיקה וביצוע בדיקות יחד עם משתמשי המפתח לוודא שהתהליכים נתמכים כנדרש במערכת בהתאם לאפיון המפורט, בדיקת ממשקים ואינטגרציה עם מערכות אחרות.
  • מעבר על חומרי ההדרכה והצטרפות לחלק מההדרכות לוודא מיקוד הדרכות נכון בהתאם לתהליכים שאופיינו.
  • סיוע בהכנת יום העלייה לאוויר וניטור הפעולות במערכת לאחר העלייה לאוויר.
  • ביצוע בדיקות באמצעות כלים ממוחשבים ייעודיים לזיהוי חריגים בהסבת הנתונים מהמערכות הישנות למערכת החדשה.

ליווי והכנה להסמכה לתקני אבטחת מידע  ISO 27001

תקן ISO 27001 הינו תקן בינלאומי לניהול מערכת אבטחת המידע בארגון, אשר נקבע על ידי ארגון התקינה הבינלאומי.

התקן מגדיר כללים ברורים והנחיות מפורטות הנדרשות ליישום תקין של תהליכי אבטחת המידע בארגון, לרבות הנחיות להקמה, ניהול ותחזוקה של מערכת אבטחת המידע המתאימה לארגון.

תקן ISO 27001 מאפשר לבחון את הסיכונים הקיימים בארגון ומהווה יסוד למערך אבטחת המידע הכולל של הארגון.

הסמכה לתקן ISO 27001, מוכיחה כי הארגון נוקט באמצעים המתאימים בכדי לממש את מחויבותו לשמירה על המידע ולנהלו בצורה יעיל ובכך מגביר את אמינות הארגון והשירותים אותם הוא מספק.

משרדנו מתמחה בהכנת ארגונים ועמידה בתקן ISO27001 החל משלב המיפוי ועד לקבלת ההסמכה ע"י מכון התקנים.

PCI/DSS - Payment Card Industry Data Security Standard

התקן שנוצר על ידי 5 חברות כרטיסי האשראי הגדולות (ויזהמסטרקארדJCB, Discover ואמריקן אקספרס) כדי להבטיח הגנה על נתוני כרטיסי אשראי בכל סביבה בה הם מאוחסנים, מועברים או מעובדים. התקן כולל דרישות שונות ליישום בקרות אבטחת מידע במטרה ליישם הגנה בארגונים המטפלים בפרטי כרטיסי אשראי באמצעים שונים כגון קופה רושמת, ארנקים אלקטרוניים, אתרי אינטרנט, מכונות ממכר אוטומטיות וכספומטים.

מטרת התקן הינה: להגביר את השליטה בנתוני אשראי ולהפחית את הסיכון להונאות כרטיס האשראי הנגרמות מחשיפה לא מבוקרת של נתונים. אימות העמידה בתקן נעשה בצורה שנתית על ידי מעריך עצמאי (QSA) עבור ארגונים המבצעים מספר גדול של פעולות חיוב, ועל ידי שאלון עצמי עבור ארגונים המחזיקים בפעילות קטנה יותר.

לאנשי משרדנו קימת ההסמכה לבצע הערכת עצמאית לארגונים שונים עבור תקן PCI/DSS. הערכת ה- PCI שלנו מעריכה את עמידת הארגון בתקן PCI DSS, מזהה תחומי אי עמידה ומספקת המלצות כיצד לשמור על תאימות לאורך השנים לתנאי התקן. כמו כן מספק משרדנו סיוע לארגונים קטנים במילוי שאלוני הערכה העצמת לצורך קיום התאימות לתנאי התקן.

תקנות הגנת הפרטיות

ביום 21 במרץ 2017 אישרה ועדת חוקה, חוק ומשפט שבכנסת ישראל את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017 . תקנות אלה מפרטות את אופן יישומה של חובת אבטחת המידע המחייבת על פי חוק כל גורם המנהל או מעבד מאגר של מידע אישי.

התקנות פורסמו ברשומות כבר ביום 8 במאי 2017, ונכנסו לתוקף ביום 8 במאי 2018.

