לפני מספר שנים כאשר עדיין הייתי שכירה, קיבלתי במהלך יום עבודה דוא"ל ממנכ"ל החברה עם הודעה על שינוי ארגוני בחברה עם קישור למבנה הארגוני החדש. המחשבה אם לפתוח את הדוא"ל וללחוץ על הקישור או לא לפתוח אפילו לא חלפה במוחי. מייד פתחתי, ונחשו מה קרה? המייל הכיל קישור זדוני שנעל את הגישה לקבצי החברה. מיילים דומים נשלחו לכלל עובדי החברה, וגם הם נפתחו באופן מיידי.
מחלקת ה-IT של החברה נכנסה לפעולה באופן מיידי. הרשת נוקתה ושוחזרה. עדיין היה נזק של כמה עשרות דקות כיוון שהארגון היה מאורגן היטב.
חברות שלא מוכנות לסוג כזה של מתקפה עלולות לסבול מנזקים קשים, דרישות כופר ושלל מַרְעִין בִּישִׁין. האתגר הולך וגדל כאשר התקשורת עוברת להיות דיגיטלית יותר ויותר.
פישינג (דיוג) – הוא ניסיון לגנוב מידע רגיש של החברה על ידי התחזות ברשת. התקפת פישינג היא סוג של פיגוע בחברה, כאשר התוקף שולח הודעה בדוא"ל, מסרון ואפילו שיחת טלפון שמטרתה לייצר לחץ למסירת פרטים תוך התחזות לגורם לגיטימי. התקפת פישינג מאד נפוצה ויחסית קלה לביצוע על ידי התוקפים.
העובדים הינם החולייה החלשה ביותר לארגון בהתקפות פישינג, לפחות עד הרגע בו הם מוכנים לזהות ולדווח על התקפות אלו. התקפות פישינג וקמפיינים של הנדסה חברתית הינן ההתקפות הנפוצות ביותר כיום. מנהלי אבטחת מידע חוששים מהם יותר מכל התקפה אחרת. מידי חודש מופצים כ-100,000 קמפיינים ייחודיים של תקיפה.
מתקפת פישינג (דיוג) היא צורת התקפה בקטגוריית הנדסה חברתית, שבה גורם זדוני מתחזה לגוף אמין תוך שהוא מבקש פרטי מידע רגישים מהקורבן.
ההתקפה בדרך כלל מתבצעת באמצעות דוא"ל, מודעות או אתרים שנראים כמו אתרים שבהם העובדים כבר משתמשים. לדוגמה, הודעות דוא"ל שנראית כאילו היא נשלחה מהבנק, ובה המשתמש מתבקשים לאשר את מספר חשבון הבנק.
לא ניתן למנוע התקפות פישינג במאה אחוז בהיבט הטכנולוגי בלבד. הכרחי לאמן את העובדים בזיהוי התקפה כזו ודיווח מיידי לגורם הרלוונטי בחברה.
חברה יכולה להפחית את נזקי התקפות פישינג באמצעות סגירת פרצות טכנולוגיות והדרכת עובדים.
אימון למודעות התקפות פישינג מתחיל בחינוך / תרגול העובדים על מהות ההתקפה ומדוע היא מזיקה לארגון והעצמתם לזהות ולדווח על ניסיונות פישינג. בהתאם לתרבות הארגון, ניתן להעביר הכשרה ראשונית זו באמצעות מסמך כתוב, סרטון וידאו, פגישות מחלקה, הדרכה כיתתית או של שילוב האפשרויות לעיל.
סימולציות התקפות דיוג תורמים להכשרת העובדים ועוזרים לארגון להבין רמת המוכנות להתקפות אלו. כאשר עובדים לוחצים על קישור או קובץ מצורף בדוא"ל סימולציה, חשוב להעביר מסר שהם עלולים לסכן את עצמם ואת הארגון. לאחר מכן ניתן להציג "דף הדרכה" ומזכיר לעובדים כיצד לדווח על מיילים חשודים.
מעקב אחר תוצאות הסימולציה ושיפור מתמיד
שימוש בתוצאות, כגון סוגי ההתקפות שהצליחו ביותר וזיהוי הצוותים שהיו הכי פגיעים, מסייעות למקד את ניטור האבטחה, לחזק את האימון למודעות פישינג ולהוסיף בקרות נוספות להגנה על פישינג. ניתן גם להשתמש בתוצאות כדי לעקוב אחר ההתקדמות של תוכנית המודעות הארגונית להתקפות פישינג.
לסיכום,
האם גם אתם נחשפתם למתקפת פישינג? אם כן – ספרו איך ונלמד כולנו.
מעוניינים להתכונן למתקפת פישינג? דברו איתנו
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת מידי פעם מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
השבוע הייתי בכנס מקצועי ובדרך לשירותים ראיתי את השלט הבא:
נכון, אין כבר טלפונים ציבוריים. עמדתי וצילמתי את השלט. שני עמיתים שלי שעמדו ליד השלט אמרו: וואלה, אנו עומדים כאן כבר חצי שעה ולא שמנו לב לשלט.
הגדלתי לעשות והלכתי בעקבות השלט. באופן בלתי מפתיע טלפונים ציבוריים לא היו ליד השירותים.
כמה זמן השלט הבלתי רלוונטי עומד בבית המלון שמשמש גם כמרכז כנסים?
האם יש עוד מישהו ביננו שיש לו צורך בטלפון ציבורי?
כלומר: שנים על גבי שנים, מנהלי ועובדי המלון עוברים ליד השלט הלא רלוונטי, וגם המטעה (כי מי שהולך בעקבות השלט לא ימצא טלפונים ציבוריים) ולא רואים שהגיע הזמן לרענן את השלט?
עצירה קטנה לצורך הסבר על מערכת מאד מעניינת בגוף האדם, מערכת Reticular Activating System או בקיצור RAS. המערכת נמצאת בגזע המח ומשפיעה על כל ההתנהלות שלנו, כולל העסקית והארגונית.
מערכת RAS אחראית להעביר אותנו ממצב ערות למצב שינה ולהיפך. המערכת מעבדת נתונים בקצב גבוה ביותר, בערך פי ארבע משאר חלקי המוח. בזכותה רובנו לא משתגעים מעודף המידע והמסרים שאנו מופצצים מידי רגע: דואר אלקטרוני, פוסטים ברשתות החברתיות, שלטים בכביש, רדיו, טלוויזיה, קשרים עם אנשים אחרים ועוד ועוד. מערכת ה-RAS מפעילה פילטר ומסננת את המידע שמגיע אלינו. בעניין המעבר מעירות לשינה: אנו יכולים להירדם בסביבה רועשת ומערכת ה-RAS תעיר אותנו מיד אם אנו שומעים בכי של תינוק, במיוחד אם הוא שלנו. או: אנו שמים לב כשמישהו קורא בשמנו גם כאשר אנו בתוך המולה של אנשים שכולם מדברים בקול רם כדי להתגבר על מוזיקה רעשנית.
