מאמר - ביטחון מול פרטיות - מיכאל גילינסקי - אודיט בקרה וביקורת - מגזין אתר הגילדה - הבית של מנהלי הביטחון בישראל

בשנים האחרונות, לאור ההתפתחות הטכנולוגית המואצת, תפקיד מנהל הביטחון הארגוני חווה אבולוציה ומשתנה בקצב מהיר. האבטחה הפיזית הקלאסית, שחשיבותה בלתי מוטלת בספק, מפנה מקום לאיומים חדשים – רחבים יותר, מורכבים יותר ומאתגרים יותר.

ההתפתחות הטכנולוגית הובילה לכך שארגונים רבים אשר אימצו אותה ואת שלל הכלים שפותחו בזכותה, ברצותם או מכורח המציאות, יצרו מאגרים גדולים של דאטה בקשת רחבה של פרמטרים. בימינו, רוב הדאטה הארגונית נאגרת ונשמרת אונליין, ובאחת הפכה להיות יעד הגנה חשוב של הארגון. יש שיגידו, יעד ההגנה החשוב ביותר.

בהמשך לכך, בימינו, הסכנה מפני 'מחבלי מקלדת' הפכה להיות מוחשית יותר, תדירה יותר וחמורה יותר, בהשוואה לסכנה מפני מחבלי סכין ודומיהם. הזירה המקוונת (סייבר) החליפה את הזירה הפיזית, והוסיפה למנהלי הביטחון הארגוניים תחום אחריות נוסף. במקביל, הגישה אל אותה דאטה רגישה יכולה להיות גם פיזית. דיסק און קי אחד שתחדיר המנקה למחשבו של מנהל הכספים יכול להוריד בשתי דקות דאטה של שנים, ולגרום נזקים כבדים לארגון, הן כלכליים והן תדמיתיים.

בניסיון להגן מפניהם, מנהלי הביטחון נוקטים במהלכים כאלה ואחרים, אבל גם הם מחייבים בדיקה מוקדמת ואישור. בניסיון להגן, ניתן להציב מצלמה מקליטה במשרדו של מנהל הכספים? מהם גבולות המותר? המתח התמידי וההתנגשות החוזרת בין הביטחון לבין הפרטיות הם מובנים, ומנהל הביטחון מחויב להתנהל במסגרתם נכון, ולפי חוק.

חוק הגנת הפרטיות נחקק כבר בשנות ה-80. לשון החוק מורה כי הוא חל באורח גורף לגבי כל מאגר מידע מכל סוג. הפרה של החוק יכולה לגרור סנקציות אזרחיות ופליליות, ובמקרים חריגים אף למאסר.

סקרים מלמדים שנקודת התורפה השכיחה ביותר בתחום אבטחת המידע היא הגורם האנושי. לפיכך, מנהלי הביטחון הארגוניים נדרשים מכורח תפקידם לרמות גבוהות יותר של אחריות, שהרי הכלים שבידיהם מאפשרים להם גישה פתוחה יותר למקורות רגישים, כאלה שמציבים את סימני השאלה לגבי הגבולות ומהדהדים את המתח בין הביטחון לבין הפרטיות. במקרים רבים, מנהל הביטחון נדרש באיפוק ובריסון הכוח.

מאמר זה יציג, לצורך ההמחשה, סוגיות אחדות בהתנגשות זו. המטרה – להאיר את הנקודות בהן נדרש מנהל הביטחון לקיים בדיקה מוקדמת של גבולות המותר, ולהתנהל בהתאם.

אבטחת מידע פיזית

תקנות הגנת הפרטיות בתחום זה מתייחסות לאספקטים כגון מידור אזורים, אחסון חומרים רגישים וכד'. המחזיקים במאגרי מידע מחויבים להבטיח את קיום התקנות לשם הגנתם. ככל שהמידע מסווג יותר, כך גם התקנות מחמירות יותר.

מנהלי ביטחון נדרשים לבקר ולפקח שבכל זמן נתון, מידע מסווג או רגיש יהיה מוגן, הן בגישה הפיזית אליו והן בטיפול בו.

לדוגמה, חומרים רגישים צריכים להיות מאוחסנים בחדר ממודר, בארונות נעולים. יש לצמצם את הגישה אליהם למינימום הנדרש. קבצים רגישים במחשב צריכים להיות בתיקיות סגורות, בסיסמאות ייחודיות.

בקרת כניסה

באתרים בהם נדרשת או נהוגה בקרת כניסה, מנהל הביטחון מגדיר את הליך הכניסה המבוקרת ואת הרשאות הכניסה.

לרוב, אישור הכניסה מחייב מתן פרטים אישיים ונתונים שבסופו של דבר מתועדים במערכות הטכנולוגיות – הדאטה הזו היא מאגר מידע רגיש שדורש הגנה.

מצלמות אבטחה

אחד הכלים הנפוצים ביותר באבטחה הוא רשת המצלמות. מנהלי ביטחון מאפיינים, מתכננים, מתקינים ומשתמשים ברשת המצלמות כשלוחה שלהם באתרים, ולרוב אף מספחים אותה תחת מוקד שליטה בניהולו.

הן הצפייה החיה והן השמירה והצפייה בהקלטות, מהווים מידע רגיש שיש בו כדי לחדור לפרטיות, אלא אם האפיון והתכנון המוקדמים מסונכרנים מול הוראות החוק מראש.

מנהל הביטחון חייב להגדיר מראש את מטרות רשת המצלמות, את המפרט הטכני שלהן (אנליטיקה, הקלטות סאונד וכו'), את מיקום המצלמות, את זוויות הצילום, את זהות הצופים בהן, את משך שמירת ההקלטות, את הרשאות הגישה להקלטות וכו'.

מהימנות וסיווגים

בין היתר, תפקיד מנהל הביטחון הוא גם בהיבט ההגנה מפני האיום הפנימי – עובדים, ספקים וכד', להם ישנן הרשאות גישה מתוקף תפקידם.

סט הכלים בידי מנהל הביטחון לצורך התמודדות בתחום זה הוא מגוון, לרבות מבדקי מהימנות ממוחשבים, ראיונות ותחקירים, שיחות ממליצים, פוליגרף, בקרות שוטפות, ביקורות תקופתיות וכו'.

מנהל הביטחון נחשף לסיפורים האישיים, לקשיים פרטיים ברמה המשפחתית, הסוציאלית, הבריאותית, הכלכלית וכו'. בידיו האינפורמציה אודות הבן של סמנכ"ל המחקר שלקה במחלה נדירה או המחסנאי שנכנס להליך גירושים אגרסיבי.

גם במקרה זה, מנהל הביטחון מייצר מאגר מידע רגיש שמחייב ניהול לפי חוק.

סיכום

מנהל הביטחון הארגוני נדרש בראש ובראשונה להכיר ולהפנים את חובותיו בהיבט הגנת הפרטיות. תפקידו מייצר ממשקים רבים של מאגרי מידע רגישים.

בשלב הראשון, מומלץ לאתר ולמפות את מקורות הדאטה ואת מאגרי המידע הרגישים הקיימים בארגון. בשלב השני, מומלץ לבחון ולהבטיח את תקינותם ואת אבטחתם בכפוף להנחיות חוק הגנת הפרטיות.

 


 

חומרים משלימים:

משוב
90

תגובה חדשה