*דרוש מנהל ביטחון למתקני המטה בבנק דיסקונט* *במסגרת התפקיד:* - ניהול והובלת צוות אבטחה: גיוס, הכשרה, ניהול והערכת ביצועים של צוות האבטחה באתרי המטה הפרוסים בארץ. - כתיבת פק"מ וניהול צוות אבטחה באירועי הארגון. - ביצוע בקרות מקצועיות והדרכות ריענון לעובדים. - שיפור וייעול תהליכי עבודה מול יחידות המטה והסניפים. - הדרכות עובדי הארגון בנושאי ביטחון ואבטחת מידע. - קשר שוטף עם לשכות ההנהלה. - ניהול פרוייקטים ביטחוניים. *דרישות התפקיד:* - רקע וניסיון קודם בתחום הביטחון ובדגש על הביטחון הפיזי. - קורס פיקודי או ניסיון ניהולי במערכות הביטחון ו או גופי ביטחון. - כושר מנהיגות ויכולת הנעה וניהול של צוותים. - אוריאנטציה טכנולוגית והבנה מעמיקה במערכות ביטחוניות. - יחסי אנוש ואוריאנצטיה שרותית גבוהה עבודה מול גורמי הנהלה בכירה. - יכולת עבודה עצמאית וניהול ממשקים רבים במקביל. - ניסיון בכתיבת נהלי עבודה ומפרטים טכניים - נשיאת נשק ארגוני. - בוגר קורס מנהלי ביטחון. - תואר ראשון - יתרון. . העבודה בקמפוס דיסקונט בראשל"צ וכוללת פעילות שטח בסניפי הבנק ברחבי הארץ. לפרטים נוספים ושליחת קורות חיים: [email protected]

*דרוש מנהל ביטחון למתקני המטה בבנק דיסקונט* *במסגרת התפקיד:* - ניהול והובלת צוות אבטחה: גיוס, הכשרה, ניהול והערכת ביצועים של צוות האבטחה באתרי המטה הפרוסים בארץ. - כתיבת פק"מ וניהול צוות אבטחה באירועי הארגון. - ביצוע בקרות מקצועיות והדרכות ריענון לעובדים. - שיפור וייעול תהליכי עבודה מול יחידות המטה והסניפים. - הדרכות עובדי הארגון בנושאי ביטחון ואבטחת מידע. - קשר שוטף עם לשכות ההנהלה. - ניהול פרוייקטים ביטחוניים. *דרישות התפקיד:* - רקע וניסיון קודם בתחום הביטחון ובדגש על הביטחון הפיזי. - קורס פיקודי או ניסיון ניהולי במערכות הביטחון ו או גופי ביטחון. - כושר מנהיגות ויכולת הנעה וניהול של צוותים. - אוריאנטציה טכנולוגית והבנה מעמיקה במערכות ביטחוניות. - יחסי אנוש ואוריאנצטיה שרותית גבוהה עבודה מול גורמי הנהלה בכירה. - יכולת עבודה עצמאית וניהול ממשקים רבים במקביל. - ניסיון בכתיבת נהלי עבודה ומפרטים טכניים - נשיאת נשק ארגוני. - בוגר קורס מנהלי ביטחון. - תואר ראשון - יתרון. . העבודה בקמפוס דיסקונט בראשל"צ וכוללת פעילות שטח בסניפי הבנק ברחבי הארץ. לפרטים נוספים ושליחת קורות חיים למייל המופיע בתגובה הראשונה

מדריך לארגונים: משרד המשפטים ■ הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו, היתרונות לארגון וללקוחות מינויו של ממונה על הגנת הפרטיות באופן וולונטארי מהווה פרקטיקה ראויה ומומלצת (Practice Best ) לארגונים האוספים ומעבדים מידע אישי, בעלי מאגרים ומחזיקים כאחד. מדוע ? • הממונה יסייע לארגונכם לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל. • עצם המינוי הוא אינדיקציה כי הארגון שלכם נקט ונוקט צעדים לצמצום הסיכון לפגיעה בפרטיות ולהגנה על המידע האישי הנשמר ברשותו. • מינוי הממונה