כלומר: מערכת RAS היא פילטר שמסנן עבורנו את המידע הרלוונטי מתוך ים המידע והרעש מסביב. בזכות מערכת ה-RAS אנו יכולים לראות ולשמוע את המראות והצלילים אבל הרוב לא מעובד ומופנם.
מערכת ה-RAS עובדת שעות נוספות גם במפגשים בין אישיים, במיוחד אם מנסים למכור לנו משהו. אנו יכולים להשתתף בשיחה, נניח שאנו מנסים למכור רעיון למנהל בכיר במסדרון. השיחה מתנהלת ומיד נמחקת כאילו לא קרתה.
לכן כל מי שרוצה למכור לנו דבר מה עושה משהו יוצא דופן כדי לתפוס את תשומת הלב שלנו. אחרת המידע עובר לידנו.
סוכן שינוי שרוצה למכור רעיון למנהל בכיר – יש לו חלון הזדמנויות קצר ביותר של 15 עד 30 שניות להעביר את המסר. מה לעשות כדי שהרעיון שלנו ייקלט? עלינו לגרום לאדם שמקשיב לשאול אותנו שאלה. אם נמען המסר שאל אותנו שאלה, הדבר מעיד על כך שעברנו את הפילטר שהפעילה מערכת ה-RAS. אם לא – לא להיעלב מכך שהמנהל לא חזר אלינו בקשר ליוזמה שלנו. הוא פשוט בן אדם ששומר על השפיות שלו.
הכי חשוב – להפסיק להיעלב ולרטון שהרעיונות המעולים שלנו לא זוכים לתשומת לב. יד על הלב – גם לנו יש מערכת RAS משלנו שמסננת עבורנו את עודף המידע שאנו מופצצים בו, במיוחד כשמנסים למכור לנו משהו.
ועוד יותר חשוב – כאשר אתם מעוניינים להעביר מסר, לעשות שינוי, תתמקדו ב-למה ולא בפתרון. למה אנו מציעים לשנות? מה קורה היום? אלה תועלות יקרו מהשינוי, ורק אחרי שקיבלנו תשומת לב ונישאל כיצד נשיג את התועלות המובטחות, רק אז תסבירו את התכנית שלכם.
הטעות הגדולה שחלק גדול מסוכני השינוי עושים – הם ישר ניגשים לתכנית הפעולה: שינוי שיטת העבודה, הכנסת כלי חדש.. בלי להדגיש מספיק את הצורך. המנהל הבכיר ששומע את התכנית מיד רואה את המשאבים שנדרשים להשקעה.. ומערכת ה-RAS מנתקת את הקשב שלו.
לא סתם הומצא המושג "נאום המעלית". תפסו את הקשב של מי שאתם רוצים למכור לו רעיון, ורק אחרי שנשאלתם שאלה עברו לשלב הבא.
ספרו לי על מקרים בהם חשבתם שהתעלמו מהמסר שלכם? איזה שינוי הייתם עושים? גם הבנה בדיעבד תעזור לכם לפעם הבאה..
בהצלחה!
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן |
תודה למאמן העסקי המיתולוגי שלי, מוטי סחראי, ממנו שמעתי על ה-RAS לפני למעלה מחמש שנים, והמסר שלו נקלט למרות פילטר ההגנה שהופעל 😊
חדשות לבקרים קורים מקרים בהם האקרים פורצים למערכות המחשוב של ארגונים וגורמים לנזקים קשים ברמה תפעולית, כספית ותדמיתית. חלק קטן מהמקרים מתפרסם בתקשורת. גילוי נאות, אי אפשר לחסום הרמטית ולהבטיח הגנה מושלמת. אולם, במקרים רבים קיימות פרצות משוועות, שבהחלט ניתן לסגור אותן ולהפחית את הסיכון של אובדן שליטה על מערכת המידע.
החשיפות והנזקים קורים לכל סוגי הארגונים. לא צריך להיות ארגון גדול או ביטחוני או ממשלתי כדי ליפול קורבן למתקפת סייבר. כל ארגון המתבסס על מערכות המידע שלו כדי לפעול חשוף להתקפות מזיקות וכואבות. ארגונים העוסקים בפיתוח חשופים לפרצות עקב עבודה מוגברת של עובדים ומנהלים העובדים מרחוק. ארגונים הנותנים שירות חשופים לפרצות ונזקים פוטנציאליים למאגרי המידע שמשמשים אותם לצורך מתן שירות, ספקים של ארגונים יכולים להוות נקודת התורפה שדרכה תיעשה הפריצה. עובדים בארגונים יכולים בעצמם להביא על הארגון שלהם צרות גדולות, עקב חוסר מודעות לפעולות שהם עושים.
עד כה, ניסיתי לשכנע אתכם בטוב למה באמת כדאי, אך ברוב במקרים הדבר הינו ממש דרישה.
ארגונים המבצעים הסמכה לתקן אבטחת מידע 27001 ISO נדרשים לבצע מבדק חדירה תשתיתי כמענה לדרישה בתקן לביצוע vulnerability test (סקר פגיעויות בתשתיות החברה וכחלק מתהליכי הפיתוח).
ארגונים בעלי מאגרי מידע בסיווג גבוה נדרשים לבצע מבדק חדירה לפחות פעם ב- 18 חודש כמענה לדרישה של תקנות הגנה על הפרטיות.
סקר סיכוני אבטחת מידע הינו מבדק טכנולוגי הבודק את נכסי המידע והתהליכים הקריטיים של הארגון על מנת לקבלת תמונת מצב של רמת ההגנה של הארגון על נכסיו הדיגיטאליים. הסקר מזהה סיכונים, מעריך את הסיכונים מבחינת פוטנציאל הנזק, קובע סדרי עדיפויות לסגירת הפערים.
הסקר נדרש לארגונים שעוברים הסמכה לתקני אבטחת מידע, ממשפחת תקני 27001 ISO. ישנם גם מקרים שלקוחות דורשים מהספקים שלהם לבצע סקר סיכונים כדי לוודא שלא ייגרם נזק דווקא דרך הכניסה האחורית של הארגון המיועדת לספקים.
