לא יודעים איפה המידע בארגון? חברת BigID הישראלית: ״הפתרון שלנו תומך ברגולציות פרטיות״
חברת BigID היא חברה אמריקאית-ישראלית שפיתחה פלטפורמה למיפוי המידע בארגון. לפי נמרוד וקס, שותף מייסד ומנהל המוצר בחברה, המוצר תורם ערך להתמודדות עם רגולציות פרטיות וכן עוזר להתמודד גם עם מתקפות כופר. ראיון מיוחד
עמי רוחקס דומבה
| 22/07/2021
נמרוד וקס. צילום: רועי שור
חברת BigID היא חברה אמריקאית-ישראלית שפיתחה פלטפורמה למיפוי המידע בארגון. ״לא משנה איפה המידע של הארגון נשמר. בשרתי קבצים, ענן, אפליקציות, או כל מקום אחר, אנחנו ממפים אותו, מסווגים אותו ומייצרים קטלוג של כל המידע הארגוני״, מסביר נמרוד וקס, מייסד שותף ומנהל המוצר בחברה.
רגולציית פרטיות
למה זה חשוב? מכמה סיבות. ראשית, בשל רגולציות פרטיות כמו ה-GDPR האירופאית או רגולציות אמריקאיות מקבילות. אלו מחייבות את הארגון לדעת איפה המידע של הלקוחות שלו, האם נאסף רק מידע אישי כפי שרשום בהסכם מול הלקוח, האם המידע מעובד רק בדרך בה רשום בהסכם עם הלקוח ולמי יש גישה למידע הזה.
כאשר מדובר בעסקים כמו בנקים, חברות ביטוח, עסקי קמעונאות, תיירות וכו׳, מדובר בחברות בינלאומיות שמחזיקות מידע על מליוני בני אדם. כל אחד מהם, יכול, בכל רגע נתון, לדרוש למחוק את המידע שלו או לבקש לדעת מה עשו אם המידע שלו. לנהל את זה? ממש לא פשוט. למעשה, חלק גדול מהארגונים בעולם מתקשים לעשות זאת בצורה יעילה. גם אלו בישראל.
המערכת של BigID מקטלגת את המידע, מסווגת אותו (פיננסי, אישי, כ״א, סודי וכו׳) ומאפשרת לבצע על עליו מחקרים מסוגים שונים. בין באמצעות אפליקציות מובנות בפלטפורמה או באמצעות כאלו של ספקי צד ג׳ באמצעות API. המידע נשמר עם מטה דאטה שמתאר אותו ומאפשר לעשות עליו ניתוחים. הפלטפורמה גם יודעת לעשות מתאם (קורלציה) בין המידע ללקוחות ולעובדי הארגון. כלומר למי שייך המידע ומי בארגון מטפל באיזה מידע.
בצורה כזו, הארגון יכול לדעת איפה שמור אצלו מידע אישי של לקוחות (PII), למי יש גישה אליו בארגון, האם הוא פתוח לגישה מרשת האינטרנט, ועוד. עם המידע הזה הארגון יכול ליישם אכיפה טובה יותר על תהליכי איסוף המידע מלקוחות, העיבוד שלו, הגישה אליו וכו׳.
מתקפות כופר
יכולות אלו מתחברות לעוד סיבה מדוע ארגון נדרש לארגן את המידע שלו - מתקפות כופר. בסוג זה של מתקפות, המידע הארגוני מוצפן, נמחק או נגנב (תלוי בסוג כלי התקיפה) וצריך להודיע ללקוחות שנפגעו שהמידע שלהם הושג על ידי אחר. איך הארגון ידע לאיזה לקוחות להודיע?
יתרה מזאת, בהיבט נוסף, הארגון רוצה לדעת על איזה מידע הכי חשוב להגן. בהנחה ואי אפשר להגן על כל הרשת הארגונית, נדרש מיקוד מאמץ מיוחד באזורים בהם שמור מידע שיכול לפגוע עסקית בחברה. כמו קוד מקור, הסכמים עם לקוחות, תכניות שיווק וכו׳. איך יודעים איפה שמור המידע החשוב , הקריטי, של הארגון אם אין יכולת למפות את המידע הארגוני?
״גייסנו קרוב ל250 מליון דולר. אנחנו מעסיקים כ-350 איש בעולם מתוכם 140 בישראל. המו״פ בישראל״, אומר וקס. ״אחת הדרישות הכי חשובות בפרטיות זה לתת שקיפות לאדם שאוספים עליו מידע. להבין מה אספו עלי, מתי, כמה. זה גם מוסיף אמון בינך לבין הלקוח. לוודא שהמידע שנאסף משמש רק למטרות לשמו נאסף.