יחסוך לארגון זמן וכסף. ■ מיהו ממונה הגנה על הפרטיות בארגון? • מופקד על קידום הזכות לפרטיות ועל יישום דיני ההגנה על מידע אישי בארגון. ■ תפקידו המרכזי: • להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות. ■ מעמדו בארגון? • חלק מההנהלה הבכירה של הארגון, או לכל הפחות מי שממלא תפקיד זה בארגון ידווח ישירות להנהלה הבכירה, וישולב בהיררכיה של הארגון בעמדה בכירה דיה, שיאפשר לו להשפיע באופן אפקטיבי על התהליכים המרכזיים בארגון. ■ באילו ארגונים כדאי למנות ממונה הגנה על הפרטיות? • ארגונים שעסקיהם או השירותים שמספקים הם מבוססי מידע ) .)data driven • ארגונים שקיימת סבירות שפעילותם תיצור סיכון מוגבר לפרטיות, בין היתר מהטעמים הבאים: • מאפייני הארגון )למשל גופים ציבוריים וגופים הסוחרים במידע(. • סוג המידע ורגישותו )למשל מידע רפואי רגיש או מידע ביומטרי(. • מידע על אוכלוסיות מיוחדות )למשל קטינים(. • היקף המידע או מספר מורשי הגישה אליו. ■ האם עלינו למנות ממונה הגנה על הפרטיות מתוך הארגון או מחוצה לו? • ממונה הגנת הפרטיות יכול להיות מינוי פנימי, עובד החברה, או מינוי חיצוני לחברה. ■ תפקידיו של ממונה ההגנה על הפרטיות • היקף תפקידו של הממונה על הגנת הפרטיות בארגון ייקבע על פי מורכבות פעולות עיבוד המידע האישי שמתבצעות בארגון וגודלו! • להלן מפורטים תפקידים ומשימות שמומלץ לשקול להטיל על הממונה בהתאם למאפייני הארגון: הסדרת תהליכי ניהול מידע בארגון: • לנסח את מדיניות הפרטיות של הארגון ולהביאה לאישור ההנהלה הבכירה. • להיות מעורב לאורך כל מחזור החיים של תהליכי עיבוד מידע בארגון, על מנת לוודא שפעילות עיבוד המידע מבוצעת באופן המפחית ככל הניתן את הסיכונים לפרטיות לקוחות הארגון. • מעורבות בעיצוב מערכות המידע של הארגון ובתהליכים הקשורים בהן, על מנת לוודא, ככל הניתן מראש, כי מערכות המידע בנויות באופן שיפחית את הסיכון לפגיעה בפרטיותם של נושאי המידע בהתבסס על תפיסת "עיצוב לפרטיות" (Privacy By Design) ותפיסת "פרטיות כברירת מחדל" (Privacy By Defaul). ■ מהן תפיסות עיצוב לפרטיות ופרטיות כברירת מחדל? • אלו תפיסות הדוגלות בעיצוב מערכת המידע להגנה אופטימאלית על הפרטיות ולצמצום איסוף המידע ועיבודו למינימום ההכרחי, כבר משלב התכנון המוקדם וגם לאורך כל מחזור החיים של המידע והשימוש בו. המטרה היא שעיצוב המערכות ישרת את התכליות העסקיות של הארגון, בד בבד עם מזעור הסיכונים לפרטיות. • לבדוק את הנהלים ומדיניות הארגון בתחום הפרטיות ואת עמידתם בהוראות חוק הגנת הפרטיות וכן לבצע מעקב, בקרה, ועדכון של הנהלים במידת הצורך. • לנהל את עריכתו של תסקיר השפעה על הפרטיות (Privacy Impact Assessment) במקרים בהם ביצועו נדרש על פי דין או מבוצע באופן וולונטרי ביוזמת הארגון, ולעקוב אחר הטמעת מסקנותיו. • לקבל דיווח על ביצוע סקר סיכוני אבטחת מידע ולעקוב אחר הטמעת המלצותיו. • לטפל בתלונות הנוגעות לעיבוד מידע אישי ולזכות לפרטיות, ובפניות