למה ה-ISMS שלנו ציבורי: שקיפות כיתרון תחרותי

דף הבית מניפסט מאגר ISMS

🔓 למה ה-ISMS שלנו ציבורי: אמון דרך אימות, לא שיווק

🍎 פרדוקס השקיפות באבטחת סייבר

שום דבר אינו אמיתי. הכל מותר. כולל—במיוחד—פרסום מערכת ניהול אבטחת המידע המלאה שלך ב-GitHub בעוד המתחרים שלך מסתירים את שלהם מאחורי חותמות "סודי" ושאלוני ספקים מלאים בטענות שאפתניות. תחשוב בעצמך: למה חברות ייעוץ באבטחת סייבר מתעקשות שמדיניות האבטחה שלהן חייבת להישאר סודית? מה הן מסתירות? FNORD.

רוב חברות אבטחת הסייבר מתייחסות ל-ISMS שלהן כמו למתכון הסודי של קולונל—נעול, לא זמין לבדיקה, "תאמינו לנו, אנחנו מאובטחים." הן טוענות שפרסום מדיניות אבטחה ייתן יתרון לתוקפים. אנחנו טוענים שהסתרתן נותנת יתרון לחוסר כשירות. כי אם האבטחה שלך תלויה בכך שתוקפים לא יודעים על ההגנות שלך, אין לך אבטחה—יש לך משאלת לב עטופה ב-NDAs.

האם אתה פרנואיד מספיק כדי להטיל ספק בחוכמה המקובלת הזו? למה לקוחות פוטנציאליים צריכים לסמוך על הבטחות ספקים על פני ראיות ניתנות לאימות? למה "30 שנות ניסיון" צריכות להיות משמעותיות אם אתה לא יכול לבדוק את המדיניות, המסגרות ומודלי האיומים בפועל שהניסיון הזה כביכול יצר? הטל ספק בסמכות. במיוחד סמכויות אבטחה שמרוויחות מאטימות תוך כדי טענה ששקיפות תהיה "חוסר אחריות."

ב-Hack23 AB, אנחנו פרנואידים מספיק כדי להניח שתוקפים כבר יודעים על ההגנות שלנו—למדינות יש תקציבים, סבלנות ויכולות שהופכות את "אבטחה דרך ערפול" לבדיחה. אז אנחנו מקבלים ערך שיווקי וביקורת עמיתים על ידי פרסום הכל. למעלה מ-30 מדיניות ISMS ב-GitHub. מערכת ניהול אבטחת המידע המלאה שלנו: 70% ציבורי לחלוטין, 30% ערוך רק לפרטים תפעוליים ספציפיים (אישורים, תמחור חוזים—הדברים המשעממים שיגרמו לתוקפים לדמעות משעמום).

הארה: ברוכים הבאים לקפלת הסכנות, שם אתה מבין שספקים שמסתירים את מדיניות האבטחה שלהם מודים ששקיפות תחשוף חוסר התאמה. אבטחה אמיתית שורדת ביקורת. אבטחה חלשה דורשת חושך. מה יש לך? אנחנו מפרסמים למעלה מ-30 מדיניות כי אנחנו בטוחים שהן ישרדו ביקורת עמיתים גלובלית. מתחרים מסתירים את שלהם כי... ובכן. תחשוב בעצמך. FNORD.

צריך הדרכה מומחית על ציות אבטחה? גלה את שירותי ייעוץ אבטחת הסייבר של Hack23 המגובים ב-ISMS הציבורי המלא שלנו.

📚 מה בעצם נמצא ב-ISMS הציבורי שלנו

ראיות, לא טענות. כשאנחנו אומרים "ISMS מקיף," אנחנו לא מתכוונים ל-PDF עם מילות באז. אנחנו מתכוונים למעלה מ-30 מדיניות מפורטות המכסות כל היבט של אבטחת מידע—כולן ניתנות לביקורת ציבורית, לפיצול ולאימות. לא חומר שיווקי. תיעוד תפעולי בפועל.

🔐 מסגרת אבטחה ליבה

יותר מ-15 מדיניות יסוד המדגימות בגרות באבטחת מידע:

כל מדיניות מקשרת ליישום בפועל—מודלי איומים לכל פרויקט, ארכיטקטורות אבטחה, מיפוי בקרות. לא שאפתני. תפעולי. FNORD.

