דילמות: כשה-CISO הוא גם DPO

דילמות: כשה-CISO הוא גם DPO

ארגונים רבים מוצאים עצמם מתמודדים עם אתגר מורכב: איך לנהל בו-זמנית את אבטחת המידע ואת הגנת הפרטיות. במקרים רבים, הפתרון הנראה הכי יעיל הוא למנות אדם אחד לשני התפקידים: CISO (Chief Information Security Officer) ו-DPO (Data Protection Officer). אך האם זהו באמת הפתרון הטוב ביותר?

רקע והגדרות

מהו CISO?

ה-CISO אחראי על כל היבטי אבטחת המידע בארגון. תפקידו כולל הגנה על נכסי המידע, ניהול סיכונים סייבר, פיתוח מדיניות אבטחה ויישום טכנולוגיות הגנה. המטרה העיקרית היא להבטיח שהמידע יישאר מוגן מפני איומים פנימיים וחיצוניים, תוך שמירה על זמינות המערכות והנתונים לצרכי העסק.

CISO מודרני צריך להבין לא רק טכנולוגיה, אלא גם עסקים, פסיכולוגיה אנושית ונוף הרגולציה המשתנה. הוא מנהל צוותים טכניים, מדבר עם מנהלים בכירים על סיכונים עסקיים, ומתכנן אסטרטגיות הגנה כנגד יריבים שמשנים כל הזמן את השיטות שלהם. התפקיד דורש הבנה מעמיקה של איומים מתפתחים כמו ransomware, social engineering, APT (Advanced Persistent Threats) ו-zero-day vulnerabilities.

בתחום האבטחה, ה-CISO אחראי על מגוון רחב של פעילויות: בניית ארכיטקטורת אבטחה עמידה, יישום פתרונות טכנולוגיים כמו SIEM ו-SOAR, ניהול תקריות אבטחה, הכשרת עובדים ובניית תרבות אבטחה ארגונית. הוא גם אחראי על יצירת מדדי ביצועים, דיווח למנהלים בכירים ולדירקטוריון, ועבודה עם ביטוח סייבר וספקים חיצוניים.

מהו DPO?

ה-DPO נוצר בעקבות תקנת ה-GDPR האירופית ותקנות פרטיות דומות ברחבי העולם. תפקידו המרכזי הוא להבטיח עמידה בדרישות הגנת הפרטיות, לפקח על עיבוד נתונים אישיים, לבצע הערכות השפעה על הפרטיות ולשמש כנקודת קשר עם רשויות הפיקוח. המטרה היא להגן על זכויות הפרטיות של בעלי הנתונים.

ה-DPO הוא יותר מסתם "שוטר פרטיות": הוא יועץ אסטרטגי שעוזר לארגון להבין כיצד לאזן בין צרכים עסקיים לבין כבוד לפרטיות האישית. התפקיד כולל הבנה מעמיקה של התהליכים העסקיים, מיפוי זרימות נתונים, הבנה של הטכנולוגיות שהארגון משתמש בהן, וידע משפטי מקיף בתחום הפרטיות.

DPO טוב יודע לפרש תקנות מורכבות לשפה פשוטה שמנהלים וצוותי פיתוח מבינים. הוא מתמודד עם בקשות מסובכות של בעלי נתונים, כמו בקשות למחיקה בסביבות cloud מורכבות או בקשות לניידות נתונים במערכות legacy. הוא גם אחראי על הכשרת עובדים, עיצוב תהליכי consent, וניהול יחסים עם רשויות הפיקוח בכל העולם.

תפקיד ה-DPO מורכב במיוחד כיום עם התפשטותן של תקנות פרטיות מקומיות. מעבר ל-GDPR האירופי, יש את CCPA הקליפורני, PIPEDA הקנדי, LGPD הברזילאי, וחוקי פרטיות מקומיים במדינות רבות נוספות. כל תקנה מציבה דרישות מעט שונות, ו-DPO צריך לנווט בין כל המסגרות הרגולטוריות הללו.

