Page 21 - May2026

P. 21

‫)ע״ר(‬

‫עבודה מול ספקים ‪ -‬פיקוח‪ ,‬לא הסתמכות‬ ‫לסיכום‪ :‬האחריות אינה רק טכנית ‪ -‬היא גם‬
‫שימוש בספקים חיצוניים הוא לגיטימי ואף‬ ‫משפטית‬

‫הכרחי ‪ -‬אך אינו פוטר מאחריות‪.‬‬ ‫תיקון ‪ 13‬מבהיר מסר אחד חד וברור‪:‬‬
‫אבטחת מידע אינה המלצה ‪ -‬אלא חובה‬
‫יש לוודא‪:‬‬
‫» קיומם של הסכמים הכוללים סעיפי אבטחת‬ ‫משפטית‪.‬‬
‫סוכן ביטוח אינו יכול עוד להסתמך על ספקים‪,‬‬
‫מידע‬
‫» עמידה בתקני אבטחה מוכרים‬ ‫מערכות או פתרונות חלקיים‪.‬‬
‫» הבנה של אופן עיבוד המידע ומיקומו‬
‫החוק אינו מאפשר "העברת אחריות" ‪ -‬אלא‬ ‫הוא נדרש‪:‬‬
‫» להבין היכן המידע שלו נמצא‬
‫מחייב ניהול ובקרה‪.‬‬
‫» לשלוט באמצעי ההגנה‬
‫נהלים‪ ,‬הדרכות ותיעוד ‪ -‬הבסיס לעמידה‬ ‫» לנהל סיכונים באופן אקטיבי ומתועד‬
‫רגולטורית‬
‫ובעיקר ‪ -‬להפנים עיקרון אחד‪:‬‬
‫אבטחת מידע אינה רק טכנולוגיה‪ ,‬אלא מערכת‬ ‫האחריות אינה ניתנת להעברה‪.‬‬
‫ניהולית שלמה‪.‬‬ ‫מי שיפנים זאת ‪ -‬יעמוד בדרישות החוק ויחזק‬

‫יש להגדיר‪:‬‬ ‫את אמון הלקוחות‪.‬‬
‫» נהלי אבטחת מידע כתובים‬ ‫מי שלא ‪ -‬עלול למצוא את עצמו מתמודד לא רק‬
‫עם אירוע סייבר‪ ,‬אלא גם עם השלכות משפטיות‬
‫» הדרכות לעובדים‬
‫» תיעוד פעולות (‪)logs‬‬ ‫וקנסות כבדים‪.‬‬
‫» מנגנון תגובה לאירועים‬ ‫ ‬
‫בהיעדר נהלים ותיעוד ‪ -‬קשה להוכיח עמידה‬
‫שימוש ב‪Cookies-‬‬
‫בדרישות החוק‪.‬‬ ‫כאשר נעשה שימוש בכלי מעקב (‪Analytics,‬‬
‫ ‬ ‫‪ Pixel‬וכו') יש ליידע את המשתמש ולקבל את‬

‫הסכמתו‪.‬‬

‫אי עמידה בדרישות אלו מהווה הפרה של חובות‬
‫גילוי ושקיפות‪.‬‬

‫ניהול הרשאות ‪ -‬לא כל אחד צריך גישה להכל‬
‫אחד העקרונות המרכזיים באבטחת מידע הוא‬

‫עקרון ה‪Need to Know-‬‬

‫יש להגדיר‪:‬‬
‫» הרשאות לפי תפקיד‬
‫» גישה מוגבלת למידע רגיש‬

‫» ניטור גישה למידע‬
‫» הסרת הרשאות עם סיום עבודה‬

‫גישה לא מבוקרת למידע היא הפרה ישירה של‬
‫עקרונות ההגנה‪.‬‬

‫‪21‬‬

16 17 18 19 20 21 22 23 24 25 26