OK יועצים לניהול

רשות החדשנות בשיתוף עם משרד החקלאות ופיתוח הכפר, מציעים מענקים כספיים למימון פרויקטי פיתוח של טכנולוגיות חקלאיות (אגרוטק) אשר נמצאים לקראת פיילוט – יישום באתר הרצה אצל חקלאי ישראלי

רשות החדשנות מציעה מענקים כספיים למימון פרויקטים בתחום החקלאות: טכנולוגיות לפיתוח מוצרים מבוססי צמחים ובעלי חיים המשמשים למזון או לחומרי גלם תעשייתיים, וכן מוצרים לשיפור ולייעול תהליך הגידול של צמחים ובעלי חיים, לרבות שיטות ותשומות.

התכנית תסייע לכם להתקדם משמעותית בבחינת ההיתכנות ויישום המוצר שלכם בקרב לקוחות רלוונטיים ולקידום מסחורו לחו"ל באמצעות הרצתו באתר החקלאי, ולקבל בעבור כך מענק מרשות החדשנות למימון הפיילוט, בשיעור של עד 70% מהוצאות המו"פ בתכנית.

כתבו עלינו בעיתון דברים טובים

מסוקרנים? לחצו כאן – קישור
Photo by Mark Stebnicki from Pexels

מי היה בשירות צבאי וזוכר את מסדרי המפקד? לקראת הביקור היינו מצחצחים את הבסיס, משננים את מה שהיינו אמורים לדעת פן נישאל שאלה כלשהי. כמו כן, תכניות לשיפור שהעלו אבק במשך זמן רב הוכנסו לפעולה.  ביום ביקור המפקד – הכל עמד על מקומו מצוחצח. נכון שחלק מהצחצוח נעשה עקב הביקור, אך תוצאות הצחצוח, השינויים והשיפורים נותרו גם לאחריו.

בעולם ניהול האיכות למסדר המפקד קוראים סקר הנהלה. סקר הנהלה הוא דרישה בסיסית בכל תקני ה-ISO לדורותיהם. החל מ-ISO9001 הבסיסי ביותר, דרך תקינות מורכבות יותר של אבטחת מידע, תקנים רפואיים ועוד.
לקראת הסקר קובעים יעדים שנתיים, מזהים סיכונים, נזכרים בפעולות מתקנות שכדאי לעשות… ואז ככתוב בגמרה – מִּתּוֹךְ שֶׁלּא לִשְׁמָה בָּא לִשְׁמָה. כלומר – סקר ההנהלה גורם לכך שיש לארגון יעדים שנתיים לכל השנה, סיכונים מזוהים ונעשית תכנית התמודדות עימם – הכל מוכן ברמה שנתית ולא רק לפגישה הספציפית.

סוכני שינוי בארגונים מוזמנים להשתמש בכלי שנקרא סקר הנהלה. בהנחה שההנהלה תומכת בשינוי, מגדירים סקר הנהלה תקופתי (אחת לחודש / רבעון..) ובו סוקרים את הנושאים החשובים ביותר לניהול הארגון. כדי לא לגזול זמן רב מידי – ניתן להחליט על מבנה קבוע של מצגת הכוללת 3-4 שקפים לכל היותר. מצגת זאת הינה תמצית הניהול: לו"ז, עמידה במדדים או כל דבר אחר שחשוב לארגון.

ישנם סוגים רבים של סקרי הנהלה: סקר הנהלה לאיכות, סקר מצב ניהול הפרויקטים בארגון, ועוד רבים אחרים. כל סוגי סקרי ההנהלה מפורטים בקישור שלהלן: סקר הנהלה או מסדר המפקד?

סקר הנהלה – למה זה טוב?

סקר הנהלה מאפשר להנהלת הארגון לקבל החלטות עסקיות נכונות ולשפר את הביצועים העסקיים של הארגון, בהתאם לנתונים המובאים בפניהם.

סקר הנהלה הוא אחד הערוצים עבור ההנהלה לקבוע את הטון, להיות מעורבת באופן אישי במתרחש, ולהעביר מסר של איכות ומצוינות. ההנהלה קובעת תאריכים ואבני דרך, את תכולת הסקר ואת המשתתפים בסקר, ומתעדכנת באופן שוטף ובלתי אמצעי באמצעות מפגשים עם מנהלים העוסקים בנושא הנסקר. כך גם מתאפשר לה להגיב בזמן אמת אם נדרשת התערבות.

סקר הנהלה הוא סקר המתבצע תקופתית, או באבני דרך שנקבעו מראש, ומטרתו להבטיח התנהלות תקינה ושיטתית.

