לחץ לקבלת לגרסה הנגישה
Tulchinsky
רענון נהלי אבטחה בעקבות פריצות אבטחה שאירעו לאחרונה
לקוחות יקרים,
 
לאחרונה אנו עדים למקרים רבים של פריצות אבטחת מידע בארגונים וחברות רבות. לאור מקרים אלו, ראינו לנכון להדגיש בפניכם את חשיבות ההגנה על המידע המצוי בארגונכם וביצוע ויישום של מדיניות אבטחת מידע מתאימה. הדגשים המפורטים להלן מומלצים גם על ידי הרשות להגנת הפרטיות.
 
על מדיניות אבטחת מידע לכלול, לכל הפחות, את הפרמטרים הבאים:
 
  • גיבויים למערכות השונות  - על מנת לאפשר התאוששות מהירה של הארגון במקרה של אירוע אבטחת מידע, מומלץ לערוך גיבויים למערכות הארגון השונות, בדגש על יצירת עותק עצמאי שאינו מחובר לרשת הארגון.
  • חלוקת הרשאות חכמה -  מומלץ ליתן הרשאות לעובדים או משתמשים בהתאם למינימום הנדרש לביצוע תפקידם בארגון ובהתאם למטרותיו. מומלץ להימנע ממתן הרשאות נרחבות מידי או ממתן הרשאות לעובדים שהגדרת תפקידם אינה מצריכה הרשאות אלה.
  • יישום מדיניות סיסמאות קשיחה
  • חיבור מרחוק -  מומלץ לאפשר חיבור מרחוק רק על פי הצורך, בהרשאה מותאמת ובעדיפות לכתובות IP מוגדרות.
  • חיבור לרשתות - כדאי להקפיד על הפרדה בין רשתות ומערכות שונות בארגון ולהגביל את היקף החשיפה לאינטרנט של מערכות הארגון, כך שרשתות הארגון שלא נדרש חיבורן לרשת האינטרנט יהיו עצמאיות.
  • עדכוני גרסאות ועדכוני אבטחה - מומלץ להקפיד על עדכונים למערכות השונות ולתוכנות בהן משתמש הארגון.
  • ניטור ובקרה - מומלץ לערוך בקרה של נפחי מידע היוצאים מהארגון במטרה לזהות ערוצי דלף אפשריים, בדגש על השוואה לתקופות קודמות דומות.
  • מערכות לזיהוי והתרעה מפני חדירה - כדאי להתקין בארגון מערכות לזיהוי והתרעה מפני חדירה, בנוסף למערכות ההגנה ואנטי-וירוס שיש לעדכן באופן שוטף.
  • הגברת ערנות ומודעות - מומלץ להגביר ערנות ומודעות בקרב עובדי הארגון בנוגע לתכנים המתקבלים מגורמים בלתי מזוהים ועלולים להיות מתחזים. למשל, עדכון שוטף לעובדים לאחר שהתרחשו ניסיונות חדירה למערכות הארגון.
  • מינוי ממונה אבטחת מידע - מומלץ למנות ממונה אבטחת מידע שיהיה אחראי על יישום פעולות אבטחת המידע והרגולציה הרלוונטית החלה בארגון, גם בארגונים שבהם אין חובה למנות ממונה כאמור. נציין כי לא כל ארגון נדרש למנות ממונה אבטחת מידע. לפרטים נוספים, לחצו כאן.
  • מידע על לקוחות – על הארגון לוודא כי לא נאסף מידע עודף על לקוחות, וכי מדיניות ניהול המידע בארגון רלוונטית לשירותים הניתנים. 
מעבר לכך,  אנחנו מציעים להיות ערניים לכל ניסיון הונאה הכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת ממכם להעביר את פרטיכם האישיים או ללחוץ על קישור המפנה אתכם לאתר המתחזה להיות נותן שירות) או מתן קוד שהגיע בהודעת סמס לגורם כלשהו, אלא אם יזמתם בעצמכם את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות.
האמור במזכר זה הינו בגדר מידע כללי בלבד ואינו מהווה תחליף לייעוץ משפטי.
אנו מזמינים אתכם לפנות אלינו לייעוץ משפטי בתחום הפרטיות.
_____-___-750
אביטל סלע, עו"ד
מייל: avitals@tslaw.co.il
טלפון: 03-6075000
_____-____-750
מרים שדה פישר, עו"ד
מייל: miriamf@tslaw.co.il
טלפון: 03-6075000
צוות הפרטיות ואבטחת המידע במשרד טולצ'ינסקי, שטרן, מרציאנו, כהן, לויצקי ושות' מלווה את לקוחותיו - ובהם, סטארט-אפים, חברות פרטיות וציבוריות במגוון רחב של סקטורים, בכל ההיבטים המשפטיים והתפעוליים הקשורים לעולם הפרטיות ואבטחת המידע, תוך מענה מותאם לצרכיהם.
הצוות מתמחה בהטמעת דרישות הדין הישראלי, האירופי (בדגש על ה-GDPR) והאמריקאי (HIPAA ו-CCPA), בהתאמה לאופי ופעילות הלקוח, בין היתר, באמצעות זיהוי צרכיו הייחודיים וחשיפותיו הפוטנציאליות של כל לקוח ולקוח.