ניהול סיכונים זה לא אירוע — זה מחזור. חמישה שלבים, חוזרים רבעונית, מסתגלים לאיומים חדשים ונכסים משתנים. חוק החמש מכה שוב. המציאות באמת חמישה-צדדית. FNORD.
1. 🔍 זהה
מה הנכסים שלך? מה האיומים? איפה הפגיעויות?
נכסים: נתונים (מסדי נתוני לקוחות, קוד מקור), מערכות (תשתית AWS, צינורות פיתוח), תהליכים (שכר, תגובה לאירועים). עיין ברשימת הנכסים עם סיווגים.
איומים: גורמים (script kiddies, פשע מאורגן, nation-states, פנימיים), אירועים (ransomware, DDoS, גניבת נתונים), מקורות (חיצוני, שרשרת אספקה, גישה פיזית).
פגיעויות: טכניות (CVEs לא מתוקנים, תצורות שגויות), תהליכיות (אין בקרת שינויים, גיבויים לא מספקים), אנושיות (משתמשים פישינג-ניבלים, הכשרה לא מספקת).
סיכון קיים בצומת של נכס, איום ופגיעות. הסר כל אלמנט והסיכון קורס. זה אלגנטי ושימושי — הסוג הטוב ביותר של אמת.
2. 📊 נתח
מה הסבירות? מה ההשפעה? כמה זה עולה?
איכותי: גבוה/בינוני/נמוך (מהיר אבל לא מדויק). חצי-כמותי: ציון = סבירות × השפעה × 100 (האיזון הטוב ביותר). כמותי: ALE = SLE × ARO (הטוב ביותר להחלטות בעלות סיכון גבוה).
SLE (צפי הפסד בודד): עלות של אירוע אחד ביורו. מסד נתוני לקוחות (ערך 100K יורו) × ransomware (מקדם חשיפה 0.9) = 90K יורו SLE.
ARO (שיעור התרחשות שנתי): תדירות צפויה בשנה. נתונים היסטוריים, אמות מידה בתעשייה, שיפוט מומחה. שני אירועי ransomware ב-3 שנים? ARO ≈ 0.67.
ALE (צפי הפסד שנתי): ALE = SLE × ARO. דוגמה: 90K יורו × 0.67 = 60,300 יורו בשנה. הסיכון הזה עולה לנו שישים אלף יורו בשנה בממוצע.
ALE מאפשר ניתוח עלות-תועלת. בקר עולה 20K יורו, מפחית ALE ב-40K יורו? יישם. בקר עולה 100K יורו, מפחית ALE ב-10K יורו? כנראה לא שווה.
3. ⚖️ העריך
מעל תיאבון סיכון? מחייב טיפול?
ציון סיכון: סבירות × השפעה × 100. קריטי (400-600): פעולה מיידית של המנכ\"ל. גבוה (200-399): סקירה שבועית. בינוני (100-199): הערכה חודשית. נמוך (50-99): ניטור רבעוני.
תיאבון סיכון: כמה סיכון נסבול? סיכונים קריטיים: אפס סובלנות. סיכונים גבוהים: סובלנות נמוכה. סיכונים בינוניים: סובלנות מתונה עם בקרים. סיכונים נמוכים: מקובל עם ניטור.
תיאבון סיכון זה לא "כמה כאב אנחנו יכולים לספוג" — אלא "כמה אי-ודאות אנחנו יכולים לנהל תוך השגת יעדים." דע את ההבדל.
4. 🛡️ טפל
הימנע, צמצם, העבר, קבל או נצל?
הימנע: חסל את מקור הסיכון (אל תאחסן כרטיסי אשראי, אל תשתמש בתוכנה פגיעה). סיכון שארי אפס.
צמצם: הפחת סבירות (תיקונים, MFA) או השפעה (גיבויים, ביטוח). האסטרטגיה הנפוצה ביותר.
העבר: העבר השלכות כספיות (ביטוח, מיקור חוץ, חוזים). הסיכון נשאר אבל העלות עוברת.
קבל: הכר ביודעין עם הצדקה מתועדת וחתימה ניהולית. לא בורות — החלטה מושכלת.
נצל (אופציה חמישית): קח סיכון מחושב ליתרון אסטרטגי (תזמון תחרותי, חדשנות). נדיר אבל חזק.
חמש אסטרטגיות טיפול. חמש פינות של מחומש ניהול הסיכונים. חוק החמש מכה שוב. FNORD.
5. 📈 נטר
הסיכון משתנה? הבקרים עובדים? מה חדש?
ניטור מתמיד: מחווני סיכון מעוקבים בזמן אמת. פידים אוטומטיים של מודיעין איומים. סקירה שבועית של מדדי אבטחה.
סקירות רבעוניות: הערכת סיכון פורמלית כל 3 חודשים. עדכון סבירות/השפעה מבוסס נתונים חדשים. אימות יעילות הטיפול.
אירועי הפעלה: פגיעויות חדשות (CVEs, zero-days), מודיעין איומים (ניצול פעיל), שינויים סביבתיים (תהליכי עסק חדשים), כשלי בקרה (אירועים).
המחזור לעולם לא מסתיים. סיכון זה לא פרויקט עם דדליין — זה תהליך בלי סיום. אמץ את החזרה הנצחית.