CISO as a service – ממונה אבטחת מידע
השאירו פרטים כאן לקבלת מידע על שירותי CISO as a service אצלכם בארגון או התקשרו ל-03-7176020
רגולציה בישראל:
בחודש מאי 2018 נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות אבטחת מידע").
התקנות קובעות שורה ארוכה של חובות החלות על כל גוף המנהל מאגרי מידע.
כל מה שצריך לדעת על החובות החלות על מחזיקי מאגרי מידע
במקביל, נכנסו לתוקף באיחוד האירופאי הרגולציה הכללית להגנת מידע רגולציית GDPR.
תקנות אלו חלות לא רק על גופים הפועלים מתוך שטחי האיחוד, אלא על כל גוף המבצע פעולות של שיווק או מכירה לאיחוד האירופאי – שימוש במידע של אזרחי אירופה.
הסדרים חוקיים אלו באירופה ובישראל, מצטרפים למעשה לגל החקיקה העולמית בתחום אבטחת המידע והגנת הפרטיות לו אנו עדים בשנתיים האחרונות. גל זה כולל הסדרים חוקיים נרחבים וחדשים בקליפורניה (CCPA) וושינגטון ומדינות נוספות בארה"ב, שוויץ, ברזיל, יפן, הודו, בוסניה, אורוגואי, אוקראינה ועוד.
הרגולציה בתחום מתייחסת כמובן לאמצעי האבטחה השונים, כללים הקובעים מה מותר ומה אסור לעשות במידע, מעמדן של הרשויות המפקחות השונות וכו'. אולם בצד כל אלה, הרגולציה קובעת חובות רבות המתייחסות לביצוע בקרות שוטפות, דיונים פנימיים, סקרי אבטחה וסיכונים, תהליכי ניטור וביקורת, מערכי תיעוד ושליטה שוטפים ויומיומיים וכו'.
לקבלת מידע אודות החובות שנקבעו במסגרת ה-GDPR
למאמר המפרט אודות הסמכת GDPR בארגון
בביקורות של רשות הגנת הפרטיות שאנו מלווים אצל חלק לקוחותינו אנו נתקלים פעם אחר פעם בדרישה להציג "אסמכתאות" לקיומם בפועל של נהלים, "תיעוד" של ביצוע פעולות פנים ארגוניות, "פרוטוקולים" של דיונים וכו'. דהיינו, אין די בקביעתם של מנגנוני שליטה ובקרה – יש להטמיע אותם בפעילות היומיומית, ולנהל בקרות על כך שעובדי הארגון פועלים בהתאם להם, תוך תיעוד שוטף.
כל מה שצריך לדעת על מערך האכיפה של רשות הגנת הפרטיות
וכך, מבחינה ארגונית, המשמעות המרכזית של הרגולציה השונה החלה על כל ארגון עסקי כיום, היא הצורך הבלתי פוסק לעסוק בניהול של המידע, אבטחה שלו, בחינה של השימוש הנעשה בו ויצירת בקרות ומנגנוני שליטה וביקורת שתכליתם למנוע אירועי אבטחת מידע העלולים לפגוע במוניטין ובלקוחות הארגון.
כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep
כיום, ניהול המידע הארגוני מחייב שליטה משולבת בכמה תחומים שונים:
- ידע משפטי – הבנה של הרגולציה החלה על פעילות עסקית מסוימת, היכרות עם הנחיות ועדכונים הצצים חדשות לבקרים, החלטות אכיפה ופסקי דין, חקיקה חדשה וכו';
- ידע ארגוני – ניהול של תהליכים פנים ארגוניים – החל מהטמעת מערכות רגולציה פנימיות ונהלים שאינם פוגעים בשגרת הפעילות, ועד לביסוסם של מנגנוני בקרה ואכיפה פנימית שתכליתם להבטיח קיום של הנהלים, תוך תיעוד וניהול ארגוני של כלל המתרחש;
- ידע מקצועי-טכני – חלק מהחובות הקיימות בתחום מתייחסות לאבטחת המידע מהפן הטכנולוגי – התקנת אמצעי הגנה מתאימים, תחזוקה שוטפת שלהם, ביצוע בקרות פיזיות ולוגיות על פעילותן, בקרות שוטפות על נתוני אבטחה וכו'.
