מרכז תשובות | CISO, DPO, ISO 27001, GDPR, GRC ועוד
שאלות נפוצות
אבטחת מידע ופרטיות
תשובות ישירות לשאלות הנפוצות ביותר על CISO as a Service, DPO, ISO 27001, SOC 2, GDPR, תיקון 13, GRC, Cyber Due Diligence ורגולציית סייבר ישראלית.
CISO as a Service | ממונה אבטחת מידע חיצוני
CISO as a Service (vCISO) הוא שירות שבו ארגון מקבל ממונה אבטחת מידע מנוסה בחלקיות משרה, ללא עלות שכר של עובד בכיר במשרה מלאה. ה-vCISO מנהל את כל תחום אבטחת המידע: אסטרטגיה, ניהול סיכונים, כתיבת נהלים, מענה ל-RFPs, ייצוג מול לקוחות ורגולטורים. מתאים לסטארטאפים, SMB וחברות B2B.
עלות vCISO נמוכה משמעותית מעלות CISO פנימי - ללא עלויות גיוס, קליטה, ציוד וסיכון תחלופה. המחיר נקבע לפי היקף הימים, גודל הארגון ורמת המורכבות. SYBER מציעה הצעת מחיר מותאמת לאחר שיחת ייעוץ ראשונית חינם.
CISO חיצוני (vCISO) מגיע עם גמישות מלאה, ניסיון צוות מגוון, ללא סיכון תחלופה ועלות נמוכה משמעותית. CISO פנימי מתאים לארגוני אנטרפרייז גדולים (200+ עובדים) הזקוקים לנוכחות פנימית יומיומית. עבור רוב הסטארטאפים ועסקי ה-SMB בישראל, vCISO הוא הבחירה הנכונה כלכלית ומקצועית.
שירות vCISO כולל: ניהול שוטף של מדיניות ובקרות אבטחה, סקר סיכונים שנתי, מענה ל-RFPs ו-Security Questionnaires, ייצוג בפגישות עם לקוחות ורגולטורים, כתיבת נהלים ומסמכים, ניהול ספקים (TPRM), טיפול באירועי אבטחה, סקר הנהלה ודיווח חודשי עם KPIs.
כן - זה אחד היתרונות של SYBER. הצוות מוסמך כ-CISOs וכ-DPOs (כולל עורכי דין עם CDPSE ISACA), ויכול לשמש בשני התפקידים בו-זמנית, מה שחוסך עלויות ומייצר עקביות בין אבטחת מידע לפרטיות.
DPO / GDPR / תיקון 13 | הגנת פרטיות
לפי GDPR, ארגון חייב למנות DPO אם: הוא רשות ציבורית, עיסוקו המרכזי כרוך בניטור שיטתי של אנשים בהיקף גדול, או שהוא מעבד נתונים רגישים בהיקף גדול. בישראל, תיקון 13 מרחיב את אחריות בעל מאגר המידע. מומלץ לכל ארגון שמעבד נתונים אישיים בהיקף משמעותי למנות DPO חיצוני.
GDPR הוא הרגולציה האירופית - חלה על ארגונים ישראלים שמשרתים לקוחות ב-EU. תיקון 13 הוא עדכון לחוק הגנת הפרטיות הישראלי (1981) שהוסיף דרישות לאבטחת מידע, זכויות נשואי מידע (גישה, מחיקה, תיקון) וחובת דיווח על הפרות. ארגונים ישראלים רבים נדרשים לעמוד בשני החוקים.
DPIA (Data Protection Impact Assessment) הוא הערכת סיכוני פרטיות, חובה לפי GDPR Article 35 לפני פרויקטים בסיכון גבוה: מערכות ניטור עובדים, AI, פרופיילינג, עיבוד נתוני ילדים ונתוני בריאות. SYBER מכינה DPIA מקיף הכולל מיפוי עיבוד, ניתוח סיכונים והמלצות לצמצום.
ROPA (Record of Processing Activities) הוא מסמך חובה לפי GDPR Article 30 המתעד את כל פעולות עיבוד הנתונים: מה מעובד, למה, על ידי מי, לכמה זמן ולמי מועבר. חובה לארגונים עם 250+ עובדים ולכל ארגון שמעבד נתונים רגישים. SYBER מכינה ומעדכנת את ה-ROPA שנתית.
