📋 רישום סיכונים: מסמך חי של מה שמשאיר אותך ער בלילה
"רישום סיכונים שמתעדכן רק לביקורות הוא בדיון יקר. רישומי סיכונים אמיתיים משתנים שבועית."
🍎 תפוח הזהב: רישומים מתים לעומת מסמכים חיים (או: תיאטרון ציות לעומת ניהול סיכונים אמיתי)
לרוב הארגונים יש רישומי סיכונים. הם נוצרים לביקורות ISO 27001, מלאים באיומים גנריים שהועתקו מתבניות, מוקצות ציוני הסתברות/השפעה שרירותיים שגורמים למנהלים להרגיש נוח, ונשכחים עד לביקורת השנה הבאה. זה קאבוקי אבטחה. אמנות ביצועים למבקרים.
זה לא ניהול סיכונים - זה תיאטרון ציות. FNORD. רישום הסיכונים אומר "סיכון נמוך של כופר" בעוד המחשב הנייד של המנכ"ל כבר מוצפן על ידי REvil. דיסוננס קוגניטיבי הוא תכונה, לא באג.
רישום סיכונים אמיתי הוא מסמך חי (דגש על חי, לא זומבי). מתעדכן כשמופיעים איומים חדשים (שבועית, כי תוקפים לא מחכים לסקירות רבעוניות). מתוקן כשמתגלות פגיעויות (יומית, אם אתה עושה את זה נכון). משמש כנ reference בעת קבלת החלטות השקעה באבטחה (לא מצגות ספקים או FUD). כלי עבודה, לא קישוט ביקורת. ההבדל בין רישום סיכונים חי למת הוא אם תהמר על העבודה שלך על דיוקו. האם תעשה זאת? אתה בטוח? FNORD.
הארה לפסיכונאוטים: אם רישום הסיכונים שלך לא עודכן במשך חצי שנה, הוא לא עוקב אחר סיכונים - הוא מתעד היסטוריה (בצורה גרועה). איומים מתפתחים מהר יותר ממחזורי ביקורת שנתיים. פגיעויות zero-day לא מחכות לפגישת הסקירה הרבעונית שלך. הקונספירציה אמיתית והיא נעה מהר יותר מתהליך התיעוד שלך. ברוך הבא ל-Chapel Perilous. עדכן את רישום הסיכונים שלך או שרישום הסיכונים יעדכן אותך.
🛡️ חמשת האלמנטים של רישום סיכונים אפקטיבי
1. סיכונים מזוהים
מה יכול להשתבש?
מקורות איום, פגיעויות, תרחישי תקיפה. ספציפי, לא גנרי. "כופר דרך פישינג" > "מתקפת סייבר". עדכון כאשר מופיעים איומים חדשים.
2. הערכת סיכונים
עד כמה זה רע?
הסתברות (עד כמה סביר?). השפעה (פיננסית, תפעולית, מוניטין). ציון סיכון = הסתברות × השפעה. קובע עדיפויות להחלטות טיפול.
3. בקרות קיימות
מה כבר מפחית את זה?
בקרות טכניות (MFA, EDR, גיבויים). בקרות תהליכיות (ניהול שינויים, סקירות גישה). סיכון שיורי לאחר יישום בקרות.
4. תוכניות טיפול
מה אתה עושה בנוגע לזה?
קבלה (סובלנות לסיכון שיורי). הפחתה (הוספת בקרות). העברה (ביטוח). הימנעות (הסרת מקור סיכון). כל החלטה דורשת בעלים ומועד יעד.
5. מעקב וסקירה
האם הסיכון משתנה?
עקוב אחר מגמות סיכון לאורך זמן. הערכה מחדש רבעונית או כאשר נוף האיומים משתנה. סקירת יעילות הטיפול. עדכון ככל שמיושמות בקרות.
הארת כאוס: הערכת סיכונים היא חיזוי, לא ודאות. הקצה הסתברות/השפעה בידיעה שהם ניחושים מושכלים. מספרים שגויים עם מתודולוגיה נכונה עדיפים על אין מספרים עם מתודולוגיה מושלמת.
