בין אבטחת מידע לסייבר: תפקידו של המבקר הפנימי
רקע
הפתגם הסיני העתיק "הלוואי שתחיה בזמנים מעניינים", רלוונטי במיוחד בכל הנוגע לתחום ההגנה בסייבר, ומחייב אותנו להתאים את עצמנו לזמנים כאלה הן במישור האישי והן במישור המקצועי.
בעוד שגורמים שונים יענו באופן שונה על השאלה "מה ההבדל בין אבטחת מידע לבין הגנה בסייבר?", אין חולק כי סיכוני סייבר מתממשים חדשים לבקרים, ולכן ארגונים נדרשים להיערך לסיכונים אלו – כאן ועכשיו.
לדעת המחברים, תחום ההגנה בסייבר הוא שינוי אבולוציוני של תחום אבטחת המידע, כאשר בעידן הסייבר ניכרת עלייה חדה ב:
- מספר התוקפים.
- רמת התחכום של התוקפים.
- כמות המטרות לתקיפה ואיכותן.
כפועל יוצא, החלו ארגונים בארץ ובעולם להגדיל את היקף ההשקעה בתחום ההגנה בסייבר, אולם השקעה זו כשלעצמה אינה מספיקה. על הארגון להבטיח כי המשאבים המושקעים בתחום הסייבר מוקצים באופן נכון, בהתאם למפת האיומים העדכנית, תוך שימת דגש גם על תחומים שבעבר נזנחו, כגון ניטור וניהול אירועי סייבר ואבטחת מידע.
מאחר שתחום ההגנה בסייבר חדש יחסית וטרם התייצב בארגונים, נדרשת מעורבותם של גורמי ביקורת וניהול סיכונים, שיבחנו את מפת הסיכונים העדכנית ויבטיחו כי משאבים מוקצים באופן נאות – בהתאם לרמת הסיכונים העסקיים הנובעים מאיומי סייבר.
מאמר זה מבקש לתאר את מאפייני האתגרים שבפניהם ניצבים כיום ארגונים, ולהציג את חשיבות תפקידו של המבקר הפנימי ואת הערך שהוא עשוי להביא, כגורם משמעותי בתהליך ההתמרה, הן לשיפור מוכנות הארגון לעידן הסייבר, והן לצמצום הסיכון לפגיעה משמעותית בפעילות הארגון בהיבטי ציות, פיננסים ומוניטין.
עידן הסייבר
התלות הגוברת של ארגונים בטכנולוגיות המידע, לצד טשטוש גבולות והזמינות של מידע ארגונִי על אמצעי מחשוב פרטיים של עובדים (מגמת ה-BYOD[1]), משפרים ומייעלים תהליכים ארגוניים, אולם בד בבד מחוללים מצב חדש – מצב שבו מידע ארגוני רגיש נמצא ביותר ויותר אמצעי מחשוב, חלקם בעלי רמת הגנה נמוכה ואפילו ביתית. במילים אחרות, מספר המטרות או "הפרסים" עבור גורמים עוינים עולה באופן אקספוננציאלי, כאשר כ-6.5 מיליארד מכשירים מסוגים שונים[2] מחוברים כיום לרשת האינטרנט (לפי הערכות), והצפי הוא כי עד שנת 2020 המספר הזה יגיע ל-50 מיליארד[3], כאשר רמת ההגנה עליהם אינה משתפרת ולעתים אף פוחתת.
בהתאם לאופי הארגון ותחום פעילותו, אותם גורמים עוינים עלולים להיות:
- גופי תקיפה של מדינות;
- האקטיביסטים (Hacktivists);
- טרוריסטים;
- גורמי פשיעה כלכלית;
- גורמים פנים ארגוניים.