הסקר מאפשר לארגון להכין תכנית עבודה כדי לסגור את הפערים שהתגלו. מנהלי מערכות מידע משתמשים בדו"ח של הסקר כדי להכין תכנית עבודה שנתית לסגירת הפערים ולבקש תקציב מההנהלה לשם כך.
מטרת סקר הסיכונים משתנה בין כל ארגון וארגון. המטרות הנפוצות ביותר של סקרי סיכונים הינם: קבלת תמונת מצב, עזרה בקביעת סדרי עדיפויות בנושאי אבטחת מידע, קבלת תקצוב, עמידה בדרישות רגולטיביות ועוד.
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
הסקר כולל מיפוי של מוקדי סיכון וחשיפות בתחום אבטחת המידע וסייבר בחברה. הסקר כולל קטגוריות של סיכונים:
⦁ סיכונים תפעוליים.
⦁ סיכונים כספיים.
⦁ סיכוני רגולציה
⦁ סיכונים אסטרטגיים
⦁ סיכוני מוניטין
בכל קטגוריה מזהים את הסיכונים, מעריכים את יעילות הבקרות הקיימות כדי להתמודד עם הסיכונים. כמו בכל ניהול סיכונים מעריכים את מידת סיכוי התממשות הסיכון, ואת רמת הפגיעות של הארגון במידה והסיכון אכן יתממש.
תוצאת התהליך: "מפת חום" המראה בצורה ברורה את הסיכונים ו/או חולשות בתהליכי הבקרה שאמורים לטפל בסיכונים.
מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמחשוב של הארגון במטרה לאתר פריצות וסיכונים.
פירוט בנושא מבדק חדירה יפורט במאמר נוסף שייכתב בקרוב בלי נדר.
הסקר כולל דו"ח המפרט את החשיפות שזוהו. כל חשיפה מוסברת ומתוארת במלל וצילומי מסך, כולל רמת סיכון, סבירות שתנוצל על ידי גורם זדוני והמלצות לתיקון.
הסקר כולל דירוג של הסיכונים שזוהו מבחינת סבירות התממשות הסיכון (סבירות נמוכה / בינונית / גבוהה) ורמת ההשפעה על הארגון במידה והסיכון יתממש (השפעה נמוכה / בינונית / גבוהה). ההשפעה מוערכת במונחי ממון, מוניטין, הפרעה לתפעול ועוד.
ניתן לארגון דו"ח מסכם. בדו"ח כולל את תיאור העבודה שנעשתה, פגישות עם גורמי מפתח בארגון, פירוט הליקויים שהתגלו, הצעות לטיפול בממצאים שזוהו.
ניסיוני הקט מראה לי שלא תמיד מנהלי מערכות מידע בארגונים יודעים מה לבקש מהיועץ-מומחה שמבצע סקר סיכונים. מדוע?
מי שמבצע סקר סיכונים חושב הפוך – מה יכול להשתבש? בעוד שרובנו לא חושבים הפוך אלא עסוקים בבנייה ותכניות לעתיד.
לפני ההתקשרות, המלצתי לארגון לבקש מהיועץ מסמך המפרט את שיטת העבודה שלו, ותכולה מדויקת של הסקר. אל תקנו חתול בשק!
אתם לפני או אחרי ביצוע סקר סיכונים טכנולוגי ו/או מבדק חדירה?
מפחדת לשאול – לפני או אחרי אירוע אבטחת מידע ..
שימרו על עצמכם!
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
Photo by cottonbro from Pexels
הגדרת תהליך היא ארגון כל הידע הארגוני בצורה הגיונית, תבניתית, נוחה לשימוש, ברת חזרה ונוחה להטמעה. למרות שרובנו חכמים ויצירתיים חלק ניכר מהפעולות שלנו חוזרות על עצמן. כאשר אנו רוצים לעשות פעילות חדשה כביכול אנו מחפשים בזיכרוננו מתי עשינו משהו דומה, לאחר מיכן מחפשים בתיקיות, שואלים אנשים ואז לוקחים את הבסיס הקודם, משנים ויוצרים משהו מתאים לצורך הרגעי, וחוזר חלילה.
דמיינו שכל התהליך שלכם מוגדר היטב, סדר הפעילויות ברור, וכל נכסי התהליך שמסייעים לכם – נגישים לכם. כף, נכון? לא רק שנחסך לכם זמן אלא שאיכות העבודה משתפרת: פעם אחת בשל שימוש בתבניות שכוללות את כל הידע הנדרש לעבודה איכותית ופעם שנייה בשל חיסכון זמן שהולך לבלי שוב על חיפושים והמצאת הגלגל מחדש.
מאמר זה מתמקד בניהול ניהול נכסי התהליך הארגוני; הכוונה לבניית כל התשתיות הארגוניות הנדרשות להגדרה ותיאור של התהליכים הסטנדרטים בארגון. התשתית כוללת: נהלים, מדריכים, הנחיות, תבניות, כלים תומכי תהליך, ועוד. הנושא נשמע לחלקנו מאד לא אטרקטיבי, ואוזנינו נוטות להיסתם כשהנושא עולה. כמו כל נושא תשתיתי, למשל כבישים ומדרכות, מה קורה היעדר תשתיות? איננו יכולים לטפל בכל הנושאים המעניינים המסתמכים על תשתיות אלה. נהיה עסוקים כל היום בפילוס דרכנו בסבך הג'ונגל הארגוני.
ניהול שיטתי של הנכסים הארגוניים מהווה את הבסיס לניהול ידע, מאפשר סדר וחוסך בזמן ואנרגיה, המופנים לאפיקי יצירה במקום חיפושים של מסמכים, ויצירת תהליכים יש מאין כל פעם מחדש.
נראה לכם שלבנות תשתית לניהול תהליכים וידע זאת משימה מתישה ו/או גוזלת זמן רב? תיעזרו ביועצים שזאת המומחיות שלהם.
מה איתכם? איך אצלכם בנושא זה? מחכה לשמוע מיכם באחת הרשתות שקישורן להלן
Photo by kira schwarz from Pexels
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן |
כולנו רוצים להיות משופרים, אך להניע את השיפור דורש מאמץ.
פעמים רבות, ארגונים מתחילים תהליכי שיפור כתוצאה מדרישת לקוחות שרוצים להבטיח את יכולות הספקים שלהם. בתחום מערכות מידע שיפור יכול להגיע מעמידה בתקנים ורגולציה.
אנו נשאלים –
התבקשנו לעמוד בדרישות SOC2– מה עלינו לעשות?
אם יש לנו כבר תקן 27001 ISO? – האם נחסך מאיתנו המאמץ?
