דד
יש ארגונים שכבר מינו DPO. כל הכבוד!
יש אדם בארגון אדם הנושא בתואר המכובד DPO – "ממונה הגנת הפרטיות".
אבל בפועל?
ה-DPO לא באמת מעורב בהחלטות.
לא שואלים אותו לפני שמעלים מערכת חדשה.
לא מתייעצים איתו לפני קמפיין שיווקי.
לא מערבים אותו בבחירת ספקים.
לא מזמינים אותו לדיונים על תהליכים שבהם נאסף מידע אישי.
לא פונים אליו כשמשנים טופס, תהליך, הרשאה או מערכת.
כלומר, על הנייר יש DPO.
במציאות – אין באמת ניהול פרטיות.
וזאת בדיוק הבעיה.
תיקון 13 לחוק הגנת הפרטיות גרם לארגונים רבים להתעורר. פתאום כולם שואלים:
האם אנחנו חייבים למנות DPO?
האם יש לנו מדיניות פרטיות?
האם אנחנו חשופים לקנסות?
האם אנחנו עומדים בדרישות החוק?
אלה שאלות חשובות.
אבל יש שאלה אחת חשובה יותר:
כי אפשר למנות DPO ועדיין להמשיך להתנהל בדיוק כמו קודם.
אפשר למנות DPO ועדיין לא לדעת איפה נשמר מידע אישי.
אפשר למנות DPO ועדיין לשמור קורות חיים לנצח.
אפשר למנות DPO ועדיין להעביר קבצי לקוחות לספקים בלי בקרה.
אפשר למנות DPO ועדיין לא לדעת אילו עובדים חשופים לאיזה מידע.
אפשר למנות DPO ועדיין להעלות קמפיין שיווקי בלי לבדוק את מקור הדאטה.
אפשר למנות DPO ועדיין להיות רחוקים מאוד מציות אמיתי.
וזה מה שאני קוראת לו: DPO רק על הנייר.
הטעות הנפוצה היא לחשוב שהגנת פרטיות היא עניין משפטי בלבד.
כותבים מדיניות פרטיות.
מעדכנים טפסים.
מנסחים נוהל.
ממנים ממונה.
ומסמנים וי.
אבל פרטיות לא נפגעת במסמכים.
היא נפגעת בתהליכי העבודה.
היא נפגעת כשאיש מכירות שומר מידע רגיש באקסל אישי.
היא נפגעת כשמנהל משאבי אנוש מעביר קורות חיים בוואטסאפ.
היא נפגעת כשספק חיצוני מקבל גישה רחבה מדי למערכת.
היא נפגעת כשמחלקת שיווק משתמשת ברשימת תפוצה בלי לבדוק הרשאות.
היא נפגעת כשמערכת חדשה עולה לאוויר לפני שמישהו שאל: איזה מידע נאסף כאן, למה הוא נדרש, מי רואה אותו, ולכמה זמן הוא נשמר?
לכן, הגנת פרטיות חייבת להיכנס לתהליכי העבודה.
DPO אמיתי צריך להיות מחובר לארגון.
הוא צריך להכיר את תהליכי העבודה.
להבין איפה נאסף מידע אישי.
לדעת אילו מערכות מחזיקות מידע.
להיות מעורב בפרויקטים חדשים.
להיות כתובת לשאלות של מנהלים ועובדים.
להבין את הקשר בין פרטיות, אבטחת מידע, איכות, שירות, רכש, משאבי אנוש, שיווק וטכנולוגיה.
כדי להגן עם הארגון, ה-DPO צריך להכיר את הארגון לעומק.
כי DPO שלא מכיר את הארגון – לא יכול להגן על הארגון.
לא רק לענות על שאלה משפטית.
לא רק לנסח מסמך.
לא רק להשתתף בדיון נקודתי.
אלא בעל יכולת לזהות סיכון בזמן אמת.
להשפיע על תהליך לפני שהוא יוצא לדרך.
להפוך את הפרטיות לחלק מהניהול השוטף.
וזה ההבדל בין ציות פורמלי לבין הטמעה אמיתית.
כאן נמצא הפער הגדול בשוק.
הרבה ארגונים מחפשים “מישהו שיסגור להם את נושא הפרטיות”.
הם רוצים מדיניות פרטיות.
נוהל.
טבלת מאגרים.
חוות דעת.
מינוי DPO.
סימון וי.
וזה מובן. מנהלים עסוקים. יש רגולציה. יש חשש מקנסות. רוצים לטפל בנושא.
אבל נושא הגנת פרטיות הוא לא ש“סוגרים”.
הגנת פרטיות מנהלים.
בדיוק כמו איכות.
בדיוק כמו אבטחת מידע.
בדיוק כמו בטיחות.
בדיוק כמו סיכונים.
מי שמתייחס לפרטיות כאל משימה חד־פעמית, יקבל פתרון חד־פעמי.
מי שמתייחס לפרטיות כאל שיטת ניהול, יבנה ארגון הרבה יותר בשל, בטוח ואמין.
בדרך כלל, ארגון צריך להתחיל בפרויקט ציות. זהו שלב יישור הקו.
בודקים מה קיים.
ממפים פערים.
מזהים תהליכים שבהם מעובד מידע אישי.
בודקים מדיניות, טפסים, הסכמים, ספקים, מערכות והרשאות.
מכינים תשתית ארגונית ראשונית.
מתקנים פערים מהותיים.
מכניסים סדר.
אבל אחרי היישור הראשוני מגיע השלב החשוב באמת:
ניהול שוטף של פרטיות.
