OK יועצים לניהול

 CISO as a Service הינו שירות המסייע לגשר על הפער שחשים ארגונים קטנים ובינוניים, אשר מכירים בחשיבות של ניהול אבטחת מידע וסייבר בצורה שוטפת ומקצועית אך הם לא יכולים להצדיק את עלות העסקת מנהל אבטחת מידע ייעודי.  CISO כשירות מאפשר לכל ארגון גישה למומחיות אבטחה ברמה גבוהה ללא תקורה של העסקת מנהל אבטחת מידע וסייבר במשרה מלאה.

הגדרה מורחבת

• CISO as a Service הוא מודל גמיש וניתן להרחבה שבו מומחה לאבטחת מידע וסייבר מספק הובלה מקצועית, יישום והדרכה שבארגונים גדולים ניתנים על ידי אדם או צוות במשרה מלאה שעוסקים בתחום.
• זהו מודל שירות במיקור חוץ, עם כל היתרונות של שירות מקצועי במיקור חוץ: מאפשר לארגון להנות מרמה מקצועית של מומחה שמקצועו הוא אבטחת מידע וסייבר אך בצורה מותאמת וחסכונית.

עיקרי השירות

להלן עיקרי תכולת תפקיד מנהל CISO כשירות:

• תכנון אסטרטגי: השירות כולל פיתוח ותחזוקה של אסטרטגיית אבטחת סייבר מקיפה המותאמת למטרות הארגון ופרופיל הסיכונים.
• ניהול סיכונים: ביצוע הערכות סיכונים שוטפות, זיהוי נקודות תורפה והצעת צעדים למניעת הסיכונים או לפחות להפחתם כדי  להקטין נזקים מהתממשות תרחישים שליליים.
• פיתוח ועדכון מדיניות ונהלים: יצירה ועדכון של מדיניות אבטחה, תוך ווידוא שהם עומדים בדרישות תקינה ורגולציה.
• תגובה לאירועים: תכנון וניהול תגובות לאירועי אבטחת סייבר, מזעור נזקים וזמן התאוששות.
• מודעות והדרכה: הדרכות תקופתיות בנושאים הקשורים לאבטחת מידע, טיפוח תרבות של מודעות לאבטחת סייבר.
• ייעוץ טכנולוגי: ייעוץ בבחירה והטמעה של טכנולוגיות אבטחה ובקרה על הטמעתן בצורה יעילה.

יתרונות שימוש ב-CISO כשירות

להלן עיקרי היתרונות של שכירת CISO כשירות:

• חיסכון בעלויות: חסכוני יותר מהעסקת מנהל אבטחת מידע במשרה מלאה. אידיאלי עבור ארגונים קטנים ובינוניים (SMEs).
• גישת הכול או לא כלום: ארגונים רבים דוחים או מונעים מעצמם טיפול במערכת אבטחת מידע שלהם כיוון שאין לאנשי אבטחת המידע פניות או ידע לטפל בנושאים הקשורים לנושא.
• מומחיות וניסיון: אי התפשרות על רמה מקצועית גבוהה, למרות השקעה נמוכה יחסית. מומחה CISO במיקור חוץ מביא עימו ניסיון רב מעבודה בארגונים מגוונים, ואף ניסיון מחשיפה לאירועי אבטחת מידע וידע נרכש מהתמודדות עימם.
• גמישות: ניתן להגדיל או להקטין את השירותים בהתבסס על צרכי הארגון וצמיחתו, או מאירועים זמניים כגון דרישות של לקוחות להוכחת הטמעת מודלים או תקנים של אבטחת מידע.
• אורח לרגע רואה כל פגע: לאדם שמגיע לארגון למספר מוקצב של ימים או שעות בחודש נקודת מבט חיצונית שיכולה לספק תובנות שונות מקונצפציות אבטחת המידע בארגון.
• יישום מהיר: מומחה CISO משתלב מיידית בארגון; חוסך הכשרות של אנשים מתוך הארגון בנושאים החדשנים והחדשניים בתחום.

למי מתאים CISO כשירות?

CISO  כשירות מתאים לחברות הבאות:

• חברות קטנות ובינוניות עם תקציב מוגבל לאבטחת מידע וסייבר.
• ארגונים בתקופות מעבר, כגון אלו שחווים צמיחה מהירה או להבדיל אלה שחווים הצטמצמות ונדרשת להם התאמה בין הצרכים לצוות התמיכה.
• חברות במגזרים עם דרישות רגולציה מחמירות (כגון תעשיות רכב) אך חסרות מומחיות פנימית להתמודד עם הדרישות המורכבות של התקנים.
• כל ארגון שצריך לשפר את יכולות אבטחת הסייבר שלו אבל לא מוכן להתחייב ל-CISO במשרה מלאה.

למי לא מתאים מודל CISO כשירות?

מהפסקה הקודמת ניתן להבין שארגונים שיש להם אנשי אבטחת מידע שיודעים להתמודד עם אתגרי אבטחת מידע וסייבר של הארגון שלהם.

מה בקשר בין סקר סיכונים טכנולוגי תשתיתי לCISO כשירות?

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון במטרה לאתר פרצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם את הממצאים והסיכונים שאותרו כדי שהארגון יכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.

ארגונים רבים מבצעים סקר סיכונים ומבדקי חדירה לפני הטמעת שירות CISO במיקור חוץ מהטעמים הבאים:

• זיהוי נקודות תורפה: מבחני חדירה חושפים נקודות תורפה במערכות, רשתות ויישומים. הדו"ח המסכם זה עוזר ל-CISO להכין תכנית עבודה ותקציבים כדי לסגור את הפרצות שזוהו.
• אימות אמצעי אבטחה: מבחני חדירה מאפשרים לאמת את האפקטיביות של אמצעי האבטחה והבקרות הנוכחיים.
• ניהול סיכונים: תהליך ניהול סיכונים שמתבסס על דו"ח מבדק חדירה מאפשר לתעדף נקודות חשיפה קריטיות.
• הדרכה: מבחני חדירה לרוב חושפים כיצד פעולות אנושיות יכולות להוביל לפרצות אבטחה. חשיפה זו מסייעת ל-CISO לחדד נהלים, לחנך ולהכשיר את הצוות לגבי מודעות לאבטחת מידע וסייבר.
• שיפור מתמיד: בדיקות חדירה קבועות, כחלק מ-CISO as a Service, מבטיחות שיפור מתמיד באבטחת המידע בארגון. מגביר את המוכנות לאיומים חדשים ולסביבות עסקיות משתנות.