אחד ממאפייני התקופה הבולטים הוא פרסום של התממשות סיכוני סייבר במגוון רחב של ארגונים. גם בעבר התממשו סיכוני סייבר ואבטחת מידע שונים, אולם אי חשיפת הנזק על ידי התוקפים סייעה לארגונים לספוג את הנזק ולהצניע את עצם האירוע. כיום, כאשר מחקרים עדכניים מראים כי 90% מהארגונים אישרו כי חוו לפחות אירוע סייבר אחד במהלך 2015[4] , ולאחר אין-ספור מקרים של חשיפת פרטים שנגנבו במהלך תקיפות סייבר, לא ניתן עוד להסתיר את היקף התופעה. גם בארץ התפרסמו אירועים שונים, לרבות:
- חדירת וירוס בפברואר 2016 למחשבי משרד האוצר במטרה להצפין קבצים ולנעול אותם לשם קבלת כופר כספי[5].
- ניסיון סחיטה מצד עובד לשעבר של חברת לאומי קארד באוקטובר 2014, בדרישה לתשלום בסך של 3 מיליון שקלים בתמורה לאי פרסום מאגר הנתונים של 1.5 מיליון לקוחות החברה[6].
- זליגת מידע רגיש בהיבט הביטחוני. בהתאם לדיווחים ממקורות זרים שהתפרסמו ביולי 2014, פרצו האקרים סיניים למחשבי חברות מהתעשייה הביטחונית בארץ וגנבו מידע טכנולוגי רגיש[7].
- התפשטות הווירוס "בני גנץ" במחשבי משטרת ישראל, שהובילה בדצמבר 2012 לניתוק יזום של מחשבי המשטרה מרשת האינטרנט, נוכח החשש לחשיפת מידע רגיש[8].
מאפייני מתקפות סייבר
בדומה לסיכוני אבטחת מידע, התממשות סיכוני סייבר עלולה לפגוע במידע ונתונים בהיבטי סודיות, זמינות ושלמות, להזיק למוניטין ולפעילות עסקית, ואף להוביל לנזק פיזי. עם זאת, מקובל לייחס לתקיפות סייבר מאפיינים המבדלים אותן מהתקיפות ה"מסורתיות" שהיו נפוצות לפני מספר שנים כמפורט להלן[9]:
מאפיין | תקיפות "מסורתיות" | תקיפת סייבר |
פרופיל התוקף | עברייני מחשב יחידים, חובבנים (script kiddies). |
מדינות, טרוריסטים, האקטיביסטים, גופי פשיעה בינ"ל. |
כלי התקיפה | לרוב, שימוש בכלי תקיפה גנריים הזמינים באינטרנט. | שימוש בכלי תקיפה שפותחו במיוחד, או כלים גנריים שעברו התאמות לארגון המותקף. |
וקטור תקיפה | בדרך כלל, שימוש בכלים טכנולוגיים לסריקת רכיבי הרשת הארגונית וחשיפת נקודות תורפה באופן אקראי. | שימוש בכלים טכנולוגיים, וכן ביצוע מתקפות הנדסה חברתית על עובדים וספקים, הן במסגרת הארגון והן במסגרת פרטית דוגמת Facebook. |
יעדי התקיפה | לרוב אקראיים, בהתאם לחולשות האבטחה שזוהו. | נכסי מידע מרכזיים ו/או מערכות ליבה המהוות פלטפורמה לתהליכים עסקיים משמעותיים. היעדים נבחרים מראש ומהווים את המוטיבציה לעצם ביצוע התקיפה. |
משך ביצוע התקיפה | קצר יחסית, תוך ניסיון להפיק ערך כלשהו מהמטרות שבהן זוהו באופן אקראי חולשות. | ארוך – חודשים ואף שנים, תוך התמקדות ביעדים שהוגדרו מראש (APT – Advanced Persistent Threat). |
הערכת סיכוני סייבר
השינוי במאפייני מתקפות הסייבר מחייב להרחיב את מודל הערכת הסיכונים הארגוני כך שיספק מענה גם לסיכונים הנובעים מאיומי סייבר.
מאחר שאיומי הסייבר עלולים להוביל בין היתר להתממשות סיכוני ציות, פיננסיים ומוניטין, או לסיכונים אחרים המשפיעים על התוצאות העסקיות של הארגון, חשוב לשלב את תהליך הערכת סיכוני הסייבר כחלק מהתהליך הארגוני הכולל. בין היתר, יש לוודא כי גורמי הסיכון הכלולים במודל הערכת הסיכונים הארגוני ומסייעים בהערכת הסבירות להתממשות הסיכון מתייחסים גם לאיומי סייבר, אולם מניסיוננו לב העניין הוא יצירת הקשר בין איום הסייבר, הנזק העסקי הפוטנציאלי – והבקרות הטכנולוגיות והאחרות שיסייעו בהפחתת הסיכון.
