5 דברים שכל ארגון צריך לבדוק ביולי לפני שיהיה מאוחר מדי
1. מיפוי מאגרי מידע – עדכני באמת?
-
האם כל המאגרים רשומים לפי דרישות רשות הגנת הפרטיות?
-
האם אתם יודעים איפה כל מידע אישי נשמר? (כולל בענן, קבצי אקסל, מערכות חיצוניות?)
-
האם נבחן לאחרונה אם יש מאגרים לא רשומים או שימושים לא מדווחים?
הסבר מנהלי: המאגרים הם השורש – אם לא יודעים מה קיים, לא ניתן להגן עליו.
הסבר טכני: שילוב מיפוי DLP בסיסי (גם בגוגל / מייקרוסופט) עם רישום פורמלי – חובה.
2. מדיניות אבטחת מידע – עוד רלוונטית או רק מסמך ישן?
-
מתי בפעם האחרונה המדיניות עודכנה מול תקני ISO 27001:2022 / NIST SP 800-53?
-
האם הנהלה אישרה אותה פורמלית בשנה האחרונה?
-
האם העובדים קיבלו אותה בפועל או רק חתמו בקליק?
הסבר מנהלי: רגולציה מחייבת מסמכים חיים – לא כאלה שמעלים אבק.
הסבר טכני: שלבו מערכות לניהול מסמכים (כמו Confluence או Google Drive מנוהל) והפיצו במדיניות עם טביעות audit.
3. מנהל אבטחת מידע או DPO – מונה ומעורב?
-
האם יש לכם מישהו בתפקיד (פנימי או חיצוני)?
-
האם הוא יודע על שינויים ארגוניים שקרו לאחרונה?
-
האם מתקיים דיווח שוטף לדירקטוריון או הנהלה?
הסבר מנהלי: החוק דורש ממנהלי אבטחה להיות חלק מקבלת החלטות, לא רק מגיבים.
הסבר טכני: מנו CISOaaS או DPOaaS מנוהל – ודרשו מהם תיעוד והמלצות יזומות.
4. בקרה על הרשאות גישה – עדכנתם מאז הפיטורים האחרונים?
-
האם קיימת בקרה רבעונית על הרשאות משתמשים?
-
האם יש תהליך ברור ל-onboarding/offboarding?
-
האם מתקיימת בקרה לפי עיקרון “Least Privilege”?
הסבר מנהלי: רוב אירועי דליפת המידע נובעים מגישה מיותרת.
הסבר טכני: התחברו למערכות IAM או MDM כמו Intune, JumpCloud או Okta – לניהול הרשאות אפקטיבי.
5. סקר סיכוני סייבר – מתי בפעם האחרונה באמת עצרתם לבדוק?
-
האם ביצעתם ניתוח סיכונים יזום השנה?
-
האם הוא כלל גם צדדים שלישיים, ספקים, API ושרשרת אספקה?
-
האם גובשה מפת סיכונים וצעדים מעשיים?