כאן נכנס DPO כשירות.
לא כאדם שיושב מרחוק ומוציא מסמך פעם בשנה.
אלא כפונקציה מקצועית שמלווה את הארגון, משתתפת בהחלטות, עונה לשאלות, בוחנת שינויים, מסייעת בניהול סיכונים, ומוודאת שהפרטיות לא נשארת במגירה.
שאלו את עצמכם חמש שאלות פשוטות:
האם ה־ DPO מעורב בפרויקטים חדשים?
האם פונים אליו לפני התקשרות עם ספק שמעבד מידע אישי?
האם הוא מכיר את תהליכי השיווק, המכירות, משאבי האנוש והשירות?
האם הוא מדווח להנהלה על סיכונים ופערים?
האם עובדים יודעים מתי לפנות אליו?
אם עניתם "לא" על שאלות אלה – יש לכם DPO על הנייר.
הגנת הפרטיות היא שיטת ניהול שחייבת להשתלב בכל תהליך שבו הארגון עובד עם מידע אישי.
כאן המקום שבו ארגונים צריכים לשנות חשיבה.
לא לשאול רק: “האם אנחנו חייבים DPO ”?
אלא לשאול:
“איך אנחנו מוודאים שכל החלטה שכוללת מידע אישי מתקבלת נכון?”
“איך אנחנו מכניסים פרטיות לתהליכי העבודה?”
“איך אנחנו מונעים טעויות לפני שהן הופכות לאירוע?”
“איך אנחנו הופכים את ה-DPO למוקד ידע אמיתי בארגון?”
כי בסוף, פרטיות היא לא רק דרישה רגולטורית.
היא חלק מהאמון של לקוחות, עובדים וספקים בארגון.
ארגון שמנהל פרטיות נכון, משדר בגרות.
הוא משדר אחריות.
הוא משדר שליטה.
הוא משדר שאפשר לסמוך עליו.
הוא אולי עוזר להרגיש שהנושא טופל.
אבל הוא לא באמת מונע סיכונים.
לא באמת משנה תהליכים.
לא באמת מכניס פרטיות לקבלת החלטות.
הגנת פרטיות אמיתית מתחילה כאשר הארגון מבין דבר אחד פשוט:
פרטיות לא מטמיעים במסמכים. פרטיות מטמיעים בתהליכי העבודה.
וזאת בדיוק המומחיות הנדרשת היום:
לא רק להבין את החוק.
לא רק לכתוב נהלים.
לא רק למנות DPO.
אלא לחבר בין רגולציה, תהליכים, אבטחת מידע, ניהול סיכונים, פרויקטים ואנשים.
כי ארגון שלא מחבר את הפרטיות לתהליכים שלו – יישאר עם פרטיות על הנייר.
דברו איתי!
ב־OK יועצים לניהול אנו מסייעים לארגונים בשני מסלולים משלימים:
פרויקט ציות להגנת הפרטיות – ליישור קו, מיפוי פערים, בניית תשתית ניהולית ותיקון נקודות חשיפה מרכזיות.
DPO כשירות – לליווי שוטף, מעורבות בהחלטות, מענה מקצועי, ניהול סיכונים והטמעת פרטיות בתוך תהליכי העבודה.
אורנה קמין, orna.kamin@gmail.com, 0537739018
| מזמינה אותך להצטרף לקבוצת WhatsApp שנועדה לשיתוף ידע, רעיונות ושיתופי פעולה בנושאים הקשורים להגנת הפרטיות בארגונים. קישור להצטרפות – כאן |
משרד הכלכלה והתעשייה פרסם מסלול סיוע חדש לעידוד הקמה, הרחבה או העתקה של מפעלי תעשייה לאזור הצפון.
המסלול מיועד למפעלים ולעסקים תעשייתיים שמתכננים לבצע השקעה משמעותית באתר ייצור בצפון – בציוד, מכונות, תשתיות, מערכות מחשוב, תוכנות תעשייתיות או התאמות במבנה.
זהו מסלול תחרותי, והבקשות נבחנות לפי איכותן ובכפוף למועד ההגשה ולמיצוי התקציב. לכן, מומלץ להיערך מוקדם, לבדוק זכאות ולהכין בקשה מקצועית ומבוססת.
מפעלים רבים מתכננים השקעות בציוד, הרחבת פעילות או מעבר לאזורי עדיפות, אך לא תמיד יודעים שניתן לקבל עבורן סיוע כספי משמעותי.
המסלול הנוכחי מאפשר לקבל מענק עבור השקעות מאושרות, בתנאי שהן עומדות בדרישות ההוראה, מוגשות נכון ומוצגות כחלק מתכנית השקעה מקצועית וברורה.
היערכות מוקדמת יכולה לעשות את ההבדל בין בקשה חלקית וחלשה לבין בקשה מסודרת שמציגה את הפוטנציאל העסקי, התפעולי והכלכלי של המפעל.
המסלול מתאים לעסקים תעשייתיים המעוניינים לבצע אחד או יותר מהמהלכים הבאים:
המסלול מיועד לעסקים שאינם עומדים בתנאי הזכאות לקבלת מענק והטבות לפי הוראות חוק לעידוד השקעות הון.
במסגרת המסלול ניתן לקבל מענק של עד 30% מההשקעות המאושרות, בהתאם לגודל המפעל ולתקרות הסיוע שנקבעו.
