אירועים קרובים

המפגש הבא קרוב מתמיד - פרטים בקרוב...

אירועים קודמים

מפגש הועדה המקצועית בנושא סיכוני קוד פתוח בעידן הבינה המלאכותית (ינואר, 2026)

ביום ראשון 25.01.2026 התקיים מפגש נוסף של פורום הוועדה המקצועית, בנושא סיכוני קוד פתוח בעידן הבינה המלאכותית.

ניהול סיכוני קוד פתוח מהווה אחד הנדבכים החשובים בחוסן הארגוני, שכן רכיבי קוד פתוח מהווים כיום את התשתית למרבית המערכות העסקיות וחשיפה לא מבוקרת בהם עלולה להוביל לסיכונים רוחביים משמעותיים.

טכנולוגית הבינה המלאכותית (ה-AI), אשר השתלבה בתהליכי הפיתוח הארגוניים והרחיבה את החשיפה הארגונית, מהווה נדבך נוסף לעולם ניהול סיכוני הקוד הפתוח.על רקע זה,התכנסנו במסגרת פעילות הועדה המקצועית לדון בנושא סיכוני קוד פתוח בעידן הבינה המלאכותית.

במסגרת המפגש העביר צביקה רונן, CTO בחברת FOSSAware וחבר ותיק של הוועדה, הרצאה מרתקת וחשובה. ההרצאה התמקדה בווקטורי הסיכון השונים – האבטחתי, המשפטי והתפעולי, בקשר הישיר בין בינה מלאכותית לקוד פתוח, וכן להיבטי ניהול שרשרת אספקת התוכנה בהקשר לקוד פתוח.

במהלך המפגש נדונו הבקרות שעל הארגון לדרוש מספקי התוכנה שלו, כגון ה-SBOM(Software Bill of Material), לצד הבדיקות שעל הביקורת ליישם בהקשר זה. בנוסף,הוצג תפקידו של ה-OSPO (Open Source Program Office) הכולל הגדרת מדיניות, נהלים, כלים, בקרות והדרכות, וכן אירועים אשר נבעו מניהול לקוי של הקוד הפתוח ופגעו בפעילות הארגונית.

אנו מודים לצביקה רונן על תרומתו המקצועית ועל ההרצאה המרתקת ,למיכל שיריון אחראית ביקורת מערכות מידע בקבוצת הבינלאומי על האירוח הנפלא, ולאירה חפץ מזכירת האיגוד על הסיוע בארגון המפגש, וכמובן לכל מי שהגיע , השתתף ותרם לדיון .

נייר עמדה - תפקיד הביקורת הפנימית באירוע סייבר  (נובמבר, 2025):

סיכון סייבר הפך בעשור האחרון לאחד הסיכונים המשמעותיים ביותר והמרכזיים ביותר בארגונים, ואף מדורג דרך קבע בראש סקרי הסיכונים הגלובליים. ניהול סיכון זה נחשב למאתגר ומורכב, במיוחד לאור תחכום מתקפות הסייבר והשילוב של טכנולוגיה יחד עם הנדסת תודעה (Social Engineering). בתוך סביבת סיכון דינמית זו, תפקיד הביקורת הפנימית השתנה והתרחב.

בחודש ספטמבר קיימה הוועדה המקצועית מפגש שולחנות עגולים בנושא: תפקיד הביקורת בעת אירוע סייבר, במהלכו הוחלט על כתיבת 'נייר עמדה' בנושא.

המסמך נכתב על ידי חברי פורום הועדה המקצועית, ISACA ישראל - בר וויס סלהוב, יו"ר הוועדה,  דר' אלון כהן, ברק ג'אן וסמדר דוברת.

קבצים מקושרים:

נייר עמדה-תפקיד הביקורת הפנימית באירוע סייבר

שולחן עגול בנושא תפקיד הביקורת בעת אירוע סייבר, על פי נב"ת 364 (ספטמבר, 2025)

נב"ת 364 בנושא סיכוני טכנולוגית המידע, אבטחת מידע והגנת הסייבר, העתיד להיכנס לתוקף במאי 2026 מגדיר מספר דרישות חדשות מיחידת הביקורת הפנימית, ביניהם הגדרת אופן מעורבותה של יחידת הביקורת בזמן אמת בתהליך לניהול אירועים, ביניהם גם אירועי סייבר.

רגע לפני תחילת השנה החדשה וחופשת החגים נפגשנו לדון בפורום הועדה המקצועית על תפקיד הביקורת באירוע סייבר. במפגש אירחנו את נדב עלה, בעל ניסיון רב בעבודה מול גופי ביקורת בחברות רבות ומגוונות וכיום יועץ עצמאי בתחום הסייבר המתמחה בתרגול הנהלות ודירקטוריונים כהכנה להתמודדות עם אירועי סייבר. נדב שיתף מנקודת מבטו לגבי מהות אירוע סייבר ותפקיד הביקורת באירועי סייבר, בדגש על האתגר בין שמירה על 'מעורבות בזמן אמת' לבין הצורך בשמירה על עצמאות ביקורתית. כמו כן, הומלץ לבחון אימוץ גישת "איפכא מסתברא" שמוכרת מתחום הביטחון עבור אירועי סייבר. בנוסף, הוצגו פרקטיקות מומלצות לביקורת פנימית בנושא סייבר, כגון השתתפות בתרגילים, תיעוד אירועים, וקביעת מדדי ביצוע מרכזיים (KRI).