תחכום איום הסייבר, עוצמתו והשלכותיו – במקרה שהתממש, מחייבים התייחסות בשני רבדים, במסגרת ניהול סיכוני הסייבר:
- ברובד האסטרטגי – מעורבות דירקטוריון והנהלה, לרבות קביעת מדיניות ניהול סיכוני סייבר, הקצאת משאבים וקבלת דיווחים בנושא, בין היתר בוועדת הביקורת של הדירקטוריון[10];
- ברובד התפעולי – גיבוש מפת איומי סייבר רלוונטית לארגון, והמלצה על בקרות שיסייעו בצמצום סיכונים עסקיים הנובעים מאיומי סייבר[11].
מידע נוסף ניתן למצוא בתרגום לעברית של ISACA ישראל למסמך "חוסן סייבר ארגוני: השאלות שדירקטורים צריכים לשאול", הזמין להורדה חופשית[12].
התייחסות כזאת תאפשר ליצור מערך ארגוני של הגנה בסייבר בעל רמת בשלות (Maturity) נאותה, וכן יכולת לשיפור מתמיד, הנדרשת לצורך התמודדות אפקטיבית עם טבעו המשתנה של איום הסייבר.
תקנים מקצועיים לשימוש המבקר
התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA)[13] אינם כוללים התייחסות מפורשת לנושאי אבטחת מידע או סייבר. עם זאת, באשר להיבטי מערכות מידע, תקנים אלה כוללים מספר הנחיות בעלות השלכות ישירות על תחומים אלה:
- הנחיה A3 קובעת כי "מבקרים פנימיים חייבים להיות בעלי ידע מספק אודות עיקרי הסיכונים בתחום טכנולוגיות המידע, הבקרות וטכניקות ביקורת מבוססות-טכנולוגיה…"[14]
- הנחיה A2 קובעת כי "הביקורת הפנימית חייבת להעריך האם פיקוח וממשל טכנולוגית המידע של הארגון תומך באסטרטגיות וביעדי הארגון."[15]
מתודולוגיית הסייבר של National Institute of Standards and Technology NIST –[16], המכון האמריקני לתקנים וטכנולוגיה, שגובשה בשיתוף ארגוני סייבר מקצועיים ובהם ISACA, מתייחסת לחמש דיסציפלינות שבהן יש להתמקד כדי לשפר את המוכנות הארגונית להתמודדות עם סיכוני הסייבר, ולשם יכולת המענה במקרה של התממשותם:
- זיהוי (Identify) – פיתוח ההבנה הארגונית במטרה לנהל את סיכוני הסייבר למערכות ונכסי מידע. הפעולות הננקטות בשלב זה הן ברמת הבסיס – הבנת ההקשר העסקי, המשאבים התומכים בפונקציות הקריטיות וזיהוי סיכוני הסייבר שאליהם הם חשופים. נקיטת הפעולות הללו מאפשרת לארגון למקד ולתעדף את מאמציו בהלימה לאסטרטגיית ניהול הסיכונים הארגוני ולצרכים העסקיים. דיסציפלינה זו נוגעת, בין היתר, להיבטים הבאים: ניהול נכסי מידע, הבנת הסביבה עסקית, ממשל אבטחת מידע וניהול סיכונים.
- הגנה (Protect) – גיבוש ויישום של אמצעי אבטחה נאותים, שיבטיחו את פעילותם הרציפה של שירותים עסקיים, מערכות מחשב ותשתית קריטיים. מטרתה של דיסציפלינת ההגנה היא להגביל או להכיל את ההשפעה של אירוע סייבר פוטנציאלי. פונקציה זו נוגעת, בין היתר, להיבטים הבאים: ניהול בקרת גישה, שיפור מודעות העובדים, ותהליכים ונהלים להגנה על מידע.
