קשה למצוא מישהו שלא שמע על הצורך באבטחת מידע בארגון בבית או אפילו בטלפון הנייד שלנו, יחד עם זאת, קשה גם למצוא ארגונים ופרטיים שעושים באמת את מה שנדרש או אפילו את המעט שנדרש. כתבה ראשונה בסדרה.
הסיבה מרכזית למצב המתואר היא פשוטה, פערי ידע ומידע עצומים בין הלקוחות וספקי פיתרונות האבטחה. הלקוח יודע שהוא צריך להגן על עצמו, רק שאין לו מושג מה זה באמת אומר. מחירי הפיתרונות גבוהים מאוד, וקשת האיומים גדולה מאוד.
ספק אחד יגיד שיש לרכוש firewall השני יאמר שזה לא מספיק, האחר ימליץ על פיתרון חדש , ובין לבין ההוצאות על תחום אבטחת המידע מרקיעות שחקים, יקרות וזוללות תקציבים רבים.
כתוצאה, הלקוחות נשארים עם חצאי פיתרונות או רבעי פיתרונות שנמכרו להם, פיתרונות שנותנים תשובה חלקית ולגמרי לא מספקת.
בין לבין, הממשלה החלה לעשות צעדים ממשיים בתחום אבטחת המידע והחלה להקים תשתית רגולטורית (רשות הסייבר) במטרה לאכוף את נושא אבטחת המידע על עסקים וארגונים.
רשות הסייבר, הוקמה במשרד ראש הממשלה בפברואר 2015. הרשות החלה לבצע עבודות הכנה ומטה ומהר מאוד בדחיפה אישית של ראש הממשלה , החלה לקבל תקציבים גבוהים, התוצאה הינה מסמך מקיף שפורסם ביולי 2017, המהווה מערכת רגולטורית המחייבת כמעט את כל מי שמחזיק מידע… ההגדרה למידע שעליו חלה הרגולציה רחבה מאוד, ואנו נדון בהמשך רשימות אלו, מהו המידע הנכלל תחת הרגולציה.
רשות הסייבר עיבדה והתוותה תורת הגנה מחייבת לארגונים לרבות הנחיות ותקנות מחייבות לעסקים וארגונים.
חוברת הדרישות פורסמה לציבור וכוללת דרישות שונות המשתרעות על גבי למעלה מ 91 עמודים….ולא רק זאת, יש גם מקל…. ארגונים המחזיקים מידע שלא יבצעו את הרגולציה ההולכת ומתהדקת עשויים למצוא את עצמם בבעיה משפטית, לרבות חבות נזיקית ואף פלילית.
אז מה הן הדרישות הרגולטוריות שכאמור חלות במידה זו או אחרת גם על עסקים קטנים ואף קטנים מאוד, שלא להזכיר עסקים בינונים וגדולים?
בסדרת מאמרים ננסה לפזר את הערפל, ונהפוך את במילים קלות ופשוטות את תחום אבטחת המידע לנגיש ומובן יותר לכל, ונעבור על דרישות הרגולציה
אחת לאחת במשנה סדורה, כך שנוכל לענות בצורה פשוטה וברורה, על השאלה, מה רוצה מאיתנו הממשלה?
כך נוכל באופן מושכל לבחור את פיתרון האבטחה המתאים לנו, נבין אלו אלטרנטיבות כדאי לנו לשקול, ונוכל לקבל החלטות מושכלות על הדרך שבא אנו הולכים להגן על עצמנו.
נראה כיצד בוחנים את ההצעות השונות שינחתו על שולחננו, ונתמקד רבות בשאלה, כיצד משאירים את עלויות האבטחה בתחום הפיננסי השפוי, וכיצד נמנע מעלויות האבטחה לצמוח למימדים חסרי פרופורציה יחד עם השגת רמת האבטחה הנכונה עבורינו.
במאמר הבא בסדרה, כבר נראה כיצד לתפוס שתי ציפורים במכה אחת, גם לעמוד בדרישת הסף הרגולטורית של רשות הסייבר הלאומית החדשה של ישראל, וגם נעשה את הפעולה הראשונה הנכונה עבור כל עסק המגשש את דרכו בתחום האבטחה.
מאת: שי כהן – מנכ”ל גלסופט
בטסטמי ניתן לשפר התנהגות אבטחה בקרב כלל העובדים בארגון, ע”י סדנה אינטרנטית קצרה להעלאת המודעות לאבטחת מידע.
למידע נוסף: www.testme.co.il