OK יועצים לניהול

להלן מגוון שירותים שלנו בתחום אבטחת מידע ואבטחת הפרטיות. הרשימה מתעדכנת באופן שוטף בהתאם לצרכים הדינמיים של התחום. בדקו עימנו אם יש לכם צורך שעדיין לא מופיע ברשימה שלהלן

אבטחת מידע וסייבר

השבוע הייתי בכנס מקצועי ובדרך לשירותים ראיתי את השלט הבא:

מה מוזר בשלט הזה?

נכון, אין כבר טלפונים ציבוריים. עמדתי וצילמתי את השלט. שני עמיתים שלי שעמדו ליד השלט אמרו: וואלה, אנו עומדים כאן כבר חצי שעה ולא שמנו לב לשלט.
הגדלתי לעשות והלכתי בעקבות השלט. באופן בלתי מפתיע טלפונים ציבוריים לא היו ליד השירותים.
כמה זמן השלט הבלתי רלוונטי עומד בבית המלון שמשמש גם כמרכז כנסים?
האם יש עוד מישהו ביננו שיש לו צורך בטלפון ציבורי?
כלומר: שנים על גבי שנים, מנהלי ועובדי המלון עוברים ליד השלט הלא רלוונטי, וגם המטעה (כי מי שהולך בעקבות השלט לא ימצא טלפונים ציבוריים) ולא רואים שהגיע הזמן לרענן את השלט?

מה קורה פה? מהי מערכת RAS?

עצירה קטנה לצורך הסבר על מערכת מאד מעניינת בגוף האדם, מערכת Reticular Activating System או בקיצור RAS. המערכת נמצאת בגזע המח ומשפיעה על כל ההתנהלות שלנו, כולל העסקית והארגונית.
מערכת RAS אחראית להעביר אותנו ממצב ערות למצב שינה ולהיפך. המערכת מעבדת נתונים בקצב גבוה ביותר, בערך פי ארבע משאר חלקי המוח. בזכותה רובנו לא משתגעים מעודף המידע והמסרים שאנו מופצצים מידי רגע: דואר אלקטרוני, פוסטים ברשתות החברתיות, שלטים בכביש, רדיו, טלוויזיה, קשרים עם אנשים אחרים ועוד ועוד. מערכת ה-RAS מפעילה פילטר ומסננת את המידע שמגיע אלינו. בעניין המעבר מעירות לשינה: אנו יכולים להירדם בסביבה רועשת ומערכת ה-RAS תעיר אותנו מיד אם אנו שומעים בכי של תינוק, במיוחד אם הוא שלנו. או: אנו שמים לב כשמישהו קורא בשמנו גם כאשר אנו בתוך המולה של אנשים שכולם מדברים בקול רם כדי להתגבר על מוזיקה רעשנית.

כלומר: מערכת RAS היא פילטר שמסנן עבורנו את המידע הרלוונטי מתוך ים המידע והרעש מסביב. בזכות מערכת ה-RAS אנו יכולים לראות ולשמוע את המראות והצלילים אבל הרוב לא מעובד ומופנם.

מערכת ה-RAS עובדת שעות נוספות גם במפגשים בין אישיים, במיוחד אם מנסים למכור לנו משהו. אנו יכולים להשתתף בשיחה, נניח שאנו מנסים למכור רעיון למנהל בכיר במסדרון. השיחה מתנהלת ומיד נמחקת כאילו לא קרתה.
לכן כל מי שרוצה למכור לנו דבר מה עושה משהו יוצא דופן כדי לתפוס את תשומת הלב שלנו. אחרת המידע עובר לידנו.

מה הקשר בין RAS לסוכני השינוי שביננו שרוצים לקדם יוזמות בארגונים?

סוכן שינוי שרוצה למכור רעיון למנהל בכיר – יש לו חלון הזדמנויות קצר ביותר של 15 עד 30 שניות להעביר את המסר. מה לעשות כדי שהרעיון שלנו ייקלט? עלינו לגרום לאדם שמקשיב לשאול אותנו שאלה. אם נמען המסר שאל אותנו שאלה, הדבר מעיד על כך שעברנו את הפילטר שהפעילה מערכת ה-RAS. אם לא – לא להיעלב מכך שהמנהל לא חזר אלינו בקשר ליוזמה שלנו. הוא פשוט בן אדם ששומר על השפיות שלו.

איך להתגבר על מערכת ה-RAS כדי לעשות שינויים בארגונים?