היתרונות של שילוב התפקידים

1. כאשר אדם אחד ממלא את שני התפקידים, נוצרת סינרגיה טבעית בין אבטחת מידע והגנת פרטיות. שני התחומים חולקים תשתיות טכנולוגיות דומות, כמו מערכות ניהול זהויות, הצפנה וניטור גישה לנתונים. האדם הזה מפתח הבנה מעמיקה של זרימת הנתונים בארגון וכיצד הם מעובדים ומאוחסנים.

היתרון הזה מתבטא במיוחד כשמתכננים פרויקטים טכנולוגיים חדשים. CISO/DPO יחיד יכול להעריך בו-זמנית את ההשלכות הטכניות, הרגולטוריות והעסקיות של כל החלטה. למשל, בבחירת פתרון cloud חדש, הוא יכול להעריך את רמת האבטחה, את מיקום השרתים מבחינת jurisdictions שונים, ואת היכולות לעמוד בבקשות של בעלי נתונים.

1. יתרון נוסף הוא חיסכון בעלויות. במקום לשכור שני מומחים נפרדים, הארגון יכול להסתפק באדם אחד איכותי שיכסה את שני התחומים. זה במיוחד רלוונטי לארגונים קטנים וחברות הזנק שבהן המשאבים מוגבלים. השכר של CISO וDPO מנוסים יכול להגיע לסכומים משמעותיים, ושילוב התפקידים מאפשר למקסם את התמורה להשקעה.
2. מהירות קבלת החלטות היא יתרון נוסף מבטיח. במקום להתאם בין שני אנשים עם נקודות מבט שונות, אדם אחד יכול לקבל החלטות מהירות שמתחשבות בשני ההיבטים. זה חשוב במיוחד בסביבות עסקיות מהירות שבהן איחור בהחלטות יכול לפגוע בתחרותיות.
3. חזון אחוד: CISO/DPO יחיד יכול לפתח אסטרטגיה מקיפה שמתייחסת לשני הצדדים של המטבע. הוא מבין כיצד פתרונות אבטחה משפיעים על פרטיות ולהיפך, ויכול ליצור מדיניות שמאזנת בין השניים בצורה אופטימלית.

האדם הזה יכול לבנות תרבות ארגונית אחידה שרואה בהגנת נתונים ערך מרכזי. במקום מסרים סותרים מהנהלות שונות, העובדים מקבלים מסר אחד וברור על החשיבות של שמירה על מידע. זה מקל על הכשרות, יוצר בהירות תפעולית, ומפחית בלבול.

1. תקשורת אפקטיבית עם הנהלה היא יתרון משמעותי נוסף. במקום שהדירקטוריון יצטרך לשמוע דיווחים נפרדים על אבטחה ופרטיות, הוא מקבל תמונה מקיפה אחת. זה מאפשר קבלת החלטות עסקיות מושכלות יותר ומקל על הקצאת משאבים ועדיפויות.
2. הבנה מעמיקה של המידע: אדם שמשלב את שני התפקידים מפתח הבנה ייחודית של מחזור החיים של המידע בארגון: מהאיסוף הראשוני, דרך העיבוד והאחסון, ועד למחיקה או העברה. ההבנה הזו חיונית ליצירת מדיניות מאוזנת ויעילה.

הדילמות והאתגרים

ניגוד אינטרסים פוטנציאלי

האתגר הבסיסי ביותר הוא שלעתים מטרות האבטחה והפרטיות עומדות בסתירה זו לזו. מנהל אבטחת המידע עשוי לרצות לאסוף ולשמור כמה שיותר נתונים לצרכי ניטור וזיהוי איומים, בעוד שמנהל הגנת הפרטיות נדרש להבטיח מינימום איסוף ושמירה של נתונים אישיים.

דוגמה קונקרטית: מערכת SIEM (Security Information and Event Management) עשויה לדרוש שמירה של לוגים מפורטים למשך תקופות ארוכות כדי לזהות דפוסי התקפה, אך תקנות הפרטיות דורשות מחיקה של נתונים אישיים כשאין עוד צורך עסקי בהם. איך מחליטים כמה זמן לשמור לוגים שמכילים כתובות IP ופרטים אישיים אחרים?

