OK יועצים לניהול

אני פוגשת הרבה מנהלים שבפגישה הראשונה שלי איתם הם מבקשים לדעת מה הדרך המהירה, הקלה ובלי השקעה רצינית שבה הם יכולים להגיע לתוצאה הרצויה. התוצאה הרצויה יכולה להיות למשל – הטמעת תהליכים יעילים ושיטתיים.

ספוילר – לא זאת השאלה.

השאלה שצריכה להישאל היא – מה הדרך השיטתית שהטמעתה תביא לתוצאות הרצויות לאורך זמן, תוצאות טובות שחוזרות על עצמן. מהי הדרך שנכונה לנו? אנו לא מחפשים תוצאות מהירות וחולפות. אנו מחפשים את הדרך הכי מדויקת לנו. לפעמים החיפוש לוקח זמן.

אם הייתה שיטה קצרה, שמתאימה לכולנו, בטח היינו יכולים לעשות "העתק הדבק" מארגון אחר שמצליח. מדוע זה לא עובד? כי ארגונים שונים זה מזה ומה שעובד לארגון אחד לא תמיד עובד לארגון אחר. שיטת "העתק הדבק" אכן יכולה לעבוד לטווח קצר, אך בדרך כלל התוצאות לא תהיינה בנות קיימא.

טוב, לא כדאי להתייאש. הדרך הנכונה אמנם לא הכי קלה, אך היא לא חייבת להיות מסובכת. אפשר לקצר את החיפוש באמצעות שימוש במומחים שכבר עשו את הדרך בעבר ו/או ראו מספר רב של ארגונים שהתמודדו עם אתגרים דומים. המומחים יכולים לקצר את החיפוש אחר הדרך המדויקת תוך שימוש בניסיונם. קיצור הדרך נעשה באמצעות הכנסת הידע לתוך תבניות ותהליכי עבודה סדורים שניתן להשתמש בהם שוב ושוב במקום להמציא את הגלגל כל פעם מחדש. שימוש בתבניות חוסך זמן לדברים שחוזרים על עצמם ומותיר זמן לחשיבה רעננה על בנושאים החדשים.

מאידך, נזכור לא להיכנס לאופוריה. מומחה יכול לקצר את הדרך בעיצוב השיטה, אך אנו צריכים להבין שאת ההטמעה המדויקת לנו אנו עושים בעצמינו. שום שיטה טובה ומדויקת ככל שתהיה – לא עובדת מעצמה.

מה השילוב המנצח?

שילוב מנצח הוא ארגון שמשתמש במומחים (פנימיים או חיצוניים) כדי לעצב את שיטת העבודה המתאימה לו ויחד עם זאת מוכן להשקיע ביישום השיטה באופן סדור ומתמיד. חלק מההשקעה יכולה להיות באמצעות שימוש בליווי של אותם מומחים לאורך זמן.
איך הדרך שלכם להגיע לתוצאות טובות / מהירות / מדויקות / ששורדות לאורך זמן?

אני מבחינתי השתדלתי להעביר את המסר בצורה קצרה, אך מעודדת לדיוק לאורך זמן.

אנו עכשיו בריצת אמוק לסגירת שנת 2021.
מרגישים באוויר תנופת עשייה כדי להספיק להשלים תכניות עוד בשנת 2021?
ניוזלטר זה חוזר לבסיס כדי להזכיר לעצמנו שהדרך חשובה לא פחות מהמטרה.
הדרך משמעה עבודה שיטתית כדי להשחיז כלים ושיטות ולא להסתפק במרוץ אחר השלמת היעדים.

בהצלחה!

איך להישאר על הרצף של עבודה טובה ומטיבה?

אחד האתגרים לעשות שינוי הוא להתמיד בתהליך העבודה החדש, אותו תהליך שהחלטנו שכך אנו רוצים לעבוד, לאחר שהתהליך שבו עבדנו עד כה לא היה מיטבי.
מניסיון העבר אנו יודעים ששינויים במקרים רבים נזנחים לאחר תקופת התלהבות התחלתית ואנו חוזרים להרגלים הישנים והמוכרים למרות שהם לא מיטביים.
איך נעבור לתקופה של עבודה רציפה לפי התהליכים החדשים שהטמענו כדי לעמוד ביעדים ובמשימות שלנו?
מוזמנים לקרוא את המאמר איך להישאר על הרצף של עבודה טובה ומטיבה

מה יקרה אם לא נעבור ברצף של עבודה טובה ושיטתית?