בשל מורכבות זו, במרבית הארגונים, ניהול של נושא אבטחת המידע והגנת הפרטיות באמצעות גורם פנימי אינו פשוט כלל – יש לאתר גורם פנימי הבקיא בשלושת התחומים האמורים, שיש לו את הפנאי והמשאבים לנהל הליכים אלו. כאשר מוסיפים על כך את האיסור החוקי (והמובן) לעשות שימוש במנמ"ר / מנהל מחשוב / Ciso as a service לצורך כך בשל העובדה שכל אלו נתונים בניגוד עניינים מובנה, השאלה מתחדדת אף יותר. לבסוף, בחברות קטנות-בינוניות, לא קיימת בדרך כלל התכנות כלכלית למינוי של גורם ייעודי לליווי שוטף, שכן מדובר הרבה עבודה, אך עדיין, ב"היקף משרה" של מספר ימים בחודש.
המסקנה היא, שגורם המשמש כ- CISO as a service קלאסי או ממונה אבטחת מידע אינו בהכרח מספיק על מנת לעמוד בכלל הדרישות שבדין. כך, גם עורך דין לבדו, בוודאי שאינו יכול לתת כיסוי לכלל התחומים, הכוללים תחומים מקצועיים וטכנולוגיים.
הפתרון שלנו – שירות ליווי שוטף מבית נקסטפ:
בשל הצורך האמור של לקוחותינו לניהול נכון, יעיל ומקיף של אבטחת המידע והגנת הפרטיות אצלם בארגון, נקסטפ, כחברה המתמחה בהטמעת מערכות תקינה ורגולציה פנים ארגונית, פיתחה ואפיינה את שירות ליווי שוטף – תוכנית מסודרת לליווי ותחזוקה שוטפים של תחומי הגנת הפרטיות ואבטחת המידע בכל ארגון. וכך, בליווי ותמיכה של יועצים משפטיים המתמחים בתחום הגנת הפרטיות, חברת נקסטפ מאפשרת כיום ללקוחותיה לרכוש חבילת שירותים מקיפה, המבוססת על ידע מקיף ומתוחזק בשלושת התחומים שצוינו לעיל: משפטי, ארגוני וטכנולוגי ותפורה בדיוק לצרכיהם ולפעילותם.
במסגרת תוכנית הליווי השוטף, אנו מגיעים אל לקוחותינו למספר ימים קבועים בחודש, ומספקים להם שירותי בקרה וניהול של תהליכי אבטחת המידע הקיימים אצלם.
אנו מטפלים בכל התחומים הבאים:
- שירותי ממונה אבטחת מידע (Ciso as a service) / אחראי אבטחת מידע במיקור חוץ – למעשה שירות הליווי השוטף של נקסטפ נועד לתת מענה לדרישה למינוי ממונה אבטחת מידע (היכן שקיימת חובה חוקית) או אחראי אבטחת מידע, שתפקידו לנהל את כל תחום אבטחת המידע והגנת הפרטיות בחברה. כאמור הדבר מתאפשר בהתבסס על הידע המשולב של הגורמים השונים המלווים את התהליך מצד נקסטפ, ובהתבסס על היכולת לרכוש את השירות בצורה מודולארית ובהתאם לצורך, תוך ייעול וחיסכון בעלויות;
