שאלה מס' 2
הגורם האנושי הוא מרכיב חשוב בכל אבטחת מידע. לדוגמא, הנושא מוזכר ב:
הנחיות הממונה על שוק ההון ביטוח וחסכון, חוזר "ניהול סיכוני סייבר בגופים מוסדיים", חוזר 2016-9-14 בו קיימת התייחסות לסוגית הגורם האנושי.
תקנות הגנת הפרטיות (2017), תקנה 7.
כמבקר מערכות מידע, פרט את המלצותיך ליישום ההנחיות הנוגעות לנושא כח-אדם. מבין ההמלצות שנתת, תכנן לפחות שלושה תהליכי בדיקה שמטרתן לוודא עד כמה ההנחיות יושמו.
תשובה מס' 2
ראשית, בעיתוי הנוכחי, חשוב לציין את השינוי המהותי בתקנות הגנת הפרטיות שחל ב- 8 במאי, 2018, כנגזרת של רגולציית GDPR האירופאית. מעבר לחיזוק החיובי בנוגע לעלייה במודעות לחשיבות הפרטיות ברמה העולמית, שינוי זה מחזק את נושא הגנת הפרטיות בצורה משמעותית, ובפרט בכל הקשור לניהול מאגרי מידע הכוללים מידע אישי ופרטי. כל מאגרי המידע הנוגעים לכוח אדם, בכל ארגון, כוללים מידע אישי ופרטי, ועל כן שומה על המבקר לנקוט במשנה זהירות בבואו לבצע ביקורת על תהליכי הגנת סייבר במערכות כוח אדם.
המלצות ליישום הנחיות בנושא כוח אדם
הרשאות – כמפורט בסעיף 7א בתקנות הגנת הפרטיות, יש להקפיד הקפדה יתרה על מתן הרשאות הולמות למאגרי המידע של כוח האדם. יש לוודא שכל בעל היתר אכן מקבל את ההיתר המתאים לו, על בסיס תפקידו (ולא על בסיס מקומו בהיררכיה הארגונית, נניח), ועל בסיס נחיצות המידע לביצוע עבודתו. גם בתוך המידע, יש לוודא כי ההרשאות ספציפיות מספיק כדי לאפשר גישה רק לשדות הרלוונטיים לביצוע התפקיד ולא מעבר לכך (לרשומות שלמות מלאות).
