האם תוכלו לשרוד 2 שקלים אם מערכת ה-IT הקריטית ביותר שלכם לא תומכת ב-MFA או ברישום?
מערכות מידע מדור קודם הן הפיל שכולם רואים, אך מעטים רוצים להחזיק בו. בין אם אתם מביאים מים לערים, מפעילים מפעלים או מפעילים ציוד קליני, הארגון שלכם כמעט בוודאות תלוי בנקודות קצה או בשרתים שלא ראו תיקון אבטחה מזה שנים. האמת הלא נוחה: NIS 2 דוחף את הנכסים ה"בלתי ניתנים להעברה" הללו מרקע תפעולי אל אור הזרקורים, ומקצה סיכון אישי לכל מחזור חיים לא מנוהל ופער בקרה. (ENISA, 2023). לא מספיק עוד להסביר את אלה באמצעות אילוצים של המשכיות עסקית או ספקים מדור קודם. הרגולציה דורשת ממשל פעיל, בקרות ניתנות לאכיפה - גם כאשר יסודות אבטחה כמו אימות רב-גורמי (MFA) או יומני אירועים שמישים אינם אפשריים מבחינה טכנית.
כבר ראיתם את ההשפעה: חידושים נתקעו, שאלות ביטוח התגברו, חדרי ישיבות חרדים ולקוחות לוחצים על ראיות. פתאום, הגיליון האלקטרוני שסופר "שרתים ישנים" מרגיש פחות כמו חוב טכני ויותר כמו עונש הביקורת של מחר. הפרדוקס המרכזי ברור: כיצד מבטיחים ומוכיחים שליטה על הנכסים שהכי קשה לכם לשנות?
כל סיכון מדור קודם הוא שאלה פתוחה הדורשת תשובה מתועדת, לא תירוץ פסיבי.
ההימור אינו תיאורטי. אי הוכחת ניהול סיכונים במערכות מדור קודם לא רק מזמנת קנסות רגולטוריים; זה יכול להפוך לאירוע פגיעה בתדמית של דירקטוריון, לסכל עסקאות בבדיקת נאותות או לבטל ביטוח לאחר תקרית. וככל שהבעלות על סיכונים אלה עולה מצוות ה-IT לדירקטוריון, אזורי הנוחות הישנים נעלמים. 2 שקלים נוגעים בכל מכשיר, בכל מערכת ובכל גיליון אלקטרוני צללים שנראו בטוחים באלמוניות - ודורשים ספר פעולה שבו "בלתי ניתן לתיקון" הופך לא לנקודה עיוורת, אלא לקריאה למנהיגות, נחישות ותנועה אמינה קדימה.
למה חריגים מסורתיים כבר לא קונים לכם זמן או אמון
אם ניהלתם מסגרות ציות במשך יותר משנה, אתם בטח מכירים את הריקוד: לחשוף את הפער הישן, לציין אותו בפנקס, להציע שדרוג עתידי רעיוני, ולקוות שרגולטורים, חברות ביטוח או לקוחות יקבלו את התירוץ של הצורך. NIS 2 הופך את הריקוד הזה לכוריאוגרפיה של אחריות. סעיף 21(2) מפורש במפורש: כל סיכון, כולל סיכונים הנובעים ממערכות ישנות או מיושנות, חייב להיות מוקצה לבעלים, להיבחן רשמית ברמת הדירקטוריון, ולהוכיח כי הוא מופחת באופן פעיל או מוקצה משאבים לסגירה. (EUR-Lex). אם אינך יכול להציג את השרשור הזה-יוצא מן הכלל מוּרָם, בעלים בשם, בקרות ממופה, תכנית רשום, סקר על ידי הדירקטוריון - עמדת הציות שלך אינה ראויה מבחינה אובייקטיבית.
העדשה החדשה: יוצאים מן הכלל אינם עוד "הרשאה לעמוד במקום" - הם נתיכים בוערים.חברות הביטוח שמו לב; כך גם צוותי הרכש והבודקים. אם אתם מציגים נכס מדור קודם בסיכון גבוה ללא אבן דרך נוספת או בדיקה שאושרה על ידי הדירקטוריון, צפו לפרמיות גבוהות יותר, סעיפי כיסוי או אובדן עסקים מוחלט. הסיבה פשוטה: ללא מבנה, סיכון מדור קודם נחשב כלא מנוהל, וסיכון לא מנוהל אינו ניתן לביטוח (AGCS).
הרגולטור רואה ביומן החריגים הבטחה חיה, לא בית קברות של חוסר מעש.
