הסיבה הראשונית לביצוע ביקורת וניהול סיכוני טכנולוגיית מידע, היא על מנת להבטיח את התפעול והניהול התקין של הארגון, בייחוד אם תחום תשתיות המחשוב, לרבות מערכות המידע, מהווה מרכיב משמעותי בהתנהלות העסקי ומוכר כרכיב חיוני לתפעול השוטף.
ביקורת וניהול סיכוני טכנולוגיית מידע
במילים אחרות, אם ארגון מסתמך על תשתיות טכנולוגיות ומערכות מידע, מאחריותו לוודא כי “השעון מתקתק” לטווח הארוך ולצמצם כמו גם לנטרל כל סבירות לתקלה משביתה ו/או שיש בה על מנת לבזבז זמן שלא לצורך. ובכך ניתן להימנע מהשבתה ופעולה בלתי תקינה של מערכות מחשוב, שיש בהן על מנת לגרום נזק ממוני או בלתי ממוני לארגון כדרך השלכות על המוניטין, על המותג, על אמון הלקוח ועל התנהלות ממשית של הארגון בו בזמן אשר אינה נתמכת בפעילויות מחשוב בזמן אמת.
כשבית עסק מיישם עקרונות ביקורת וניהול סיכוני טכנולוגיית מידע “כמו שצריך”, יכול מאוד להיות שהוא כבר נמצא “במקום טוב”: ברור לו מהי האחריות הישירה על בקרת הארגון וכיצד עלינו לנהוג מבחינת ניהול סיכונים, בקרות מידע, ניהול נתונים, ניהול שינויים, ביקורת פנים, המשכיות עסקית, שירותי אבטחת מידע לעסק וכן הלאה נושאים בתחום אבטחת המידע וניהולו.
איך נראה “בתאכלס” ניהול סיכונים במערכות מידע?
בית עסק המאורגן על “ניהול סיכונים במערכות מידע“, כנראה יודע:
- לכתוב מסמכי מדיניות לניהול טכנולוגיות מידע
- להטמיע מדיניות ותהליכים כלל ארגוניים בנושא,
- להוציא סקרים ו/או לבצע הערכת סיכונים במערכים של טכנולוגיית מידע (לרבות בחינת גורמי סיכון
- לפרט בקרות קיימות ולמפותן, לבצע הערכת סיכונים, פירוט מערכות ותהליכים והרהור על המלצות לבקרות שונות נוספות, וכן הלאה)
- להגדיר KRI לבחירת רמת נהלים וסיכונים טכנולוגיים ואפילו כותב על כך נהלי עבודה לניהולם ולבקרתם
- להטמיע או לבחור מערכות תומכות לניהול אותם סיכונים תפעוליים וסיכונים טכנולוגיים, מעניק הדרכות לאנשי מפתח
וכן הלאה. או לפחות להתייעץ עם גופים שיעזרו לו להבין איך עושים את כל זה (ויותר). זאת על מנת לגלם את הערך מההשקעות במערכות המידע והטכנולוגיה, למצות את הפוטנציאל הטמון בהליכי שיפור תהליכים, להבין באסטרטגיות מחשוב, להכיר יישומים ארגוניים באופן מספק ותבוני ולנהל פרויקטים ופעילויות טכנולוגיות. או במילים אחרות, להבין כיצד להוסיף ערך מוסף לעסק כדרך השבנה ויישום נכון בתחום זה.
אילו שירותי ניהול סיכוני מערכות מידע ניתן לקבל?
- ניהול סיכוני טכנולוגיית מידע
- ביקורת של מערכות מידע
- ניהול של סיכונים ברמה הטכנולוגית
- ניהול סיכונים ברמה הפרויקטאלית
- סקירה של סיכוני טכנולוגיית מידע
- דוחות SOC לשכות שירות (1,2,3)
וכן הלאה.
ברמה הפרויקטאלית, ניתן לקבל שירותי ניהול וייעוץ לרבות:
- בניית תכנית עבודה רב שנתית עבור יחידת טכנולוגיית מידע
- ארכיטקטורה של מערכות מידע
- ניתוח של מערכות
- בדיקת הסבות וקבלה – וניהולן
- ניתוח נתונים, וכן הלאה.
