טבע הוסמכה לתקן אבטחה מתקדם – המטפל גם בהגנת סייבר
ISO27001 מטפל בשורה של תהליכים ארגוניים, כולל הגדרת תפקידים בתחום ● גיא הדרי, סמנכ"ל מערכות מידע בטבע: "בעידן הנוכחי, מתגבר הצורך בהגנה מקסימלית על מערכות המידע בתעשיית התרופות"
טבע השלימה בימים אלה את ההסמכה לתקן אבטחת המידע המתקדם ISO27001, ששם דגש על איומי הסייבר המתגברים, המהווים חלק מאיומי האבטחה על הארגון. התקן, המחמיר מאוד, ניתן על ידי המכון לבקרת איכות (IQC), המייצג בארץ את הגופים הבינלאומיים שהגו אותו.
התקן מטפל בשורה ארוכה של תהליכים פנים ארגוניים ומגדיר את התפקידים של העוסקים בכך, תוך דגש על איומי הסייבר.
גיא הדרי, סמנכ"ל מערכות מידע וסגן נשיא בכיר בטבע, אמר לאנשים ומחשבים כי "בעידן בו איומי הסייבר הופכים להיות סיכון גדול בתעשיית התרופות, מתחזק הצורך בהגנה מקסימלית על מערכות המידע בחברות העוסקות בתחום".
לדבריו, "קבלת התקן סימלה סיומו של תהליך ארוך מאוד, שהחל לפני כמעט שנה, שבו היו מעורבים חלקים שונים של הארגון. התקן לא היה המטרה אלא חלק מפעילות שוטפת שלנו, המבוססת על ההנחה שאבטחת מידע היא תהליך מתמשך במסגרתו על הארגון לעדכן ולהתאים את עצמו אל מול כל האיומים, שמתחדשים כל הזמן".
יצוין כי בימים אלה סיימה טבע להטמיע את התקן בפעילות שלה בישראל, שהיא המשמעותית והחשובה ביותר, והחלה ביישומו בשאר 60 המדינות בהן היא פועלת. הדרי ציין כי "קבלת התקן, שהינו גלובלי, היא בגדר הישג המעיד על ניהול נכון של פעילות אבטחת המידע בסטנדרטים בינלאומיים".
"המטרה: להתמקד בביזנס בעת אירוע סייבר"
הוביל את קבלת ההסמכה לתקן מנהל תחום הפיקוח ביחידת אבטחת מערכות המידע בטבע, מרדכי סבו, יחד עם מנהל הפרויקט, נועם דובב. בסך הכול, כ-120 איש היו שותפים לתהליך ההסמכה.
ההיערכות ליישום התקן נעשתה על ידי יחידת האבטחה הגלובלית של טבע, בראשותו של אילן עבדי. הוא ציין כי "ISO27001 מכסה באופן מקיף את ההיבטים של ניהול אבטחת מידע מונע סיכונים, במטרה שבמקרה של אירוע אבטחה, ימוקדו המאמצים בנכסים העסקיים ובתהליכים העיקריים המהווים סיכון לחברה".
לדבריו, בשנים האחרונות ניצבת תעשיית הפארמה במקום השני מבחינת היקף ניסיונות מתקפות הסייבר, אחרי המגזר הפיננסי – כולל הבנקים. "העובדה שטבע היא חברה ישראלית מוסיפה להיקף ניסיונות התקיפה עליה, אולם יש לציין שעד כה היא עמדה בכולם בצורה מכובדת", ציין עבדי.
הוא הוסיף ש-"בנוסף ליצירת שפה משותפת לניהול אבטחת מערכות המידע בחברה, יש בקבלת התקן משמעות גם בהיבטים של התייעלות בניהול הסיכונים והאופן בו אנחנו מיישמים את הסטנדרטים של אבטחת המידע שאותם אנחנו דורשים ממרבית הספקים שלנו".
מה דעתכם?