של לקוחות הארגון לרבות בקשות לעיון במידע או לתיקונו. ■ פיקוח ובקרה: • להכין תכנית עבודה שנתית שתובא לאישור ההנהלה הבכירה בארגון, ליישום ופיקוח על קיום הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, ולבירור הפרות של הוראות החוק. • לדווח להנהלה הבכירה בארגון, בלא דיחוי, על ממצאים של פעולות הפיקוח, הבדיקה, והבירור שביצע. • לקיים בקרה על אופן תיקון הליקויים שהתגלו בממצאי הפיקוח והבירור. • להגיש להנהלה הבכירה בארגון ולדירקטוריון, אחת לשנה, דוח על פעילותו בנושא פרטיות. • לשתף פעולה באופן הדוק עם הממונה על אבטחת המידע בארגון בנושאים הקשורים בהגנת פרטיות המידע, ובקיום הוראות חוק הגנת הפרטיות. • לשמש איש קשר מול הרשות להגנת הפרטיות - להיות אחראי על הגשת דיווחים ועדכונים לרשות, ככל הנדרש על פי דין, לרבות הודעה על שינוי בפרטי רישום המאגר ודיווח על התרחשות אירוע אבטחת מידע חמור. ■ הדרכה והטמעה: • לשמש סמכות מקצועית ומוקד ידע. • להנחות את הנהלת הארגון ועובדיו בנושא הגנת פרטיות. • לקדם את ההגנה על הפרטיות במידע ואת הציות להוראות חוק הגנת הפרטיות בארגון, בין היתר, בדרך של הדרכת העובדים. ■ סמכויות ועצמאות: • הבטיחו כי הממונה יהיה מעורב בכל הנושאים המהותיים הנוגעים להגנה על מידע אישי בארגון. • דאגו כי כל המשאבים והסמכויות הנדרשים למילוי תפקידו עומדים לרשותו, ובכלל זה גישה למידע אישי ותהליכי עיבוד מידע, כמו גם המשאבים הנדרשים לשימור מומחיותו בנושא דיני ההגנה על מידע אישי בישראל. • הבטיחו כי הממונה יהיה בעל עצמאות מוסדית ומקצועית. • במידה והממונה משמש במקביל בתפקיד נוסף בארגון, וודאו כי הדבר אינו יוצר ניגוד עניינים. ■ ידע והכשרה: מומחיותו של ממונה ההגנה על הפרטיות נדרשת להיות משולבת, כך שתאפשר הבנה מיטבית של התהליכים בארגון ברמה טכנולוגית והעסקית, לצד יכולת לבחון את התאמתם לדרישות החוק ולמדיניות הארגון. - כדי שיוכל למלא את תפקידו באופן אפקטיבי, תחומי הידע של ממונה הגנה על פרטיות צריכים לכלול לכל הפחות - • ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל (לא בהכרח במסגרת השכלה משפטית פורמאלית); • הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע, בשים לב להיקף ולמידה בהם הארגון מבוסס מידע וטכנולוגיה. דהיינו, ככל שליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, נדרשת מידת הבנה רבה יותר בתחום אבטחת המידע וטכנולוגיות המידע. - הכשרה ותחומי ידע נוספים העשויים לשפר את תפקוד הממונה ואת התועלת שתצמח ממנו לארגון: • הכשרה אקדמית או מקבילה במשפטים, חשבונאות, טכנולוגיית מידע, ניהול תהליכים או ברגולציה; • היכרות עם דיני ההגנה על מידע אישי באירופה ובארצות הברית או בשווקים אחרים בעולם הרלוונטיים לארגון; • היכרות עם הפן העסקי של ניהול ארגון; • אתיקה. מקורות: משרד המשפטים, הרשות להגנת הפרטיות, https://www.gov.il/BlobFolder/reports/dpo_doc_kit/he/dpo_kit.pdf