- גילוי (Detect) – פיתוח ויישום של הפעולות הנדרשות כדי לזהות את התרחשותו של אירוע סייבר. דיסציפלינת הזיהוי מאפשרת לקצר את טווח הזמן הנדרש לזיהוי אירועי סייבר, במטרה לצמצם את הנזק הנגרם ממנו, והיא נוגעת, בין היתר, להיבטים הבאים: אירועי אבטחת מידע, ניטור מתמיד בהיבטי אבטחת מידע ותהליכי זיהוי.
- תגובה (Respond) – פיתוח ויישום של הפעולות שיש לנקוט בעת זיהוי אירוע סייבר. יכולת התגובה מאפשרת להכיל את ההשפעה של אירוע הסייבר לאחר התרחשותו. דיסציפלינה זו נוגעת, בין היתר, להיבטים הבאים: תכנון מענה לאירוע סייבר, זיהוי פורנזי, תקשור מול גורמים שונים, ניתוח ושיפור מתמיד.
- התאוששות (Recover) – גיבוש סדר פעולות שנועדו לתחזק את תכניות ההתאוששות והשיקום, כתוצאה מאירוע סייבר. ההתאוששות מאפשרת חזרה מהירה לתפעול רגיל תוך צמצום ההשלכות השליליות מאירוע סייבר. דיסציפלינה זו נוגעת, בין היתר, להיבטים הבאים: תכנון התאוששות, שיפורים ותקשור.
באוגוסט 2015 ציין נשיא לשכת המבקרים הפנימיים העולמית (IIA), ריצ'ארד צ'יימברס, את הצורך כי ארגונים יפעלו לשם מניעת חדירת האקרים, והדגיש כי הביקורת הפנימית יכולה לתמוך בתהליך זה[17] . בהמשך לכך, בנייר עמדה רשמי שפרסם ה-IIA תחת הכותרת “Internal Audit’s Key Role in Cyber Preparedness”, הוצגו חמשת המרכיבים הנדרשים כחלק מגיבוש תהליך הוליסטי לשיפור המוכנות לאיומי סייבר[18]:
- הגנה (Protection) – הביקורת הפנימית מספקת גישה הוליסטית לזיהוי (Identifying) נקודות שבהן הארגון עלול להיות פגיע. ממשל אבטחת מידע אפקטיבי הוא קריטי, והביקורת הפנימית יכולה לספק שירותי הבטחה (assurance) בהיבט זה.
- גילוי (Detection) – לעתים ניתוח נתונים טוב מספק לארגונים את הרמז הראשון כי משהו חריג מתרחש. הביקורת הפנימית משלבת עוד ועוד ניתוח נתונים וכלים טכנולוגיים נוספים בעבודתה. על גורמי הביקורת הבכירים לעבוד יחד עם מחלקת ה-IT במטרה להבטיח ניטור של אינדיקטורים מרכזיים, וכן ליצור יחסים מקצועיים הדוקים עם המנמ"ר ומנהל אבטחת המידע במטרה להבטיח את קיומן של בקרות הולמות ואפקטיביות.
- המשכיות עסקית (Business Continuity) – תכנון הולם חשוב לצורך התמודדות והתגברות על מספר תרחישי סיכון העלולים להשפיע על פעילות הארגון השוטפת, בהם תקיפת סייבר. הביקורת הפנימית יכולה לספק בטוחה בראייה כלל ארגונית כי תכנית ההמשכיות העסקית אפקטיבית ויעילה, ונותנת מענה לכך שהלקוחות ובעלי העניין יקבלו שירותים מהארגון בכל מצב.
- ניהול משבר/תקשור (Crisis Management/Communications) – בדומה לתכנון ההמשכיות העסקית, מוכנות לניהול משבר ותקשור בעת משבר יכולים להשפיע באופן משמעותי וחיובי על הלקוחות ועל בעלי העניין והמוניטין של הארגון[19].
