החלה הספירה לאחור לרגולציית GDPR – הזמן להכין את מדיניות ה- IT שלך

החלה הספירה לאחור לרגולציית GDPR – הזמן להכין את מדיניות ה- IT שלך

מאת: טים ווייט, Qualys

כבר מהעמוד הראשון, תקנות הרגולציה להגנת נתונים של האיחוד האירופאי מבהירות את החשיבות שהאיחוד מעניק לאבטחה ופרטיות של הנתונים של אזרחי האיחוד האירופאי. המסמך בן 88 העמודים מתחיל בהתייחסות להגנה על מידע אישי כ"זכות יסוד", החיונית עבור "החופש, האבטחה והצדק" וכדי ליצור את ה"אמון" הנדרש כדי ש"הכלכלה הדיגיטלית" תשגשג.

הרבה עומד על הכף, גם אצל המחוקקים באיחוד האירופאי שיצטרכו לאכוף את ה- GDPR, וגם בקרב ארגונים אשר חייבים לעמוד בתקינה. הרבה אנשים מתארים את הדרישות אשר נכללות במסמך כ"אפס סובלנות" לגבי טיפול בלתי ראוי במידע אישי מזוהה (PII) של אזרחי האיחוד. הדרישות האלו נוגעות לכל ארגון שיש לו פעילות עסקית באיחוד האירופי, ללא קשר למיקום שלו.

גם ה"שולטים" – אלה שאוספים את הנתונים – וגם ה"מעבדים" של הנתונים – אלה שאיתם המידע משותף – חייבים להטמיע "אמצעים טכניים וארגוניים ראויים". רשתות ה- IT והמערכות שלהם חייבים "לעמוד, ברמת הביטחון הנתונה, בפני תאונות או פעילות זדוניות".

ה- GDPR מעמיד ארגונים בפני קנסות של עד 20 מיליון יורו או 4% מההכנסה השנתית (הגבוה מבניהם)

בשורה התחתונה: מצופה מארגונים להפעיל טכנולוגיה ותהליכים כדי למנוע אירועים מקריים או מכוונים אשר מסכנים את "הזמינות, השלמות, והחיסיון של נתונים אישיים -משודרים או מאוחסנים".

בעוד מסמך הרגולציה חסר מידע מדויק לגבי הבקרות וטכנולוגיות האבטחה שיש ליישם על מנת  לעמוד ברגולציה, ארגונים חייבים להחזיק ביסודות אבטחת מידע יציבים. הרגולציה תיכנס לתוקף במאי, 2018.

בפרסומים קודמים דנו בחשיבות של ניהול מצאי ונכסים של IT, ניהול פרצות, תיעדוף של פעולות תיקון על בסיס איומים קיימים והערכת סיכון של ספקים. היום, נתמקד ברכיב ליבה נוסף לעמידה ב- GDPR: עמידה במדיניות.

מדיניות IT ו- GDPR

כאשר ארגונים מפעילים ומנהלים את סביבת ה- IT שלהם על פי רגולציה ממשלתית, סטנדרטים תעשייתיים ודרישות פנימיות, הם למעשה מפעילים מדיניות IT.

חיוני לארגונים לנהל מחזור חיים מלא של נכסים וליישם בקרות הגנה עבור הנתונים אותם הם מחזיקים. ארגון חייב, באופן רציף: לזהות נכסי IT ואת היקפם, להגדיר יעדי בקרה, לבצע אוטומציה לבקרות, לתעדף תיקונים, ובסופו של דבר לתקן בעיות בתצורת האבטחה.  כדי להיות יעילים, כל התהליך הזה חייב להיות מנוטר על ידי מבקרים חיצוניים ופנימיים, וחייב לכלול דוחות מתאימים ואת לוחות הבקרה הנדרשים כדי להשיג שיפור רציף.

במקרה של GDPR, ארגונים חייבים לדעת איזה מידע אישי של אזרחי האיחוד האירופי הם מחזיקים, היכן הוא מאוחסן, כיצד הוא נאסף, וכיצד הוא נמצא בשימוש ועם מי הוא משותף. זו משימה לא פשוטה.

ארגונים חייבים לדעת את הדברים האלה, לא רק כדי להגן על המידע כראוי – היעד המרכזי של הרגולציה – אלא גם כדי לעמוד בדרישות GDPR אחרות, כגון:

  • אימות של קבלת ההסכמה מאזרחי האיחוד האירופאי על כך שהנתונים שלהם נאספו
  • זיהוי ודיווח מהירים לגבי דליפות נתונים
  • הוכחה שהנתונים עוברים עיבוד בהתאם לחוק
  • עמידה בעקרונות של הגנת נתונים by design וכברירת מחדל
  • הפקת דוחות מקיפים עבור גופי בקרה ורגולציה
  • מענה לדרישות המגיעות מאזרחים פרטיים באיחוד האירופי, כגון מתן גישה, בקרה, קבלה, מחיקה או תיקון מידע אישי.

לאחר השגת שקיפות מלאה לגבי נכסי ה- IT שלהם, ארגונים יכולים ליצור מפות נתונים ולהחליט אילו בקרים הם צריכים ליישם כדי לאבטח נתונים אישיים של אזרחי האיחוד, בדרך שעומדת בציפיות הגבוהות והדרישות המחמירות של ה- GDPR.

