לקראת אירוע | דני אברמוביץ, נשיא האיגוד הישראלי לאבטחת מידע: "התחזקות מגמת ה-Data Privacy הולידה תפקידים חדשים בארגון"
כיצד השתנתה הרגולציה בשנים האחרונות, בכל הנוגע ל-Data Privacy?
דני אברמוביץ, נשיא האיגוד הישראלי לאבטחת מידע (ISSA): "בשנים האחרונות אנו עדים לתמורות רבות ברחבי העולם בכל הנוגע למודעות, דאגה ורגולציה בנושא הפרטיות והגנה על מידע אישי. ארגונים, שנסחרים בבורסה או שפועלים בחו"ל, נדרשים לתקנות רבות – של כל המדינות בהן הם פועלים.
בשנה החולפת היינו עדים גם להתחזקות המודעות וחשיבות הנושא גם בישראל. דוגמא בולטת לכך היא הפעילות של רמו"ט (הרשות למשפט, טכנולוגיה ומידע), האמונה על כל נושא הפרטיות ושמירת מאגרי המידע בישראל. רמו"ט פועלת באמצעות כינון תקנות, ביקורות פתע, הפעלת קו חם לדיווח על מחדלים ודיווחים שוטפים מגופים שונים, כגון רשות השידור. רק בחצי השנה האחרונה כוננה הרשות כמה וכמה הנחיות חדשות בנושא ה-Data Privacy, כדוגמת הנחיה בנושא שימוש בשירות מיקור חוץ (outsourcing) לעיבוד מידע אישי".
כיצד מתמודדים ארגונים עם התקנות והרגולציה החדשות?
"ההתמודדות משתנה מארגון לארגון, על פי אופי הפעילות של הארגון ועל פי התקנות החלות עליו. ארגונים שפועלים גם בחו"ל, כאמור, נדרשים לרגולציות של מדינות נוספות. ארגונים הסולקים כרטיסי אשראי נדרשים לתקנות PCI, שמציינות בפירוט באילו תנאים הארגון נדרש לעמוד. לכל מגזר ישנן תקנות ייחודיות, במידת נוקשות משתנה. לעתים התקנות מקבלות תוקף מחייב יותר – כמו תקנה ISO 27799, המגדירה את אבטחת המידע ופרטיות המידע במגזר הבריאות. מנכ"ל משרד הבריאות הגדיר שעד סוף 2013, כל בתי החולים בארץ נדרשים לעמוד בתקנה.
כתוצאה מהרגולציה ומהתמורות העולמיות והמקומיות בתחום, ארגונים בוחנים יותר לעומק את מערכות ומאגרי המידע שלהם, ולפעמים נוכחים לגלות שהם בכלל לא יודעים איפה המידע באמת נמצא, מה שכמובן מקשה על שמירת המידע מלכתחילה. אין ספק, שיש ליישם פתרונות טכנולוגיים שימפו היכן בדיוק נמצא המידע, ויגדירו מי ייחשף אליו ובאילו תנאים".
כיצד התמורות הללו משפיעות על ארגונים?
"ראשית, המודעות לנושא הפרטיות היא גדולה הרבה יותר – מה שנובע מהתמורה העולמית הכללית, ממחדלים מקומיים שהתקיימו ומרגולציה הולכת וגוברת. כתוצאה מכך, ישנן שתי מגמות שהולכות ומתפשטות בקרב ארגונים: יישום והטמעה של פתרונות טכנולוגיים, שמטרתם להגן על המידע ולמנוע מגורמים לא מוסמכים לגשת אליו (מתוך ומחוץ לארגון), והיוולדם של תפקידים חדשים בארגונים. מכיוון שמנהל אבטחת מידע אחראי על כל כך הרבה היבטים, ולא תמיד מסוגל לתת את תשומת הלב וההתייחסות המספקת לנושא ה-data privacy, החלו ארגונים לאייש תפקידים חדשים, כגון CRO (ר"ת Chief Risk Officer) ו-CPO (ר"ת Chief Privacy Officer), שאמונים לטפל במידע מהיבט השמירה על הפרטיות. בנוסף, מדברים על כך שה-CPO יצטרך להיות בעל ידע משפטי על נושא הפרטיות, או שיצטרך להיעזר בייעוץ משפטי רלוונטי".
כדי ללמוד עוד, הירשמו עוד היום לכנס Data Privacy, שיערך ב-6 במאי, 2013. להרשמה, לחצו כאן.