איזון בין אבטחה חכמה ומבצעיות גבוהה - מיצוב יחידת הביטחון בארגון איומי האבטחה גברו בשנים האחרונות; יכולת היריב, התחכום והטכנולוגיה התעצמו והם מחייבים מאמצי אבטחה ומוכנות אבטחתית גבוהה עוד יותר. בתוך כך, מנהל הביטחון נאלץ להתמודד עם משימות ואתגרים שונים בתחומי מניעת גישה לתשתיות ולנכסים ארגוניים, אבטחה פיזית, ביטחון שלומם של העובדים, סייבר, מהימנות וטוהר מידות, מוכנות והיערכות לחירום. בין לבין, לא מעט אירועים בשגרה המצריכים מעורבות, קשב ולעיתים מענה מיידי - טורפים את הקלפים שוב ושוב ומשאבי כוח האדם ביחידות הביטחון כוללים, בעיקר, אנשי שטח הצבועים למשימות שגרה ייעודיות. בתוך כל אלו, נדרש מנהל הביטחון גם למשימות בנוף הניהולי במטרה למצב את יחידת הביטחון ולהוכיח כי הביטחון התפעולי הוא הכרחי בהגנה על האינטרסים של החברה, שהוא מחזיר את ההשקעה ואף רווחי. נוספת על כך התחרות הפוליטית אל מול מנהלי מחלקות אחרים הפועלים, אף הם, מכורח האמונה כי פעילותם היא חיונית לחברה ולארגון. כולם מתחרים על היוקרה והתהודה בארגון, אך יותר מכל על משאבים תקציביים במטרה להשיג נתחים גדולים למחלקתם - מה שיכול להשפיע על המחלקות האחרות בארגון, לרבות צרכי חטיבת הביטחון. תהליכים אלו, מחייבים את מנהל הביטחון בארגון לכישורים ניהוליים, בינאישיים, פוליטיים ויכולות נוספות שמטרתם למצב את משימות הביטחון על סדר היום הארגוני כמשימות חיוניות וכמשימות ליבה ובכך להשיג את המשאבים כמו גם את ההוקרה הראויה בארגון. זו האחרונה הכרחית ותורמת למיצוב יחידת הביטחון ומנהליה באופן שיאפשר קבלת משאבים גם בעתיד. יכולתו של מנהל הביטחון לקדם את מטרותיו ולייעל עסקית את יחידת הביטחון תלויה גם בהיבטים הבאים: ■ כפיפות מנהל הביטחון לדרג הנהלה בכיר (מנכ"ל/משנה למנכ"ל) הקשר הישיר לדרג הנהלה בכיר מבטיח את מעורבות צמרת הארגון בתוכניות העבודה ופעילות יחידת הביטחון. קשר זה, מייצר פעילות ומפגשים שוטפים ממקור ראשון ולא באמצעות גורמי ביניים המתווכים או מדבררים. כפיפות לגורמי ביניים יכולה להיות בעייתית בשל ניגוד עניינים היכול להשליך על התעדוף ועל קבלת ההחלטות. לשיטה זו, כפיפות מנהל הביטחון למנהל התפעול בארגון יכולה להוביל לתעדוף משימות תפעוליות אחרות העשויות לפגוע ביעדיו של מנהל הביטחון בארגון. מאידך הכפיפות והקשר הישיר עם המנכ"ל מאפשר להניח את הצרכים על שולחן מקבל ההחלטות בצורה שוויונית, הוגנת ונטולת אינטרסים. מובן הוא, שגם למנכל ישנם אילוצים ותעדופים, אך בגין קשר זה קיימת היכולת להשפיע ואף לשנות החלטות, אם צריך. את הכפיפות לדרג ההנהלה יש לתחזק ברמת מחויבות גבוהה; יחסי עבודה ורמה מקצועית גבוהה התורמת לארגון, השתתפות ומעורבות בדיוני הנהלה בכירים (מהלך חזק בפני עצמו בכדי למצב את מנהל הביטחון ויחידתו בארגון) ואף תהליכים של קח ותן ופשרה במקומות שניתן לחתוך ולוותר, תוך הבנה הדדית. ■ ROI - יכולות להצדיק תקציבים, יעילות כלכלית והחזר השקעה לארגון היכולת להוכיח הצדקה לתקציבי