כשלים בביקורת בעולם האמיתי תלויים יותר ויותר בחוסר בהירות - מי הבעלים של הסיכון, מהי הבקרה הזמנית וכיצד נכפה המומנטום לקראת סגירת סיכונים. הנה תמונת מצב של מלאי הסיכונים:
| נכס מדור קודם | בעלים | ציון סיכון | תוכנית תיקון/הגירה | סקירת מועצת המנהלים/חתימה |
|---|---|---|---|---|
| Windows 2008 שרת | תפעול IT | גָבוֹהַ | "הוצאה משימוש ברבעון השני של 2025" | כן (נרשם בפרוטוקול) |
| בקר בקרה (PLC) סוף חייו | מנהל צמחים | בינוני-גבוה | מקטע רשת + צג | כן (2024) |
| מחשב רנטגן לא מתוכנת | קליני | גָבוֹהַ | חתימה כפולה, החלפת '26 | מסומן |
כל שורה שחסרה בה שם של בעלים, תוכנית בת קיימא או אישור היא כעת טריגר מיידי לליקוי בביקורת. שום הצדקה טכנית לא מפצה על חלל ריק בבעלות על הממשל.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
מה נחשב - ומה נכשל - כאשר בקרות כמו MFA או רישום אינן אפשריות
רגולציה מודרנית אינה נאיבית לאילוצים של טכנולוגיה תפעולית (OT), שירותי בריאות, שירותים וייצור. הציפייה אינה שכל נכס מדור קודם יתמוך באופן קסום ב-MFA, אינטגרציה מלאה של SIEM או פרישה מיידית. עם זאת, הנחיות NIS 2 ו-ENISA מבהירות: אם אינך יכול לפרוס בקרה סטנדרטית (כגון MFA או רישום), עליך לתעד בקרה מפצה זמנית ושכבתית ולקבוע תאריך תפוגה המוכיח ממשל אקטיבי במקום כניעה טכנית. (ENISA).
מלכודות ביקורת נפוצות:
- יומני גישה ידניים ללא בודק: "מנהלי משמרת חותמים על דף נייר." עובר רק לטווח קצר if ישנן ראיות לכך שזה נבדק, נחתם, ויבוטל בהדרגה.
- בידוד רשת ללא פיקוח: "העברנו את זה ל-VLAN." עובד רק אם מתועד, מאומת באופן קבוע וממופה לרשומות רישום סיכונים.
- אוגרי חריגים שלא נבדקו: "אנחנו שומרים גיליון אלקטרוני." נכשל ללא מחזורי סקירה ברורים, הקצאת בעלים ואבני דרך לסגירה.
בקרות פיצוי חיוניות כאשר "מודרני" לא יתאים:
- *פילוח רשת עם ביקורת וסקירת גישה שוטפים.*
- *שליטה כפולה (אישור על ידי שני אנשים) עבור כל השינויים או גישה מועדפת.*
- ניטור וידאו של אזורי גישה, במיוחד במסגרות OT.
- *יומני רישום ידניים, הנבדקים ונחתמים על ידי ההנהלה במרווחי זמן שנקבעו מראש.*
- *בקרות רב-שכבתיות - לעולם אל תסתמכו על פתרון זמני אחד.*
| נכס | משרד עורכי דין? | רישום עצים? | בקרת פיצוי | תאריך סקירה | תוכנית סגירה |
|---|---|---|---|---|---|
| אפליקציית חיוב מדור קודם | לא | לא | יומן משמרת + חתימה כפולה | Q2 2024 | החלף את רבעון 1 2025 |
| בקר בקר תעשייתי | לא | חלקי | יומני גישה מפולחים, למנהלים | ירחון | עדכון קושחה ב-25' |
זכור: בקרות ידניות או חלופיות הן תמיד "זמניות וכפופות לבדיקה חובה". עמדתה של ENISA בוטה: פתרונות עוקפים קונים זמן, לא ויתור על ציות. ככל שהנכס ישן יותר או פגיע יותר, כך הבדיקה מחמירה יותר ותוכנית הסגירה דחופה יותר.
פתרון זמני הוא ספירה לאחור, לא רשת ביטחון. האות שלו הוא שאפתנות ניהולית, לא אינרציה תפעולית.
כיצד לבנות בקרות פיצוי: מיפוי ל-ISO 27001 ול-NIS 2
מפתה לקצר פינות ולהכריז על חריג כ"מקובל" כאשר מערכות המידע אינן יכולות ליישם MFA או רישום. אבל בפועל, בדיקה רגולטורית וביטוחית עוסקת כולה... מִבְנֶהISMS.online ו-ISO 27001:2022 נותנים לכם תוכנית אב: כל פער בקרה חייב להיות ממופה ל:
- ערך ברישום סיכונים (תאור מפורש של הנכס, הפער וההשפעה הסבירה).
