אבטחת מידע ממוקדת, באופן מסורתי, בטכנולוגיות ובנהלים. אולם הרכיב המשמעותי ביותר בתחום אבטחת המידע, הוא הרכיב האנושי. התנהגות האנשים בארגון, מודעותם לסיכונים, ויכולת עמידתם מול איומים הם גורמים מרכזיים בהגנה על המידע. רוב הפרצות באבטחת מידע אינן תוצאה של חולשות טכנולוגיות: מחקרי אבטחת מידע מצביעים על כך שעד 90% מהפרות האבטחה כוללות מרכיב אנושי כלשהו. מנהלי משאבי האנוש, כאחראים על התהליכים האנושיים ברשות המקומית, ממלאים תפקיד מרכזי בתחום אבטחת מידע והגנת הפרטיות. סקירה.
מהי אבטחת מידע?
אבטחת מידע היא דיסציפלינה המשלבת בין כלים טכנולוגיים, תהליכים מובנים והיבטים משפטיים, שנועדה להבטיח שהמידע הארגוני יישאר בטוח, מדויק ונגיש. שלושת העקרונות המנחים באבטחת מידע, המכונים מודל ה-CIA, הם:
Confidentiality (סודיות המידע)
מטרתה להגן על מידע מפני חשיפה בלתי מורשית. אמצעים מרכזיים כוללים שימוש בסיסמאות חזקות, בקרת גישה מתקדמת, וניהול הרשאות מוקפד. לדוגמה, בארגון שבו מנהלי משאבי האנוש מעבדים מידע רגיש על עובדים (כגון שכר, מחלות, או פרטים אישיים), הגבלת הגישה למידע זה רק לבעלי תפקידים מורשים היא קריטית.
Integrity (שלמות המידע)
הבטחת דיוקו ושלמותו של המידע, כך שהוא יישאר במצב שבו הוזן למערכת, ללא שינויים זדוניים או טעויות. דוגמה: עיבוד שגוי של נתוני שכר עשוי לגרום לעובדים לאבד אמון בארגון ואף לחשוף אותו לתביעות משפטיות.
Availability (זמינות המידע)
שמירה על זמינות המידע והמערכות למשתמשים המורשים בכל עת. אמצעים לכך כוללים מערכות גיבוי, שרידות ושרתי יתירות. לדוגמה, ארגון המסתמך על מערכת מידע מרכזית לצורך תשלומי שכר חייב לוודא שהמערכת תהיה זמינה גם במצבי חירום.
גורמי סיכון באבטחת מידע
אבטחת מידע איננה תלויה אך ורק בטכנולוגיה. היא מושפעת ממספר גורמים:
- גורמים טכנולוגיים. מערכות טכנולוגיות מתקדמות כוללות תשתיות חומרה ותוכנה, אך הן חשופות לפגיעות כמו פרצות אבטחה או תקיפות סייבר. לדוגמה, מערכות לא מעודכנות עשויות לאפשר לתוקפים לנצל חולשות ידועות לצורך גישה למידע רגיש.
- הגורם האנושי. האדם מהווה את נקודת התורפה העיקרית. טעויות אנוש, חוסר מודעות, או פעולות זדוניות של עובדים או קבלנים חיצוניים הם גורמי סיכון עיקריים. למשל, עובד שאינו נוקט אמצעי זהירות בהעברת קבצים רגישים, כגון שימוש בדוא”ל פרטי, עלול לחשוף את הארגון להפרת פרטיות.
- תהליכים ארגוניים. תהליכים ארגוניים בלתי מסודרים מגבירים את הסיכון לטעויות אנוש. לדוגמה, כאשר אין מדיניות ברורה לניהול הרשאות גישה או למחיקת נתונים, עשויות להתרחש הפרות חמורות של אבטחת מידע.
תפקיד מנהל משאבי האנוש באבטחת מידע
במישור הארגוני, תפקידו של מנהל משאבי האנוש הוא קריטי בהגנה על מידע רגיש וביצירת סביבה שתומכת באבטחת מידע. תפקיד זה כולל אחריות נרחבת המשלבת בין ניהול תהליכים, הסברה והדרכת עובדים, ופיקוח על עמידה בתקנות. מנהל משאבי האנוש ברשות המקומית נדרש להבין את החשיבות המשפטית והארגונית של אבטחת מידע, ולהוות חלק מרכזי במנגנון ההגנה של הארגון.
