מדוע ISO27001?
אבטחת מידע כיום היא מרכיב חשוב בהגנת העסק או הארגון מפני המתחרים, גורמים עוינים או גנבים וירטואליים (האקרים). המידע, שהפך לחלק מרכזי בהרבה מאד תעשיות (לפעמים הבלעדי בבנקאות, תיירות, ביטוח ועוד), ופעם אפשר היה לנעול אותו מאחורי סורגים, כספות, חדרי מחשב, הפך בעשור האחרון ל-"זמין" לכל מי שיש מחשב, זמן וידע בכל מקום בעולם. אין גם צורך להיות שוליה אצל פורץ מוסמך. כל כלי העבודה זמינים ברשת לכל דכפין ואם יש בעיה אפשר לקבל עזרה מיידית מבלי לקום מהכסא. אין צורך בכישורים פיזיים, לא צריך להיות לוליין, לחדור קירות ולפרוץ כספות של פלדה עם מקדחים. מצד שני קמה תעשייה שלמה של כלי הגנה: חומות אש, אנטי וירוס, כרטיסים מגנטיים, תגים חכמים, מערכות הצפנה, מצלמות דיגיטליות מפוזרות בכל פינה, תכנות לזיהוי פנים, תביעת אצבע , תביעת עין ועוד. כולם מגנים עליך מכל הכוונים.
אבל הרי אתם יודעים את זה. אם אתם אנשי אבטחת מידע, אתם יכולים לדקלם את היתרונות והחסרונות של כל אחד ואחד מהכלים האלה, מתי משתמשים במה. ואם אתם "סתם" אנשים שמנסים לנהל את העסק שלכם בעולם של היום, אז לפחות קראתם כמה תריסרי מאמרים בנושא.
אז למה אני "מבזבז" את זמנכם?
א) כי אבטחת המידע היא אכן בעיה.
ב) כי הכלים הקיימים דרושים אך קשה לשחות בים הידע בנושא ובמגוון העצום של הכלים הקיימים.
ג) כי אבטחת המידע אינו נושא שרוכשים או מתקינים. אבטחת המידע הוא נושא שמנהלים. והכוונה היא שמנהלים אותו ברמה הבכירה ביותר דיינו ברמה של CXO.
והסיבה המרכזית שיש צורך במעורבות פעילה של הנהלה בכירה בכך היא שאנחנו עוסקים בסיכונים לארגון, לעסקיו, לפעילותו, למיקומו בשוק ולפעמים אף לעצם קיומו. אחרי הכל מידע הוא הדבר המרכזי שמשמש את הארגון על מנת לתפקד, לקבל החלטות, למצב את עצמו בשוק, לתקשר עם הלקוחות ועם הספקים ועל מנת לנהל ולהעביר לעובדים את המסר הרצוי כדי שיפעלו בהתאם לחזון ולמשימה המשותפת.
הבעיה עם המידע היא שקשה לשלוט עליו. המתחרים רוצים אותו, יש למסור חלקים ממנו לרשויות שונות (מיסים, נירות ערך, יחסי ציבור), הוא נוטה לזלוג החוצה בכוונה ושלא בכוונה. קשה לשלוט בו בעידן המודרני כאשר רובו ככולו מאוחסן באמצעים אלקטרוניים הפתוחים לרשתות פנימיות וחיצוניות. העתקות ואובדן קורים לעיתים קרובות ומעקב אחרי מה שקורה בדיעבד הוא משימה בלתי אפשרית.
כדי לאפשר שליטה בכל הנושא הזה נבנה תקן בינלאומי הנקרא ISO27001 שעוסק בניהול מערך אבטחת מידע ISMS (ר"ת Information Security Management System). יישום התקן באירגון ושמירתו באופן שוטף, מבטיח שנושא אבטחת המידע בארגון מטופל כמו כל נושא מרכזי אחר בארגון, סיכונים מתגלים ומטופלים, תקלות מתגלות ותהליכי העבודה משתפרים עם הזמן.
איל וינטרוב, מנכ"ל GSECTRA, מוסיף ואומר "מבלי לנקוט בשמות, חברות ביטוח בישראל ובעולם, מקנות הנחה מעל 40% בדמי הביטוח לארגונים מוסמכים לתקן אבטחת מידע ISO27001 , דבר המהווה הצדקה נוספת לחברה המבטחת את המידע והנתונים שלה".
חברת GSECTRA מספקת הן הדרכה לצורך בקרה (audit) ולצורך יישום (implementation) של התקן והן ייעוץ בהטמעת התקן בארגון.
למאמרים נוספים אנא בקרו באתר החברה וקראו מהמאמרים המקצועיים בכתובת הבאה.
לפרטים אנא פנו למוקד ההרשמה – בטלפון 03-6443915 או במייל.
הצטרפו אלינו ב-LinkedIn ועשו לנו לייק בפייסבוק לפתיחת מועדון CISSP של ISC2 בישראל.
