ארכיון הקטגוריה אבטחת מידע

כתיבת אסטרטגיית אבטחת מידע

לאור התגובות לפוסט הקודם, הצגת אסטרטגיית אבטחת מידע להנהלת הארגון, בפוסט הזה ננסה להבין מהם האתגרים האסטרטגיים באבטחת מידע ואיך עלינו לענות עליהם. או במילים אחרות, מה כותבים באסטרטגיית אבטחת מידע. כיוון שכמות האתגרים והשפעתן על הארגון משתנות מארגון אחד למשנהו, אשתדל לפרט אתגרים בצורה כללית יחסית, כאשר על כל אחד מכם, לעשות את ההתאמות, … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

תקשור אסטרטגיית אבטחת מידע להנהלה

בימים אלו אני מייעץ בפרויקט בניית אסטרטגיית אבטחת מידע בארגון גדול, אסטרטגיה אותה נציג להנהלה הבכירה. במקביל, קראתי מאמר על איך מתקשרים אסטרטגיית אבטחת מידע לדירקטוריון (ולהנהלה הבכירה), מפי אחד מבכירי המנהלים של הארגון ללא מטרות רווח, בעל מספר החברים הגדול ביותר בעולם בתחום אבטחת מידע ומסמיך הסכמת CISSP – ארגון 2(ISC). להלן תובונותי: הצגת אסטרטגיית אבטחת מידע … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

עיצוב מחדש של תפקידי ניהול טכנולוגיים

המצב הביטחוני בעולם בכלל ובישראל בפרט משנה את ההתייחסות שלנו לביטחון ואבטחה גם בעולם העסקי. ארגונים רבים, שהסתמכו על אמצעי אבטחה פיזיים וטכנולוגיים קונבנציונליים, מוצאים עצמם עם חשש מהתקפות קיברנטיות ובעיקר מתוקפים מתוחכמים יותר ויותר. שינויים עולמיים של גלובליזציה, התקדמות הטכנולוגיה, התקשורת ובעיקר הצורך ביכולת פיתוח המתאימה לשינויים זריזים (Agile) מחייבים ארגונים לחשוב שונה. כיום, … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

תרבות ניהול סיכוני אבטחת מידע

בעולם עסקי דינמי, בו האיומים והחשיפות משתנים באופן תמידי, מתי ואיך מנהל ארגון את סיכוני אבטחת המידע שלו בצורה נכונה? בפוסט זה נסביר את השלבים לבניית תרבות ארגונית המנהלת סיכוני אבטחת מידע בצורה יעילה ואפקטיבית. כולכם כבר יודעים, שממשל אבטחת מידע מהווה את הבסיס לניהול סיכוני אבטחת מידע, ולכן, נגדיר גם את האחראיים לבניית תרבות … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

הצגת תוכנית אבטחת מידע ופרטיות להנהלת הארגון

פוסט זה מיועד למנהלי טכנולוגיה ואבטחת מידע המעוניינים לדבר בשפה העסקית… השבוע קראתי את סיקור פורום C3 של אנשים ומחשבים, ובמיוחד את דבריו של פרופסור ישראל בורוביץ, דיקן בית הספר לכלכלה במכללה האקדמית תל אביב-יפו : “המנמר”ים הם המועמדים הטובים ביותר להיות מנכ”לים“. פרופ’ בורוביץ שהיה דובר המפתח במפגש, ולטענתו, אלמלא העובדה שמרבית המנמ”רים הם “לא … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל

אישור תקציבי לכלים טכנולוגיים

מדוע בעולם של הדלפות נתונים, פשעי אינטרנט, התקפות סייבר ושאר הזוועות שאנו שומעים עליהן מדי יום ביומו, עדיין למנהלים רבים כולל מנהלי מערכות מידע ובמיוחד מנהלי אבטחת מידע, קשה לשכנע הנהלות לביצוע רכש טכנולוגי או כלי אבטחת מידע? האם זה בגלל שאנשי המכירות מציגים תמונה ורודה של “קנה את הכלי שלי וכל בעיותיך נפתרות”? או … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

ניהול אבטחת מידע במגבלות תקציב: פוסט המשך

בפוסט הקודם שלי “ניהול אבטחת מידע במגבלות תקציב“, סיפרתי לכם איך בעקבות פגישה על חבר המשמש כמנהל אבטחת מידע, מצאתי לנכון להראות מה אפשר לעשות בתחום אבטחת מידע ללא תקציב ראוי. כפעולה ראשונה, הלכנו על הבנת המשמעות האמיתית של תפקידנו, כמנהלי אבטחת מידע, בארגון. לשם כך, עלינו לדעת ולהבין את מטרות הארגון, יעדיו, התוכנית האסטרטגית … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

ניהול אבטחת מידע במגבלות תקציב

השבוע פגשתי חבר המשמש כמנהל אבטחת מידע בארגון בינוני (כ- 500 משתמשי מחשב). במהלך שיחתנו, התלונן הבחור שהתקציב שניתן לו לא מאפשר לו אפילו לעמוד בדרישות אבטחה מינימליות, כל שכן, לרכוש ולשדרג כלי אבטחה קיימים או נוספים. נשמע לכם מוכר? איך אפשר לנהל אבטחת מידע ללא תקציב נאות? בעצם, יש שתי תשובות אפשריות: א. להיות … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים

ניהול אבטחת מידע מבוסס מתודולוגיות ותקנים

עד כה הפוסטים שכתבתי הדגישו את תחום הממשל וברובם ניסיתי להסביר במה שונה השימוש בעקרונות ממשל מהניהול השוטף. בפוסט הזה אני רוצה להתרכז דווקא בניהול השוטף ולהציג את היתרונות בשימוש ובהטמעת תקני עבודה בינלאומיים, וכמו תמיד בכפוף לצרכים הארגוניים. ישנם עשרות מתודולוגיות, מסגרות עבודה, תקנים, שיטות עבודה ועזרים אחרים לניהול אפקטיבי ונכון לטכנולוגיית המידע. עקב … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

מתי לאחרונה עשית בדיקת דם לארגון שלך?

 בשנים האחרונות, עסקתי לא מעט בביקורת שוטפת של ארגונים נסחרים. תקופה זו של השנה, בה המבקר החיצוני של אותם ארגונים משקיע מאות ולעתים אף אלפי שעות עבודה על מנת לוודא כי הדוחות השנתיים שהחברה הצהירה עליהן אכן מציגים את סיכום הפעילות השנתית, וכי הסיכונים (בעיקר הפיננסיים) הארגוניים מנוהלים כראוי. כמנהלים, אין לנו יותר מדי מה לעשות. להציג … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ניהול סיכונים