שמירת המידע והגנה על פרטיות העובדים
מנהלי משאבי אנוש עוסקים במידע אישי של כל עובד ברשות, מרגע קליטתו ועד לעזיבתו (ואף לאחר מכן). על מנהלי משאבי האנוש לוודא כי הכלים בהם הם אוגרים, שומרים ומעבדים מידע (לרבות הממשק בין שכר למשא”ן), יספקו מענה הולם לניהול מחזור החיים של העובד.
ניהול הרשאות וגישה למידע
מנהל משאבי האנוש אחראי להגדיר למי מותרת הגישה למידע, כיצד היא ניתנת, ובאילו נסיבות היא מוסרת. דוגמה: בעת עזיבת עובד, יש לוודא הסרת הרשאות באופן מיידי.
הסכמי עבודה ונהלי עבודה
בעת קליטת עובדים, יש לוודא כי בהסכמי העבודה קיימים סעיפים ברורים בנושא אבטחת מידע, כולל התחייבויות לשמירה על סודיות ואי-הפצה של מידע. בנוסף, באחריותו לוודא היכרות של העובד החדש עם הנהלים המעודכנים ברשות.
אבטחת מידע במיקור חוץ
קבלנים וספקים חיצוניים מהווים סיכון משמעותי לאבטחת מידע. מנהלי משאבי האנוש צריכים לבדוק את חוזי ההתקשרות, לוודא עמידה בדרישות הרגולציה, ולהגביל גישה רק למידע הדרוש לביצוע המשימה.
אחריות על הדרכת עובדים
מנהלי משאבי האנוש ממלאים תפקידי מפתח בחינוך ובהסברה, בכל הנוגע לאבטחת מידע ולהגנת הפרטיות. במסגרת תפקידם, עליהם לוודא קיום הדרכות עיתיות; יצירת מודעות לאבטחת מידע; והטמעת תרבות ארגונית.
שקיפות וזכות לעובדים – פנים-ארגונית
חוק הגנת הפרטיות מחייב את הארגון להבהיר לעובדים מה המידע האישי שנאסף עליהם, מטרת עיבודו, וזמן השמירה עליו.
הקשר בין משאבי האנוש לבין ממונה הגנת הפרטיות (DPO)
הקשר בין HR (משאבי אנוש) לבין DPO (Data Protection Officer)
הקשר בין משאבי האנוש ברשות המקומית, לבין ה-DPO, נובע מהצורך בניהול נכון של מידע אישי של עובדים תוך עמידה בהוראות הדין. שיתוף הפעולה בין שני הגורמים הנו קריטי לצורך הבטחת עמידת הרשות המקומית בהוראות הדין, ולצורך אבטחת המידע הרשותי. שיתוף הפעולה והממשק, באים לידי ביטוי בין היתר בתחומים הבאים:
- ניהול נתוני עובדים. משאבי האנוש מטפלים במידע אישי רגיש על עובדים, כולל פרטים אישיים, נתוני שכר, הערכות ביצועים, ומידע רפואי. על ה-DPO לוודא שהנתונים הללו מעובדים בהתאם לחוקי הגנת פרטיות, כולל הגבלת גישה, אחסון בטוח, ומחיקת מידע כאשר אינו נחוץ יותר.
- תהליכי גיוס והסכמה. במהלך גיוס עובדים, משאבי האנוש אוספים ושומרים נתונים על מועמדים, כמו קורות חיים, תעודות ומידע נוסף. במקרים מסויימים, נאסף אף מידע רפואי, שאפשר שהוא רלוונטי לתפקיד. ה-DPO עוזר לוודא שהליך זה מתבצע בהתאם לדרישות החוק, כולל קבלת הסכמה מפורשת לשימוש במידע האישי.
- זכויות עובדים. בהתאם לתיקון 13, עובדי הרשות זכאים לדעת אילו נתונים אישיים נשמרים אודותם, וכיצד נעשה בהם שימוש. מימוש הזכות החוקית מתבצע על ידי משאבי האנוש ועל ידי ה-DPO.
- מדיניות אבטחת מידע והכשרות. ה-DPO אחראי על פיתוח מדיניות אבטחת מידע שמבטיחה שמידע העובדים מוגן.תפקיד משאבי האנוש הוא לתווך ולקדם מדיניות זו, באמצעות הכשרות, הדרכות והסברים לעובדים ולוועד העובדים.
- טיפול באירועי דליפת מידע. במקרה של דליפת מידע אישי, מחלקת משאבי האנוש חייבת לשתף פעולה עם ה-DPO על מנת להעריך את הנזק, ליידע את העובדים שנפגעו, ולעמוד בדרישות הדיווח לרגולטורים.
