פיתוח מערכות מידע
במעבדה
פרויקט פיתוחי רחב בתחום הפארמצבטיקה בוצע על בסיס מערכת LabWare.

פרויקט בינה עסקית
במהלך השנה האחרונה בוצע פרוייקט של התאמת סביבת BI למערכת ERP פריוריטי

פרויקט ניתוח תחבורה
חכמה
פרויקט הקמת פלטפורמת ניתוח תחבורה חכמה המורכבת משילוב חמש טכנולוגיות

מחזור חיי פיתוח תוכנה
פרוייקט ניהול מחזור החיים שהסתיים בוצע במוסד פיננסי גדול בישראל.
רגולציה

התמחויות של KDE בניהול פרויקטים ורגולציה

ייצוג החברה בפני המבקרים מטעם משרד רו"ח

ליווי החברה בעמידה בדרישות הרגולטור וסגירת הפערים (מיפוי מוקדי סיכון
בארגון, ביצוע מבדקים לבחינת האפקטיביות של הבקרות הקיימות, ליווי ויעוץ להנהלה בתיקון הליקויים ופערי בקרה) .

מיפוי הפערים מול דרישת הרגולציה בתחומים השונים SOX, ISOX, הוראת הפיקוח. בסוף המיפוי מתקבלת תוכנית עבודה אסטרטגית אשר כוללת את רמת החשיפה לסיכון ודירוג הפערים על פני סולם מדידה.

כתיבת נהלים ומדיניות בנושאים מגוונים (אבטחת מידע, ניהול שינויים, תפעול, קליטת עובדים, ניטור ובקרה ועוד) בהתאם לדרישות הרגולציה.

ניתוח תהליכים חוצי ארגון

ייעוץ בבחירת והטמעת מוצרים משלימים לניהול הרגולציה (פתרונות GRC)

עבודה לפי מתודולוגיות מקובלות כגון CobiTוהיכרות עם Best practice בתחום.


יתרונות העבודה עם KDE

צוות מנוסה ומגוון מתחומי עיסוק שונים (ניתוח מערכת, ראיית חשבון, הנדסת תעו"נ ועוד). הצוות ייעץ בין היתר לחברות הבאות: מנורה מבטחים פנסיה, בנק לאומי, פרטנר ועוד.

לצוות ניסיון בעבודה מול משרדי רו"ח הגדולים במשק .

היכרות מעולה עם דרישות הרגולציה ומעקב אחר התפתחויות ושינויים בדרישות הרגולטור השונים.

אנו מייעצים לחברות מהן הדרישות אותן ישנם חובה ליישם ומה מומלץ ליישום ובכך חוסכים לחברה הוצאת כספיות נכרות.

הפרדה בין עיקר לטפל ובין פערים אשר חייבים לתקן על מנת לעבור את הביקורת לעומת פערים אשר "מומלצים" ולא חייבים לממשם.

אנו מייעצים כיצד יש ליישם טכנולוגית את הדרישות.

אנו מיצגים את הלקוח ב"צד" של הלקוח וחוסכים לו עלויות


*דוגמאות לפעילויות שקידיאי מבצעת בתחום הרגולציה

אנו מייעצים כיצד יש לבנות מערכות אשר מנהלות מחזור חיים של פיתוח מערכת עפ"י דרישות הבקרות כולל ניהול work flow ותיק המערכת.

אנו מעצבים תהליכים באמצעות כתיבת נהלים בנושאי אבטחת מידע, תפעול שוטף בסביבה ארגונית, תהליכי עבודה בארגון.

אנו משמשים רפרנטים של אגף מערכות המידע מול משרד רו"ח המבקר והביקורות והעברתם לרו"ח.

אנו מתעדים מחדש או בנוסף תהליכי ITלקטלוג ה- SOX.

אנו מבצעים הכנה ל- TEST-ים השנתיים שמבצעים משרדי רו"ח )המבקרים החיצונים).