״השלב הראשון הוא גילוי ומיפוי המידע. בניית קטלוג שלם כולל סיווג המידע. זה נותן לך את הבסיס לדעת את הקורלציות בין המשתמשים לבין המידע. איזה מידע ולמי הוא משויך. מעל זה יש אפליקציות עם גישה דרך API למידע והן מבצעות פעולות על המידע. אנחנו נותנים אפליקציות בתחומים של פרטיות, הגנה על מידע (הרשאות, מידע רגיש) וניהול מדיניות של המידע. יש לנו חנות אפליקציות של ספקים צד ג׳ שנותנים הרבה יכולות נוספות.״
בניית אמון מול הלקוח
וקס מסביר כי יש דרישה ברגולציית פרטיות לתעד תהליכים עסקיים של מידע רגיש או אישי. ״אתה נדרש לתאר את השימוש במידע ולאיזו מטרה התהליך משתמש במידע. האם מטרות השימוש לגיטימיות. אם אני אוסף כתובת מגורים למטרת משלוח דברים ללקוח ומתחייב לא למכור את המידע שלי - זו המדיניות שלי״, מסביר וקס.
״זה מתועד בהסכם מול הלקוח. באמצעותנו הארגון יודע לנהל את המדיניות, כולל אילו מערכות משתמשות במידע הלקוח. חלק מהתהליכים האלו נבנים אוטומטית וחלק מוזן על ידי עובדי הארגון השותפים לתהליך. נניח שגילינו פתאום שאוספים מהלקוח מידע שאינו מעוגן בהסכם ההצטרפות של הלקוח, אנחנו מקפיצים התראה לארגון. הוא יצטרך להסביר ללקוח למה נאסף המידע ולאיזה צורך. אבל הוא יודע מזה. כך, אם לקוח הקצה פונה בשאלה, יש לארגון תשובות.״
לפי וקס, הצורך במערכת כזו לניהול מידע קיים בכל גודל ארגון. החל מחברות הזנק ועד ארגוני ענק. עם זאת, וקס מסייג ואומר, ביושר יש לציין, כי ישנו סף מסוים של כדאיות כלכלית לרכוש מערכת כמו של BigID. ״ארגונים ממש קטנים כנראה ינהלו את המידע שלהם באקסל או כלי דומה, אומר וקס.
״עם זאת, ארגונים, גם קטנים, שמנהלים בריכת מידע של הרבה לקוחות, ארגונים שנכנסים לתהליך הנפקה שמשיט עליהם רגולציה, עסקים שנכנסים לפעילות עסקית שצפויה להיות מפוקחת וארגונים גדולים, אלו ימצאו ערך במערכת שלנו. יש לנו קו מוצרים בשירות עצמי ותוך כמה קליקים יש לך יכולת בסיסית לנהל את המידע הארגוני.״
חברת BigID היא חברה אמריקאית-ישראלית שפיתחה פלטפורמה למיפוי המידע בארגון. לפי נמרוד וקס, שותף מייסד ומנהל המוצר בחברה, המוצר תורם ערך להתמודדות עם רגולציות פרטיות וכן עוזר להתמודד גם עם מתקפות כופר. ראיון מיוחד
נמרוד וקס. צילום: רועי שור
חברת BigID היא חברה אמריקאית-ישראלית שפיתחה פלטפורמה למיפוי המידע בארגון. ״לא משנה איפה המידע של הארגון נשמר. בשרתי קבצים, ענן, אפליקציות, או כל מקום אחר, אנחנו ממפים אותו, מסווגים אותו ומייצרים קטלוג של כל המידע הארגוני״, מסביר נמרוד וקס, מייסד שותף ומנהל המוצר בחברה.
רגולציית פרטיות
למה זה חשוב? מכמה סיבות. ראשית, בשל רגולציות פרטיות כמו ה-GDPR האירופאית או רגולציות אמריקאיות מקבילות. אלו מחייבות את הארגון לדעת איפה המידע של הלקוחות שלו, האם נאסף רק מידע אישי כפי שרשום בהסכם מול הלקוח, האם המידע מעובד רק בדרך בה רשום בהסכם עם הלקוח ולמי יש גישה למידע הזה.
כאשר מדובר בעסקים כמו בנקים, חברות ביטוח, עסקי קמעונאות, תיירות וכו׳, מדובר בחברות בינלאומיות שמחזיקות מידע על מליוני בני אדם. כל אחד מהם, יכול, בכל רגע נתון, לדרוש למחוק את המידע שלו או לבקש לדעת מה עשו אם המידע שלו. לנהל את זה? ממש לא פשוט. למעשה, חלק גדול מהארגונים בעולם מתקשים לעשות זאת בצורה יעילה. גם אלו בישראל.
המערכת של BigID מקטלגת את המידע, מסווגת אותו (פיננסי, אישי, כ״א, סודי וכו׳) ומאפשרת לבצע על עליו מחקרים מסוגים שונים. בין באמצעות אפליקציות מובנות בפלטפורמה או באמצעות כאלו של ספקי צד ג׳ באמצעות API. המידע נשמר עם מטה דאטה שמתאר אותו ומאפשר לעשות עליו ניתוחים. הפלטפורמה גם יודעת לעשות מתאם (קורלציה) בין המידע ללקוחות ולעובדי הארגון. כלומר למי שייך המידע ומי בארגון מטפל באיזה מידע.
