מדוע מדיניות האבטחה שלך סודית (ומדוע זה חשוד)
רוב החברות שומרות על מדיניות אבטחת המידע שלהן בסוד. הן טוענות ש"אבטחה באמצעות סודיות" מגינה עליהן מפני תוקפים. זה שקר מסוכן.
מדיניות אבטחה סודית אומרת "אנחנו לא יודעים מה אנחנו עושים, אבל אנחנו מקווים שאף אחד לא ישים לב." תוקפים אמיתיים לא צריכים את המדיניות שלך - הם מוצאים חולשות דרך סריקות פורט, פישינג, והנדסה חברתית.
ב-Hack23, אנחנו פותחים במדיניות האבטחה שלנו מפני שאבטחה דרך שקיפות עובדת. כשאתה חושף את הגישה שלך, אתה מחייב את עצמך לעשות את זה נכון. כמו קוד פתוח, אבטחה ציבורית מקבלת ביקורת, מתפתחת מהר יותר, וממקדת אמון.
חמשת עמודי מסגרת CIA+: אבטחה כמאפשרת עסקית
מסגרת CIA+ שלנו בנויה על חמישה עקרונות מהותיים:
1. 🔒 סודיות (הגן על מה שחשוב)
לא הכל צריך להיות סודי. סודיות אמיתית היא על הגנה על נכסי מידע קריטיים - נתוני לקוחות, קניין רוחני, נתונים פיננסיים. אנחנו מסווגים נתונים (PUBLIC, INTERNAL, CONFIDENTIAL, RESTRICTED) ומיישמים בקרות גישה מבוססות הקשר. סודיות לא אומרת "החבא הכל", היא אומרת "הגן על מה שחשוב".
2. ✅ שלמות (סמוך על הנתונים שלך)
שלמות נתונים = אמינות. אם לא תוכל לסמוך על הנתונים שלך, אתה עיוור. אנחנו מיישמים בקרות שלמות - גירסאות, checksum, ביקורת, וידוא - כדי להבטיח שנתונים נשארים מדויקים, עקביים, ולא מושחתים. שלמות הנתונים מזינה את האמון.
3. 🟢 זמינות (מערכות שבאמת עובדות)
אבטחה שהורגת זמינות היא אבטחה רעה. מערכות חייבות להיות זמינות לשימוש לגיטימי. אנחנו מאזנים זמינות עם אבטחה דרך תכנון עמידות, גיבויים, ניטור, ותגובה לאירועים. זמינות לא בוחר לבד - היא לוקחת תכנון.
4. 💰 ערך עסקי (אבטחה מאפשרת, לא מונעת)
אבטחה שלא מוסיפה ערך עסקי זה אבטחת תיאטרון. כל בקרת אבטחה חייבת להתיישר עם יעדים עסקיים. אנחנו שואלים: האם זה מגן על הכנסות? מקטין סיכון? מאפשר חדשנות? אם לא, זה לא שווה את זה. אבטחה חייבת לאפשר את העסק, לא לנעול אותו.
5. 🔄 שיפור מתמיד (סטטי = מת)
אבטחה סטטית היא מת. איומים מתפתחים, עסקים משתנים, טכנולוגיות מתקדמות. אנחנו בונים שיפור מתמיד באבטחה שלנו דרך ביקורות רגילות, חזרות על לקחים, לולאות משוב, והרמת ISMS. כולל מטרות שיפור רבעוניות ומחויבות לאבטחה מתפתחת.
40+ מדיניות ISMS משולבות: מסגרת אבטחה מקיפה
מדיניות אבטחת המידע שלנו אינה מבודדת - היא חוט השדרה של ISMS מקיף הכולל 40+ מדיניות מיוחדות המכסות כל היבט של אבטחת מידע ארגונית. כל מדיניות מתיישרת עם מסגרת CIA+ שלנו, עקרונות אבטחה בעיצוב, ושקיפות ציבורית.
