מה זה CISO?
ראשי התיבות של CISO הן Chief Information Security Officer וכפי שניתן להבין מדובר בפונקציה בארגון שאחראית לכל נושאי אבטחת המידע של החברה וחסיון המידע של המטופלים/הלקוחות שלה.
מאמר זה בוחן את תחומי האחריות של ה-CISO בארגון, מה השירותים שהוא מספק, ולמה תפקיד ה- CISO נחשב כ”כ קריטי בין היתר באבטחת על כל סוגי המידע הרגיש שמאוחסן, מעובד ונעשה בו שימוש בארגון.
תפקידי ה- CISO
כאמור תפקידו של ה- CISO בארגונים נחשב מאוד קריטי. תפקיד זה כולל את הבטחת האבטחה והפרטיות של נתונים רגישים, עמידה בתקנות, חוקים ודרישות רגולטוריות שונות (במדינות שונות) וכולל את המוגדרות בתקני ה- ISO השונים כגון ISO 27001, HIPAA, GDPR ISO 27799, ISO 27017 ו- ISO 27701.
בנוסף, ה- CISO הוא האחראי לפיתוח ויישום תוכנית אבטחת וחסיון מידע הכוללת בין היתר כתיבה והטמעה של נהלים ומסמכי מדיניות שנועדו להגן על תקשורת, מערכות ונכסים ארגוניים מפני איומים פנימיים וחיצוניים כאחד.
בתחומי הבריאות, הפארמה, המדיקל תפקידו של ה- CISO נחשב כקריטי אף יותר בשל האופי הרגיש של הנתונים המעורבים כגון נתונים על תוצאות בדיקות רפואיות, תיקים רפואיים של לקוחות ומטופלים, נתונים של ניסויים קליניים, טכנולוגיות יצור, פטנטים, מידע עסקי ועוד.
תחומי אחריות של ה- CISO
להלן חלק מתפקידי ה- CISO בחברה:
- ניתוח וניהול סיכונים בכל הנוגע לאבטחת מידע, חסיון מידע, סיכוני סייבר, HIPAA וכו
- הקמה, תחזוקה והגנה על מערכת ניהול אבטחת מידע (ISMS) כגון ISO 27001 לניהול ובקרה על מידע של החברה ושל לקוחותיה
- הבטחת הסודיות, ההגנה, האינטגריטי והזמינות של מידע רפואי ואישי אלקטרוני (ePHI) כפי הנדרש לפי חוק ה- HIPAA בארה”ב
- הגנה על נתונים אישיים והבטחת זכויות הפרטיות של אנשים בתוך האיחוד האירופי לפי דרישות ה- GDPR
- הסמכה ויישום ISO 27001 ו- ISO 27799 למרפאות ובתי חולים במגזר הבריאות במטרה להגן על נתוני המטופלים
- עמידה בדרישות האבטחה ובקרת אבטחת מידע על שירותי ענן לפי דרישות ה- ISO 27017
- ניהול פרטיות המידע, תוך התמקדות בהגנה על מידע אישי מזהה (PII) כפי שנדרש בתקני ISO 27701 וה- ISO 27002
פעולות ה- CISO למניעת מקרים של פרצות אבטחת מידע
על מנת למנוע מקרים מיותרים של אובדן מידע, מוניטין, זמן וכסף כתוצאה התקפות סייבר ואירועי אבטחת מידע אחרים, יש להגדיר כלים ונהלי עבודה שישמשו לאיתור, תכנון ויישום דרכי התמודדות אפקטיביים.
במטרה למנוע אירועי סייבר בחברה, חלק מתיאור התפקיד של ה- CISO יכלול:
- ניטור וניתוח הביצועים של הרשתות בארגון לאיתור פרצות אבטחה
- תיעוד, חקירה וטיפול בהפרות מיד שהן מתרחשות
- הטמעה וניהול של כלי אבטחה כגון חומות אש, מערכות זיהוי פריצות, ניהול ובדיקת לוגים של מערכות ושימוש בתוכנות אנטי וירוס
- ביצוע ביקורות אבטחה תקופתיות וביצוע בדיקות חדירות והערכות פגיעות במטרה לזהות ולהפחית סיכונים
- ניהול דרכי תגובה והתאוששות לאירועי אבטחה והפרת חסיון מידע
- הדרכות עובדים, ספקים ושותפים עסקיים בושאי אבטחת וחסיון מידע
- פיתוח ויישום תוכניות תגובה לאירועי אבטחה וסייבר לטיפול, ניהול ובקרה על תהליכי העבודה כחלק מהתמודדות עם גילוי פרצות אבטחה ו/או מתקפת סייבר
- הבטחת המשכיות עסקית ובניית תוכניות התאוששות מאסון אשר תכלול ביצוע סימולציה והפקת דוח מסקנות
- תיאום עם גופים משפטיים, ממשלתיים ורגולטוריים במהלך ואחרי אירועי אבטחת מידע על מנת להבטיח עמידה בדרישות תוך שקיפות מקסימלית ושיתוף פעולה
- בניית אסטרטגיית אבטחת מידע
- בניית ארכיטקטורת אבטחה מידע
- תכנון והטמעה של פתרונות רשת מאובטחים להגנה מפני איומי סייבר, תוך התאמה ליעדים העסקיים ודרישות הרגולציה של הארגון, ובהתאם לטריטוריה בה הוא פעיל עסקית
- שילוב אבטחת מידע במחזור החיים של פיתוח התוכנה (SDLC) כדי להבטיח שהיישומים מאובטחים מהיסוד ועומדים בדרישות ה- CFR part 11
- בדיקת תאימות אסטרטגיות האבטחה של הארגון ליעדים העסקיים.
