אתר זה משתמש בעוגיות למטרות שונות, כמפורט במדיניות הפרטיות.

על ISO 27001 וגם קצת על אילון מאסק

עו"ד אמציה שינפלד,

מחר נעלה על הטיל החדש של אילון מאסק, זה שמצויד בטכנולוגיית ה"אנטי־גרביטציה" ואינו מוגבל למהירות האור. יחד עם הקבוצה שגיבשנו – האנשים שאנחנו אוהבים ומעריכים – נהגר לפלנטה החדשה שבחרנו. נשאיר את כדור הארץ מאחור, ונעצב מהתחלה את החיים שלנו בכוכב הלכת החדש והפנוי לגמרי כמו שחלמנו ותכננו.

אחרי שנחתנו, שלמים ובריאים, אנו מבינים שחוץ מהשם שכבר בחרנו למקום החדש (לאחר אין-סוף דיונים וויכוחים בוואטסאפ הקבוצתי), לפני שאפשר להתחיל להתרווח, יש ים נושאים להסדיר.
מה מותר ומה אסור, איך קובעים למי שייך מה, מי גר איפה, איך מחלקים את השטח, מי אחראי על הסדר, מי ינהלו את המקום ואיך מחליפים אותם, מה קורה כשמישהו לא מציית לכללים שהקבוצה קבעה – ועוד ועוד ועוד.

כמעט בטוח שמאוד מהר נגיע למסקנה שעם כל הכבוד לחלומות היפים של "להתחיל הכול מאפס", אם אנחנו רוצים באמת להתקדם – כדאי שנאמץ שיטה מוכרת, ספר חוקים קיים, שאנשים שברו עליו את הראש עשרות או מאות שנים. אולי האמריקאי, אולי הישראלי, אולי משהו אירופאי. שיטה ש"התגלחו" עליה מכל הכיוונים, שחוותה הצלחות וכישלונות, תיקונים ושיפורים, עד שהתגבשה למה שהיא. מקסימום נבצע בהמשך התאמות נקודתיות.

איך זה קשור ל- ISO 27001?

עבור הארגון, תקני ISO מהסוג של 27001, הוא כמו ספר החוקים למושבה החדשה מהפנטזיה. תקנים מסוג זה – ובמקרה הזהISO 27001  העוסק בניהול אבטחת מידע וסייבר – משמשים מסגרת יעילה ונוחה שעל בסיסה ניתן לארגן בצורה שיטתית את התחום הרלוונטי בפירמה, מבלי שצריך להמציא הכול מחדש. בכך יכולה החברה להתמקד בצרכים והמאפיינים הייחודיים שלה, לצד שימוש בניסיון שנצבר במשך שנים ארוכות על ידי מומחים, ארגונים ויועצים. 

לא קסם אלא סדר

תקן איזו 27001 בניגוד למה שרבים חושבים, אינו רשימה סגורה של הוראות ובקרות טכניות. הוא לא מורה לארגון באיזה אנטי-וירוס להשתמש, כיצד להגן על עמדות הקצה או איזה רמת סיכון "נכונה" לארגון. מה שהוא כן מציע, זו שיטה, גמישה ודינמית, דרך מובנית לחשוב, לנתח ולנהל את תחום ההגנה על המידע בהתאם למבנה, למשאבים ולצרכים של הארגון, ולפי שיקולי ניהול הסיכונים הספציפיים. מאפיינים אלו הופכים אותו לכזה שיכול להתאים לארגונים מסוגים והיקפים שונים. 

ניקח לדוגמא עסק קטן ופשוט למדי: חנות אינטרנטית למכירת פרחים. בעלת החנות מודעת לסיכוני הסייבר והפרטיות ומשתדלת לצמצם אותם: משנה סיסמאות, מבצעת גיבויים מדי פעם, ומגבילה הרשאות גישה לעובדים. היא גם מתייעצת עם עורך דין, כך שעל פניו הדברים נראים די בשליטה. אך אם היא תישאל: מה הסיכון הגדול ביותר לעסק שלך? מה תעשי אם פרטי הלקוחות ידלפו?
כמה זמן ייקח לשחזר את האתר במקרה של קריסה או פריצה ? איך תדעי מי היה מחובר למערכת בזמן האירוע? ייתכן שלא יהיו לה תשובות. שימוש בתקן מסגרת כמו 27001 מאפשר לחשוב על דברים אלו ואחרים ולנסות להיערך אליהם טוב יותר. הוא מציע למשל שיטה המחלקת את הארגון לתחומי אחריות (עובדים, ספקים, לקוחות, מערכות מידע, נכסים קריטיים וכו), הוא עוזר לארגון לשאול מראש שאלת חיוניות, לנסות לזהות את הסיכונים, ולבנות מנגנונים המאפשרים לנהל את נושא אבטחת המידע בצורה יעילה ושקולה. במקום אינטואיציה, הוא מעודד בניית תוכנית מסודרת. 

האם צריך "תעודה" רשמית?

אם נשים בצד שיקולים מסחריים ותדמיתיים (וגם נתעלם משיקולים רגולטורים הנוגעים לסקטורים ספציפיים), אין חובה להחזיק תעודה רשמית כדי להנות מהיתרונות של שימוש במסגרת שמייצר תקן איזו 27001, או מתקנים ושיטות נוספות. היישום של עקרונות התקן – גם בלי הכרה פורמלית – נותן כשלעצמו ערך ממשי. הסתייעות בעקרונות ומבנים שנוסו ונבחנו במשך שנים ארוכות והצמדות למערכת הגיונית ומעודכנת, תתרום רבות. מובן, עם זאת, כי עמידה לביקורת ובחינה על ידי גורמים חיצוניים, תהפוך בדרך כלל את התהליך וההתייחסות למעמיק ומחייב יותר מבחינת הארגון. הכרה פורמלית, הנקראת בז'רגון המקצועי "אקרדיטציה", נעשית על ידי גופי הסמכה מסוימים (למשל מכון התקנים הישראלי). כך או כך, העיקר, נדגיש, בשום מקרה אינו התעודה עצמה. 

נסכם: תקן ISO 27001 מציע מסגרת ומבנה הגיוניים לביסוס מערכת ההגנה הארגונית ולניהול סיכוני מידע באופן שיטתי. הוא אינו מתיימר להגדיר לארגון מה הסיכון הנכון, או מהו היקף ההגנה הראוי, וגם לא מהווה "הוכחה" לרמת ההגנה שלו. הוא מעניק לפירמה כלי אפקטיבי ונוח לארגן את תחום ההגנה בצורה יסודית ולצקת לתוך המסגרת את התכנים העדפות, ורמות ההגנה הנכונות לו.  

עו"ד אמציה שינפלד

מנהל פרויקטים בחברה. מתמחה בדיני פרטיות, סייבר ואינטרנט.

  • You might be interested…

  • כתיבת תגובה

    האימייל לא יוצג באתר. שדות החובה מסומנים *