המאמר שלהלן מסביר מהו SOC2 לעומת 27001 ISO. נדרש הסבר נוסף? מוזמנים לפנות אלינו ונרחיב.
כוונת מבדקי 27001 ISO ו-SOC2 היא דומה: לעזור לארגונים להגן על המידע והנתונים בתחום אחריותם.
שני סוגי המבדקים, 27001 ISO וגם SOC2 מסייעים לארגון לתת ללקוחות שלהם ביטחון שהמידע והנתונים הרגישים שלהם מוגנים בהתאם לתשומת הלב הנדרשת. מבדקים אלה מושכים לקוחות חדשים שדורשים אותם כדרישות סף, שומרים על הלקוחות הקיימים ומונעים מהארגון לקבל קנסות כתוצאה מאי ציות להוראות.
הסוגייה שמאמר זה דן בה הינה מה השוני בין שני סוגי מבדקים אלה ומה הקריטריונים לפיהם ארגון מחליט באיזה מבדק לבחור?
מבדק SOC2 מעריך את הבקרות הפנימיות, המדיניות והתהליכים. מדובר בבקרות שקשורות ישירות לאבטחה מידע, זמינות, עיבוד, שלמות, סודיות ופרטיות של המידע המנוהל (נתונים) בארגון.
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת פעם בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
מבדק SOC2 מגדיר חמש קטגוריות שמעידות על יכולת הארגון לשמור את בטיחות ותקינות המידע:
תוצאת מבדק SOC2 הוא דו"ח המאמת את מחויבות הארגון לספק שירותים מאובטחים ואיכותיים ללקוחות.
תאימות זו יכולה להיות יתרון תחרותי משמעותי יחסית למתחרים.
תקן ISO 27001 הוא תקן בינלאומי המקובל בעולם לניהול מערכת ניהול אבטחת המידע בארגון. התקן מוודא שבארגון קיימים ומוטמעים מסמכים מדיניות ותהליכים (כגון ניהול סיכונים) לשמירה על סודיות, שלמות וזמינות המידע.
התקן בנוי במבנה הסטנדרטי של תקני ISO. אישור שהארגון אכן עומד בדרישות התקן ניתן על ידי גוף אקרדיטציה מוסמך. תעודת הסמכה 27001 ISO יכולה לתת יתרון תחרותי כיוון שהדבר מעיד על קיום תהליך מוטמע לניהול מערכת אבטחת מידע.
תהליך הסמכה לתקן 27001 ISO נעשה ברמת ארגון. מעיד על כך שלארגון יש נהלי איכות ואבטחת מידע לניהול מערכת אבטחת המידע שלו.
תהליך הסמכה לתקן SOC2 נעשה ברמת מוצר. מעיד על כך שהמוצר עומד בדרישות אבטחת המידע שהארגון קבע לעצמו. הלקוח הפוטנציאלי מעוניין לדעת שהמוצר שהוא רוכש עומד בדרישות אבטחת המידע בלי קשר לרמת אבטחת המידע והתקנים שיש לארגון. בהחלט ייתכן שארגון יחזור על התהליך פעם נוספת כאשר יש לו מוצרים מגוונים.
הבדל נוסף הוא במיקוד. בעוד שאפשר לקבל תקן 27001 ISO גם אם נהלי אבטחת המידע ממומשים חלקית, אך הארגון מתחייב להטמיעם במהלך השנה, תקן SOC2 מבקש לראות הטמעה לפחות חצי שנה אחורה. כלומר: נדרש להראות עדויות על יישום הפרקטיקות הנדרשות.
מבדק 27001 ISO בודק את מערכת ניהול אבטחת מידע בהיבטי שמירה על סודיות, שלמות וזמינות. בסיומו ניתנת לארגון תעודת הסמכה בינלאומית המוכרת בכל העולם. התעודה ניתנת על ידי סוקר מטעם ארגון מסמיך מוכר לאחר שביצוע בארגון מבדק בלתי תלוי.
מבדק SOC2 מסתיים בדו"ח אשר מסכם את הבקרות הפנימיות שנבדקו, מסמכי מדיניות ונהלים המתייחסים לחמש הקטגוריות שפורטו לעיל אך דו"ח זה אינו הסמכה ואין לו הכרה בינלאומית.
בעוד שמבדק ISO 27001 מתרכז בעיקר בבדיקת מערך מבנה המערכת לניהול איכות אבטחת המידע בחברה (IMQS) וכי כלל הנהלים והתהליכים הנדרשים קיימים, מבדק SOC2 יורד לעומק המערכת הנבדקת, החל מבדיקת תהליכי הפיתוח SDLC ועד לבדיקת סוגי ההתראות הקיימות במערכת.
לקוחות שמיקומם בארה"ב דורשים ציות ל-SOC2. בדרך כלל, ארגונים להם לקוחות בארץ ובחו"ל יעדיפו 27001 ISO בשל ההכרה הבינלאומית של התקן.
ולמרות זאת, חברה אשר חשוב לה להוכיח את אמינות הנתונים במערכת המידע ללא כל צל של ספק, תיגש לשני המבדקים.
למרות כל הנכתב לעיל, ארגונים בדרך כלל מחליטים איזה מבדק לעבור בהתאם לסוגי הלקוחות שלהם, מיקומם הגיאוגרפי, עלויות וההזדמנות העסקית בעקבות המהלך.
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
אחד האתגרים לעשות שינוי הוא להתמיד בתהליך העבודה החדש, אותו תהליך שהחלטנו שכך אנו רוצים לעבוד, לאחר שהתהליך שבו עבדנו עד כה לא היה מיטבי. מניסיון העבר אנו יודעים ששינויים במקרים רבים נזנחים לאחר תקופת התלהבות התחלתית ואנו חוזרים להרגלים הישנים והמוכרים למרות שהם לא מיטביים.
אחרי החופשה רבים מהמנהלים והעובדים חוזרים לעבודה עם כוונות טובות, אך מהר מאוד נשאבים לשגרה, ולצערנו – גם להרגלים הישנים.
אם לפני החופשה התחלנו להטמיע תהליכי עבודה חדשים, שיטתיים וטובים יותר – עכשיו מגיע האתגר האמיתי: לשמור עליהם. ההתמדה היא החולייה החלשה של תהליכי שינוי, ולעיתים אחרי התלהבות ראשונית, אנו מוצאים את עצמנו נוטשים את הדרך החדשה ושבים לאוטומטים המוכרים.
איך בכל זאת יוצרים עבודה מיטבית ברצף – גם אחרי חופשה?