מפעל זעיר
מפעל עם מחזור מכירות שנתי של עד 10 מיליון ₪ עשוי להיות זכאי למענק של עד 1.5 מיליון ₪.
מפעל קטן
מפעל עם מחזור מכירות שנתי של 10–75 מיליון ₪ עשוי להיות זכאי למענק של עד 3 מיליון ₪.
מפעל בינוני עד גדול
מפעל עם מחזור מכירות שנתי של 75–400 מיליון ₪ עשוי להיות זכאי למענק של עד 4.5 מיליון ₪.
בנוסף, ניתן להכיר בהוצאות שבוצעו החל מ־20/07/2025, בכפוף לתנאי המסלול ולאישור הבקשה.
תקופת הביצוע יכולה להגיע עד 60 חודשים.
המסלול עשוי לכלול הכרה בהשקעות כגון:
חשוב לבחון מראש אילו השקעות מתוכננות עומדות בתנאי המסלול, ואיך נכון להציג אותן במסגרת תכנית ההשקעות.
המסלול פועל במתכונת תחרותית. המשמעות היא שלא מספיק לעמוד בתנאי הסף. יש חשיבות רבה לאיכות הבקשה, לרמת הפירוט, להצגת הנתונים העסקיים, להסבר ההשקעה וליכולת להראות תרומה לפריון ולפעילות התעשייתית.
בקשה מקצועית צריכה להציג בצורה ברורה:
הכנה נכונה מראש מקצרת תהליכים, מצמצמת טעויות ומגדילה את הסיכוי להגיש בקשה איכותית בזמן.
אנחנו מלווים עסקים ומפעלי תעשייה בתהליך בדיקת הזכאות, בניית תכנית ההשקעה והכנת בקשה מקצועית למסלולי סיוע ומענקים.
במסגרת הליווי נסייע לכם:
בית ג'ן, גוש חלב – גי'ש, חורפיש, יסוד המעלה, כסרא-סמיע, כפר ורדים, מג'דל שמס, מטולה, מסעדה, מעיליא, ע'ג'ר, עין קנייא, פסוטה, פקיעין, שלומי, מעלות-תרשיחא, נהרייה, קריית שמונה, נווה אטי"ב, נמרוד, ברעם, גונן, דן, דפנה, הגושרים, יפתח, יראון, כפר בלום, כפר גלעדי, כפר סאלד, להבות הבשן, מלכייה, מנות, מנרה, מעיין ברוך, משגב עם, נאות מרדכי, סאסא, עמיר, צבעון, שדה נחמיה, שמיר, שניר, בית הלל, דישון, כפר יובל, מרגליות, רמות נפתלי, שאר ישוב, שדה אליעזר, אדמית, אילון, בן עמי, בצת, געתון, גשר הזיו, חניתה, יחיעם, כברי, לימן, מצובה, סער, עברון, עראמשה, ראש הנקרה, שבי ציון, אבירים, אבן מנחם, אלקוש, גורן, גרנות הגליל, הילה, זרעית (כפר רוזנוואלד), חוסן, יערה, מנות, מעונה, מתת, נווה זיו, נטועה, עבדון, עין יעקב, פקיעין החדשה, צוריאל, שומרה, שתולה, א-ריחאנייה, אביבים, אור הגנוז, בר יוחאי, דוב"ב, דלתון, כפר חושן, כרם בן זמרה, מירון, עלמה, ריחניה, מג'דל שמס, מטולה, קריית שמונה, קריית שמונה – צפוני, שלומי, מילואות (אכזיב), קריית שמונה – דרומי, חורפיש, גורן, דלתון, נהרייה, מסעדה, יסוד מעלה, כסרא סמיע, תל חי, מעלות קורן, מעלות תרשיחא, מעלות (ותיק), פארק הייטק ועסקים ע"ש אריאל שרון.
AI משנה את הדרך שבה עובדים ומנהלים כותבים, מנתחים מידע, מקבלים החלטות, נותנים שירות, מנהלים ידע, משפרים תהליכים ומייצרים ערך ללקוחות.
לצד ההתלהבות, יש גם חשש אמיתי. הנהלות רבות שואלות את עצמן:
האם אנחנו באמת צריכים מנהל AI?
האם נכון לגייס עכשיו תפקיד בכיר חדש?
כמה זה יעלה לנו?
מה בדיוק האדם הזה יעשה?
איך נדע שההשקעה מצדיקה את עצמה?
ומה יקרה אם נבנה תפקיד גדול מדי מוקדם מדי?
אלו שאלות נכונות.
ברור שתחום ה-AI צריך ניהול. אבל לא כל ארגון בשל כבר למנות Chief AI Officer – CAIO במשרה מלאה.
בדיוק כאן נכנס הפתרון של CAIO כשירות: התחלה הדרגתית, חכמה ומבוקרת לניהול AI בארגון.
בארגונים רבים השימוש ב-AI קורה בפועל, גם אם לא התקבלה החלטה רשמית בנושא. עובדים משתמשים בכלי AI כדי לכתוב מיילים, לסכם מסמכים, להכין מצגות, לבצע ניתוחים ראשוניים, לנסח הצעות, לייעל שירות לקוחות ולחפש רעיונות.
השימוש הספונטני ב-AI אינו בהכרח דבר רע.
האתגר מתחיל כאשר הארגון לא יודע:
מי משתמש / באילו כלים?
איזה מידע מוזן לתוכם?
אילו תוצרים מתקבלים מהם?
האם יש בקרה על איכות התשובות?
האם נשמרת פרטיות?
האם יש חשיפה של מידע רגיש?
