ארכיון הקטגוריה מתודולוגיות וסטנדרטים

אבני היסוד לשנת סייבר פוריה

עם החזרה מחופשות הקיץ רובנו מתחילים (או ממשיכים), לבנות תכניות עבודה לשנה הבאה. אצל כולנו המילה “סייבר” מופיעה יותר ויותר בתכניות. אם לא בצורה ישירה, היא משפיעה בצורה עקיפה על בניית התכניות.    למה? איך נושא הסייבר השתלט לנו על האופן שבו אנו מנהלים את העסק שלנו? ואיך משלבים עם תכניות העבודה? התפתחות הטכנולוגיה מאפשרת … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים, סייבר

ניהול סיכונים טכנולוגיים

לאחרונה עולות, שוב, שאלות לגבי ההבדלים בין ניהול סיכונים ארגוני? סיכוני טכנולוגיית המידע? סיכוני אבטחת מידע וההגדרה החדשה של המפקח על הבנקים – “סיכוני הסייבר”? לקראת כנס האיגוד הישראלי לביקורת ואבטחת מידע, בנושא “ניהול סיכוני IT כאמצעי להשגת יעדים עסקיים“, שיתקיים בתחילת ספטמבר הקרוב (רישום / בפייסבוק), התבקשתי לכתוב מאמר קצר המסביר מהם סיכוני טכנולוגיית המידע. להלן … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

חדשנות וממשל טכנולוגיית המידע

נושא החדשנות מקבל בשנים האחרונות מימד נוסף מעבר לטכנולוגיות חדשות. חדשנות נתפשת כדברים חדשים, טכנולוגיות חדשות או אפילו ליכולות חדשות. האם לכך הכוונה? האם נכון לומר כי בזה מסתכמת החדשנות? אם כן, מדוע ארגונים מקימים מחלקת חדשנות? מהי מטרת המחלקה? ואיך כל זה קשור לממשל טכנולוגיית המידע? אם כך, בואו נתחיל בהגדרה מקצועית של חדשנות (Innovation): … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים

כתיבת אסטרטגיית אבטחת מידע

לאור התגובות לפוסט הקודם, הצגת אסטרטגיית אבטחת מידע להנהלת הארגון, בפוסט הזה ננסה להבין מהם האתגרים האסטרטגיים באבטחת מידע ואיך עלינו לענות עליהם. או במילים אחרות, מה כותבים באסטרטגיית אבטחת מידע. כיוון שכמות האתגרים והשפעתן על הארגון משתנות מארגון אחד למשנהו, אשתדל לפרט אתגרים בצורה כללית יחסית, כאשר על כל אחד מכם, לעשות את ההתאמות, … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

תקשור אסטרטגיית אבטחת מידע להנהלה

בימים אלו אני מייעץ בפרויקט בניית אסטרטגיית אבטחת מידע בארגון גדול, אסטרטגיה אותה נציג להנהלה הבכירה. במקביל, קראתי מאמר על איך מתקשרים אסטרטגיית אבטחת מידע לדירקטוריון (ולהנהלה הבכירה), מפי אחד מבכירי המנהלים של הארגון ללא מטרות רווח, בעל מספר החברים הגדול ביותר בעולם בתחום אבטחת מידע ומסמיך הסכמת CISSP – ארגון 2(ISC). להלן תובונותי: הצגת אסטרטגיית אבטחת מידע … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

ניהול סיכונים ארגוני מול קבוצת אי.די.בי

נפילתה (לכאורה) של קבוצת אי.די.בי בראשות נוחי דנקנר, מורכבת מהרבה סיבות. אינני כלכלן ולכן אני מסתמך על העיתונות הכלכלית, ועדיין ניתן לומר שהמשבר הכלכלי שהקבוצה נקלעה אליו מורכב (כנראה) ברובו מהחלטות ניהול כושלות. רכישת הקרקעות בלאס ווגאס, ההפסדים העצומים מקרדיט סוויס, הכישלון ברכישת העיתון מעריב, הרפורמה בשוק הסלולר שהקטין את רווחיות סלקום והירידה החדה ברווחי … Continue reading →

פורסם בקטגוריה כללי, מתודולוגיות וסטנדרטים, ניהול סיכונים

אילו תוכניות ממשל מיושמות בארגונך?

בפוסט הקודם שלנו, הסברתי למה הקטנת עלויות כבר לא מספיק, וכי ארגונים צריכים לעבור לתוכניות ממשל. עוד ציינו, כי תוכניות ממשל מיישרות קו בין המצוי לרצוי, בכך שהן מגדירות את קווי היסוד לניהול אפקטיבי של המשאבים הארגוניים להשגת מטרות הארגון תוך מדידה ושיפור מתמיד. בימים אלו, פירסם נורמן מרקס, אחד מגדולי המשפיעים בעולם ממשל טכנולוגיית המידע … Continue reading →

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

אישור תקציבי לכלים טכנולוגיים

מדוע בעולם של הדלפות נתונים, פשעי אינטרנט, התקפות סייבר ושאר הזוועות שאנו שומעים עליהן מדי יום ביומו, עדיין למנהלים רבים כולל מנהלי מערכות מידע ובמיוחד מנהלי אבטחת מידע, קשה לשכנע הנהלות לביצוע רכש טכנולוגי או כלי אבטחת מידע? האם זה בגלל שאנשי המכירות מציגים תמונה ורודה של “קנה את הכלי שלי וכל בעיותיך נפתרות”? או … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

ניהול אבטחת מידע במגבלות תקציב

השבוע פגשתי חבר המשמש כמנהל אבטחת מידע בארגון בינוני (כ- 500 משתמשי מחשב). במהלך שיחתנו, התלונן הבחור שהתקציב שניתן לו לא מאפשר לו אפילו לעמוד בדרישות אבטחה מינימליות, כל שכן, לרכוש ולשדרג כלי אבטחה קיימים או נוספים. נשמע לכם מוכר? איך אפשר לנהל אבטחת מידע ללא תקציב נאות? בעצם, יש שתי תשובות אפשריות: א. להיות … Continue reading →

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים

ניהול אבטחת מידע מבוסס מתודולוגיות ותקנים

עד כה הפוסטים שכתבתי הדגישו את תחום הממשל וברובם ניסיתי להסביר במה שונה השימוש בעקרונות ממשל מהניהול השוטף. בפוסט הזה אני רוצה להתרכז דווקא בניהול השוטף ולהציג את היתרונות בשימוש ובהטמעת תקני עבודה בינלאומיים, וכמו תמיד בכפוף לצרכים הארגוניים. ישנם עשרות מתודולוגיות, מסגרות עבודה, תקנים, שיטות עבודה ועזרים אחרים לניהול אפקטיבי ונכון לטכנולוגיית המידע. עקב … Continue reading →

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים