מה זה CISO as a Service ולמה הארגון שלי צריך את זה?

CISO as a Service (CISOaaS) הוא שירות שבו ארגון מקבל מנהל אבטחת מידע ראשי במשרה חלקית, ללא הצורך לגייס עובד קבוע. Cybertis מספקת CISOaaS לארגונים שרוצים ניהול אסטרטגי של אבטחת מידע, עמידה ברגולציות, ויכולת ייצוג מול לקוחות ומשקיעים – בעלות נמוכה ב-60% ממשרה קבועה.

כמה זמן לוקח לקבל תעודת ISO 27001?

תהליך קבלת תעודת ISO 27001 לוקח בממוצע 6-12 חודשים. Cybertis מציעה מסלול מואץ של 4-6 חודשים לארגונים קטנים ובינוניים, הכולל ניתוח פערים, בניית מדיניות, הטמעה, הכשרת עובדים, ואוגמנטציה לביקורת חיצונית.

האם חברת SaaS ישראלית חייבת לעמוד ב-GDPR?

כן – אם החברה מעבדת מידע של אזרחי האיחוד האירופי, היא כפופה ל-GDPR ללא קשר למיקום הפיזי. רוב חברות ה-SaaS הישראליות שמוכרות בשווקי אירופה חייבות לעמוד ב-GDPR, כולל מינוי DPO וניהול הסכמי עיבוד נתונים (DPA).

מה ההבדל בין ISO 27001 ל-SOC 2?

ISO 27001 הוא תקן בינלאומי מוכר בעולם כולו. SOC 2 הוא מסגרת ביקורת אמריקאית, נפוצה בשוק הצפון-אמריקאי. חברות ישראליות שמכוונות לאירופה בוחרות ISO 27001, ואלו שמכוונות לאמריקה בוחרות SOC 2. Cybertis מסייעת לבחור את המסגרת הנכונה.

האם Cybertis עובדת גם עם סטארטאפים קטנים?

כן – חלק גדול מלקוחות Cybertis הם סטארטאפים בשלבי Seed עד Series B. Cybertis מציעה חבילות מותאמות לסטארטאפים הכוללות מדיניות בסיסית, הכשרת עובדים, ומענה לשאלות אבטחה בתהליכי מכירה ו-due diligence.

מה לעשות ב-24 השעות הראשונות של אירוע סייבר

כשמתגלה אירוע סייבר – כופרה, דלף נתונים, גישה לא מורשית – הלחץ הוא עצום. הדבר הכי מסוכן שאפשר לעשות הוא לפעול מתוך פאניקה, ללא תוכנית. 24 השעות הראשונות קובעות את מידת הנזק הסופי. הנה פרוטוקול ה-IR שאנחנו ממליצים עליו.

לפני הכל: אל תכבו כלום מיד

הרפלקס הטבעי הוא לכבות מכשירים. ברוב המקרים, זה טעות. ניתוח פורנזי דורש שהמכשיר יהיה בדיוק כפי שהיה בעת האירוע. לפני כל פעולה – תעדו, צלמו מסכים, שמרו לוגים.

שעה 0-1: זיהוי ואישור האירוע

לא כל alert הוא אירוע, ולא כל תקלה היא מתקפה. השלב הראשון הוא לאשר שאכן מדובר באירוע אבטחה, להבין את היקפו הראשוני, ולהפעיל את צוות ה-IR. בשלב הזה, אל תשתפו מידע מחוץ לצוות הגרעיני.

1
זהו את מקור ההתראה – SIEM, משתמש, ספק, גורם חיצוני
2
אשרו שמדובר באירוע אמיתי ולא False Positive
3
הפעילו את Incident Response Team (IRT)
4
פתחו War Room – ערוץ תקשורת ייעודי לאירוע
5
תעדו את שעת הגילוי ואת כל ממצא ראשוני

שעה 1-4: הכלה ראשונית

המטרה בשלב הזה היא לעצור את ההתפשטות – לא לנקות הכל. בידוד מערכות נגועות, חסימת גישה לרשת, ושינוי credentials קריטיים הם הפעולות העיקריות. בדלף נתונים, בדקו האם הנתונים עדיין זורמים החוצה.

בידוד מערכות נגועות מהרשת (Isolate, אל תכבו)
שנו סיסמאות לחשבונות admins ו-service accounts
הפעילו חסימת IP/domain של וקטורי התקיפה שזוהו
בדקו ו-revoke tokens ו-API keys שעלולים להיות פגועים
הפעילו Enhanced Monitoring על כלל הרשת

שעה 4-8: הערכה ותיעוד

כשהאש הראשונה כובה, מתחיל חלק ה"בלש". מה נגנב? מה הוצפן? מאיפה נכנסו? מה ה-timeline של האירוע? ניתוח פורנזי ראשוני, בדיקת לוגים, ומיפוי הנזק הם קריטיים לקבלת ההחלטות הבאות.

שאלות קריטיות לשלב הזה

מה ה-Initial Access Vector? האם התוקף עדיין בפנים? אילו מערכות ונתונים נפגעו? האם יש חובת דיווח רגולטורית (GDPR – 72 שעות, רגולציה ישראלית)?

שעה 8-24: תקשורת ושיקום מבוקר

ניהול התקשורת הוא חלק קריטי מהאירוע. מי מעדכן את ההנהלה? מתי מגיעים עורכי דין ויועצי PR? מה אומרים ללקוחות? גם אם אין לכם את כל התשובות עדיין – שתיקה מוחלטת היא בדרך כלל לא הגישה הנכונה.

עדכנו הנהלה בכירה עם מידע מדויק – לא ספקולציות
בדקו חובת דיווח לרגולטורים (GDPR, ביטוח, רשות הגנת פרטיות)
הכינו הודעה ראשונית ללקוחות אם נדרש
התחילו תהליך שיקום מבוקר – Clean systems first
תעדו כל פעולה לדוח After-Action עתידי

ארגונים שמכינים Incident Response Plan לפני שמתרחש אירוע מפחיתים את זמן השיקום ב-55% בממוצע (IBM Cost of a Data Breach Report). ההכנה מתחילה עכשיו, לא כשהאסון כבר קרה.

incident responseכופרהתגובהמשבר

מה לעשות ב-24 השעות הראשונות של אירוע סייבר

שעה 0-1: זיהוי ואישור האירוע

שעה 1-4: הכלה ראשונית

שעה 4-8: הערכה ותיעוד

שעה 8-24: תקשורת ושיקום מבוקר

מאמרים נוספים שיכולים לעניין אתכם

אסטרטגיית גיבוי ושחזור: 3-2-1 ומה מעבר לזה

Tabletop Exercise: כיצד לתרגל תגובה לאירוע ולשפר את המוכנות

מתקפת כופרה: לשלם או לא לשלם? כל מה שצריך לשקול

מוכנים לדיון על האבטחה של הארגון שלכם?