האם השימוש ב־AI באמת מייצר ערך עסקי?
במילים פשוטות:
ה־AI כבר נכנס לארגון, אבל לא תמיד מישהו מנהל אותו.
ההיסוס מובן לחלוטין.
תפקיד Chief AI Officer (CAIO) הוא עדיין תפקיד חדש יחסית. בארגונים רבים לא ברור עדיין מה צריך להיות היקף האחריות שלו, למי הוא כפוף, מה התקציב הנדרש, אילו פרויקטים הוא יוביל, ואיך מודדים את ההצלחה שלו.
בנוסף, גיוס מנהל AI במשרה מלאה עלול להיות מהלך יקר.
צריך לאתר מועמד מתאים.
להגדיר תפקיד חדש.
להקצות שכר בכיר.
לבנות סביבו תהליכים.
להחליט על תקציבים.
ולקוות שהארגון אכן בשל לנצל את היכולות שלו.
כאן נקודת ההיסוס של הנהלות רבות –
הצורך לנהל AI ברור, יחד עם חשש להתחייב להוצאה גדולה מדי בשלב מוקדם מדי.
התוצאה היא דחייה.
אבל בזמן ההמתנה, השימוש הלא מנוהל ממשיך להתרחב.
זהירות ניהולית היא דבר חשוב, הרצון למצוא תהליך מושלם בתזמון מושלם מובן. אבל המתנה בזמן שהעולם טס קדימה אינה פתרון מיטבי.
העובדים משתמשים.
הלקוחות מצפים למהירות.
המתחרים מחפשים התייעלות.
והטכנולוגיה מתקדמת מהר יותר מקצב קבלת ההחלטות ברוב הארגונים.
לכן השאלה אינה האם להתחיל. השאלה היא איך להתחיל נכון.
התשובה, במקרים רבים, היא התחלה הדרגתית.
CAIO כשירות מאפשר לארגון להכניס יכולת ניהול AI בלי להתחייב מיד למשרה מלאה.
במקום לגייס מנהל AI בכיר, הארגון מקבל ליווי מקצועי במיקור חוץ, בהיקף שמתאים לשלב שבו הוא נמצא –
אפשר להתחיל בהיקף קטן של מספר שעות בחודש.
אפשר להתחיל בפרויקט ממוקד.
אפשר להתחיל במיפוי סיכונים והזדמנויות.
אפשר להתחיל בבניית מדיניות שימוש ב־AI.
אפשר להתחיל בפיילוט אחד או שניים.
ניהול AI כשירות מאפשר לארגון ללמוד –
מה באמת נדרש ממנו.
אילו תהליכים מתאימים לשימוש ב־AI.
איזה סוג של ניהול נדרש.
מהם הסיכונים המרכזיים.
אילו עובדים צריכים הדרכה.
איזו מדיניות חסרה.
ומה היקף התפקיד שנכון לבנות בהמשך.
כך, צעד צעד, הארגון מתקדם בקצב המתאים לו.
התחלה הדרגתית מקטינה סיכון.
אחד הדברים החשובים ביותר במודל CAIO כשירות הוא שהארגון לומד מהו בעצם תפקיד מנהל ה־AI בארגון. במקום להגדיר תפקיד תיאורטי, הארגון חווה בפועל מה צריך לנהל.
לדוגמה:
איפה כבר משתמשים ב-AI?
איפה יש חשש לחשיפת מידע?
אילו תהליכים ידניים גוזלים זמן רב?
אילו שימושים יכולים להביא ערך מהיר?
אילו כללים חייבים להיקבע מיידית?
אילו מנהלים צריכים להיות מעורבים?
כבר מהשלב הזה הארגון מקבל ערך:
מיפוי תמונת מצב.
הפחתת סיכונים.
שליטה בקצב שמתאים לארגון.
הבנה מה נכון לעשות הלאה.
בכל ארגון התשובה תהיה אחרת.
בארגון אחד, CAIO יהיה בעיקר גורם שמנהל סיכונים ומדיניות.
בארגון אחר, CAIO יהיה מוביל טרנספורמציה תפעולית.
בארגון שלישי, CAIO יתמקד בהדרכות, שימושים עסקיים ובחירת כלים.
ובארגון רביעי, CAIO יהפוך בהדרגה לתפקיד פנימי משמעותי.
המודל ההדרגתי מאפשר להבין זאת לפני שמתחייבים.
אחד הדברים החשובים ביותר במודל CAIO כשירות הוא שהארגון לומד מהו בעצם תפקיד מנהל ה-AI בארגון.
במקום להגדיר תפקיד תיאורטי, הארגון חווה בפועל מה צריך לנהל.
לדוגמה:
האם הדגש הוא על אבטחת מידע ופרטיות?
האם הדגש הוא על ייעול תהליכים?
האם הצורך המרכזי הוא הדרכת עובדים?
האם יש צורך בבחירת כלים?
האם נדרשת היערכות לתקן 42001 ISO?
האם נדרשת מעורבות גבוהה של ההנהלה?
האם יש פוטנציאל לאוטומציה?
האם יש צורך בניהול ידע ארגוני?
בכל ארגון התשובה תהיה אחרת.
המודל ההדרגתי מאפשר להבין את הדבר לפני שמתחייבים.
לא כל ארגון צריך אותו היקף שירות
ארגון קטן יכול להתחיל בליווי מצומצם: מדיניות שימוש, סדנת הנהלה, מיפוי שימושים ותכנית פעולה ראשונית.