- ערך הצהרת תחולה (SoA) (זיהוי הבקרה המושפעת ומדוע היא אינה מתקיימת).
- בקרת/ות פיצוי יושמו, תועדו ועברו שכבות (יותר מקו הגנה אחד).
- בעל הנכס הממונה ומבקר רואה חשבון או מנהל.
- ראיות לסקירה שוטפת, התקדמות ותיקון סופי או קבלת סיכונים ברמת הדירקטוריון.
דוגמה לגשר ISO 27001:
| תוֹחֶלֶת | אופרציונליזציה | ISO 27001 / נספח א' |
|---|---|---|
| אחריות הדירקטוריון | אישור בשם, ניקוד סיכונים | 5.3, A.5.4, A.5.36 |
| מעקב אחר סיכונים ספציפיים לנכסים | סטטוס מערכת + בעלים מפורש ברישום | 6.1, A.5.9, A.8.10 |
| בקרות פיצוי | מתועד, שכבתי, זמני | 6.1.3, A.8.15, A.8.34 |
| מחזור סקירה וסגירה | אבן דרך ברישום, ראיות שנבדקו על ידי המועצה | א.5.35, א.8.34 |
| נתיב ראיות | יומני אישור, עדכון SoA, רישום סגירה | א.5.19–א.5.21 |
טבלת מיניאטורות למעקב:
| הדק | עדכון סיכונים | קישור בקרה/SoA | ראיות שנרשמו |
|---|---|---|---|
| ביקורת על מאמר 2 שקלים | חריג נפתח | א.5.19, א.8.15 | חריג, אישור |
| צוות עובר, מערכת מותקנת | הבעלים השתנה | רישום סיכונים, SoA | פרוטוקול מועצת המנהלים, תוכנית |
| הנכס שודרג | חריג נסגר | עדכון SoA | תוכנית הגירה, שלט |
שליטה חזקה פחות קשורה לשלמות טכנית ויותר ל התקדמות מתועדת ונבדקת לקראת סגירת סיכונים, עם ראיות בכל חוליה עבור רואי חשבון, חברות ביטוח ודירקטוריונים.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
הישרדות מעשית בביקורת: מחריג לשביל ראיות
אף סיפור על תאימות לתקנות IT מדור קודם לא מסתיים בהצהרת כוונות מסודרת. מוכנות לביקורת היא סך כל נתיב הראיות החי שמוכיח שכל חריג נבדק, נבדק, מוקצה לו משאבים ונאלץ לסגור אותו בקצב מוגדר. (BSI). ISMS.online בונה את המחזור הזה ישירות לתוך סביבות עבודה ולוחות מחוונים של הפלטפורמה:
1. זיהוי ובעלות
- כל נכס מדור קודם מוכנס לפנקס ניתן למעקב, מתויג על ידי הבעלים הטכני ומבקר הדירקטוריון.
- בקרות פיצוי, גם אם ידניות, מוקצות ומחולקות לשכבות במפורש.
2. תיעוד ובקרות זמניות
- כל הבקרות רשומות כ"זמניות" עם תאריכי תפוגה, סקירה והסלמה המקודדים בפלטפורמה.
- תנאי תשובה מקושרים לכל חריג, עם הפניות לנכס, סיכון וראיות.
3. סקירה פעילה וחתימה
- נדרשת אישור ניהולי, לא רק במהלך עדכון סיכונים אלא בכל מחזור סקירה - אין יומני רישום "שקטים".
- לכל חריג חייבת להיות תוכנית סגירה; חריגים בלתי מוגדרים המוגדרים כברירת מחדל מסומנים בדגל, לא מוסתרים.
4. סגירה או קבלת סיכון
- העברת נכסים או הוצאה משימוש נרשמת עם הוכחה.
- במקרים בהם הגירה אינה אפשרית, קבלת סיכונים חייבת להיות באישור דירקטוריון או ברמת ההנהלה, אשר יירשם הן ב-SoA והן במרשם הסיכונים לצורך מעקב אחר הביקורת.
רשימת בדיקה לבדיקת ביקורת או ביטוח ששרדה:
- האם כל פער במרשם הסיכונים, ב-SoA וביומן האישורים-והאם תאריכים, חתימות ואבני דרך תואמים?
