אבטחת מידע – מהם הפתרונות המומלצים לעסקים קטנים?

אבטחת מידע לעסקים

אבטחת מידע – מהם הפתרונות המומלצים לעסקים קטנים?

 

שוק אבטחת המידע שינה את פניו בשנים האחרונות ללא היכר. ההתפתחות החשובה ביותר: המעבר לשירותי אבטחה בענן.

 

איך לא מפסידים את ההתפתחות המדהימה הזו ובוחרים בספק שירותי האבטחה המתאים והחסכוני ביותר למגזר העסקי?

 

כניסת ספקים רבים מהארץ (למשל: בזק, We!, Triple C, כל חברות ה- ISP הגדולות, חברות קבוצת בינת, מיקרוסופט, יבמ, ועוד) ומהעולם לתחום שירותי האבטחה לעסקים וארגונים במחשוב בענן, שינתה לחלוטין את פני השוק. מהלך זה זעזע את כל השוק ויצר כמה אפקטים במקביל:

 א. ספקי פתרונות אבטחה, שמבוססים בעיקרם על חומרה (בד"כ קופסת נתב) המותקנת בחצרי הלקוח, נאלצו, עקב התחרות החדשה, להרחיב את יכולות הקופסאות המותקנות אצל הלקוחות, כך שהן תחוברנה במקביל לפתרונות בענן. העננים, שנבנו על ידם, מכילים פתרונות ושירותים מקוונים רבים, שמספקים עדכון מהיר ויכולות נוספות ומתקדמות, שלא היו עד אז בקופסות הסגורות הללו. דוגמאות בולטות: סדרת המוצרים של צ'קפוינט, סיסקו, ג'וניפר, פורטינט, סוניקוול, נטגיר ועוד. עי"כ הן משלבות (כך לדברי אותן חברות) את הטוב בשני העולמות: קופסאות חומרה פיזיות בחצרי הלקוח ושירותים מקוונים בענן, בעיקר במתכונת SaaS (ר"ת: Software as a Service).

 ב. מחירי שירותי האבטחה צנחו בצורה תלולה. אם מיקרוסופט מספקת מערכת אנטי-ספייוור (רוגלות), Firewall ואנטי-וירוס ביחד, בחינם, לכל מחשב נייח או נייד, שמכילים מערכת הפעלה של מיקרוסופט (תוכנת Microsoft Security Essentials), אזי זה נראה ממש לא סביר לדרוש מאות ₪ לשנה עבור רישיון אחד לתוכנה מתחרה, כמו שהיה אך לפני כמה שנים בשוק אבטחת המידע.

 ג. מגוון השירותים המסופקים ללקוחות גדל. זאת, על רקע הבהלה העולמית מפני התקפות (פנימיות או חיצוניות, לרבות גניבת מידע וזליגת מידע), בהלה המלובה ע"י אותם ספקי הפתרונות עצמם. התוצאה: ספקים מציעים מגוון רחב יותר של שירותים בחבילה אחת. למשל: אנטי-וירוס, אנטי-ספאם, חסימת סוסים טרויאניים, סינון תכנים, סינון דוא"ל, IPS, אנטי-רוגלות, אנטי-נוזקות, מניעת דליפת מידע, שליטה ביישומים, VPN, קביעה ואכיפת מדיניות האבטחה העסקית. הכל בד"כ תחת מעטפת שירות אחת ובחשבון אחד.

 ד. ספקים רבים (וחדשים) החלו להסתער על שוק זה מכל עבריו, כשכל ספק מנסה לתפוס נישה של השוק. כתוצאה מכך החלה סגמנטציה חריפה של השוק, כשכל ספק מנסה לטעון, שהוא זה מכסה את כל האיומים שיש. אבל, אחרי שמתקינים את המערכת השירות שלו, מגלים שאין זה כך. התוצאה: נכנסים לסחרחורת של התקנת כמה מערכות במקביל, שלעיתים אחת מפריעה או סותרת את השנייה, ומבזבזים כסף רב על פתרונות מיותרים.