האבטחה לרבות בסייבר מורכבת. שכן, לא תמיד ניתן להוכיח כי ההשקעה באבטחה תרמה דה-פקטו או מנעה אירוע אבטחתי. לא פעם נתקל התוקף בחומות אבטחה (הן במימד הפיזי והן במימד הסייבר) המקשות על ביצוע או השלמת המשימה. הגם שמדובר בהצלחה כבירה, אין תמיד את היכולת לשקף זאת ובגין כך אין יכולת למדוד זאת ובכל זאת, קיימים תהליכים כהצלחה שיאפשרו להוכיח כי ההשקעה תניב החזרים משמעותיים לארגון. השימוש בסטטיסטיקות ומודיעין (יידון בפסקה הבאה) מסייע לתקף את האיומים ולהציגם להנהלה באופן שיתמוך את הצורך וההבנה כי המשמעות היא מניעת אירוע לעתיד. ■ מנהל הביטחון, כיתר המנהלים בארגון, חייב לשלב בזרגון היומיומי מושגים וערכים פיננסיים, כדוגמת: ROI - כחלק מתהליך הערכת כדאיות פעולה או השקעה הכרוכה בכסף או משאב אחר. כך, לדוגמה, שילוב מערכת ביומטרית המבצעת תהליך סריקה תוך כדי תנועה על פני מערכת המצריכה מגע פיזי הכרוך בעיכוב של הנבדק, זמן תחזוקה לחיטוי וכד'. שילוב מערכת כזו תאפשר תנועה מהירה בידוק מהיר יותר של קהל האורחים ושיפור הביצועים בסינון הקהל, ומכאן כדאיות הפעולה ו/או ההשקעה. ■ Trade Off שקלול תמורות - מצב הגורם להפסד באיכויות מסוימות, בכמויות מסוימות או בהיבטים מסוימים, אך בתמורה גורם לרווח באיכויות, בכמויות או בהיבטים אחרים. לדוגמה: הצבת מצלמה באזור מסוים כתחליף אפשרי לכח אנושי. ■ Cost Effective כדאיות כלכלית - לא פעם, עיון ולמידת סקר הסיכונים יעלה כי קיימים מספר סיכונים ארגוניים בזירות שונות ששילוב בקרה או מערכת ייעודית נותן מענה רוחבי לצרכים נוספים ממערכת אחת. לדוגמה: הצטיידות במצלמת אבטחה מתקדמת הכוללת גם יכולת של מדידת חום ומדידת מרחק בקהל היא כדאית בשל העובדה שהיא נותנת מענה למספר צרכים ולפיכך קיימת כדאיות כלכלית גבוהה החוסכת משאבים לארגון. השימוש בטרמינולוגיה הנכונה ובמושגים אלו, יאפשר תהליכי הצטיידות יעילים ברוח הארגון. ■ בניית תוכנית עבודה ריאלית ע“י תיקוף באמצעות מודיעין סקטוריאלי ותרגילי משבר וחירום: תוכניות העבודה, על משמעויות המשאבים כמו גם עמידה ביעדים, נבחנות גם ע“י מקבלי ההחלטות בארגון. קיימת ציפייה, להצדקת היעדים והצורך במשאבים. אי לכך, חייב מנהל הביטחון לדייק ולהציב בראש סדר העדיפויות צרכים חיוניים של ממש. כאשר מדובר במשתנים התלויים גם בסובייקטיביות המשימה לשם דיוק היעדים אזי היא לא פשוטה. באופן טבעי, מנהל אבטחה בעל זיקה לטכנולוגיה ישקיע במערכות טכנולוגיות, מנהל אבטחה בעל זיקה לעולם המהימנות ישאף השקיע באיום מבפנים ואילו מנהל אבטחה בעל זיקה לעולם הלחימה ישאף להשקיע בעיקר במאבטחים ואמצעי לחימה. איזה מהם הוא המדויק ביותר? במשאבי תקציב מוגבלים האם נבחר לחזק את יכולות האבטחה ע“י הצטיידות בנשקים חדשים או שנשקיע במערכות אנליטיקה לאיתור פוטנציאל של איום פנימי? השימוש במודיעין וסטטיסטיקות יכולים לשמש כתהליך שיטתי התומך את ההחלטות; איסוף תובנות מודיעין בסקטור מסוים היכולות להצביע על איומים מפנים