שיעור 2: נכסים, איומים, פגיעויות וסיכון
כדי לנהל אבטחת מידע נדרשת שפה משותפת: נכס (Asset), איום (Threat), פגיעות (Vulnerability) וסיכון (Risk). בשיעור זה נגדיר כל מושג במדויק, נראה כיצד הם מתחברים למודל אחד, ונלמד כיצד מחשבים סיכון ומחליטים אילו בקרות משתלמות.
נכס הוא משהו שחשוב לנו; איום הוא מי שעלול לפגוע בו; פגיעות היא החולשה שהוא מנצל; וסיכון הוא כמה סביר שזה יקרה — כפול כמה זה יעלה לנו.
- נכס
- כל דבר בעל ערך שיש להגן עליו: מידע, חומרה, תוכנה, אנשים (ידע), שירותים ומוניטין. מסווג לפי רגישות ורגולציה (PII, PCI).
- איום
- גורם או אירוע שעלול לנצל פגיעות ולפגוע בנכס. סוגים: אנושי, טבעי, טכנולוגי ורגולטורי.
- פגיעות
- חולשה שניתן לנצל על ידי איום, למשל סיסמה חלשה, תצורת ברירת מחדל חשופה או חוסר עדכונים.
- סיכון
- המכפלה של סבירות התרחשות האירוע בהשפעתו: Risk = Probability × Impact.
- משטח תקיפה
- סך כל נקודות הכניסה האפשריות למערכת — פורטים פתוחים, ממשקי API, משתמשים ושירותים. המטרה לצמצמו.
- אירוע אבטחה
- התממשות של איום שניצל פגיעות, המובילה להשפעה על הארגון.
- תגובה לסיכון
- ההחלטה כיצד להתמודד עם סיכון, מתוך ארבע אסטרטגיות: קבלה (Accept), הפחתה (Mitigate), העברה (Transfer) והימנעות (Avoid).