 ה. בשנה האחרונה, עסקים קטנים ובינוניים בישראל חשופים יותר מתמיד להתקפות מצד האקרים עוינים והתקפות סיבר, כך נטען בכל המחקרים והדיווחים, שמתפרסמים מידי שבוע וחודש. מצד שני, גם עסקים קטנים עד בינוניים נדרשים לספק לעובדיהם ביצועי רשת גבוהים ולשמור על הרשת פתוחה לשימושים קריטיים לפעילות העסקית, בדיוק כמו הארגונים הגדולים, שמשקיעים מיליונים, כדי להגן על הרשתות שלהם מפני כל מפגע. התוצאה: עסקים קטנים ובינוניים מקבלים היום את היכולות, שהיו בעבר נחלת הארגונים הגדולים, במחירים המתאימים לעסקים קטנים עד בינוניים.

 ו. כמעט כל השחקנים בשוק טוענים, שהם "הכי טובים" ומספקים את "האבטחה הטובה ביותר" לעסק ונכסיו. אולם, כשיש פריצה דליפת מידע נפילה של המערכות, או כל אירוע אבטחת מידע אחר, הם מיד נאלמים דום ומאשימים אחרים בכישלון: "מנהל הרשת לא קינפג נכון את המערכת", "מנהל המערכת התקין מערכת נוספת של מתחרה, שפגעה במערכת שלנו", "המערכת לא הייתה מופעלת לפי ההנחיות", "זה כוח עליון שלא נצפה ע"י איש", וכך הלאה. שלל התירוצים, שמושמעים כמעט בכל מקרה של כישלון, מחדדים עוד יותר את הצורך בבחירה נכונה של ספק פתרונות האבטחה לעסק.   

 אבטחת מידע

מדוע אין להישאר אצל ספק שירותי אבטחת המידע הוותיק עם ההסכמים הישנים?

לקוח עסקי, שרוצה לחסוך בהוצאות אבטחת המידע שלו, חייב לבדוק את העלויות. רבים שבויים בהסכמי אבטחת מידע ישנים, שנמשכים שנים רבות, ומשלמים על זה הון עתק ללא כל תועלת ממשית. אבטחת מידע זה לא חברת ביטוח, שמשלמים על הפוליסה שלה לשעת צרה. אבטחת מידע זה תחום דינמי, שמשתנה די מהר ושיש לבחון אותו – כל הזמן. יש כמה כללי אצבע, שנוכל להצביע ולהמליץ עליהם כבר כעת, לכל עסק וארגון ברמת ה- SMB, שמנהל שירותי אבטחת מידע במשך שנים עם אותו ספק שירות:

א. מי שמשלם אלפי ₪ לשנה על שירותי אבטחת מידע, חייב לבצע ומידית רביזיה של כל מערך האבטחה שלו, ולקבל ייעוץ מקצועי מהמומחים לתחום.

ב. חיבורי IP-VPN אפשר לבצע גם באמצעות ציוד הקצה שבידי הלקוח העסקי ואין צורך לשלם על חיבורים כאלו מחירים מופקעים לספק האינטרנט אינטגרטור.

ג. קופסאות אבטחה בעסק (למי שמעדיף לראות קופסת אבטחה פיזית אצלו בעסק) אינן חייבות להיות יקרות ומסובכות להפעלה. בשוק יש שפע של מוצרים טובים, כשבין הטובים ביותר ניתן למנות את הקופסאות של צ'קפוינט מסדרת S-Box. ספקי האינטרנט הגדולים ואינטגרטורים לא מעטים מספקים ומתחזקים את המערכות הללו, שמתאימות במיוחד לעולם ה- SMB SME במחירים שפויים, עם שילוב שירותים בענן.

 מכאן, שאין כל טעם כלכלי או אבטחתי להישאר עם ההסכמים הישנים בהסכמי אבטחת מידע ישנים, שנעשים בטכנולוגיות ישנות שעבר זמנן, שיש בהם התחייבויות ארוכות טווח, תלות בתחזוקה מספק אחד מסוים, ואין בהם יתרון תחרותי או אבטחתי ממשי. אנו מציעים לעסקים בדיקה מעמיקה של עלויות מערכי האבטחה של העסק. כ"כ נסייע במו"מ מול חברות שירותי האבטחה וביצוע אופטימיזציה לשימושי הלקוח, תוך הצגת וחישוב החיסכון שיושג בפועל מול העלויות לפני הטיפול שלנו. במידה ויושג חיסכון כספי: על החיסכון ל- 12 חודשים ראשונים בלבד נגבה 25% מהחיסכון.

 

אז איך משווים ובוחרים ספק שירותי אבטחת מידע לעסקים קטנים?