הכי חשוב – להפסיק להיעלב ולרטון שהרעיונות המעולים שלנו לא זוכים לתשומת לב. יד על הלב – גם לנו יש מערכת RAS משלנו שמסננת עבורנו את עודף המידע שאנו מופצצים בו, במיוחד כשמנסים למכור לנו משהו.
ועוד יותר חשוב – כאשר אתם מעוניינים להעביר מסר, לעשות שינוי, תתמקדו ב-למה ולא בפתרון. למה אנו מציעים לשנות? מה קורה היום? אלה תועלות יקרו מהשינוי, ורק אחרי שקיבלנו תשומת לב ונישאל כיצד נשיג את התועלות המובטחות, רק אז תסבירו את התכנית שלכם.
הטעות הגדולה שחלק גדול מסוכני השינוי עושים – הם ישר ניגשים לתכנית הפעולה: שינוי שיטת העבודה, הכנסת כלי חדש.. בלי להדגיש מספיק את הצורך. המנהל הבכיר ששומע את התכנית מיד רואה את המשאבים שנדרשים להשקעה.. ומערכת ה-RAS מנתקת את הקשב שלו.
לא סתם הומצא המושג "נאום המעלית". תפסו את הקשב של מי שאתם רוצים למכור לו רעיון, ורק אחרי שנשאלתם שאלה עברו לשלב הבא.

ספרו לי על מקרים בהם חשבתם שהתעלמו מהמסר שלכם? איזה שינוי הייתם עושים? גם הבנה בדיעבד תעזור לכם לפעם הבאה..

בהצלחה!

תודה למאמן העסקי המיתולוגי שלי, מוטי סחראי, ממנו שמעתי על ה-RAS לפני למעלה מחמש שנים, והמסר שלו נקלט למרות פילטר ההגנה שהופעל  😊

מדוע לבצע סקר סיכוני אבטחת מידע ומבדק חדירה?

חדשות לבקרים קורים מקרים בהם האקרים פורצים למערכות המחשוב של ארגונים וגורמים לנזקים קשים ברמה תפעולית, כספית ותדמיתית. חלק קטן מהמקרים מתפרסם בתקשורת. גילוי נאות, אי אפשר לחסום הרמטית ולהבטיח הגנה מושלמת. אולם, במקרים רבים קיימות פרצות משוועות, שבהחלט ניתן לסגור אותן ולהפחית את הסיכון של אובדן שליטה על מערכת המידע.

החשיפות והנזקים קורים לכל סוגי הארגונים. לא צריך להיות ארגון גדול או ביטחוני או ממשלתי כדי ליפול קורבן למתקפת סייבר. כל ארגון המתבסס על מערכות המידע שלו כדי לפעול חשוף להתקפות מזיקות וכואבות. ארגונים העוסקים בפיתוח חשופים לפרצות עקב עבודה מוגברת של עובדים ומנהלים העובדים מרחוק. ארגונים הנותנים שירות חשופים לפרצות ונזקים פוטנציאליים למאגרי המידע שמשמשים אותם לצורך מתן שירות, ספקים של ארגונים יכולים להוות נקודת התורפה שדרכה תיעשה הפריצה. עובדים בארגונים יכולים בעצמם להביא על הארגון שלהם צרות גדולות, עקב חוסר מודעות לפעולות שהם עושים.

עד כה, ניסיתי לשכנע אתכם בטוב למה באמת כדאי, אך ברוב במקרים הדבר הינו ממש דרישה.

ארגונים המבצעים הסמכה לתקן אבטחת מידע 27001 ISO  נדרשים לבצע מבדק חדירה תשתיתי כמענה לדרישה בתקן לביצוע vulnerability test (סקר פגיעויות בתשתיות החברה וכחלק מתהליכי הפיתוח).

ארגונים בעלי מאגרי מידע בסיווג גבוה נדרשים לבצע מבדק חדירה לפחות פעם ב- 18 חודש כמענה לדרישה של תקנות הגנה על הפרטיות.

מהו סקר סיכוני אבטחת מידע?

סקר סיכוני אבטחת מידע הינו מבדק טכנולוגי הבודק את נכסי המידע והתהליכים הקריטיים של הארגון על מנת לקבלת תמונת מצב של רמת ההגנה של הארגון על נכסיו הדיגיטאליים. הסקר מזהה סיכונים, מעריך את הסיכונים מבחינת פוטנציאל הנזק, קובע סדרי עדיפויות לסגירת הפערים.
הסקר נדרש לארגונים שעוברים הסמכה לתקני אבטחת מידע, ממשפחת תקני 27001 ISO. ישנם גם מקרים שלקוחות דורשים מהספקים שלהם לבצע סקר סיכונים כדי לוודא שלא ייגרם נזק דווקא דרך הכניסה האחורית של הארגון המיועדת לספקים.
הסקר מאפשר לארגון להכין תכנית עבודה כדי לסגור את הפערים שהתגלו. מנהלי מערכות מידע משתמשים בדו"ח של הסקר כדי להכין תכנית עבודה שנתית לסגירת הפערים ולבקש תקציב מההנהלה לשם כך.