- שיפור מתמיד (Continuous Improvement) – בהיבט זה, הביקורת הפנימית יכולה לספק את הערך הרב ביותר, באמצעות מתן תובנות הנגזרות מעבודתה. מוכנות לסייבר משמעה התמודדות מוצלחת עם אירועי סייבר, אולם ללא הפקת לקחים ושיפור מתמיד, לא ניתן להבטיח את ההצלחה בהתמודדות עם האירוע הבא.
פגישה להפקת לקחים עם כלל הגורמים המעורבים לאחר התרחשות אירוע סייבר משמעותי, ובמידת האפשר גם לאחר אירועים בדרגות חומרה נמוכות, יכולה להיות לעזר רב בכל הקשור לשיפור רמת האבטחה ותהליך הטיפול באירועים. בין היתר, ראוי לדון במסגרת הפקת הלקחים בשאלות הבאות[20]:
- מה בדיוק קרה ומתי?
- מה היה טיב המענה מצד צוות התגובה וההנהלה בבואם להתמודד עם האירוע? האם המענה היה בהתאם לנהלים הקיימים או שאלה נזנחו?
- מהו סדר הקדימות שבו נדרש היה לקבל את סוגי המידע השונים לשם טיפול יעיל באירוע?
- האם פעולות מסוימות שננקטו עיכבו את תהליך ההתאוששות?
- מה צוות התגובה וההנהלה צריכים לעשות באופן שונה בעתיד, אם אירוע דומה יתרחש?
- כיצד ניתן לשפר את שיתוף המידע עם ארגונים אחרים?
- אילו פעילויות מתקנות יכולות למנוע אירועים דומים בעתיד?
- אילו אינדיקטורים יש לנטר בעתיד במטרה לזהות אירועים דומים?
- אילו משאבים או כלים נוספים נדרשים לצורך זיהוי, ניתוח וטיפול באירועים עתידיים?
כפי שניתן לראות, המרכיבים המפורטים בנייר העמדה של ה-IIA דומים במידה רבה לדיסציפלינות הכלולות במתודולוגיית NIST.
המענה הנדרש
כמו בכל תחום אחר, על מנת לבצע ביקורת המקנה ערך לארגון, נדרש ידע בתחום המבוקר ותכנית ביקורת אפקטיבית.
לאור הצורך הגובר, גיבשה ISACA מענה נרחב לגורמים השונים העוסקים בתחום ההגנה בסייבר. עבור מבקרי מערכות מידע, העמידה ISACA בין היתר את המשאבים הבאים:
קורס יסודות ההגנה בסייבר – Cybersecurity Fundamentals. קורס זה, שהפך לאחרונה לחלק ממסלול מערכות מידע בבית הספר למנהל עסקים באוניברסיטת בר אילן, מיועד לחסרי ידע מקדים המעוניינים לרכוש את מושגי היסוד בתחום באופן שיטתי ומובנה, שיאפשר להם להוביל פעילויות ביקורת באופן מושכל ובהתאם למפת האיומים העדכנית.
תכנית ביקורת אינטגרטיבית שנועדה לספק לארגון הערכה באשר לאפקטיביות המערך הארגוני להגנה בסייבר – הפעילויות, הנהלים והתהליכים בהיבטי מניעה, הזיהוי וההתמודדות עם סיכוני ואירועי סייבר. תכנית זאת כוללת, בין היתר, התייחסות למרכיבים הבאים[21]:
- הבנה/היכרות עם תשתיות תומכות לנושא הסייבר – ניהול סיכוני סייבר צריך להתבסס על תהליכי עבודה ונהלים. במסגרת זאת יש לראיין גורמי מפתח שונים בארגון, לרבות מנהל מערכות מידע, מנהל אבטחת המידע וקצין הציות, וכן לסקור מגוון מסמכים ובהם: מדיניות אבטחת מידע, תכנית תגובה לאירועי אבטחת מידע, רשימת נכסי מידע ועוד.
- ממשל (Governance) – מעורבות ההנהלה הבכירה במניעת אירועי סייבר בארגון. במסגרת זאת, ההנהלה הבכירה סוקרת באופן תקופתי את המדיניות וההערכות בנושא אירועי סייבר, ולצד זאת קיימת מעורבות של הדרגים הניהוליים של יחידת טכנולוגיות המידע והיחידות העסקיות בהחלטות העקרוניות המתקבלות בנוגע למניעת מתקפה סייבר ובאופן המענה למתקפה.