אחת הסיבות המרכזיות לכישלון בתהליכי שינוי היא הפסקת ההטמעה אחרי זמן קצר. לא כי השיטה לא טובה – אלא כי שגרת הארגון מושכת אותנו חזרה להרגלים הישנים, ובעיקר – ללחץ של "כיבוי השריפות".
מה קורה בפועל?
הארגון מגדיר מטרות, מטמיע תהליך חדש, משקיע, מתלהב – ואז מגיע אירוע דחוף, לקוח כועס או תקלה תפעולית. מתוך רצון לפתור את הבעיה במהירות, אנו שוב "עוקפים" את התהליך החדש. ואז עוד פעם. ועוד אחת. עד שיום אחד מבינים שהוא נשכח.
התופעה הזאת מאכזבת; הטמעת תהליכי עבודה מיטביים דורשת לא רק תכנון – אלא רצף.
מדוע אנו זונחים פעם אחר פעם את שיטת העבודה המיטבית שקבענו שנלך בה? מדוע כאשר יש קושי אנו בוחרים לחזור לשיטות העבודה הישנות שאנו רגילים אליהן? מדוע שינוי תהליך נתפס כמאמץ גם אם שמירה עליו תגרום לעבודה טובה יותר ומאומצת פחות? מדוע עבודה חוזרת ותיקון תקלות נחשב לעבודה "רגילה"? האם התרגלנו לכך שכיבוי שריפות הוא מציאות שאי אפשר להימנע ממנה?
להלן שלוש שאלות מפתח שיכולות לעזור לכם להעריך האם התהליך החדש שבחרתם ישרוד גם את החזרה לשגרה:
האם התהליך החדש מתרכז בעיקר או בטפל? האם הוא "מתיישר" עם הערכים של הארגון?
אם השינוי לא נתפס כמהותי יהיה קשה לשמור עליו לאורך זמן.
דוגמה: חברה שנדרשת ליישם תקן בעקבות דרישה רגולטורית. החברה מתאימה את תהליכי העבודה שלה לפי דרישות התקן. המאמץ הזה נעשה מתוך רצון חיצוני של מוסד ממשלתי כלשהו, כאשר הארגון לא מרגיש שהוא נתרם מכך. השינוי לא נתפס כמהותי וחשוב ונזנח במהרה.
כיצד מתגברים על כך?
באמצעות "מכירה פנימית" – מתקשרים את למה – לא רק את ה"איך". מדגישים את התרומה האמיתית של התהליך ליום-יום ולתוצאות. מגייסים את העובדים מתוך הבנה ותחושת ערך, לא רק מתוך ציות. לא השתכנעו – לא יהיה שינוי בטווח הארוך, גם אם תוצאה חיצונית מושגת בטווח הקצר.
האם העובדים / מנהלים מבינים ורוצים לעבוד לפי התהליך המשופר? נכון שהנהלה מחליטה על השינוי. יחד עם זאת, העובדים והמנהלים צריכים לא רק להבין את התהליך – אלא גם להרגיש שהוא שלהם, אחרת לא תושג התמדה.
כיצד מתגברים על כך?
כוללים את הצוותים בתהליך, שומעים, משפרים, יוצרים תחושת שותפות. אם אין גיוס אמיתי לתהליך – לא תהיה מחויבות לאורך זמן.
האם המטרות והיעדים שנקבעו הם אפשריים? עוד לא נולד התהליך שיגרום למטרה פנטזיונרית להתגשם.
בעברי, הייתי בארגון שיזם פרויקט "10X". מטרת התכנית לעשות פי 10 תוך שנה: קיצור לו"ז פי 10 או הורדת עלויות פי 10 וכדומה. במקרים רבים – 0.2X או 2X בשנה זו מטרה מספיק שאפתנית. מטרות שנקבעות בלי הכרת היכולת העכשווית דינן להיעזב. אנרגיה שמושקעת בהשגת מטרה בלתי אפשרית היא אנרגיה מבוזבזת.
בסוגריים אציין שהנטייה לקבוע מטרות בלתי אפשריות יושבת על הרצון שלנו להיות מושלמים ושונים לגמרי ממה שקורה עכשיו.
כיצד מתגברים על כך?
נזכרים בשיטה לקביעת יעדים – שיטת SMART. אחד הפרמטרים של קביעת יעדים (A) הוא לקבוע יעדים ברי השגה. בר השגה נחשב ליכולת העכשווית פלוס מתיחה סבירה. מעבר לכך – במקרה הטוב תושג מטרה בטווח קצר. במקרה הפחות טוב – תהיה שחיקה שתוביל לזניחת השינוי.
כדי לשמור על עבודה מיטבית לאורך זמן, במיוחד אחרי חופשה, נדרשים שלושה דברים:
מה אתכם? איך אתם מטמיעים שינויים לאורך זמן? ספרו לי?
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן |
Photo by Kulbir from Pexels
פונים אלינו מנהלי מערכות מידע עם בקשות עזרה לנושא SOC2.
הדרישה נופלת עליהם כרעם ביום בהיר כתוצאה מפניית לקוח שדורש הוכחה לעמידתם בדרישות SOC2. מדובר במערכת דרישות לא פשוטות, שעל מנהל המידע לממש, כאשר גם בלי הדרישה החדשה, היומן שלו עמוס לעייפה במטלות.
שאלה נפוצה היא: אם נעבור תהליך הסמכה לתקן 27001 ISO, או יש לנו כבר תקן 27001 ISO, האם הדבר יכול להחליף את הדרישה ל-SOC2?
לפני שנדבר על "איך", נתחיל מ"למה". מדוע לקוחותינו מבקשים שנעמוד בדרישות SOC2 ומדוע כדאי לנו לממש את דרישות SOC2 ?
נזכור שהדרישה לעמוד בדרישות SOC2 חל רק על ארגונים שנותנים שירותי ענן.
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
הלקוחות רוצים רמת וודאות גבוהה ביכולות של הספקים שלהם לשמור על סודיות, תקינות המידע וזמינותו ברגע האמת, לוודא שלספקים יש מערכת בקרה פנימית אפקטיבית שמוודאות את תקינות המערכות והנתונים.
SOC2 מספק רשימה לא סודית של בקרות שהארגון נדרש להראות שהוא מפעיל. הנחת העבודה היא שביצוע שוטף של הבקרות הפנימיות ברשימה מבטיח את יעילות הביצוע של אבטחת המידע, שלמותו, זמינותו ותקינותו. זהו בעצם תהליך של ניהול סיכונים, כאשר כל סעיף ברשימה הוא סיכון תהליכי, עסקי או תפעולי. ההוכחה של הארגון לכך שהוא מתמודד עם כל סעיף וסעיף ברשימה מהווה התמודדות עם הסיכון והורדת ההסתברות לנזק שעלול להיגרם מאי הפעלה של אותן בקרות.