שילוב בדיקות חדירה יחד עם CISO as a Service תורם באופן משמעותי לחוסן ולאבטחה של תשתית ה-IT של הארגון.

סיכום והזמנה

איומי הסייבר גדלים ככל שעובר הזמן. לחברות שאין להם ארגון IT חזק, CISO כשירות הוא בהחלט הכרח ולא מותרות. מוזמנים לפנות אלינו כדי לקבל הצעה ש-CISO כשירות ובכך תקנו שירותי אבטחת מידע וסייבר ברמה מקצועית גבוהה ובעלויות הוגנות.

מתי מתאים לארגון לשקול להסתייע במיקור חוץ?
תשובה קצרה: כאשר גוברים האינדיקטורים שמעידים על תפקוד לא מיטבי, יחד עם חוסר באנשי מקצוע בתוך הארגון המתאימים או פנויים לטיפול נושא בתוך הארגון.

המאמר שלהן מפרט את אותם אינדיקטורים המעידים על תפקוד לא מיטבי של הארגון. גורמים אלה יכולים לעורר התחלה של תהליך לבחירת יועץ או להסתייע בשירות של מיקור חוץ לצורך מיקוד בשיפור אותם נושאים.
מספיק גורם אחד מהרשימה שלהלן כדי לשקול להכניס מומחה שיש לו את הכלים, הכישורים והזמינות לטפל בכך.
אציין שמומחה חיצוני הוא לא קוסם, אך הבאתו מאפשרת פוקוס ניהולי וביצועי על נושאים הדורשים שיפור, לעומת חוסר תשומת לב נדרשת על ידי גורמי פנים, עקב עיסוקם בנושאים השוטפים. 

אי עמידה בהתחייבויות

 מספר אינדיקטורים לאי עמידה בהתחייבויות:

• איחורים בלו"ז של אספקת מוצר או שירות
• שינויים בתכולת האספקה המובטחת ברגע האחרון
• גלישה בתקציב

אי עמידה בהתחייבויות גורמת לפגיעה קשה במוניטין החברה ובאמון לקוחותיה. כדי להקטין את הפגיעה כדאי לשקול להוסיף מומחה או יועץ שיתמקד בשיפור תהליכי העבודה במקביל לצוותים שמתמקדים בעבודה עצמה.

שביעות רצון נמוכה של הלקוחות

מספר אינדיקטורים לשביעות רצון נמוכה של הלקוחות:

• תלונות
• נטישה
• נתק או אי הבנות בתקשורת 

מגמת ירידה ברמת שביעות רצון הלקוחות היא קריאה דחופה לפעולה. הנטייה של העוסקים במלאכה היא לטפל בבעיות ולהמשיך במרוץ המטורף בתקווה שבהמשך יהיה יותר טוב. זה הזמן לשקול הוספת מנהל במיקור חוץ או יועץ שהמיקוד שלו הוא בחקר ותיקון סיבות השורש לאי שביעות הרצון היורדת ולא רק לשים פלסטר מהיר לעצירת הדימום.

ניהול לא אופטימאלי

מספר אינדיקטורים לניהול לא אופטימלי:

• אין יכולת למנהלים לדעת מה קורה; כל הזמן הפתעות לרעה
• חוסר תיאום בין מחלקות; ממשקים לא מוגדרים היטב
• אי בהירות בהגדרת תפקידים ו/או מעורבות בעלי עניין

אינדיקטורים כאלה במקרים רבים גורמים למתח רב בין המנהלים והעובדים, ובין עמיתים לעבודה. לרוב, לעוסקים במלאכה אין את היכולת לעצור ולהסתכל במבט-על על המתרחש. אדם מבחוץ שמצטרף עם ראייה רעננה ואובייקטיבית יכול לתרום מניסיונו לתיקון משמעותי של תהליכי העבודה.

תהליכים לא מיטביים

מספר אינדיקטורים לתהליכים שמתנהלים בצורה לא מטיבה:

• תהליכים לא מוגדרים היטב; ישיבות לא יעילות
• תוצרי התהליכים נפסלים בבדיקות או במבדקים
• זמני המתנה ארוכים במעבר בין שלבים;
• פעילויות מיותרות במהלך השלבים

אינדיקטורים כמו אלה שצוינו, מעידים על חריקות בתהליכי העבודה הקיימים. "אורח לרגע שרואה כל פגע" ובנוסף, כזה שעתותיו בידו, יכול לטייב את התהליכים, ובעקבות כך – את התוצאות.

בעיות איכות

אינדיקטורים של בעיות איכות בהכרח משפיעות על התוצאות העסקיות. יש המתעלמים מביצועי איכות ירודים. מי שלא מרוצה מהתוצאות העסקיות, מוזמן להתכבד ולבדוק את האינדיקטורים של האיכות. למשל:

• מחזורי עבודה נוספים לשם תיקונים
• במוצרים או השירות חסר חלק מהתכולה המתוכננת
• ריבוי תלונות לקוח לאחר האספקה

אם בעיות איכות חוזרות ונשנות נמשכות למרות המאמצים הפנימיים לטפל בהן, זהו איתות ברור שנדרשת מומחיות חיצונית. מומחה חיצוני יכול לעבוד על פיתרון סיבות השורש מהיסוד. זאת מומחיותו, ולשם כך מביאים אתו.

מצב רוח ירוד של העובדים

האינדיקטורים שלהלן מעידים על ירידה במצב רוח העובדים.

