SECOZ עושה שימוש במתודולוגיה אשר שואבת את הטוב מהתקנים המובילים בעולם לרבות COBIT, ITIL, CMMI ומסתמכת על הניסיון העשיר שצברנו.
להלן תקציר חלק משירותנו:
פיתוח אסטרטגיה – Strategy Generation
SECOZ מסייעת לארגון לפתח את אסטרטגית מערכות המידע שלו. הנושאים הנכללים במסגרת זו כוללים בין היתר את הנקודות הבאות:
· התהליכים ומנגנוני הביקורת לתמיכה ביעדי הארגון
· המבנה הארגוני, המנגנונים התומכים ודרישות כוח האדם לניהול ה-IT
· תעדוף ובחירה של פרויקטים לשיפור ממשל מערכות המידע ותכנון יישומם
· התקציב ומקורות המימון
· המודל הפיננסי – כיצד מחשבים עלות שירות? כיצד מחשבים/מעמיסים את עלויות השימוש?
· מדדי הצלחה (CSF) – כיצד מודדים את הצלחת פרויקטי ה-IT ?
· הגדרה זיהוי וניהול של סיכונים הכרוכים במערכות המידע ועמידה בדרישות רגולאטוריות
· הגדרת מדדים וכלי מדידה ברורים ומוגדרים המצביעים על מצב העמידה ביעדים, המשאבים, תהליכי היישום והשירות
הייעוץ מתחיל בבחינה של תהליכי ניהול ה-IT הנקוטים בשלב זה, המהווה בסיס אשר מולו יבחנו השיפורים הנדרשים.
ניהול תיק השירותים – Service Portfolio Management
עלויות מערכות המידע מהוות נתח משמעותי מכלל עלויות הארגון ולכן דורשים המנהלים הסבר ברור לגבי "מה יצא להם מזה". כלומר – הסבר כלכלי ועסקי המראה את הערך בו יזכה הארגון כתוצאה מן ההשקעה.
לא פלא, אם כן, כי שמו של התהליך העוסק בהתמודדות עם אתגר זה שאול מן העולם הפיננסי: ניהול תיק השקעות של השירותים ב-IT IT Service Portfolio Management (SPM).
מטרתו של תהליך זה הינה לעזור לארגון לקבל תמונה מלאה על השירותים הקיימים והמתוכננים בו, למיין ולתעדף אותם על סמך מאפיינים שונים כגון ערך אסטרטגי, השפעה על המשאבים, מחיר וכדומה.
תהליך הייעוץ כולל:
· הגדרת מסגרת התהליך: עם תחילת התהליך יש להגדיר את מסגרתו: מי משתתף בו, מה המנגנונים לביצועו, מה המשאבים הנדרשים, לוח הזמנים והתוצרים של שלב זה בפרט וכלל התהליך.
· בניית מודל השירות: חשוב לאפיין את השירותים ולאסוף עליהם נתונים בצורה המתאימה לצרכי אלביט, כך שתוכל לשמש ככלי לקבלת החלטות. אפיון כולל נתונים בהיבטים שונים כגון:
· מה אופי ההשקעה: שמירה על רמת השירות הנוכחית, הגדלת נתח השוק או הוספת שירותים נוספים.
· מה סוג השירות: שירות תשתיתי (כולל אנשים, טכנולוגיות ותהליכים), שירות רוחבי, או שירות המיועד לתמיכה בתהליך עסקי מסוים
· קבוצת השירות: ניתן לחלק את השירותים למספר קבוצות כגון שירותים ארוכים ועתירי ממון, שירותים קצרים וזולים, שירותים תשתיתיים.
· מטרת השירות: קישור לאסטרטגיה העסקית אותה משרת שירות זה, כולל הערכה ערך השירות
· הסיכונים העומדים בפני השירות: טכנולוגיים, ארגוניים, פיננסיים, אסטרטגיים.
· המשאבים הנדרשים לשירות
· אורך חיי השירות
· הגדרת תהליך הדרישה: כיצד דורשים הרחבה או תוספת של שירותים, מה תהליך האישור והניתוח של הדרישה?
· בחינה ובחירה של תשתית טכנולוגית תומכת: בשוק מתחילים להתפתח פתרונות טכנולוגיים שמטרתם לתמוך בתהליך זה.
· הגדרת מדדים לבחינת התהליך.
ניהול סיכונים תפעוליים וסיכוני מערכות מידע
SECOZ מסייעת ללקוחותיה לפתח מתודולוגיה לניהול סיכונים תפעוליים וסיכוני מערכות מדע.
מתודולוגיה זו מתבססת על תקנים עולמיים שונים כגון COSO, COBiT 4.1, NIST SP800-30 ו-BS 7799:3. יחד עם זאת אין ארגון הדומה לחברו. לכל ארגון יעדים עסקיים, תרבות ארגונית, מבנה ופוליטיקה ארגונית ייחודיים. בשל כך אנו מתאימים את המתודולוגיה לסביבת הלקוח.