בחירת ספק שירותי אבטחת מידע אינה מבצע חד-פעמי, אלא תהליך מתמשך של בחינה מתמדת של צרכי העסק מול המצאי והשירותים בשוק – כל הזמן. תהליכי בחירת הספק לעסק עלולים להיות פרויקט מורכב ומבולבל, במיוחד כשהשוק מוצף ספקים, שמציעים פתרונות במחירים, שנראים קוסמים, ומנסים ללכוד בכך את הלקוחות, שאינם בקיאים בתחום.

 לכן, כל בעל עסק ארגון צריך לשאול את עצמו כמה שאלות:

א. כמה תקציב מוקצה או אפשרי להקצות לתחום זה?

ב. מהי מפת איומי האבטחה, שמולה מתמודד העסק היום ויתמודד מחר?

ג. עם מי יש כאן עסק? בחירת הספק היא תהליך לא מהיר ולא פשוט. מאוד מומלץ לבחור ביועצים בלתי תלויים בספק זה או אחר. יש ספקים המבטיחים הרים וגבעות בלי יכולת לממש את הבטחותיהם. צריך להיזהר מהם כמו מאש.

ד. מה קורה עם שינויים ושדרוגים במהלך ההסכם? איך מתמחרים שינוייםוצרכים חדשים שעולים בתוך תקופת ההסכם?

ה. האם ניתן לעבור ספק שירותים בקלות?

ו. האם ניתן לעבור בין תשתיות ופתרונות בקלות? ספק, שמספק ללקוח ציוד קנייני הכובל אותו לתשתית אחת, אינו הפתרון המומלץ, בלשון המעטה.

ז. האם יש תמיכה לאחור למערכות ישנות קיימות ולמערכות Legacy אחרות הנמצאות בעסק? שאלה מאוד חשובה, במיוחד עבור עסקים, שמחזיקים מערכות על בסיס DOS (למשל: בקופות רושמות, הנהלת חשבונות, וכיו"ב).

ח. האם כל הצרכים של העסק יכולים לקבל מענה אצל הספק הנבחר? אם לאו, יש לחפש ספק אחר.

ט. מה עם ה- SLA? ספק רציני מספק ללקוחותיו SLA (הסכם רמת שירות) ברור, קפדני ומפורט, כולל החזרים במידה ואין עמידה מצדו בהסכם.

י. האם הספק עובד בשקיפות? יש להתרחק ממי שאינו עובד בשקיפות. השקיפות משמעה: היכולת לראות בכל רגע מה קורה, כמה זה עולה, מה איכות השירותים והחיבורים, מה האיומים וההתקפות שסוכלו, הכל גלוי ועל השולחן, עם הסכמים ברורים ומובנים בלי עלויות נסתרות ובלי הפתעות.

י"א. היכן ממוקמים השירותים, במיוחד בשירותי אבטחה בענן? מי שבוחר בשירותי ענן ורוב צרכיו בישראל, ראוי שיעדיף שירותים המצויים בענן בתוך ישראל. מי שעסקיו מבוזרים ברחבי העולם בסניפים מרוחקים, יעדיף ספק שירותי ענן בינלאומי.

י"ב. האם קיים צורך ממשי והאם הספק מציע שירות אבטחתי הכולל שליטה מרחוק וגיבוי מרחוק על כל מכשירי הקצה הניידים (לרבות שליטה מלאה על אבטחת מכשירי הקצה מכל סוג, במיוחד סמארטפונים וטאבלטים).

תופעת ה- BYOD (ר"ת: Bring Your Own Device) הופכת למציאות בעסקים ובארגונים בישראל ויש לקחת אותה בחשבון בעת בחירת הפתרון המתאים.

י"ג. האם יש צורך בשרידות ואמינות מלאה של מערכות האבטחה? נכון שזה מייקר את עלות הפתרון, אך לעיתים קרובות שרידות והמשכיות עסקית הן צורך ממשי ואקוטי לעסק.

י"ד. מהן רמות האבטחה והשרידות של השירותים המסופקים בענן? מה רמת הסיכון (אם יש) בשירותים הללו? האם המחשבים הנייחים, הניידים, הטאבלטים והסמארטפונים יפעלו גם אם מערכת האבטחה המרכזית תיפול וכיצד? איזה ביטוחים נדרשים אצל הלקוח ואו הספק לצורך קיום השירותים? האם יש צורך בשירות תחזוקה ותמיכה למערכת עם יכולת להגיב מידית לקריאות ב- 24 X 7 X 365 בכל מקרה של בעיה או תקלה, או שניתן להסתפק בשירות הניתן בשעות העבודה המקובלות?

