שיעור 7: מסלול ב' — ניהול סיכוני סייבר מקצועי
ארגונים גדולים (קטגוריה ב') אינם מסתפקים בצ'קליסט — הם נכנסים לתהליך ניהול סיכונים מובנה ומקצועי. בשיעור זה נלמד את שלב אפס (ממשל תאגידי), כיצד מודדים נזק (Impact) לפי מודל CIA בסולם 1–4, כיצד מעריכים סבירות (Likelihood), כיצד מפיקים רמת סיכון ממטריצה, ואת ארבע דרכי הטיפול בסיכון — לצד 'בנק הבקרות'.
מודדים נזק (לפי CIA, בסולם 1–4) וסבירות (4 מרכיבים), משלבים אותם במטריצה כדי לקבל רמת סיכון, ואז בוחרים כיצד לטפל: להפחית, לקבל, להעביר או להימנע.
- ממשל תאגידי
- מערך החוקים, הנהלים והמבנים שמגדירים כיצד הארגון מנוהל ומבוקר; בסייבר — קביעת אחריות, תפקידים וסמכויות החלטה מהדרג הבכיר.
- תיאבון סיכון
- רמת הסיכון שהארגון מוכן לקבל באופן מודע כדי להשיג את מטרותיו העסקיות.
- דרגת נזק (Impact)
- עוצמת הנזק לפי CIA בסולם 1–4: 1 זניח, 2 מוגבל, 3 חמור, 4 קטסטרופלי.
- סבירות (Likelihood)
- הערכת הסיכוי שאירוע יתרחש, על בסיס ארבעה מרכיבים: מודיעין איומים, היסטוריית אירועים, מניעי התוקף ופגיעות ארגונית.
- מטריצת סיכון
- טבלה שמשלבת עוצמת נזק (Impact) וסבירות (Likelihood) לרמת סיכון; הערכים נקבעים מראש ואינם בהכרח מכפלה מתמטית פשוטה.
- טיפול בסיכון
- ההחלטה הניהולית כיצד להתמודד עם סיכון: הפחתה, קבלה, העברה (ביטוח) או הימנעות.
- בנק הבקרות
- קטלוג מקיף של אמצעי הגנה, מיושר עם תקנים כמו NIST, המשמש לטיפול וצמצום סיכונים שזוהו ותומחרו.
- עומק יישום
- התפיסה שבקרה אינה בינארית (יש/אין) אלא מיושמת ברמות — מתהליך ידני בסיסי ועד אוטומציה מלאה.