BKinfosec cyber and information security

Cyber Security

יעוץ באבטחת מידע וסייבר
יישום מערכות אבטחת מידע בארגון הינו תהליך מורכב אשר תומן בחובו השקעה כספית מצד אחד ורצון לקבל את מירב היכולות של המוצרים או השירותים הקיימים היום בתחום אבטחת המידע והגנת הסייבר , חברתנו מתמחה בסיוע לחברת צעירות סטארט-אפ וחברות ותיקות  בבחירת טכנולוגיות אשר עוזרות לארגונים לעמוד ברגולציות והתקנים השונים , המומחים שלנו יודעים לתת חוות דעת מקצועית ובלתי תלויה על מוצרי ומערכות אבטחת מידע וסייבר .
סיוע בעמידה בתקנות הגנת הפרטיות
במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות בתחום אבטחת המידע. התקנות חלות על כל המשק הישראלי ובפרט על ארגונים שבהגדרתם בעלי מאגר מידע ברמת אבטחה מסוימת, והם מבקשים להגן על המידע הרגיש המצוי במאגר. הגנה על כלל נכסי המידע של הארגון הקשורים במידע פרטי/רפואי/עסקי/פיננסי/רגיש ואופן הציות לרגולציה והמוניטין שבנתה, ברמה הגבוהה ביותר אינה ראלית ואינה אפשרית אלא אם כן נדאג להתאימה למידת הרגישות והסיכון הנובעים בעבודה מול כל אחד ואחד מאותם גורמים. אובדן חלק מנכסי המידע על ידי ספק, שותף ו/או עובד מוטרד ופגיעה בנכסי מידע אחרים יכולים לפגוע בהתנהלות החברה בצורה אנושה. נכסי המידע הקריטיים הינם הנכסים והתהליכים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי על ידי אותם גורמים, ייצרו נזקים משמעותיים לארגון. לכן, על הארגון למפות, להחליט ולשלוט על המידע המועבר לגורמי צד ג’ הנמצאים בעבודה שוטפת מולו ואשר יש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן ואילו בקרות הגנה יש ליישם בתהליך מולם על מנת לצמצם את הסיכון שבזליגת המידע. חברתנו תלווה אתכם בצורה מקצועית לעמידה בתקנות הגנת הפרטיות תוך כולל מיפוי ורישום המאגרים והתנהלות מול הגופים המשפטיים
הסמכות בתקני ISO
חברתנו מסייעת בהטמעת תקני אבטחת מידע בחברות וארגונים. בסיס הידע בחברה מבוסס על שילוב של מומחי אבטחת מידע הנותנים פתרון קל ופשוט ליישום לצורך מתן מענה המותאם לצורכי הארגון, בין לקוחותינו. תחום ההתמחות שלנו הוא בתקני ISO לעולם אבטחת המידע אשר כוללים בן היתר Iso27001 וכן Iso27799  אלו הוא התקן לניהול אבטחת מידע בארגון. מטרתו להבטיח את שמירתו וניהולו התקין של המידע בארגון התקן מאפשר לוודא ע"י יצירת מנגנון לזיהוי סיכונים, כתיבת נהלים והגדרת בקרות לכך שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת ואף מסייע להתאוששות עסקית מהירה.
סיוע בעמידה רגולציות GDPR ו HIPPA