ט"ו. איך מאבטחים ומגינים על נכסים הנמצאים מחוץ לכותלי הארגון ומחוץ ליכולת השליטה הצמודה שלו, למשל: אתר אינטרנט של העסק או בסיס נתונים של ספק חיצוני?

ט"ז. מה רמת הביצועים של מערכות האבטחה? מערכות אבטחה אמורות להיות (ככל הניתן) "שקופות" למשתמשים ברשת העסקית ולא לפגוע בביצועיה. יש להתרחק מפתרונות המאיטים שלא לצורך את התעבורה הפנימית או החיצונית של העסק ופוגעים ב"חוויית המשתמש".

י"ז. מה רמת ההדרכה והתמיכה שיש לספק למשתמשי הקצה, כדי לתפעל את מערכי האבטחה, שיש במכשירים שלהם מבלי לפגוע חמורות בשגרת עבודתם? יש לבחור בפתרונות שהנם ככל הניתן ידידותיים ו"שקופים" למשתמשי הקצה, כך שלא נדרש מהם מאומה (למעט שם וסיסמה, בעת כניסה לעבודה במערכת).

י"ח. האם העסק כפוף לרגולציה ממשלתית? פתרונות האבטחה אמורות לתת מענה לרגולציה מאוד מחמירה, שיש כיום בתחומי הבריאות, או בתחומי הכספים, או לחברות ציבוריות הנסחרות בבורסה, או לחברות שקשורות בגופי ממשלה שונים.

אם בכל זאת מנהלי העסק בוחרים להישאר עם קופסת אבטחה ישנה קיימת בחצרי העסק, גם במקרה כזה עדיין מומלץ לנקוט בצעדים להוזלת עלויות. מומלץ לנקוט במדיניות ברורה בכל הקשור בבחירת ספק השירות ושיטת התחזוקה והגיבויים, ולקבל ייעוץ בתחום זה, לפני שנופלים בפח, או ממשיכים לשלם מחירים מופקעים על שירותים מיותרים. אנו מציעים חלופה לא יקרה לנהל עבור העסקים את כל תהליך בחירת הספק והשירותים, מה שנעשה ע"י מומחים בעלי ניסיון רב בתחומי האבטחה, המחשוב, התקשורת וה – IP. אנו נכין עבור העסק מסמך אפיון דרישות מפורט, כדי שבעלי העסק יוכלו לקרוא, להבין ולבחור בשירות האבטחה הטוב ביותר עבור העסק מכל הבחינות, הן התפעוליות והטכנולוגיות והן הכספיות. בדרך זאת, בעלי העסק ישלמו רק עבור העצות שלנו ויוכלו לחסוך בהוצאות מאות עד אלפי שקלים לעסק, כבר בשנה הראשונה של יישום הפתרון המומלץ.

 

איך להיערך כבר כיום להתפתחויות המהירות בשוק אבטחת המידע?

א.  בכל מקרה, לא להתחייב בהתחייבויות לטווח ארוך לשום ספק. אין להתחייב בכל מקרה מעבר לשנה אחת.

ב. מי שכבר מצוי בתוך התחייבויות לטווח ארוך, מומלץ שימצא את הדרך החוקית והעסקית הנכונה להשתחרר מהתחייבות אלו ללא נזקים מיותרים.

ג. לצמצם (כבר כעת) את כמות ספקי האבטחה המספקים שירותים לעסק. אין סיבה שלכל שירות יהיה ספק אחר. יש ספקים רבים, שמספקים את כל מגוון שירותי האבטחה תחת קורת גג אחת וחלקם ללא עלות נוספת על השירותים הנוספים.

