סקר פערים באבטחת מידע וסייבר GAP Assessment

כשיש תקן לעמוד בו, רגולציה להיערך אליה, או דרישות לקוח שמגיעות כחלק ממכרז/חוזה – השאלה האמיתית היא לא “האם יש לנו מסמכים”, אלא האם יש לנו יישום מוכח.

סקר פערים (Security Gap Assessment / Information Security Gap Assessment) נותן תשובה מהירה וברורה: מה כבר עומד בדרישות, איפה יש פער, ומה צריך לעשות כדי לסגור אותו בצורה יעילה ומתועדת.

אנחנו באינפוגארד מבצעים סקרי פערים בגישה פרקטית שמחברת בין IT, אבטחת מידע והנהלה. התהליך בנוי כך שתצאו ממנו עם רשימת פערים מתועדפת, תוכנית סגירה ישימה, וסט Evidence שמאפשר להראות מוכנות בביקורת – בלי להפוך את הארגון לפרויקט אינסופי.

מה זה סקר פערים (GAP) ומה ההבדל מסקר סיכונים?

סקר פערים (Cybersecurity Gap Assessment) בודק התאמה ל”מצב יעד” מוגדר: תקן, רגולציה, מדיניות פנים ארגונית או דרישות לקוח. התוצר המרכזי הוא מפת פערים + תוכנית סגירה (מה לשנות, מי אחראי, מה הדחיפות ומה הראיות).

סקר סיכונים ממפה נכסים/איומים/בקרות ומעריך סיכון לפי הסתברות × השפעה כדי לתעדף טיפול לפי סיכון אמיתי. בפועל, הרבה ארגונים משלבים: עושים GAP כדי לעמוד בדרישות יעד, ומשלימים סקר סיכונים כדי לוודא שהתעדוף נכון גם עסקית ותפעולית.

מתי כדאי לבצע סקר פערים?

• לפני ביקורת או הערכת צד שלישי (לקוח, רגולטור, אודיטור).
• לקראת הסמכה או חידוש הסמכה (למשל ISO 27001).
• לקראת SOC 2 (Type I/Type II) ובניית Evidence מסודר.
• כחלק מהיערכות לדרישות פרטיות ואבטחת מידע (למשל תיקון 13, GDPR).
• לפני/אחרי שינוי מהותי: מעבר לענן, הטמעת מערכת חדשה, חיבור ספק משמעותי, מיזוג/רכישה.
• כשיש “תחושת בטן” שהדברים קיימים חלקית – ורוצים להפסיק לנחש.

מה אנחנו בודקים במסגרת סקר Cybersecurity GAP Assessment ?

הבדיקה מותאמת למסגרת היעד (תקן/רגולציה/Policy), אבל לרוב כוללת שילוב של:

• ממשל וניהול (Governance): תפקידים ואחריות, מדיניות ונהלים, בקרות, ניהול חריגים וסיכונים.
• אנשים ותהליכים: מודעות עובדים, תהליכי הרשאות, עבודה עם ספקים, ניהול שינויים, תהליך טיפול באירועים.
• טכנולוגיה ובקרות: הקשחות ותצורות, אבטחת רשת, ניהול זהויות והרשאות (IAM/PAM), גיבוי/שחזור, ניטור ולוגים.
• ענן ו-SaaS: הרשאות, קונפיגורציות, חיבורים חיצוניים, חשיפות “שקטות”, מדיניות גישה ו-MFA.
• ראיות (Evidence): מה קיים כתיעוד, ומה מוכיח יישום בפועל (לוגים, דוחות, תצורות, דגימות, תיעוד תהליכי).

איך אנחנו עובדים (מתודולוגיה בשישה שלבים)

1. הגדרת היקף ומסגרת יעד – מה בודקים, מול מה, ומה נחשב “סגור”.
2. מיפוי דרישות למסגרת בדיקה – צ׳ק-ליסט מותאם + קריטריונים לראיות.
3. ראיונות ממוקדים ואיסוף תיעוד – כדי להבין תהליך “כמו שהוא”.
4. בדיקת יישום בפועל – דגימות, בדיקות תצורה ובחינת Evidence בהתאם להיקף.
5. דירוג ותעדוף פערים – לפי חומרה/השפעה/מאמץ/תלות ארגונית.
6. סדנת ממצאים ותוכנית סגירה – מה עושים קודם, מי אחראי, ומה לוחות הזמנים.

הכול מתבצע במינימום הפרעה לפעילות השוטפת: תיאום מראש, חלוקה לשלבים, וריכוז נקודות המגע מול הארגון.

תוצרי הפרויקט – מה אתם מקבלים בסוף?

