כתבתי כאן בעבר על הסיכונים, החסרונות והיתרונות בהוצאת פרויקט למיקור חוץ. לאור פרסום של הרשות להגנת הפרטיות בעניין הסיכונים במיקור חוץ של שירותי ענן אני מבקש להביא בפניכם את המידע החשוב לכל ארגון שרוצה לעשות שימוש בשירותי ענן:
השימוש בשירותי ענן עבור ארגונים הופך נפוץ והשאלה היא רק להיקף השירות ואופיו. ישנם מספר אפשרויות לקבלת שירותי ענן: החל מקבלת תשתית של שירותי מחשוב בענן עליה יכול הארגון להתקין מערכות ההפעלה והאפליקציות, של הארגון, או שבאמצעותם מספק הארגון שירותים ללקוחותיו, ועד לקבלת שירותים מסוימים מספק (שמצויים בענן), כדוגמה ניתן לציין את שירותי SAP לניהול משאבי האנוש של הלקוח בענן בו עושות שימוש חברות גדולות מאוד הממוקמות בישראל ובחו"ל ועוד שירותים רבים.
הוצאת שירותים אלו למיקור חוץ בענן טומנת בחובה סיכונים לא מעטים, עליהם עמדתי בעבר, וכיום חוק הגנת הפרטיות, התשמ"א-1981 ("החוק") והתקנות שהותקנו מכוחו קובעים חובות ליצירת הגנות מתאימות על ידי החברה המתקשרת עם ספק שירותי הענן ומה עליו לכלול בהסכם ביניהם: איזה מידע הספק יכול לעבד, איזה סוג עיבוד ולאיזה מערכות יוכל לגשת בחברה לקבלת המידע, מה יקרה בתום תקופת ההתקשרות עם המידע שקיבל הספק מהחברה ובאיזה אופן עליו להשיבו לחברה, חובות שונות של הספק הכוללות החתמת בעלי הרשאות אצלו על התחייבויות שונות לסודיות, שימוש במידע בצורה מסוימת ועוד.
הוראות החוק, שהתיקונים שבוצעו בו לאורך השנים לא מצליחים להדביק את הקצב בו מתפתחת המציאות, הן רק בבחינת טעימה מן החשיבה והפעולות, שהארגון צריך לבצע ומן האמצעים שעליו לנקוט כדי להבטיח את שמירת המידע של החברה, שיועלה לענן ואת הטיפול במקרים בהם המידע זלג מן הענן, מכל סיבה שהיא. הרשות להגנת הפרטיות מונה מספר המלצות נוספות הכוללות: קיום נוהל אבטחת מידע, שמירת סודיות וזמני מענה ושירות; שמירה והעברת נתונים הנצברים אצל הספק הכוללים קבצים ומידע שונים, בהתאם לבקשת החברה; בדיקת רשימת ספקי המשנה של הספק החיצוני וכן בדיקת רשימת העובדים הרלוונטיים ומהימנותם; קבלת דיווחים על אירועי אבטחה שהתרחשו אצל הספק החיצוני, הפרדת סביבות עבודה אצל הספק החיצוני ועוד.
אני מציע לכל ארגון השוקל שימוש בשירותי ענן מכל סוג שהוא לבחון את כל ספקטרום המקרים האפשריים של "תקלות" וזליגת מידע ובחינה מעמיקה פנים ארגונית כיצד ניתן לדעת על קיומן בזמן אמת, להבין את הסיבה להתרחשותן ולמנוע אותן בכל הנוגע לפעולות שתוכל החברה, הספק או ספקי המשנה לבצע טרם המקרה ועוד ולהעלות את החששות בפני הספק איתו מתקשרים ולהבין אלו הגנות ופתרונות הוא יכול לספק ולקבל החלטה האם פתרונות אלו מניחים את דעת מנהלי הארגון, שכן המשמעות של "תקלות" אלה יכולות להיות הרות אסון לארגון ולפעילותו.
אתם מוזמנים לפנות אליי בכל שאלה ועניין.
ליצירת קשר באמצעות הוואצאפ