 Qualys יכולה לסייע עם אכיפת המדיניות עבור GDPR

עם פתרון Qualys Policy Compliance ארגונים יכולים לאמת ולנטר גישה לקבצים  ולבסיסי נתונים במערכות אחסון ועיבוד של נתונים אלה, בכל מקום בו הם נמצאים – באתר מקומי, בענן או בנקודות קצה.

Qualys PC  גם מסייע לארגונים למזער חשיפה לסיכון בתצורת האבטחה – בכך הפתרון מפחית את הסיכון לגישה בלתי מורשית, ואוכף את יישום האבטחה עם דוחות מהקופסה המתאימים במיוחד עבור GDPR .

בין המאפיינים והיכולות הרבים שלו, Qualys PC מספק לארגונים:

  • שקיפות מלאה לגבי מצב העמידה ברגולציה של נכסי IT בהפעלה מקומית, בענן או בנקודות קצה
  • טמפלטים מקוריים ובקרים אשר מותאמים לרגולציה שונה, כולל GDPR וסטנדרטים אזוריים אחרים של האיחוד האירופי. כולל סטנדרטים של התעשייה, כגון CIS Benchmark ו- DISA STIG. כל אלה מפשטים את תהליך העמידה ברגולציה.
  • היכולת להשיג אוטומציה של הערכת הדרישות אל מול סטנדרטים מרובים, כך שארגונים יכולים לזהות בעיות במהירות ולמנוע התדרדרות.
  • תהליך ניהול רגולציה, הניתן לניטור ובקרה, עם דוחות לתיעדוף תיקונים וניהול של יוצאים מן הכלל
  • נתוני עמידה ברגולציה זמינים בלוחות בקרה ודוחות עבור גורמים שונים: CxOs, מבקרים, מנהלי סיכונים, IT

בהינתן הקנסות הכבדים של אי עמידה ב- GDPR – כולל קנסות של עד 20 מיליון יורו או 4% מההכנסה השנתית (הגבוה מבניהם) – ארגונים צריכים להפחית את הסיכון ל"התדרדרות רגולטורית", על ידי הימנעות ככל הניתן מביצוע הערכות ידניות במחזורים שאורכים חודשים. בנוסף ל- GDPR, פתרון Qualys PC יכול לסייע לך לעמוד בתקנות רגולציה נוספות ובדרישות פנימיות ושל התעשייה. הוא מכסה יותר מ- 100 תקנות מדיניות מורשות CIS, יותר מ- 40 תקנות מדיניות עבור ספקים, ויותר מ- 100 גרסאות של יותר מ- 60 טכנולוגיות.

היקף כיסוי שכזה הופך את Qualys PC למועמד ייחודי כדי לסייע לארגון שלך להתגבר על האתגרים של עמידה ברגולציה, המגיעים כתוצאה מ:

  • התגברות הרגולציה מבחינת היקף ומורכבות . הדבר מתרחש כאשר ממשלות מייצרות יותר רגולציה, קבוצות של התעשייה מפרסמות יותר הנחיות, והמחלקות הפנימיות בחברות מייצרות מדיניות נוקשה יותר.
  • סביבות IT שהיו בעבר אחידות והופעלו בעיקר באתרים מקומיים, הופכות בהתמדה להיברידיות או למבוזרות. הדבר מתרחש כאשר ארגונים רודפים אחר היתרונות של מהפך דיגיטלי כשהם מאמצים טכנולוגיות מחשוב ענן, ניידות, IoT ועוד.
  • אופק האיומים משתנה כל הזמן, ככל שהאקרים הופכים לאגרסיביים יותר, וההתקפות שלהם למתוחכמות יותר. במקביל, התוצאות של פריצות אבטחה הופכות לקשות יותר עבור ארגונים.

מאחר והוא חלק מפלטפורמת הענן של Qualys, פתרון ה- PC אינו דורש התקנה או תחזוקה של תוכנה – הוא מופעל מהענן דרך הדפדפן – ותומך גם בסריקה מרחוק וגם בהפעלה מבוססת סוכן.

יחד עם פתרון ה- PC, Qualys מציעה מערך הולך ומתרחב של אפליקציות אבטחה מבוססות ענן, בניהול עצמי, העונות על כל הצרכים של צוותי האבטחה והרגולציה שלך. כולל אלה האחראים להגנה על מערכות מקומיות, תשתית ענן ציבורי, אפליקציות רשת, סביבות DevSecOps ומכשירי קצה.

תן ל- Qualys לסייע לך עם המוכנות ל- GDPR

עם Qualys PC, תגיע להפעלת הבקרים הנכונים ולביצוע תהליכי הערכה חוזרים, כך שתוכל להגדיר בהצלחה יעדים של עמידה ברגולציה, לבצע תיעדוף של תיקונים, ולתעד את העמידה ברגולציה בדוחות.

כדי ללמוד יותר כיצד Qualys יכולה לסייע בעמידה ברגולציית GDPR, בקר ב- qualys.com/gdpr 

Share this post