סקר סיכוני סייבר ושירותי CISO

מדוע נדרשת הערכת סיכוני סייבר

סביבת איומי הסייבר חוצה היום ארגונים מכל גודל ומכל מגזר — תקיפות אופורטוניסטיות, הונאות עסקיות (BEC), דליפת מידע, וכשלי זמינות מערכות. החשיפה אינה תפעולית בלבד: היא נושאת השלכות רגולטוריות, משפטיות ותדמיתיות. הערכת סיכונים מובנית היא הבסיס לניהול חשיפות אלו באופן יזום, בשליטה ובדיווח, ולא תגובתית בלבד.

תכלית ההערכה כפולה: זיהוי חשיפות הארגון בפועל, ותרגומן לתוכנית עבודה מתועדפת ומדודה. זו אינה בדיקה טכנית, אלא תהליך ממשל סיכונים (Risk Governance) המספק להנהלה ולדירקטוריון בסיס נתונים מובנה לקבלת החלטות על הקצאת משאבים — בהתאם לתאבון הסיכון של הארגון ולמסגרת הרגולטורית שבה הוא פועל.

מה נסקר בתהליך?

ההערכה ממפה את חשיפת הארגון בשלושה מישורים מקבילים — נכסי מידע, תשתיות טכנולוגיות וההיבט הארגוני. כל מישור נבחן בנפרד, והניתוח המשולב מספק תמונת סיכון אינטגרטיבית ברמת הארגון.

נכסי מידע

מאגרי לקוחות, מידע אישי מזהה (PII), קניין רוחני, חוזים, מסמכים פיננסיים, תהליכים פנימיים וסודות מסחריים. סיווג לפי רגישות והשפעה עסקית.

תשתיות טכנולוגיות

מערכות הפעלה, רכיבי רשת, שרתים, סביבות ענן (Cloud / SaaS), ממשקי תוכנה (APIs), תחנות קצה, מערכות גיבוי ופלטפורמות צד שלישי.

היבט ארגוני

מבנה האחריות, חלוקת הרשאות, נהלי קליטה ופרישת עובדים, הסכמי סודיות, ניהול ספקים, מודעות עובדים ותגובה לאירועים.

תהליך העבודה בארבעה שלבים

מיפוי וסיווג נכסים

התהליך נפתח בפגישת הגדרת היקף (Scoping) עם הגורמים הרלוונטיים בארגון — הנהלה בכירה, CIO / מנהל מערכות מידע, יועץ משפטי, ובמידת הצורך גם CFO או DPO. בפגישה ממפים את נכסי המידע והתשתיות, וקובעים לכל נכס דירוג קריטיות לפי שלושה פרמטרים: השפעה על המשכיות עסקית, רגישות רגולטורית, ועלות שיקום.

תוצר השלב: מפת נכסים מסווגת ומדורגת, המהווה את הבסיס לכל שלבי הסקר הבאים.

ניתוח איומים והערכת הסתברויות

לכל נכס בארגון נבחנים תרחישי האיום הרלוונטיים — מקור התקיפה האפשרי, וקטור החדירה הצפוי, רמת הכישורים הנדרשת ממבצע התקיפה, וההסתברות להתממשות בפועל. הניתוח מבוסס על מתודולוגיית NIST 800-30 בשילוב מודלי איומים ישראליים ובינלאומיים.

תוצר השלב: מטריצת סיכון (Risk Matrix) ברמת R = L × I (הסתברות × השפעה), המציגה את כלל החשיפות מסודרות לפי דחיפות הטיפול.

מבדק חוסן ובדיקות חדירות (אופציונלי)

עבור ארגונים הנדרשים לאמת את ממצאי ההערכה בפועל, ניתן להוסיף שלב של מבדקי חדירות (Penetration Testing) המבוצעים על ידי בודקי חוסן מוסמכים. המבדק מדמה תקיפה — חיצונית, פנימית, או מבוססת תרחיש — וחושף חולשות שאינן מתגלות תמיד בשאלון התיאורטי.

חשוב לדעת: מבדק חדירות הוא שלב נפרד מהסקר, בהיקף המותאם לארגון, ומומלץ בעיקר לארגונים בתעשיות רגולטוריות (פיננסים, בריאות, ביטחון, חברות ציבוריות).

