מגזין הפתרונות של יזמקו

מדיניות אבטחת מידע פנימי – מה צריך לדעת?

סודות מקצועיים, פרטי לקוחות, נוהלי עבודה ואסטרטגיות עסקיות – כל אלו מהווים מידע פנימי שמנהלי העסק מעדיפים בדרך כלל שלא לחשוף. דליפה של מידע מסוג זה עלולה לגרום נזק משמעותי לעסק, ואף לפגוע במוניטין שלו וביכולת שלו להמשיך ולהתקיים. לכן, חברות רבות משקיעות כיום את מיטב המשאבים שלהן באמצעי אבטחה שונים, מתוך מטרה להגן על הנכס העיקרי של העסק – המידע הפנימי. עם זאת, בשוק קיימים פתרונות אבטחה מגוונים ולא תמיד ברור איזה מהם יהיה אידיאלי עבור העסק. במקרים אלו מומלץ כמובן לפנות לגורם מומחה, וחשוב גם לבנות מדיניות אבטחה מידע בהתאם לנקודות הבאות.

הערכת המצב הקיים

ראשית, לפני שממהרים לאמץ מדיניות אבטחת מידע זו או אחרת, מומלץ לבצע הערכה של המצב הקיים בעסק. לשם כך יש לבצע הערכת סיכונים ולאתר את נקודות התורפה של העסק. בעל העסק צריך להבין מהיכן תיתכן דליפה של מידע חסוי, אילו מערכות מחשוב אינן מוגנות כראוי ואם ישנו מיכון משרדי אחר שאינו מוגן כראוי. הבדיקה הראשונית הזאת צריכה גם לכלול פירוט של אמצעי האבטחה העומדים לרשות העסק נכון להיום. ייתכן כי לרשות העסק עומדים אמצעי אבטחה שהיו מצוינים נכון לשנים עברו, אך הם אינם מעודכנים ואינן ערוכים להתמודדות עם האיומים הקיימים היום. חשוב לזכור כי תחום המחשוב נתון להתקדמות מואצת, ובהתאם לכך משתכללים כל העת גם האיומים על המערכות השונות. נקודה אחרונה שיש לברר במסגרת הסקירה הראשונית היא החוק התקף במדינה והתקנות שעסק נדרש לפעול על פיהן על מנת להגן על המידע של הלקוחות שלו. תקנות אלו יסייעו לבעל העסק לקבוע מדיניות מתאימה שתגן גם על הלקוחות אך על העסק שלו.

מדיניות מוצהרת

ביצעתם מחקר מעמיק וטרחתם ליצור מדיניות אבטחת מידע העונה על הצרכים שלכם ועל דרישות החוק? מעולה! האם העובדים שלכם מודעים למדיניות זו? האם העובדים פועלים בהתאם למדיניות הזאת? האם אתם מדריכים את העובדים בדבר עדכון המדיניות ואוכפים אותה? אם התשובה לשאלות אלו היא שלילית – כדאי לפעול בהקדם לתיקון המצב. גם המדיניות הטובה ביותר לא תסייע לכם אם אינכם מיישמים אותה הלכה למעשה.

על מנת לוודא שהמדיניות אכן מיושמת, תוכלו להיעזר בדגשים הבאים:

  • פרסום – מדיניות אבטחת המידע צריכה להיות מפורסמת במקום נגיש. ניתן לדוגמה לפרסם אותה בפורטל פנימי של אתר החברה או לתלות עותקים שלה בחדר המנוחה של העובדים.
  • עדכון עובדים חדשים – כחלק מתהליך הקליטה של עובד חדש, רצוי מאוד לעדכן אותו בדבר מדיניות אבטחת המידע ולהגיש לו עותק לעיון.
  • חתימת העובד על המדיניות – כאשר אנחנו חותמים על מסמך כלשהו, אנחנו בדרך כלל מרגישים הרבה יותר מחויבים למה שכתוב בו. לכן, בהתאם לעצת עורך הדין של העסק, כדאי לשקול את החתמת העובדים על מדיניות החברה.
  • רענונים והדרכות – מדיניות אבטחת המידע עשויה לכלול סעיפים רבים והגבלות שונות שטיבן אינו ברור ושהסיבה להן לא תמיד ידועה לעובד. לכן, כדי לגייס את שיתוף הפעולה של העובדים, מומלץ לבצע מדי פעם הדרכה מסודרת שתאפשר גם לענות על שאלות ועל אי הבנות בנושא זה או אחר. הדרכות אלו הן גם הזדמנות לסיעור מוחות, וייתכן כי תקבלו משוב והצעות ייעול מהעובדים הנדרשים ליישם מדיניות זו במסגרת עבודתם.
  • אכיפה – על מנת לוודא שמדיניות אבטחת המידע תשתרש בעסק, חשוב מאוד שהיא תכלול גם פירוט של הצעדים שהעסק יכול לנקוט בהם במקרה שהעובד אינו פועל על פי המדיניות.