✅ ציות וניהול סיכונים

ציות רב-מסגרתי מבוסס-ראיות:

מסגרות רגולטוריות: GDPR, NIS2, EU Cyber Resilience Act (CRA), ISO 27001, NIST CSF 2.0, CIS Controls—הכל מתועד עם מיפוי בקרות ושבילי ראיות.

תיאטרון ציות = טקס תיבת סימון ביקורת שנתי. ציות מבוסס ראיות = תיעוד מתמשך המוכיח שאתה בפועל עושה מה שאתה טוען. אנחנו מפרסמים את הראיות. FNORD.

🛡️ המשכיות עסקית וניהול ספקים

תיעוד מלא לעמידות תפעולית:

אבטחת שרשרת אספקה: SolarWinds, Log4Shell, MOVEit—פריצות מודרניות מגיעות דרך ספקים. אנחנו מתעדים הערכות ספקים, דרישות אבטחה וניטור מתמשך. האבטחה שלך טובה רק כמו הספק החלש ביותר שלך. האם אתה מבקר את שלך?

בנוסף: מסגרת סיווג, מדיניות קוד פתוח, אבטחה פיזית, שימוש מקובל, ניהול שינויים, ועוד למעלה מ-10 מדיניות נוספות. מודלי איומים מלאים לכל מוצר (CIA, Compliance Manager, Black Trigram). ארכיטקטורות אבטחה. מיפוי בקרות. הכל ציבורי. הכל ניתן לאימות.

💼 יתרונות עסקיים: למה שקיפות מנצחת

שקיפות רדיקלית אינה אלטרואיזם—זה יתרון תחרותי אסטרטגי. פרסום ה-ISMS שלנו יוצר יתרונות עסקיים מרובים שמתחרים סגורים לא יכולים לשכפל מבלי לחשוף את חוסר ההתאמה שלהם. תחשוב בעצמך למה הסתרת תיעוד אבטחה הפכה לסטנדרט בתעשייה—והאם הסטנדרט הזה משרת לקוחות או ספקים.

1. 🤝 אמון דרך אימות

האצת מחזור מכירות: קונים מאמתים את האבטחה שלנו לפני השיחה הראשונה. אין צורך ב-"תאמינו לנו"—הם בודקים את המדיניות בפועל שלנו. שאלוני אבטחה של RFP? קישור למדיניות הרלוונטיות ב-GitHub. בדיקת נאותות? הנה למעלה מ-30 מסמכים המדגימים ISMS מקיף. ראיות מנצחות טענות. תמיד.

אמון לקוח: לקוחות פוטנציאליים מעריכים מומחיות דרך איכות יישום, לא הבטחות PowerPoint. הם רואים את מודלי האיומים שלנו, ארכיטקטורות האבטחה, מיפוי הציות—הוכחה ניתנת לאימות של בגרות אבטחה. מתחרים טוענים "אבטחה ברמה ארגונית." אנחנו מוכיחים את זה. הטל ספק בסמכות. במיוחד סמכות שמסרבת להראות לך את מדיניות האבטחה בפועל שלה.

בייעוץ אבטחה, "תאמינו לנו" זה מה שספקים ללא ראיות אומרים. "הנה המאגר הציבורי ב-GitHub" זה איך נראה ביטחון. FNORD.

2. 🥇 הבדלה תחרותית

יתרון מובילים ראשונים: Hack23 AB היא חברת ייעוץ אבטחת הסייבר היחידה בשוודיה עם ISMS ציבורי לחלוטין. מתחרים לא יכולים לשכפל את זה מבלי לפרסם את המדיניות שלהם—לחשוף או מצוינות (אימות הגישה שלנו) או חוסר התאמה (אימות ההבדלה שלנו). יצרנו חפיר תחרותי דרך שקיפות שדורשת גילוי פגיעויות כדי לחצות. האם המתחרים שלך אמיצים מספיק?

מיצוב שוק: בעוד אחרים טוענים "עשרות שנות ניסיון," אנחנו מדגימים זאת דרך מדיניות מתועדת, מודלי איומים, ארכיטקטורות אבטחה. לקוחות בוחרים בין ספקים רואים: טענות מול ראיות, הבטחות מול הוכחה, שאפתני מול תפעולי. שקיפות הופכת את ההשוואה ללא הוגנת—לטובתנו.