ארגונים נדרשים להראות הוכחה של קיום מבדק מגוף הסמכה / התעדה חיצוני בלתי תלוי. מבדק SOC2 מאפשר לארגון להראות דו"ח כזה. יתרה מכך, הדבר נותן לארגון ייתרון תחרותי מול ארגונים דומים שאין להם יכולת להראות עמידה בדרישות SOC2.
הידיעה שלארגון מערכת בקרה יעילה ששומרת על אבטחת המידע ותקינות הנתונים בפני כל מיני גורמים עוינים או טעויות אנוש מקנה שקט וביטחון בחוסן מערכת המידע ותקינות הנתונים.
תהליך הסמכה לתקן 27001 ISO נעשה ברמת ארגון. מעיד על כך שלארגון יש נהלי איכות ואבטחת מידע לניהול מערכת אבטחת המידע שלו.
תהליך הסמכה לתקן SOC2 נעשה ברמת מוצר. מעיד על כך שהמוצר עומד בדרישות אבטחת המידע שהארגון קבע לעצמו. הלקוח הפוטנציאלי מעוניין לדעת שהמוצר שהוא רוכש עומד בדרישות אבטחת המידע בלי קשר לרמת אבטחת המידע והתקנים שיש לארגון. בהחלט ייתכן שארגון יחזור על התהליך פעם נוספת כאשר יש לו מוצרים מגוונים.
הבדל נוסף הוא במיקוד. בעוד שאפשר לקבל תקן 27001 ISO גם אם נהלי אבטחת המידע ממומשים חלקית, אך הארגון מתחייב להטמיעם במהלך השנה, תקן SOC2 מבקש לראות הטמעה לפחות חצי שנה אחורה. כלומר: נדרש להראות עדויות על יישום הפרקטיקות הנדרשות.
מבדק SOC2 מעריך את הבקרות הפנימיות, המדיניות והתהליכים. מדובר בבקרות שקשורות ישירות לאבטחה מידע, זמינות, עיבוד, שלמות, סודיות ופרטיות של המידע המנוהל (נתונים) בארגון.
מבדק SOC2 מגדיר חמש קטגוריות שמעידות על יכולת הארגון לשמור את בטיחות ותקינות המידע:
בעידן הדיגיטלי שאנו חיים בו, חובה על ארגונים נותני שירות שיש בידם גישה לנתונים של אנשים, לשמור על חשיפת המידע לגורמים בלתי מורשים או שימוש במידע לשימושים בלתי מורשים. כמו כן הארגון נדרש לוודא את תקינות מערכת הבקרה שלו על בטיחות ותקינות המידע שבאחריותו. יכולת עמידה בדרישות SOC2 מוכיחה שהארגון מחויב לנושא ועומד בדרישות.
Photo by Markus Spiske from Pexels
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת 1-2 פעמים בחודש מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן |
לקראת ראש השנה, מאמר שונה שמטרתו לחדש את ההסתכלות והגישה לגבי הצורך בראייה תהליכית עמוקה בארגונים.
המאמר דן במספר דפוסי חשיבה מוטעים שמקשים על ארגונים להיכנס לתהליכי שיפור של תהליכי העבודה שלהם.
האם אתם מזהים את הדפוסים שלהלן?
מקווה שהמאמר יעורר בכם רצון לשנות בשנה החדשה שתבוא עלינו לטובה.
הרבה ארגונים מתנהלים בצורה סבירה פחות או יותר על סמך תורה שבעל פה. כיוון שהזמן קצר והמלאכה מרובה לא עולה הצורך לעצור לרגע ולעשות מיפוי של תהליכי העבודה, להסכים על התהליך הארגוני ולהטמיע אותו בארגון.
מדוע חשוב הדבר?
למרות שיש הרגשה שכולנו יודעים ומסכימים על התהליך, יש כתמי עיוורן .כלומר: ראייה שונה כיצד צריך להתנהל במחלקות שונות בארגון, בין צוותים ואפילו בין אנשים באותו הצוות. הראייה השונה הזו היא מקור לחיכוכים ואפילו לעימותים גלויים וסמויים בין עובדים ומנהלים שמוכנים להילחם עד חורמה בצדקת דרכם.
תוך כדי מיפוי תהליכי העבודה וכתיבת הנהלים נוצרות הבנות חדשות. ממשקי עבודה בין מחלקות מוגדרים, אחריות וסמכות של בעלי תפקידים מוגדרים, נקודות בקרה לבדיקת איכות התהליך בדרך מתווספות ועוד. התורה שבעל פה נכתבת ומוגדרת. כאשר התהליך כתוב, ניתן לדון בו ולהגיע להסכמות משותפות בטרם מתחילה ההטמעה.
כל שינוי ארגוני מתחיל מהגדרת הבעיה. עצם הזיהוי של הדבר החסר הוא כבר התקדמות גדולה לעבר הפתרון. תצפיותיי בארגונים מראות שיש נטייה למנהלים להאמין שהמשברים הם דבר מזדמן ויש להם יכולות לפתור אותם. אכן, כשיש בעיה – מתגייסים למציאת הפתרון..עד למשבר הבא.
הרבה קלקולים קורים מהיעדר תהליכים מוגדרים ותפורים לארגון. כמובן שתהליך מוגדר לא מונע קלקולים, אך בהחלט עוזר להפחית את כמותם.
תהליכי הפקת לקחים עוזרים לזהות בעיות, אך במקרים רבים תהליך הפקת הלקחים מסתיים ברשימות של עשה/אל תעשה להבא. כלומר: תמשיכו לעשות את התהליכים שגרמו להצלחה ותפסיקו לעשות את התהליכים שהביאו לתקלות ועיכובים. אבל – אי הטמעת ההבנות בתוך התהליך המוגדר גורם להבנות להתפוגג.
יש נטייה למנהלים בארגונים לחשוב שהארגון שלהם הוא מיוחד במינו. יש להם מוצר או שירות ייחודי, האווירה בצוות ואיכות האנשים שלהם מיוחדים מאד, ולכן האתגרים שלהם מאד מיוחדים.
במקרה הטוב – מחשבה שכזו גורמת להם לחפש את הפתרון אצל אנשים או יועצים כמוהם, או שהם בעלי ניסיון בשטח הצר מאד שלהם.