ארגון בינוני יכול להוסיף פיילוטים, הדרכות עובדים, בחירת כלים ומנגנון בקרה.
ארגון גדול או מפוקח עשוי להזדקק לתכנית רחבה יותר, הכוללת ניהול סיכוני פרטיות, אבטחת מידע, רגולציה, בקרות, תיעוד והיערכות לתקנים.
היתרון הוא הגמישות: מתחילים בהיקף שמתאים לארגון, מודדים ערך, ומרחיבים לפי צורך.
מה אפשר לעשות בשלושת החודשים הראשונים?
90 הימים הראשונים הם קריטיים לבניית אמון ותוצאות.
בתקופה קצרה זו ניתן לבצע מהלך ממוקד:
מיפוי שימושי AI קיימים בארגון.
זיהוי סיכוני מידע ופרטיות.
הגדרת מדיניות שימוש בסיסית.
בחירת מספר Use Cases עסקיים.
הדרכת מנהלים ועובדים רלוונטיים.
בחינת כלים מתאימים.
הגדרת מדדי הצלחה.
ובניית תכנית המשך.
בסוף התקופה יש תוצאות המאפשרות להנהלה –
להבין איפה הארגון נמצא.
מהם הסיכונים.
איפה יש הזדמנויות.
מה כדאי לעשות קודם.
ומהו ההיקף הנכון של ניהול AI להמשך.
זוהי המטרה של התחלה הדרגתית: לקבל החלטות טובות על בסיס מידע אמיתי.
מודל CAIO כשירות נותן להנהלה כמה יתרונות מיידיים:
שליטה – הארגון מתחיל להבין מה קורה בפועל ולא רק מה נדמה שקורה.
מיקוד – במקום עשרות רעיונות וכלים, בוחרים את השימושים החשובים ביותר שיביא להצלחה מהירה, כדי לגרום למוטיבציה להעמיק את השירות.
ניהול סיכונים – מגדרים גבולות, כללים ובקרות לפני שנגרם נזק.
למידה – הארגון לומד מהו תפקיד ניהול ה־AI ומה באמת נדרש ממנו.
גמישות תקציבית – לא מתחייבים מיד למשרה מלאה או לפרויקט גדול, אלא מתקדמים לפי צורך וערך.
לא כל תנועה היא התקדמות. המטרה לסמן מטרה ולהתקדם אליה בקצב שהארגון יכול להכיל.
ההחלטה מתקבלת בהדרגה מתוך הבנה אמיתית של הצורך, היקף העבודה, רמת הסיכון והערך העסקי.
לאחר שלב ראשון של ליווי, הארגון יכול לקבל החלטה מושכלת יותר.
האם מספיק ליווי חודשי מצומצם?
האם נדרש ליווי רחב יותר לכמה חודשי התנעה?
האם להקים ועדת AI פנימית שבהדרגה תלמד את הנושא ותיקח את המושכות?
האם למנות מוביל AI פנימי ולתמוך בו מבחוץ?
האם ומתי יהיה נכון לגייס CAIO במשרה מלאה.
כך בונים תפקיד נכון ונמנעים מהוצאות מיותרות.
חשוב לומר ביושר – לא מדובר בתפקיד / תהליך שהופך את הארגון למיישם AI בלחיצת כפתור או חוסך מההנהלה החלטות אחראיות.
להפך.
CAIO כשירות עוזר להנהלה לקחת אחריות בצורה נכונה –
מסייע להגדיר כיוון, לבחור סדרי עדיפויות, לזהות סיכונים, ליצור שפה ארגונית משותפת ולבנות תהליך שאפשר לנהל לאורך זמן.
AI הוא קודם כל נושא אסטרטגי- תהלכי- ניהולי ומחייב ראיה מערכתית כוללת.
מנהלים אוהבים ודאות. הדבר מובן.
אבל בתחום ה-AI, המתנה לוודאות מלאה עלולה להיות יקרה.
מי שיחכה עד שכל התקנים יהיו ברורים, כל הכלים יתייצבו, כל הסיכונים ייעלמו וכל העובדים יהיו מוכנים, יגלה שהארגון כבר פועל בפועל בלי ניהול.
לכן לא צריך לחכות לשלמות אלא להתחיל נכון.
בקטן.
בזהירות.
עם שיטה.
עם מדיניות.
עם מיפוי.
עם פיילוטים.
עם מדידה.
ועם יכולת להרחיב בהמשך.
זו בדיוק החשיבה שמאחורי CAIO כשירות.
הצורך בניהול AI בארגון כבר קיים.
השאלה היא לא האם למנות מישהו שינהל את התחום.
השאלה היא באיזה היקף, באיזה קצב ובאיזה מודל.
עבור ארגונים רבים CAIO כשירות הוא הדרך הנכונה להתחיל.
בלי להמר על תפקיד חדש לפני שמבינים אותו.
בלי לדחות את הנושא עד שיהיה מאוחר מדי.
ובלי צורך לבחור בין קפיצה יקרה לבין קיפאון.
מתחילים בהדרגה ואז מגבירים.
מזמינה את קוראי מאמר זה להתייעץ עימי על הנושא.
אורנה קמין, Orna@Ok-consulting.co.il, 0537739018
אבטחת מידע וסייבר כבר אינם רק נושא טכנולוגי אלא חלק בלתי נפרד מניהול סיכונים, רגולציה, עמידה בדרישות לקוחות, הגנה על מידע רגיש, רציפות עסקית ואמון שוק.