מקרה נוסף מורכב הוא שימוש בכלי User and Entity Behavior Analytics (UEBA). הכלים האלה מנתחים התנהגות של משתמשים כדי לזהות פעילות חשודה, אבל הם דורשים איסוף מידע מפורט על הרגלי עבודה אישיים. מבחינת אבטחה, זה חיוני לזיהוי מוקדם של איומים פנימיים. מבחינת פרטיות, זה עלול להיחשב כמעקב פולשני אחר עובדים.

בתחום המכירות והשיווק, הדילמות האלה מתחדדות עוד יותר. צוותי שיווק רוצים לאסוף ולנתח כמה שיותר מידע על לקוחות כדי ליצור חוויות מותאמות אישית. מבחינת אבטחה, חשוב לדעת איך המידע הזה זורם ומאוחסן. מבחינת פרטיות, צריך להבטיח שהלקוחות מבינים למה המידע משמש ומסכימים לכך.

חלוקת זמן ותשומת לב

שני התפקידים דורשים התמחות עמוקה והתעדכנות מתמדת. האבטחה הסייברית מתפתחת במהירות עם איומים חדשים מדי יום, בעוד שתחום הפרטיות כולל מורכבויות משפטיות מתמדות ותקנות מתחדשות. קשה לאדם אחד לעקוב אחר כל ההתפתחויות בשני התחומים ברמה הנדרשת.

בתחום האבטחה, מתפתחים כל הזמן איומים חדשים: טכניקות ransomware מתוחכמות, התקפות supply chain, ניצול של אינטליגנציה מלאכותית לצרכי סייבר פשע. כל אחד מהאיומים האלה דורש הבנה מעמיקה, לימוד הטכניקות החדשות, והתאמת ההגנות.

בתחום הפרטיות, המצב לא פחות מורכב. מעבר לתקנות הקיימות, מתפתחות תקנות חדשות כל הזמן. מדינות כמו הודו, וייטנאם ותאילנד מפתחות חוקי פרטיות מקומיים. בארצות הברית, מדינות כמו וירג'יניה, קולורדו וקונטיקט מחוקקות חוקי פרטיות משלהן. כל חוק מציב דרישות מעט שונות, וצריך להבין את הניואנסים.

פרדוקס הזמן הוא שככל שהארגון גדל והמורכבות עולה, כך הצורך בהתמחות עמוקה יותר גדל: אבל הזמן הזמין להתעמקות פוחת כי יש יותר נושאים דחופים לטפל בהם.

עומס עבודה מכביד

התפקידים כוללים אחריות רגולטורית כבדה, דיווחים מתמדים, ניהול תקריות ופרויקטים מקבילים. כאשר מתרחש אירוע אבטחה חמור בד בבד עם תלונת פרטיות או ביקורת רגולטורית, האדם עלול למצוא עצמו בעומס שלא ניתן לניהול.

תאר לעצמך מצב שבו הארגון חווה data breach משמעותי בדיוק באותו זמן שרשות הפרטיות המקומית מבצעת ביקורת. כ-CISO, האדם צריך לנהל את התגובה לתקרית, לתאם עם צוותי IT, לדווח להנהלה ולביטוח, ולוודא שהמערכות מוגנות מפני התקפות נוספות. כ-DPO, הוא צריך להעריך אילו נתונים אישיים נפגעו, לדווח לרשויות הפיקוח בתוך 72 שעות, לתאם התקשרות עם בעלי הנתונים, ולטפל בביקורת הרגולטורית.

בימים רגילים, CISO/DPO טיפוסי מתמודד עם:

• ניהול תקריות אבטחה: בדיקת התראות, חקירת חשדות, תיאום תגובה
• טיפול בבקשות בעלי נתונים: בקשות למחיקה, גישה, תיקון, ניידות
• ניהול פרויקטים: שדרוגי אבטחה, הטמעת טכנולוגיות חדשות
• הכשרות והדרכות: לעובדים, למנהלים, לצוותי פיתוח
• דיווחים: להנהלה, לדירקטוריון, לרשויות הפיקוח
• ניהול ספקים: הערכת ספקי cloud, כלי אבטחה, יועצים חיצוניים
• • אובייקטיביות ובקרות פנימיות

DPO נדרש להיות עצמאי ואובייקטיבי בחוות דעתו. כאשר אותו אדם אחראי גם על מדיניות האבטחה, עלול להיווצר מצב שבו הוא "בוחן את עצמו" או מתקשה להעריך באובייקטיביות החלטות שהוא עצמו קיבל מנקודת מבט של אבטחת מידע.