הארגון אל מול מודיעין בסקטור אחר אשר יעלה דווקא איומים חיצוניים, שלא מתוך הארגון עצמו. בהקשר זה נציין, כי גם המערכות הטכנולוגיות בתוך הארגון כחלק מה-Big Data מייצרות לא מעט מידע שיכול לתמוך גם את הצרכים, היעדים ותוכניות העבודה. תרגילי חירום המתבצעים ע“י גורמים מקצועיים הם כלי עזר שיכול להצביע ולכוון לצרכים וליעדים. תרגילים אלו, שעורכים סימולציה על מצבי אמת, נערכים ע“י גורמים מומחי תוכן בעלי ניסיון היודעים לאמוד את הפערים ולסכמם בדו“ח שמטרתו לתמוך את תוכנית העבודה העתידית במטרה לגשר על פערים אפשריים. ■ אימוץ המושג אבטחה חכמה ויעילה לצד חדשנות טכנולוגית: כטבעה, האבטחה גורמת לעיתים לאי נוחות לקהל העובדים, המנהלים או המבקרים. משכך, יכולה להיתפס לעיתים כמסורבלת ולא יעילה בהכרח. אימוץ המושג אבטחה חכמה יסייע בידי מנהל הביטחון בוויסות משאבי הביטחון באופן יעיל ונכון (אם כי צריך לזכור לא לייצר דפוסי עבודה קבועים בראיית התוקף). המושג, תפס תאוצה בעיקר בעולם התעופה וההבנה כי היכולת להתמודד עם קהל נוסעים רב (אלפים ביום) בשדות תעופה רק הולך וגובר. לשם המחשת המושג וגזירת תובנות, נתרכז בניתוח והניסיון הנצבר בהטמעת אבטחה חכמה בשדות התעופה. ההבנה כי בדיקת מאות נוסעים באמצעות שיטות הבידוק הקלאסיות עלולה לפגוע בחוויית הנוסעים ולעכבם וכן לגרום להפסדים כספיים (לרבות תביעות משפטיות), הביאו לכך כי המשאבים תביעות משפטיות לתשומות האבטחה בשדות התעופה כוונו בהתאמה לסיכון (סיכון מותאם אישית). בהתאם לכך, שולבו טכנולוגיות ייעודיות שמטרתן, לאתר את החשודים בשלבים המוקדמים עוד לפני תהליכי הבידוק בשדות התעופה. טכנולוגיות אלו מתבססות על רשת האינטרנט OSINT (Open-Source Intelligence)ניתוח קשרים, ידיעות ופוסטים ברשתות החברתיות, הצלבת שמות במאגרים שונים בהקשרי פח“ע וטרור. הן גם כוללות יכולות של ניתוח המטא-דאטה שמטרתו להפיק מידע ערכי נוסף מהמידע הרלוונטי (מידע על המידע(. יכולות אלו מאפשרת גם מבט רטרוספקטיבי על רצף האירועים, קשרים בין ישויות, פעילויות ברשתות החברתיות, מידע על עסקאות פיננסיות (כדוגמת רכישת כרטיסי טיסה באופן לא שגרתי), דפוסי נסיעות, פעילות גלישה באינטרנט ועוד. זאת ועוד, אתגר האבטחה בשדות תעופה הופך להיות גדול יותר משיש צורך בתהליכי בדיקה קפדניים המתבצעים, לרוב, ללא מגע יד אדם ובאופן שלא ”מטריד“, פוגע או מעכב את הנוסעים והשבים. כך, לדוגמה, חברת התעופה Airlines Delta, מבצעת פיילוט המשלב טכנולוגיה חדשה לזיהוי פנים במטרה לצמצם את הזמן בין ההגעה לשדה התעופה ועד להושבת הנוסעים במושביהם. אבטחה יעילה וחכמה היא נגזרת של ניתוח איומים וצרכים הנשענת על שילוב של טכנולוגיות אבטחה ויכולות למיצוי מידע רלוונטי מה-Data Big ובשנים האחרונות שילוב גובר של AI (בינה מלאכותית(. אופן שימוש שכזה הוא כמכפיל כח בתהליכי אופטימיזציה לסיכונים אפשריים וייעול תהליכים. מימוש שכזה, מסייע ותומך החלטות כמו גם מפחית עלויות תפעוליות