- האם יומני רישום ידניים או פתרונות עוקפים נבדקים, חתומים ומוגבלים על ידי תאריך תפוגה מתוכנן?
- האם ניתן לייצא את הראיות הללו באופן מיידי לרואי חשבון, חברות ביטוח או לקוחות?
סיפור הציות החזק ביותר מסופר מהראיות למעלה, לא מהכוונה למטה.
ניהול חיי המדף של יומני רישום ידניים ותגמולים
יומנים ידניים, גיליונות אלקטרוניים ודפי תגים אינם תוכניות תאימות - הם טיימרים של ספירה לאחור. חיי המדף שלהם נקבעים על ידי נראות, סקירה וכוח סגירה.
קבילות של ראיות ידניות שנבדקה על ידי ביקורת:
| סוג ראיות ידניות | חיי מדף של ביקורת | תנאי לקבלה |
|---|---|---|
| יומן חתום | ≤ 12 חודשים (מקסימום) | מקושר לבקרת סיכונים, נבדק, תוכנית סגירה |
| גיליונות תג/גישה | ≤ 6 חודשים | בדיקה כפולה, סקירה רגילה, סגירה מתוכננת |
| רשימת בדיקה לגיליון אלקטרוני | מחזור ביקורת אחד | עודכן, חתום, מטופל בכל סקירה |
| יומנים/קבצים שלא נבדקו | ללא חתימה | דגל אדום/כישלון מיידי |
בכל פעם שחריג עובר מחזור לבדיקה ואינו נסגר - או לפחות מתקדם לקראת סגירה - ערכו הראייתי דועך. בקרה מפצה שלא נבדקה הופכת מנכס לחוב תוך רבעון בלבד. ה"הוכחה" היא תמיד כמה אתה קרוב לסיום - לא כמה טוב אתה מצדיק חוסר מעש.
במקרה של ספק, שאלו: אם תביעת הביטוח שלנו או עסקת הלקוח היו מסתמכים על יומן זה, האם בודק חיצוני היה רואה את המסע עד לסגירת הטופס?
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
שכבות מגזריות ולאומיות: כאשר 2 שקלים הם רק קו הבסיס
המציאות פשוטה: כללים מגזריים ולאומיים לעיתים קרובות מאפילים על המנדטים הבסיסיים של האיחוד האירופיעבור אנרגיה, שירותי בריאות, ייצור קריטי וספקים לאומיים מסוימים (גרמניה, ספרד, בריטניה), הרף גבוה משמעותית. יומן החריגים שלך חייב לשקף את שני ה... התבנית המקומית המחמירה ביותר וליבה של 2 NIS.
דוגמאות לשכבות ארציות:
| מגזר | שלטון לאומי | תדירות סקירת חריגים | בעלים | מקור התבנית |
|---|---|---|---|---|
| שירות הבריאות הלאומי (בריטניה) | NCSC NHS דיגיטלי | מינימום שנתי, אישור הדירקטוריון | CIO | nhsdigital.nhs.uk |
| אנרגיה גרמנית | BSI IT-SiG3 | בדיקה שנתית + חודשית | CISO | bsi.bund.de |
| שירותים ספרדיים | צו מלכותי 43/2021 | הובלה רגולטורית חודשית | רגולציה | mincotur.gob.es |
מערכת ה-ISMS שלכם חייבת לייבא, להרחיב או להתאים למבנים אלה בנוסף לדרישות הליבה האירופיות. הניחו שביקורות וחברות ביטוח יחילו את ה-overlay המחמיר ביותר הרלוונטי מקומית - ולא רק ברירת מחדל של 2 ₪.
בניית מפת דרכים להגנה על IT מדור קודם: החלפה, בידוד או תיעוד של צמצום
תוכנית סיכונים מודרנית מדור קודם היא מערכת חיה, לא גיליון אלקטרוני של סוף שנה. המשמעת התפעולית הנדרשת:
- קטלוג כל הנכסים: לפי בעלים, סיכון, שליטה מפצה, לוח זמנים לסקירה ותוכנית סגירה.
- מפה לבקרות: קשר כל נכס וחריג להפניות לתקן ISO 27001 או לתקן NIS 2 סעיף 21(2).
- קצב סקירת כפייה: יש לאכוף אימות, הקצאת משאבים או הגירה בציר זמן ברמת הדירקטוריון באמצעות תזכורות מונחות מערכת.
- רישום ראיות אוטומטי: כל אישור של בעלים, סימון בודק או עדכון תוכנית גלוי ביומן ביקורת דיגיטלי - לא קבור בדוא"ל או בקבצים מפוזרים.