ה-GDPR  או General Data Protection Regulation  היא רגולציית הגנת הפרטיות האירופית אשר שנכנסה לתוקף במאי 2018 . הרגולציה האירופית מסדירה כיצד על גופים שונים לפעול ביחס לנושאי פרטיות ואבטחת מידע שמתייחס לאנשים ואשר נשמר בידי אותם עסקים.  ה- HIPPA או Health Insurance Portability and Accountability Act, הן תקנות לשימוש בנתונים דיגיטליים, מטרתן לפקח על השימוש במידע רפואי אישי על ידי כל הנוגעים בו ולמנוע דליפה של מידע זה אל גורמים לא מורשים. חברתנו מסייעת בהטמעת דרישות אבטחת מידע בחברות וארגונים אשר נדרשות לעמוד בתקן ה GDPR האירופאי ותקנות HIPPA האמריקאיות . תחום ההתמחות שלנו בתקנים ותקנות אלו מעניק מעטפת מלאה לארגונים ולחברות סטארט-אפ אשר נדרשות  לעמוד בתקנות אלו.
ביצוע סקרי סיכונים
חברתנו מבצעת סקרי סיכוני אבטחת מידע אשר מתייחסים לכל רמות האבטחה במסגרת התהליכים והמערכות הקיימים בארגון. מהאבטחה הפיסית ועד לאבטחה של תשתיות הארגון אשר כוללות מערכות הפעלה בשרתים ובעמדות הקצה ,מערכות אבטחת מידע , רשתות תקשורת, בסיסי נתונים, מערכות לניהול משתמשים ומתן הרשאות, תהליכי גיבוי ועוד. מטרות הסקר היא לבוחן את רמת אבטחת המידע הארגונית מקצה לקצה הן מבחינת תהליכים עסקיים וניהוליים, בסוף הסקר מוגשת תוכנית עבודה אופרטיבית אשר למעשה הינה תוכנית לצמצום סיכוני אבטחת המידע  בארגון , זאת למעשה אחת דרישות העיקריות אשר קימת בכל התקנים והתקנות .
סיוע בעמידה בתקן PCIDSS
התקן חל על כל גוף המעביר, מאחסן, מעבד או מכבד נתוני אשראי באופן ישיר או עקיף. בהגדרה זו נכללים כל בתי העסק, וכן ספקי שירותים, בנקים וחברות האשראי הסולקת. התקן נקבע ומתוחזק על ידי מועצת ה-PCI, שהינה פורום כלל עולמי שהוקם על ידי חמש חברות האשראי הבינלאומיות ב-2006. חברות האשראי הבינלאומיות אימצו את התקן שנקבע על ידי מועצת ה-PCI ומחייבות כל ארגון המכבד כרטיסי אשראי לעמוד בו. התקן כולל סט דרישות מפורט המתייחס לכלל תהליכי סליקה בבית העסק אלו מתבצעים בעזרת מילוי שאלוני הערכה עצמי ,אותם נדרש כל בית עסק למלא ולעמוד בהם מידע שנה . חברתנו מציעה שירותי מומחה לנושא PCIDSS ועוזרת לארגונים למלא של שאלוני הערכה אלו , שירותים אלו מתאימים לחברות אשר נדרשות שאלוני A,B,C,D ומוגדרות עד LEVEL 2 ,כמו כן פאנל המומחים שלנו מלווה ארגונים אשר מוגדרים  Level 1 אל מול החיצונים של חברות ה QSA.
ביצוע מבדקי חוסן תשתתים ואפליקטיביים
מבדקי חוסן הינם למעשה מבדקים אשר מדמים ביצוע תקיפה של האקרים המנסים לחדור לארגון ,לפגוע או לגנוב או לשבש את פעילות הארגון , מבדקים אלו מתבצעים בצורה מבוקרת מבלי לפגוע בפעילות הרגילה של הארגון . מומחים שלנו מתמחים במספר מבדקי חוסן אשר כוללים :
מבדקי חוסן פנימיים (network Penetration Test )  – אלו מבדקים אשר מדמים תוקפים אשר להם כבר קיימת אחיזה ברשת הארגונית , זאת בצורה פיזית או בעזרת פוגען אשר פותח דלת אחורית לתשתית הארגונית . מטרת מבדק חוסן זה הוא לזהות את נקודות החולשה אשר קיימות ברשת ויעזרו לתוקף לדלג בין הנכנסים הקריטיים בארגון . לרוב מבדק זה נדרש בכל התקנים ותקנות אשר מחייבות את הארגונים לעמידה בסטנדר אבטחת מידע המקובל בתעשייה  .