חשיבות סקרי ההנהלה היא רבה. להלן מספר יתרונות:

1. הנהלה תומכת
   הסקר מאפשר להנהלה לתמוך בעובדים ולסייע להסיר את כל העיכובים המונעים מהם להגיע לתוצאות הרצויות. תמיכה זו מאפשרת לרתום את העובדים לפרויקט כיוון שהדרגים הבכירים ביותר המשתתפים בסקר משדרים את אותו המסר ומסכימים על ההתחייבויות.
2. מנגנון אסקלציה ותעדוף
   במהלך סקר הנהלה עולים נושאים הדורשים טיפול מיידי. כיוון שהנהלת הארגון הבכירה משתתפת בסקר, ניתן להבין במיידית את ההשפעה של הנושא, ולהחליט על תוכנית הפעולה לטיפול בנושא, כגון: שינוי עדיפויות, הוספת משאבים או פעולה אחרת.
3. ניהול שיטתי
   לסקרי הנהלה יש סדר יום קבוע מראש ובדרך כלל תבנית קבועה לישיבה. תבנית הישיבה היא בעצם תמצית הניהול כפי שרואה אותה ההנהלה הבכירה. זאת אחת ההזדמנויות לשדר מה חשוב לה לדעת. בהתאם, כל הארגון מתיישר לפי הערכים והנושאים של סקר ההנהלה.
4. מסדר המפקד
   חשוב להקפיד על הכנה טובה לישיבות אלה. זמן ההנהלה ושאר המשתתפים חשוב ויקר. ככל שהחומר יהיה מוכן מראש ובצורה טובה כך יושקע הזמן בטיפול בנושאים החשובים ולא בהבנת הנקרא, או בבירורים לגבי המצב הקיים. חשיבות סקר ההנהלה היא בהכנה לקראת הסקר.  הארגון מתעדכן לקראת סקר ההנהלה:  סטאטוס, לוחות הזמנים, תקציבים, פותרים בעיות איכות וכדומה.
5. שיפור שיתוף הפעולה בין כל הנוגעים בדבר וגם "קנאת סופרים תרבה חכמה"
   בסקר הנהלה משתתפים מנהלים ובעלי עניין שונים. כל אחד מציג בתורו. זוהי הזדמנות מצוינת לעמיתים להשתתף באופן פעיל, להתעדכן ולהגיב. בנוסף, לא נעים להגיד, אך המציאות מראה שקנאת סופרים תרבה חוכמה. המשתתפים בדיון מדווחים על ההתקדמות בתחום אחריותם, וכל אחד רוצה להיראות הכי טוב שאפשר מבחינת התוצאות שבתחום אחריותו.
6.  דרישת חובה בתקנים ממשפחת ה-ISO.
   את הסיבה השישית אני לא סופרת; מטרת המאמר שלי היא להראות את היתרונות שבדבר כדי שלא תעשו את הסקר כדי לצאת ידי חובה.

סוף דבר – ניהול מסייע ומאפשר באמצעות סקרי הנהלה

סקר הנהלה כזה מאוד חשוב להנהלה אבל לא פחות מזה לעובדים ולמנהלים בדרגים השונים. הסקר מאפשר לעובדים ולמנהלים להיחשף בצורה בלתי אמצעית, וגם להפעיל מנגנוני אסקלציה מול ההנהלה. באמצעות הסקר, מבוצע סנכרון של כל הפונקציות בארגון לאותה המטרה.
ההכנה לסקר ההנהלה היא חשובה ביותר, כדי שהישיבות יהיו יעילות. מומלץ ביותר גם להפיץ את החומרים מראש למשתתפים וקבל משוב. כאמור, סקרי הנהלה אינם ישיבות סטאטוס רגילות, אלא ישיבות הנעשות בצמתים במהלך חיי פרויקט או ארגון. ההפצה המוקדמת גם מאפשרת לכל בעלי העניין להתכונן היטב, ולהגיד את דברם.

חשוב ביותר, שיהיה מעקב ביצוע אחר ההחלטות מהסקר הקודם, כדי לשמור על רצף; אם ההחלטות והסיכומים לא מבוצעים, חבל על הזמן שמושקע בתהליך. בלי מעשים, אין ערך לדיבורים.

מומלץ ביותר לשמור שסקרי ההנהלה יתבצעו בפתיחות, כדי שעובדים ומנהלים יציגו תמונת מצב אמיתית, ויזכו לסיוע הנדרש. במידה וההנהלה משתמשת במידע המוצג לפניה כדי לנזוף ולבקר בעובדים שלא סיפקו את הסחורה – עלול להיווצר מצב בו יוצגו נתונים בצורה סלקטיבית, או שעלולה להתפתח תרבות של האשמות וזריקת אחריות מאחד לשני – ובזאת ייצא שכרנו בהפסדנו.

איך מתנהלים בארגונכם סקרי הנהלה? אשמח לתגובות, באחת הרשתות החברתיות שקישורן להלן.

Photo by Kampus Production from Pexels

להלן מגוון שירותים שלנו בתחום אבטחת מידע ואבטחת הפרטיות. הרשימה מתעדכנת באופן שוטף בהתאם לצרכים הדינמיים של התחום. בדקו עימנו אם יש לכם צורך שעדיין לא מופיע ברשימה שלהלן

אבטחת מידע וסייבר

השבוע הייתי בכנס מקצועי ובדרך לשירותים ראיתי את השלט הבא:

מה מוזר בשלט הזה?