התקנות החדשות נועדו להטמיע עקרונות אבטחה בשגרת ניהול המידע בארגון לשם מימוש תכלית חוק הגנת הפרטיות, זאת כדי לענות על הצורך הגובר בוודאות נורמטיבית, קביעת רף מינימאלי אחיד וברור והתאמה לנורמות העדכניות בעולם בכל הקשור לשמירה על פרטיותם של האזרחים.

התקנות קובעות מנגנונים ארגוניים ודרישות מהותיות (ניטרליות מבחינה טכנולוגית), שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון. בין החידושים, מטילות התקנות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו"ט), ולפי דרישתה חובת דיווח גם לאנשים שהמידע שנחשף נוגע אליהם.

על מי חלות התקנות?

התקנות חלות על כל המשק הישראלי כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע בישראל, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים.

עיקרי התקנות וחובותיהן:

  • אפיון המידע המוגן ויצירת מסמך הגדרות מסודר.
  • מיפוי מערכות המאגר וביצוע סקר סיכונים.
  • הכנת נוהל אבטחת המידע הארגוני ונוהל התמודדות עם אירועי אבטחת מידע.
  • קביעת הוראות מהותיות בניהול אבטחת המידע של הארגון.
  • חובות ישימות בשמירת מידע ועיבודו.
  • חובת דיווח על אירוע אבטחה חמור.

מאגרי מידע בעלי רגישות בינונית וגבוהה מחייבים ביצוע מבדקי חדירה, ביקורות פנימיות וציות, הטמעת אמצעי אבטחה מתקדמים ועוד.

משרדנו מתמחה בהכנת ארגונים ועמידה בדרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017.

תכנון ויישום מדיניות למניעת דלף מידע

כל ארגון צריך לשאול את עצמו – "אם מידע ארגוני מסוים ייחשף, האם תהיה פגיעה בארגון?", דליפת מידע רגיש שמגיע לידיים הלא-נכונות מתרחשת היום בכל ארגון, בין אם בכוונת זדון או בטעות. בעידן שבו הלב של כל ארגון הוא המידע, שמירה על הסודיות שלו הינה אחת המטרות העיקרית של כל תעשיית אבטחת המידע. כמו כן, בעקבות כניסה לתוקף של תקנות הגנת הפרטיות  (אבטחת מידע), התשע"ז–2017 ורגולציות נוספות כגון ה- GDPR מחויבים ארגונים בעלי מאגרי מידע הכוללים פרטים מזהים של אזרחים לשמור על המידע שברשותם.    

במשרדנו קיים צוות מיומן המציע שירותי ניהול פרוייקטים להטמעת מערכות למניעת דלף מידע בכל ארגון באשר הוא.

כמו כן, הצוות יסייע בתכנון מדיניות אבטחה למניעת דלף מידע כך ש:

  • יכוסו כל ערוצי דלף המידע שקיימים בארגון.
  • יחסכו עלויות תיקון נתונים שנפגעו
  • יזוהו מראש של פעילויות חשודות עוד טרם איבוד המידע.

ביצוע סקרי סיכוני מערכות מידע וסייבר

סקר סיכוני מערכות מידע וסייבר בארגון הינו תהליך של מבדק, זיהוי והערכה של כלל הסיכונים והפערים הקיימים בארגון מבחינת מערכות המידע, אבטחת המידע, חשיפה לסיכוני סייבר ו/או היערכות למצבי חירום, שיכולים לגרום לכשל תפקודי או הפסקת פעילות שוטפת בארגון. הסיכונים יכולים לנבוע בתוך ומחוץ לארגון ע"י גורמים עוינים. ומטרת הסקר היא לאפשר ניהול סיכונים בארגון בצורה מיטבית.

סקרי סיכונים יכולים להתבצע על כלל הארגון, על תהליכי ליבה בארגון ו/או על מערכות ספציפיות.

לצוות המומחים שלנו קיים ניסיון רב בביצוע סקרי סיכונים והערכות סיכונים בתחום מערכות מידע, אבטחת מידע וסייבר בקהל לקוחות מגוון החל מהעולם הפיננסי, חברות קמעוניות, E-Commerce, חברות פארמה והייטק. עולם הסיכונים והחשיפות יבוצעו בהתאמה ובגמישות לפעילות הליבה של הארגון ומתוך הבנת צרכיו. כל זאת יעשה בתמיכה הבלעדית של RSM העולמית – חברת הייעוץ השישית בגודלה בעולם.