בין היתר קיימת התייחסות לתהליכים ולנושאים הבאים:
- מקומו של תהליך ניהול הסיכונים בארגון
- מיפוי נכסי המידע
- זיהוי מאפייני הסיכון (איומים וחולשות), הערכה וכימות הסיכונים
- אסטרטגיית טיפול, מעקב, בקרה ואמצעי מדידה
הגדרה ויישום של מתודולוגיה יעילה לניהול סיכונים בארגון תבטיח:
- התמקדות בטיפול בסיכונים המאיימים על עסקי הארגון
- יכולת קביעה של סדר הפעולות והטיפול באבטחת המידע בארגון
- תקשורת טובה יותר עם מנהלי הארגון הדוברים בשפה העסקית ולא בשפה הטכנולוגית
- ניהול יעיל של תקציבי אבטחת המידע בהתאמה לפרופיל הסיכון
- יכולת דיווח קבועה ולפי דרישה של רמת הסיכון בארגון ככלי עזר חשוב להנהלתו וכפי שנדרש ברגולאציות השונות
ניהול שינויים
מטרתו של תהליך ניהול השינויים הינה לספק מענה לשינויים הנדרשים על ידי הלקוחות העסקיים של ה-IT תוך התאמה לאסטרטגיה של הארגון, הפחתה של בעיות בפתרון המסופק והצורך לבצע את התיקון בשנית.
על מנת להגיב בצורה מספקת לדרישות השינוי ולהפיק את התועלת הנדרשת יש להגדיר תהליך עקבי הכולל הערכת הסיכון הכרוך בשינוי, השפעת השינוי על כלל התהליכים, המשאבים הנדרשים לשינוי, תהליך אישור השינוי והתועלת העסקית הנובעת ממנו.
מטרות תהליך ניהול השינויים הינן:
· פיתוח שיטות ונהלים אחידים אשר ייעלו את הטיפול בדרישות לשינוי
· תיעוד מסודר של כל אחד מן השינויים
· החלטה על ביצוע השינויים לאחר בחינת הסיכונים הכרוכים בהם
אנו מסייעים לארגונים בתהליך זה בהיבטים הבאים:
· בחינת תהליך ניהול השינויים הקיים בארגון, התרבות הארגונית, הדרישות העסקיות והחוקיות.
· הגדרת המשתתפים בתהליך והצורך במערך האישורים.
· בחינת התהליך בהיבטי הרשאות והפרדת רשויות (Segregation Of Duties)
· הגדרת המתודולוגיה , המדיניות והנהלים לביצוע שינויים במערכות ה-IT
· הגדרת תהליך וכלי הבקרה ומעקב אחר בקשות שינוי (RFC).
· הגדרת מדדים לבחינת התהליך.
ניהול אירועיםIncident Management - / שליטה ובקרה עסקיים
ניהול אירועים מספק את היכולת לזהות אירועים מבעוד מועד, להבין את משמעותם ולבחור את פעולת הבקרה הנדרשת כדי לצמצם את הנזק הנגרם כתוצאה מהם.
קיימות שלוש רמות של טיפול באירועים:
· Event Management – זיהוי האירועים והבנת משמעותו
· Incident Management – נקיטת צעדים להפחתת הנזק שנגרם ממנו
· Problem Management – ניתוח מעמיק של הגורמים לאירוע תוך מטרה למנוע אירוע כז בעתיד
יישום תהליך זה כרוך בתהליכי ניהול, קבלת החלטות ויישום טכנולוגיה תומכת.
בין היישומים של תפישה תהליכית זו ניתן למצוא פתרונות שליטה ובקרה עסקיים ואת עולם ניטור וניהול אירועי אבטחת מידע.
אנו מסייעים לארגונים בתהליך זה בהיבטים הבאים:
· בחינת תהליך ניהול האירועים הקיים בארגון.
· הגדרת המתודולוגיה, המדיניות, הנהלים והכלים לביצוע התהליך.
· בחינת, בחירה וליווי יישום טכנולוגיות המסייעות לתהליך.
· שילוב תהליכי ניהול הקונפיגורציה, וניהול האירועים (בכל שלוש הרמות).
· הגדרת מדדים לבחינת התהליך.
ניהול גישה (Identity Management)
ל-SECOZ ניסיון רב בניתוח הצרכים, בחירה וניהול פרויקטים טכנולוגיים חוצי ארגון התומכים בניהול אבטחת מידע תוך התמקדות במערכת ניהול זהויות (Identity Management)
· ניהול זהויות הינו תחום העוסק בפתרונות ממוכנים לניהול מידע על משתמשים ומבקר את גישתם למשאבי הארגון. מטרת התחום הינה לשפר את יעילות התפעול ואת רמת האבטחה תוך צמצום העלויות הכרוכות בניהול משתמשים, זהויות והרשאות הגישה.
אנו מציעים ליווי לאורך כל מחזור החיים של הפרויקט בתחומים אלו:
· ניתוח הדרישות הארגוניות, תהליכיו, עסקיות וטכנולוגיות של הפתרון
· הגדרת הצרכים הטכנולוגיים, ניתוח מעני ספקים והגשת המלצות
· ארכיטקטורה כללית של הפיתרון
· ניהול פרויקט היישום תוך וידוא כי היישום תואם את הצרכים