מטרת סקר הסיכונים משתנה בין כל ארגון וארגון. המטרות הנפוצות ביותר של סקרי סיכונים הינם: קבלת תמונת מצב, עזרה בקביעת סדרי עדיפויות בנושאי אבטחת מידע, קבלת תקצוב, עמידה בדרישות רגולטיביות ועוד.

הפסקה לפרסומת חינמית 

מה כולל סקר סיכוני אבטחת מידע?

הסקר כולל מיפוי של מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בחברה. הסקר כולל קטגוריות של סיכונים:
⦁ סיכונים תפעוליים.
⦁ סיכונים כספיים.
⦁ סיכוני רגולציה
⦁ סיכונים אסטרטגיים
⦁ סיכוני מוניטין

בכל קטגוריה מזהים את הסיכונים, מעריכים את יעילות הבקרות הקיימות כדי להתמודד עם הסיכונים. כמו בכל ניהול סיכונים מעריכים את מידת סיכוי התממשות הסיכון, ואת רמת הפגיעות של הארגון במידה והסיכון אכן יתממש.
תוצאת התהליך: "מפת חום" המראה בצורה ברורה את הסיכונים ו/או חולשות בתהליכי הבקרה שאמורים לטפל בסיכונים.

ביצוע מבדק חדירה לארגון הבודק את התשתית הפנימית והחיצונית של הארגון

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמחשוב של הארגון במטרה לאתר פריצות וסיכונים.
פירוט בנושא מבדק חדירה יפורט במאמר נוסף שייכתב בקרוב בלי נדר.

תוצר סקר סיכוני אבטחת מידע ומבדק חדירה

הסקר כולל דו"ח המפרט את החשיפות שזוהו. כל חשיפה מוסברת ומתוארת במלל וצילומי מסך, כולל רמת סיכון, סבירות שתנוצל על ידי גורם זדוני והמלצות לתיקון.

הסקר כולל דירוג של הסיכונים שזוהו מבחינת סבירות התממשות הסיכון (סבירות נמוכה / בינונית / גבוהה) ורמת ההשפעה על הארגון במידה והסיכון יתממש (השפעה נמוכה / בינונית / גבוהה). ההשפעה מוערכת במונחי ממון, מוניטין, הפרעה לתפעול ועוד.

ניתן לארגון דו"ח מסכם. בדו"ח כולל את תיאור העבודה שנעשתה, פגישות עם גורמי מפתח בארגון, פירוט הליקויים שהתגלו, הצעות לטיפול בממצאים שזוהו.

מה לדרוש מיועץ-מומחה המבצע סקר סיכונים?

ניסיוני הקט מראה לי שלא תמיד מנהלי מערכות מידע בארגונים יודעים מה לבקש מהיועץ-מומחה שמבצע סקר סיכונים. מדוע?
מי שמבצע סקר סיכונים חושב הפוך – מה יכול להשתבש? בעוד שרובנו לא חושבים הפוך אלא עסוקים בבנייה ותכניות לעתיד.

לפני ההתקשרות, המלצתי לארגון לבקש מהיועץ מסמך המפרט את שיטת העבודה שלו, ותכולה מדויקת של הסקר. אל תקנו חתול בשק!

מה קורה בארגון שלכם?

אתם לפני או אחרי ביצוע סקר סיכונים טכנולוגי ו/או מבדק חדירה?
מפחדת לשאול – לפני או אחרי אירוע אבטחת מידע ..

שימרו על עצמכם!

