נטל הרגולציה

רגולציה היא אתגר רחב שיכול להשפיע על תהליכים רבים בארגון- לא רק IT, אלא גם תהליכי הפיתוח, אפיון המוצר, רכש ואפילו כח אדם. בנוסף, עסקים הפועלים בשווקים שונים חשופים לרגולציות שונות ולעיתים סותרות. לדוגמה, עסקים אירופאים חייבים לציית לתקנת הגנת המידע הכללית (GDPR), בעוד שחברות שפועלות בקליפורניה חייבות לציית לחוק הפרטיות של קליפורניה (CCPA) . עסקים שסולקים כספים כפופים לתקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS), ארגוני שירותי בריאות מחויבים לציית לחוק הניידות והאחריות של ביטוח הבריאות (HIPAA), סוכנויות פדרליות חייבות לציית לחוק הפדרלי לניהול אבטחת מידע (FISMA), וארגונים רבים בוחרים ליישם את המכון הלאומי לתקנים וטכנולוגיה (NIST) או את הנחיות מערך הסייבר הלאומי. בנוסף, עסקים הפועלים במיקומים ספציפיים עשויים להיתקל בתקנות כמו ISO 27001, TISAX, SOC2 IA, בין היתר.

אתגר הציות הוא עצום ומסובך. לדוגמה, NIST 700 מתאר לא פחות מ-110 דרישות אבטחת סייבר רק עבור מידע מבוקר לא מסווג (CUI). GDPR משרטט שישה עקרונות ספציפיים, HIPAA מקיף שלושה, ותקנות אחרות מציעות רמות שונות של מפרט. באופן כללי, פחות מפרטים יכולים להוביל למאמצי ציות רחבים יותר ולעיתים מאתגרים יותר.

התעלמות מהנושא אינה אופציה, או מבחינה עסקית- הצגת הסמכות לתקנים במקרים רבים היא תנאי להתקשרויות עסקיות. אי ציות ל-GDPR עלול לקנסות כבדים, סנקציות ומשפט פלילי. הפרות של PCI DSS עשויות לגרור קנסות הנעים בין $5,000 ל-$10,000. אי ציות של HIPAA עלולה להוביל לעונשים פליליים של עד $50,000 ועד שנת מאסר אחת. מלבד ההשפעה הישירה של ההפרות, ישנן משמעויות נוספות במסגרת המשכיות העסקית של הארגון- מבחינת היכולת לשמור על רציפות תפעולית במתן השירותים, שימור האמון מול הלקוחות או בעלי עניין כמו בעלים, משקיעים וכו'.

והאתגר המשמעותי בתוך סבך הדרישות, הוא לשמוש על יכולת לנהל מערך אבטחת מידע אפקטיבי, שגם מצליח בפועל לשפר את ההגנה על הארגון. צריך לזכור מי האויב- התוקף, ולא הרגולטור.
הטמעה של כלים טכנולוגיים לניטור ותגובה היא חלק מהמארג של ההגנה בארגון, אבל הטמעה של כלים כאלו לא יכולה לבוא כמענה לרגולציה, אלא מתוך הבנה אמיתית של הסיכונים על נכסי המידע. בנוסף, זה קריטי ומהותי להבין את משמעויות הקונפיגורציה של הכלי, והתפעול השוטף שלו אבטחה- בממוצע, חברות מקבלות כ-1,000 התראות אבטחה ביום, כאשר עד 20% הן חיוביות כוזבות. טיפול בכמות ההתראות הזו והבטחת תאימות יכולה להיות מכריעה. בעוד שארגונים מסוימים יכולים להרשות לעצמם מחלקות ציות ייעודיות, רבים אינם יכולים- בעיקר חברות קטנות שאין להם את כישורי האנליסט או המשאבים להעסקה של בעל תפקיד כזה.

הורדת הנטל באמצעות שירות מנוהל

אלפי משרות אבטחת סייבר בארץ שאינן מאוישות מדגיש את האתגרים שעומדים בפני ארגונים רבים בניהול מערך אבטחת המידע, ובעמידה בדרישות הרגולציה. ספקי שירותי אבטחה מנוהלים (MSSPs) מציעים פתרון נגיש ויעיל לתפעול שוטף של כלי ההגנה בארגון, ניטור, איתור פגיעויות ומענה לאירועי אבטחת מידע. שירותים מנוהלים אשר מתואמים בצורה טובה עם דרישות הרגולציה, יתנו מענה לארגון בשתי זירות- זירת הגנת הסייבר וזירת החשיפה הרגולטורית.

מסגרת של CISO AS A SERVICE  (או "ממונה אבטחת מידע") משולבת בשירותים טכניים מנוהלים, תיתן לארגון לא רק תחזוקה שוטפת של כלי ההגנה, אלא גם ניהול כולל של מערך הגנת המידע.

בשיתוף חברת הרמטיקון