נכון, אין כבר טלפונים ציבוריים. עמדתי וצילמתי את השלט. שני עמיתים שלי שעמדו ליד השלט אמרו: וואלה, אנו עומדים כאן כבר חצי שעה ולא שמנו לב לשלט.
הגדלתי לעשות והלכתי בעקבות השלט. באופן בלתי מפתיע טלפונים ציבוריים לא היו ליד השירותים.
כמה זמן השלט הבלתי רלוונטי עומד בבית המלון שמשמש גם כמרכז כנסים?
האם יש עוד מישהו ביננו שיש לו צורך בטלפון ציבורי?
כלומר: שנים על גבי שנים, מנהלי ועובדי המלון עוברים ליד השלט הלא רלוונטי, וגם המטעה (כי מי שהולך בעקבות השלט לא ימצא טלפונים ציבוריים) ולא רואים שהגיע הזמן לרענן את השלט?

מה קורה פה? מהי מערכת RAS?

עצירה קטנה לצורך הסבר על מערכת מאד מעניינת בגוף האדם, מערכת Reticular Activating System או בקיצור RAS. המערכת נמצאת בגזע המח ומשפיעה על כל ההתנהלות שלנו, כולל העסקית והארגונית.
מערכת RAS אחראית להעביר אותנו ממצב ערות למצב שינה ולהיפך. המערכת מעבדת נתונים בקצב גבוה ביותר, בערך פי ארבע משאר חלקי המוח. בזכותה רובנו לא משתגעים מעודף המידע והמסרים שאנו מופצצים מידי רגע: דואר אלקטרוני, פוסטים ברשתות החברתיות, שלטים בכביש, רדיו, טלוויזיה, קשרים עם אנשים אחרים ועוד ועוד. מערכת ה-RAS מפעילה פילטר ומסננת את המידע שמגיע אלינו. בעניין המעבר מעירות לשינה: אנו יכולים להירדם בסביבה רועשת ומערכת ה-RAS תעיר אותנו מיד אם אנו שומעים בכי של תינוק, במיוחד אם הוא שלנו. או: אנו שמים לב כשמישהו קורא בשמנו גם כאשר אנו בתוך המולה של אנשים שכולם מדברים בקול רם כדי להתגבר על מוזיקה רעשנית.

כלומר: מערכת RAS היא פילטר שמסנן עבורנו את המידע הרלוונטי מתוך ים המידע והרעש מסביב. בזכות מערכת ה-RAS אנו יכולים לראות ולשמוע את המראות והצלילים אבל הרוב לא מעובד ומופנם.

מערכת ה-RAS עובדת שעות נוספות גם במפגשים בין אישיים, במיוחד אם מנסים למכור לנו משהו. אנו יכולים להשתתף בשיחה, נניח שאנו מנסים למכור רעיון למנהל בכיר במסדרון. השיחה מתנהלת ומיד נמחקת כאילו לא קרתה.
לכן כל מי שרוצה למכור לנו דבר מה עושה משהו יוצא דופן כדי לתפוס את תשומת הלב שלנו. אחרת המידע עובר לידנו.

מה הקשר בין RAS לסוכני השינוי שביננו שרוצים לקדם יוזמות בארגונים?

סוכן שינוי שרוצה למכור רעיון למנהל בכיר – יש לו חלון הזדמנויות קצר ביותר של 15 עד 30 שניות להעביר את המסר. מה לעשות כדי שהרעיון שלנו ייקלט? עלינו לגרום לאדם שמקשיב לשאול אותנו שאלה. אם נמען המסר שאל אותנו שאלה, הדבר מעיד על כך שעברנו את הפילטר שהפעילה מערכת ה-RAS. אם לא – לא להיעלב מכך שהמנהל לא חזר אלינו בקשר ליוזמה שלנו. הוא פשוט בן אדם ששומר על השפיות שלו.

איך להתגבר על מערכת ה-RAS כדי לעשות שינויים בארגונים?

הכי חשוב – להפסיק להיעלב ולרטון שהרעיונות המעולים שלנו לא זוכים לתשומת לב. יד על הלב – גם לנו יש מערכת RAS משלנו שמסננת עבורנו את עודף המידע שאנו מופצצים בו, במיוחד כשמנסים למכור לנו משהו.
ועוד יותר חשוב – כאשר אתם מעוניינים להעביר מסר, לעשות שינוי, תתמקדו ב-למה ולא בפתרון. למה אנו מציעים לשנות? מה קורה היום? אלה תועלות יקרו מהשינוי, ורק אחרי שקיבלנו תשומת לב ונישאל כיצד נשיג את התועלות המובטחות, רק אז תסבירו את התכנית שלכם.
הטעות הגדולה שחלק גדול מסוכני השינוי עושים – הם ישר ניגשים לתכנית הפעולה: שינוי שיטת העבודה, הכנסת כלי חדש.. בלי להדגיש מספיק את הצורך. המנהל הבכיר ששומע את התכנית מיד רואה את המשאבים שנדרשים להשקעה.. ומערכת ה-RAS מנתקת את הקשב שלו.
לא סתם הומצא המושג "נאום המעלית". תפסו את הקשב של מי שאתם רוצים למכור לו רעיון, ורק אחרי שנשאלתם שאלה עברו לשלב הבא.

ספרו לי על מקרים בהם חשבתם שהתעלמו מהמסר שלכם? איזה שינוי הייתם עושים? גם הבנה בדיעבד תעזור לכם לפעם הבאה..

בהצלחה!