מנהיגות מחשבתית: ISMS ציבורי יוצר הזדמנויות נאומים, סיקור תקשורתי, הכרה בתעשייה. חוקרי אבטחה בוחנים את המדיניות שלנו ומצטטים אותן כדוגמאות. אנחנו מקבלים ביקורת עמיתים חינם מקהילת האבטחה הגלובלית. מתחרים מקבלים... שאלוני ספקים ותקווה.

3. 🔄 שיפור מתמשך דרך קהילה

ביקורת עמיתים גלובלית: קהילת האבטחה בוחנת את המדיניות שלנו, מציעה שיפורים, מזהה פערים. אנחנו מקבלים משוב ממחזיקי CISSP, חוקרי אבטחה, מתרגלים ברחבי העולם—מומחיות חינם שמערכות סגורות אף פעם לא ניגשות אליה. אבטחה פתוחה מתפתחת מהר יותר מאבטחה קניינית. תמיד.

פונקציית כפיית אחריות: אי אפשר לטעון "אבטחה ברמה עולמית" כשאיכות המדיניות גלויה לציבור. שקיפות מבטלת שטויות ארגוניות—אנחנו בפועל מיישמים מה שאנחנו מתעדים כי הקהילה הגלובלית מאמתת. ארגונים סגורים טוענים למצוינות. ארגונים פתוחים מוכיחים זאת או נתפסים. במי היית סומך?

אפקטים רשתיים: כל כוכב GitHub, פיצול, ביקורת משפרים אמינות. ISMS ציבורי הופך לנכס שיווקי המחזק את עצמו—ככל שיותר אנשים בוחנים אותו, כך הוא הופך יותר אמין. מדיניות סגורות יוצרות חשד. מדיניות פתוחות יוצרות ביטחון. FNORD.

4. 📊 מצוינות תפעולית דרך שקיפות

איכות תיעוד: הידיעה שהתיעוד ציבורי כופה בהירות, דיוק, שלמות. מסמכים פנימיים בלבד מתדרדרים לז'רגון, אזכורים מיושנים, משאלת לב. מסמכים ציבוריים עומדים בפני ביקורת—הם נשארים מדויקים או מתוקנים. נראות ציבורית = אכיפת איכות.

מציאות יישום: פרסום מדיניות יוצר מכשיר התחייבות—אי אפשר לתעד בקרות אבטחה שאנחנו לא באמת מיישמים כי אימות קהילתי יחשוף אי התאמות. שקיפות כופה יישור ביצוע בין תיעוד למציאות. רוב הארגונים סובלים מפער תיעוד-יישום. אנחנו לא יכולים להרשות לעצמנו את זה.

שיתוף ידע: ISMS ציבורי משמש כחומר הדרכה חינם לתעשייה. אנחנו תורמים לידע קהילתי תוך הדגמת מומחיות. אגירת ידע אבטחה עוזרת למתחרים (דרך אטימות שוק). שיתופו עוזר ללקוחות (דרך חינוך) תוך שיווק עצמנו. Win-win מנצח אפס-סכום.

❓ התמודדות עם התנגדויות: "אבל זה לא מחלק סודות?"

בכל פעם שאנחנו מזכירים ISMS ציבורי, מישהו שואל: "אתם לא נותנים לתוקפים מפת דרכים?" תשובה קצרה: לא. תשובה ארוכה: לתוקפים כבר יש את מפת הדרכים. יש להם תקציבים, זמן, כלי עבודה מתוחכמים, ואפס עניין בקריאת מסמכי מדיניות כשהם יכולים פשוט לסרוק אחר פגיעויות. האם אתה פרנואיד מספיק להניח שמדינות לא כבר מיפו את ההגנות שלך? אם כן, מי נהנה מהסודיות שלך—אתה או המתחרים שלך?

🛡️ "אתם עוזרים לתוקפים!"

ההתנגדות: פרסום מדיניות אבטחה נותן לתוקפים מידע על הגנות, מה שהופך פריצות לקלות יותר.