Photo by cottonbro from Pexels

הגדרת תהליך היא ארגון כל הידע הארגוני בצורה הגיונית, תבניתית, נוחה לשימוש, ברת חזרה ונוחה להטמעה. למרות שרובנו חכמים ויצירתיים חלק ניכר מהפעולות שלנו חוזרות על עצמן. כאשר אנו רוצים לעשות פעילות חדשה כביכול אנו מחפשים בזיכרוננו מתי עשינו משהו דומה, לאחר מיכן מחפשים בתיקיות, שואלים אנשים ואז לוקחים את הבסיס הקודם, משנים ויוצרים משהו מתאים לצורך הרגעי, וחוזר חלילה.
דמיינו שכל התהליך שלכם מוגדר היטב, סדר הפעילויות ברור, וכל נכסי התהליך שמסייעים לכם – נגישים לכם. כף, נכון? לא רק שנחסך לכם זמן אלא שאיכות העבודה משתפרת: פעם אחת בשל שימוש בתבניות שכוללות את כל הידע הנדרש לעבודה איכותית ופעם שנייה בשל חיסכון זמן שהולך לבלי שוב על חיפושים והמצאת הגלגל מחדש.
מאמר זה מתמקד בניהול ניהול נכסי התהליך הארגוני; הכוונה לבניית כל התשתיות הארגוניות הנדרשות להגדרה ותיאור של התהליכים הסטנדרטים בארגון. התשתית כוללת: נהלים, מדריכים, הנחיות, תבניות, כלים תומכי תהליך, ועוד. הנושא נשמע לחלקנו מאד לא אטרקטיבי, ואוזנינו נוטות להיסתם כשהנושא עולה. כמו כל נושא תשתיתי, למשל כבישים ומדרכות, מה קורה היעדר תשתיות? איננו יכולים לטפל בכל הנושאים המעניינים המסתמכים על תשתיות אלה. נהיה עסוקים כל היום בפילוס דרכנו בסבך הג'ונגל הארגוני.

חמשת מצוות "עשה" ותיאור הגהנום המצפה למי שלא עושה

1. בניית תהליך ארגוני הנתמך בנכסים ארגוניים מותאמים לארגון ומוטמעים בו

• עשה
  בניית תהליך הנתמך באוסף נכסים המכסה את כל הצרכים של התהליכי הארגון; נכסים אלה אמורים לתמוך בווריאציות: לפי מבנים ארגוניים, יחידות עסקיות, קווי מוצר, סוגי שירותים ועוד. יכולים להיות מספר תהליכים "מותאמים" (tailored) מהסטנדרט כדי לתמוך בסוגים שונים של מחזורי-חיים של מוצרים או דיסציפלינות.

• הגהנום המחכה למי שלא עושה
  כל פעם ממציאים מחדש את הגלגל עבור הפרויקט/מוצר/ שירות שעושים ברגע זה. משתמשים רק בניסיון ובידע שלנו ולא בידע הארגוני, חוזרים על טעויות שנעשו בעבר ובעיקר מבזבזים זמן יקר. התוצרים במקרים רבים פחות איכותיים.

2. תמיכה במספר סוגים של מחזור חיי פיתוח מוצר או שירות (לעוסקים בפיתוח)

• עשה
  בניית תהליך הארגוני משותף התומך במספר סוגי משפחות תהליכים, למשל על פי מחזור חיים: מפל מים, אג'ייל, ספירלה, אינקרמנטלי, איטראטיבי, ועוד. לכל סוג מחזור חיים – תשתית תהליכית שונה של מסמכים ותבניות.

• הגהנום המחכה למי שלא עושה
  אילוץ להכניס את כולם לאותה שבלונה, גורם להתנגדות גדולה לאמץ את התהליך הארגוני על ידי כל מי שהשבלונה לא מתאימה לו. חוזרים לתיאור הגהנום מלמעלה של המצאת גלגל "מתאים".

3. הנחיות וקריטריונים להתאמת התהליך

• עשה
  ההנחיות מתארות כיצד להתאים לפרויקט ספציפי את התהליך המתאים לו ממשפחת התהליכים הנתמכים בארגון. התאמות אלה הכרחיות כיון שיש שוני בין הפרויקטים וניסיון לכפות תהליך אחיד אינו מתאים לכולם. מאידך, ההנחיות נדרשות כדי להבטיח שרק התאמות מאושרות יתקבלו ולא איש הישר בעיניו יעשה.
  חוקים והנחיות לצוותים – הנחיות לגבי יצירת צוותים; נושאים הקשורים לחוק, רגולציות, אחריות וסמכות של בעלי תפקידים שונים.

• הגהנום המחכה למי שלא עושה
  בהיעדר הנחיות וקריטריונים להתאמת התהליך – איש הישר בעיניו יעשה. למשל: החלטה של מנהל של פרויקט גדול לאמץ תהליך מקוצר של פרויקט קטן, ובכך יפגע בניהול האופטימלי של הפרויקט שלו.
  היעדר הגדרת אחריות וסמכות לבעלי תפקידים, למשל, יכולה לגרום לעימותים ומאבקים על טריטוריות, או השמת אנשים לא מתאימים לתפקיד.

4. בניית ספרייה עבור הנכסים הארגוניים

• עשה
  בניית ספרייה אלקטרונית המכילה את הנכסים בצורה הגיונית המאפשרת גישה ושימוש קלים בעת הצורך.