תודה למאמן העסקי המיתולוגי שלי, מוטי סחראי, ממנו שמעתי על ה-RAS לפני למעלה מחמש שנים, והמסר שלו נקלט למרות פילטר ההגנה שהופעל  😊

מדוע לבצע סקר סיכוני אבטחת מידע ומבדק חדירה?

חדשות לבקרים קורים מקרים בהם האקרים פורצים למערכות המחשוב של ארגונים וגורמים לנזקים קשים ברמה תפעולית, כספית ותדמיתית. חלק קטן מהמקרים מתפרסם בתקשורת. גילוי נאות, אי אפשר לחסום הרמטית ולהבטיח הגנה מושלמת. אולם, במקרים רבים קיימות פרצות משוועות, שבהחלט ניתן לסגור אותן ולהפחית את הסיכון של אובדן שליטה על מערכת המידע.

החשיפות והנזקים קורים לכל סוגי הארגונים. לא צריך להיות ארגון גדול או ביטחוני או ממשלתי כדי ליפול קורבן למתקפת סייבר. כל ארגון המתבסס על מערכות המידע שלו כדי לפעול חשוף להתקפות מזיקות וכואבות. ארגונים העוסקים בפיתוח חשופים לפרצות עקב עבודה מוגברת של עובדים ומנהלים העובדים מרחוק. ארגונים הנותנים שירות חשופים לפרצות ונזקים פוטנציאליים למאגרי המידע שמשמשים אותם לצורך מתן שירות, ספקים של ארגונים יכולים להוות נקודת התורפה שדרכה תיעשה הפריצה. עובדים בארגונים יכולים בעצמם להביא על הארגון שלהם צרות גדולות, עקב חוסר מודעות לפעולות שהם עושים.

עד כה, ניסיתי לשכנע אתכם בטוב למה באמת כדאי, אך ברוב במקרים הדבר הינו ממש דרישה.

ארגונים המבצעים הסמכה לתקן אבטחת מידע 27001 ISO  נדרשים לבצע מבדק חדירה תשתיתי כמענה לדרישה בתקן לביצוע vulnerability test (סקר פגיעויות בתשתיות החברה וכחלק מתהליכי הפיתוח).

ארגונים בעלי מאגרי מידע בסיווג גבוה נדרשים לבצע מבדק חדירה לפחות פעם ב- 18 חודש כמענה לדרישה של תקנות הגנה על הפרטיות.

מהו סקר סיכוני אבטחת מידע?

סקר סיכוני אבטחת מידע הינו מבדק טכנולוגי הבודק את נכסי המידע והתהליכים הקריטיים של הארגון על מנת לקבלת תמונת מצב של רמת ההגנה של הארגון על נכסיו הדיגיטאליים. הסקר מזהה סיכונים, מעריך את הסיכונים מבחינת פוטנציאל הנזק, קובע סדרי עדיפויות לסגירת הפערים.
הסקר נדרש לארגונים שעוברים הסמכה לתקני אבטחת מידע, ממשפחת תקני 27001 ISO. ישנם גם מקרים שלקוחות דורשים מהספקים שלהם לבצע סקר סיכונים כדי לוודא שלא ייגרם נזק דווקא דרך הכניסה האחורית של הארגון המיועדת לספקים.
הסקר מאפשר לארגון להכין תכנית עבודה כדי לסגור את הפערים שהתגלו. מנהלי מערכות מידע משתמשים בדו"ח של הסקר כדי להכין תכנית עבודה שנתית לסגירת הפערים ולבקש תקציב מההנהלה לשם כך.

מטרת סקר הסיכונים משתנה בין כל ארגון וארגון. המטרות הנפוצות ביותר של סקרי סיכונים הינם: קבלת תמונת מצב, עזרה בקביעת סדרי עדיפויות בנושאי אבטחת מידע, קבלת תקצוב, עמידה בדרישות רגולטיביות ועוד.

הפסקה לפרסומת חינמית 

מה כולל סקר סיכוני אבטחת מידע?

הסקר כולל מיפוי של מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בחברה. הסקר כולל קטגוריות של סיכונים:
⦁ סיכונים תפעוליים.
⦁ סיכונים כספיים.
⦁ סיכוני רגולציה
⦁ סיכונים אסטרטגיים
⦁ סיכוני מוניטין

בכל קטגוריה מזהים את הסיכונים, מעריכים את יעילות הבקרות הקיימות כדי להתמודד עם הסיכונים. כמו בכל ניהול סיכונים מעריכים את מידת סיכוי התממשות הסיכון, ואת רמת הפגיעות של הארגון במידה והסיכון אכן יתממש.
תוצאת התהליך: "מפת חום" המראה בצורה ברורה את הסיכונים ו/או חולשות בתהליכי הבקרה שאמורים לטפל בסיכונים.

ביצוע מבדק חדירה לארגון הבודק את התשתית הפנימית והחיצונית של הארגון

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמחשוב של הארגון במטרה לאתר פריצות וסיכונים.
פירוט בנושא מבדק חדירה יפורט במאמר נוסף שייכתב בקרוב בלי נדר.

תוצר סקר סיכוני אבטחת מידע ומבדק חדירה

הסקר כולל דו"ח המפרט את החשיפות שזוהו. כל חשיפה מוסברת ומתוארת במלל וצילומי מסך, כולל רמת סיכון, סבירות שתנוצל על ידי גורם זדוני והמלצות לתיקון.