• תסכול, שחיקה,
• עבודה מסביב לשעון
• אין תחושה שיש יד מכוונת/מנהלת

מה קשור מצב רוח של עובדים למאמר הזה? מסתבר שגם מצב הרוח קשור. כאשר העובדים נקראים לדגל כדי לכבות שריפות, נדרשים לעבוד מסביב לשעון כדי לכפר על תהליכי עבודה לא מיטביים, הם נשחקים ומתעייפים. שחיקה ועייפות גורמת לעבודה לא מיטבית והמעגל מסתובב ומתעצם.

ספקים לא מרוצים

יועצים או עובדים במיקור חוץ, נחשבים ספקים של הארגון. יכולה להיות להם השפעה מכרעת על תהליכי החברה וביצועיה.

מניסיוני הקט, כספק של ארגונים בתחום ייעוץ ומיקור חוץ, יכולה להעיד על קשר ישיר בין היחס של הארגון לספקים שלו לבין ביצועי הארגון. לא טוענת שזה מה שמשפיע על הביצועים, אך האינדיקטורים של שביעות רצון נמוכה של הספקים מעידים על התנהלות בעייתית בתחום הרכש וכן מעידים על התנהלות לא הוגנת, שחייבת להתבטא גם בנושאים אחרים.

מספר אינדיקטורים:

• יחסים לא הוגנים בין הארגון לספקיו, או במילים קצת פחות תקינות פוליטית – לא משלמים בזמן או במקרים קיצוניים לא משלמים כלל
• עבודה לא מיטבית עם ספקים – דרישות וציפיות לא מוגדרות היטב יכולות להביא לביצועים לא טובים של תוצרי הספקים.

מסםר מילים לסיכום

כאשר האינדיקטורים שמעידים על תפקוד לא מיטבי גוברים,  זה הזמן להיעזר בגורם חיצוני: ייעוץ או מיקור חוץ. מספיק גורם אחד מהרשימה שלעיל כדי לשקול להכניס מומחה שיש לו את הכלים, הכישורים והזמינות לטפל בכך. אציין שמומחה חיצוני הוא לא קוסם, אך הבאתו מאפשרת פוקוס ניהולי וביצועי על הנושאים שמעידים על תפקוד לא מיטבי עקב תשומת לב שונה של אנשי החברה.

מה קורה אתכם? 
האם אתם שוקלים להסתייע במיקור חוץ? 
אם כן – מתי? וכיצד אתם מחליטים?

מצפה לתשובותיכם.

עובד במיקור חוץ משמעו – עובד לכל דבר מבחינת מעורבותו בארגון, אך תמורת עבודתו משולמת לו בחשבונית ללא כל התחייבות ארוכת טווח. (בסוגריים אגיד שהתחייבות ארוכת טווח כבר לא מובטחת היום לאף אחד, לא לארגון ולא למנהל).

העסקת מנהל איכות פנימי במשרה מלאה כרוכה לעתים קרובות במציאת מועמד בעל מערך מיומנויות רחב, דבר שעלול להיות מאתגר ויקר. עם זאת, עם מודלים גמישים של שירות, ארגונים יכולים להתחבר לרשת של מומחים, שלכל אחד יש ידע וניסיון מעמיק בתחום הספציפי של ניהול איכות. לדוגמה, מומחה אחד עשוי להתמחות בתקינה ורגולציה, בעוד שאחר מצטיין בשיפור תהליכים. התמחות זו מבטיחה שהארגון יקבל את הפתרונות האיכותיים המותאמים והיעילים ביותר לצרכיו הייחודיים.

גמישות במודלים של מיקור חוץ יכולה להוביל לחיסכון משמעותי בעלויות. כאשר שוכרים מנהל איכות פנימי, נדרשת השקעה משמעותית לגיוס, הכשרה והשתלבות. עם מיקור חוץ גמיש, הוצאות אלו ממוזערות. חברות יכולות לעבור בצורה חלקה לניהול איכות במיקור חוץ ללא צורך בהכשרה והכוונה מקיפה, שכן המומחים החיצוניים כבר בקיאים בתחומם. נקודה זו רלוונטית במיוחד כאשר יש צורך בידע ייחודי במודל או שיטה מיוחדים.

יתרון מרכזי נוסף הוא היכולת להפוך את ניהול האיכות לפונקציה חלקית. עבור חברות רבות, במיוחד קטנות יותר או אלו בתעשיות עם דרישות איכות משתנות, ייתכן שלא יהיה צורך במנהל איכות במשרה מלאה. מודלי שירות גמישים מאפשרים לארגונים להתאים את רמת ניהול האיכות לצרכים הנוכחיים שלהם. יכולת הסתגלות זו מבטיחה שהמשאבים יוקצו ביעילות, ללא קיבולת עודפת שלא ינוצלה.

שימוש במיקור חוץ על בסיס צורך מזדמן או חלקי, יחסית להעסקת עובדים על בסיס קבוע מעניק לארגונים יתרונות רבים. מאמר זה הינו חלק מסדרה של מספר מאמרים בנושא מיקור חוץ ומתמקד ביתרון אחד מיני הרבה יתרונות והוא – יתרון הגמישות.

מהם אותם מודלים מגוונים למיקור חוץ?

גמישות במודלים מגוונים בנושא מיקור חוץ

עבודה במיקור חוץ יכולה להיות במספר אופנים:

עובד במיקור חוץ במקום שכיר

מודל זה מתאים לארגונים שמעוניינים בעובד שכיר אך מסיבות שונות לא מצליחים לגייס עובד עם המומחיות הספציפית הנדרשת להם. למשל: מיקור חוץ בנושא ניהול איכות, מיקור חוץ בנושא תחזוקת מערכת המידע ועוד. הקושי נובע מכך שהמיקוד של הארגון הוא בנושאים "הקרביים" ופחות בנושאים של תמיכה ותשתיות. לעיתים הקושי הוא כה מהותי עד כדי כך שמנהלים שלא מומחים בנושאים הספציפיים אפילו מתקשים לבחור עובד או מנהל שכיר בנושא.
מומחה בנושא הנדרש נותן מענה טוב לצורך במומחיות הספציפית.
יש ארגונים שעובדים במודל הזה במקרים בהם יש תקציב אך אין תקנים מסיבות שונות.