ארגונים נדרשים היום להוכיח לא רק שיש להם אמצעי הגנה, אלא שהם פועלים באופן שיטתי, מתועד, מבוקר ומותאם לדרישות התקנים, הרגולציה והלקוחות שלהם.
אנו מספקים מעטפת שירותים מקצועית בתחום אבטחת המידע והסייבר, המאפשרת לארגונים לצמצם חשיפה, לחזק את מערך ההגנה, לעמוד בדרישות תקנים ולקוחות, ולהתקדם בצורה פרקטית ומבוקרת.
ליווי ארגונים בהיערכות, בהטמעה ובהבשלה לעמידה בדרישות תקנים ורגולציות בתחום אבטחת המידע והבריאות.
השירות מתאים לארגונים שרוצים לבנות או לחזק מערכת ניהול אבטחת מידע, להסדיר בקרות, נהלים וניהול סיכונים, ולהיערך לעמידה בדרישות מוכרות בארץ ובעולם. ISO 27001 מגדיר את הדרישות למערכת ניהול אבטחת מידע, ISO 27799 מספק הנחיות ייעודיות לארגוני בריאות, ו־HIPAA Security Rule מחייב אמצעי הגנה מנהליים, פיזיים וטכניים למידע רפואי אלקטרוני.
למידע נוסף על תקני אבטחת מידע ISO 27001, ISO 27799, HIPAA
ליווי לארגונים המשתמשים בשירותי ענן או מספקים שירותי ענן, לצורך יישום בקרות ייעודיות לסביבת ענן.
ISO 27017 מספק הנחיות ובקרות נוספות הרלוונטיות לספקי ענן וללקוחות ענן, מעבר למסגרת הכללית של ISO/IEC 27002.
למידע נוסף על 27017 ISO לניהול אבטחת מידע בענן
שירות המיועד לארגונים המעבדים מידע אישי בסביבת ענן, ומעוניינים ליישם בקרות ייעודיות להגנה על PII.
ISO 27018 מספק הנחיות להגנה על מידע אישי בשירותי ענן ציבורי, במיוחד כאשר ספק הענן פועל כמעבד מידע אישי.
למידע נוסף על ISO 27018 לניהול אבטחת מידע אישי בענן
שירות ממוקד לזיהוי חולשות, פערים, איומים ונקודות תורפה במערכות, בתהליכים ובסביבות העבודה של הארגון.
השירות מסייע לארגון להבין את רמת החשיפה בפועל, לתעדף סיכונים, ולבנות תכנית טיפול ממוקדת.
למידע נוסף על סקר סיכוני אבטחת מידע / ביצוע מבדק חדירה
שירות המיועד לארגונים שזקוקים להובלה מקצועית של תחום אבטחת המידע והסייבר, ללא העסקת CISO במשרה מלאה.
השירות כולל ליווי הנהלה, מדיניות, תכניות עבודה, ניהול סיכונים, עמידה בדרישות לקוחות ורגולציה, והכוונה מקצועית שוטפת.
למידע נוסף על אבטחת מידע וסייבר במיקור חוץ – CISO כשירות
שירות לארגונים שזיהו חולשות משמעותיות, חוו אירוע אבטחה, או קיבלו ממצאים קריטיים בבדיקת סיכונים או במבדק חדירה.
המטרה היא לא רק “לתקן ממצא”, אלא לחזק את החוסן הארגוני, לשפר בקרות, להסדיר תהליכים ולהחזיר שליטה.
למידע נוסף על שיקום חוסן מערכת אבטחת המידע לאחר בעקבות פריצה או סקר סיכונים
ליווי ארגונים, ובעיקר חברות טכנולוגיה ושירותים, בהיערכות ל־SOC 2.
SOC 2 הוא מסגרת דיווח על בקרות הקשורות לאבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות, המבוססת על Trust Services Criteria של AICPA.
למידע נוסף על הכנת ארגונים לעמידה בדרישות SOC2
שירות לארגונים המעבדים, שומרים או מעבירים נתוני כרטיסי אשראי, וצריכים להיערך לעמידה בדרישות PCI DSS.
PCI DSS מגדיר דרישות טכניות ותפעוליות בסיסיות להגנה על נתוני תשלום לאורך מחזור החיים שלהם.
למידע נוסף על הסמכה לתקן PCI DSS לאבטחת קנייה עם כרטיסי אשראי
שירות שמטרתו לבדוק את רמת המודעות והעמידות של הארגון מול מתקפות דיוג, לזהות מוקדי חולשה התנהגותיים, ולחזק את מערך ההדרכה והמודעות הארגוני.
למידע נוסף על ביצוע תרגיל Phishing
ליווי ארגונים בהיערכות לדרישות רלוונטיות של מערך הסייבר הלאומי, לרבות שאלוני ספקים והגדרת רמת ההגנה הנדרשת לפי צורכי הלקוח או הגוף המזמין.
מערך הסייבר הלאומי מפעיל מסגרת להנגשת שאלון רמת ההגנה לספקים ולתהליכי התאמה לפי מתודה לאומית.
למידע נוסף על עמידה בדרישות מערך הסייבר הלאומי (שאלון יוב"ל)
שירות המיועד לארגונים שמפתחים תוכנה, מוצרים דיגיטליים, מערכות או אפליקציות, ורוצים לשלב אבטחה כחלק אינטגרלי ממחזור החיים של הפיתוח.
NIST Secure Software Development Framework מתאר פרקטיקות יסוד לפיתוח תוכנה מאובטח, ו־OWASP מספקת עקרונות מעשיים להטמעת קידוד מאובטח.
