כותרות בעיתונות הכלכלית בימים האחרונים דיווחו על פרצה במערכות לניהול המשאב האנושי שחשפה מידע רגיש אודות עובדים בחברות גדולות במשק.
בכתבה נמסר כי "אפשר לשלוף את רשימת החברות, ומתוך כל חברה את רשימת העובדים, הכוללת את כל הפרטים הנגישים למערכת שכר: תעודת זהות, שם מלא, טלפון, מייל, מצב משפחתי, מספר ילדים, תחילת עבודה, אחוזי משרה, משכורות האם יש/אין טביעות אצבעות ועוד".
עוד כותרות בישרו גם כי האקרים שתלו קבצים בשרתים – "מתברר שהפרצה גם נוצלה בפועל במטרה לשתול קבצים בשרתים על ידי שלוש קבוצות האקרים שונות, שתיים מהן ידועות כעוינות לישראל".
לפני שבוחרים מערכות לניהול המשאב האנושי שלכם, בדקו שהן עומדות בסטנדרטים המחמירים ביותר של אבטחת המידע והימנעו מקנסות ומתביעות מיותרות
במערכות שלכם לניהול המשאב האנושי, נשמרים נתונים רגישים אודות העובדים שלכם כגון נתונים אישיים, שכר, כתובות, מספרי חשבון בנק ומספרי ביטוח לאומי. מידע רגיש כזה מחייב שמירה על פרטיות, כך שרק מורשים ייחשפו אליו.
במאי 2018 נכנסו לתוקפם החוקים החדשים של בקרה ושמירה על המידע הפרטי של אזרחים ותאגידים בישראל. התקנות הללו הם בעצם אימוץ חלקי של התקנות האירופאיות (GDPR) שהן הרבה יותר מפורטות ומחמירות.
לכן, לפני שבוחרים מערכות לניהול המשאב האנושי שלכם, בדקו עד כמה הספק עומד בתקנים המקומיים והבינלאומיים לאבטחת המידע אודות העובדים שלכם:
- האם מערך אבטחת מידע שלו מבוסס על מתודולוגיות ואסטרטגיות מתקדמות לשמירה על הפרטיות, כמו גם לאיתור וניהול סיכונים, תוך מזעור ומניעת סיכונים שמשפיעים על אבטחת מאגרי מידע ונכסי החברה.
- האם הוא מקפיד על בקרה שוטפת ואובייקטיבית, המבוצעת על יד מומחים בתחום, שאינם עובדי החברה, המנחים אותו בטיפול באתגרי אבטחת המידע ובהיבטים רגולטורים, מבצעים מיפוי של פערי אבטחת מידע וסייבר, סקרי סיכונים בתחום אבטחת המידע, ומבדקי חדירה למערכות וכד'.
- האם יש לו תקן ISO 27001 לאבטחת מידע המעיד כי הוא זיהה את נכסי מידע ומנהל סיכונים עבורם, מבצע את כלל הבקרות הנחוצות בתחום אבטחת המידע, ומיישם תהליכי למידה, הפקת לקחים ושיפור מתמיד.
- האם יש לו תקן SOC – Service Organization Controls העוסק בנהלי בקרה ודוחות, עבור ארגונים הנותנים שרותי מחשוב בענן המבוססים על עיבוד נתוני לקוחותיהם.
SOC הוא דוח של המכון האמריקאי לרואי חשבון (AICPA) המגדיר קריטריונים לניהול נתוני לקוחות המבוססים על חמישה “עקרונות אמון השירות” – אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות. העמידה בדרישות התקן מעידה כי הספק מבטיח לארגון שלכם שכל סוגי הטיפול בנתונים שלכם: שידור, אחסון, תחזוקה, עיבוד וביטול/מחיקה, מבוצעים באופן מאובטח תוך שמירה על סודיות והגנה על האינטרסים שלכם ועל פרטיותכם. - האם יש לו הצהרת GPDR.
אנחנו בסינריון, מאמצים את הסטנדרטים הגבוהים ביותר במטרה להבטיח את רמת אבטחת מידע המיטבית, במסגרת מתן שירות ללקוחותינו בתחום שירותים ומערכות מחשוב בענן.
בקבוצת הלינקדאין שלנו יש כבר למעלה מ- 1,800 חברים!
הצטרפו גם אתם לשיח המקצועי הכולל עדכונים, חדשות וקהילת מומחים מעולם משאבי האנוש והטכנולוגיה.
