01/11/2016

במהלך השנים האחרונות חוו חברות רבות ברחבי העולם אירועי אובדן, גניבה או דליפה של מידע רגיש. אירועים אלה עלו לארגונים מיליוני דולרים, בהפסדים ישירים ועקיפים, וגרמו נזקים כבדים למותג ולמוניטין של החברות. לנוכח כל אלה, קל להבין כיצד דליפה של מסמכים ודוחות כספיים עשויה להביא לפגיעה בשווי הארגון ואף לחשוף את מנהליו בפני הליכים משפטיים.

במסגרת עבודתם, נחשפים עובדים למידע מסווג מסוגים שונים, אישי או ארגוני, אף שלעיתים אין להם את ההרשאה המתאימה לכך.

מאחר וייתכן כי העובד כלל אינו מודע לרגישות המידע שבידיו, הוא עלול להעתיק תכנים מסווגים למסמכים ואף להוציא אותו אל מחוץ לגבולות הארגון.

האיומים על סודיות המידע הם מגוונים ומושפעים מגורמים שונים. האיום הראשי הוא הגורם האנושי ואליו מתווספים גורמים נוספים כגון ספקים ונותני שירותים חיצוניים לחברה, וכן כשלים טכניים העלולים להביא לדליפה של מידע החוצה.

דוגמה לחומרת אירוע מסוג זה היא פרשת ניסיון הסחיטה בחברת לאומי-קארד לפני כשנה, כאשר חמישה עובדים לשעבר איימו על ההנהלה בחשיפת פרטי כרטיסי אשראי של מיליוני לקוחות במידה ולא יקבלו כופר - מקרה שהדגיש את הסיכון הפנים-ארגוני הנובע מגישה בלתי מבוקרת של עובדים למידע רגיש. 

DLP היא גישה מערכתית למניעת דלף מידע, המסייעת בהגנה על המידע הרגיש בארגון ומונעת ממנו להגיע לידי גורמים לא מורשים. פתרון זה מאפשר לארגון להתחקות אחר ערוצי התקשורת בהם המידע הרגיש מועבר ולהגדיר כללי "מותר ואסור" לשימוש בו. 

חשוב לציין כי אין מדובר בפתרון של "שגר ושכח" - הצלחתו דורשת עבודת הכנה משמעותית וכן תחזוקה שוטפת. ארגונים המעוניינים לשלב וליישם מערכות למניעת דלף מידע (DLP) צריכים להיות מוכנים להשקיע בכך מאמץ ניכר, אשר במידה וייעשה כראוי יקטין באופן משמעותי את הסיכונים הכרוכים בדליפת מידע רגיש מהארגון.

אחד האתגרים המרכזיים בהגנה על סודיות המידע בארגונים הוא העובדה שמידע הוא יצור דינמי שעובר בין מערכות שונות ובין גורמים כאלה ואחרים בארגון. כאשר אין היכרות מפורטת עם סוגי המידע הקיימים בארגונים ועם התהליכים הקשורים לשימוש בו, קשה מאוד לפקח על המידע העסקי והרגיש. 

מכיוון שכך, ועל מנת שמערכות ה-DLP (מניעת דלף מידע) יוטמעו בצורה אפקטיבית, הארגון חייב לענות תחילה על שורה של שאלות מהותיות כגון: מהו המידע הסודי הקייים בארגון? היכן הוא מאוחסן? מה הם הערוצים דרכם המידע עלול לדלוף? ולבסוף - אילו פעולות יינקטו אם וכאשר יתרחש אירוע של דלף מידע סודי.

להלן תמצית הפעולות שאותן מומלץ לבצע תוך כדי יישום מערכת למניעת דלף מידע (DLP):

  • מדיניות ונהלים יש לבנות וליישם מדיניות ונהלי אבטחת מידע ברורים בנושאי סיווג מידע, הפרדת סמכויות, זיהוי עובדים החשופים למידע רגיש, ואף גילוי וניהול אירועי דלף מידע.
  • מערך הרשאות - יש ליישם מערך הרשאות במערכות המידע בארגון, תוך הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד ועמידה בעיקרון הפרדת תפקידים.
  • מודעות העובדים - עם הגברת מודעות העובדים לסכנות, לחוקים ולתקנות, קטן הסיכוי לטעויות אנוש. עם זאת יש לזכור כי לעיתים קיימים בארגון עובדים המסוגלים לגרום נזק או לעבור על התקנות מתוך כוונה תחילה.
  • שילוב אבטחת מידע בתהליכים פנים ארגוניים - חשוב לשלב אבטחת מידע גם בתהליכי משאבי אנוש, בפרט בתהליכי מיון וקבלת עובדים, שינויי תפקידים ותהליך סיום העסקת עובדים.
  • סקר דלף מידע - יש לבצע סקר דלף מידע מקיף על ידי גורם מומחה חיצוני ובלתי תלוי, שמטרתו לסקור את כלי אבטחת המידע בהם מבצע הארגון שימוש ובחינת התאמתם לצורכי האבטחה העסקיים בארגון ולשיטות העבודה הנהוגות בו. הסקר יאפשר לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים לדלף מידע

המידע שברשות הארגון הוא אחד הנכסים החשובים ביותר שלו, ופתרון ה-DLP (מערכות למניעת דלף מידע) מעניק סיוע מקיף שמעצים מסייע את יכולת הארגון לנהל את הסיכונים הקשורים בו. עם זאת, פתרון זה עלול להיות מורכב ולעיתים אף להפריע להתנהלות השוטפת של החברה, במידה והוא אינו מיושם כראוי. מכיוון שכך, רצוי לתכנן את תהליך היישום של פתרון זה באופן זהיר ומבוקר, תוך כדי הגברת המודעות בקרב עובדי הארגון לחשיבות הנושא, דבר אשר יאפשר הטמעה מוצלחת של המערכת.