מבקר לשכת עורכי הדין בישראל - דוח שנתי 2024

209

10 . תיקון פערים בניהול אבטחת מידע

ביקורת מעקב - תמצית ממצאים

.5 הערכה כללית

א. על בסיס ניתוח אובייקטיבי של האלמנטים הנוגעים לאבטחת המידע ולאחר סקירה של בקרות האבטחה הנוכחיות, הן הטכנולוגיות והן התהליכיות, ניתן לקבוע שבלשכה ישנה מודעות ומעורבות ישירה של ההנהלה בנושא אבטחת המידע. ב. מסקירת רמת האבטחה בהיבט הטכנולוגי נמצא שהארגון מיישם פרקטיקות רבות לאבטחת מידע, כגון, מינוי ממונה אבטחת מידע, סקירת מערכות אבטחת מידע, הגבלות גישה והרשאות למשתמשים, הקפדה על גיבויים, עבודה דרך טרמינלים בחיבור מרחוק ועוד. יחד עם זאת, במהלך הביקורת עלו פערי אבטחת מידע שונים. ג. הממצאים שעלו נוגעים , לדעת הביקורת, בעיקר להגדרות תצורה שגויה (misconfiguration) של מערכות, היעדר הפרדה בין סביבות משתמשים ושרתים )סגמנטציה( והיעדר בקרות מספקות למניעת זליגת מידע . אמנם קיימים מספר מעגלי אבטחה, המורידים את רמת הסבירות להתממשות הסיכון, אך סיכונים אלו קיימים, ולכן חשוב לנהלם בהתאם. ד. הביקורת העלתה ממצאים ה חושפים את הארגון לסיכוני סייבר ואבטחת מידע מסוגים שונים. במסגרת זו עלו חוסרים העלולים להקשות על הלשכה בהתמודדות עם איומי הסייבר שקיימים כיום. מערכות אבטחת המידע הקיימות כיום בארגון דורשות התייחסות מחודשת וסקירה מעמיקה . לסיכום, במסגרת בדיקת מעקב אחר יישום המלצות, נמצא כי חלק ניכר מההמלצות הקודמות (2022) אכן יושמו, ורמת הסיכון ירדה בהתאמה, אך להערכתנו, ישנם עדיין נושאים הדורשים טיפול )בכפוף לדרישות התקציביות( . יישום מלא של ההמלצות יכול, לדעת הביקורת, לסייע במניעת סוגי מתקפות רבים ויאפשר בסבירות גבוהה התאוששות בפחות משלושה ימים. .6 רמת הסיכון מביקורת המעקב עלה כי יישום חלק ניכר מההמלצות, שניתנו בדוח הקודם, צמצמו את הסיכונים שנמצאו והורידו את רמת הסיכון בהתאם. לאור זאת, עלה הציון מ - 50% 2.5) מ 5- ( ל - 70% 3.5) מ 5- (, כפי שניתן בתרשימים להלן. השיפור התפלג כדלקמן:

שיפור משמעותי: שרתים, עמדות קצה וסלולר ; ניטור ובקרה. שיפור מסויים: רשת ארגונית; רשת חיצונית; מידע; היעדר שיפור: המשכיות עסקית )ראה דוח נפרד(; מדיניות;