הבעיה הזו מתחדדת במיוחד כשמתקבלות החלטות על השקעות. אם ה-CISO המליץ על רכישת מערכת אבטחה יקרה, האם הוא יכול כ-DPO להעריך באופן אובייקטיבי את ההשלכות שלה על פרטיות? אם יסתבר שהמערכת אוספת נתונים אישיים בצורה בלתי מבוקרת, האם הוא יכול להתנגד להחלטה שהוא עצמו קיבל?

דוגמה מורכבת היא הטמעת כלי DLP (Data Loss Prevention). מבחינת אבטחה, הכלים האלה חיוניים למניעת דליפות מידע. הם סורקים emails, files, ותקשורת פנימית כדי לזהות מידע רגיש שעלול לדלוף. מבחינת פרטיות, זה מעלה שאלות קשות על מעקב אחר עובדים וחדירה לפרטיותם.

מורכבות הרגולציה הגלובלית

בעולם הגלובלי של היום, חברות רבות פועלות במדינות מרובות ומתמודדות עם מערכות רגולטוריות שונות. כל מדינה מפתחת תקנות פרטיות משלה, לעתים עם דרישות סותרות. מצד אחד, יש מדינות כמו גרמניה עם דגש קיצוני על פרטיות. מצד שני, יש מדינות שדורשות גישה רחבה של רשויות החוק לנתונים.

Data localization הוא דוגמה מורכבת. מדינות כמו רוסיה וסין דורשות שנתונים אישיים של אזרחיהן יאוחסנו במדינה. בו-זמנית, תקנות אירופיות מגבילות העברת נתונים למדינות שלא נחשבות "בטוחות" מבחינת פרטיות. איך מתמודדים עם סתירות כאלה?

השלכות מבחינה רגולטורית

דרישות העצמאות של ה-DPO

תקנת ה-GDPR מגדירה בברור שה-DPO חייב להיות עצמאי ולא לקבל הוראות לגבי ביצוע תפקידיו. כאשר אותו אדם משמש גם כ-CISO, עלולה להיווצר בעיה מבחינה פורמלית: האם הוא באמת עצמאי כשהוא צריך לקבל החלטות שמשפיעות על התחום שהוא עצמו מנהל?

רשויות הפיקוח השונות נוטות להיות קפדניות בנושא זה, במיוחד בארגונים גדולים שבהם נפח עיבוד הנתונים משמעותי. הן עלולות להעלות שאלות לגבי יעילות הפונקציה של ה-DPO במקרים כאלה.

הנושא הזה התחדד לאחרונה עם מספר פסקי דין של בתי משפט אירופיים שקבעו שחברות לא עמדו בדרישות העצמאות של ה-DPO. בפרט, בתי המשפט הדגישו שה-DPO לא יכול להיות כפוף לאנשים שקובעים מדיניות לגבי עיבוד נתונים אישיים.

תקנות מקומיות

מעבר ל-GDPR, מדינות רבות מפתחות תקנות פרטיות משלהן עם דרישות שונות. חוק הגנת הפרטיות הישראלי, החוק הקליפורני CCPA, והחוק הברזילאי LGPD: כל אחד מהם מציב דרישות מעט שונות לגבי תפקיד מנהל הגנת הפרטיות. ניהול עמידה במספר מסגרות רגולטוריות במקביל מייצר מורכבות נוספת.

הזיקוק הרגולטורי יוצר מצב שבו חברות צריכות לעמוד בסטנדרט הגבוה ביותר מבין כל התקנות החלות עליהן. זה אומר שגם אם תקנה מסוימת מתירה משהו, אם תקנה אחרת אוסרת אותו: האיסור גובר.

כאשר אותו אדם אחראי על שני התחומים, הוא נושא באחריות כפולה ועלול להיות חשוף לסנקציות בשני המישורים.

