פורום ניהול רשתות ואבטחת מידע

securex308.com

יום רביעי, 7 ביולי 2010

Human Resource? מישהו כאן פיקשש בגדול...

כיום מחלקת משאבי אנוש היה המחלקה החשובה ביותר בכל ארגון בין אם הוא קטן , בינוני או גדול.
המחלקה אחראית על גיוס העובדים , מיון , השמה,חוזי עבודה,משכורות , שיחות משוב, ודאגה לכל צרכי העובד האישיים.
ניתן לומר כי משאבי הינה הגורם המכריע ביותר בעיצוב פניו של הארגון.
הרומן עם המחלקה מתחיל עוד בשלב הראיון של המועמד למשרה ומסתיים רק לאחר סיום יחסי עובד- מעביד.
עקב רגישות המידע העובר במחלקה והדרישה על שמירת האתיקה המקצועית , חוק הגנת הפרטיות נחשב לערך עליון במחלקה.

לאחרונה ביצעתי ביקורת אבטחת מידע למחלקת משאבי אנוש באחד מהארגונים בהם אני עובד.
להלן הממצאים:

1.אין מידור רשתי של מחשבי המחלקה-המחשבים מחוברים לרשת הארגונית וניתן להגיע אליהם מכל מקום בארגון.

2.לא חלה על תחנות העבודה מדניות ניהול עדכונים (Hotfixes&Service Packs) ,התוצאה- חשיפה של המחשבים לפגיעויות(Vulnerabilities) ולניצול פרצות במערכת (Exploits) בצורה מקומית או מרוחקת.

3.לא חלה הקשחת התקנים נשלפים (Removable Stroage) על התחנות ,התוצאה היא זליגת מידע מסווג.

4.בעת חוסר פעילות במחשב לא קיימת הגנת סיסמה לכניסה למערכת או ניתוק של האפליקציות הרלוונטיות לאחר חוסר פעילות (session idle timeout).

5.משתמשי התחנות בעלי הרשאות אדמניסטרטיביות מלאות(Local Administrator Privileges) על תחנות העבודה שלהם, קל מאוד לבצע שינויים במערכת ,להתקין סוסים טריאנים ושאר מזיקים(Malware).

6. לא קיימת מדניות תיעוד (AuditPolicy) אודות חשבונות משתמשי המחלקה אשר ננעלו,פעולות אשר בוצעו במחשבי המחלקה וכן תיעוד בנוגע לגישות לא מורשות למחשבים ולמערכות המידע בארגון (הדבר מחייב למקרים בהם רוצים לבצע Forensics).

7.קבצים רגישים ומסווגים מאוד נמצאו מאוכסנים מקומית במחשבי החברה , ברובם המכריע ללא כל הצפנה.
קבצים המוגדרים כ"רגישים" מוצפנים לכל היותר ע"י סיסמה ברמת Microsoft Office אשר חשופים להתקפות פיצוח שונות.

8.לא קיימת הזדהות חזקה בפני המערכות הנחשבות למסווגות , אין יישום של (Two-factor authentication)

9.לא קיימת בדיקה קפדנית לסיסמה מורכבת (Complex Password) אשר מורכבת ממינימום 6 תווים , אותיות גדולות,קטנות,מספרים ותווים אלפא-נומרים(!,@,#,$,%,^).
ניתן למצוא כאן מאמר מצויין בנושא מורכבות הסיסמה והקריטריונים העונים על הדרישה.

10.מספר משתמשי מחלקה עובדים על אותו שם משתמש וסיסמה עבור גישה למערכות המידע(משכורות,דוחות וכו').

11.הסיסמאות לאפליקציות המחלקה קלות מאוד לניחוש.

12.לא קיימת בקרה ומניעה של אמצעי אכיפה כנגדת Keyloggers חומרה ותוכנה כאחד.

13.כאשר אנשי המחלקה יוצאים להפסקות הם אינם נועלים את משרדם מאחר ומוצאים מחליף אשר יתן מענה טלפוני למתקשרים .
יחד עם זאת הם אינם מקפידים לנעול את המחשב שלהם ואף חלק מהעבודים אפשרו למשתמשים לא מורשים לגלוש באינטרנט מחשבון המשתמש שלהם.

14. אין בקרה על גיבויי הרשת מחוסר מיומנות מקצועית של אנשי ה-System בארגון.
לא מתבצעת בקרה אמיתית אודות גיבויים שנכשלו.

15.אין תוכנית התאוששות מאסון(
DRP) למערכות המידע בארגון,יחד עם זאת נמצא כי מסדי הנתונים מגובים מידי יום והמידע נשמר במקום מרוחק מידי שבוע.

16.לא קיימים מערכות אל פסק (UPS) למשתמשי המחלקה.

17.לא קיימת מודעות לכל נושא ה-Social Engineering בארגון ובמחלקה בפרט , קל מאוד להונות את אנשי המחלקה ואף לגנוב מהם סיסמאות ללא כל צורך בידע טכני.

18.לא מויישם בארגון פתרון למניעת זליגת מידע רגיש (Data Leakage Prevention) כדוגמת Varonis .
מידע רב מאוכסן בכונני רשת וההרשאות היחידות(ללא תיעוד יש לציין) הן ברמת NTFS.

19.סיסמאות רבות מאוחסנות מקומית על תחנות העבודה בקבצי טקסט פשוטים,אין יישום פתרונות איכותיים כדוגמת Cyber-Ark.

20.דרך העברת המידע בין הסניפים אינה מוצפנת.

לסיכום, העיקר ש:

1.משאבי אנוש מחתימים בכל חוזה את משתמשי הארגון על נהלי אבטחת מידע.
2.לא קיימת שום אכיפה או כל מנגנון ביקורת על מחשבי המחלקה.
3.לממונה על אבטחת המידע בארגון יש קו"ח המתפרסות על 4 עמודים בו מפורט בעיקר הרזומה העשיר בתחום האבטחה.

ככה זה כשנשיא החברה לא יודע מה מתרחש לו מתחת לאף...

2 תגובות:

  1. אם זה במקום שאני חושב שזה... , אני לא מתפלא...
    הרבה דברים ה"מנכ"ל" לא יודע שקורים שם ...

    השבמחק
  2. אפי בוקר טוב, מפאת היבט משפטי לא נזכיר שמות.
    עצוב שהדבר נפוץ מאוד בקרב ארגונים פרטיים במיוחד נוכח העובדה שלא חלה עליהם שום רגולציה או תקנה.

    השבמחק