- תפקיד הגורמים העסקיים במניעת אירועי סייבר – לגורמים העסקיים יש תפקיד חשוב בהקטנת הסבירות להתממשות אירועי סייבר, זאת באמצעות ביצוע התהליכים הבאים:
- ניהול סיכונים – על היחידות העסקיות לזהות את הסיכונים והפגיעויות הקיימים בתחום פעילותן, על ידי ביצוע סקר השלכות עסקיות (BIA- Business Impact Analysis) על בסיס עתי.
- סיווג מידע – מתבצע בכל רחבי הארגון על בסיסי תבנית לסיווג מידע ובהתאם לקריטיות וחשיבות המידע, בדגש על מידע שיכול להוות מטרה לפשיעת סייבר.
- תקשור עם יחידות עסקיות בנוגע לפשיעת סייבר – גורמי ניהול של יחידת טכנולוגיות המידע והיחידות העסקיות מקבלים עדכונים עתיים מיחידת אבטחת המידע.
- כרייה וניתוח של מידע – מבוצעים במטרה לזהות תקיפות סייבר, ומשתכללים באופן רציף על ידי היחידות העסקיות.
- ניהול טכנולוגיות המידע – בהיבטי איום הסייבר, קטגוריה זו מצריכה התייחסות לשני נדבכים:
- אבטחת התשתיות – בחינת אופן ניהול תשתיות המחשוב, לרבות ניהול תצורה, ניטור פעיל ודיווח על אירועי אבטחה.
- תמיכה של הנהלת יחידת טכנולוגיות המידע בצוות תגובה לאירועי אבטחת מידע וסייבר.
- מדיניות ונהלים לניהול אירועי סייבר – מדיניות ניהול משבר צריכה לכלול ולהתבסס על סקר סיכונים ומיפוי של כל נכסי המידע הקשורים לרשת הארגונית. בנוסף, יש להקפיד על פעילות אפקטיבית של צוות תגובה לאירועי אבטחת מידע וסייבר, ערוצי דיווח יעילים ותחקור (forensic) מעמיק של אירועי סייבר.
- צוות התמודדות עם אירועי סייבר (CERT/CSIRT)[22] – צוות זה הוא אחד הנדבכים המרכזיים בטיפול באירועי אבטחת מידע וסייבר במשך כל שלביהם – ניתוח הנתונים הרלוונטיים, קביעת אופי האירוע והשלכותיו, הכלתו ותחקורו. צוות זה אמור לקיים תרגולים על בסיס סדיר, לנקוט צעדי מניעה שונים להפחתת הסיכונים, ולהיות מצויד בכלים הטכנולוגיים המתאימים.
- מודעות עובדים – יש להגביר את מודעות העובדים לצורך בזיהוי אירועים חריגים העלולים להוות אינדיקציה לאירוע אבטחת מידע וסייבר, ולהגדיר עבורם ערוצי דיווח, לרבות ציון הגורמים הרלוונטיים ודרכי ההתקשרות עמם.
כל אחד מהמרכיבים המופיעים לעיל, כמו גם מרכיבים נוספים המפורטים בתכנית הביקורת, נמדדים ומוערכים על בסיס מתודולוגיות מקצועיות בהיבטי סייבר (COBIT 5)[23] וניהול סיכונים (COSO)[24]. שימוש בתכנית הביקורת מסייע למבקר הפנימי לגבש הערכה בדבר בשלות (Maturity) הבקרות הפרטניות בהיבטי מניעה, זיהוי והתמודדות עם סיכוני ואירועי סייבר, וכפועל יוצא – בשלות תחום ההגנה בסייבר בכללותו.