למידע נוסף על ייעוץ לפיתוח מאובטח
שירות לארגונים שעובדים מול לקוחות אמריקאיים, קבלנים ראשיים או שרשראות אספקה שדורשות עמידה ב־NIST SP 800-171.
הפרסום של NIST נועד להגן על CUI בסביבות של ארגונים לא-פדרליים, והוא דרישה שכיחה עבור ספקים העובדים מול גופים אמריקאיים.
למידע נוסף על תקן NIST SP 800-171 לספקי חברות אמריקאיות
ליווי ארגונים, בעיקר בשרשרת האספקה של תעשיית הרכב, בהיערכות לדרישות TISAX.
TISAX הוא מנגנון הערכה והחלפת תוצאות בתחום אבטחת המידע, שנועד לאפשר הכרה הדדית של תוצאות הערכה בין משתתפים בקהילה.
למידע נוסף על עמידה סדרישות TISAX
אבטחת מידע וסייבר אינם רק אוסף של בקרות טכניות.
כדי לעמוד באמת בדרישות, להפחית סיכונים ולחזק את החוסן הארגוני, נדרשת הסתכלות רחבה: רגולציה, תהליכים, ניהול סיכונים, פרטיות, טכנולוגיה, ספקים, הדרכות והטמעה.
המשמעות עבורכם ברורה: במקום לעבוד מול מספר ספקים נפרדים, אתם נהנים מליווי של חברת ייעוץ אחת, שמבינה לעומק את החיבור בין פרטיות, טכנולוגיה, אבטחת מידע, ניהול סיכונים וציות ומעמידה לרשותכם צוות מומחים בכל אחד מהתחומים הללו.
לא כל ארגון צריך את אותו מסלול.
יש ארגונים שצריכים תקן, אחרים צריכים סקר סיכונים, חלק זקוקים ל־CISO כשירות, ואחרים צריכים היערכות ללקוח גדול, רגולציה או אירוע אבטחה.
נשמח לסייע לכם להבין מהו השירות המתאים ביותר לארגון שלכם ולבנות מסלול עבודה נכון, מעשי ומותאם לצרכים שלכם.
הארגון שלכם מחזיק מידע אישי על עובדים, לקוחות, מועמדים, ספקים, מטופלים או משתמשים?
אם אין לכם ודאות שהארגון עומד בדרישות חוק הגנת הפרטיות, זה הזמן לעצור ולבדוק.
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-14 באוגוסט 2025, חיזק את מסגרת האכיפה, הרחיב את סמכויות הרשות להגנת הפרטיות והגדיל את החשיפה של ארגונים שלא נערכו נכון.
פרויקט הציות שלנו נועד לעזור לארגונים מכל סוג לזהות פערים, להסדיר את הנדרש, לבנות תשתית ציות מסודרת ולהפחית חשיפה לעיצומים כספיים, קנסות וסיכון רגולטורי.
לתיאום פגישת היכרות בנושא ציות לחוק הגנת הפרטיות, השאירו פרטים כאן
ברוב המקרים, הסיבה פשוטה מאוד:
הם רוצים להימנע מקנסות, מעיצומים כספיים ומחשיפה רגולטורית מיותרת.
הרבה ארגונים יודעים שיש אצלם מידע אישי, אבל לא בטוחים אם:
במצב כזה, הארגון נשאר חשוף.
לא תמיד רואים את הבעיה ביום-יום, אבל היא עלולה להתגלות ברגע הכי לא נכון: ביקורת, תלונה, אירוע אבטחה, דרישת מידע או בדיקה רגולטורית.
הפרויקט מתאים לארגונים מכל סוג ובכל גודל, במגזר הפרטי, הציבורי והשלישי, שמחזיקים או מעבדים מידע אישי.
הוא מתאים במיוחד כאשר:
מטרת הפרויקט היא להביא את הארגון למצב מסודר, מבוקר ומוכן יותר לדרישות החוק.
בפועל, זה אומר:
זהו פרויקט שמחבר בין דרישות החוק לבין אופן העבודה בפועל בארגון.
הפרויקט מותאם לפעילות הארגון, סוגי המידע, רמת החשיפה והמערכות הקיימות, וכולל לפי הצורך:
מיפוי המצב הקיים
בחינה של סוגי המידע האישי בארגון, מטרות העיבוד, המערכות, הספקים, ההרשאות והממשקים הרלוונטיים.
זיהוי פערי ציות
איתור פערים בין המצב בפועל לבין הדרישות החלות על הארגון.
תכנית פעולה מעשית
בניית תכנית עבודה מסודרת לפי סדרי עדיפויות: מה דחוף, מה חובה, ומה נכון להשלים בהמשך.
כתיבה והסדרה של מסמכים ונהלים
הכנה, עדכון או התאמה של מסמכי ליבה, מדיניות, נהלים ותבניות עבודה.
ליווי הנהלה ובעלי תפקידים
הצגת הפערים, הסיכונים והצעדים הנדרשים באופן ברור, מעשי וניהולי.
הכנה להמשך
בסיום הפרויקט ניתן להחליט אם הארגון צריך תחזוקה פנימית, ליווי נקודתי או שירות המשך.
בסיום הפרויקט, הארגון יקבל תוצרים פרקטיים ומסודרים, שנועדו לתמוך בעמידה בדרישות החוק, להפחית חשיפה לעיצומים כספיים ולקנסות, ולייצר בסיס עבודה ברור בתחום הפרטיות.