פתרונות וגישות חלופיות

הפרדה פונקציונלית

גישה אחת היא לשמור על אדם אחד בשני התפקידים אך ליצור הפרדה ברורה בין הפונקציות. זה כולל:

• הגדרת תהליכים נפרדים לכל תחום, עם נהלי עבודה ברורים שמבטיחים שהחלטות בתחום הפרטיות לא מושפעות משיקולי אבטחה בלבד. יש ליצור מנגנון בקרה פנימי שבוחן החלטות מנקודת מבט של פרטיות גם כשהן מתקבלות על ידי אותו אדם שמנהל את האבטחה.
• הקמת ועדות מייעצות שכוללות נציגים מתחומים שונים בארגון: משפטי, משאבי אנוש, שיווק וחוויית לקוח. הועדות האלה יכולות לשמש כגורם מאזן ולהבטיח שהחלטות נבחנות מזוויות שונות.
• תיעוד מפורט של כל החלטה עם הנמקה ברורה מנקודת מבט של אבטחה ומנקודת מבט של פרטיות. זה מאפשר להראות לרשויות הפיקוח שההחלטות התקבלו מתוך שיקול דעת מקצועי.
• הכשרה מתמדת ביישום "כובעים שונים": פיתוח היכולת לחשוב על אותה בעיה מזוויות שונות ולהפריד בין השיקולים.

גישה הדרגתית

ארגונים רבים מתחילים עם CISO/DPO יחיד ועם הזמן מפרידים את התפקידים. זה מאפשר לבנות תחילה תשתית משותפת ולפתח את הידע והתהליכים הבסיסיים, ורק לאחר מכן ליצור התמחות עמוקה יותר בכל תחום.

• השלב הראשון כולל מיפוי הנתונים והתהליכים: יצירת מלאי מקיף של כל הנתונים האישיים שהארגון מעבד, איך הם זורמים בין המערכות השונות, ואיך הם מוגנים. זה מהווה בסיס גם לאבטחה וגם לפרטיות.
• השלב השני הוא בניית תהליכי עבודה סטנדרטיים שמבטיחים עמידה בדרישות הבסיסיות. זה כולל תהליכי הערכת השפעה על פרטיות, נהלי דיווח הפרות, ומנגנוני טיפול בבקשות של בעלי נתונים.
• רק בשלב השלישי, כשהארגון בוגר יותר ויש לו משאבים מספיקים, מתבצעת הפרדה מלאה של התפקידים עם גיוס מומחים נפרדים לכל תחום.

המלצות יישום מעשיות

לארגונים קטנים וחברות הזנק

עבור ארגונים עם פחות מ-100 עובדים או הכנסות מוגבלות, שילוב התפקידים עשוי להיות לא רק מקובל אלא גם הכרחי. במקרים כאלה חשוב:

1. להשקיע בהכשרה מתמדת: לוודא שהאדם שממלא את שני התפקידים עוקב אחר ההתפתחויות בשני התחומים ומקבל הכשרה פורמלית מקצועית.
2. ליצור מנגנוני יעוץ חיצוניים: לשמור על קשר עם יועצים חיצוניים מומחים שיכולים לסייע בשאלות מורכבות או במקרי חירום.
3. לתעד את ההחלטות בצורה ברורה, כך שיהיה אפשר להראות לרשויות הפיקוח שההחלטות התקבלו מתוך שיקול דעת מקצועי ולא מתוך ניגוד אינטרסים.
4. לפתח תהליכי escalation ברורים למקרים מורכבים. למשל, אם יש חשד להפרת נתונים משמעותית, מי מקבל את ההכרעות הקריטיות? איך מבטיחים שהמנכ"ל או הדירקטוריון מעורבים בהחלטות אסטרטגיות?
5. להקים ועדה מנהלית קטנה שכוללת את המנכ"ל, יועץ משפטי, וראש IT שיכולה לשמש כגורם מאזן ולסייע בהחלטות מורכבות. הוועדה הזו נפגשת באופן סדיר לסקור מדיניות ולדון בנושאים אסטרטגיים.

