עיריית רמת-גן | דו"ח מבקר העירייה 2022

First page Table of contents Previous page 399 Next page Last page

עיריית רמת גן ו"ח מבקר העירייה לשנת 2022

היערכות העירייה לשרידות מערכות מיד ע בקרות אירועי סייבר

10 . עיצוב הפתרון

תורת ההגנה 2021 קובעת כי ככלל, לא ניתן לקיים פעילות ללא חשיפה לסיכון. השקעת תשומות

להפחתת הסיכון צריכה להתבצע תוך שקלול מספר פרמטרים , ביניהם:

מבחן עלות- תועלת כלכלית לארגון;

משך ההטמעה;

רמת הסבירות להתממשות הסיכון;

• חובות משפטיות של הארגון מכוח התקשרות עם ספקים ו/או מכוח חוק ורגולציה; • שיקולים מוסריים.

בסוף שלב זה, על הארגון לקטלג כל אחד מהסיכונים תחת אחת מארבע האפשרויות בהן מקובל

לטפל בסיכון:

קבלת הסיכון- Risk acceptance

•במקרה שבו הסיכון אינו גבוה, ייתכן שהארגון יחליט לבצע את הפעילות ללא יישום של בקרות הגנה ייעודיות. אפשר להחליט לקבל את הסיכון גם במקרה שבו הצעדים הנדרשים להפחתתו עולים על סף המשאבים שאותם הארגון מוכן להשקיע מול איום מוגדר. •לדוגמה: ייתכן שארגון יחליט כי הגישה למחשבים תתבצע ללא תהליך של הזדהות חזקה , בגלל העלות הכרוכה בהטמעת מנגנון הזדהות חזקה או בשל ייחוס משקל נמוך לסיכון לכך שמידע שבמערכת ידלוף.

הפחתת הסיכון- Risk reduction

•אם הפעילות הארגונית חייבת להתבצע למרות הסיכונים הגלומים בה, אפשר לבחון יישום של בקרות הגנה שמפחיתות את הסבירות להתממשות אירוע סייבר. •לדוגמה: אם לארגון יש עמדות מכירה שמבצעות סליקה באמצעות כרטיסי אשראי, מקובל ליישם בקרות הגנה להפחתת הסיכון שידלפו מהן פרטי אשראי. בקרות אלו עשויות לכלול מניעת חיבור התקנים חיצוניים, ניהול הרשאות על תחנות העבודה, הצפנת הנתונים הרגישים ועוד.

העברת הסיכון- Risk Transfer

•במקרים שבהם יש לבצע את הפעילות, אך הארגון אינו מעוניין להחזיק במשאבי ההגנה הנדרשים (ידע, כלים, כוח אדם וכו'), אפשר להעביר את הפעילות לצד ג'. •לדוגמה: אם ארגון מעוניין להקים אתר אינטרנט או פרופיל ברשתות החברתיות, אבל אין בידיו את המשאבים הנדרשים להגנה עליו, ייתכן שהביצוע יועבר לקבלן משנה אשר יקים את האתר/ פרופיל ויגן עליו. אפשרות נוספת להעברת סיכון היא רכישת ביטוח סייבר נגד הסיכון הרלוונטי. עם זאת, יש לתת את הדעת כי פעמים רבות החוק אינו מסיר את אחריות הארגון במקרה של אירוע סייבר, למשל דליפת מידע אישי.

דחיית הסיכון- Risk avoidance

•במקרים שבהם רמת הסיכון גבוהה מאוד והסבירות להתממשותו גבוהה, אפשר להחליט לדחותאת הסיכון באמצעות "איפוס הסבירות להתממשותו". •לדוגמה: אם הנהלת הארגון מבינה כי אין בידיה את הידע והכלים להגן על מאגר המידע שהיא רוצה להקים, ייתכן כי יוחלט שלא להחזיק מאגר כזה, או שלא לאחסן בו מלכתחילה מידע רגיש מאוד.

399

Made with FlippingBook Annual report maker