עדכון המדיניות

מיכון משרדי, תוכנות, מדפסות למשרד – כל אלו מתעדכנים ללא הרף. השימוש במיכון החדש ובתוכנות החדשות עלול לחשוף את העסק לגורמי סיכון חדשים ולגורמים עוינים אחרים. לכן, מדי פעם יש לבחון את מדיניות אבטחת המידע ולוודא שהיא אכן עונה על דרישות השוק ומספקת את רמת ההגנה הדרושה לעסק. מלבד זאת, מעת לעת גם החוקים הנוגעים לתחום אבטחת המידע משתנים, ודרישות המחוקק אף הן מתעדכנות. לכן, בעל העסק נדרש לוודא שמדיניות אבטחת המידע שלו עדכנית. לשם כך מומלץ להתייחס למדיניות כאל מסמך המתעדכן כל הזמן וכדאי להכניס ללוח העבודה של העסק מועדים קבועים למעקב אחר נושא זה. פגישה קבועה המופיעה בלוח השנה תבטיח שתמיד תישארו מעודכנים, ולו רק לצורך אשרור של המדיניות הקיימת. חשוב לציין כי בכל פעם שישנו עדכון של מדיניות אבטחת המידע יש לעדכן את הצוותים השונים ולוודא כי השינוי מובן להם וישים בשטח.

טיפול במשברים

מדיניות אבטחת מידע נדרשת לשרת את מכלול הצרכים של בית העסק. לכן, כאשר בונים מדיניות זו, חשוב להתייחס גם למצבים שבהם יש צורך להתמודד עם משברים ולנהל אותם. 

כאשר בונים מדיניות טיפול במשברים יש לשים  לב לנקודות הבאות:

  • התנהלות העובד – לצערנו, דליפה של מידע עלולה להתרחש גם כתוצאה מפעולה לא נכונה של עובד בחברה. אך כדי שיהיה ניתן לפעול במהירות, העובד נדרש לדווח את המצב ברגע שהוא מתגלה לו. הסתרה של תקלה או דחיית מועד התגלותה עלולים לגרום  לנזק נוסף. לכן, מדיניות החברה צריכה לעודד את העובדים לקחת אחריות על עבודתם וגם על טעויות שביצעו.
  • התאוששות – לרוב, מערכות המחשוב והמידע משמשות את המשרד ומאפשרות את קיומה של שגרת עבודה תקינה. אלא שבמקרים מסוימים ייתכן כי מערכות מסוימות יחדלו לפעול או שתתרחש תקלה זו או אחרת. במצב זה חשוב לשמור על ההמשכיות בתפקוד הארגון, ולשם כך יש להיעזר בתוכנות, ובמערכות גיבוי שיספקו את התמיכה הרצויה בעסק.
  • גיבוי מידע – כחלק ממדיניות הטיפול במשברים, יש להתייחס גם למצבים שבהם מתרחש אובדן של מידע. לשם כך ניתן להיעזר בנהלים שונים, החל בפלטפורמת ענן לגיבוי שוטף וכלה בנוהל גיבוי תקופתי של כל המידע העסקי. באופן זה, כאשר המידע מגובה כל העת, ניתן לצמצם את פוטנציאל הנזק במקרה של תקלה, ואובדן המידע יהיה מינימלי בלבד.
תגובות

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *