"מנהל חברה שלא מנע דליפת מידע מארגונו נידון לשנת מאסר". אם הכותרת הזו נשמעת לכם דמיונית לחלוטין, כדאי שתחשבו עליה שוב. קיומן של מערכות מידע בארגון טומן בחובו יתרונות עצומים עבור ארגונים ומנהליהם - אך גם חושף אותם בפני סכנות גדולות.

לעתים קרובות אנו שומעים על מקרים של דליפת מידע רגיש הנוגע לחברות וללקוחותיהן אל מחוץ לכותלי הארגון. דליפת מידע עלולה לגרום לנזק תדמיתי, לאובדן לקוחות, לאובדן נתחי שוק ואף לחשיפת החברה לתביעות משפטיות. עלות נזקי דליפת מידע מארגונים בארה"ב לבדה נאמדת במיליארדי דולרים בשנה.

האם גם מנהלים חשופים לסכנות כתוצאה מדליפת מידע?

בהחלט. תיקון בחוק הגנת הפרטיות שהתקבל לפני כמה חודשים החמיר מאוד את החשיפה של מנהלים ושל ארגונים לתביעות בתחום דליפת מידע. כיום, כל אדם הסבור כי נעשתה פגיעה בפרטיותו ובחיסיון של המידע עליו, רשאי להגיש תביעה נגד הארגון ומנהליו. כדי שיהיה זכאי לפיצוי, די בכך שהוא יוכיח כי המידע דלף מהארגון, ללא צורך בהוכחת נזק.

האחראי על המידע בכל ארגון הוא המנכ"ל, אלא אם הסמיך לכך אדם אחר. מנכ"ל שלא יקפיד על מילוי הוראות החוק עלול להישלח לשנת מאסר בפועל, והארגון עצמו יהיה חשוף לקנסות גבוהים.

כמה עולה מידע רגיש?

מחירון חלקי למידע הנסחר ברשת: מספרי כרטיסי אשראי: 0.5-5 דולרים, פרטי גישה לחשבונות בנק: 30-400 דולר, סיסמאות לתיבת דואר אלקטרוני: 1-350 דולר ונתוני זהות מלאים נמכרים ב-10-150 דולר לנתון.

האם מנהלים יודעים איך להתגונן מדליפת מידע?

סקר גלובלי שערכה באחרונה פירמת ראיית החשבון והייעוץ Deloitte מעלה כי מרבית המנהלים אינם נוקטים את האמצעים הדרושים להגנה. מרבית הארגונים משקיעים משאבים ניכרים ברכישת פתרונות תשתית וטכנולוגיה, אולם כ-80% מדליפות המידע נובעות מחוסר זהירות או רשלנות מצד עובדים בחברה עצמה.

איך ניתן למנוע דליפת מידע מהארגון?

הכן "מפת מידע ארגונית". מפה זו צריכה לכלול את נכסי וקובצי המידע וכן את תהליכי זרימת המידע בתוך הארגון ומחוצה לו. קבע רמת סיווג והרשאות גישה למידע. ודא כי הרשאות גישה למידע ניתנות על בסיס הצורך לדעת או הצורך לעשות ונבחנות אחת לתקופה.

דע את האויב. מפה את האיומים הנובעים מהתהליכים העסקיים השוטפים וממאפיינים רלוונטיים נוספים.

התווה מדיניות. ההנהלה הבכירה חייבת להתוות מדיניות אבטחת מידע בהתאם לפעילות העסקית ולמידע שנאסף בשלבים הקודמים. רק לאחר שהמדיניות אושרה ניתן להתקדם ולגבש נהלים ותוכניות הדרכה לעובדים ולהשקיע משאבים בכלים טכנולוגיים מאתרים ומונעים. עשה שימוש בטכנולוגיה עדכנית. שימוש בכלים טכנולוגיים ייעודיים מצמצם את החשיפה לדליפת מידע.

ודא כי ארגונך עושה שימוש מושכל בכלים אלה. דאג שהכלים מעודכנים באופן תדיר. ודא שהעובדים מודעים לנהלים ופועלים לפיהם. ודא כי הארגון מבצע הדרכה לכלל העובדים אחת לתקופה. ודא כי מנגנון גיוס העובדים שלך עורך בדיקות רקע מקיפות ככל הניתן על העובדים לפני הצטרפותם לארגון.

רשום מאגרי מידע רגישים. ודא כי מאגרי מידע רגישים נרשמו אצל רשם מאגרי המידע במשרד המשפטים, כנדרש בחוק. חברות רבות לא מקפידות על פרט זה וחשופות לקנסות עקב כך. ערוך בדיקות תקופתיות. נמצא ליקוי - זה הזמן לתקן, ולא לאחר אירוע הכשל בפועל.

הכותב הוא מנהל מחלקת ייעוץ מערכות מידע וטכנולוגיה בקבוצת הייעוץ של Deloitte בריטמן אלמגור