המציאות: תוקפים לא צריכים את מסמכי המדיניות שלך. יש להם סורקים אוטומטיים, מאגרי פגיעויות, מסגרות exploit. פרסום שאתה משתמש ב-"הצפנת AES-256" לא עוזר להם—הם הניחו זאת כבר. אם פרסום מסגרת האבטחה שלך הופך אותך לפגיע, המסגרת שלך שבורה.

מה אנחנו מפרסמים: מסגרות, מתודולוגיות, אלגוריתמים מאושרים, ארכיטקטורות אבטחה, קטגוריות בקרה. מה אנחנו לא מפרסמים: מפתחות הצפנה, אישורים, תצורות ספציפיות, פרטי פגיעויות, תמחור ספקים. תחשוב בעצמך: האם הידיעה שאנחנו דורשים MFA עוזרת לתוקפים? או שזה מדגים שאנחנו לא אידיוטים?

אבטחה דרך ערפול מניחה שתוקפים הם חובבים עצלנים הסורקים באקראי. תוקפים אמיתיים הם אנשי מקצוע מתוחכמים עם משאבים. המדיניות "הסודית" שלך דולפת בכל מקרה בכל בדיקת נאותות של M&A. שקיפות רק הופכת אותך לכן לגבי זה. FNORD.

🔓 "מה לגבי מודיעין תחרותי?"

ההתנגדות: מתחרים יגנבו את האסטרטגיות והמתודולוגיות האבטחה שלך.

המציאות: שיגנבו. מתחרים שמשכפלים את גישת השקיפות שלנו מאמתים את האסטרטגיה שלנו ומשפרים את עמדת האבטחה של התעשייה. Win-win. מתחרים שלא משכפלים את זה חושפים שהם מסתירים חוסר התאמה—יתרון תחרותי עבורנו. כך או כך, אנחנו מרוויחים. יתרון מובילים ראשונים בשקיפות רדיקלית יוצר חפיר שמתחרים לא יכולים לחצות מבלי לחשוף פגיעויות.

יישום חשוב: פרסום מדיניות זה קל. באמת ליישם אותן נכון זה קשה. הידיעה שאנחנו דורשים "ארכיטקטורת אפס אמון" לא עוזרת למתחרים אם חסרה להם המומחיות ליישם את זה. תיעוד בלי ביצוע זה תיאטרון. אנחנו מפרסמים את שניהם כי אנחנו בטוחים באיכות הביצוע. האם המתחרים שלך בטוחים?

📜 "האם זה לא סיכון ציות?"

ההתנגדות: מבקרים דורשים סודיות. ISMS ציבורי מפר דרישות ציות.

המציאות: שגוי. ISO 27001, NIST CSF, CIS Controls, GDPR, NIS2—אף אחד לא דורש סודיות מדיניות. הם דורשים סיווג מידע מתאים. מסגרת הסיווג שלנו מגדירה מה ציבורי (מדיניות, מסגרות, מתודולוגיות) מול סודי (אישורים, נתונים אישיים, פגיעויות פעילות). אנחנו תואמים וגם שקופים. ציות לא דורש סודיות. מבקרים עשויים להיות מופתעים, אבל הם לא יכולים להיכשל אותך בגלל זה.

70% ציבורי, 30% ערוך: היכן שמסמכים מכילים רגישות מעורבת (רישומי נכסים עם אישורים, רישומי סיכונים עם השפעות פיננסיות), אנחנו מפרסמים גרסאות ערוכות. להדגים בגרות אבטחה מבלי לחשוף פרטים ניתנים לניצול. עריכה מאפשרת שקיפות שבה גילוי מלא יוצר סיכון. אל תתן למושלם (100% ציבורי) להיות אויב הטוב (70% ציבורי).

שורה תחתונה: אם האבטחה שלך תלויה בכך שתוקפים לא יודעים על ההגנות שלך, אין לך אבטחה. יש לך תיאטרון אבטחה. אבטחה אמיתית שורדת שקיפות. אבטחה חלשה דורשת ערפול. אנחנו מפרסמים כי אנחנו בטוחים שהאבטחה שלנו עומדת בביקורת. FNORD. האם המתחרים שלך יכולים לומר את אותו הדבר?