במקרה הפחות טוב – המנהלים כל כך בטוחים במיוחדות שלהם שאין להם צורך להשקיע בהגדרת תהליכי העבודה שלהם, כיוון שהפתרונות הסטנדרטיים לא יעבדו בסוג הארגון שלהם.
ספוילר– האתגרים שארגונים נתקלים בהם הם מאד דומים, כיוון שבארגונים עובדים אנשים ולכולנו דפוסי חשיבה מאד דומים למרות שכל אחד מאיתנו חושב שיש לו חשיבה שונה. לכן תהליך השיפור שמסתמך על כלים, שיטות וניסיון יכול להועיל גם לארגונים המיוחדים.
לוותיקים שביננו – יש זיכרון שנהלים דורשים תיעוד בקלסרים עם הרבה דפים שאיש לא קורא.
מה שהיה הוא בכלל לא סימן לבאות.
אנו עובדים עם הלקוחות שלנו בגישה המגדירה את התהליך בצורה מתומצתת ובהירה: טבלה של מיפוי תהליך עם הפניות לתבניות תומכות. הגדרת תהליך מתומצתת עוזרת להבנה והטמעה מהירה.
כאשר קורית תקלה, יש נטייה להעריך ולתגמל את הצוות שעובד ימים ולילות כדי לפתור את הבעיה. כיבוי שריפות הוא תהליך שמסית משאבים ואנרגיה מהיצירה לפתרון הבעיה. אנו לא רואים ולא שומעים את המנהלים שמשקיעים בתהליכים טובים ומונעים חלק מהתקלות.
התמודדות עם האתגר הזה יכולה להיות באמצעות זיהוי הנזק שנגרם לכיבוי השריפות והוכחה של שיפור בתוצאות לאחר הטמעת התהליך המשופר.
המציאות המצערת היא שלמרות הנאמר, תשומת הלב הולכת למכבי השריפות ולא לאלה שמונעים אותם.
ישנם מקרים בהם אנו מטמיעים שיפורים ובכל זאת התקלה חוזרת. מחשבה מוטעית היא להניח שרצינו לשנות אבל זה לא עובד. החשיבה הזאת של הכול או לא כלום היא חשיבה מוטעית. כדאי לשים לב לשיפור היחסי. צעד צעד. ככל שעובר הזמן השיפור הולך ומעמיק.
מה אתם אומרים ? נתקלים בדפוסים האלה? משלימים עימם או מנסים לשנות?
במקרים רבים, כדי לעשות שינוי כדאי שמישהו חיצוני יאיר את נקודות העיוורון שלנו. אדם חיצוני, כמו יועץ או מנהל / עובד במיקור חוץ יכול לסייע עם מומחיות וידע רחב אותו רכש מהתבוננות בארגונים אחרים. "אורח לרגע רואה כל פגע".
מחכה למשוב מיכם
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן |
==
ההשראה לכותרת המאמר הגיעה מהרצאה ששמעתי מעידית שלו המלמדת ימימה.
רוב סוכני השינוי, מתוך הארגון או יועצים חיצוניים, מתכננים פרויקט שינוי, תוך מתן תשומת הלב ל"שילוש הקדוש" של כל פרויקט באשר הוא: לו"ז, תקציב ותכולה.
מדוע זה קורה? התשובה ברורה, הצלחה או כישלון של כל פרויקט נמדדת לפי מידת העמידה בפרמטרים אלה.
אחד המרכיבים החסרים במשולש, הוא ניהול התקשורת בפרויקט השינוי.
נושא ניהול התקשורת נלקח כדבר הברור מאליו. בדרך כלל, פרויקט שינוי מתחיל, מנוהל ומסתיים בלי שנושא תכנון וניהול התקשורת מקבל את תשומת הלב הראויה לו.
מתי נזכרים בנושא התקשורת? כאשר יש כשלים וחוסר הבנות הגורמים לכך שבעלי עניין שונים מפעילים כוחות בכיוונים מנוגדים, או שצוות הפרויקט עובד בדיסהרמוניה, או ש"סתם" קורות תקלות שהיו יכולות להימנע אם רמת התקשורת בפרויקט השינוי הייתה טובה.
התעלמות מנושא ניהול התקשורת היא אחת הטעויות הגדולות ביותר. תכנון ניהול התקשורת בפרויקט השינוי יכול לחסוך זמן רב המושקע אחר כך במהלך הפרויקט בכיבוי שריפות, שיחות הרגעה ומוטיבציה, ומיילים נזעמים הנשלחים מבעלי העניין בפרויקט למנהלים בכירים בארגון בתקווה שאלה יניעו את העגלה השוקעת בבוץ.
ניהול תקשורת כולל את כל התהליכים הקשורים ביצירה, איסוף, הפצה, שמירה, אחזור והשמדה של מידע הקשור בפרויקט, בזמן ובמידה הנכונה. רוב זמנם של מנהלי הפרויקטים מוקדש לתקשורת עם חברי הצוות בפרויקט ושאר בעלי העניין בפרויקט. האתגר הוא להבין את הצרכים והציפיות של כל בעלי העניין, ולתקשר עימם, גם במידה וציפיותיהם לא מושגות בחלקן או במלואן. בעלי עניין שחשים שדברם לא נשמע יכולים להפריע לזרימה החלקה של הפרויקט, בכל האמצעים העומדים לרשותם. לא תמיד ההפרעה תהיה ברורה וקולנית. הפרעה יכולה להתבטא גם באדישות ואי-הושטת יד לעזרה, או עיסוק בנושאים אחרים במקום לתת כתף ולהתגייס למשימות הנדרשות בפרויקט.
טעות בזיהוי כל בעלי העניין בפרויקט אשר יכולים להשפיע על מהלך הפרויקט או להיות מושפעים מתוצאות הפרויקט. הדגש כאן הוא על המילה כל. מנהל פרויקט יכול לחשוב שהוא זיהה את כל בעלי העניין, אך בפועל לשכוח אחד או יותר מבעלי העניין. אותו בעל עניין שנשכח, עלול לעשות צרות ולהפריע בהמשך. לאחר זיהוי כל בעלי העניין נדרש להבין ולתעד את מידת העניין, המעורבות וההשפעה שיש להם על הצלחת הפרויקט.
לאחר שזיהינו והבנו את צרכי המידע ורמת העדכון של כל בעל עניין בפרויקט, עלינו להגדיר את תוכנית התקשורת ומי יהיה שותף בה. מי ישתתף בישיבה, ומי יקבל דוחות. טעויות בתכנון התקשורת יכולות לגרום לאי הכללת בעל עניין מסוים בתהליכים מסוימים, או בהכללת אנשים מיותרים בתהליכים אחרים. עודף השתתפות של אנשים לא רלוונטיים מסרבלת ומאיטה את ההתקדמות ועלולה אף להפריע במילוי הצרכים של בעלי העניין הרלוונטיים.