- עריכת סקרי סיכונים ובקרת אבטחת מידע – בשילוב בין יועצים משפטיים ליועצים מתחום התקינה ואבטחת המידע, אנו בוחנים את כלל נכסי המידע הארגוניים, את המערכות השונות ואת תשתית המחשוב, במטרה לזהות את כל הפערים הקיימים אל מול דרישות החוק כמו גם המקובל בשוק והרצוי מבחינה מקצועית;
- התאמת פתרונות והשלמת כלל הפערים – על בסיס ממצאי הבדיקה והבחינה שאנו מבצעים, אנו מתאימים ללקוח את הפתרונות הנכונים והמתאימים לארגון המסוים, ומלווים את הלקוח עד להשלמה מלאה של כלל הפערים;
- כתיבת והטמעת נהלים – בין היתר, ולצורך הטמעת מערכות בקרה ושליטה פנים ארגוניות, אנו כותבים עבור הלקוח נהלים מסודרים בכל התחומים הנדרשים, מתאימים את הנהלים לאופן פעילות הארגון, ומלווים את הלקוח עד להטמעתם בשגרת הפעילות;
- קביעת שגרת בקרות ארגונית – הטמעת נהלים כשלעצמה אינה מספיקה – יש לוודא שהנהלים מתקיימים, ושכל מנגנוני האבטחה מתפקדים כנדרש. ועל כן, בשיתוף עם הגורמים הרלבנטיים אצל הלקוח, אנו קובעים עבור הארגון שגרת בקרות שוטפת, ברמה יומית, שבועית, חודשית, שנתית וכו', שתכליתה לוודא כי פעילותו השוטפת של הארגון מתבצעת בצורה מאובטחת ותקינה, תוך שמירה על פרטיות הלקוחות. בקרות אלו מתייחסות בדרך כלל הן לאבטחה פיזית והן לאבטחה לוגית;
- ניהול של שגרת הבקרות – אצל כל לקוח מתמנה יועץ ייעודי המתפקד למעשה כגורם בקרה פנימי ומנהל עבור הלקוח בשוטף את כלל תהליכי הבקרה שנקבעו. תפקיד היועץ כולל ביצוע של בקרות במקרים מסוימים, ובמקרים אחרים, פיקוח על גורמים בחברה האחראים לבצע את הבקרות. בנוסף, היועץ הייעודי אחראי לתיעוד כלל התהליכים וניהול של לוחות הזמנים, ומספק מעטפת ארגונית לכל הנושא מבלי לפגוע בשגרת הפעילות;
- קביעת תוכנית הדרכות, וביצוע של הדרכות בפועל – מערך ההדרכה של חברת נקסטפ, המתמחה בעריכת הדרכות בשלל תחומים בהתאם לרוחב פעילותה של נקסטפ בתחומי התקינה והרגולציה הפנימית, מתאים עבור הלקוח תוכנית הדרכות מדורגת המבטיחה כי כל עובדי הארגון יתודרכו בזמן ובצורה מסודרת אודות כלל חובותיהם, תוך תיעוד של ההדרכה ומעקב אחר השלמת פערים;
- בקרות תהליכיות – כחלק מהמומחיות של יועצי נקסטפ בתחומי הבקרה והרגולציה הפנים ארגונית, כולל ליווי שוטף בסבב של בקרות תהליכיות על התהליכים המרכזיים הרלבנטיים בארגון. כך למשל, מבוצעת בקרה תהליכית תקופתית על הליכי שיווק (המרכזים בעולם הדיגיטאלי של היום מידע רב אודות נושאי מידע), בקרה תהליכית על מערכות המחשוב של החברה, תהליכי מכירות, משאבי אנוש וכו'.