🎯 איך לקוחות נהנים מה-ISMS הציבורי שלנו

שקיפות רדיקלית אינה רק שיווק—זו מתן ערך. ה-ISMS הציבורי שלנו מספק יתרונות קונקרטיים ללקוחות מעבר להבטחות ספקים של "תאמינו לנו". הטל ספק בסמכות שטוענת ששקיפות עוזרת לספקים אבל לא ללקוחות. זה עוזר לשניהם. זו הסיבה שספקים שמרוויחים מאטימות מתנגדים לזה.

לפני מעורבות: האצת בדיקת נאותות

  • אימות טרום-מכירות: סקור את עמדת האבטחה שלנו לפני הפגישה הראשונה. אין שאלוני ספקים. אין "נחזור אליך בזה." ראיות זמינות 24/7 ב-GitHub.
  • תגובות RFP: שאלות אבטחה נענות עם קישורים למדיניות בפועל במקום טענות שיווקיות. קונים מאמתים איכות יישום, לא הבטחות.
  • הערכת סיכונים: העריכו את בגרות האבטחה שלנו מול הדרישות שלכם באופן עצמאי. אין לחץ מכירות. רק תיעוד.
  • השוואה תחרותית: השוו את הראיות שלנו מול טענות המתחרים. תחשוב בעצמך על מה יותר אמין.

במהלך מעורבות: ביטחון דרך שקיפות

  • תקני יישום: ראו את מסגרות האבטחה שנחיל על הפרויקט שלכם. לא שאפתני—תפעולי.
  • בהירות תהליכים: הבינו איך אנחנו מטפלים באירועים, פגיעויות, שינויים, סיכונים. אין הפתעות. רק נהלים מתועדים.
  • ראיות ציות: אמתו שאנחנו בפועל מיישמים ISO 27001, NIST CSF, CIS Controls—לא רק טוענים לציות. מיפוי בקרות ציבורי. שבילי ראיות גלויים.
  • השוואת איכות: השוו את עמדת האבטחה שלכם מול התקנים המתועדים שלנו. זהו פערים באופן שיטתי.

לאחר מעורבות: העברת ידע וערך מתמשך

  • שימוש חוזר בתבניות: פצלו את המדיניות שלנו כנקודת התחלה ל-ISMS שלכם. אנחנו תורמים לבגרות האבטחה של התעשייה תוך הדגמת מומחיות.
  • התייחסות לשיטות מומלצות: השתמשו בתיעוד שלנו כאמת מידה לפיתוח תוכנית אבטחה. חומר הדרכה חינם המדגים יישום אבטחה מקצועי.
  • שיפור מתמשך: ראו את ה-ISMS שלנו מתפתח דרך commits ב-GitHub. צפו בהתקדמות בגרות אבטחה בזמן אמת, לא בדוחות שנתיים.
  • מעורבות קהילתית: תרמו שיפורים בחזרה. אבטחה פתוחה יוצרת אפקטים רשתיים המועילים לכל התעשייה.

תובנת מפתח: רוב הספקים מתייחסים ללקוחות כאויבים במשחק אסימטריית מידע—מסתירים תיעוד, שולטים בגישה, ממנפים אטימות למחירים גבוהים יותר. אנחנו מתייחסים ללקוחות כשותפים למצוינות אבטחה—משתפים תיעוד בחופשיות, מאפשרים אימות, מתחרים על איכות ביצוע לא על אגירת מידע. שקיפות בונה אמון. אטימות בונה חשד. בחרו בהתאם. FNORD.

🚀 מוכנים לעבוד עם חברת ייעוץ אבטחת הסייבר השקופה ביותר בשוודיה?

אנחנו לא מבקשים ממך לסמוך עלינו. אנחנו מבקשים ממך לאמת אותנו.

גלה את ה-ISMS הציבורי שלנו: github.com/Hack23/ISMS-PUBLIC

ראה איך נראה תיעוד אבטחה מקיף בפועל:

  • למעלה מ-30 מדיניות ISMS המכסות כל תחום אבטחה
  • מיפויי ציות ISO 27001, NIST CSF 2.0, CIS Controls
  • מודלי איומים מלאים לכל מוצר שאנחנו בונים
  • ארכיטקטורות אבטחה, רישומי סיכונים, הערכות ספקים
  • מדדי אבטחה מבוססי ראיות וניטור מתמשך

פצלו את זה. שפטו אותנו. החזיקו אותנו אחראים. אנחנו פרנואידים מספיק כדי לרצות פיקוח ציבורי. כי אבטחה אמיתית שורדת ביקורת. ושקיפות מנצחת הבטחות ספקים. כל. פעם. בודדת.