לארגונים בינוניים

ארגונים עם 100-1000 עובדים נמצאים במצב ביניים מאתגר. יש להם מספיק נתונים ומורכבות כדי להצדיק התמחות נפרדת, אבל לא תמיד את המשאבים לכך. כאן מומלצת גישה היברידית:

CISO/DPO ראשי שמנהל את החזון והאסטרטגיה, עם מומחים תומכים בכל תחום. למשל, יועץ פרטיות חיצוני שמגיע פעם בחודש לסקור החלטות ותהליכים, או מומחה אבטחה פנימי שמתמחה בהיבטים הטכניים בעוד שהמנהל מתמקד ברגולציה והמדיניות.

לארגונים גדולים

ארגונים עם יותר מ-1000 עובדים או שמעבדים נפחי נתונים משמעותיים צריכים להפריד את התפקידים באופן ברור. המורכבות הרגולטורית, נפח הנתונים והסיכונים מצדיקים השקעה במומחים נפרדים שיכולים להתמקד בעומק בכל תחום.

בארגונים כאלה, המבנה הטיפוסי כולל:

• CISO שמתמקד באסטרטגיה, ניהול סיכונים, ויחסים עם הנהלה
• DPO עצמאי שמתמקד בcomplaiance רגולטורי ויחסים עם רשויות הפיקוח
• צוותי תמיכה מתמחים בכל תחום: SOC לאבטחה, צוות privacy operations לפרטיות
• ועדת היגוי משותפת שמתאמת בין התחומים במקרים הרלוונטיים
• הארגונים הגדולים צריכים גם להתמודד עם הפרדה גיאוגרפית. אם יש להם פעילות באירופה, אסיה ואמריקה, יכול להיות שיצטרכו DPO מקומיים בכל אזור בגלל דרישות רגולטוריות מקומיות.
• לקחים מהשטח

ארגונים שניסו את הגישה המשולבת מדווחים על תוצאות מעורבות. מצד אחד, יש יתרון ברור בהבנה המקיפה של זרימת הנתונים והיכולת לקבל החלטות מהירות. מצד שני, רבים מתלוננים על עומס עבודה מכביד ועל קושי להישאר מעודכנים בשני התחומים ברמה הנדרשת.

חברות טכנולוגיה מדווחות על אתגר מיוחד במהירות הפיתוח. כאשר צוותי הפיתוח רוצים לשלב טכנולוגיות חדשות במהירות, CISO/DPO יחיד עלול להפוך לצוואר בקבוק אם הוא לא מצליח להעריך במהירות מספקת את ההשלכות הן מבחינת אבטחה והן מבחינת פרטיות.

לעומת זאת, חברות שירותים מסורתיות מדווחות על יותר הצלחה עם הגישה המשולבת, כיוון שהן בדרך כלל יותר יציבות מבחינת התהליכים וזרימת הנתונים.

סיכום והמלצות

החלטה האם לשלב את תפקידי ה-CISO וה-DPO תלויה במספר גורמים: גודל הארגון, מורכבות עיבוד הנתונים, המשאבים הזמינים והסביבה הרגולטורית. אין פתרון אחד שמתאים לכולם.

עבור ארגונים קטנים, השילוב יכול להיות פתרון מעשי ויעיל, בתנאי שמקפידים על הכשרה מתמדת, תיעוד מדוקדק ויעוץ חיצוני כשצריך. ארגונים גדולים וחברות שמעבדות נפחי נתונים משמעותיים צריכים לשקול ברצינות הפרדה של התפקידים כדי להבטיח מצוינות מקצועית והתאמה לדרישות הרגולטוריות.

הדבר החשוב ביותר הוא להכיר בדילמות ולהתמודד איתן באופן מודע. ארגונים שבוחרים בגישה המשולבת צריכים ליצור מנגנוני בקרה שמבטיחים שהחלטות נבחנות מכל הזוויות הרלוונטיות, גם כשהן מתקבלות על ידי אותו אדם. זה כולל ועדות מייעצות, תהליכי סקירה עצמאיים, ובעיקר תרבות ארגונית שעודדת שאלות ואתגור בונה של החלטות.

בסופו של דבר, המטרה היא להגן על הנתונים והפרטיות של הלקוחות והעובדים, תוך שמירה על יכולת הארגון לפעול ולהתפתח. איך שלא בוחרים לארגן את התפקידים, חשוב לזכור שזה אמצעי ולא מטרה, והמבחן האמיתי הוא האם הארגון מצליח לעמוד ביעדים האלה בפועל.