חוק אבטחת המידע: מה זה אומר לעסקים – ואיך אפשר להתגונן ממקרי דליפה?

חוק אבטחת המידע: מה זה אומר לעסקים – ואיך אפשר להתגונן ממקרי דליפה?

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, הן תקנות שנועדו להגן על הציבור, בכל הנוגע לשמירת המידע הפרטי שלו בצורה ממוחשבת. מבחינת עסקים, אלה תקנות מחייבות, שחיוני להכיר וליישם ככל שהן רלוונטיות לכם. אם כך, מה התקנות אומרות בפועל? וכיצד תימנעו מכשלי האבטחה, שאליהם התקנות מתייחסות?

החוק בתמצית

מהות החוק, היא להגן על מידע פרטי של לקוחות, כאשר עסקים שומרים אותו במאגרי מידע. החוק מגדיר חובות שונות מבחינת אבטחת המידע. הוא גם מחייב עסקים לדווח לרשות להגנת הפרטיות על אירועי אבטחה, אם כי מדובר רק על אירועים אשר מוגדרים כחמורים. הרשות עשויה לחייב אותם בהמשך לכך, לדווח גם ללקוחות שהמידע שלהם נחשף לתוקפים או עלול להיחשף לו. חשוב לציין, שהחוק מגדיר עונשים משמעותיים במקרה של אי עמידה בו והם מגיעים עד לחמש שנות מאסר! כיצד ניתן לעמוד היטב בדרישות אלה? מערכת priority בענן היא הפתרון בשבילכם, אם אתם מחפשים פתרון מאובטח לניהול העסק. זו היא מערכת ERP בולטת לניהול משאבים הארגון ובחירה בה, תספק לכם עוד דרך שימושית לשמירה על מידע הלקוחות הרגיש שברשותכם. כמובן, אין זה מספיק בכדי לעמוד בדרישות החוק – דרושים צעדים ומערכות נוספים. אך זה עשוי להיות צעד חשוב בדרך לשם.

הצפנה

הצפנת המידע שעליו מגנים, מספקת עוד שכבת אבטחה. זאת, תודות לכך שהיא מונעת מהפושעים להפיק תועלת מהמידע, אם הם כבר הגיעו אליו. גם אם יש ביכולתם לתת מענה להצפנה, היא תספק לכל הפחות גורם מעכב, מאחר שפיצוח הצפנה איכותית הוא תהליך מסורבל וממושך. הצפנה היא כיום תחום וותיק ובשל מאוד. תודות לכך, קל יחסית ליישם אותה באופן נרחב, במערכות מחשוב עסקיות.

נהלים

נהלי עבודה איכותיים בנושא האבטחה, חשובים מאוד בכדי לעמוד בדרישות החוק השונות. במקרי חירום, תהליכי התאוששות מאסון שיבוצעו בהתאם לנהלים שהוכנו מראש, יבוצעו במהירות המרבית ובאופן איכותי ככל הניתן. כמובן, אם כבר מתרחש אירוע אבטחה (וזה קורה במוקדם או במאוחר), חשוב להפיק ממנו לקחים. בעזרתם,  ניתן וכדאי לשפר בהתמדה את הנהלים. בהקשר אבטחת מאגרי מידע על לקוחות, ישנם היבטים כהרשאות גישה למידע והגדרה ברורה של האחריות בתוך העסק (מי אחראי על אבטחת המאגר? מי אחראי על ניהול מצבי החירום האבטחתיים? על היבטי עדכון הלקוחות ויחסי הציבור? וכן הלאה).

ניהול סיכונים

את כל הנהלים והפעילויות השונות שעושים בכדי להתגונן ולעמוד בדרישות החוק, רצוי לעשות במסגרת ניהול סיכונים כלל ארגוני. רוב המידע העסקי נמצא כיום בפורמט ממוחשב ורוב הפעילויות העסקיות כרוכות בעבודה עם מערכות המחשוב. כך שהמחשוב בעסק וניהול סיכונים ברמה הכי רחבה עבורו, הולכים יד ביד. כמובן, לא מדובר על ניהול סיכונים רק ברמה הטכנית, אלא גם ברמה של נהלי עבודה ושל אנשים (הדרכות, הסברה, תרגול).

גיבוי

גיבוי מידע הוא פחות אמצעי הגנה ויותר אמצעי התאוששות חיוני. מאחר שחשוב במילא לטפל בנושא הגיבוי באופן איכותי, כדאי לתת דגש מיוחד בנידון למידע הלקוחות שאתם שומרים. כאן המקום להזכיר שני Best Practices ידועים. הראשון – חיוני לבדוק את הגיבוי מראש, כך שלא תגלו בשעת חירום שמשהו בו חסר או ביכולת לשחזר אותו במהירות. השני – לשים לב היטב, לאבטחת קבצי ומערכות הגיבוי עצמם.

לסיכום

מומלץ לכל עסק להכיר היטב את חוקי אבטחת המידע שמחייבים אותו ולהבטיח שהוא נותן מענה איכותי לדרישותיהם. בין אם זה בעזרת מערכת ERP או בהיבטים האחרים של ניהול ואבטחת המידע.

law-perel - דיני משפחה, עבודה ומקרקעין

סגירת תפריט
Page Reader Press Enter to Read Page Content Out Loud Press Enter to Pause or Restart Reading Page Content Out Loud Press Enter to Stop Reading Page Content Out Loud Screen Reader Support
נגישות