מוזמנים לקרוא במאמר השני שקישורו להלן – הגהנום שמחכה למי שלא מגדיר את תהליכי העבודה שלו ו/או לא מנהל את הנכסים הארגוניים שלו
מה עדיף? עשייה או גהינום? מחכה לתשובה מפורטת?   🙂
מוזמנים להצטרף למאות הלקוחות שלנו שמשפרים ומעדכנים את תהליכי העבודה שלהם בתחומים מגוונים: תקינה, אבטחת מידע וסייבר, אבטחת הפרטיות, איכות, חדשנות ומצויינות ועוד.
פנו אלינו. מחכים לכם.
כל הפרטים בדף הבית שלנו.
שלכם,
אורנה קמין

Photo by Anna Tarazevich from Pexels

לפני מספר שנים כאשר עדיין הייתי שכירה, קיבלתי במהלך יום  עבודה דוא"ל ממנכ"ל החברה עם הודעה על שינוי ארגוני בחברה עם קישור למבנה הארגוני החדש. המחשבה אם לפתוח את הדוא"ל וללחוץ על הקישור או לא לפתוח אפילו לא חלפה במוחי. מייד פתחתי, ונחשו מה קרה? המייל הכיל קישור זדוני שנעל את הגישה לקבצי החברה. מיילים דומים נשלחו לכלל עובדי החברה, וגם הם נפתחו באופן מיידי.
מחלקת ה-IT של החברה נכנסה לפעולה באופן מיידי. הרשת נוקתה ושוחזרה. עדיין היה נזק של כמה עשרות דקות כיוון שהארגון היה מאורגן היטב.
חברות שלא מוכנות לסוג כזה של מתקפה עלולות לסבול מנזקים קשים, דרישות כופר ושלל מַרְעִין בִּישִׁין. האתגר הולך וגדל כאשר התקשורת עוברת להיות דיגיטלית יותר ויותר.

מה זה התקפות דיוג (Phishing) וכיצד אפשר להתגונן מפניה?

פישינג (דיוג) – הוא ניסיון לגנוב מידע רגיש של החברה על ידי התחזות ברשת. התקפת פישינג היא סוג של פיגוע בחברה, כאשר התוקף שולח הודעה בדוא"ל, מסרון ואפילו שיחת טלפון שמטרתה לייצר לחץ למסירת פרטים תוך התחזות לגורם לגיטימי. התקפת פישינג מאד נפוצה ויחסית קלה לביצוע על ידי התוקפים.

מהי הנקודה החלשה שתוקף דיוג (Phishing) מנצל?

העובדים הינם החולייה החלשה ביותר לארגון בהתקפות פישינג, לפחות עד הרגע בו הם מוכנים לזהות ולדווח על התקפות אלו. התקפות פישינג וקמפיינים של הנדסה חברתית הינן ההתקפות הנפוצות ביותר כיום. מנהלי אבטחת מידע חוששים מהם יותר מכל התקפה אחרת. מידי חודש מופצים כ-100,000 קמפיינים ייחודיים של תקיפה.
מתקפת פישינג (דיוג) היא צורת התקפה בקטגוריית הנדסה חברתית, שבה גורם זדוני מתחזה לגוף אמין תוך שהוא מבקש פרטי מידע רגישים מהקורבן.
ההתקפה בדרך כלל מתבצעת באמצעות דוא"ל, מודעות או אתרים שנראים כמו אתרים שבהם העובדים כבר משתמשים. לדוגמה, הודעות דוא"ל שנראית כאילו היא נשלחה מהבנק, ובה המשתמש מתבקשים לאשר את מספר חשבון הבנק.
לא ניתן למנוע התקפות פישינג במאה אחוז בהיבט הטכנולוגי בלבד. הכרחי לאמן את העובדים בזיהוי התקפה כזו ודיווח מיידי לגורם הרלוונטי בחברה.