בצורה כזו, הארגון יכול לדעת איפה שמור אצלו מידע אישי של לקוחות (PII), למי יש גישה אליו בארגון, האם הוא פתוח לגישה מרשת האינטרנט, ועוד. עם המידע הזה הארגון יכול ליישם אכיפה טובה יותר על תהליכי איסוף המידע מלקוחות, העיבוד שלו, הגישה אליו וכו׳.
מתקפות כופר
יכולות אלו מתחברות לעוד סיבה מדוע ארגון נדרש לארגן את המידע שלו - מתקפות כופר. בסוג זה של מתקפות, המידע הארגוני מוצפן, נמחק או נגנב (תלוי בסוג כלי התקיפה) וצריך להודיע ללקוחות שנפגעו שהמידע שלהם הושג על ידי אחר. איך הארגון ידע לאיזה לקוחות להודיע?
יתרה מזאת, בהיבט נוסף, הארגון רוצה לדעת על איזה מידע הכי חשוב להגן. בהנחה ואי אפשר להגן על כל הרשת הארגונית, נדרש מיקוד מאמץ מיוחד באזורים בהם שמור מידע שיכול לפגוע עסקית בחברה. כמו קוד מקור, הסכמים עם לקוחות, תכניות שיווק וכו׳. איך יודעים איפה שמור המידע החשוב , הקריטי, של הארגון אם אין יכולת למפות את המידע הארגוני?
״גייסנו קרוב ל250 מליון דולר. אנחנו מעסיקים כ-350 איש בעולם מתוכם 140 בישראל. המו״פ בישראל״, אומר וקס. ״אחת הדרישות הכי חשובות בפרטיות זה לתת שקיפות לאדם שאוספים עליו מידע. להבין מה אספו עלי, מתי, כמה. זה גם מוסיף אמון בינך לבין הלקוח. לוודא שהמידע שנאסף משמש רק למטרות לשמו נאסף.
״השלב הראשון הוא גילוי ומיפוי המידע. בניית קטלוג שלם כולל סיווג המידע. זה נותן לך את הבסיס לדעת את הקורלציות בין המשתמשים לבין המידע. איזה מידע ולמי הוא משויך. מעל זה יש אפליקציות עם גישה דרך API למידע והן מבצעות פעולות על המידע. אנחנו נותנים אפליקציות בתחומים של פרטיות, הגנה על מידע (הרשאות, מידע רגיש) וניהול מדיניות של המידע. יש לנו חנות אפליקציות של ספקים צד ג׳ שנותנים הרבה יכולות נוספות.״
בניית אמון מול הלקוח
וקס מסביר כי יש דרישה ברגולציית פרטיות לתעד תהליכים עסקיים של מידע רגיש או אישי. ״אתה נדרש לתאר את השימוש במידע ולאיזו מטרה התהליך משתמש במידע. האם מטרות השימוש לגיטימיות. אם אני אוסף כתובת מגורים למטרת משלוח דברים ללקוח ומתחייב לא למכור את המידע שלי - זו המדיניות שלי״, מסביר וקס.
״זה מתועד בהסכם מול הלקוח. באמצעותנו הארגון יודע לנהל את המדיניות, כולל אילו מערכות משתמשות במידע הלקוח. חלק מהתהליכים האלו נבנים אוטומטית וחלק מוזן על ידי עובדי הארגון השותפים לתהליך. נניח שגילינו פתאום שאוספים מהלקוח מידע שאינו מעוגן בהסכם ההצטרפות של הלקוח, אנחנו מקפיצים התראה לארגון. הוא יצטרך להסביר ללקוח למה נאסף המידע ולאיזה צורך. אבל הוא יודע מזה. כך, אם לקוח הקצה פונה בשאלה, יש לארגון תשובות.״
לפי וקס, הצורך במערכת כזו לניהול מידע קיים בכל גודל ארגון. החל מחברות הזנק ועד ארגוני ענק. עם זאת, וקס מסייג ואומר, ביושר יש לציין, כי ישנו סף מסוים של כדאיות כלכלית לרכוש מערכת כמו של BigID. ״ארגונים ממש קטנים כנראה ינהלו את המידע שלהם באקסל או כלי דומה, אומר וקס.
״עם זאת, ארגונים, גם קטנים, שמנהלים בריכת מידע של הרבה לקוחות, ארגונים שנכנסים לתהליך הנפקה שמשיט עליהם רגולציה, עסקים שנכנסים לפעילות עסקית שצפויה להיות מפוקחת וארגונים גדולים, אלו ימצאו ערך במערכת שלנו. יש לנו קו מוצרים בשירות עצמי ותוך כמה קליקים יש לך יכולת בסיסית לנהל את המידע הארגוני.״