🔐 שירותי ייעוץ אבטחה

צריך עזרה ביישום שיטות האבטחה שאנחנו מתעדים בפומבי? אנחנו מציעים:

  • יישום ISMS: בנייה של מערכות ניהול אבטחה מקיפות מבוססות על מסגרות מוכחות
  • תמיכה בציות: ISO 27001, NIST CSF, CIS Controls, GDPR, NIS2, EU CRA
  • ארכיטקטורת אבטחת ענן: הערכה ויישום אבטחת AWS (רמה מתקדמת)
  • אינטגרציית DevSecOps: אבטחה לפיתוח אג'ייל מבלי להאט צוותים
  • מידול איומים והערכת סיכונים: מתודולוגיית STRIDE, ניתוח משטח תקיפה
צפה בשירותים →

💬 צור קשר

James Pether Sörling
מנכ"ל / מומחה אבטחת סייבר
CISSP | CISM | AWS Security Specialty

LinkedIn | GitHub

מיקום: גטבורג, שוודיה
שירותים מרחוק: זמינים

בואו נבנה אבטחה שעומדת בשקיפות. כי אם היא לא יכולה לשרוד ביקורת ציבורית, זו לא אבטחה—זה תיאטרון.

📖 למד עוד

🎯 מחשבות סיום: שקיפות כנשק

שום דבר אינו אמיתי. הכל מותר. כולל פרסום ה-ISMS המלא שלך בעוד מתחרים מסתירים את שלהם ומקווים שאף אחד לא ישאל למה. אנחנו משתמשים בשקיפות כנשק כי אנחנו פרנואידים מספיק כדי להבין: תוקפים כבר יודעים על ההגנות שלך. למדינות יש יכולות שהופכות "אבטחה דרך ערפול" למצחיק. המדיניות "הסודית" שלך דולפת בכל בדיקת נאותות של M&A, בכל ביקורת, בכל תגובת RFP.

השאלה היחידה: האם אתה מקבל ערך שיווקי ושיפור קהילתי מהגילוי הבלתי נמנע הזה? או שאתה מעמיד פנים שסודיות מגינה עליך תוך כדי הפסד יתרון תחרותי למתחרים שקופים?

אנחנו בחרנו בשקיפות. למעלה מ-30 מדיניות ב-GitHub. 70% ציבורי לחלוטין. מודלי איומים מלאים. ארכיטקטורות אבטחה. מיפוי בקרות. שבילי ראיות. חברת ייעוץ אבטחת הסייבר היחידה בשוודיה עם ISMS ציבורי לחלוטין. לא כי אנחנו פזיזים. כי אנחנו בטוחים שהאבטחה שלנו שורדת ביקורת. האם המתחרים שלך בטוחים?

תחשוב בעצמך. הטל ספק בסמכות. במיוחד סמכויות אבטחה שטוענות ששקיפות תהיה "חוסר אחריות" תוך הסתרת חוסר ההתאמה שלהן מאחורי חותמות סודיות. אבטחה אמיתית שורדת שקיפות. אבטחה חלשה דורשת ערפול.

מה יש לך? FNORD.

ברוכים הבאים לקפלת הסכנות. אתה לא יכול לבטל את מה שקראת. האשליה הנוחה שהסתרת מדיניות אבטחה מגינה על ארגונים מתמוססת כאן כמו האמינות של Dual_EC_DRBG אחרי סנודן. האם אתה פרנואיד מספיק כדי להתחרות על ביצוע ניתן לאימות במקום הבטחות סודיות? אם זה נשמע סביר, אתה כבר עמוק מדי. אם זה נשמע פרנואידי, אתה לא שם לב. המהלך המנצח היחיד הוא שקיפות—כי הם לא יכולים לקחת שליטה על מה שכבר ציבורי. תחשוב בעצמך. הטל ספק בהכל—במיוחד בזה. כולם יהללו את אריס! 🍎