הסקר כולל דירוג של הסיכונים שזוהו מבחינת סבירות התממשות הסיכון (סבירות נמוכה / בינונית / גבוהה) ורמת ההשפעה על הארגון במידה והסיכון יתממש (השפעה נמוכה / בינונית / גבוהה). ההשפעה מוערכת במונחי ממון, מוניטין, הפרעה לתפעול ועוד.

ניתן לארגון דו"ח מסכם. בדו"ח כולל את תיאור העבודה שנעשתה, פגישות עם גורמי מפתח בארגון, פירוט הליקויים שהתגלו, הצעות לטיפול בממצאים שזוהו.

מה לדרוש מיועץ-מומחה המבצע סקר סיכונים?

ניסיוני הקט מראה לי שלא תמיד מנהלי מערכות מידע בארגונים יודעים מה לבקש מהיועץ-מומחה שמבצע סקר סיכונים. מדוע?
מי שמבצע סקר סיכונים חושב הפוך – מה יכול להשתבש? בעוד שרובנו לא חושבים הפוך אלא עסוקים בבנייה ותכניות לעתיד.

לפני ההתקשרות, המלצתי לארגון לבקש מהיועץ מסמך המפרט את שיטת העבודה שלו, ותכולה מדויקת של הסקר. אל תקנו חתול בשק!

מה קורה בארגון שלכם?

אתם לפני או אחרי ביצוע סקר סיכונים טכנולוגי ו/או מבדק חדירה?
מפחדת לשאול – לפני או אחרי אירוע אבטחת מידע ..

שימרו על עצמכם!

Photo by cottonbro from Pexels

הגדרת תהליך היא ארגון כל הידע הארגוני בצורה הגיונית, תבניתית, נוחה לשימוש, ברת חזרה ונוחה להטמעה. למרות שרובנו חכמים ויצירתיים חלק ניכר מהפעולות שלנו חוזרות על עצמן. כאשר אנו רוצים לעשות פעילות חדשה כביכול אנו מחפשים בזיכרוננו מתי עשינו משהו דומה, לאחר מיכן מחפשים בתיקיות, שואלים אנשים ואז לוקחים את הבסיס הקודם, משנים ויוצרים משהו מתאים לצורך הרגעי, וחוזר חלילה.
דמיינו שכל התהליך שלכם מוגדר היטב, סדר הפעילויות ברור, וכל נכסי התהליך שמסייעים לכם – נגישים לכם. כף, נכון? לא רק שנחסך לכם זמן אלא שאיכות העבודה משתפרת: פעם אחת בשל שימוש בתבניות שכוללות את כל הידע הנדרש לעבודה איכותית ופעם שנייה בשל חיסכון זמן שהולך לבלי שוב על חיפושים והמצאת הגלגל מחדש.
מאמר זה מתמקד בניהול ניהול נכסי התהליך הארגוני; הכוונה לבניית כל התשתיות הארגוניות הנדרשות להגדרה ותיאור של התהליכים הסטנדרטים בארגון. התשתית כוללת: נהלים, מדריכים, הנחיות, תבניות, כלים תומכי תהליך, ועוד. הנושא נשמע לחלקנו מאד לא אטרקטיבי, ואוזנינו נוטות להיסתם כשהנושא עולה. כמו כל נושא תשתיתי, למשל כבישים ומדרכות, מה קורה היעדר תשתיות? איננו יכולים לטפל בכל הנושאים המעניינים המסתמכים על תשתיות אלה. נהיה עסוקים כל היום בפילוס דרכנו בסבך הג'ונגל הארגוני.

חמשת מצוות "עשה" ותיאור הגהנום המצפה למי שלא עושה

1. בניית תהליך ארגוני הנתמך בנכסים ארגוניים מותאמים לארגון ומוטמעים בו

• עשה
  בניית תהליך הנתמך באוסף נכסים המכסה את כל הצרכים של התהליכי הארגון; נכסים אלה אמורים לתמוך בווריאציות: לפי מבנים ארגוניים, יחידות עסקיות, קווי מוצר, סוגי שירותים ועוד. יכולים להיות מספר תהליכים "מותאמים" (tailored) מהסטנדרט כדי לתמוך בסוגים שונים של מחזורי-חיים של מוצרים או דיסציפלינות.

• הגהנום המחכה למי שלא עושה
  כל פעם ממציאים מחדש את הגלגל עבור הפרויקט/מוצר/ שירות שעושים ברגע זה. משתמשים רק בניסיון ובידע שלנו ולא בידע הארגוני, חוזרים על טעויות שנעשו בעבר ובעיקר מבזבזים זמן יקר. התוצרים במקרים רבים פחות איכותיים.

2. תמיכה במספר סוגים של מחזור חיי פיתוח מוצר או שירות (לעוסקים בפיתוח)

• עשה
  בניית תהליך הארגוני משותף התומך במספר סוגי משפחות תהליכים, למשל על פי מחזור חיים: מפל מים, אג'ייל, ספירלה, אינקרמנטלי, איטראטיבי, ועוד. לכל סוג מחזור חיים – תשתית תהליכית שונה של מסמכים ותבניות.

