רגולציה כמנוף לקידום איתמר קלעי הארגון

Human Factor

תוכן

הזה, ?• הראש כאב לי ולמה זה מה תקןיתרונות • ליצירת ובונה נכונה גישה אימוץ

עסקיים.קשיים•• , : התייעלות מקצועיות הארגון קידום

ואבטחת, איכות סדר קידום והתמקצעותמידע

כתהליך • ההסמכהלהצלחה: • ומפתחות טיפים סיכום

מהו תקן ? ארגוני • בשיאצו ראשון תואר עושה יוסי

יפני לדיקור מוסמך

בר לדבורי

, תקן: ואף מקובלים שיטה או מפרט , ליישום מחייבים מסוימים במקרים

מסוים בתחום

תקן'- להבטחת ISO 9001דוג מודל הוא , , , , מתן התקנה ייצור פיתוח בתיכון איכות

. ובתחזוקה שירות

למה לי כאב הראש של התקינה ?

עסקית • או חוקית מחוייבותמתחרים • מול ישיר עסקי יתרון יצירת•/ / / התמקצעות יעילות מידע אבטחת איכות קידום

ומוכחת )– מובנית מתודולוגיה על (ITIL/ISOהסתמכותמידע – אבטחת שיפורסיכונים – ניהול

להנעת • מסייע מוגדר חיצוני וגורם חיצוני מניעהתהליך.

איך לנצל את התקן לתועלת הארגון ולא לנטל עליו?

שימוש בתקן כמנוף• , , מחויבות יעדים הגדרת בונה גישה בחירת

. השלבים בכל הנהלה ומעורבות•: ישירים יתרונות

אוביקטיבי – מגורם איכות חותמת וקבלת שווקים פתיחתכמו – בנושא בארגון ותשתיות עבודה דרכי וקידום שיפור

. מידע אבטחת או איכות– , " נבחנו מקצוע אנשי י ע שנבנו ותבניות ידע על השענות

. רבים בארגונים והוטמעו•: עקיפים יתרונות

– , בנושאים ארגון סדר נוצר מובנית מתודולגיה באמצעות. ' מטופלות ' ולא חשוכות פינות והארת ומשניים מרכזיים

כתוצאה – שנוצרו ומוצרים יכולות כמו לוואי תוצרי קבלתמהמהלך.

!אתגריםקשייםסקירת כלכלי•

התקן – לעלויות ומתמשכת פעמית חד כלכלית הצדקה

אובייקטיבי•– " י ע חיצוניות וסקירות אוביקטיביות בדרישות עמידה

. , ידע פערי והשלמת בתקן שינויים מוסמך בודק– , , , פעולות, נהלים של ובקרה תעוד ניהול הטמעה יצירה

. אדם כח וניהול תוכנה פתוח כמו ותהליכים

סקירת אתגרים סוביקטיביים

ענייניות: • ולא ענייניות התנגדויות פסיכולוגיותלתהליך.

•. משאבים והקצאת ניהול• , ואילוצים התפתחויות שינויים עם שילוב

אחרים.•. שנים לאורך התמדה

לשנות ?למה

לי חסרה

? עבודהניירות עוד

!מיותרים

דוגמא: אתגרים בתהליך הסמכת PCI DSS

ולכן • רבדיו כל על הארגון את מקיף התהליךהגורמים כל של מוחלטת מעורבות דורש

בחברה.להסמכת • משאבים להקצאת :PCIדוגמא

מנהל פרויקט ואחראי אבטחת מידע –משימות הקשחה לצוות הסיסטם.–משימות אבטחת מידע לצוות פתוח.–הדרכות לכל מחלקות הארגון–ליווי הנהלה–

ISO 9001 לפני ואחרי הטמעת

נושאים לדוגמא:הגדרת יעדים ומטרות של הארגון בנושא איכות•(, פתוח ורכשHRנהלי כח אדם )•שביעות רצון לקוח•דרישה לפעולה מתקנת/מונעת•

התקן נועד למנוע אי התאמות בכל שלבי מחזור האיכות מהתכנון ועד למתן השירות והתחזוקה.

התקן כמנוף לשפור ופתוח עסקי

דוגמא מתוך הסמכת •PCI:

ובנייה בדיקהיצירת נהלי אבטחת מידע ואיתור פערים•שדרוג תוכנה ותשתיות )הקשחות(•בניית נהלי פתוח והטמעתם.•

ותיקון שיפור• - , ו חדירה בדיקות רשת code reviewסקירותהטמעת נהלי אבטחת מידע ובצוע בקרות שוטפות•

שיפור מערך אבטחה פיזי ואנושי•

ROI מתחרים • מול איכותי יתרון יוצרת ההסמכה השלמתמכירת מוצרים/שרותים מאובטחים וידע ללקוחות•

ט

קויי

פרול

הני

תהליך מתמשך...

התהליך לא מסתיים עם קבלת ההסמכה • על ידי גורם חיצוני code review יש לבצע למשל–

לצוות הפיתוח, כל שינוי שמבוצע מלווה בתיעוד וביישום נהלים של מעקב שוטף אחר שינויים.

בצוע הדרכות ועדכונים באופן שוטף.–בצוע סקירות חדירה תקופתיות וסקירות שנתיות–

המלצות ליישום -אסטרטגיה

• למשל - – הארגון של הגישה קביעת

ולימוד שיפור של גישה

ההסמכה – מרכיבי כל של למוד .– , למטרות פרוטה תוכנית בניית

. " ותקציב, ז לו קביעת משנה

ההנהלה – של מוחלטת מחויבותהטמעה לאפשר כדי לתהליך וגיבוי

. סייגים, וללא הרמות בכל מלאה

המלצות ליישום- נהול פרוייקט

בחשיבות • ועניין דבר לכל פרויקט אל כמו להסמכה התייחסות. החברה של השוטף העדיפויות סדר מבחינת גבוהה

פרוייקט • מנהל וקביעת איתור•. נכונה משאבים והקצאת מסודר פרויקט ניהול

• , " , ז בלו לעמוד המעורבים כל את לחייב שוטפת בקרה ביצוע , פערים כשנוצרים אחריות לקחת מדויקים דיווחים להעביר

וכדומה.

סיכום

כמו • - PCI לתקינה כל ISOו על השפעה ישחיי במחזור השלבים כל ועל הארגון רובדי

המוצר.אליו • להיערך שיש פשוט לא בתהליך מדובר

אינטגרציה מבחינת מורכב פרויקט כאל. פנימית והטמעה חיצונית

והתוצרים • התועלות את להפיק מומלץאליו מחויבים אם ההסמכה מתהליך

ממילא.

!תודה רבה

איתמר קלעי

Human Factor

itamarkalay10@gmail.com972-52-8898602972-4-6619113

PCI vs ISO 27001 PCIתקן •

–" א כ על הגנה צורך ממוקדמוגדרות – מפורטות מדרישות מורכבסיכונים – נתוח של תוצאה– , האשראי חברת העסק לבית שייך המוגן הנכס

והלקוח.

ISOתקן •– , סיכונים סקר נהול כולל התהליך באופיו ותהליכי כללי

הארגון, של הסיכונים לפי נבנה היישום בתחילתוהספציפי.

– , תוצרים עם מובנה תהליך ליישום המלצות מכילמנדטוריים.

לגוף – ISOשייך