קנסות GDPR מגיעים עד €20 מיליון או 4% מהמחזור הגלובלי - הגבוה מביניהם. מעבר לקנסות, הפרה עלולה לגרום נזק מוניטין, תביעות אזרחיות ואיסור עיבוד. SYBER מסייעת לבנות מסגרת ציות שמפחיתה את הסיכון.
ISO 27001 / SOC 2 / ISO 42001 | הסמכות
ארגון קטן-בינוני שמתחיל מאפס: 6–12 חודשים. ארגון עם בסיס קיים: 3–6 חודשים. התהליך כולל Gap Analysis, כתיבת נהלים, הטמעת בקרות, ביקורת פנימית, ואז Stage 1 + Stage 2 עם גוף הסמכה. SYBER מבצעת Gap Analysis ומספקת הערכת זמן מדויקת.
ISO 27001 הוא תקן בינלאומי (ISO/IEC) לניהול ISMS - מסתיים בתעודת הסמכה. נפוץ בשוק הישראלי והאירופי. SOC 2 הוא מסגרת אמריקאית (AICPA) המתמקדת בשירותי ענן ו-SaaS - מסתיים בדוח ביקורת. חברות SaaS שמוכרות בארה"ב נדרשות לרוב ל-SOC 2; שוק האירופי דורש ISO 27001.
ISO 42001 הוא תקן בינלאומי לניהול מערכות בינה מלאכותית (AI Management System). הוא מגדיר דרישות לניהול AI בצורה אחראית ואתית: AI Risk Assessment, שקיפות, אחריות ושיתוף בעלי עניין. רלוונטי לכל ארגון שמפתח, מטמיע או משתמש ב-AI - חשוב במיוחד לאור ה-EU AI Act.
העלות כוללת שני רכיבים: (א) עלות ייעוץ SYBER לליווי ההכנה - תלויה בהיקף הימים ובמורכבות; (ב) עלות ביקורת ההסמכה עם גוף הסמכה מוכר - תלויה בגודל הארגון. SYBER מספקת הצעת מחיר לאחר Gap Analysis ראשוני.
ISO 27701 הוא הרחבה של ISO 27001 לניהול מידע פרטי (Privacy Information Management System). הוא מספק הנחיות לData Controller ולData Processor, ומתלכד ישירות עם דרישות GDPR ותיקון 13. ארגונים שמיישמים ISO 27701 מקבלים יתרון בעמידה ב-GDPR.
SOC 2 Type I הוא "צילום רגע" - בוחן האם הבקרות מוגדרות ותועדות נכון ביום הביקורת. מתאים לחברות בשלב מוקדם הזקוקות להוכחה ראשונית ללקוחות. SOC 2 Type II הוא "סרט" - בוחן האם הבקרות פועלות בפועל ובאופן עקבי לאורך 6-12 חודשים. לקוחות Enterprise מבקשים לרוב Type II. SYBER מלווה בשני הסוגים. לפרטים נוספים ראו דף SOC 2 המלא.
ISO 42001 הוא תקן הניהול (AIMS) שמספק את המסגרת הארגונית לממשל AI. ה-EU AI Act הוא החוק האירופי שמסווג מערכות AI ל-4 רמות סיכון ומחייב עמידה בדרישות. ארגונים ישראלים שמשווקים מוצרי AI ל-EU חייבים לעמוד ב-EU AI Act - בדומה ל-GDPR. יישום ISO 42001 מסייע להוכיח עמידה. SYBER מלווה מ-AI Inventory ועד הסמכה. לפרטים נוספים ראו דף ISO 42001.
GRC | ניהול סיכונים ותאימות
GRC הוא ראשי תיבות של Governance (ממשל), Risk Management (ניהול סיכונים) ו-Compliance (תאימות). מסגרת GRC מאחדת את תהליכי הממשל הארגוני, ניהול הסיכונים והעמידה ברגולציה לתמונה אחת מנוהלת. בלעדי GRC, ארגונים נוטים לנהל כל תחום בנפרד, ליצור כפילויות ופערים.
ההמלצה המקצועית ודרישת ISO 27001: הדרכה לפחות אחת לשנה לכלל העובדים, עם ריענון 2-3 פעמים בשנה. בנוסף, יש להדריך עובדים חדשים ביום הקליטה. ארגונים שמבצעים גם סימולציות פישינג מגלים שהשילוב מגביר מאוד את המודעות.