• הגהנום המחכה למי שלא עושה
  במילה אחת: בלגן!

5. בניית סביבת עבודה משותפת

• עשה
  מאפשר לארגון להפיק תועלת מכך שתת-ארגונים משתמשים באותם כלים, הדרכות וכדומה. התועלות מתבטאות החיסכון תודות לרכש משותף ולשיתוף ידע וניסיון.

• הגהנום המחכה למי שלא עושה
  נפוץ בעיקר בארגונים גדולים – סביבות עבודה שונות מקשות על שיתוף ידע, עולות הרבה יותר כסף ברכישה ובניהול

הבסיס לניהול ידע

ניהול שיטתי של הנכסים הארגוניים מהווה את הבסיס לניהול ידע, מאפשר סדר וחוסך בזמן ואנרגיה, המופנים לאפיקי יצירה במקום חיפושים של מסמכים, ויצירת תהליכים יש מאין כל פעם מחדש.
נראה לכם שלבנות תשתית לניהול תהליכים וידע זאת משימה מתישה ו/או גוזלת זמן רב? תיעזרו ביועצים שזאת המומחיות שלהם.
מה איתכם? איך אצלכם בנושא זה? מחכה לשמוע מיכם באחת הרשתות שקישורן להלן

Photo by kira schwarz from Pexels

אחד האתגרים לעשות שינוי הוא להתמיד בתהליך העבודה החדש, אותו תהליך שהחלטנו שכך אנו רוצים לעבוד, לאחר שהתהליך שבו עבדנו עד כה לא היה מיטבי. מניסיון העבר אנו יודעים ששינויים במקרים רבים נזנחים לאחר תקופת התלהבות התחלתית ואנו חוזרים להרגלים הישנים והמוכרים למרות שהם לא מיטביים.

אחרי החופשה רבים מהמנהלים והעובדים חוזרים לעבודה עם כוונות טובות, אך מהר מאוד נשאבים לשגרה, ולצערנו – גם להרגלים הישנים.

אם לפני החופשה התחלנו להטמיע תהליכי עבודה חדשים, שיטתיים וטובים יותר – עכשיו מגיע האתגר האמיתי: לשמור עליהם. ההתמדה היא החולייה החלשה של תהליכי שינוי, ולעיתים אחרי התלהבות ראשונית, אנו מוצאים את עצמנו נוטשים את הדרך החדשה ושבים לאוטומטים המוכרים.

איך בכל זאת יוצרים עבודה מיטבית ברצף – גם אחרי חופשה?

המשכיות – קל לומר, קשה לקיים

אחת הסיבות המרכזיות לכישלון בתהליכי שינוי היא הפסקת ההטמעה אחרי זמן קצר. לא כי השיטה לא טובה – אלא כי שגרת הארגון מושכת אותנו חזרה להרגלים הישנים, ובעיקר – ללחץ של "כיבוי השריפות".

מה קורה בפועל?
הארגון מגדיר מטרות, מטמיע תהליך חדש, משקיע, מתלהב – ואז מגיע אירוע דחוף, לקוח כועס או תקלה תפעולית. מתוך רצון לפתור את הבעיה במהירות, אנו שוב "עוקפים" את התהליך החדש. ואז עוד פעם. ועוד אחת. עד שיום אחד מבינים שהוא נשכח.

התופעה הזאת מאכזבת; הטמעת תהליכי עבודה מיטביים דורשת לא רק תכנון – אלא רצף.

מדוע זה קורה לנו שוב ושוב?

מדוע אנו זונחים פעם אחר פעם את שיטת העבודה המיטבית שקבענו שנלך בה? מדוע כאשר יש קושי אנו בוחרים לחזור לשיטות העבודה הישנות שאנו רגילים אליהן? מדוע שינוי תהליך נתפס כמאמץ גם אם שמירה עליו תגרום לעבודה טובה יותר ומאומצת פחות? מדוע עבודה חוזרת ותיקון תקלות נחשב לעבודה "רגילה"? האם התרגלנו לכך שכיבוי שריפות הוא מציאות שאי אפשר להימנע ממנה?

איך בכל זאת שומרים על תהליך עבודה מיטבי לאורך זמן?

להלן שלוש שאלות מפתח שיכולות לעזור לכם להעריך האם התהליך החדש שבחרתם ישרוד גם את החזרה לשגרה:

שאלה מס 1 – האם מדובר בשינוי מהותי?

