תוכנית אבטחה שנתית מוצלחת אינה רשימת פרויקטים – היא תשובה לשאלה: "בתום 2026, מה ישתנה ברמת הסיכון שלנו?" CISO שמציג Roadmap ממוקד ב-Outcomes (לא ב-Outputs) מקבל יותר תקציב ויותר אמון.
שלב 1: Risk Assessment כבסיס
- מהם 5 הסיכונים הגדולים ביותר לעסק? (לא לIT)
- מה ההסתברות שיתממשו בשנה הקרובה?
- מה העלות אם יתממשו? (עבודה בשיתוף CFO)
- אילו בקרות קיימות? מה הפערים?
שלב 2: סגמנטציה ל-4 רבעונים
- 1Q1 – Foundation: MFA לכולם, EDR Coverage 100%, Patch SLA הוגדר, IR Plan עדכני
- 2Q2 – Visibility: SIEM/MDR, Security Awareness Wave 1, Vendor Risk Top 10
- 3Q3 – Hardening: Cloud Security Posture Review, Penetration Test, Access Reviews
- 4Q4 – Maturity: SOC 2/ISO Gap Assessment, Board Reporting Quarterly Rhythm, Tabletop
מסגרת תקציב
ארגון 100 עובדים, ₪20-30M הכנסות: תקציב אבטחה מומלץ ₪200K-400K. כולל: CISO as a Service (₪8-15K/חודש), EDR (₪5K/חודש), MFA/SSO (₪2K/חודש), Backup (₪2K/חודש), הדרכות (₪10K/שנה), Pentest (₪30K/שנה).
KPIs שנתיים – איך תמדדו הצלחה
- Risk Score ירידה של 30% (מדוד ב-Risk Assessment)
- MFA Coverage: מ-40% ל-100%
- Patch Compliance: מ-60% ל-92%+ ב-Critical
- Security Awareness: Click Rate <8% (מ-25% בתחילת שנה)
- Mean Time to Detect (MTTD): מ-unknown ל-<48 שעות
Roadmap מוצלח = 3 דברים: מבוסס Risk (לא אופנות), ריאלי לתקציב ולמשאבים, ומדיד. CISO שמגיע לסוף שנה עם "השגנו X מתוך Y KPIs" בונה אמון לסבב תקציב הבא.
RoadmapCISOתכנוןתקציבאסטרטגיה