fbpx

כיצד אבטחת המידע מתקשרת עם הרגולציה בארגון?

cyber lock 2

מנהלי אבטחת מידע וסייבר עומדים יום יום בפני דילמה הנוגעת בין האיזון בחובת עמידה בתקני ציות ותאימות כגון: שמירה על מידע ופרטיות ובין הבעיה ההולכת וגוברת של הפרות נתונים המצריכה השקעה מתמדת בהגנה.

הציות לתאימות מתמקד בסוג הנתונים המטופלים ומאוחסנים על ידי חברה ובאילו דרישות הרגולציה (מסגרות) חלות על הגנתם ורק לעיתים רחוקות עמידה בתקני אבטחה ופרטיות פירושה שמערכות ונתונים מאובטחים אוטומטית. תהליכי הציות בוחנים את תהליכי האבטחה של החברה והם מפרטים את האבטחה של אותם תהליכים ומידע ברגע נתון אחד, תוך השוואתם למערך ספציפי של דרישות רגולטוריות.

אבטחת מידע וסייבר מורכבת ממערכות וממסגרות (דוגמת NIST, CISQ), כלים טכניים ותהליכים המוצבים כדי להגן על נכסי המידע והטכנולוגיה של הארגון, וחובת הציות והתאימות אינה הדאגה העיקרית עבור צוות אבטחת המידע, למרות היותה דרישה עסקית קריטית.

לדוגמה, חברה יכולה לעבור בהצלחה ביקורת ציות לתאימות דוגמת: PCI ,SOX ,HIPPA וכו' ועדיין ליפול קורבן לאירוע סייבר שיסתיים בהדלפה או הצפנת נתונים ומידע רגישים כתוצאה מכשל בארכיטקטורת המערכות או הרשת. מכאן, שלא ניתן לפרש עמידה בתקן ציות לתאימות כערבון מפני מקרה של אירוע סייבר ואף לא מפני גניבת קניין רוחני.

לאורך השנים שוחררו לרשת אין ספור כלים שמטרתם ניצול פרצות סייבר, כלים אלו זמינים לעיתים בחינם ולעיתים בעלות כספית זניחה. כתוצאה מכך, כיום כמעט לכול מי שחפץ לייצר אירוע סייבר יכול לעשות זאת ללא מאמץ רב, זאת בשעה שהמאמץ הנדרש מארגונים להתגונן מפני תוקפים הולך וגדל כמו גם הדרישה והמחויבות המתמדת לשיפור הערכות הארגון מפני אירוע סייבר.

המציאות כיום מחייבת ארגונים לא רק לעמוד בסטנדרטים הנדרשים ע"י חובת ציות לתאימות ורגולציה, אלא ליישם בנוסף תוכנית אבטחת מידע וסייבר דינמיים הכוללת הערכות, התפתחות והתחדשות מתמידים – זאת במטרה להצליח לעמוד בפני נוף איומי הסייבר המשתנים במהירות.

ראוי לזכור כי מטבען תוכניות ציות לתאימות ורגולציה נועדו לתת מענה לאיומים ו/או סיכונים הנתפסים לתעשייה או לקהילה ספציפיים ופחות לנושא אבטחת הסייבר.

אמנם לתוכניות ציות לתאימות יש חלק מהתכונות ליצור סביבות מאובטחות, אך כפי שראינו בדוגמה לעיל עמידה בתאימות אינה שווה לאבטחת מידע וביטחון, והדבר נכון במיוחד בקצב המהיר בו מתגלגלים אירועי סייבר בימינו.

בעוד תוכניות ציות ותאימות בתחומים השונים מסייעות בקביעת בסיס לבקרות רלוונטיות, הן מבוססות על וקטורי איומים נפוצים. לדוגמא; תקן תאימות עשוי להכתיב שימוש בסיסמאות חזקות במטרה להגן על גישה למערכת או מידע, אך כנראה שלא ייקח בחשבון תוקפים העושים שימוש במתקפות פישינג (דיוג) רגיל או ממוקד, באמצעות הזרקה או ניצול חולשה בדפדפן כדי להשיג את אישורי הזהות של המשתמש במטרה לעקוף את בקרות הסיסמאות.

בהשוואה לציות לתאימות, הצעדים הנדרשים לשמירה על אבטחת מידע וסייבר הם רציפים, וצריכים להיות מגובים בכוח אדם מיומן, בטכנולוגיה ובתהליכים ברורים. על מנהלי אבטחת המידע והסייבר מוטלת האחריות לוודא שתוכנית אבטחת המידע והסייבר שבנו, תהיה גמישה, עדכנית ותיתן מענה לסביבת האיומים המשתנה ללא הרף של ימינו.

אמנם אבטחת מידע ועמידה בתקנות ציות לתאימות שונות, אך הן חיוניות לארגון  עבור אחסון, עיבוד וניהול נתונים מוסדרים ורגישים. לכן חשוב שמנהלי הארגון יבינו את הדמיון והשונות לגבי אבטחה וציות לתאימות.

נכתב על ידי גיא חורש, מהנדס פרה-סייל בחברת בינת תקשורת

דילוג לתוכן