Ciso as a Service

ניהול אבטחת מידע עוסק בהגנה על סודיות המידע, זמינות המידע ושלמות המידע. התמודדות המחייבת ניהול מנגנוני אבטחה 24 שעות ביממה, 7 ימים בשבוע בכל החזיתות. מנהל אבטחת המידע נדרש ללימוד מתמיד של איומי הסייבר העדכניים, טכנולוגיות חדשות ודרישות חוק ורגולציה. באחריותו להוביל ולקדם את הארגון בכל החזיתות, לשפר את ההגנה ולהתכונן לפגיעה, ככל שהארגון יהיה ערוך ומוכן הסבירות לפגיעה תרד ועוצמת הנזק תקטן.

CISO – Chief Information Security Officer
תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני ההנהלה.
איומי הסייבר המתגברים ודרישות רגולציה בנושא פרטיות שינו את כללי המשחק. אם עד לאחרונה אבטחת מידע היתה שמור לעסקים גדולים, הרי שהיום מנהל אבטחת מידע הכרחי לכל ארגון, כחלק מהשדרה הניהולית.

ניהול אבטחת המידע מחוייב להתייחס באופן רוחבי תוך כיסוי של הכל המחלקות בארגון: משפטי, כספים, פיתוח, ייצור, משאבי אנוש. לכל מחלקה יש חשיפה לסיכונים שונים ובהתאמה נדרש ליישם מנגנוני הגנה ובקרה מתאימים.

יכולת מנהיגות והובלה
ה-CISO נדרש לזהות ולהעריך איומים ולתרגם אותם באופן שההנהלה יכולה להבין. בכדי לגייס את העובדים כחלק ממנגנון האבטחה ואת הנהלת הארגון להקצאת משאבים ושינויים ארגוניים בהתאם לנדרש.
הבנה בתהליכים עסקיים
הכרות טובה עם פעילותו העסקית של הארגון, המשמעויות הרחבות של אירוע סייבר, כמו עצירת פעילות הארגון, נזקים תדמיתיים, הפרות רגולציה, הפרות חוזיות מול לקוחות.
הבנה באבטחת מידע והגנת סייבר
הכרות טכנולוגית טובה הן של מערכות הארגון והן של טכנולוגיות אבטחה עדכניות. יכולת להציג את הפרטים הטכניים לשפה הברורה למנהלים.

תחומי האחריות משתנים מארגון לארגון, בהתאם לגודלו ואופי פעילות.

• הנהלה
  הצגת תמונת אבטחת המידע בארגון כחלק מאסטרטגיית סיוע לפיתוח העסקי וניהול סיכונים.
  גיוס הנהלת הארגון לאבטחת המידע מחייבת שיח בשפת הארגון, תוך היכרות מעמיקה של הפעילות העסקית, המבנה הארגוני והתהליכים השונים.
• הערכת סיכונים
  ביצוע הערכת סיכונים ומיפוי פערים אשר יהוו בסיס לבניית אסטרטגיית אבטחת מידע ובניית תוכנית עבודה.
  ניהול וניתוח איומי סייבר, תוך ניהול יומן אירועים וביצוע בקרות לפעולות מתקנות.
• מדיניות ונהלים
  הטמעה, עדכון ובקרת יישימות של תהליכי אבטחת מידע בארגון.
• חוק ורגולציה
  בחינת דרישות הרלוונטיות לארגון ויישומן.
• אסטרטגיית אבטחה ותוכנית עבודה
  גיבוי אסטרתגיית האבטחה של הארגון ובניית תוכנית עבודה שנתית בהתאמה.
• תשתיות טכנולוגיות
  מיפוי חומרה, תוכנה ותשתיות. ניתוח הבקרות ויישום הנהלים לשמירה על המערכות מאובטחות.
• שרשרת אספקה
  בדיקה ובקרה של הספקים. הגדרת דרישות וביצוע בקרות לעמידה בדרישות אבטחת-מידע ארגוניות.
  גיבוש דרישות אבטחה ובקרות לשירותי הענן.
• מודעות עובדים
  קידום מודעות עובדי החברה בנושאי אבטחת מידע. ביצוע הדרכות, תרגולים ובקרות.
• המשכיות עסקית
  בניית תוכנית להתמודדות במקרה של אירועי סייבר. חמשת השלבים: זיהוי, הגנה, איתור, תגובה והתאוששות.
• ניהול אירועי אבטחת מידע
  ניהול יומן אירועים, ניתוח האירועים, תיקון ליקויים ובחינת אפקטיביות לאורך זמן.
• מבדקים
  ניהול מבדקי פנים וחוץ: מבדקי חדירה, הערכת סיכונים, סקר פגיעויות, מבדקים תקופתייה לעמידה בתקני אבטחה ודרישות רגולציה.

בעולם מושלם כן, אך כמו כל החלטה בעסק מדובר בניהול סיכונים. בהתאם לפעילות העסק, רמת החשיפה ועוצמת הנזק נדרש כל ארגון אלו משאבים להקצות לנושא אבטחת מידע והגנת סייבר.
מי שעדיין חושב שהארגון שלו אינו יעד תקיפה או שהוא חסין מפני נזקים משמעותיים עד בלתי-הפיכים, כנראה שעדיין לא ביצע סקר סיכונים ולא פינה זמן להבין את החשיפות והמשמעויות.
הגישה שארגון קטן אינו יעד לתקיפה חלפה מהעולם. פגיעות סייבר הן שיגרה ומי שבוחר להתעלם כדאי שיציץ בעיתונות היומית בכדי להבין את עוצמת הנזק של אירוע סייבר משמעותי.

RedX אוהבת לקחת אחריות!

• פרקטיקה ואפקטיביות
  עבודה לפי מתודולגיה סדורה ויצירת תהליכים ומנגנונים אשר מבטיחים אפקטיביות ולא דוחות ומבדקים שנכנסים למגירה.
• ניסיון Hands-On
  הקמה, ניהול ותחזוקה של מאות ארגונים ואלפי משתמשים מערכות מחשוב ושירותי ענן, מספקים לצוות
• יציבות
  20 שנות ותק ויציבות מבטיחים ללקוח שקט וריצה למרחקים ארוכים.
• כח-אדם
  רשת בטחון  המבוססת על מומחי רשתות, תקשורת, אבטחת מידע, שירותי ענן, רגולציה, בודקי חדירה (האקרים).