- עדכוני תבנית: תוכניות חפיפה לאומיות ודיווחים ספציפיים למגזר חייבים להיות מקושרים למערכת ה-ISMS שלכם, ולא להתקיים כתהליכי צל.
כאשר מגיעות סקירות של הדירקטוריון או הרגולטור, מפת הדרכים שלכם חייבת להתפתח כסדרה של חריגים חיים, שהוקצו על ידי הבעלים, מונעי סגירה - המוכיחים מומנטום ואחריות. מורשת שאינה בבעלותה מהווה כעת התחייבות חוזית, פיננסית ואסטרטגית.
הפיכת לוח לולאת הסיכון לגלוי ועמיד: היתרון של ISMS.online
יש הבדל תפעולי בין "תואם לתקנות על הנייר" לבין "מוכן לביקורת בפעולה". ISMS.online מספק יותר מרישום סיכונים: הוא מאפשר אוטומציה של מעברים בין נכסים, בעלים, שלבי הפחתה, יומני אישור, רישומי SoA וראיות לסגירה - תוך נעילת אחריות והפיכת חריגים למרכז לולאת הציות במקום נקודה מתה..
יתרונות בתרגול יומיומי:
- לוחות מחוונים מציגים את מצב המעבר, מצב הטיפול או מצב ההמתנה לאישור של כל נכס.
- הדירקטוריון או הרגולטור יכולים לעקוב אחר כל חריג לפי בעלים, סיכון, בקרות קיימות ומחזור סקירה, כאשר כל החתימות ואבני הדרך חתומות בזמן וזמינות באופן מיידי.
- שכבות של מגזרים במעבר חציה ו-NIS 2 מנוהלות באמצעות מרשמים מקושרים, מאגרי ראיות והודעות מבוססות תבניות.
- ביקורות וביטוח משתנות מפאניקה לתצוגה - מפה של חוסן, לא התנצלות על חריגים.
קריאה לפעולה סופית:
ניהול ה-IT הישן שלך לא רק נסבל, אלא גם חלק בלתי נפרד משם העסק והמוניטין שלך. קח אחריות על לולאת החריגים. הפוך כל סיכון לאחריותי, גלוי ונסגר - ולא תקוע בתחזוקה לנצח. הוכח לכל מבקר, לקוח וחבר דירקטוריון שניהול החריגים שלך פעיל, מובנה וכופה על סיכונים בכל מחזור. תאימות מודרנית אינה נמדדת על ידי אוטופיה טכנית, אלא על ידי המסע הניתן לביקורת שלכם מפער לסגירה - הפכו את המסע הזה לאמיתי, מדיד וגלוי על ידי הדירקטוריון בעזרת ISMS.online.
כאשר מערכות מורשת אינן מורשות, הסיכון הוא בעלות על העסק. כאשר אתה הבעלים של לולאת החריגים, הסיכון הופך להוכחת השליטה שלך.
שאלות נפוצות
מי אחראי על פערים בתאימות לתקנות ה-IT מדור קודם תחת NIS 2 - ומהם השינויים עבור הדירקטוריונים וההנהלה?
סעיף 2 של NIS מקצה אחריות ישירה לסיכוני IT מדור קודם לדירקטוריון ולהנהלה הבכירה - ולא רק להנהלת ה-IT - מה שהופך כל פער בלתי פתור לדאגה בדירקטוריון. סעיף 21(2) של ההנחיה קובע כי לכל נכס מדור קודם "שאינו ניתן לתיקון" (שרתים שאינם נתמכים, בקרים מבוקרים מיושנים, ציוד רשת מדור קודם) חייב להיות בעלים שם, קצב סקירה, ותוכנית הפחתה או קבלת סיכונים שתירשם רשמית ברמת ההנהלה. זה יותר מפרוצדורלי: אם הבעלות או ההתקדמות מעורפלים, רגולטורים ומבקרים מצפים כעת לחקור את ההנהלה, ולא את ה-IT, לגבי סיכונים מתמשכים.
מנהיגות כבר לא נמדדת בחתימות על מדיניות, אלא בהתקדמות שקופה בכל פער פתוח.
ניהול סיכונים מדור קודם הפך למבחן של מנהיגות נראית לעין. גיליונות אלקטרוניים או יומני רישום לא חתומים אינם מספיקים - כל חריג חייב להיות קשור לאחריותיות ספציפית של ההנהלה, כאשר תוכניות פעולה מתועדות ונבדקות באופן קבוע. כעת מצופה מהדירקטוריונים לעבור מאישור פסיבי של חריגים לבדיקה פרואקטיבית, כאשר סגירת חריגים והתקדמות בטיפול בהם מהווים חלק מביצועי הציות השוטפים.
