ארגונים מעוניינים לשמור על המידע שלהם בטוח מסיבות שונות: יתרון תחרותי, שביעות רצון ושימור לקוחות, סיבות משפטיות וחוקיות ודרישות רגולציה וביקורת.

המחוקק האירופאי לקח את הנושא צעד קדימה בתחום אבטחת המידע והתחיל להסתכל על הנושא מזוית מבט שונה במקצת – לקוחות הקצה (Consumers). מכאן, חוקק חוק ה-General Data Protection Regulation – GDPR – אשר מאפשר שליטה טובה יותר לאזרחי האיחוד האירופאי על המידע הפרטי שלהם שנאסף על ידי ארגונים, ועל השימוש בו.

האיחוד האירופאי העביר גם בעבר חוקים בסגנון הזה, אך הפעם ולראשונה, החוק כולל קנסות פיננסיים כבדים ביותר על ארגונים שיכשלו בהגנת המידע המדובר.

החוק יכנס לתוקף במאי 2018 והוא רלוונטי לכל ארגון אשר עושה עסקים באיחוד האירופאי (EU) ואוסף מידע אישי – Personally Identifiable Information – PII – על אזרחים אירופאיים (ללא קשר היכן נמצא מטה הארגון). הקנסות אשר יושתו על ארגונים שלא יעמדו בדרישותיו יכולים להגיע לעד 4% ממחזור החברה הגלובלי או 20 מיליון יורו (הגדול מביניהם).

אם הארגון שלכם עומד כבר ברגולציות אחרות כגון: PCI DSS, HIPAA, SOX (iSOX) או אחרים, בהחלט ייתכן שקיימת כבר תשתית טובה לעמידה גם בדרישות GDPR. ובשביל קצת לסבך את העניין, קיימות דרישות שונות לארגונים שונים על בסיס הסיכון היחסי שלהם. למשל ארגונים עם פחות מ-250 עובדים חייבים בדרישות נמוכות יותר מאשר ארגונים גדולים יותר.

חוק ב-GDPR גם מחייב שינויים מהותיים בצורה שבה ארגונים קולטים ושומרים את המידע הרלוונטי, ויותר חשוב מכך – כיצד הם מנהלים את הגישה אל המידע הזה, מה תהליך מתן הגישה לעובדים, קבלנים ושותפים עסקיים. בנוסף, קיימת החובה בדיווח על הפרה תוך 72 שעות. נושא זה מחייב את הארגונים לעבור ממצב של מניעה בלבד (Prevention) ברמת הרשת למצב של זיהוי וצמצום חשיפה באירועים בזמן אמת (Detect & Remediate).

במשך שנים, ארגונים התמקדו בהגנת הרשת כאמצעי להגנה על האפליקציות ועל המידע שנמצא בהן. כיום אנו כבר יודעים שמרבית זליגות המידע (72% לפי מחקרים רבים) קורות עקב הרשאות שגויות, עובדים פנימיים אשר בזדון גונבים מידע, או מעצם שמירת המידע הרגיש במקומות לא מתאימים לכך.

ארגונים כיום מבינים כי הדרך לצמצום סיכונים אלה מתחילה בניהול הזהויות בארגון באופן מדויק – כולל עובדים, קבלנים ושותפים עסקיים – ושליטה מלאה בגישה לנתונים, לאפליקציות ולמערכות המידע השונות.

 

הזמן הוא עכשיו

זה הזמן להיכנס לתוכנית לניהול הזהויות בארגון, לפני שחוק ה-GDPR ייכנס לתוקף ואז יתכן שכבר יהיה מאוחר מדי. מומלץ לארגונים להיות פרו-אקטיביים ולהתמקד בנושאים הבאים:

איתור מידע רגיש

הבנה למי יש גישה אליו וצמצום המורשים לפי מדיניות מוגדרת

שמירה על הגישה הנאותה לאורך זמן

איתור המידע הרגיש – ראשית, נדרש להבין היכן בארגון נמצא המידע הרלוונטי ל-GDPR. ייתכן שהוא נמצא באפליקציות מובנות או בסיסי נתונים, וייתכן שהוא נמצא גם בקבצים (אקסל, PDF) בשרתי קבצים, בפורטלי שיתוף פעולה (Collaboration Portals) ואף במקומות אחסון בענן (Box, ONEDrive וכו').

למי יש גישה למידע הרגיש? – יש להגדיר מדיניות ארגונית הקובעת למי צריכה להיות גישה למידע הרגיש, ולהצליב החלטות ארגוניות עם מי שבפועל יש לו הרשאת גישה. תהליך זה צריך להתבצע באופן שוטף בארגון, מאחר ודברים משתנים כל הזמן: בעלי תפקיד מתחלפים, מיקום המידע הרגיש משתנה ועוד. יש לוודא שכל המקומות המכילים את המידע הרגיש נכללים בתהליך.

הגדרת בקרות למניעה וגילוי – הגישה למידע רגיש בארגון צריכה להיות מוגבלת ביותר. למשתמשים צריכה להיות גישה מינימלית, ורק למשאבים שהם צריכים (Least Privilege). נדרש לבנות מודל לשליטה בגישה, שיהיה מבוסס על צורך עסקי. בנקודה זו נפגשים כלים המשלבים ניהול זהויות וניהול גישה למידע, ומאפשרים לוודא שמשתמשים בלתי-מורשים לא יקבלו גישה למידע הרגיש, וכן לבצע תהליכים לסקירת הגישה ולניטור הגישה בפועל, ולוודא בזמן אמת שלא קרו הפרות באופן שוטף.

על ידי השילוב של ניהול זהויות עם ניהול גישה למידע, מקבלים בפלטפורמה אחת את הנראות (Visibility) המשולבת של: "למי יש גישה למידע שלי?" יחד עם "מי ניגש בפועל למידע שלי". שילוב זה מאפשר לארגון לקבל את ההחלטות הנכונות במקרה של הפרה וזליגת מידע, וכמובן להשיג שליטה באופן שוטף ולבצע סקירה של הרשאות ואירועים שונים.

אז נכון, דרישות ה-GDPR עלולות להרתיע בהתחלה, במיוחד לאור הקנסות הגבוהים. אבל בעזרת הפלטפורמה המתאימה בליבת אסטרטגיית אבטחת המידע הארגונית, ניתן לצמצם מאוד את הסיכון הטמון בחשיפה וזליגה של מידע, ואף את הקנסות הקשורים בכך.

חברת SailPoint היא ספקית פלטפורמת Identity Governance Suite ומי שמובילה על פי גרטנר את תחום ניהול הזהויות הארגוניות בשש השנים האחרונות בעולם. אנו ב-Xact מקבוצת ONE מובילים ביישום SailPoint בישראל. לראשונה בעולם, הפתרון המוביל של SailPoint מחבר בין עולם ניהול הזהויות וההרשאות לעולם המידע, כולל צלילה לתוך הנתונים שנשמרים באופן חופשי בשרתי הקבצים הארגוניים והצלבה עם נתוני השימוש בזמן אמת.

נשמח לסייע וללוות ארגונים אשר מעוניינים להתקדם למערכת המובילה בעולם לניהול זהויות והרשאות.

מאת :

חיים הלפרן, מנהל חטיבת אבטחת המידע והסייבר ב-Xact מקבוצת ONE