ומשאבים ומצמצם את החיכוך האנושי עם גורמי האבטחה (גם בהיבטים הבריאותיים שהכתיבה הקורונה). מובן הוא, שיש לשלב תהליכי שבירת שגרה במטרה למנוע דפוסים קבועים, או ”הנחות“ אפשריות בתהליכי העבודה לניצול בראיית התוקף. יש לשלב גם תהליכי אדם בממשקים עם גורמי האבטחה האנושיים (מאותן סיבות). כותב המאמר: אור שלום, מרצה באוניברסיטת אריאל – לימוד ביטחון, מומחה ויועץ לאבטחה, ביטחון וסייבר. רשימת מקורות ע"פ נתוני) UNWATO ארגון התיירות העולמי של האו"ם(, כ- 1.45 מיליארד בני אדם עברו בשדות התעופה בשנת 2019. https://i-hls.com/he/archives/105391 https://www.shabak.gov.il/heritage/affairs/pages/april1986.aspx

דרוש/ה ממונה ביטחון לאחד המתקנים הגדולים בארץ . תיאור תפקיד: אחריות לביטחון ואבטחה של המתקן. ייעוץ להנהלה בתחומי הביטחון ואבטחה. אחריות כוללת על האבטחה . מתקן מונחה משטרת ישראלי ע"פ החוק לאבטחת גופים ציבוריים. ניהול והנעת עובדים במחלקת הביטחון ומאבטחי חברת אבטחה. אחריות הנחיה ופיקוח מקצועיים בתחום הביטחון ועל תפקוד והכשרתם של כלל עובדי מחלקת הביטחון. https://www.sheba.co.il/%D7%9E%D7%9E%D7%95%D7%A0%D7%94-%D7%91%D7%99%D7%98%D7%97%D7%95%D7%9F

האפשרות לניצחון בהתקפה - הבלתי מנוצח טמון בהגנה אחד מספרי הספרות הצבאית, הוא יצירה ספרותית נפלאה שנכתבה על ידי ארנסט דנלופ סווינטון "ההגנה על הסחף של דאפר". הספר פורסם בשנת 1904 והוא מתאר קצין בריטי צעיר וחסר ניסיון, המוטל עליו להחזיק נקודת מעבר של נהר עם 50 חיילים נגד אויב גדול יותר בזמן מלחמת הבורים II. בעת שינתו, חווה שישה חלומות, הקפטן הצעיר מנסה שוב ושוב להגן, תוך כדי חלומותיו עושה טעויות קטלניות בתרגוליו. טקטיקות החי"ר בחלומות המוקדמים הן הרות אסון, אבל עם כל חלום עוקב הקפטן לומד משהו חדש מהקרב ומשנה את הטקטיקה שלו בהתאם. כמנהל אבטחת מידע בארגון גדול או קטן, אתה עלול להתמודד עם אויב גדול יותר. אם הארגון שלך לא הותקף עד עכשיו, יש סיכוי טוב שהוא יהיה תחת מתקפה בעתיד. למרבה הצער, אין אבטחה מושלמת, ואם לתוקף יש את הזמן, הרצון והמשאבים, זה לא עניין של "אם" תצטרף לסטטיסטיקה, אלא של "מתי". למרבה הצער כאמור לעיל, אתה לא יכול להתעורר מחלום ולהתחיל מחדש, לתקן את ההגנות שלך כמתואר בספר. עם זאת, הספר מעודד חשיבה ביקורתית ושימוש זהיר בכלים כדי לבנות הגנה מוצלחת. מגוון האיומים הבלתי צפוי של היום, אומר שהארגון שלך לא יכול להרשות לעצמו להיתפס לא מוכן. ההגנה חייבת להיות הגנה פעילה ועדכנית. החלומות המתוארים בספרו של סווינטון יכולים להיחשב כדוגמה לשיטה של ציפייה להתקפה לפני שהיא באמת מתרחשת. אז איך עושים את זה בעולם הסייבר? הדרך הטובה ביותר לבחון להגן על הנכסים שלך, היא דרך העיניים של התוקף. כשאתה חושב כמו תוקף אתה חייב לצאת מעמדת החשיבה ההגנתית שלך ולבחון מזווית אחרת. ייתכן שתמצא נקודות תורפה בהגנות שלך שלא היית מודע להן, זאת הזדמנות לתקן אותן לפני שתוקף אמיתי