טבלת בעלות על נכסים מדור קודם
| נכס מדור קודם | בעלים | הסקירה הבאה | תוכנית הפחתה |
|---|---|---|---|
| שרת תשלומים 2010 | ראש אגף טכנולוגיה | 2024-10-01 | הפרדה; אין אפשרות להסכם משרד עורכי דין |
| בקר בקר מפעל (קו 2) | ראש מחלקת התפעול | 2024-07-15 | פרישה מתוכננת רבעון ראשון 2025 |
| נתב מדור קודם | מוביל רשת | 2024-09-01 | גישה עם תג בלבד, בידוד רשת |
המסקנה? על דירקטוריונים לתחזק תוכניות בעלות ופעולה הניתנות למעקב וביקורת עבור כל חריג, אחרת הם מסתכנים בחשיפה ישירה במהלך ביקורות או סקירות אירועים.
אילו בקרות פיצוי נחשבות חזקות מספיק עבור מערכות מדור קודם - ומהן המגבלות?
בקרות פיצוי אמיתיות מקובלות על נכסים מדור קודם רק אם הן מטופלות כגשרים מוגבלים בזמן, ולא כפרצות קבועות. הן רואי חשבון והן רגולטורים מצפים כעת לגישה מרובדת וניתנת להגנה, הכוללת (אך לא רק):
- בקרות גישה פיזיות קפדניות (תגים, ביומטריה, חדרים נעולים),
- פילוח רשת מוקשח (VLANs מבודדים עם מגבלות חומת אש),
- אישור כפול (כפול) לפעולות ניהול קריטיות,
- יומני רישום ידניים עם סקירה ואישור ניהוליים מתוכננים,
- שינויי סיסמה תקופתיים בכפייה,
- סקירות מתוכננות ברמת הדירקטוריון ועדכונים מתועדים על כל חריג.
עם זאת, בקרות אלו מקובלות רק אם קיימות ראיות לכך:
- כל חריג מוצדק באופן פורמלי, לא רק על ידי מערכות המידע,
- בקרות נבדקות ומקודמות או מבוטלות במרווחי זמן מתוכננים,
- תוכניות סגירה או הגירה קיימות ומנוהלות תחת מעקב,
- פיקוח ניהולי ניתן לביקורת, לא למשתמע.
רואי חשבון סומכים על מה שהם יכולים לעקוב אחריו: בקרות פיצוי ללא מגבלות זמן הופכות לחולשות ציות.
תמונת מצב של בקרת פיצוי
| נכס | בקרה מוחלת | מיקום ראיות ביקורת | הסקירה הבאה |
|---|---|---|---|
| שרת שכר (דור קודם) | חדר שרתים נעול | יומן תגים, חתימה | 2024-11-01 |
| מתג מיושן | VLAN מפולח | מסמכי תצורת רשת | 2024-09-15 |
| בקר בקר (קו 2) | יומן ידני | רישום משמרת, חתום | 2024-07-15 |
על דירקטוריונים לצפות כי בקרות מפצות יועמדו בספק - ועליהם להדגים תנועה קבועה לקראת סגירת סיכונים או העברת נכסים.
כיצד יש לתעד חריגים עבור טכנולוגיות מדור קודם עבור ביקורות NIS 2 ובדיקות ביטוח סייבר?
ניהול חריגים תחת NIS 2 הוא כעת מבחן של עקיבות והגנה. במקום יומני אישור סטטיים או חריגים גורפים, הציפייה היא תיעוד חי:
- כל מערכת מדור קודם חייבת להיות רשומה במרשם הסיכונים שלך,
- הפער הטכני וההיגיון העסקי חייבים להיות ברורים,
- בקרות פיצוי ספציפיות מתועדות ונבדקות,
- בעלות בעלת שם מוקצית (רצוי עם נראות של הדירקטוריון/הנהלה),
- תאריכי סקירה ואבני דרך בהתקדמות מתוכננים ומאושרים (חתימות, פרוטוקולי פגישות, יומני רישום מיוצאים),
- יעדי סגירה או הגירה הם מפורשים - לא רק שפת "מפת דרכים".
