"כיום, מידע רגיש נחשף להמון בעלי תפקידים שלא אמורים להיחשף אליו"
כך אומר אלכסיי סלטובסקי, מנהל אגף DBA בטנגרם, לקראת כנס ה-Data Privacy אותו תקיים החברה בשיתוף יבמ, בהרודס, הרצליה, ביום ג' ה-29 במרץ
בשיחה לקראת כנס ה-Data Privacy אותו תקיים טנגרם בשיתוף יבמ (IBM) בהרודס, הרצליה, ביום ג' ה-29 במרץ בין השעות 8:30-13:00, מסביר אלכסיי סלטובסקי, מנהל אגף DBA בחברה, על האתגרים והפתרונות בעולם הפרטיות הארגוני בעולם המודרני.
מהם אתגרי ה-Data Privacy העיקריים בעידן המודרני?
"המציאות כיום מחייבת למעשה חברות וארגונים להחזיק במידע רגיש. כמעט כל ארגון מחזיק בנתונים שאמורים להישאר חסויים. כך עם חברות פנסיה שמחזיקות בידע על חסכונותינו ועל התיק הרפואי שלנו, כנ"ל בתי חולים ומשרד הבריאות המחזיקים במאגרי מידע עם רגישות דומה. חברות כרטיסי אשראי הן דוגמה נוספת: מלבד נתונים כספיים הן מחזיקות גם בדפוסי הרגלי הקניה שלנו".
"המידע הזה הוא מידע הכרחי עבור אותם ארגונים, ומעצם כך חלים עליו כללי רגולציה: חוק מאגרי מידע, הוראה 357 של בנק ישראל למפקח על הבנקים, תקנות המפקח על הביטוח בשוק ההון ועוד, שדורשים מהארגונים לעמוד בהמון כללים בזמן שאתה מחזיק במידע הזה. צריך להבין, שהמידע הזה נמצא לא רק במערכות ה"חיות" של הארגון, אלא גם בסביבות הפיתוח וה-QA, מה שגורם לכך שנחשפים לזה גם אנשי QA, תכניתנים, מפתחים – אנשים טכניים שלא צריכים להיחשף למידע הזה. זה קורה פשוט כי זה הפתרון הכי קל".
"שינוי של המידע או ביצוע מניפולציה בו יכולים להקשות על תהליכי הפיתוח. גם אם משנים את הפרטים המזהים על המידע, סביר שמתוך ההקשר של שאר המידע החשוף, ניתן יהיה לזהות את המשתמש. אפילו ארגונים שפיתחו מנגנוני הסתרה כמו הורדת ת.ז והסתרת שם המשפחה, עדיין חווים בעיות: בכל ארגון יש מספר מערכות, CRM ו-ERP – והן "מדברות" אחת עם השניה, מה שמחייב תהליך סיזיפי של הסתרה רוחבית בכל המערכות, כאשר טכנולוגית זה מאוד קשה כי כל מערכת מחייבת מתודולוגיה טכנולוגית אחרת. אתגר נוסף קשור ל-Big Data. יש הרבה מידע שהוא לא מובנה: אוסף של מסמכים שלא בהכרח קשורים ל-Data Base מסוים, מה שגם מקשה על האחדת המתודולוגיה של הסתרת הפרטים האישיים".
כיצד ארגונים וחברות יכולים להתגבר על אתגרים אלו? מהן האסטרטגיות היעילות ביותר?
"ניתן להתגבר על אתגרים אלו על ידי חלוקת המשימה לשלושה שלבים: ראשית, יש לגלות ולמפות היכן נמצא בדיוק המידע הרגיש. זה נעשה באמצעות כלים אוטומטיים, פשוט משום שאחרת זה ייקח נצח. יש לציין כי הרגולטור דורש מיפוי שכזה. השלב הבא הוא לקבוע מדיניות וחוקים עסקיים: כיצד מתייחסים לכל סוג של נתון רגיש, איך מסתירים ת.ז, שם וכו'. השלב השלישי הוא להטמיע כלי ידני או אוטומטי, שיידע ליישם את האפיון שבוצע בשלבים הקודמים. השלב האחרון הוא הטמעת מנגנוני בקרה שמבטיחים שהסביבה שהוגדרה כנקייה ממידע רגיש – תישאר כזאת".
כיצד פתרונות הטכנולוגיים של טנגרם מסייעים לארגונים להיערך לאתגרים הללו?
"יש לנו שיתוף פעולה אסטרטגי עם יבמ, אשר לפני אנליסטים מחזיקה בבסיס הלקוחות הרחב ביותר בתחום ה-Data Privacy. במסגרת שיתוף פעולה זה אנו מייצגים את מוצר Optim, המספק פתרונות איכותיים לארכוב מידע, ערבול ומיסוך נתונים ובניית סביבות Test ו-Development בקלות ובמהירות. השילוב של הניסיון שלנו עם הטכנולוגיה של יבמ המיוצגת על ידינו, מאפשר לנו לקחת וליישם את השלבים אותם פירטתי קודם לכן: גילוי אוטומטי, הגדרת חוקים עסקיים, התאמה לכל ארגון בהתאמה לכל טכנולוגיה וכמובן בקרה".
ב-29 במרץ טנגרם מקיימת כנס בנושא הפרטיות הארגונית. מי יהיו המשתפים ומה יציגו?
"אנחנו מזמינים מנהלי אבטחת מידע, מנהלי בסיסי נתונים ומנמ"רים, להם נציג את הטכנולוגיה החדשנית ביותר בתחום. לצד זאת, נארח חוקר בכיר מטעם מעבדות יבמ חיפה שיציג מקרי בוחן וחידושים בעולם המחקר של ה-Data Privacy, שהולך וצובר תאוצה בעולם מחקר הנתונים כיום".