ינצל אותן. תחילה יש להגדיר את התהליכים העסקיים והפונקציות העסקיות הקריטיות. על מה אתה מגן? כדי לעשות זאת בהצלחה, חובה עליך לאפיין את נכסי הארגון ולבצע סקר סיכונים. כאמור, כשתדע על אילו נכסים חשוב להגן, אתה נכנס למצב היריב, כ"תוקף", ולחפש פריצות ברשת, כדי למצוא את וקטורי מתקפת הסייבר, ובנוסף לכך, איסוף מידע על הארגון חשוב גם באמצעות סיור פסיבי ופעיל כאחד. ההיקף שלך צריך להכליל את כל ההיבטים על אנשים, תהליכים וטכנולוגיה. חשוב מאוד לקבל אישור מההנהלה לפני שתפעיל באופן פעיל את "תרגול התקפה", ולוודא שכולם מסונכרנים כדי למנוע אירועים מיותרים. אתה צריך להסתגל לאופן שבו יריב חושב – התנועות שלך לא צריכים להניף דגלים במערכות האבטחה, וככל שתוכל להתחמק מגילוי, כך יהיה לך סיכוי טוב יותר לבצע "מתקפה" מוצלחת. ישנן מתודולוגיות איומים שעשויות לעזור לך לראות דרך עיניו של התוקף כגון: · STRIDE (Microsoft), המייצג זיופים, מתינות, התכחשות, גילוי מידע, מניעת שירות והסלים (הרשאה). הוא משמש עם מודל של מערכת היעד מה שהופך אותו ליעיל ביותר להערכת מערכות בודדות וגילוי איומים. · CVSS - שפותחה על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST) ומתוחזקת על ידי הפורום של צוותי תגובה ואבטחה לאירועים - מערכת ניקוד איומים סטנדרטית המשמשת לפגיעויות ידועות. · PASTA - תהליך לסימולציית התקפה וניתוח איומים - מתודולוגיה ממוקדת תוקף שנועדה לתאם דרישות טכניות עם מטרות עסקיות. עוזר להנחות צוותים לזהות, לספור ולתעדף איומים באופן דינמי. אני מאמין שאחד הכלים היעילים ביותר ש CISO רוצה להיות פונקציה של "מציג חיצוני" - פונקציה הצופה ולומד את הארגון שלך ללא כל ידע מוקדם "דרך העיניים של התוקף". באמצעות צוות אדום - קבוצה של אנשי מקצוע מכל תחומי הידע - מתכנתים, מנהלי מערכות, האקרים ועוד. הכישורים העיקריים שיש לצוות הם היכולת לחשוב מחוץ לקופסה, ידע עמוק במערכות מחשב, פרוטוקולים ומתודולוגיות ידועות. המטרות העיקריות הן לזהות פגיעויות, לנצל אותן ולהדגים כיצד ניתן להשתמש בהן כדי לפגוע בארגון המסייע בהבנת האיומים והשימוש בהם בפגיעויות קיימות, כדי לתקן אותן. אחד מחברי המפתח הוא מהנדס בדיקת חדירה. דוח בודק חדירה יכול לספק מידע רב ערך על תרחישים "אמיתיים" שהארגון שלך עלול להיות פגיע אליהם, לעתים קרובות לצד ייעוץ כיצד לתקן אותם. בין אם תבחר לשכור צוות אדום מלא או להשתמש במישהו מהצוות שלך כדי לנסות למצוא "חורים ברשת" – אתה תשפר משמעותית את אבטחת החברה. החסרונות העיקריים יכולים להיות חוסר הזמן והמשאבים שלך כדי לשמור על היקף רחב של פעילות עם שירותים כאלה. בדרך כלל, מבחן חדירה או פרויקטים של צוות אדום מוגבלים על ידי תקציב וזמן. המומחים מוזמנים לבדוק אזור מסוים בארגון בפרק זמן מוגבל. לכן, מומלץ מאוד להשתמש "בתרגול התקפות" בתבונה. שילובם עם קמפיינים של פישינג, תרגילים, עדכוני מדיניות, הוא חובה אם ברצונך להשיג התקדמות מלאה בהגנה.