התוצרים מותאמים למאפייני הארגון ולהיקף הפרויקט, ויכולים לכלול:
המטרה היא שהארגון יסיים את הפרויקט עם מסמכי ליבה, נהלים, מיפוי פערים ותכנית פעולה מעשית.
אנו יודעים לקחת דרישות חוק ולהפוך אותן לתהליך עבודה ישים ומותאם לארגון.
הייחוד שלנו הוא בהיותנו חברה מולטי-דיסציפלינרית, המשלבת בין:
המשמעות עבור הלקוח היא רחבה:
לא רק פרויקט ציות ממוקד, אלא גם יכולת להסתכל על מוקדי החשיפה באופן כולל ולתת מענה משלים כשצריך.
בנוסף לפרויקט הציות, אנו יכולים לספק גם מעטפת שירותים משלימה, לרבות:
כך הארגון מקבל שותפים מקצועיים שמבינה רגולציה, תהליכים, סיכונים ואבטחת מידע.
השלב הראשון הוא פגישת היכרות.
בפגישה נבין:
לאחר מכן נוכל להציע מסלול עבודה מותאם לארגון שלכם.
תפקיד מנהל האיכות בארגון משתנה בצורה דרמטית.
בעולם שבו תהליכים היו ליניאריים, ניהול האיכות עסק בהגדרת תהליכי העבודה, סיוע ביישום, בקרה על היישום ווידוא עמידה בדרישות. כניסת AI משנה את כללי המשחק משום שההחלטות כבר לא מתקבלות רק על ידי אנשים. הן מתקבלות גם על ידי מערכות.
זו נקודה קריטית.
עד היום, מנהל האיכות שאל: האם התהליך מוגדר? האם עובדים לפי התהליך שהוגדר? האם יש בקרה?
היום הוא צריך לשאול: איך מתקבלות החלטות ומי באמת מקבל אותן?
תהליך קלאסי הינו: מוגדר, יציב, ניתן לבקרה.
מערכת AI – לומדת, משתנה ומושפעת מנתונים.
לכן ניהול האיכות כבר לא עוסק רק בתהליך אלא בהתנהגות של מערכת.
זה שינוי תפיסתי עמוק.
עד כה בדקנו אם ביצעו נכון את התהליך שהוגדר. היום צריך לבדוק אם התקבלה החלטה נכונה. מדובר בתהליך הרבה יותר מורכב, כיוון שאין תמיד תשובה אחת נכונה, אין תמיד שקיפות ואין תמיד הסבר.
יהיו שיגידו שחלק מהתפקידים המתוארים להלן אמורים להיות בהגדרת התפקיד הנוכחית של מנהל איכות, ללא קשר ל-AI. מסכימה עם טענה זו לחלוטין. בארגונים רבים אכן הגדרת מנהל האיכות היא הגדרה רחבה. כיום ראייה רחבה היא תנאי בסיס ולא יתרון למצטיינים.
הדגש עובר מ-"איך עושים” אל "מה עלול להשתבש”.
מנהל האיכות הופך למנהל סיכונים של שימוש ב-AI.
הוספת תחום בקרה נוסף לתחום ניהול איכות בסביבה רוויית בינה מלאכותית. צריך להגדיר מראש ולא בדיעבד: מי אחראי, איך מאשרים שימושים, איך מנהלים חריגות.
ניהול איכות הופך להיות תפקיד חוצה ארגוני. מנהל האיכות נדרש לעבוד עם כל מחלקה שעובדת עם AI – הנהלה, מחלקה משפטית, סייבר, תפעול ועוד. זה תפקיד אסטרטגי.
כאן השינוי הגדול ביותר: לא מספיק לדעת ולהבין מה קרה, צריך להבין איך ולמה התקבלה החלטה.
ברוב הארגונים: AI מנוהל “בצד”, ניהול איכות לא מעורב, אין בקרה אמיתית. כתוצאה מכך מגיעים: סיכונים, טעויות, הפתעות. זהו פער ניהולי ולא כשל טכנולוגי.
מנהל איכות שלא ייכנס לעולם ה-AI – יאבד רלוונטיות! לעומתו, מנהל איכות שכן יכנס לתחום – יהפוך לדמות מפתח בארגון.
42001 ISO נותן מסגרת ברורה: איך להגדיר אחריות, איך לנהל סיכונים, איך לבקר החלטות, איך לשלוט בתהליך. לא מדובר בניהול טכנולוגיה אלא הרחבה של תחום ניהול ובקרת איכות על תהליכים בארגון.
מנהל האיכות לא אמור להפוך למהנדס אלא להבין איפה AI נכנס לתהליכי העבודה בארגון, איפה הסיכון ואיפה אין שליטה. AI כמובן לא מחליף את מנהל האיכות. הוא מגדיר אותו מחדש. הקריאה למנהלי האיכות – היו פרואקטיביים והובילו את השינוי !
אם גם בארגון שלכם נעשה כיום שימוש ב-AI, עכשיו הזמן לעצור ולבחון: היכן אתם נהנים מערך והיכן אתם חשופים לסיכון.
אנו בחברת OK יועצים לניהול מלווים הנהלות בזיהוי שימושי AI, במיפוי סיכונים ובהערכת פערים ניהוליים, לצורך בניית שליטה ארגונית אפקטיבית לפי עקרונות תקן ISO 42001.
מוזמנים לפנות אליי לשיחה מקצועית בנושא.
אורנה קמין, 0537739018, orna.kamin@gmail.com