הגמישות במודל זה באה לידי ביטוי גם בהעסקה בהיקף שעות חלקי ולא בהיקף של משרה מלאה.

החלפה זמנית של עובד קבוע

מודל זה מתאים לארגונים בהם נוצר צורך זמני במומחיות מסוימת. צורך זמני יכול לנבוע מחופשת לידה ארוכה, עובד שהחליט לקחת חופשה ללא תשלום לתקופה מסיבות אישיות, או לעיתים עומס זמני שדורש סיוע כדי לעמוד באבן דרך מסוימת.

מיקור חוץ לארגון שמורכב ממספר תחומי התמחות שונים

ישנן חברות צעירות שיש להם צורך מגוון, למשל: חצי משרה של מנהל מוצר, רבע משרה של מנהל דיגיטל, וחצי משרה של מנהל תכנה. יש חברות ייעוץ שנותנות שירות שכזה שמורכב ממספר מומחים, כל אחד במומחיות אחרת שביחד מרכיבים את פזל הצרכים.

חברתנו עובדת במודל כזה במספר קומבינציות: ניהול איכות פלוס אבטחת מידע וסייבר פלוס אבטחת הפרטיות, ועוד.

אנו נתקלים בצורך שכזה גם מסיבה אחרת – אמון שנוצר בעבודה עם לקוח בנושא מסוים, מביא עימו גם מיקור חוץ או ייעוץ בנושא אחר.

מיקור חוץ שיש לו גוון של אימון או התייעצות

נותן מענה לצורך של "בדידות בצריח של מנהלים".

הכוונה למומחה שמצטרף בנקודות זמן מסוימות, אך לאורך זמן. משך הזמן הוא חיוני כיוון שישנה היכרות ארוכת טווח עם הארגון.
דוגמאות: ייעוץ למנהלים בכירים – סוג של "משרת אמון" שמאפשר למנהל הבכיר לעבוד עם איש אמונו לאורך זמן.
אנו נותנים שירות כזה בנושא "אימון לאיכות". מנהלי איכות מתייעצים עם מומחים מחברתנו בנקודות זמן על פי צורכיהם.

כיצד מיקור חוץ בניהול איכות משפיע על התוצאות?

תצפיותיי בארגונים מראות שכאשר חסר מנהל איכות בארגון, הרעיון של ניהול איכות במיקור חוץ פחות נמצא בסל הפתרונות האפשריים לחוסר הזה. כדי לראות את ההשפעה של המחסור בתפקיד שכזה ניתן היה להראות אם משיהו היה עושה חישוב של CONA – Cost on Non Action; לצערי לא רואה ארגונים שעושים את החישוב הזה.

היתרונות של מודלי שירות גמישים במיקור חוץ לניהול איכות הם רבים. הם מאפשרים לארגונים גישה למומחיות מיוחדת, להפחית עלויות ולהתאים את מאמצי ניהול האיכות שלהם.

היכן אפשר למצוא יועץ או חברת ייעוץ שמספקת גמישות במיקור חוץ?

טוב ששאלתם 😊
חברת OK יועצים לניהול מספקת את כל סל האפשרויות למיקור חוץ בנושא ניהול איגות:

1. עובד במיקור חוץ במקום שכיר – עובד קבוע בהיקף שעות גמיש העובד בארגון
2. החלפה זמנית של עובד קבוע
3. מיקור חוץ מולטי-דיסציפלינארי המורכב ממספר יועצים שביחד נותנים מענה לצרכים מגוונים של הארגון
4. מיקור חוץ שיש לו גוון של אימון או התייעצות
5. ייעוץ נקודתי לפי הצורך

מוזמנים לאתגר אותנו במודל נוסף. מאמינים שנמצא גם לזה פתרון.

אילו מודלים "מדברים" אליכם? מה מוכר ומה פחות? מוזמנים לשתף מניסיונכם.

ארגונים רבים מטמיעים תקן 27001:2022 ISO כדי לבנות תרבות ארגונית לניהול אבטחת מידע.  מסתבר שלא מספיק להקים מערכת לניהול מערכת אבטחת מידע, לכתוב נהלים ולהטמיע תהליכים במחלקת אבטחת מידע ולשגר אותם לשאר העובדים.  כדי להבטיח יישום לאורך ולרוחב הארגון נדרשת מודעות ומעורבות עובדים לנושאים אלה. למרות ההבנה לחשיבות הנושא עדיין מאתגר לבנות תרבות ארגונית כזו.

מהם המכשולים שארגונים נתקלים בהם בדרכם לבנות תרבות ארגונית מודעת לא"מ? כיצד מתמודדים עם אתגרים אלה? כיצד יוצרים אחריות משותפת של עובדים ומנהלים לנושא? על כל אלה מוזמנים לקרוא במאמר שלהלן.

מחסומים בדרך לבניית תרבות ארגונית לאבטחת מידע

החלטתי לא להשתמש במילה המכובסת "אתגרים" אלא להסתכל ללבן בעיניים של המחסומים..

חוסר מודעות והבנה של העובדים לחשיבות הנושא

לא תמיד העובדים מודעים להשפעת מעשיהם על אבטחת המידע של הארגון כולו. העובדים מתרכזים בעבודה השוטפת שלהם והמודעות לאבטחת מידע ארגוני רגיש לא תמיד במודעות שלהם. עובדים עלולים לחשוב בטעות שמערכות המידע של הארגון מגינות על מידע רגיש ופחות לחשוב על האחריות האישית שלהם בנושא. מה כבר יכול לקרות מחוסר תשומת לב של עובד אחד?

אתגר מס 1 – כיצד להעלות את מודעות העובדים לנושא?

חוסר בהדרכות מודעות עובדים לנושא

נניח שהעובדים מודעים לנושא. ייתכן שחסר להם את הידע הנדרש כיצד לשמור על המידע הרגיש תוך כדי עיסוקם בפעילות השוטפת שלהם.