האם התהליך החדש מתרכז בעיקר או בטפל? האם הוא "מתיישר" עם הערכים של הארגון?
אם השינוי לא נתפס כמהותי יהיה קשה לשמור עליו לאורך זמן.
דוגמה: חברה שנדרשת ליישם תקן בעקבות דרישה רגולטורית. החברה מתאימה את תהליכי העבודה שלה לפי דרישות התקן. המאמץ הזה נעשה מתוך רצון חיצוני של מוסד ממשלתי כלשהו, כאשר הארגון לא מרגיש שהוא נתרם מכך. השינוי לא נתפס כמהותי וחשוב ונזנח במהרה.

כיצד מתגברים על כך?

באמצעות "מכירה פנימית" –  מתקשרים את למה – לא רק את ה"איך". מדגישים את התרומה האמיתית של התהליך ליום-יום ולתוצאות. מגייסים את העובדים מתוך הבנה ותחושת ערך, לא רק מתוך ציות. לא השתכנעו – לא יהיה שינוי בטווח הארוך, גם אם תוצאה חיצונית מושגת בטווח הקצר.

שאלה מס 2 – האם יש רצון בארגון לעבוד לפי התהליך החדש?

האם העובדים / מנהלים מבינים ורוצים לעבוד לפי התהליך המשופר? נכון שהנהלה מחליטה על השינוי. יחד עם זאת, העובדים והמנהלים צריכים לא רק להבין את התהליך – אלא גם להרגיש שהוא שלהם, אחרת לא תושג התמדה.

כיצד מתגברים על כך?

כוללים את הצוותים בתהליך, שומעים, משפרים, יוצרים תחושת שותפות. אם אין גיוס אמיתי לתהליך – לא תהיה מחויבות לאורך זמן.

שאלה מס 3 – האם השינוי אפשרי?

האם המטרות והיעדים שנקבעו הם אפשריים? עוד לא נולד התהליך שיגרום למטרה פנטזיונרית להתגשם.
בעברי, הייתי בארגון שיזם פרויקט "10X". מטרת התכנית לעשות פי 10 תוך שנה: קיצור לו"ז פי 10 או הורדת עלויות פי 10 וכדומה. במקרים רבים – 0.2X או 2X בשנה זו מטרה מספיק שאפתנית. מטרות שנקבעות בלי הכרת היכולת העכשווית דינן להיעזב. אנרגיה שמושקעת בהשגת מטרה בלתי אפשרית היא אנרגיה מבוזבזת.
בסוגריים אציין שהנטייה לקבוע מטרות בלתי אפשריות יושבת על הרצון שלנו להיות מושלמים ושונים לגמרי ממה שקורה עכשיו.

כיצד מתגברים על כך?

נזכרים בשיטה לקביעת יעדים – שיטת SMART. אחד הפרמטרים של קביעת יעדים (A) הוא לקבוע יעדים ברי השגה.  בר השגה נחשב ליכולת העכשווית פלוס מתיחה סבירה. מעבר לכך – במקרה הטוב תושג מטרה בטווח קצר. במקרה הפחות טוב – תהיה שחיקה שתוביל לזניחת השינוי.

המשכיות – לדעת איך עושים

כדי לשמור על עבודה מיטבית לאורך זמן, במיוחד אחרי חופשה, נדרשים שלושה דברים:

1. מטרות הגיוניות וברורות
2. תהליך עבודה מעשי ומותאם
3. שותפות אמיתית של כל הנוגעים בדבר

מה אתכם? איך אתם  מטמיעים שינויים לאורך זמן?  ספרו לי?

Photo by Kulbir from Pexels

פונים אלינו מנהלי מערכות מידע עם בקשות עזרה לנושא SOC2.

הדרישה נופלת עליהם כרעם ביום בהיר כתוצאה מפניית לקוח שדורש הוכחה לעמידתם בדרישות SOC2. מדובר במערכת דרישות לא פשוטות, שעל מנהל המידע לממש, כאשר גם בלי הדרישה החדשה, היומן שלו עמוס לעייפה במטלות.

שאלה נפוצה היא: אם נעבור תהליך הסמכה לתקן 27001 ISO, או יש לנו כבר תקן 27001 ISO, האם הדבר יכול להחליף את הדרישה ל-SOC2?

לפני שנדבר על "איך", נתחיל מ"למה". מדוע לקוחותינו מבקשים שנעמוד בדרישות SOC2 ומדוע כדאי לנו לממש את דרישות SOC2 ?

נזכור שהדרישה לעמוד בדרישות SOC2 חל רק על ארגונים שנותנים שירותי ענן.

הפסקה לפרסומת חינמית 

מדוע כדאי לארגונים לעמוד בדרישות  SOC2 ?

