סקר סיכונים אבטחתי לבניין משרדים — המדריך המלא

סקר סיכונים אבטחתי נשמע כמו ביורוקרטיה — עוד מסמך שמתבקש מהביטוח. בפועל, סקר טוב הוא הכלי הניהולי החשוב ביותר לקבלת החלטות על אבטחה. הוא חושף איפה נכסים קריטיים פגיעים, איפה הצוות בטוח שיש מענה אבל בפועל אין, ומה הסבירות לאיומים שלא חשבתם עליהם. המאמר הזה מסביר איך לבצע סקר נכון.

מה זה סקר סיכונים אבטחתי (Risk Assessment) — הגדרה רשמית

לפי תקן ISO 31000 ותקן SI 5281, סקר סיכונים הוא תהליך שיטתי לזיהוי, ניתוח והערכת איומים על נכס, אנשים ומידע. שלושת המונחים החשובים:

• Threat: איום חיצוני או פנימי (פרצה, גנבה, אש, סייבר, terroristm).
• Vulnerability: חולשה פיזית/תהליכית/טכנולוגית שמאפשרת לאיום לפגוע.
• Risk: Threat × Vulnerability × Impact. ניהול הסיכון = הקטנת אחד הגורמים.

4 שלבי הסקר — תהליך מקצועי

שלב 1: Threat Assessment

זיהוי כל האיומים הרלוונטיים. במגזר B2B ישראלי: גנבת ציוד IT, חבלה מצד עובדים מפוטרים, ארועי terror באזורי high-profile, ריגול תעשייתי, אקטיביזם, פריצות סייבר עם רכיב פיזי. כל איום מקבל הסתברות (1-5).

שלב 2: Vulnerability Assessment

בדיקה פיזית של 40-60 נקודות בבניין: גדרות, גישות, מצלמות, מנעולים, חשמל גיבוי, חדרי שרתים, יציאות חירום. כל חולשה מקבלת ציון 1-5.

שלב 3: Asset Criticality

אילו נכסים חיוניים: שרתים, מסמכים פיננסיים, אנשים (מנהלים בכירים, אורחים VIP), מערכות (BMS, telephony). דירוג 1-5.

שלב 4: Risk Matrix + המלצות

Matrix 5×5 של likelihood × impact. צבעים: ירוק (קבלת סיכון), צהוב (mitigation), אדום (פעולה מיידית). לכל פריט אדום — המלצה ספציפית עם עלות וזמן יישום.

מתי חובה לבצע סקר (רגולציה ופוליסות ביטוח)

• חוק חוזה הביטוח: חברות ביטוח דורשות סקר בכל חידוש פוליסה לבניינים מעל מסוים שווי.
• תקנת המשרד לבטחון פנים: חובה לבניינים שמוגדרים "מתקן רגיש" (מימשל, ביטחון, פיננסים).
• תקני ISO 27001: חברות עם תקן זה חייבות סקר פיזי, לא רק סייבר.
• אחרי אירוע אבטחה: חובה לפני חידוש פוליסה — אחרת עלייה דרסטית בפרמיה.

מה כלול בדוח סקר מקצועי — צ'קליסט של 12 נושאים

1. היקפי בניין: גדרות, גישות, פינות עיוורות, lighting.
2. מערכות גילוי: CCTV, motion sensors, panic buttons.
3. בקרת גישה: Badge readers, ביומטריה, mantraps.
4. צוות שמירה: Number, equipment, training, shift schedules.
5. נהלי חירום: Evacuation, lockdown, medical.
6. IT physical security: Server rooms, networking closets.
7. Vendor access control: מי נכנס, איך מאומת, escort policy.
8. Visitor management: Reception, badges, tracking.
9. Vehicle access: Parking gates, barriers, vehicle screening.
10. אזורים ציבוריים: Lobby, restaurants, restrooms.
11. Emergency communications: PA system, satellite phones.
12. כלי deterrence: Lighting, signage, visible patrols.

איך לקרוא Matrix של Likelihood × Impact

Matrix 5×5 הוא הכלי המרכזי. הצירים:

• Likelihood: 1 (כמעט בלתי אפשרי) עד 5 (כמעט ודאי).
• Impact: 1 (תקלה זניחה) עד 5 (פגיעה קריטית בעסק).

הצבעים: ירוק (1-6): קבלת סיכון, ללא פעולה. צהוב (7-12): mitigation תוך 6-12 חודש. אדום (15-25): פעולה מיידית תוך 30 ימים.

דוגמה: סייבר → פיזי דרך WiFi פתוח בלובי = likelihood 4 × impact 5 = 20 (אדום). חבלה ע"י עובד מפוטר = likelihood 2 × impact 4 = 8 (צהוב).

מה לעשות עם הממצאים — תכנית פעולה

הסכנה הגדולה ביותר של סקר היא שהוא יישכב במגירה. כדי שזה לא יקרה:

• Prioritize: סדר העבודה לפי red → yellow → green.
• Timeline: 30/60/90 ימים לכל הצעדים האדומים.
• Budget: חלק לפעולות hardware (מצלמות, גדרות) מול procedural (נהלים, הכשרות).
• Responsibility matrix (RACI): מי אחראי, מי מאשר, מי מבצע, מי מודיע.
• Re-survey: חזרה תוך 6-12 חודש לוודא יישום.

כמה זה עולה ומי מבצע

שני סוגי מבצעים:

• In-house (מנהל אבטחה פנימי): רק אם יש לו רישיון ו-5+ שנות ניסיון. חוסך בעלות אך האובייקטיביות מוגבלת.
• יועץ חיצוני: בהתאם לגודל ולמורכבות הבניין. עדיף יועץ עם רקע צבאי/משטרתי והסמכה בינלאומית (CPP, PSP).

Conflict of interest — דגל אדום: ספק שמוכר מערכות אבטחה ומבצע גם סקר. כי הסקר תמיד "ימצא" שצריך לקנות עוד אבטחה. ב-Weiss Holding, אנחנו לא מוכרים ציוד — הסקר אובייקטיבי לחלוטין.

אם אתם שוקלים אבטחה כחלק מתכנית ניהול נכסים רחבה, ראו ניהול נכסים מקיף.

שאלות נפוצות