ד. לבצע בדיקות מקיפות לעמידות הרשת ומוכנותה. ביצוע "מבדקי חדירה" חיוניים לעסקים, שיש בהם מידע רגיש ובכמויות, כמו מידע כספי או עסקי חשוב, מאגרי מידע עסקי גדולים וכיו"ב. במידת הצורך, ראוי לבצע כבר כעת את השדרוגים הנדרשים לרשת ולתחזוקת השרתים, כדי שיכולו להיות ערוכים לשירותי אבטחה מתקדמים לרבות בענן (הנעשים על רשת האינטרנט, או ברשת IP פרטית ומאובטחת). מומלץ לבדוק עם ספק השירותים אם הוא מוכן לקחת על עצמו (ללא תשלום, או בתשלום סמלי) את כל התהליך של בדיקת רשת התקשורת והיישומים עליה לשירותים החדשים, לרבות ב"מבדקי חדירה". מומלץ לסכם עם הספק על תהליך של שדרוג הדרגתי של הרשת ורכיביה, כך שכל שלב יותאם לצרכים של השירותים החדשים, שיופעלו על הרשת לאורך ציר זמן.  

ה. יש לקבוע ולתכנן מדיניות אבטחה מתאימה חדשה, הרשאות גישה, מדיניות שרידות וגיבויים, מדיניות תחזוקה, ביטוח ותמיכה, כבר כעת, בגלל הרגישות של שירותים מתקדמים לתקלות, שיכולות לפגוע בכמה שירותים במקביל, ועקב המעבר לשירותי אבטחה חדשים, לרבות שירותי אבטחה ניידים.

ו. בחירת ספק אבטחה אינה משימה קלה ופשוטה והעצות, שנתנו במאמר בעניין בחירת ספק ISP, תקפות גם כאן.

ז. נתבי אבטחה לארגונים ולעסקים ושירותי אבטחה הפכו מזמן להיות מוצר חובה בכל עסק, שיש לו רשת פנימית וחיבור חיצוני לאינטרנט. אולם, למי שאין עדיין רשת WiFi בעסק (או שיש לו רשת אלחוט ישנה ולא מאובטחת), מומלץ לבחון את אחד המוצרים לאבטחה, שיש להם WiFi וגם אופציה לחיבור סלולרי, היות וה-WiFi הפך להיות שירות רשת כמעט חובה בכל עסק (וגם בכל בית), עם התפשטות הסמארטפונים והטאבלטים בעלי יכולות WiFi, לרבות התפשטות תופעת ה- BYOD.

 טיפ:

מומלץ כבר כעת להתנסות במעבר של שירות אחד לפחות בעסק לשירותי אבטחה בענן, למשל באבטחת הדוא"ל, שהוא שירות בסיסי ואינטרנטי במהותו ומתאים מאוד להיות מאובטח בענן. כמעט כל המתחרים בשוק שירותי האבטחה בענן מציעים שירותי אבטחת דוא"ל בענן, וניתן לתחר בניהם. אפשרות מקבילה נוספת: אבטחת אתר האינטרנט של העסק (אם לא מסתפקים בהגנה הבסיסית של ספק שירותי האחסון של האתר). גם כאן, כמעט כל הספקים לשירותי אבטחה בענן מציעים פתרונות לאבטחת אתר אינטרנט בענן וניתן לתחר בניהם.

 שורה תחתונה:

התגברות התחרות בין חברות התקשורת פתח בפני הלקוחות העסקיים והארגוניים מגוון רחב של הזדמנויות לחסוך ולהפעיל שירותים חדשים לפי צרכיהם, ובמיוחד בתחום שירותי האבטחה. בבחירת מפעיל שירותי אבטחה לעסק יש להשקיע מחשבה ולקבל החלטות רק לאחר הבנת הצרכים של העסק. מומלץ לבחון את החלופות השונות הקיימות כיום שהן רבות, ולקבל החלטה המבוססת על ניתוח צרכים מול החלופות הקיימות בשוק. אנו, בכל מקרה, עומדים לרשותכם לסייע בבחינת החלופות השונות, הצגת יתרונות וחסרונות של כל חלופה, על מנת שתבחרו בחלופה האופטימלית מבחינתכם. מומלץ למצות את אפשרויות החיסכון בהוצאות התקשורת הטמונות בשירותים החדשים, במיוחד אלו שבענן, שמספקים גם יכולות חדשות בשוק שירותי האבטחה, מה שיכול להוות יתרון תחרותי משמעותי בשוק לכל עסק וארגון.


לקבלת מידע נוסף על השירותים שלנו לתחום אבטחת מידע, 
נא השאירו פרטים ומהנדס מומחה מחשוב יחזור אליכם בהקדם.

 

 

סקירת וידיאו, אבטחת מידע: 

 

 

סקירת וידיאו, IPVPN – רשת פרטית ומאובטחת מבזק עסקים: 

השאר תגובה

פוסטים נוספים