כיצד חברה יכולה להתכונן מראש להתקפות פישינג ולהפחית את נזקיה?

חברה יכולה להפחית את נזקי התקפות פישינג באמצעות סגירת פרצות טכנולוגיות והדרכת עובדים.

הדרכת עובדים

אימון למודעות התקפות פישינג מתחיל בחינוך / תרגול העובדים על מהות ההתקפה ומדוע היא מזיקה לארגון והעצמתם לזהות ולדווח על ניסיונות פישינג. בהתאם לתרבות הארגון, ניתן להעביר הכשרה ראשונית זו באמצעות מסמך כתוב, סרטון וידאו, פגישות מחלקה, הדרכה כיתתית או של שילוב האפשרויות לעיל.

קמפיין פרסום של התקפות פישינג

סימולציות התקפות דיוג תורמים להכשרת העובדים ועוזרים לארגון להבין רמת המוכנות להתקפות אלו. כאשר עובדים לוחצים על קישור או קובץ מצורף בדוא"ל סימולציה, חשוב להעביר מסר שהם עלולים לסכן את עצמם ואת הארגון. לאחר מכן ניתן להציג "דף הדרכה" ומזכיר לעובדים כיצד לדווח על מיילים חשודים.
מעקב אחר תוצאות הסימולציה ושיפור מתמיד
שימוש בתוצאות, כגון סוגי ההתקפות שהצליחו ביותר וזיהוי הצוותים שהיו הכי פגיעים, מסייעות למקד את ניטור האבטחה, לחזק את האימון למודעות פישינג ולהוסיף בקרות נוספות להגנה על פישינג. ניתן גם להשתמש בתוצאות כדי לעקוב אחר ההתקדמות של תוכנית המודעות הארגונית להתקפות פישינג.

לסיכום,
האם גם אתם נחשפתם למתקפת פישינג? אם כן – ספרו איך ונלמד כולנו.
מעוניינים להתכונן למתקפת פישינג? דברו איתנו

רשות החדשנות בשיתוף עם משרד האוצר והמינהל למחקר ופיתוח אמצעי לחימה ותשתית אלקטרונית (מפא"ת) במשרד הביטחון, מציעים לחברות ייצור ומפעלים מענקים כספיים בהיקף של עד 70% מהוצאות התכנית, לטובת פיתוח טכנולוגיות צבאיות-ביטחוניות בעלות פוטנציאל מסחור בשוק האזרחי.

מהרו להגיש! המקצה פתוח עד ה 31/01/2023

מה גובה המענק שאתם מקבלים?

מענק כספי למימון פעילות המחקר והפיתוח, בשיעור של עד 70% מההוצאות שלכם. המענקים שיינתנו יהיו פטורים מחובת החזר תמלוגים.

למי המסלול יכול להתאים?

המסלול מתאים עבור חברות אשר:

1. משתייכות לתעשיית ייצור ופועלות בענפים הביטחוניים: כלי טיס, כלי תחבורה, מערכות אלקטרוניות, מערכות אופטיות, מערכות לייזר ועוד
2. מפתחות טכנולוגיות רלוונטיות גם לצרכים צבאיים וגם עבור שווקים מסחריים. כלומר המוצר ייתן מצד אחד מענה לפער מבצעי-ביטחוני ומצד שני יהיה בעל פוטנציאל ממשי למסחור בשוק האזרחי (לרבות ביטחון פנים).

ניתן להגיש בקשות גם כשיתוף פעולה בין שתי חברות מתעשיית הייצור, או כשיתוף פעולה בין יזמות/ים לבין חברת תעשיית ייצור.