סיכום
איום הסייבר טומן בחובו מגוון רחב של חשיפות לסיכונים, שהתממשותם עלולה לפגוע בפעילות של חברות וארגונים. העובדה כי בשלב זה ארגונים טרם ייצבו את המערך האמור לספק הגנה בפני איומי סייבר, יוצרת צורך, וגם הזדמנות, למעורבות הביקורת הפנימית, אשר תבטיח כי משאבי הארגון מתועלים באופן אפקטיבי, בהתאם למפת האיומים העדכנית והערכת הסיכונים הארגונית. לשם כך, נדרשת הביקורת הפנימית להעמיק ולחזק את הידע ואת היכולות המקצועיות בתחום ההגנה בסייבר.
[1] Bring Your Own Device
[2] https://www.gartner.com/newsroom/id/3165317.
[3] https://www.dpdhl.com/content/dam/dpdhl/presse/pdf/2015/DHLTrendReport_Internet_of_things.pdf
[4] Kaspersky’s IT Security Risks Survey, 2015, p. 3.
[5] https://www.mako.co.il/news-israel/local-q1_2016/Article-87bf08595f1d251004.htm
[6] https://www.themarker.com/markets/1.2587294
[7] https://www.themarker.com/technation/1.2390855
[8] https://www.nrg.co.il/online/1/ART2/411/327.html
[9] הטבלה מבוססת על המקורות הבאים:
ISACA, Transforming Cybersecurity Using COBIT 5, 2013, pp. 30-33.
SANS Institute, Creating a Threat Profile for Your Organization, 2014, pp. 6-23.
[10] להרחבה ראו: ISACA, "חוסן סייבר ארגוני: השאלות שדירקטורים צריכים לשאול", 2015, עמ' 9-7.
[11] להרחבה ראו: ISACA, "חוסן סייבר ארגוני: השאלות שדירקטורים צריכים לשאול", 2015, עמ' 10-9.
[12] להורדת המסמך:
[13] התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים (IIA), מצויים באתר IIA ישראל, theiia.org.il).
[14] התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים (IIA), מצויים באתר IIA ישראל, theiia.org.il), עמוד 21.
בהמשך לכך, ה-IPPF מגדיר את המונח "בקרות מערכות מידע" באופן הבא:
Controls that support business management and governance as well as provide general and technical controls over information technology infrastructures such as applications, information, infrastructure, and people.
[15] התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים (IIA), מצויים באתר IIA ישראל, theiia.org.il), עמוד 29.
בהמשך לכך, ה-IPPF מגדיר את המונח " מערכות מידע" באופן הבא:
Consists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology supports the organization’s strategies and objectives.
[16] NIST, Framework for Improving Critical Infrastructure Cybersecurity, 2014, pp. 8-9.
[17] “Internal Audit’s Key Role in Cyber Preparedness: New report emphasizes holistic approach to cybersecurity”, 17.8.2015.
[18] https://theiia.mkt5790.com/Cyber_Preparedness/?webSyncID=8ee27d04-7740-06a9-1c0c-a0c371645b93&sessionGUID=b399a7b5-183c-e1ab-5897-e57a565d8ca7.
[19] מחקר שנערך בקרב למעלה מ-350 ארגונים בשנים 2016-2014 הראה באופן עקיב כי היקף הפגיעה במוניטין של ארגונים בעלי מנגנון ניהול משבר היה נמוך ב-10% לעומת ארגונים ללא מנגנון זה.
Ponemon Institute, 2016 Cost of Data Breach Study: Impact of Business Continuity Management, p. 13.
במקביל, בסקר שנערך בקרב למעלה מ-400 מנהלים בכירים מרחבי העולם, 77% מהם הגדירו את נושא ההמשכיות העסקית בהיבטי מערכות מידע כאחד משלושת הנושאים בעלי ההשפעה הרבה ביותר על המוניטין העסקי.
[20] NIST, 800-61 Revision 2: Computer Security Incident Handling Guide, pp. 38-39.
[21] ISACA, Cybercrime Audit/Assurance Program, 2012.
[22] CERT- Cyber Emergency Response Team, CSIRT- Computer Security Incident Response Team הם צוותים ייעודיים שנועדו לטפל באירועי אבטחת מידע; צוותים אלה כוללים חברי צוות בעלי מומחיות מסוגים שונים, כלים טכנולוגיים מתקדמים ועוד.