מבקר לשכת עורכי הדין בישראל - דוח שנתי 2024

208

• הנחיות מערך הסייבר הלאומי.

.4 רקע כללי

חברות רבות נוטות לעיתים להקל ראש באבטחת המידע מתוך תחושה שהן לא מהוות יעד אטרקטיבי לתקיפות של האקרים. אולם בשנים האחרונות כלל העולם העסקי חווה על בשרו את תוצאות פעילויות הסייבר. תביעות ייצוגיות, הסכמים שמתבטלים, גניבת מידע למתחרים, חשיפה שלילית בתקשורת, כל אלו מערערי ם את הגישה הקיימת בארגונים אלו. לאור זאת, הרגולציה בישראל מצפה שלכל ארגון יהיה נוהל אירועי אבטחת מידע ושמירת לוגים של פעילות חריגה לפחות שלושה חודשים לאחור. מבחינה זו אנו סבורים כי הארגון פועל כראוי, כאשר קיימת הקפדה יתרה על נהלי אבטחת מידע ושמירת לוגים במערכות קריטיות. במהלך הביקורת הקודמת מחודש פברואר 2022 , התקיימו שיחות עם מנכ"ל הלשכה דאז מר אורי אלפרסי, מנהל ה -IT מר אסף רדנסקי, אחראית רגולציה הגב' רוזה הוד ועו"ד עמית פרלמן )מנהל מאגרי מידע(. במהלך מעקב אחר יישום המלצות של דו"ח זה התקיימו שיחות עם עמית פרלמן )שמונה למנהל מערכות המידע של הלשכה מאז דוח קודם( ועם אסף רדנסקי, מנהל תשתיות.

המערכות שזוהו כנכסי הארגון המהותיים הינן :

• – CRM מערכת בפיתוח פנימי מבוססת Magic עם SQL • Sharedocs – מבוססת SharePoint – מכילה מידע ארגוני שלא קשור ללקוחות

• SBO (SAP Business One) – מערכת ניהול כספים • 5 מאגרי מידע רשומים – ובראשם מאגר עורכי הדין • Exchange – דוא"ל ארגוני, שרת מקומי

יישום המלצות

להלן עיקרי התחומים בדוח קודם וה המלצות שיושמו:

1 . הקשחת מערכת ה Firewall 2 . תיקון השימוש במערכות הפעלה לא נתמכות )“

End of Life” – EOL (

3 . תיקון פערי אבטחה בגישת VPN 4 . תיקון מדיניות הסיסמאות הארגונית 5 . תיקון פערים בהקשחת שרתים 6 . ביצוע ניטור והתרעות אבטחת מידע

.7 טיפול ב מערכת ניהול עדכונים 8 . ניהול משתמשים והרשאות 9 . יישום אבטחה בתהליכי פיתוח – המלצה חדשה