תחומים מועדפים

• פיתוח מוצרים חדשניים, ובהם פיתוח מערכות אופטיות מתקדמות, פיתוח רחפנים, כלי טייס וחלל המיועדים לשוק הבטחוני והאזרחי, פיתוח רכיבים ותתי-מערכות המיועדים לשוק הצבאי והאזרחי ועוד
• פיתוח תהליכים או מוצרים מבוססי לייזר בתעשיית הייצור, לדוגמה: פיתוח לייזר לשימושים רפואיים או בטחון אזרחי, פיתוח תהליכי ייצור מתקדמים במפעלים בשימוש בלייזר ועוד.
• שימוש בחומרים חדשניים או תהליכים חדשניים לשיפור תכונות מוצר קיים, ובהם פיתוח תהליכי ייצור חדשניים בהדפסה דיגיטלית, שימוש בחומרים מרוכבים בעלי תכונות משופרות, יישום טכנולוגיה בשימוש בטחוני לטובת מוצר אזרחי ועוד
• פיתוח יכולות טכנולוגיות חדשות למפעל הייצור, ובהן: פיתוח טכנולוגי של אוטומציה בקו הייצור, או פיתוח פתרונות טכנולוגיים לשדרוג ושיפור פריון מכונות
• ועוד

כולנו רוצים להיות משופרים, אך להניע את השיפור דורש מאמץ.
פעמים רבות, ארגונים מתחילים תהליכי שיפור כתוצאה מדרישת לקוחות שרוצים להבטיח את יכולות הספקים שלהם. בתחום מערכות מידע שיפור יכול להגיע מעמידה בתקנים ורגולציה.

אנו נשאלים –
התבקשנו לעמוד בדרישות SOC2– מה עלינו לעשות?
אם יש לנו כבר תקן 27001 ISO? – האם נחסך מאיתנו המאמץ?

המאמר שלהלן מסביר מהו SOC2 לעומת 27001 ISO. נדרש הסבר נוסף? מוזמנים לפנות אלינו ונרחיב.

תרומת המבדקים לחוסן מערכת המידע של הארגון

כוונת מבדקי 27001 ISO ו-SOC2 היא דומה: לעזור לארגונים להגן על המידע והנתונים בתחום אחריותם.
שני סוגי המבדקים, 27001 ISO וגם SOC2 מסייעים לארגון לתת ללקוחות שלהם ביטחון שהמידע והנתונים הרגישים שלהם מוגנים בהתאם לתשומת הלב הנדרשת. מבדקים אלה מושכים לקוחות חדשים שדורשים אותם כדרישות סף, שומרים על הלקוחות הקיימים ומונעים מהארגון לקבל קנסות כתוצאה מאי ציות להוראות.

הסוגייה שמאמר זה דן בה הינה מה השוני בין שני סוגי מבדקים אלה ומה הקריטריונים לפיהם ארגון מחליט באיזה מבדק לבחור?

מהו מבדק SOC2?

מבדק SOC2 מעריך את הבקרות הפנימיות, המדיניות והתהליכים. מדובר בבקרות שקשורות ישירות לאבטחה מידע, זמינות, עיבוד, שלמות, סודיות ופרטיות של המידע המנוהל (נתונים) בארגון.

הפסקה לפרסומת חינמית 

חמשת הקטגוריות של SOC2 שמוכיחות את הביטחון ביכולת הארגון לשמור את בטיחות ותקינות המידע

מבדק SOC2 מגדיר חמש קטגוריות שמעידות על יכולת הארגון לשמור את בטיחות ותקינות המידע:

• אבטחה (Security)  – האם מערכת המידע מוגנת בפני חשיפת מידע לגורם בלתי מורשה?
• זמינות (Availability)  – האם מערכת המידע והנתונים זמינים להפעלה ולשימוש לפי הצורך שהוגדר להם.
• שלמות העיבוד (Processing Integrity) – האם עיבוד הנתונים במערכת המידע הינו שלם, תקף ומדויק בעת השימוש בו.
• סודיות (Confidenti­ality) – האם המידע המוגדר כסודי מוגן כפי כמצופה ממנו ?
• פרטיות (Privacy)  – האם מידע אישי שנאסף, משמש, נחשף, נשמר ומושמד בהתאם למדיניות שמירת הפרטיות המצופה מהארגון?