- ניהול רכש וספקים בתחום מערכות המידע – הרגולציה בתחום קובעת שורה של חובות החלות על הארגון בעת שהוא מתקשר עם ספקים חיצוניים בתחום מערכות המידע. בהתבסס על ידע וייעוץ משפטיים, והבנה של ההקשר הארגוני והטכנולוגי, חברת נקסטפ מאפיינת עבור הלקוח את סוג ההתקשרות, מנהלת הליך מסודר ומתועד של בדיקת נאותות ראשונית טרם ההתקשרות, ומתאימה לספק המסוים "נספח עיבוד מידע" המעגן את חובותיו כלפי החברה בכל הקשור לעיבוד המידע שלה. זאת יש להדגיש, בהתחשב בנדרש לפי תקנה 15 לתקנות אבטחת מידע ו/או הוראות תקנה 28 ל- GDPR;
- ביצוע ביקורת ספקים שנתית / תקופתית – מעבר לחובה להתקשר עם ספקים בצורה מסודרת ובהתאם להוראות הדין, קיימת גם חובה לפקח על פעילותם בצורה שוטפת. במסגרת שירותי הליווי השוטף, חברת נקסטפ עורכת ביקורת ספקים שנתית במסגרתה נבחנים כלל הספקים החיצוניים המקבלים גישה למידע של הארגון, והאופן בו הם עומדים בחובותיהם לפי ההסכם עם הארגון והוראות הדין;
- ניהול אירועי אבטחת מידע – בעידן הנוכחי, הרגולציה כוללת חובות רבים הקשורים בניהול של אירועי אבטחת מידע. החל משלב הזיהוי, ודרך הניהול השוטף של כל אירוע, ועד לאופן הסיכום, הפקת הלקחים והתיעוד של כלל האירוע. בנוסף, קיימות חובות רבות הקשורות לדיווח על אירועי אבטחת מידע ללקוחות, שותפים עסקיים, רשויות וכו'. כל אלו מחייבים ניהול של האירוע לא רק מהפן הטכנולוגי, אלא גם (ובעיקר) מהפן המשפטי והארגוני. גם כאן, התשתית המקצועית הרחבה הקיימת בנקסטפ מאפשרת לנו לתמוך בהליכים אלו בצורה שוטפת ומקיפה המבטיחה עמידה בדרישות הדין;
- תחזוקה של מסמכי ומערכי הגנת הפרטיות בארגון – הרגולציה בתחום כוללת חובה לעדכן בצורה תקופתית ולפי הצורך את מסמכי אבטחת המידע של הארגון – הנהלים, מסמכי הגדרת המאגרים השונים, מיפוי מערכות המאגר, ניהול הרשאות המידע וכו'. היועץ הייעודי מטעם נקסטפ אינו רק מוודא עמידה בדרישות אלו, אלא אף מבצע בעצמו את הבחינה של המסמכים הקיימים, וממליץ בצורה קונקרטית ופשוטה על הנדרש לצורך תחזוקתם;
- דיון שנתי בנושאי אבטחה – אחת מהחובות הקבועות בתקנות הגנת הפרטיות הינה החובה לנהל דיון שנתי (או רבעוני במקרים מסוימים) בנושאי אבטחת מידע. במסגרת הדיון יש לבחון שורה של נושאים קריטיים לעמידה בתקנות ובהוראות הדין. כחלק מהליווי השוטף היועץ הייעודי מטעם נקסטפ מוודא את קיומם התקין והשגרתי של הדיונים הנדרשים, מכין את כלל החומר הנדרש, ומתעד את הדברים שנידונו, כפי שדורש הדין.
- ניהול הליכי תחזוקה ובקרה של תקינה מקבילה – כחברה שליבת עיסוקה הוא תקינה פנים ארגונית, וכמי שמלווה בעצמה לקוחות לתקני אבטחת מידע השונים (ISO 27001, ISO 27799, ISO 27107, ISO 27018 וכו') תכנית הליווי השוטף יכולה לשלב גם הליכי בקרה שוטפים שתכליתם תחזוקה של התקנים הקיימים בארגון, על מנת להקל על הלקוח (ולחסוך בעלויות) לקראת המבדק השנתי, הכל בהתאמה אישית לצרכי הלקוח.
שירות ליווי שוטף של חברת נקסטפ הינו שירות מודולארי בהתאמה אישית לצרכי הלקוח.
שימו לב, לא מדובר רק ב- DPO או בשירות CISO as a Service – מדובר בשירות רחב בהרבה המקיף את כלל התחומים – המשפטי, הארגוני והטכנולוגי.
כמו כן, בשל הניסיון הנרחב שיש לחברת נקסטפ בתחום, השירות מותאם לצרכי הלקוח לא רק בהיבט הארגוני, אלא גם בהקשר המשפטי, כך שהשירות יכול להיות משולב ומותאם לכל מערכות הרגולציה אליהן כפוף הארגון במקביל, כמו למשל ארגון הכפוף לרגולציה ישראלית ובמקביל לרגולציה זרה, כדוגמת ה– CCPAוה- .GDPR