אתגר מס 2 – כיצד ארגונים יכולים לבנות מומחיות של עובדים בנושא אבטחת מידע?

התנגדות לשינוי

בסופו של דבר, הכנסת הרגלים בנושא אבטחת מידע היא שינוי של ההרגלים הקודמים. כל יוזמה חדשה נתקלת בהתנגדות, גם אם היא לא מובעת בקול. בעניין שלנו, אימוץ שיטות אבטחת מידע יכולות להיתקל בהתנגדות של כל מי שלא רוצה שיזיזו לו את הגבינה בדמות הנחיות חדשות.

אתגר מס 3 – כיצד להתגבר על התנגדות ולהניע עובדים לאמץ שיטות אבטחת מידע?

אסטרטגיות להצלחה על ידי תמיכת הנהלה, מתן הדרכות וחיזוקים חיוביים

מנהיגות ותמיכת הנהלה כל הדרך עד לאחרון העובדים

ההנהלה הבכירה מתכננת ומוציאה לפועל קמפיין שיווקי פנימי כדי לחנך את העובדים לגבי החשיבות של אבטחת מידע, באמצעות העברת מסרים, שימוש בערוצים ארגוניים, כגון: דוא"ל, פורטל ואפילו פוסטרים מעניינים שתלויים על הקירות.

נזכור, שהדוגמה האישית חשובה.  Walk the Talk. כמובן שתקשור הנושא לעובדים זה חשוב אך לא מספיק לשלוח דוא"ל או להפריח סיסמאות במפגשי עובדים. חשובה הדוגמה האישית.

כיצד עושים זאת? משתתפים באופן פעיל בהדרכות יחד עם העובדים ובכך מהווים דוגמה אישית.

מתן הדרכה מותאמת לארגון ולבעלי תפקידים בארגון

מתן תוכניות הדרכה מותאמות לבעלי תפקידים / מחלקות בחברה, ולא רק להסתפק בהדרכה כלל-ארגונית שמתאימה לכולם. הדרכה מותאמת מלווה בדוגמאות פרקטיות, מקרי בוחן, סימולציות שעוזרות להבין את הרלוונטיות הספציפית לכל בעל תפקיד ועוזרות ביישום עקרונות א"מ במהלך העבודה השוטפת.

משחוק ותגמול 

הלמידה של נושאי א"מ הופכת להיות מהנה ומעניינת באמצעות שילוב אלמנטים של משחוק ותגמול.

עובדים המשתתפים באופן פעיל ביוזמות א"מ או מדווחים על פגיעויות אפשריות, מתוגמלים על כך. התגמול לא בהכרח חייב להיות כספי. אפשר להוקיר תודה פומבית ולהעלות את תחושת הגאווה של מצטיינים בתחום.

תגמול יכול להיות גם שלילי. יכולה לשתף שכאשר הייתי שכירה השארתי מחשב פרוץ והלכתי לדרכי. כשחזרתי נבהלתי לגלות שהמחשב איננו. לאחר כמה דקות של חיפושים הסתבר שהקב"ט החרים אותו. נאלצתי לעבוד "חינוך מחדש" 😊 כדי לקבל את המחשב שלי בחזרה.

שמירת מודעות לנושא בצורה שוטפת

אבטחת מידע צריכה להיות כל הזמן במודעות כדי לא להירדם בשמירה. הארגון מיידע תקופתית את העובדים בעדכונים, איומים חדשים שהתגלו בארגונים אחרים ואזהרה מפני מקרים דומים, וכמובן גם סיפורי הצלחה. כל הפעולות שתוארו לעיל: קמפיינים שיווקיים פנימיים, הדרכות, משחוק, תחרויות וכדומה כדאי שייעשו מספר פעמים בשנה, כל פעם בצורה שונה ומפתיעה כדי לשמור על עירנות.

תרגיל פישינג

אחד האמצעים לבדוק שמירת מודעות לנושא א"מ היא ביצוע תרגיל פישינג.

תרגיל פישינג מעלה על פני השטח מצבים של ערנות או חוסר ערנות של עובדים לנושא א"מ. למשל: פתיחה של מייל זדוני שפתיחתו תגרום לפשיעת סייבר עקב חדירת גורם זר לארגון.

סיכום

בניית תרבות אבטחת מידע חזקה היא תהליך מתמשך הדורש התגברות על אתגרים ושיתוף עובדים בכל הרמות. המאמר הביא מספר אסטרטגיות להעלאת המודעות לחשיבות א"מ בצורה עקבית ומתמשכת, תוך חיזוק כל הנוגעים בדבר.

תשובה טובה: ההשקעה שלנו תלויה באיכות היוזמה, המסר והתזמון

סוכני שינוי / מנהלי איכות בארגונים חשים לעיתים קרובות שאין רצון להקשיב להם / אין הבנה בארגון בצורך לשינוי שהם מציעים. פעמים רבות אני אפילו שומעת טרוניות שההנהלה לא מבינה באיכות.
ברוב המקרים, האחריות על חידוד המסר וההנעה לפעולה היא של סוכן השינוי עצמו. להלן הצעה לבחון את יוזמת השינוי, לאור שלושה גורמי ההצלחה, שנדרש שיתקיימו:
יוזמה טובה – יוזמה שבאמת נדרשת לארגון עם פוטנציאל שיפור והחזר על השקעה חיובי.
מסר – היכולת של סוכן השינוי להעביר את המסר בנחיצות היוזמה לארגון, כך ש"בעל המאה" ישתכנע להשקיע משאבים ולקדם את הנושא, ושאר בעלי העניין יבינו את הצורך והתועלת וישתפו פעולה.
תזמון – האם הזמן העכשווי מתאים ? יש בכלל פניות ורצון להשקיע ביוזמה?

יוזמה טובה, מסר טוב, תזמון גרוע
יהיה קשה מאד להתקדם. לשקול להמתין לתקופה טובה יותר.