מדיניות האבטחה שלנו זמינה בפומבי:
- מדיניות בקרת גישה - הרשאות מבוססות תפקיד, הרשאות מינימליות, MFA
- מדיניות ניהול נכסי מידע - סיווג, טיפול, מחזור חיים
- מדיניות תגובה לאירועים - זיהוי, הכלה, שחזור, לימוד
- המשכיות עסקית ושחזור אסון - RTO, RPO, גיבויים, חוסן
- מדיניות ניהול סיכונים - זיהוי איומים, הערכה, הפחתה
ועוד 35+ מדיניות המכסות תקשורת, אנשים, פיזי, משפטי, תפעולי, ומדיניות טכנית.
כל מדיניות היא: מתועדת בפומבי, מוערכת מחדש מדי שנה, מבוססת בעלות, מותאמת ISO 27001/NIST CSF/CIS Controls, ומאושרת על ידי צוות המנהלים. ראה את כל המדיניות ב-Compliance Manager.
תאימות רב-מסגרת: ISO 27001 + NIST CSF + CIS Controls
אבטחה לא קיימת בוואקום. ב-Hack23, אנחנו מתיישרים עם שלוש מסגרות שלמות:
🔐 ISO 27001:2022
התקן הבינלאומי לניהול אבטחת מידע. אנחנו מתיישרים עם ISO 27001:2022 Annex A controls, מיישמים 93 בקרות על פני 14 תחומים (Confidentiality ו-Integrity ממפה ישירות לנושאים 5, 8; Availability לנושאים 7, 8; Business Value לנושאים 6, 15; Continuous Improvement לנושא 10). הגישה שלנו בנויה על רעיון שISMS צריך להיות מחויבות ציבורית, לא מסמך מאובטח.
🛡️ NIST Cybersecurity Framework 2.0
הפרקטיקה המובילה האמריקאית בתעשייה. אנחנו מיישמים את NIST CSF 2.0 דרך חמש פונקציות: Govern, Identify, Protect, Detect, Respond, Recover. כל מדיניות ממפה למשפחות בקרה של NIST. תשתית CIA+ מתיישרת עם קטגוריות ותת-קטגוריות של NIST, מבטיחה גישה מובנית, ניתנת לבדיקה לניהול סיכוני סייבר.
🔧 CIS Controls v8
בקרות אבטחה מעשיות ניתנות ליישום. אנחנו מיישמים את CIS Critical Security Controls v8, ממפים אותם למדיניות ISMS שלנו. 18 בקרות מספקות הגנה מעשית מפני איומים בעולם האמיתי. ממש: ניהול מלאי נכסים, ניהול תצורות, הגנות דוא"ל, ניטור רשת, ותגובה לאירועים. CIS Controls מספקים צעדים ניתנים ליישום שממירים מדיניות למציאות תפעולית.
מיפוי תאימות: כל מדיניות ISMS מיפה ל-ISO 27001 controls, NIST CSF קטגוריות, ו-CIS Controls. זה מבטיח שאנחנו לא רק "משיגים תאימות" - אנחנו בונים אבטחה שעובדת על פני מסגרות מרובות.
ברוכים הבאים ל-Chapel Perilous: מדיניות אבטחה כיתרון תחרותי
Chapel Perilous היא מטפורה מהאוקולטיזם הדיסקורדיאני - מקום שבו אתה חייב להתמודד עם אי-ודאות, אמת, וההשלכות של מסע הידע שלך. אבטחת מידע היא Chapel Perilous שלך.
אתה יכול לבחור שקיפות רדיקלית - לחשוף את המדיניות שלך, לאתגר את עצמך להקפיד, לבנות אמון דרך פתיחות. או אתה יכול להסתתר מאחורי סודיות, מקווה שאף אחד לא ישים לב שאתה לא יודע מה אתה עושה.
ב-Hack23, אנחנו בוחרים בשקיפות. אנחנו בוחרים בחשיפת המדיניות שלנו, להחזיק את עצמנו בסטנדרט גבוה, ולהוכיח שאבטחה לא צריכה להיות סוד כדי להיות אפקטיבית. בחר את החרבות - נתראה ב-Chapel Perilous.
"כשרק הפרנואידים שורדים, מה שורד? חרדה, ספקנות, וחברה שבה אמון בלתי אפשרי. נלחם בחושך עם שקיפות - לא סודיות."
— James Pether Sörling, CEO Hack23 AB