• הגהנום המחכה למי שלא עושה
  אילוץ להכניס את כולם לאותה שבלונה, גורם להתנגדות גדולה לאמץ את התהליך הארגוני על ידי כל מי שהשבלונה לא מתאימה לו. חוזרים לתיאור הגהנום מלמעלה של המצאת גלגל "מתאים".

3. הנחיות וקריטריונים להתאמת התהליך

• עשה
  ההנחיות מתארות כיצד להתאים לפרויקט ספציפי את התהליך המתאים לו ממשפחת התהליכים הנתמכים בארגון. התאמות אלה הכרחיות כיון שיש שוני בין הפרויקטים וניסיון לכפות תהליך אחיד אינו מתאים לכולם. מאידך, ההנחיות נדרשות כדי להבטיח שרק התאמות מאושרות יתקבלו ולא איש הישר בעיניו יעשה.
  חוקים והנחיות לצוותים – הנחיות לגבי יצירת צוותים; נושאים הקשורים לחוק, רגולציות, אחריות וסמכות של בעלי תפקידים שונים.

• הגהנום המחכה למי שלא עושה
  בהיעדר הנחיות וקריטריונים להתאמת התהליך – איש הישר בעיניו יעשה. למשל: החלטה של מנהל של פרויקט גדול לאמץ תהליך מקוצר של פרויקט קטן, ובכך יפגע בניהול האופטימלי של הפרויקט שלו.
  היעדר הגדרת אחריות וסמכות לבעלי תפקידים, למשל, יכולה לגרום לעימותים ומאבקים על טריטוריות, או השמת אנשים לא מתאימים לתפקיד.

4. בניית ספרייה עבור הנכסים הארגוניים

• עשה
  בניית ספרייה אלקטרונית המכילה את הנכסים בצורה הגיונית המאפשרת גישה ושימוש קלים בעת הצורך.

• הגהנום המחכה למי שלא עושה
  במילה אחת: בלגן!

5. בניית סביבת עבודה משותפת

• עשה
  מאפשר לארגון להפיק תועלת מכך שתת-ארגונים משתמשים באותם כלים, הדרכות וכדומה. התועלות מתבטאות החיסכון תודות לרכש משותף ולשיתוף ידע וניסיון.

• הגהנום המחכה למי שלא עושה
  נפוץ בעיקר בארגונים גדולים – סביבות עבודה שונות מקשות על שיתוף ידע, עולות הרבה יותר כסף ברכישה ובניהול

הבסיס לניהול ידע

ניהול שיטתי של הנכסים הארגוניים מהווה את הבסיס לניהול ידע, מאפשר סדר וחוסך בזמן ואנרגיה, המופנים לאפיקי יצירה במקום חיפושים של מסמכים, ויצירת תהליכים יש מאין כל פעם מחדש.
נראה לכם שלבנות תשתית לניהול תהליכים וידע זאת משימה מתישה ו/או גוזלת זמן רב? תיעזרו ביועצים שזאת המומחיות שלהם.
מה איתכם? איך אצלכם בנושא זה? מחכה לשמוע מיכם באחת הרשתות שקישורן להלן

Photo by kira schwarz from Pexels

אחד האתגרים לעשות שינוי הוא להתמיד בתהליך העבודה החדש, אותו תהליך שהחלטנו שכך אנו רוצים לעבוד, לאחר שהתהליך שבו עבדנו עד כה לא היה מיטבי. מניסיון העבר אנו יודעים ששינויים במקרים רבים נזנחים לאחר תקופת התלהבות התחלתית ואנו חוזרים להרגלים הישנים והמוכרים למרות שהם לא מיטביים.
איך נעבור לתקופה של עבודה רציפה לפי התהליכים החדשים שהטמענו כדי לעמוד ביעדים ובמשימות שלנו?

המשכיות – קל או מאתגר?

אחד הגורמים המקשים על הצלחה הוא הקושי לשמור על המשכיות בשיטת העבודה המיטבה שתפרנו לעצמנו על פי מידותינו. אנו מטמיעים תהליך חדש, מחליטים לעבוד לפיו ולאחר זמן מוצאים שהפסקנו להטמיע את התהליך החדש וחזרנו להרגלים הישנים שלנו.

איך קורה הדבר?

ארגונים קובעים מטרות ויעדים, קובעים להטמיע וליישם תהליכים שעוזרים להגשים את המטרות והיעדים, עובדים במרץ ואז.. קורה אירוע שדורש השקעת מאמץ בנושא מסוים, בעקבותיו אנו מוצאים את עצמינו עושים הנחות בדרך שקבענו שנלך בה עד יעבור זעם. אחרי תקופה אנו רואים שזנחנו את התהליכים המיטביים שהטמענו כדי לעמוד במטרות שלנו.
ההפסקה הזו מאכזבת.
הפסקה היא ההיפך מהצלחה. הצלחה מגיעה מעבודה שיטתית ברצף.

מדוע זה קורה?

מדוע אנו זונחים פעם אחר פעם את שיטת העבודה המיטבית שקבענו שנלך בה? מדוע כאשר יש קושי אנו בוחרים לחזור לשיטות העבודה הישנות שאנו רגילים אליהן? מדוע שינוי תהליך נתפס כמאמץ גם אם שמירה עליו תגרום לעבודה טובה יותר ומאומצת פחות? מדוע עבודה חוזרת ותיקון תקלות נחשב לעבודה "רגילה"? האם התרגלנו לכך שכיבוי שריפות הוא מציאות שאי אפשר להימנע ממנה?