• תקציר מנהלים שמסביר מצב, פערים ותעדוף בשפה ניהולית.
• מפת פערים (GAP Matrix) מול הדרישות, כולל סטטוס וראיות.
• תוכנית סגירה אופרטיבית: Quick Wins מול שיפורים מבניים, כולל עדיפויות.
• Risk/Control Mapping לפי הצורך (למשל מיפוי פער → בקרה → Evidence).
• המלצות ישימות עם חלוקת אחריות (RACI) ולוחות זמנים מומלצים.
• אופציונלי: תיקוף סגירה (Re-test) ועדכון Evidence לקראת ביקורת.

התאמה לתקנים ורגולציה – מתי GAP נותן ערך מוסף?

• ISO 27001 – סקר ISO 27001 Gap Assessment
  סקר GAP משמש כבדיקת מוכנות (Readiness): איפה אתם עומדים מול דרישות התקן, מה חסר ליישום בפועל, ואיך סוגרים פערים בצורה שתומכת בביקורת ובהסמכה.
• SOC 2 – סקר SOC 2 Readiness Assessment
  ב-SOC 2 העקרון הוא Scope,  ו-Evidence GAP עוזר להגדיר גבולות, למפות בקרות נדרשות, ולייצר תיעוד וראיות שמקלים על עמידה ב-Type I ומעבר מסודר ל-Type II.
• חוק הגנת הפרטיות ותיקון 13 (ישראל)
  כאשר יש דרישות מחמירות סביב מידע אישי ומאגרים, GAP מסייע להראות הערכת מצב, סגירת פערים ותיעוד, באופן שמפחית חשיפה לאכיפה ומחזק מוכנות לביקורת.
• GDPR
  ה-GDPR מבוסס סיכון ודורש אבטחה מתאימה לרמת הסיכון ותהליכי בדיקה. GAP ממפה פערים מול דרישות רלוונטיות ומסייע לבנות Evidence ולתמוך בתהליכים כמו DPIA כשצריך.

למי זה מתאים ומי צריך סקר פערים?

סקר פערים מתאים לארגונים שמחזיקים מידע רגיש, עובדים עם ספקים או ענן, או נדרשים להציג מוכנות ללקוח/רגולטור/אודיטור.
הוא מתאים גם לפני מכרזים וחוזים, לקראת הסמכה (ISO) או SOC 2, וכן בארגונים שנמצאים בצמיחה ורוצים לוודא שהתהליכים והבקרות באמת פועלות ולא נשענים על הנחות ותאוריה.

סקר פערים הוא כלי עבודה פרקטי למנהלי IT ואבטחת מידע, לצוותי ציות/פרטיות, וגם להנהלה, כדי להפוך דרישות יעד לתוכנית סגירה מדידה.

למה Infoguard?

• גישה פרקטית שמחברת בין דרישות יעד לבין יישום בפועל.
• ניסיון שטח ומומחים שמכירים תקנים, ביקורות ותהליכי סגירה.
• תוצרי עבודה ברורים: תעדוף, תוכנית סגירה, Evidence ותיקוף לפי צורך.
• מינימום הפרעה לארגון וליווי עד שהפערים באמת נסגרים.

שאלות נפוצות

כמה זמן לוקח סקר GAP?
תלוי בהיקף, במספר אתרים/מערכות ובמסגרת היעד. לרוב מתחילים בהגדרת Scope ומבצעים בשלבים כדי לקצר זמן ולקבל ערך מוקדם.

האם אתם גם מתקנים את הפערים?
כן – אפשר להמשיך לליווי סגירה, בניית נהלים/תהליכים, תיקוף תיקונים ואיסוף Evidence לקראת ביקורת.

האם חייבים לבחור תקן?
לא. אפשר לבצע GAP גם מול מדיניות פנימית או דרישות לקוח, ואז לתרגם את זה למסגרת תקנית בהמשך.

האם זה כולל בדיקות טכניות?
בהתאם להיקף: תמיד יש בחינת יישום וראיות, ולעיתים גם דגימות תצורה/בדיקות תומכות כדי לוודא שהדברים עובדים בפועל.

מה ההבדל בין GAP לבין Pen Test?
Pen Test מדמה תקיפה ומאתר חולשות טכניות. GAP בודק מוכנות מול מסגרת יעד, כולל תהליכים, בקרות ותיעוד/ראיות.

נדרשתם לסקר פערים או רוצים להקדים בדיקה למכה?

בואו להבין מהר מה חסר לכם כדי לעמוד בדרישות יעד, בלי להמר על זמן וכסף

דברו איתנו ונגדיר יחד Scope לסקר GAP שמתאים לארגון שלכם.