במסגרת המפגש דנו בשאלות הבאות:

📍 איך יכולה הביקורת לחזק את חוסן הארגון ולמנוע משברים עוד לפני שהם מתרחשים?
📍 מהם האתגרים והסיכונים בנטילת אחריות פעילה באירועי סייבר? האם זה עלול לפגוע באובייקטיביות של הביקורת?
📍 אילו תפקידים יכולים המבקרים למלא, כגון הובלת צוות "איפכא מסתברא",  ומהם היתרונות, החסרונות והסיכונים בכל גישה?

בעקבות הדיון הוחלט כי הוועדה המקצועית תגבש נייר עמדה בנושא.

תודה לנדב עלה על השתתפותו בוועדה, תודה לדרור בר משה על האירוח, לאירה חפץ מזכירת האיגוד על הסיוע בארגון המפגש ולכל מי שהגיע , השתתף ותרם לדיון במפגש.

קבצים מקושרים:

תפקיד הביקורת בעת אירוע סייבר - נדב עלה

מדידת ערך בביקורת טכנולוגית (יוני, 2025):

דנו בשאלות מהותיות על מיקוד תהליכי ביקורת להשאת ערך אמיתי לארגון, בחינת מדדי ביצוע, ושילוב מתודולוגיית OKR בעבודת הביקורת.
במסגרת המפגש שוחחנו על שאלות מהותיות כגון: כיצד ממקדים את תהליך הביקורת כדי להשיא ערך אמיתי לארגון? אילו מדדים יכולים לסייע לנו למדוד את הערך הזה? האם נכון לשלב את נושא הטיפול בממצאי הביקורת כחלק ממדדי היחידה (סוגיה שקיבלה התייחסות בתקנים המקצועיים החדשים)?
במסגרת המפגש הציג אלדד ארבל, בנק הפועלים, את התהליך שהם מובילים להפיכת הביקורת לגוף יוצר ערך. בנוסף, ד"ר נועם קוריאט, בנק דיסקונט, הציג את אופן היישום של מתודולוגיית ה-OKR בעבודת הביקורת וכיצד זו מסייעת להם בהשגת היעדים שהגדירו לעצמם.  דנו בתקנים החדשים, המתייחסים לנושא הגדרת המדדים ליחידת ביקורת ואף נותנים מספר דוגמאות למדדים אפשריים (דוגמאות אלו ניתן לראות במצגת המצורפת) שיחידות ביקורת יכולות לשקול לשלב במדדים שהם מגדירים.

קבצים מקושרים:

מדדים להערכת ביצוע יחידת הביקורת הפנימית

מוכנים לעתיד: מפרטי ביקורת מבוססי OKR

AI וחדשנות בביקורת (פברואר, 2025):

במסגרת המפגש שוחחנו בנוגע להיערכות הביקורת למהפכת ה- AI (שכבר כאן) וכיצד ניתן לשלב את הטכנולוגיה בתהליכי העבודה של הביקורת וליהנות מהיתרונות שלה. דיברנו על סיכונים וגם ראינו דוגמאות לשימושים בטכנולוגיה בתהליכי הביקורת: בתהליכי סקירת חומרים, תיעוד ויצירת תובנות, כתיבת ממצאים וכד'. אחת התובנות המרכזיות שעלו זה ש- AI אינו תחליף למומחיות האנושית אלא כלי משלים ולכן צריך להסתכל בעין ביקורתית  על התוצאות המתקבלות, ולמצוא את האיזון בין השימוש הנכון בטכנולוגיה לבין שיקול דעת אנושי.

סיכוני שרשרת האספקה (נובמבר, 2024):

התכנסנו לשיח על אחד הסיכונים המשמעותיים ביותר לארגונים כיום, ושיתפנו ידע ותובנות בנושא, כולל סיור ב-SOC מנוהל המנטר פעילות של ספקים. במסגרת המפגש ד”ר נועם קוריאט, בנק דיסקונט, הציג תובנות וסוגיות בנושא סיכוני מיקור חוץ ביחידות  טכנולוגיות. שרית קרני, משרד מבקר המדינה, הציגה תובנות מביקורת רוחב בנושא סיכון שרשרת האספקה. 
לסיום, ערכנו סיור במוקד  ה-SOC המנוהל של  חברת הייעוץ BDO בליווי של אופיר זילביגר, מנהל מרכז הגנת הסייבר  של חברת הייעוץ BDO.

קבצים מקושרים:

דוח מבקר המדינה - ניהול סיכוני סייבר מצד שרשרת האספקה בתחום התקשוב

ד''ר נועם קוריאט - סוגיות מיקור חוץ בהיבטי טכנולוגיה בראיית הביקורת

אנחנו מזמינים  אתכם להצטרף אלינו, להיות חלק מקהילה מובילה ולהשפיע על הצלחת הארגון שלכם. 

לפרטים נוספים ניתן לפנות במייל לכתובת: isaca@isaca.org.il