יוזמה לא מדויקת, מסר טוב, תזמון טוב
אפשר להתקדם, אבל ייתכן שלא בכיוון הנכון. קיים סיכון של בזבוז אנרגיה וחוסר רצון בעתיד להקשיב ליוזמות טובות. כדאי לדייק ולחדד את היוזמה.

יוזמה טובה, מסר לא טוב, תזמון טוב
הארגון לא בשל / לא מוכן לשמוע על יוזמת השינוי. אם הבעיה היא באופן העברת המסר – נדרש להתאים את המסר לקהל כך שיהיה קל להבין ולרצות להטמיע את השינוי. במקרים שכאלה, על סוכן השינוי / מנהל האיכות לקחת אחריות על התוצאה ולנסות להסביר ל"לקוח" שלו מדוע היוזמה חשובה, ולא רק בגלל ש"צריך".

חשבו על יוזמות שהצליחו, ויוזמות שלא הצליחו. האם ההצלחה או אי ההצלחה נבעה מקיום / אי קיום של הגורמים הנ"ל? אשמח לשמוע.

סוכני שינוי, בבואם להציג להנהלה שלהם יוזמה חדשה שלדעתם תשפר את מצב הארגון, תמיד ייתקלו בשאלה – "כמה זה עולה לנו", או "האם עכשיו אנו יכולים להשקיע משאבים ביוזמה המדוברת כאשר יש נושאים הרבה יותר בוערים?

עצתי לסוכני השינוי, לדבר במונחים של השקעה מניבה ולא במונחים של עלות. השקעה מניבה, כשמה כן היא: היא מניבה פירות ולא רק שואבת משאבים. מציעה לשקול שימוש של מדד – Return on Time Investment, במקום המדד: Return on Investment שמודד את ההשקעה גם במונחי הזמן שנחסך ולא רק במונחים כספיים. ברוב הארגונים משאב הזמן יקר יותר ממשאב הכסף. למרות שגם משאב הזמן מתורגם לכסף בסופו של יום, מדידת החיסכון במונחי זמן נותנת זווית נוספת למדידת ההשקעה.

עצה נוספת, לחלק את ההשקעה ל"תשלומים". כלומר – לבנות תכנית עם צעדים קטנים והדרגתיים, עם אבני דרך במקום תכנית אחת גדולה ובכך להתמודד עם החשש מתוכניות שיפור גדולות. רצוי ביותר להתחיל עם הצוותים החזקים ומשתפי הפעולה כדי לייצר מומנטום של הצלחה, ולצבור קרדיט להמשך.

מה אתם אומרים? משחק מילים או שיש לנאמר ערך ?

ספרו לי. מצפה לשמוע מיכם.

א

א

א

א

א

א

א

הכה את המומחית (זוכרים שזה ביטוי, בלי מכות בבקשה..)  מספר 2

מנהלים, סוכני שינוי בארגונים מכינים מראש מענה לשאלה שיישאלו – מה יוצא לי מהיוזמה שלכם? מה התועלת?

ובכן, לא זאת השאלה!

השאלה שצריכה להישאל היא: מה התועלת של התועלת?

מנהלים, סוכני שינוי בארגונים יוזמים שינוי ומכינים בנק של תשובות לשאלות שצפויות להגיע.

שאלות כמו מדוע כדאי להטמיע את השינוי, מי צריך את זה? אפשר לדחות למועד אחר (עד שנשכח מזה ונוותר)? כמה זה עולה לי?… נענות בתשובה: הלקוחות דורשים את זה, המתחרים כבר מזמן עושים את זה, נעשה את הפעולות הרגילות שלנו מהר יותר, באיכות טובה יותר.
תשובות האלה הן טובות, אבל לא תמיד הן מספיקות כדי להניע את הספינה לכיוון שונה ממה שכרגע היא שטה. תשובות טובות יותר הן כאלה שמראות את התועלת של התועלת.

למשל, במקרה שלקוחות דורשים לעבוד בשיטת עבודה מסוימת (תקן או מודל), אפשר להראות את הרווחים האמיתיים הנובעים מהשינוי, ולא רק לעשות כי הלקוחות רוצים. הלקוחות דורשים עבודה בשיטה מסוימת, לפי מודל מסוים, כדי להבטיח שהספק שלהם עובד בצורה איכותית ועומד בזמנים. לא קשה למצוא במקרה שכזה את התועלת של התועלת, מעבר ל"זה מה שדורשים מאיתנו".

ולא נשכח שגם המנהל המאשר הוא בן אדם. כדי שהמנהל שלכם ישקיע ברעיון שלכם הוא צריך להבין קודם כל – מה ייצא לו אישית מזה בנוסף לתועלות הארגוניות. כן, כן – גם למנהל יש אג'נדה אישית. הבינו את הצורך הסמוי והראו כיצד היוזמה תקדם אותו. מה מניע אותו – גאווה? פחד? אגו? מוטיבציה? מבחינתו השיפור יכול להתבטא בתוצאות מספריות, ביוקרה שיזכה בה, התרגשות מיוזמה חדשנית, או מיליון סיבות אחרות. מצאו את הדרך לגייס אותו רגשית לתהליך.

עכשיו תורכם – איזה שינוי אתם רוצים לעשות בארגונכם? מה התועלת של השינוי? ומה התועלת של התועלת?

אני פוגשת מנהלים בארגונים שמרגישים שתהליכי העבודה שלהם מעכבים את ההתקדמות שלהם. מרגישים ולא מחליטים לשנות. התרגלו למצב הקיים. מספרים לעצמם סיפורים מדוע לא לעשות שינוי. עובדים מסביב לשעון, אך לא בהכרח מתקדמים בכיוון ובקצב הרצוי.

קיימים בספרות מודלים רבים לשינוי. מציעה במאמר זה את מודל משולש השינוי שמייצג את מה שהשכלתי מכל מלמדי.

משולש השינוי

משולש השינוי מכיל את האלמנטים הבאים:

• מחליטים לשנות ומקצים משאבים
• יוצרים תהליך / שיטת עבודה
• מטמיעים את התהליך

וחוזר חלילה.