כל זה קשור להצהרת הישימות (SoA) שלכם, המקשרת חריגים לבקרות כגון ISO 27001:2022 נספח A.8.8 או סעיפים מקבילים (ISO/IEC 27001:2022). פלטפורמות משולבות כמו ISMS.online יכולות להפוך זאת לאוטומטי על ידי חיבור נתוני נכסים, יומני סיכונים, רישומי בקרה מפצים, אישורים וראיות תומכות במקום אחד, מה שהופך את החריגים למוכנים לביקורת באופן מיידי.
תאימות בוגרת נמדדת לפי מספר החריגים שנסגרו, ולא לפי תירוצים שנרשמו.
טבלת עקיבות חריגים
| הדק | הפניה ליומן סיכונים | קישור SoA | בקרה מוחלת | עדות |
|---|---|---|---|---|
| סוף חיי הנכס | פער A.8.8 | נכס_x123 | VLAN, יומני רישום ידניים | מינימום מועצה, חבילת ביקורת רבעון 2 |
היעדר רישומי חריגים פעילים שנבדקו מהווה כעת סימן אזהרה הן לרואי חשבון והן לחברות ביטוח סייבר. כל חריג צריך להצביע על תאריך סגירה או הגירה מתוכנן.
כיצד משנים כללים לאומיים או כללים בתעשייה את תאימות מערכות NIS 2 מדור קודם?
הציות לא נעצר בגבולות האיחוד האירופי - רוב המדינות והמגזרים המפוקחים מוסיפים כעת שכבות או כללים מחמירים יותר בנוסף ל-2 שקלים. כמה דוגמאות קריטיות:
- שירות הבריאות הלאומי הדיגיטלי של בריטניה: דורש אישור שנתי ברמת הדירקטוריון, תוכניות פירוק ותיעוד מלא של נכסים/התקדמות עבור מערכות הבריאות.
- מדד ה-BSI של גרמניה: דורש ראיות הנבדקות על ידי הדירקטוריון מדי חודש והקצאת בעלים ייחודית עבור מגזרי האנרגיה/תשתיות.
- צו מלכותי מספר 43/2021 של ספרד: מטיל סקירת חריגים חודשית וראיות רגולטוריות עבור שירותים/ספקים.
"מעבר" של מדינה אחת יכול להיכשל במקומות אחרים, במיוחד אם סקירות מגזריות דורשות תדירות גבוהה יותר, תיעוד נוסף או תבניות דיווח מיוחדות. יש לשמור על חבילות מבוקרות גרסאות כדי לעמוד הן בביקורות האיחוד האירופי והן בביקורות מגזריות/לאומיות, ולבדוק באופן קבוע שינויים רגולטוריים עתידיים.
שכבות לאומיות אינן פריטים נחמדים שכדאי שיהיו לכם בתאימות - הן כעת מהוות אזור סיכון מרכזי.
טבלת השוואת שכבות
| נכס | מדינה | מגזר | מחזור סקירה | תבנית רגולטורית |
|---|---|---|---|---|
| סורק MRI | UK | בריאות | שנתי | תאימות דיגיטלית של שירות הבריאות הלאומי (NHS) |
| מיינפריים של SCADA | גרמניה | אנרגיה | ירחון | BSI קריטיסV |
| שרת שירות | ספרד | תשתיות | ירחון | צו מלכותי 43/2021 |
עבור ארגונים רב-לאומיים, שילוב שכבות (overlays) צריך להיות חלק מ-SoA וממחזור הבדיקה הפנימי שלכם.
האם יומני רישום ידניים או גיליונות אלקטרוניים עדיין מתקבלים כראיות לבקרות מדור קודם - ומהו סף הביקורת?
יומנים ידניים וגליונות אלקטרוניים מתקבלים תחת 2 NIS בלבד כ ראיות מעבר לטווח קצר-לעולם לא כאמצעי ציות קבועים. רואי חשבון דורשים:
- קישור ישיר למרשם הסיכונים ול-SoA,
- אישור ובדיקה של ההנהלה (לא רק IT) בכל מרווח זמן מוגדר (רבעוני לפחות),
- תוכנית סגירה קבועה עם מועד אחרון קונקרטי למעבר לפתרונות אוטומטיים ומאובטחים,
- יומנים וראיות הנבדקים ומעקב אחר עדכונים נמשכים באופן קבוע (קבוצת BSI, 2024).
גיליונות אלקטרוניים קבועים ובלתי-נסקרים הם כעת התחייבות לציות, ולא פתרון עוקף. "חיי המדף" הרגילים הם מחזור ביקורת אחד או 6-12 חודשים. יש לתעד את פקיעת הגיליונות, סקירה והתקדמות לפתרון חזק יותר, ולהפוך את הראיות לגלויות בפני הדירקטוריון.