- ביצוע הערכות סיכונים וביקורות שוטפות לאיתור נקודות תורפה והבטחת עמידה בתקנות הרלוונטיות
- ניהול סיכונים שמקורם בספקים ושותפים עסקיים באמצעות הערכה ומעקב אחר ישום נהלי האבטחה שלהם
הדרכות CISO לנושאי אבטחת מידע
פעילות ה- CISO כוללת לא מעט הדרכות והסמכות עובדים והיא מחייבת את הארגון, עובדיו, ספקיו והשותפים העסקיים שלו.
לאור הסיכונים הרבים, המשתנים ללא הרף וגוברים על ציר הזמן, חשיבות הדרכות וקורסים בנושאי אבטחה וחסיון מידע על ידי ה- CISO היא קריטית, ובין היתר תכלול:
- הרחבת הידע של עובדים לגבי החשיבות של אבטחת סייבר
- הדרכות HIPAA ו- GDPR
- כיצד לזהות איומים פוטנציאליים ולהגיב אליהם
- כיצד מתנהלים עם ציוד שמביאים מהבית כגון מכשירים סלולריים, טבלטים
- ניהול גישה וססמאות
- כיצד מאתרים דואר אלקטרוני חשוד וניסיונות דיוג
- כיצד מתחברים באופן בטוח לרשת
- הדרכה תקופתית על עדכוני נהלי אבטחת מידע ודרישות רגולטוריות בינלאומיות
- הדרכה על ניהול סיכוני אבטחת מידע כולל ניהול ובקרה על ספקים ושותפים עסקיים
- הגנת מידע ופרטיות
- כיצד מיישמים אמצעים להגנה על נתונים רגישים, כולל הצפנה, אנונימיזציה, בקרות גישה ואסטרטגיות למניעת אובדן נתונים
דרישות רגולציה והסמכות בינלאומיות לאבטחה וחסיון מידע
מעטות כיום החברות בעולם אשר אינן עושות שימוש נרחב במערכות ממוחשבות, תוכנות, נתונים, מידע ופרטים אישיים ורפואיים של לקוחות ומטופלים.
אף חברה לא תרצה למצוא את עצמה באופן בלתי צפוי (ואפילו מפתיע), נקלעת לאירוע סייבר שבמסגרתו היא מאבדת מידע רגיש וסודי שקשה עד בלתי ניתן להשיבו (לאחר שנחשף בפני גורמים לא מורשים) ולהגיע לפגיעה קשה במוניטין שלה, ואף לתשלום של קנסות כבדים ביותר בעקבות זאת (לדוגמא עקב הפרות חוק ה- HIPAA בארה”ב).
כל חברה שרוצה להצליח בעסקיה, תשאף (וברוב המקרים גם תדרש) להציג את הסטנדרטים הגבוהים אותם היא מיישמת בכל הנוגע לאבטחת מידע וחסיון מידע, וכי היא עומדת בסטנדרטים בינלאומיים בין היתר לטובת לקוחותיה, עובדיה ושותפיה העסקיים ויש לה את הסמכות פורמליות בינלאומיות.
לשם כך, על כל מנהל חברה להבטיח שהארגון עומד בכל התקנות והתקנים הרלוונטיים, לרבות ISO 27001, HIPAA GDPR, ISO 27799, ISO 27017 ו- ISO 27701, SOC II, Hi-Trust וכו.
אילו תפקידים נוספים יש ל- CISO בחברה?
מלבד ההסמכה הראשונית לתקני ה- ISO הרלוונטיים וההטמעה שלהם בארגון, על ה- CISO באופן שוטף לתחזק את מערכת ניהול אבטחת המידע ובין היתר לבצע:
- עדכונים שוטפים על שינויים בתקנות ועדכון מדיניות ונהלי הארגון בהתאם
- איסוף וניתוח מידע בנוגע לאיומים פוטנציאליים על הארגון ופיתוח אסטרטגיות להפחתת איומים אלו
- שיתוף פעולה עם ארגונים וקבוצות אחרות בתעשייה כדי לשתף/לקבל מידע מודיעיני, לאמץ שיטות עבודה מומלצות ולהערך מבעוד מועד לאיומי סייבר
- פיתוח אסטרטגיות להגנה מפני סוגים חדשים של התקפות סייבר
- הטמעת טכנולוגיות מתקדמות לזיהוי ותגובה של איומי סייבר בכדי להקדים פעולה מונעת למתקפה פוטנציאלית
- החלטה על תעדוף השקעות לנושאי אבטחה כדי למקסם את ההשפעה והאפקטיביות
- עדכון שוטף על שינויים רגולטוריים
תפקידו של ה-CISO בחברות מכשור רפואי, בריאות דיגיטלית ותרופות הוא רב-תחומי וקריטי להצלחת הארגון.
על ידי יישום גישת ניהול סיכונים, הבטחת עמידה בתקנות והגנה על נתונים רגישים, ה- CISO ממלא תפקיד חיוני בשמירה על הנכסים, הביצועים העסקיים והמוניטין של הארגון.
ככל שאיומי הסייבר ממשיכים להתפתח, החשיבות של ה-CISO רק תגדל, מה שהופך את ה- CISO, לחיוני לארגונים ולחפש דמות מקצועית שתטפל ותספק שירותים לכל איומי אבטחת סייבר וחסיון מידע שקיימים בארגון.
להדרכות, הסמכות בינלאומיות לאבטחת מידע וחסיון מידע ולשירותי CISO לחברה שלכם, אתם מוזמנים לפנות אלינו