ניסיוני הקט לימד אותי שזה לא תהליך כמו DMAIC שבו מתקדמים בטור משלב לשלב וגם לא תהליך עגול של שיפור מתמיד. זוויות המשולש מייצגות דרך חתחתים שלצערי מגיעים אליה במקרים רבים רק שנדחפים לפינות (קודקודי המשולש) ושלושת התהליכים (צלעות המשולב) מתקיימים בו זמנית.

מחליטים לשנות ומקצים משאבים

במקרים רבים, בחיי ארגונים, כמו בחיים האישיים מחליטים לשנות רק כשמגיעים עם הגב לפינה, כאשר רואים ששיטת העבודה הקיימת אינה מטיבה עימנו.

חלק גדול מהארגונים מחליטים לשנות כתוצאה מאירוע חיצוני, למשל: לקוח דורש שיוכיחו לו שהארגון הטמיע שיטת עבודה המבוססת על תקינה או מודל נדרש. ישנם מודלים מורכבים לתעשיות ספציפיות כמו תעופה ורכב וישנם מודלים או תקנים מורכבים פחות. המודלים או התקנים מגדירים איך ארגון איכותי אמור לעבוד, וכל ארגון יוצר את שיטת העבודה שמתאימה לו וגם עונה לדרישות המודל או התקן.

חלק מסוים מהארגונים מחליט לשנות כתוצאה מהבנה שהישארות במצב הקיים גובה מחיר יקר.

כמובן שתמיכה הנהלה ביוזמת השינוי היא הכרחית ובלעדיה אין טכם לצאת לדרך.

לאחר שהוחלט לעשות שינוי מגדירים מטרות במונחי תוצאות. כלומר – לא מספיק להגדיר את השגת תקן כיעד כדי להשביע את רצון הלקוח שדורש זאת, אלא להגדיר מה התוצאות הרצויות לנו. איפה אנו היום?(המצב המצוי מה לשמר ומה לשנת), ולאן אנו רוצים להגיע (המצב הרצוי מפורט לפי נושאים).

יוצרים תהליך / שיטת עבודה

השלב זה כולל יצירת תכנית עבודה כדי להגדיר ולהטמיע את שיטת העבודה שתסגור את הפער בין המצב הרצוי למצב המצוי. התכנית נעשית על ידי גזירה לאחור של הפעולות שיביאו לתוצאות הרצויות.

שיטת העבודה היא אוסף של נהלים, תבניות (Templates), מדריכים (Guidelines),  רשימות תיוג (Checklists) וכלים (Tools) המחייבת את הארגון.

שילוב יועץ מומחה בשלב זה יכול להאיץ את קצב השינוי כיוון שהיועץ מכיר מודלים שונים ושיטות עבודה ויכול להתאימן לארגון; היועץ בונה עם הארגון שיטת עבודה פרקטית המבוססת על ניסיונו תוך התאמת סט הכלים שברשותו לצרכים הספציפיים של הארגון. היועץ שמוקצה למשימה מקדיש לכך את זמנו, לעומת יועצים פנימיים שמוסתים לפעילויות אחרות.

מטמיעים את התהליך

זהו השלב שבו שיטת העבודה שהוגדרה מוטמעת ביחידות הרלוונטיות בארגון. הטמעה היא תהליך שדורש יישום של שיטת העבודה החדשה וכן ביצוע של מבדקים פנימיים המוודאים שהשינוי מוטמע כהלכה. לעיתים פערים ביכולת ההטמעה של השיטה החדשה דורשים שינוי בהגדרת השיטה.

שילוב יועץ מומחה בשלב זה מאיץ את קצב הטמעת השינוי. מדובר באותו יועץ שעסק בהגדרת שיטת העבודה החדשה. כאמור, כל ניסיונו וזמנו מוקדש לשינוי, כולל שינויים הנדרשים בשיטה כדי להקל על ההטמעה.

 .. וחוזר חלילה

החזרה על תהליך השינוי היא חשובה מאד. ישמה ציפייה שתהליך השינוי יהיה חד פעמי ודרמטי. לא כך הוא. השינוי נעשה בצעדים. כמו שמחשבים רווח על ידי חישוב של ריבית דה-ריבית, כך נעשה שינוי דה שינוי. כל פעם קצת אבל בטווח ארוך השינוי מצטבר לשיטת עבודה חדשה ומיטבית.

אשמח לשמוע מניסיונכם: כיצד אתם מנהלים שינוי? מה המניע לעשות שינוי? איך אתם מגדירים את השינוי הנדרש? איך אתם מטמיעים את השינוי הנדרש? 

לקראת הפסח – מאמר שלישי בסדרה של שלושה מאמרים קצרים בנושא השראה מתוך ההגדה של פסח שתעזור לנו לקדם את הרעיונות שלנו בארגון, וכתוצאה מכך – תעזור לנו לקדם את עצמינו בארגון.

במהלך השנים זכיתי להתארח  בערב פסח אצל משפחות מעדות שונות, במקומות שונים בעולם, בשפות שונות, חילונים, דתיים. תמיד היה מרגש ומופלא בעיני שערב הפסח נחגג באותה צורה בכל המשפחות ברחבי הגלובוס (עד כדי לחנים טיפה שונים אצל עדות שונות).

מה הופך את ההגדה לסיפור כל כך מיוחד? מה גורם להגדה להיות כזאת רבת מכר שגורמת לכולנו לחזור לקרוא בה שנה אחרי שנה? אתאר בסדרה שלשלושה מאמרים עשרה אלמנטים שגורמים להגדה להיות כה מיוחדת. אם תפנימו אותם, תוכלו לקדם את הרעיונות שלכם בארגון, ובעקבות כך גם לקדם את עצמיכם.