סקר הנהלה הוא דרישת חובה ב-ISO 27001 (Clause 9.3). כולל: בחינת מצב ה-ISMS, ממצאי ביקורות פנימיות, KPIs, עדכוני סיכונים, תלונות ואירועים, הזדמנויות לשיפור ותכנית עבודה לשנה הבאה. SYBER מכינה ומנחה את סקר ההנהלה השנתי.
NIST CSF (Cybersecurity Framework) הוא מסגרת גמישה ומבוססת סיכון המחולקת ל-5 פונקציות: Identify, Protect, Detect, Respond, Recover. פופולרית בארגוני ממשל ובארה"ב. ISO 27001 הוא תקן ניהולי בינלאומי שמסתיים בתעודת הסמכה - נפוץ יותר בשוק הישראלי והאירופי.
Cyber Due Diligence | השקעות ורכישות
Cyber Due Diligence הוא תהליך בחינה מקיף של רמת אבטחת המידע, הפרטיות והציות הרגולטורי של חברה לפני השקעה, רכישה, מיזוג או Exit. חשיפות שלא התגלו לפני העסקה הופכות לעלות גבוהה לאחריה - בדמות קנסות, תביעות, ירידת ערך חברה ועלויות סגירת פערים.
DD בסיסי (לקרנות VC ו-Seed): 3–5 ימי עבודה, דוח סיכון קצר + דגלים אדומים. DD מעמיק (M&A/PE): 2–4 שבועות, דוח מפורט עם ציון בשלות לפי תחום, עלויות טיפול מדויקות ו-Remediation Plan. SYBER מספקת שני המודלים בהתאמה לשלב ההשקעה.
דוח DD מסכם הכולל: ממצאים לפי קטגוריה וחומרה (Critical/High/Medium/Low), ציון בשלות אבטחתי, רשימת ממצאים מיידיים שדורשים טיפול, עלויות טיפול משוערות, והמלצות. SYBER מספקת גם Remediation Plan לסגירת פערים לאחר ההשקעה/רכישה.
רגולציית סייבר ישראלית ובינלאומית
חברות ישראליות נדרשות לעמוד ברגולציות כגון: חוק הגנת הפרטיות (תיקון 13), הנחיות רשות סייבר לאומית (INCD), ולפי סקטור: הוראת בנקאי תקין 361 (בנקים), חוזרי ממונה שוק ההון (ביטוח/פנסיה), נוהל משרד הבריאות (MedTech). ארגונים עם לקוחות EU כפופים גם ל-GDPR.
EU AI Act (2024) הוא רגולציית ה-AI הראשונה בעולם, חלה על כל מי שמשווק מערכות AI לשוק האירופי. מחלק AI לסיכון גבוה/בינוני/נמוך. מערכות AI בסיכון גבוה (רפואה, גיוס, אשראי) מחייבות רישום ובחינה לפני שיווק. רלוונטי לחברות ישראליות המוכרות ב-EU.
NIS2 היא הנחיית אבטחת רשת ומידע האירופית (2023), מחליפה את NIS1. מחייבת ארגונים ב-EU בתחומי תשתיות קריטיות ושירותים חיוניים. חברות ישראליות עם פעילות ב-EU (קבלני משנה, ספקי שירות) עלולות להיכלל בהיקף.
אבטחת רשתות ותשתיות
Zero Trust הוא מודל אבטחה המבוסס על "לעולם אל תסמוך, תמיד בדוק" - בניגוד למודל הרשת הסגורה המסורתי. בפרקטיקה: כל בקשת גישה מאומתת ומאושרת בנפרד, ללא קשר למיקום המשתמש. כולל MFA, פילוח רשת (Micro-segmentation), בקרת גישה מינימלית (Least Privilege).
API Security הוא אבטחת ממשקי התוכנה (APIs) שדרכם מתקשרות מערכות. APIs הם יעד מועדף לתוקפים מכיוון שהם חושפים ישירות לוגיקה עסקית ונתונים. אבטחת API כוללת: אימות (OAuth 2.0, API Keys), הגבלת קצב (Rate Limiting), וולידציה של קלט, ניטור חריגות.
מאמרים שיעזרו לכם
לא מצאתם את התשובה?
SYBER מספקת ייעוץ ראשוני חינם. ניתן להתקשר ישירות או להשאיר פרטים ונחזור אליכם.