גיבוש תוכנית הפחתה (Mitigation Plan)

הממצאים מתורגמים לתוכנית פעולה מעשית, המחולקת לשלושה צירים משלימים:

▸ טכנולוגי — בקרות גישה, הצפנה, חומות אש, מערכות ניטור (SIEM/SOC), מנגנוני שחזור, ו-DLP.
▸ תהליכי — מדיניות סיסמאות, נהלי קליטה ופרישה, ניהול הרשאות, בקרת ספקים, ותהליכי תגובה לאירועים (Incident Response).
▸ אנושי — תוכניות מודעות, סדנאות הדרכה, וסימולציות פישינג.

כל המלצה מתועדפת לפי דירוג הסיכון השיורי, ומלווה בלוח זמנים מציאותי ובאומדן עלות יישום. התוכנית מיושרת עם תאבון הסיכון (Risk Appetite) המוגדר עם ההנהלה, ועם נהלי האבטחה והמשכיות העסקית של הארגון — איזון בין הסיכון שהארגון נכון לקבל לבין משאבי ההפחתה המוצדקים.

תקנים ורגולציה

ההערכה נכתבת בהתאמה לסטנדרטים המקצועיים והמשפטיים הרלוונטיים לארגון. ניתן להתאים את ההיקף למסגרת רגולטורית בודדת או לשילוב של מספר מסגרות במקביל:

ISO 27001:2022

ניהול אבטחת מידע

תקן בינלאומי, מהווה בסיס להסמכה

NIST 800-30

הערכת סיכוני סייבר

מתודולוגיה אמריקאית מקובלת

תקנות 2017

הגנת הפרטיות (אבטחת מידע)

חלות על ארגונים בישראל המעבדים מאגרי מידע אישי, ברמת אבטחה לפי סיווג המאגר

ISO 27032

הגנת סייבר

הרחבה ל-27001 בהיבט סייבר

ISO 27701

פרטיות מידע (PIMS)

משלים ל-GDPR ולתקנות 2017

GDPR

הגנת פרטיות אירופאית

לארגונים עם מעורבות בשוק האירופי

HIPAA

בריאות (ארה"ב)

לחברות עם מעורבות בשוק הרפואי האמריקאי

SOC 2

תקן שירותי ענן

לחברות SaaS וטכנולוגיה

למי השירות מתאים במיוחד?

הערכת סיכוני סייבר רלוונטית לכל ארגון המעבד מידע דיגיטלי ומפעיל מערכות מחשוב. ישנם מצבים שבהם היא נדרשת באופן ספציפי:

ארגונים שעוברים אודיט פנימי או חיצוני, ונדרשים להציג עמידה בתקני אבטחה
חברות הנדרשות על ידי לקוחות עסקיים גדולים להציג חוסן סייבר (Vendor Risk Assessment)
סטארטאפים ומיזמים בתהליכי גיוס הון או הנפקה ראשונית (IPO / SPAC)
חברות בתהליכי מיזוג ורכישה (M&A) — Due Diligence בתחום הסייבר
ארגונים שחוו לאחרונה אירוע אבטחת מידע, ונדרשים לבחון את חוסנם הכולל
גופים פיננסיים, רפואיים, וביטוח — הנמצאים תחת רגולציה מחמירה
חברות עם תשתיות מורכבות — שילוב של מערכות מורשת (Legacy) לצד פתרונות ענן מודרניים
ארגונים המעבדים מידע אישי של למעלה מ-10,000 נושאי מידע (חובה לפי תקנות 2017)

שירותי Fractional CISO — ליווי שוטף

ארגונים שאינם נדרשים להעסיק CISO במשרה מלאה יכולים לקבל ליווי שוטף במתכונת Fractional CISO (CISO-as-a-Service) — תפקיד אסטרטגי-ניהולי המספק רציפות מקצועית, ייעוץ להנהלה ולדירקטוריון, ובקרה על יישום תוכנית האבטחה והממשל.

השירות כולל:

ניהול תוכנית האבטחה הרב-שנתית שגובשה בהערכת הסיכונים
מעקב חודשי אחר יישום בקרות ועדכון נהלי אבטחה
ממשל סיכוני סייבר (Risk Governance) ודיווח להנהלה ולדירקטוריון
ייצוג הארגון מול אודיטורים, רגולטורים ולקוחות עסקיים
הובלת תהליך הסמכה ל-ISO 27001 (כשנדרש)
תכנון המשכיות עסקית והתאוששות מאסון (BCP / DR) וניהול תגובה לאירועים (Incident Response)
דוח חודשי לדירקטוריון ולהנהלה: מדדים (KPIs), מצב יישום וסטטוס סיכון
השתתפות בישיבות הנהלה רלוונטיות

מתכונת השירות: Retainer חודשי לפי היקף שעות מוגדר מראש עם הארגון.

סקר סיכוני סייברושירותי CISO