המאמר הראשון בסדרה דן בארבעה אלמנטים:

• שני קצוות
• שאילת שאלות מסקרנות
• הפעלות
• משחק

המאמר השני  בסדרה דן בשלשה אלמנטים נוספים:

• שירים עם לחן קליט
• הרחבה והסבר על מושגים מרכזיים
• חזרתיות על מסר

מאמר זה, השלישי והאחרון בסדרה, מוסיף שלושה אלמנטים נוספים:

קבוצתיות

בליל הסדר יושבים ביחד ומקריאים בקבוצה את ההגדה ושרים את השירים המיוחדים לאירוע עצמו. ככל שהקבוצה יותר גדולה האירוע יותר עוצמתי. מחזק את הרצון של המשתתפים לחזור על האירוע שוב ושוב.

איך קשור אלינו? לכידות קבוצתית, סביב פרויקט משותף, אבן דרך מאתגרת עוזר לפרטים להתחבר למטרה ולהשקיע מעצמם מעבר למה שהיו עושים לבד.

ייחודיות

שרים שירים שמיוחדים לערב הזה, ואף יש שיר שמוקדם לייחודיות – מה נשתנה הלילה הזה מכל הלילות. הערב הזה הוא מיוחד ומבודל ולכן זוכרים אותו.

איך קשור אלינו? רוצים שישימו לב אליכם? תהיו מיוחדים, רצוי באופן חיובי.

אוכל

אוכל מחבר בין אנשים.   במיוחד אוכל טעים, מזין, מנחם.
חשבו כיצד לשלב פעילויות שקשורות לאכילה כחלק מהפעילויות שלכם. מה לעשות, אוכל עושה טוב.

יש לכם רעיונות נוספים להשתמש באחד מהאלמנטים כדי לקדם את הרעיונות שלכם?
תמה ונשלמה סדרת הלקחים שניתן ללמוד מההגדה של פסח.

אילו אלמנטים נותנים לכם השראה? האם יש אלמנטים נוספים?
ספרו לי. אולי נצליח לייצr עוד פרק

נכתב בעקבות סרטון יוטיוב של דני וידיסלבסקי שראיתי בשם "למה אנשים קוראים כל שנה בהגדה של פסח?"

לקראת הפסח – מאמר שני בסדרה של שלושה מאמרים קצרים בנושא השראה מתוך ההגדה של פסח שתעזור לנו לקדם את הרעיונות שלנו בארגון וכתוצאה מכך – תעזור לנו לקדם את עצמינו בארגון.

במהלך השנים זכיתי להתארח  בערב פסח אצל משפחות מעדות שונות, במקומות שונים בעולם, בשפות שונות, חילונים, דתיים. תמיד היה מרגש ומופלא בעיני שערב הפסח נחגג באותה צורה בכל המשפחות ברחבי הגלובוס (עד כדי לחנים טיפה שונים אצל עדות שונות).

מה הופך את ההגדה לסיפור כל כך מיוחד? מה גורם להגדה להיות כזאת רבת מכר שגורמת לכולנו לחזור לקרוא בה שנה אחרי שנה? אתאר בסדרה שלשלושה מאמרים עשרה אלמנטים שגורמים להגדה להיות כה מיוחדת. אם תפנימו אותם, תוכלו לקדם את הרעיונות שלכם בארגון, ובעקבות כך גם לקדם את עצמיכם? על כל אלה – בסדרת המאמרים לכבוד פסח.

המאמר הראשון בסדרה דן בארבעה אלמנטים:

1. שני קצוות
2. שאילת שאלות מסקרנות
3. הפעלות
4. משחק

פרטים במאמר הראשון בסדרה

מאמר זה, השני בסדרה, מוסיף שלושה אלמנטים נוספים:

שירים עם לחן קליט

השירים בהגדה הם עם לחן קליט ומילים קליטות
שירים כמו די דיינו, אחד מי יודע – הם שירים עם לחן קליט וגם יש בהם את מוטיב הסקרנות.

איך זה קשור אלינו? תנו שם קליט ליוזמה שלכם/ לתהליכים שלכם, או סיסמה שקל לזכור אותה ולחזור עליה, בלי להסביר את כל מה שעומד מאחוריה.

דוגמה: ארגון שעובד עם תהליך פיתוח שכולל שלבים, עם שערים של Go/No Go הדורשים עמידה באוסף של תנאים כדי לעבור בשער לשלב הבא. מתן שם קליט לכל שער עוזר לנהל ארגון, במיוחד ארגון גדול, אפילו בינלאומי, לכל שער יש שם קליט. אמרת אותו וכולם מבינים במה מדובר.

הרחבה והסבר על מושגים מרכזיים

בהגדה יש הסבר נרחב על מושגים כמו פסח, מצה ומרור.
רותם את כולם – לשם מה התכנסנו היום?

לענייננו – אתם רוצים לרתום עובדים ומנהלים ליוזמת שינוי? תסבירו – למה ומדוע, ולא רק להגיד מהיום יהיה כך וכך ..

חזרתיות על מסר

אנו קוראים את ההגדה שנה אחר שנה, בלי שינויים או עדכונים. חוזרים על המסר שוב ושוב. החזרתיות שבמוכר והידוע מגייסת השתתפות נרחבת למנהלים ועובדים שרוצים לחזור על החומר למרות שהם מכירים אותו היטב

מה ניתן ללמוד מיכך? היום אנו בעד שינויים והתאמות של תהליכים לצרכים המשתנים של כל ארגון. עצתי – עדכנו כמובן את התהליכים, אך שמרו על השפה המוכרת.

הדוגמה שניתנה לעיל עם שיום שערי Go/No Go – שמרו על שמות השערים, יחד עם עדכון לפי הצורך של הקריטריונים לעמידה בכל שער.

יש לכם רעיונות נוספים להשתמש באחד מהאלמנטים כדי לקדם את הרעיונות שלכם?

אילו אלמנטים נותנים לכם השראה? ספרו לי

המשך יבוא .. עוד שלושה אלמנטים במאמר הבא

נכתב בעקבות סרטון יוטיוב של דני וידיסלבסקי שראיתי בשם "למה אנשים קוראים כל שנה בהגדה של פסח?"