גיליונות אלקטרוניים שהופכים לקבועים יורשים את האחריות על כל יומן שהוחמצ ואישור לא חתום.
טבלת ראיות ידנית
| סוג ראיה | מרווח סקירה | טריגר סגירה מתוכנן |
|---|---|---|
| גיליון רישום תגים | 3–6 חודשים | הגירה מתוזמנת |
| גיליון סיכונים באקסל | מחזור ביקורת | יומני רישום אוטומטיים נפרסו |
| יומן חתום | <12 חודשים | הנכס הוצא משימוש |
עבור כל אחד מהם, קשרו את התפוגה למעבר או שינוי נכס - לעולם אל תשאירו את הפעולה כאמצעי פתוח.
מהו התהליך ברמת הדירקטוריון לסגירת סיכוני IT מדור קודם - וכיצד ISMS.online מיישם את פעולות NIS 2/ISO 27001?
מפת דרכים להגנה של דירקטוריון לסיכוני IT מדור קודם משלבת:
- קטלוג נכסים מלא עם ציון פער/קריטיות,
- הקצאה ברורה של הבעלים הטכני והמנהלי לכל מערכת מדור קודם,
- מיפוי חריגים לבקרות ספציפיות של ISO 27001 / נספח A ו-NIS 2 סעיף 21(2),
- זרימת עבודה של ראיות- סקירת אבני דרך, יומני פעולות, מעקב אחר סגירות עסקאות ויצוא מוכן לביקורת/מבטח,
- אוטומציה-עם פלטפורמות כמו ISMS.online המספקות לוחות מחוונים לסגירת חריגים פעילים, תזכורות מתוזמנות והוכחות התקדמות הניתנות לייצוא ((https://iw.isms.online/solutions/legacy-systems-and-isms/)).
תאימות בהובלת הדירקטוריון פירושה שלכל נכס בסיכון יש שם, תאריך סקירה, פעולה ויומן סגירה שמקדם כל ביקורת.
טבלת אבני דרך תאימות
| שלב | תְפוּקָה |
|---|---|
| מלאי נכסים | נכסים רשומים, פערים קריטיים |
| הקצאת בעלים | מטריצה חיה עם סקירות מתוכננות |
| מיפוי חריגים | קישור SoA/סיכון לכל חריג |
| מעקב אחר ראיות | סקירת יומני רישום, ייצוא מוכן לביקורת |
| התקדמות הסגירה | סטטוס + תאריכים, חתומים על ידי ההנהלה |
ISMS.online הופך כל שלב לניתן למעקב, ללא נייר ומוכן לסקירת מועצת המנהלים או הביקורת - אין עוד חריגים שהוחמצו ברעש.
כיצד הופכים ISO 27001:2022 ו-NIS 2 את ניהול החריגים לתהליך בר-ישים ומוכן לביקורת?
גם ISO 27001:2022 וגם NIS 2 דורשים עקיבות, אחריות מבוססת תפקידים וראיות לכל פער טכנולוגי וחריג. התחילו במיפוי חריגים חיים ורישומי נכסים לנקודות הבקרה שלהם בנספח A וב-NIS 2, הקצו בעלים, קבעו מחזורי סקירה אוטומטיים וקשרו כל פעולה ליומני אישור/ייצוא. המטרה היא ליצור שרשרת ראיות שיכולה לנוע באופן מיידי מנכס לחריג ועד לתאריך הסגירה, מוכנה לבדיקה תיעודית בכל ישיבת ביקורת, דירקטוריון או מבטח (ISO/IEC 27001:2022).
השלב הבא שלכם: לפרוס (או לעדכן) רישום חריגים הממופה לכל הבקרות הרלוונטיות, לשלב אותו עם זרימות עבודה של ראיות ולוחות זמנים לסקירת דירקטוריון, ולבצע אוטומציה של תזכורות כך שסטטוס החריג לעולם לא יוכל להתיישן. ISMS.online מספק כלים מוכנים לשימוש כדי לחבר כל פער, אישור ופעולה לשביל יחיד, גלוי לדירקטוריון.
כל חריג שנסגר הופך סיכון מדור קודם למנהיגות בתחום הציות - כל פעולה היא נקודת הוכחה.
חשפו את תהליך החריגות שלכם, קשרו אותו ללוחות הזמנים של הדירקטוריון והדגימו התקדמות מתמשכת המונעת על ידי סגירת עסקאות. זהו המטבע החדש לביקורות ולביטחון של חברות הביטוח תחת NIS 2 ו-ISO 27001:2022.
