איך לכתוב תקנות אבטחת מידע לארגון שלכם?
נהלי אבטחת מידע הם כל מה שצריך לדעת על נוהל אבטחת מידע בארגון כלשהו, עסק פרטי או גוף ציבורי, ולכן החשיבות שלהם קריטית. היום, כששומעים על פריצות למכשירים ולמחשבים מכל מקום ובכל ארגון אנחנו חושבים אוטומטית על ניהול אבטחת מידע שכשל ועל כל המידע שזלג, וזאת בדיוק הסיבה שבגללה חובה לסגל נוהל מדיניות אבטחת מידע מחמירים כפרוטוקול עבודה בסיסי ועיקרי. החשיבות של נוהל אבטחת מידע אינה רק בכך שהוא חושף כל ארגון לפריצות למחשבים ולתוכנות אלא גם בגלל מאגרי המידע שכל עסק וגוף מחזיקים ואסור להם לזלוג. זה חלק מההתחייבות הבסיסית של כל עסק ללקוחות שלו וזה מתחייב לשמור על תקני אבטחת מידע וניהול סיכונים שיגן גם על החברה.
מה קורה ללא כתיבת תקנות אבטחת מידע?
מדיניות אבטחת מידע היא הבסיס של כל פעילות חברה כיום ואי אפשר אפילו לחשוב על כך שיוותרו עליה. הסכנה קיימת כל הזמן ומומחים רבים חושבים שזאת רק שאלה של זמן עד שמישהו בעל כוונות זדון יתביית על מאגרי המידע של חברות וינסה לשלוף משם את המידע שהוא זקוק לו. גם כך יוצאים מנקודת הנחה שקשה מאוד למנוע פריצות כאלה ולכן חובה להוכיח לפחות בשעת משבר כזאת שהחברה עשתה כל מה שמתבקש על מנת לשמור על המידע ועל הלקוחות שלה, משום שזה גם עניין שחושף אותה לתביעות ביטוח ותביעות לקוחות. כל ארגון כזה שלא יעשה זאת לא רק מסתכן בתביעות ענק אלא גם להפסד מסיבי של לקוחות עד כדי סכנת סגירה והפיכתו ללא רלוונטי כלל בענף שבו הוא פועל. ללא מודעות מלאה של כל ההנהלה והעובדים לנוהלי אבטחת מידע בארגון אי אפשר גם לשמור על המידע ולכן כל מה שכלול בהם ולא רק נתוני לקוחות וספקים אלא גם נתוני הכנסות והוצאות, כל תכניות העבודה והמיזמים שתכננתם, הכל זולג והופך לחלק בלתי נפרד מהריגול התעשייתי והמודיעים העסקי שהם כל כך יקרי ערך בעולם העסקים של היום. זה פשוט עולה לכם כסף להתעלם מכך ולא לכתוב את נוהל אבטח המידע הנכון שנחוץ לכם בארגון.
האם מעקב אחר עובדים הוא הפרת הפרטיות?
חלק מהעובדים וההנהלה עלולים להתנגד לכך משום שמדובר בפיקוח מוגבר ומעקב צמוד גם אחר עובדים, עבודתם ופעילותם והמידע במחשבים שלהם. נכון שכל מה שמצוי במחשב העובד במקום העבודה נחשב לרכוש המעסיק אבל קיימת גם זכות לפרטיות וכשהיא מופרת בגלל נוהלי אבטחת מידע זה יכול להקשות על הכתיבה של נוהלי אבטחת מידע בארגון בכל מקום. חייב להיות איזון בין הפרוטוקול המתבקש לבין החשש מריגול אחר עובדים ופרשיות שעולות לכותרות לאחרונה בהחלט ממחישות את הסכנות שכרוכות בכך. עם זאת, אפשר לכתוב נוהלי אבטח מידע וליישם אותם וגם לעשות את כל מה שמתבקש גם הגיונית וגם מבחינת נוהלי עבודה כדי לא לחדור לפרטיות יתר על המידה. חשוב לזכור שהם מגינים גם על העובדים עצמם מפני שתילת תוכנות זדוניות שונות וגם רוגלות ולא רק מיועדות על מנת לפקח אחריהם. הרי כל המאגרים שהם עובדים אתם נמצאים במחשבים אלה ויש להגן עליהם גם למענם. הפעלת תקנות אבטחת מידע נועדה גם לשמור על המחשב שלהם מפני משברי פריצה ודרישות כופר למיניהן, כפי שאנחנו רואים לאחרונה כשתוקפים את הארגונים והחברות ומאגרי המידע החיוניים שלהם.
מהו בעצם תפקידו של נוהל אבטחת מידע?
מלבד הגנה על מאגרי מידע, נוהל אבטחת מידע ארגוני אלה מוסר לעובדים את כל ההנחיות שהם זקוקים להן על מנת לבצע סדר פעולות נדרש ולעבוד בסביבה בטוחה ומוגנת. הנחיות אלה מנוסחות בלשון ברורה כדי למנוע אי הבנות מה יש לעשות ומה אסור לעשות, כיצד לעבוד לפי סיווגים וקטגוריות שונות של סודיות כדי להבטיח שלא תהיה זליגה אפילו בגלל חוסר הבנה פעוט. כמו כן, יש להבטיח את הפרטיות של הארגון והסודיות שלו כמתבקש על מנת למנוע זליגת מודיעין עסקי גם שלא במשים ולא רק בגלל פעילות זדונית כלשהי. אם זולג מידע כלשהו החקירה תוביל תמיד לאותו מקור שבו נעשתה הזליגה מלכתחילה ומעקב אחר סדר הפעולות שמפורט בהנחיות לגבי נוהלי אבטחת מידע בארגון יגלה מה השתבש ומה קרה והיכן. כך אפשר יהיה גם למנוע את הזליגה הבאה ולהבטיח את המידע ולסגור את הפרצה. נוהל אבטחת מידע בחברה פשוט מגן על העובדים גם מפני החשד שיופנה כלפיהם וחיוני להבהיר להם גם את זה.
כתיבת נהלי אבטחת מידע – למי זה חשוב?
תקנים שונים של תקנות אבטחת מידע נפוצים בארגונים שונים על פי הצרכים שלהם ומאגרי הדאטה הספציפיים שהם עובדים אתם. דוגמא לנוהל אבטחת מידע שבו משתמשים בנהלים כמו תקן ISO 27001 לאבטחת מידע, והם נוהלי אבטחת מידע בארגון שמשמשים כלי עבודה של ההנהלה שמפקחת על העובדים. זהו גם האמצעי שמותאם להגדרות המקוריות של המטרות של הארגון וכך גם להבטיח עבודה תקינה בכל מחלקה לפי הנהלים שמתאימים לה. זה לא אותו דבר בכל הארגון ולכן כתיבת תקני אבטחת מידע כאלה יכולה לקחת זמן ולהיות שונה בין המדורים באותו ארגון עצמו. הכנסת הנהלים למחלקות ויישומם היא עניין של זמן שמצריך הסתגלות של עובדים לכך והיא דורשת שיתוף פעולה מלא שלהם. זה לא אמור להיות כרוך בדרמות של אי ציות וסרבנות לנוכח הפיקוח והידוק תקנות אבטחת מידע אלא לגרום להם להבין שזה לטובת הארגון ועובדיו לא פחות מאשר לטובת הלקוחות. רק הדגמה של נהלי אבטחת מידע תוכיח להם כמה הם חשובים ודורשים את ההבנה והעבודה לפיהם מבלי לדלג על אף שלב ואף הנחיה של נוהל מדיניות אבטחת מידע.
Write a Comment