כיצד נשמור על המשכיות של עבודה מיטבית ומטיבה?

להלן הצעה לשלוש שאלות שתשובה חיובית עליהן תסייע לשמור על רצף והמשכיות בשיטה המיטבית החדשה. כדי שהתשובה תיספר כ"כן", עליה לשקף את התפיסה של המנהלים והעובדים הנוגעים בדבר, ולא רק תשובה ממנהל בכיר או סוכן שינוי.

שאלה מס 1 – האם מדובר בשינוי מהותי?

האם התהליך החדש מתרכז בעיקר או בטפל? האם הוא "מתיישר" עם הערכים של הארגון?
אם השינוי לא נתפס כמהותי יהיה קשה לשמור עליו לאורך זמן.
דוגמה: חברה שנדרשת ליישם תקן בעקבות דרישה רגולטורית. החברה מתאימה את תהליכי העבודה שלה לפי דרישות התקן. המאמץ הזה נעשה מתוך רצון חיצוני של מוסד ממשלתי כלשהו, כאשר הארגון לא מרגיש שהוא נתרם מכך. השינוי לא נתפס כמהותי וחשוב ונזנח במהרה.

כיצד מתגברים על כך?
באמצעות "מכירה פנימית" שמראה את היתרונות בעבודה שיטתית וגיוס בעלי העניין למטרה זו. לא השתכנעו – לא יהיה שינוי בטווח הארוך, גם אם תוצאה חיצונית מושגת.

שאלה מס 2 – האם מדובר בשינוי פנימי?

האם העובדים / מנהלים מבינים ורוצים לעבוד לפי התהליך המשופר? נכון שיש הנהלה שמחליטה על השינוי, אך ללא חיבור כל בעלי העניין לשינוי, כך שהם ירצו אותו, לא תהיה המשכיות. שינוי (כמו חומוס) עושים באהבה או לא עושים בכלל.

שאלה מס 3 – האם השינוי אפשרי?

האם המטרות והיעדים שנקבעו הם אפשריים? עוד לא נולד התהליך שיגרום למטרה פנטזיונרית להתגשם.
בעברי, הייתי בארגון שיזם פרויקט "10X" תוך שנה. מטרת התכנית לעשות פי 10 תוך שנה: קיצור לו"ז פי 10 או הורדת עלויות פי 10 וכדומה. במקרים רבים – 0.2X או 2X בשנה זו מטרה מספיק שאפתנית. מטרות שנקבעות בלי הכרת היכולת העכשווית דינן להיעזב. אנרגיה שמושקעת בהשגת מטרה בלתי אפשרית היא אנרגיה מבוזבזת.
בסוגריים אציין שהנטייה לקבוע מטרות בלתי אפשריות יושבת על הרצון שלנו להיות מושלמים ושונים לגמרי ממה שקורה עכשיו.

המשכיות – לדעת איך עושים

כדי לעשות את השינוי אפשרי, נבחר מטרות ברות יישום, נגדיר תהליך שמסייע להשגת המטרות בצורה שיטתית ונעשה מכירה פנימית בארגון כדי לגייס את כל הנוגעים בדבר. נבחר במומחים פנימיים או חיצוניים כדי שיסיעו לנו לעשות את השינוי ונצא לדרך.

בהצלחה!

השראה למאמר – משיעור ימימה של עידית שלו
Photo by Kulbir from Pexels

פונים אלינו מנהלי מערכות מידע עם בקשות עזרה לנושא SOC2.

הדרישה נופלת עליהם כרעם ביום בהיר כתוצאה מפניית לקוח שדורש הוכחה לעמידתם בדרישות SOC2. מדובר במערכת דרישות לא פשוטות, שעל מנהל המידע לממש, כאשר גם בלי הדרישה החדשה, היומן שלו עמוס לעייפה במטלות.

שאלה נפוצה היא: אם נעבור תהליך הסמכה לתקן 27001 ISO, או יש לנו כבר תקן 27001 ISO, האם הדבר יכול להחליף את הדרישה ל-SOC2?

לפני שנדבר על "איך", נתחיל מ"למה". מדוע לקוחותינו מבקשים שנעמוד בדרישות SOC2 ומדוע כדאי לנו לממש את דרישות SOC2 ?

נזכור שהדרישה לעמוד בדרישות SOC2 חל רק על ארגונים שנותנים שירותי ענן.

הפסקה לפרסומת חינמית 

מדוע כדאי לארגונים לעמוד בדרישות  SOC2 ?