📋 גישת Hack23 לרישום סיכונים
רישום הסיכונים שלנו ציבורי (גרסה מסוננת): מאגר ISMS-PUBLIC | רישום סיכונים
- עדכונים מתמידים: רישום סיכונים מתעדכן תוך 48 שעות ממודיעין איומים חדש מהזנות CVE, התראות CISA, דוחות תעשייה
- אינטגרציה של מודיעין איומים: הזנות אוטומטיות מפעילות סקירות סיכון, לא מחזורי ביקורת שנתיים
- סקירות רשמיות רבעוניות: הערכה מחדש של ציוני הסתברות/השפעה כל 3 חודשים, אימות בקרות קיימות, מעקב אחר התקדמות תוכנית טיפול
- השקעה מבוססת סיכון: תקציב אבטחה בעדיפות לפי ציוני רישום סיכונים (לא מצגות ספקים או "שיטות עבודה מומלצות")
- תקשורת שקופה: סיכומים ניהוליים מציגים את 10 הסיכונים המובילים, ניתוח מגמה (משתפר/מתדרדר), אחוז התקדמות טיפול
- נימוק מתועד: כל ציון סיכון כולל נימוק מבוסס ראיות, לא הקצאה שרירותית
הארת מטא: פרסום רישום סיכונים מסונן בפומבי (כמו שאנחנו עושים) כופה יושרה אינטלקטואלית. אי אפשר לשקר כשהעולם יכול לראות את הערכות הסיכון שלך.
🎯 דפוסים אנטי של רישום סיכונים (מה לא לעשות)
❌ עדכונים שנתיים בלבד
הבעיה: נוף האיומים משתנה מהר יותר ממחזורי ביקורת.
המציאות: פגיעויות חדשות, טכניקות תקיפה מתפתחות, פריצות בתעשייה - כל אלה משנים את פרופיל הסיכון באופן מתמשך.
פתרון: סקירות רבעוניות כמינימום, עדכונים מיוחדים לאיומים מרכזיים.
❌ תיאורי סיכון גנריים
הבעיה: "מתקפת סייבר" לא אומר לך כלום.
המציאות: כופר דרך פישינג לעומת פשרה בשרשרת האספקה לעומת איום פנימי - תקיפות שונות, הפחתות שונות.
פתרון: תרחישי איום ספציפיים עם נתיבי תקיפה.
❌ ציון שרירותי
הבעיה: הסתברות/השפעה מוקצות ללא נימוק.
המציאות: אם אתה לא יכול להסביר למה כופר הוא "הסתברות גבוהה", ההערכה שלך היא בדיון.
פתרון: תיעוד נימוק הציון, ציטוט ראיות.
❌ תוכניות טיפול ללא בעלים
הבעיה: "יישום MFA" ללא בעלים מוקצה או מועד יעד.
המציאות: משימות לא מוקצות לא מבוצעות. אין מועד יעד אומר אף פעם.
פתרון: כל תוכנית טיפול: בעלים, מועד יעד, קריטריוני הצלחה.
❌ התעלמות מסיכון שיורי
הבעיה: הנחה שבקרות מבטלות סיכון לחלוטין.
המציאות: MFA מפחית סיכון פישינג - לא מבטל אותו. תיעוד מה נשאר.
פתרון: חישוב סיכון שיורי אחרי בקרות, החלטה אם מקובל.
🎯 מסקנה: שמור על רישום הסיכונים חי
רישום סיכונים שימושי רק אם הוא עדכני. עדכן באופן מתמיד, סקור רבעונית, השתמש באופן פעיל.
זהה איומים ספציפיים. ציין עם ראיות. תעד בקרות קיימות. תכנן טיפולים עם בעלים ומועדי יעד. עקוב אחר מגמות לאורך זמן.
רישום סיכונים מיושן הוא קישוט ביקורת. רישום סיכונים חי מניע החלטות השקעה באבטחה.
צריך הדרכה מקצועית על ניהול סיכונים? גלה את גישת הייעוץ של Hack23 שמתייחסת לאבטחה כמאפשרת, לא כמחסום.
כל הכבוד לאריס! כל הכבוד לדיסקורדיה!
"תחשוב בעצמך, טיפש! הטל ספק בציוני הסיכון שלך - במיוחד כשהם לא השתנו כבר שנה."
🍎 23 FNORD 5
— Hagbard Celine, קפטן Leif Erikson