במסגרת הסקר קיימת האפשרות לביצוע מבדקי חדירה פנימיים וחיצוניים – מבדקי החדירה יבוצעו ע"י אנשי Hands-on מהשורה הראשונה מתוך הכרה של התרבות האירגונית.

במסגרת ביצוע סקר הסיכונים יסייעו המומחים שלנו לארגון בבניית מתודולוגיה קוהרנטית ועקבית לזיהוי והערכת נכסי המידע של ארגון, זיהוי רמת הסיכון השורשי והשיורי מתוך התחשבות בתיאבון הסיכון המוצהר של כל ארגון באשר הוא. בנוסף, מתן המלצות להפחתת הסיכון יעשו בשיתוף הארגון מתוך התחשבות באילוצי כ"א, ועלות תועלת.

כמו כן, נסייע בבנייה ומעקב אחר תכנית הפחתה שהוגדרה.

הדרכות להגנה מפני מתקפות סייבר

ב- RSM ישראל בנינו מערך שלם של הדרכות ארגונים כנגד מתקפות סייבר.

אנו מציעים תכנית לימודים מקיפה ומותאמת לכל ארגון לצורך העצמת משתמשי קצה, מפתחים, מנהלי מערכות וצוות אבטחת סייבר, באמצעות הרצאות ו/או הכשרות ב- live.

במסגרת ההדרכות החניכים יקבלו כלים כיצד להתגונן מפני התקפות "הנדסה חברתית", כיצד להגן בהצלחה על נכסי החברה השונים וכיו"ב.

שירותי תגובה אירועי סייבר

אירוע סייבר הינו אירוע אשר במהלכו מתבצעת תקיפת מערכות מחשוב ו/או מערכות ותשתיות משובצות מחשב על ידי, או מטעם, יריבים (חיצוניים או פנימיים לארגון) אשר עלולה לגרום להתממשות סיכון סייבר. יצוין, כי בהגדרה זו נכללים גם ניסיון לביצוע תקיפה כאמור גם אם לא נגרם נזק בפועל.

ניהול אירוע סיבר הינו תהליך מובנה, אשר מתייחס לשלבים הבאים:

  1. זיהוי (Detection) - ביצוע בירור ראשוני בדבר קיומו של אירוע סייבר וגיבוש מהיר ככל האפשר של דפוס הפעילות הדרוש לשלב הבא אחריו.
  2. ניתוח (Analysis) - ביצוע בירור מקיף ומעמיק ככל האפשר לגבי אירוע הסייבר, לצורך קבלת החלטות ברמה האופרטיבית, גיבוש רשימת חלופות של דפוסי פעולה אפשריים לבלימת התקיפה והחלטה על דרך הפעולה העיקרית לשלב ההכלה
  3. הכלה (Containment)  - השגת שליטה ראשונית באירוע לצורך הכלתו ועצירת החמרתו והשגת יעדיו. ביצוע תהליך השתלטות על מערך התקיפה, בתוך הארגון המותקף, ועצירה מלאה של ווקטור הנזק.
  4. הכרעה (Eradication) - נטרול רכיבי התקיפה שמצויים במערכות הארגון, תוך שאיפה לבטל או למזער, ככל שניתן, את הנזק שכבר נגרם.
  5. השבה (Recovery) - חזרה לתקינות ופעילות מלאה של כל פעילות הארגון  המותקף שהושבת, הוגבל או הופרע תפקודו.

כאמור, מתן תגובה לאירוע סייבר אינו תהליך פשוט. מענה לא מסודר ו/או שליפה מהמותן עלולה לגרום לבעיות חמורות יותר ולהביא את הארגון למצב של כאוס. תהליך ניהול אירוע סייבר כולל דגשים רבים ותהליך סדור מראש.

יועצינו יסייעו לכל ארגון בכתיבת מדיניות ונהלים שמטרתם הכנת הארגון בקביעת דרכי פעולה לצורך מתן תגובה ו/או הכלה לאירוע סייבר כשיקרה.

כמו כן, כאשר מתרחשת הפרה בפעילות הארגון יועצי אבטחת המידע שלנו יוכלו לקבוע את היקף האירוע, להסיר תוקפים מהסביבה המיחשובית ו/או תפעולית ולאבטח מחדש את רשת הארגון.