דרישה מלקוחות / לקוחות פוטנציאליים

הלקוחות רוצים רמת וודאות גבוהה ביכולות של הספקים שלהם לשמור על סודיות, תקינות המידע וזמינותו ברגע האמת, לוודא שלספקים יש מערכת בקרה פנימית אפקטיבית שמוודאות את תקינות המערכות והנתונים.
SOC2 מספק רשימה לא סודית של בקרות שהארגון נדרש להראות שהוא מפעיל. הנחת העבודה היא שביצוע שוטף של הבקרות הפנימיות ברשימה מבטיח את יעילות הביצוע של אבטחת המידע, שלמותו, זמינותו ותקינותו. זהו בעצם תהליך של ניהול סיכונים, כאשר כל סעיף ברשימה הוא סיכון תהליכי, עסקי או תפעולי. ההוכחה של הארגון לכך שהוא מתמודד עם כל סעיף וסעיף ברשימה מהווה התמודדות עם הסיכון והורדת ההסתברות לנזק שעלול להיגרם מאי הפעלה של אותן בקרות.

מענה לדרישת הלקוחות למבדק צד ג

ארגונים נדרשים להראות הוכחה של קיום מבדק מגוף הסמכה / התעדה חיצוני בלתי תלוי. מבדק SOC2 מאפשר לארגון להראות דו"ח כזה. יתרה מכך, הדבר נותן לארגון ייתרון תחרותי מול ארגונים דומים שאין להם יכולת להראות עמידה בדרישות SOC2.

שקט נפשי להנהלת הארגון

הידיעה שלארגון מערכת בקרה יעילה ששומרת על אבטחת המידע ותקינות הנתונים בפני כל מיני גורמים עוינים או טעויות אנוש מקנה שקט וביטחון בחוסן מערכת המידע ותקינות הנתונים.

מה ההבדל בין הסמכה לתקן 27001 ISO לתהליך הסמכה ל-SOC2?

תהליך הסמכה לתקן 27001 ISO נעשה ברמת ארגון. מעיד על כך שלארגון יש נהלי איכות ואבטחת מידע לניהול מערכת אבטחת המידע שלו.

תהליך הסמכה לתקן SOC2 נעשה ברמת מוצר. מעיד על כך שהמוצר עומד בדרישות אבטחת המידע שהארגון קבע לעצמו. הלקוח הפוטנציאלי מעוניין לדעת שהמוצר שהוא רוכש עומד בדרישות אבטחת המידע בלי קשר לרמת אבטחת המידע והתקנים שיש לארגון. בהחלט ייתכן שארגון יחזור על התהליך פעם נוספת כאשר יש לו מוצרים מגוונים.

הבדל נוסף הוא במיקוד. בעוד שאפשר לקבל תקן 27001 ISO גם אם נהלי אבטחת המידע ממומשים חלקית, אך הארגון מתחייב להטמיעם במהלך השנה, תקן SOC2 מבקש לראות הטמעה לפחות חצי שנה אחורה. כלומר: נדרש להראות עדויות על יישום הפרקטיקות הנדרשות.

מהו מבדק SOC2?

מבדק SOC2 מעריך את הבקרות הפנימיות, המדיניות והתהליכים. מדובר בבקרות שקשורות ישירות לאבטחה מידע, זמינות, עיבוד, שלמות, סודיות ופרטיות של המידע המנוהל (נתונים) בארגון.

חמשת הקטגוריות של SOC2 שמוכיחות את הביטחון ביכולת הארגון לשמור את בטיחות ותקינות המידע

מבדק SOC2 מגדיר חמש קטגוריות שמעידות על יכולת הארגון לשמור את בטיחות ותקינות המידע:

• אבטחה (Security) – בדיקה תקופתית, פיזית ולוגית, של יעילות המדיניות והנהלים המסדירים את האופן שבו ארגונים מגנים על עצמם מפני גישה בלתי מורשית יחד עם יכולת זיהוי מיידית כאשר יש פגיעה באבטחת מידע שעלולה לגרום לחשיפת מידע לגורם לא מורשה.
• זמינות (Availability) – בדיקה תקופתית המוודאת שמערכת המידע והנתונים זמינים להפעלה ולשימוש לפי הצורך שהוגדר להם.
• סודיות (Confidenti­ality) – בדיקה תקופתית המוודאת שמידע שמוגדר כסודי חייב להיות מוגן מספיק מפני גישה בלתי מורשית של גורם לא מוסמך מתוך או מחוץ לארגון.
• שלמות העיבוד (Processing Integrity) – בדיקה תקופתית המוודאת שעיבוד הנתונים במערכת המידע הינו שלם, תקף ומדויק בעת השימוש בו.
• פרטיות (Privacy) – בדיקה תקופתית המוודאת שימוש במידע פרטי אך ורק על פי התנאים שסוכמו עם הלקוח. כמו כן, ווידוא סילוק עקבות של פרטי מידע אישי שנשאר במערכת כתוצאה מגישה או שימוש במערכת. כלומר: ווידוא שלאחר השימוש במערכת מסולק המידע האישי שנשאר במערכות המידע של הארגון.

לסיכום

בעידן הדיגיטלי שאנו חיים בו, חובה על ארגונים נותני שירות שיש בידם גישה לנתונים של אנשים, לשמור על חשיפת המידע לגורמים בלתי מורשים או שימוש במידע לשימושים בלתי מורשים. כמו כן הארגון נדרש לוודא את תקינות מערכת הבקרה שלו על בטיחות ותקינות המידע שבאחריותו. יכולת עמידה בדרישות SOC2 מוכיחה שהארגון מחויב לנושא ועומד בדרישות.

Photo by Markus Spiske from Pexels