מבדקי חוסן חיצונים (Penetration Test internet) – אלו מבדקים אשר מדמים תוקפים אשר בעזרת ידע מוקדם מתנסים לתקוף שירותי אינטרנט של החברה כגון שירותי FTP , VPN או WEB . מטרת מבדק חוסן זה הוא לזהות את נקודות החולשה אשר קיימות בשירותים אשר מוחצנים לעולם החיצונים ועלולים להכיל פגיעות אשר יהווה מקפצה ודלת הכניסה לתוך רשת הארגון. לרוב מבדק זה נדרש בכל התקנים ותקנות אשר מחייבות את הארגונים לעמידה בסטנדר אבטחת מידע המקובל בתעשייה  .
מבדקי חוסן אפליקטיבי (Penetration Test web app) – אלו מבדקים אשר מדמים תוקפים אשר מבצעים תקיפות אל מערכות או אפליקציות WEB של הארגון . מטרת מבדק חוסן זה הוא לזהות את נקודות החולשה אשר קיימות בפלטפורמות שונות כגון Java  , .NET WORDPRESS או אחרות .שירותים אלו מוחצנים ללקוחות ועלולים להכיל פגיעות כגון הזרקות SQL , תקיפות XSS ואחרות . חשיפות אלו עלולות לחשוף את המערכות אלו להשבתה או לגניבה או שיבוש מידע . לרוב מבדק זה נדרש כאשר ארגון רוצה להיות בטוח כי השירות שהוא מנגיש ללקוח מאובטח ואינם חשוף לתקיפות סייבר  .
סיוע ביישום אבטחת מידע בסביבות ענן
אבטחת מידע בענן כוללת בתוכה את כל האמצעים אשר דואגים לכך שהמידע האישי או העסקי שלנו יהיה שמור, מוגן ובטוח, ושלא יהיה חשוף לשום סכנה.לצד היתרונות של הטכנולוגית הענן יש להקפיד על אבטחת מידע משום שגם לענן אשר בחרנו עשויות להיות בעיות אבטחה שעלולות לסכן את המידע שזורם בעסק. כדי להגן על המידע יש להשתמש בשיטות באבטחת מידע שיאבטחו את שלבי המעבר לענן ואת המידע וכן את העבודה השוטפת .חברתנו מציעה שירותי מומחה לנושא אבטחת סביבות ענן של חברת אמזון וסביבת הענן של חברת מיקרוסופט שירותים אלו מתאימים לחברות צעירות או STARTUP אשר נדרשות לוודא שסביבות אלו מאובטחות בהתאם לדרישות ותקנים כגון תקני ISO ותקני PCIDSS ותקנות GDPR . 
שירותי מנהלי אבטחת מידע – CISO AS SERVICE
בכל חוק, תקנה או תקן בנושא סייבר קיים תפקיד משמעותי של מנהל אבטחת מידע (CISO). השירות ייתן מענה לדרישות החוק ובמסגרתו תספק החברה שירות מקצועי בתחומים הרלוונטיים ותספק מנהל אבטחת מידע בעל ניסיון, הכשרה וכשירות הנדרשים לתפקיד מורכב מסוג זה.חברתינו  מספקת שירות מנהל אבטחת מידע במיקור חוץ בהתאם לרגולציה הרלוונטית ובכלל, תוך הקפדה על דרישות החוק שהממונה על אבטחה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו. ה-CISO יבצע את המשימות הבאות במסגרת השירות

ניהול סיכונים,הנחייה וניהול אירועי אבטחת מידע​ ,טיפול בהיבטי רגולציה,ייעוץ וניהול יישום טכנולוגיות ,ביקורת על צוות האבטחה,סיוע וטיפול באירועי אבטחת מידע וסייבר ,הדרכות מודעות.

סיוע וטיפול באירועי אבטחת מידע וסייבר  

בכל משבר ובדגש על אירוע אבטחת מידע נדרשים אנשים מקצועיים אשר יעזרו למקבלי ההחלטות בארגון לטפל  במשבר אשר פוקד את החברה . בין אם אירוע גדול או קטן נדרש לוודא  חברתנו מציעה שירותי מומחה לנושא טיפול באירועי אבטחת בהתאם לדרישות ותקנים כגון תקני ISO ותקני PCIDSS ותקנות GDPR .