דרישה מלקוחות / לקוחות פוטנציאליים

הלקוחות רוצים רמת וודאות גבוהה ביכולות של הספקים שלהם לשמור על סודיות, תקינות המידע וזמינותו ברגע האמת, לוודא שלספקים יש מערכת בקרה פנימית אפקטיבית שמוודאות את תקינות המערכות והנתונים.
SOC2 מספק רשימה לא סודית של בקרות שהארגון נדרש להראות שהוא מפעיל. הנחת העבודה היא שביצוע שוטף של הבקרות הפנימיות ברשימה מבטיח את יעילות הביצוע של אבטחת המידע, שלמותו, זמינותו ותקינותו. זהו בעצם תהליך של ניהול סיכונים, כאשר כל סעיף ברשימה הוא סיכון תהליכי, עסקי או תפעולי. ההוכחה של הארגון לכך שהוא מתמודד עם כל סעיף וסעיף ברשימה מהווה התמודדות עם הסיכון והורדת ההסתברות לנזק שעלול להיגרם מאי הפעלה של אותן בקרות.

מענה לדרישת הלקוחות למבדק צד ג

ארגונים נדרשים להראות הוכחה של קיום מבדק מגוף הסמכה / התעדה חיצוני בלתי תלוי. מבדק SOC2 מאפשר לארגון להראות דו"ח כזה. יתרה מכך, הדבר נותן לארגון ייתרון תחרותי מול ארגונים דומים שאין להם יכולת להראות עמידה בדרישות SOC2.

שקט נפשי להנהלת הארגון

הידיעה שלארגון מערכת בקרה יעילה ששומרת על אבטחת המידע ותקינות הנתונים בפני כל מיני גורמים עוינים או טעויות אנוש מקנה שקט וביטחון בחוסן מערכת המידע ותקינות הנתונים.

מה ההבדל בין הסמכה לתקן 27001 ISO לתהליך הסמכה ל-SOC2?

תהליך הסמכה לתקן 27001 ISO נעשה ברמת ארגון. מעיד על כך שלארגון יש נהלי איכות ואבטחת מידע לניהול מערכת אבטחת המידע שלו.

תהליך הסמכה לתקן SOC2 נעשה ברמת מוצר. מעיד על כך שהמוצר עומד בדרישות אבטחת המידע שהארגון קבע לעצמו. הלקוח הפוטנציאלי מעוניין לדעת שהמוצר שהוא רוכש עומד בדרישות אבטחת המידע בלי קשר לרמת אבטחת המידע והתקנים שיש לארגון. בהחלט ייתכן שארגון יחזור על התהליך פעם נוספת כאשר יש לו מוצרים מגוונים.

הבדל נוסף הוא במיקוד. בעוד שאפשר לקבל תקן 27001 ISO גם אם נהלי אבטחת המידע ממומשים חלקית, אך הארגון מתחייב להטמיעם במהלך השנה, תקן SOC2 מבקש לראות הטמעה לפחות חצי שנה אחורה. כלומר: נדרש להראות עדויות על יישום הפרקטיקות הנדרשות.

מהו מבדק SOC2?

מבדק SOC2 מעריך את הבקרות הפנימיות, המדיניות והתהליכים. מדובר בבקרות שקשורות ישירות לאבטחה מידע, זמינות, עיבוד, שלמות, סודיות ופרטיות של המידע המנוהל (נתונים) בארגון.

חמשת הקטגוריות של SOC2 שמוכיחות את הביטחון ביכולת הארגון לשמור את בטיחות ותקינות המידע

מבדק SOC2 מגדיר חמש קטגוריות שמעידות על יכולת הארגון לשמור את בטיחות ותקינות המידע:

• אבטחה (Security) – בדיקה תקופתית, פיזית ולוגית, של יעילות המדיניות והנהלים המסדירים את האופן שבו ארגונים מגנים על עצמם מפני גישה בלתי מורשית יחד עם יכולת זיהוי מיידית כאשר יש פגיעה באבטחת מידע שעלולה לגרום לחשיפת מידע לגורם לא מורשה.
• זמינות (Availability) – בדיקה תקופתית המוודאת שמערכת המידע והנתונים זמינים להפעלה ולשימוש לפי הצורך שהוגדר להם.
• סודיות (Confidenti­ality) – בדיקה תקופתית המוודאת שמידע שמוגדר כסודי חייב להיות מוגן מספיק מפני גישה בלתי מורשית של גורם לא מוסמך מתוך או מחוץ לארגון.
• שלמות העיבוד (Processing Integrity) – בדיקה תקופתית המוודאת שעיבוד הנתונים במערכת המידע הינו שלם, תקף ומדויק בעת השימוש בו.
• פרטיות (Privacy) – בדיקה תקופתית המוודאת שימוש במידע פרטי אך ורק על פי התנאים שסוכמו עם הלקוח. כמו כן, ווידוא סילוק עקבות של פרטי מידע אישי שנשאר במערכת כתוצאה מגישה או שימוש במערכת. כלומר: ווידוא שלאחר השימוש במערכת מסולק המידע האישי שנשאר במערכות המידע של הארגון.