דוגמאות לנקודות מרכזיות בפרוייקט SOX בשלב הפיתוח שיש לתת את הדעת..

פיתוח

החלטה על תהליכי סקופ בקרות ה- SOX, רצוי עוד בשלב ההקמה להגדיר מס´ תהליכים מצומצם .לקידיאי יש את הקטלוגים של הפיתוח, א"מ, תפעול, ELC אשר אושרו כבר ע"י גופי יעוץ כמו EY (ניתן להסתמך על חומר קיים ולחסוך עלויות).

הגדרה נכונה של גודל הפרוייקט יקבע את ניהול מחזור החיים ומכאן נגזרת ההשקעה. שינויים קטנים יוכלו לעבור תהליך מקוצר. לדוגמה :
בגין שינוי עד 11 שעות אדם: תיכתב דרישה לא ייכתב מסמך אפיון ולא יבוצעו בדיקות מסירה, יבוצעו בדיקות קבלה.
בגין שינוי בין 11-100 שעות אדם: ייכתבו דרישה אפיון, אישור אפיון, בדיקות קבלה.
בגין שינוי מעל 100 שעות אדם : יבוצע תהליך מלא.

יש להגדיר את התהליך במערכת ואת מודל הרגולציה. קידיאי כבר ביצעה תהליכים כאלה ולכן ניתן לחסוך בעלויות.

יש להגדיר חריגים לבדיקות קבלה כגון: שינויי תשתית (רכיבי תשתית), פיתוח בקרות עבור צוות התפעולוכד´.

יש להגדיר תהליך קיטלוג ממוכן הכולל נתיב בקרה למערכת ניהול השינויים
לדוגמה: מספר דרישה שנוהלה במערכת הדרישות.

נדרש להגדיר תהליך קליטת מערכת מדף ותהליך עדכון גרסה.

נדרש להגדיר בקרה מפצה אחר כניסה מפתחים לייצור. על הבקרה לכלול בקרה מראש
- אישור מנהל מח´ לכניסה זמנית לייצור ובקרה בדיעבד אישור מנהל על ביצוע הפעולה לייצור.

לאחר הגדרת החוקים יש לשלוח לאישור המנהל של אותו עובד את הפעולה כאשר לוג הפעולה כולל time stamp , program name, שם משתמש, סוג הפעולה, הספרייה בה בוצעה הפעולה והטבלה עליה בוצעה הפעולה. יש לשקול להכניס שדה המתאר את הכלי עימו ביצעו את הפעולה(.


דוגמאות לנקודות מרכזיות בפרוייקט SOX בשלב אבטחת מידע*

אבטחת מידע

יש לדאוג לסגור לטייב את כל הרשאות העובדים שקיבלו הרשאות ALL OBJECT.

יש להגדיר קריטריונים להתערבות א"מ בתהליכי פיתוח.

יש להגדיר תהליך סקירת הרשאות (רצוי ממוכן) וכמובן תהליך מתן הרשאות ממוכן (וכמובן מתועד). יש להקים צוות יעודי לניהול ההרשאות.

נדרש לבצע הערכת סיכונים מלאה על כלל מערכות הארגון. נדרש להגדיר תהליך סקר סיכונים ע"ב הערכת סיכונים.

יש לבטל את כל היוזרים הגנריים בכל המערכות.

יש להגדיר תהליך מאובטח בהזדהות חזקה בגישה מחוץ לארגון בהתחברות RDP. נדרש להגדיר תהליך התחברות מרחוק לצורך תמיכה של ספקי החברה הכולל ניטור.

מומלץ להתעקש ולא להכניס לקטלוג בקרות אבטחה פיזית.

נדרש להגדיר בכל המערכות ניהול סיסמאות בהתאם לתקן או לחילופין לנהל את הגישות למערכות בתצורת LDAP/SSO.




 

onenet web apps