תוצאת מבדק SOC2 הוא דו"ח המאמת את מחויבות הארגון לספק שירותים מאובטחים ואיכותיים ללקוחות.
תאימות זו יכולה להיות יתרון תחרותי משמעותי יחסית למתחרים.

מהו מבדק 27001 ISO ?

תקן ISO 27001 הוא תקן בינלאומי המקובל בעולם לניהול מערכת ניהול אבטחת המידע בארגון. התקן מוודא שבארגון קיימים ומוטמעים מסמכים מדיניות ותהליכים (כגון ניהול סיכונים) לשמירה על סודיות, שלמות וזמינות המידע.
התקן בנוי במבנה הסטנדרטי של תקני ISO. אישור שהארגון אכן עומד בדרישות התקן ניתן על ידי גוף אקרדיטציה מוסמך. תעודת הסמכה 27001 ISO יכולה לתת יתרון תחרותי כיוון שהדבר מעיד על קיום תהליך מוטמע לניהול מערכת אבטחת מידע.

מה ההבדל בין מבדק 27001 ISO למבדק SOC2?

תחום ההתעדה

תהליך הסמכה לתקן 27001 ISO נעשה ברמת ארגון. מעיד על כך שלארגון יש נהלי איכות ואבטחת מידע לניהול מערכת אבטחת המידע שלו.

תהליך הסמכה לתקן SOC2 נעשה ברמת מוצר. מעיד על כך שהמוצר עומד בדרישות אבטחת המידע שהארגון קבע לעצמו. הלקוח הפוטנציאלי מעוניין לדעת שהמוצר שהוא רוכש עומד בדרישות אבטחת המידע בלי קשר לרמת אבטחת המידע והתקנים שיש לארגון. בהחלט ייתכן שארגון יחזור על התהליך פעם נוספת כאשר יש לו מוצרים מגוונים.

הבדל נוסף הוא במיקוד. בעוד שאפשר לקבל תקן 27001 ISO גם אם נהלי אבטחת המידע ממומשים חלקית, אך הארגון מתחייב להטמיעם במהלך השנה, תקן SOC2 מבקש לראות הטמעה לפחות חצי שנה אחורה. כלומר: נדרש להראות עדויות על יישום הפרקטיקות הנדרשות.

סוג ההסמכה

מבדק 27001 ISO בודק את מערכת ניהול אבטחת מידע בהיבטי שמירה על סודיות, שלמות וזמינות. בסיומו ניתנת לארגון תעודת הסמכה בינלאומית המוכרת בכל העולם. התעודה ניתנת על ידי סוקר מטעם ארגון מסמיך מוכר לאחר שביצוע בארגון מבדק בלתי תלוי.
מבדק SOC2 מסתיים בדו"ח אשר מסכם את הבקרות הפנימיות שנבדקו, מסמכי מדיניות ונהלים המתייחסים לחמש הקטגוריות שפורטו לעיל אך דו"ח זה אינו הסמכה ואין לו הכרה בינלאומית.

בעוד שמבדק ISO 27001 מתרכז בעיקר בבדיקת מערך מבנה המערכת לניהול איכות אבטחת המידע בחברה (IMQS) וכי כלל הנהלים והתהליכים הנדרשים קיימים, מבדק SOC2 יורד לעומק המערכת הנבדקת, החל מבדיקת תהליכי הפיתוח SDLC ועד לבדיקת סוגי ההתראות הקיימות במערכת.

מיקום גיאוגרפי של הלקוחות

לקוחות שמיקומם בארה"ב דורשים ציות ל-SOC2. בדרך כלל, ארגונים להם לקוחות בארץ ובחו"ל יעדיפו 27001 ISO בשל ההכרה הבינלאומית של התקן.
ולמרות זאת, חברה אשר חשוב לה להוכיח את אמינות הנתונים במערכת המידע ללא כל צל של ספק, תיגש לשני המבדקים.

שורה תחתונה – מה הלקוח רוצה?

למרות כל הנכתב לעיל, ארגונים בדרך כלל מחליטים איזה מבדק לעבור בהתאם לסוגי הלקוחות שלהם, מיקומם הגיאוגרפי,  עלויות וההזדמנות העסקית בעקבות המהלך.