לסיכום

בעידן הדיגיטלי שאנו חיים בו, חובה על ארגונים נותני שירות שיש בידם גישה לנתונים של אנשים, לשמור על חשיפת המידע לגורמים בלתי מורשים או שימוש במידע לשימושים בלתי מורשים. כמו כן הארגון נדרש לוודא את תקינות מערכת הבקרה שלו על בטיחות ותקינות המידע שבאחריותו. יכולת עמידה בדרישות SOC2 מוכיחה שהארגון מחויב לנושא ועומד בדרישות.

Photo by Markus Spiske from Pexels

ראש השנה בפתח וניוזלטר זה מביא שלושה מאמרים בראש קצת אחר. ראש שונה לראש השנה.
אם קריאת אחד או יותר מהמאמרים שכלולים בניוזלטר זה תיתן לך זווית קצת שונה – עשיתי את שלי, שהרי ראייה אמיצה וזיהוי של המציאות היא צעד ראשוני והכרחי בתהליך השינוי.

המאמר הראשון, בראש שונה, מטרתו לחדש את ההסתכלות והגישה לגבי הצורך בראייה תהליכית עמוקה בארגונים. המאמר כולל שבע הטיות חשיבתיות כגון:
" פוסט מורטם או ביצוע פעולות מתקנות לא תמיד עוזרים",
"אנחנו אוהבים גיבורים שמכבים שריפות",
ועוד.

פרסמתי את המאמר הזה ברשתות החברתיות וקיבלתי מספר רב של תגובות ממנהלים שממש הרגישו שכתבתי את המאמר על החברה שלהם. אל דאגה, מסתבר שהאתגרים עימם אנו מתמודדים דומים למרות השונות בין החברות.
הקישור למאמר שדן במספר דפוסי חשיבה מוטעים שמקשים על ארגונים להיכנס לתהליכי שיפור של תהליכי העבודה שלהם, כאן – קישור.
האם אתם נתקלים בדפוסים האלה? משלימים עימם או מנסים לשנות?
האם תרמתי במשהו שיגרום לשינוי בשנה החדשה? מצפה לשמוע במייל חוזר.

המאמר השני דן בנושא דחיינות לביצוע מיזמים של שינוי. למדתי ש"המתחרה" הגדול ביותר שלנו מול ארגונים הוא לא יועץ אחר או חברת ייעוץ אחרת אלא… ההחלטה לדחות את ביצוע השינוי.
אחת הסיבות לדחיית ביצוע שינוי בארגונים היא התזמון. נכון שרוצים את השינוי אבל לא עכשיו, כי השינוי דורש ירידה עכשיו לצורך עלייה בעתיד ועכשיו אנו לא מוכנים לירידה.
האם מדובר בירידה לצורך עלייה ?
או אולי להיפך – מדובר בעלייה לצורך ירידה
מבולבלים?
המאמר שקישורו כאן דן בסוגייה זו
מחכה לשיתוף מניסיונכם ודעתכם – מדובר בעלייה לצורך ירידה או להיפך?

לסיכום, מאמר שלישי שדן בטעויות הנפוצות בניהול התקשורת בפרויקט השינוי שתורמות לכישלונו, ללא קשר לאיכותו.
תכנון פרויקט שינוי, כמו כל פרויקט שם דגש רב על תכנון משך הפרויקט, תכולתו ותקציבו. זה טוב אך לא מספיק. אנו עובדים עם אנשים ולא עם רובוטים. חוסר תכנון ובקרה של כל היבטי התקשורת בניהול השינוי עלולה לגרום לכישלון רועם..
איך נמנעים מכך?
כל הפרטים במאמר שקישורו כאן – קישור

מה דעתכם וניסיונכם? חושבים ששכחתי משהו ?

לסיכום,
ההשראה לכל הנכתב בניוזלטר זה היא בעיקר המציאות בתיבול ידע וניסיון שנצבר עם השנים. מקווה שיועיל לך

שתהיה לכולנו שנה טובה ומתוקה,
הרבה בריאות והצלחה,
שלכם,
אורנה קמין