מי העובד הכי מסוכן בחברה?

אז הנה רשימה חלקית של טיפים ופרקטיקות לפי נושאים:

אחריות אישית

• נעילת מחשב – לנעול את המחשב בכל פעם שקמים ממנו. לנעול! גם אם רק מכינים קפה, גם אם רק הולכים לשירותים. גם אם אתם ארגון של 5 עובדים ואיש לא יכול להכנס מהדלת. אני מוכן להתערב שרובנו נועלים את הטלפון. אז גם את המחשב. אפילו אם עובדים מהבית. למה בבית? כדי שזה יהפוך להרגל.
• לא לכתוב סיסמה גלויה בתוך קוד. יש מספיק דרכים להצפין או למסך את הסיסמה, כמו  maskpass בפייתון

סיסמאות וגישה

• חשבון לכל משתמש – נסו להימנע משיתוף חשבונות או מפתחות API בארגון. יהיו פלטפורמות שמגבילות את מספר המשתמשים לפי עלות התוכנית. חשבו מי באמת צריך להתחבר. גם מערכות צד ג' שמתחברות אליכם כמו מערכת הדשבורדים, צריכות משתמש משל עצמן, בין אם מדובר בשם משתמש או סיסמה, או מפתח API. דאגו להרשאות המתאימות לגבי קריאה וכתיבה..
• השתמשו ב-MFA איפה שניתן, במיוחד אם יש לכם הרשאות נרחבות עד בלתי מוגבלות.
• אל תשמרו את הסיסמאות ומפתחות ה-API בקובץ טקסט גלוי. השתמשו במנהלי סיסמאות (אפילו של גוגל). נסו לשכנע את הארגון לרכוש כספת סיסמאות, כמו LastPass, Avast, 1Password ועוד רבות כמותן. בדרך כלל מדובר בעלות נמוכה (תלוי מספר משתמשים) והתועלת היא שניתן לשמור שם גם מפתחות API, חיבורים לשרתים ומערכות, כרטיסי אשראי ועוד.
•  

צמצום חשיפה למידע

• מידור נתונים במקור – מנעו גישה למידע בתוך הדאטהבייסים. לדוגמה, לרוב, למערכת הדשבורדים לא אמורה להיות גישה לפרטי לקוחות בכלל. איך דואגים לזה? מספר דרכים:
  א. צרו דאטהבייס, סכמה, או דאטה-מארט חדשים שאינם כוללים כלל את השדות הרגישים, ודאגו לתת גישה למערכת רק לשם ולא לשום אובייקט אחר. העלות של זה היא שעות העבודה, נפח אחסון ואולי דאטהבייס נוסף במקרה של שירות מנוהל. האם מזהה הרשומה הוא מידע פרטי, כמו כתובת אימייל? שכפלו לעמודה חדשה והריצו פונקציית הצפנה שמתאימה לדאטהבייס שלכם (דוגמה ועוד אחת)
  ב. הטמיעו Column-Level Security (דוגמאות ל-  SQL Server, BigQuery או Snowflake). שימו לב שבחלק מהמקרים זה יצריך שדרוג החשבון, וזה יכול לייקר מאד את עלות הפלטפורמה.
  ג. מראש לא להכניס לדאטהבייס מידע כזה. מפו והורידו אותם בשלב ה-ETL. זה פתרון יעיל רק אם אין שום שימוש בפרטים שכאלו בצד האנליסטים.
• מידור נתונים ביעד – מערכות דשבורדים רבות מאפשרות לכם לפלטר גישה לדוחות, דשבורדים ונתונים ברמת שורה לפי זהות המשתמש (Row-Level Security או בקיצור RLS, דוגמה, ועוד אחת). דאגו לקבל רשימת משתמשים מורשים לכל דוח או דשבורד שאתם מייצרים.
• גרסו קבצים ששמרתם למחשב או בכונני הרשת עם תום השימוש. אל תשמרו אותם שם לנצח.
• יש לכם אחסון ענן לכל הג'ייסונים והקבצים לא בשימוש? דאגו להצפין אותם, אחרי שדאגתם לוודא מי מורשה בכלל לגשת לשם.

תהיו פרואקטיבים

• הצפנת קבצים – הרגילו את הארגון ואת הלקוחות שלכם להצפין קבצים עם מידע רגיש שנשלחים בתוך החברה ומחוצה לה. כמעט כל תכנית כיווץ חינמית יודעת להצפין קבצים. לדוגמה, 7Zip מסוגלת להצפין ב-AES-256. עדיף מכלום. רק שאת הסיסמה אל תשלחו יחד עם הקובץ, כי זה "טיפל'ה" counter productive… שלחו אותה דרך ערוץ אחר. תתחילו לעבוד כך, ולאט כל הארגון יעבור לזה.
• תיעוד – דאגו לתעד כל עמודה שמכילה מידע פרטי ורגיש (כחלק מתיעוד הסכמות שלכם).
• חקיקה – הבינו אם אתם צריכים ליישם פרקטיקות עבור GDPR, CCPA ושאר חוקי הפרטיות בעולם.

יש עוד הרבה פרקטיקות פשוטות שניתן ליישם. אם אתם סבורים שבארגון שלכם יש פחות דגש על אבטחת מידע, הציפו את הנושא לאחראיים.

ותמיד, ניתן ליצור עמי קשר לסיוע.