כמו בכל נושא אחר בניהול פרויקטים, אפשר לתכנן את ניהול התקשורת בפרויקט, לקבל את הסכמת כל בעלי העניין לתוכנית, ובמהלך הפרויקט – לא לעבוד לפי התכנון, ולשכוח לשתף את בעלי העניין בפעילויות הרלוונטיות או להוסיף אנשים מיותרים לתהליכים.
במהלך הפרויקט, צצות בעיות ונושאים לטיפול הקשורים לבעלי עניין מסוימים. אי שיתוף בעלי העניין בזמן ומתן מענה הולם לאתגרים, עלול לגרום להפרעות לפרויקט.
לא דיווחנו, לא עשינו! מנהל פרויקט שמשאיר את בעלי העניין בעלטה, פוגע, בכך שצוות הפרויקט ו/או בעלי העניין עלולים לנקוט בפעולות מזיקות כתוצאה מהנחות שגויות על מצב הפרויקט.
דיווח על מצב הפרויקט כולל שליחת סיכומי ישיבות, איסוף מידע ודיווח על ביצוע הפרויקט, בהתאם לתוכנית או דיווח על סטיות מהתוכנית. דיווחים של הפרויקט כוללים גם מדדים ותחזיות.
עושים כל מה שכתוב למעלה אבל להיפך.
מה דעתכם ? חושבים ששכחתי משהו ?
אשמח שתחלקו עם הקוראים האחרים את התובנות והמחשבות שלכם באחת הרשתות החברתיות שקישורן להלן.
תודה
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן |
Photo by Tim Gouw from Pexels
מכירים את התופעה שסוכן שינוי, פנימי או חיצוני, עם כוונות טובות, מנסה ליזום שיפור בתהליכי עבודה ו/או בכלים ומתקשה לשכנע בנחיצות מיידית של תהליך השינוי?
במקרים רבים ההנהלה מסכימה עקרונית בנחיצות השינוי, אך יש לה הרגשה שמדובר ב-ירידה לצורך עלייה.
כלומר: אמונה שתהליך השינוי ידרוש האטה זמנית ו/או השקעת משאבים וכרגע זה לא הזמן. מעדיפים לחכות לאירוע כלשהו בזמן, כמו שחרור קרוב של מוצר חדש או סיום טיפול במשבר כלשהו.
יש הרגשה שמה שהיה הוא שיהיה. אנו סומכים על עצמינו שכמו שהתמודדנו עד היום נסחוב עוד קצת ונדחה את השינוי. בקיצור, רוצים אבל לא עכשיו.
נכון, צדקתם, "אחר כך" לא מגיע.
אחרי שחרור המוצר צריך לטפל בנושאים רבים הקשורים לשחרור ובמקביל כבר עובדים על המוצר / גרסה חדשים, עם לו"ז צפוף ומשאבים חסרים, או: המשבר הזמני נפתר, אך נולדו במקומו משברים חדשים.
מסתבר שהתירוץ לא להשתפר עכשיו בגלל הפחד מהירידה שלפני העלייה, עלול לגרום לטוויסט בעלילה: ירידה עוד יותר גדולה. תהליכי עבודה לא מדוייקים, או שינויים שנדחים – יכולים להביא לתוצאות הרסניות. כתוצאה מכך, הירידה היותר גדולה גורמת לארגון להתעשת. למה לחכות לחבלות?
רוצים דוגמה לכך (הפרטים שמורים במערכת) ? להלן דוגמה אחת מיני רבות.
אחד מלקחותינו התמהמה זמן רב עם ההחלטה האם להטמיע את ההמלצות שלנו בעקבות סקר פערים טכנולוגיים ומבדק חדירה תשתיתי חיצוני שבצענו עבורו כדי לשפר את עמידות מערכות המידע שלו בפני האקרים מזיקים. חיכו וחיכו עד ש.. היה להם אירוע סייבר טראומתי. הם נדרשו לבצע בקרת נזקים מיידית ולאחר התאוששות החלו ליישם באיחור את ההמלצות שלנו באופן בהול.
בסוף האירוע, הירידה (אירוע סייבר) הביאה לעלייה (חיזוק מערכות ההגנה על מערכת אבטחת המידע של הארגון), בהשקעה גדולה הרבה יותר ובהפסד שעות עבודה יקרות עקב השבתה זמנית של מערכת לניהול אבטחת המידע שלהם. נכון שלא לכך כיוונו שחשבו על ירידה לצורך עלייה.
עוד דוגמה? את הדוגמה שלהן כולנו מכירים ..
עבודה לפי תהליכים לא מדויקים גורמת במקרים רבים לעבודה חוזרת. משקיעים זמן ומאמץ בתיקונים, או הנדסה הפוכה (Reverse Engineering): מתקנים את הדרישות בסוף הדרך במקום בראשיתה, ובמקום לעבור למשימה הבאה מתחפרים בסיום המשימה הקודמת.
הפחד משינוי גורם להאטה גדולה יותר.
תצפיותיי בארגונים בשנים האחרונות לימדו אותי שיש טוויסט אחר לגמרי בעלילה, וקוראים לו – עלייה לצורך ירידה.
מה? שמעתם טוב.
חיזוק והטמעה של תהליכי עבודה מיטביים מכין אותנו לתקלות שיגיעו עם כלים טובים יותר להתמודד עימם.
תהליכי עבודה מותאמים לארגון יוצרים תשתית טובה ואיתנה והרגלי עבודה משותפים שמסייעים להתמודד עם שינויים בלתי מתוכננים שמקטינים עבודה חוזרת ומסייעים לעמידה במטרות שהארגון קבע לעצמו.
מהו הזמן הטוב ביותר להתאים את תהליכי העבודה שלנו לאתגרים ולמציאות המשתנה?
טוב ששאלתם. התשובה היא – ע כ ש י ו!
כלומר העלייה, במובן הארגוני הכוונה להשקעה בתהליכי שיפור, היא תכלית הירידה. כלומר, העלייה (השקעה בתשתיות תהליכיות) נותנת לנו כלים כדי שבעת ירידה נוכל להתמודד עם המצב הלא רצוי בצורה טובה.
מה ניסיונכם מלמד אתכם?
ירידה לצורך עליה? עליה לצורך ירידה? הימנעות שגורמת לירידה גדולה יותר?
מחכה לשמוע מניסיונכם.
| מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן |
Photo by Tima Miroshnichenko from Pexels