באם תהית לעצמך מה יכול להכשיר אדם לערוך ביקורות שכאלה, ו/או להעניק ייעוץ וליווי שכזה, ובכן, יכול מאוד להיות שהוא בעל מקצוע בתחום ראיית החשבון, הנדסת תעשייה וניהול, כלכלה או מבקר פנימי מוסמך, מבקר מערכות מידע מוסמך, בעל הסכמה בתחום ניהול סיכונים ובקרות במערכות מידע, או פשוט בעל הסמכה בתחום ניהול הסיכונים.
ביקורת מערכות מידע
הזכרנו בקצרה את המושג ביקורת מערכות מידע. במה בעצם מדובר? במילים פשוטות, מדובר בביקורת לכל דבר הנערכת מידי גורם מוסמך, לרבות רואה חשבון או מבקר פנים. מטרתה? ובכן, מטרתה של ביקורת שכזו היא לבדוק כמה הארגון יכול להסתמך על מערכות המידע שברשותה. ישנן חברות בהן ישנה חובה של ממש לקיים ביקורת במערכות המידע. לדוגמה, המגזר הבנקאי אשר מתבקש למנות מבקר מערכות מידע על פי הוראת בנק ישראל. כאמור, מטרת הביקורת היא לבדוק כמה התשתיות ומערכות המידע תקינות והתהליכים הקשורים אליהן עובדים באופן ראוי. בייחוד אם ישנה כוונה להסתמך על אותם תהליכים. החובה בביקורות ובקרות פנימיות, לרבות ביקורות בלתי תלויות של יעילות בקרות אלו, יכולה לסייע בחשיפת חולשות ופגיעויות במערכות ולהעלות למודעות את הנקודות לשיפורן.
ביקורת מערכות מידע יכולות להתאים לארגונים אשר…
- מעוניינים להבטיח את איכות המידע המופק על ידי מערכות המחשוב
- רוצים לתעד ולבדוק את הבקרות הפנימי על תהליכי הדיווחים הכספיים
- מעוניינים בסקירה בלתי תלויה של מבנה הבקרות בארגון
- לזהות נקודות תורפה ומקומות לשיפור במבנה הבקרות
- אימות נתונים המופקים על ידי צד שלישי
- בחינת הבקרות המשולבות במערכת מחשוב מוטמעת או בתהליכי הטמעה
וכן הלאה. ובקיצור, המילה “ביקורות” יכולה להתבטא כדרך השירותים הבאים:
- סקירת בקרות בהקשר של תהליכים עסקיים או יישומים כספיים ותפעוליים
- סקירת בקרות בהקשר של אבטחת מסדי נתונים
- סקירת בקרות באופן כללי
- סקירה של אבטחת תשתית
- לסקור סיכוני של מערכות מידע ואבטחת מידע
- מתן שירותי ביקורת בעניין נתוני צד שלישי שהתקבלו לרבות החווית דעה לגביהם
- לבחון תקינות של ממשקעים בין מערכות
- ביקורת חקירתית וביקורת ניהול הרשאות
- התאמת שירותי מחשוב לתקנים ורגולציות
- לנתח נתונים תוך שימוש בכלי ביקורת ממוחשבים
וכן הלאה.
ניהול סיכוני IT בחברות וארגונים
ניהול סיכוני IT אינה מילה גסה, וישנם ארגונים אשר מחויבים בה, ולו מתוקף הרגולציה או מתוקף הרצון הטוב לשמור על מערכות בטוחות ונקיות. ישנם ארגונים אשר נדרשים לבצע ניהול סיכוני IT לרבות חברות ביטוח, בתי השקעות, חברות ממשלתיות וציבוריות, בנקים וכן הלאה, כאשר ישנן חברות פרטיות אשר החליטו לעשות זאת מטעם עצמן או התבקשו מטעם הדירקטוריון. יש שיגידו כי ניהול סיכוני IT אינו שונה מהותית, או יותר מדי פחות ערך מניהול סיכוני שוק ואשראי, ניהול סיכונים תפעוליים, משפטיים, אסטרטגיים, תדמיתיים וכו’.
כשאנחנו מדברים על ניהול סיכוני IT אנחנו מציינים את כל הסיכונים הכרוכים בתפעול, בעלות, שימוש והשפעות כמו גם אימוץ טכנולוגיות מידע בארגון. אם בעבר לא היו הנחיות מוסדרות או מוצקות באשר למתודולוגיית ניהול סיכוני IT, עדיין היו מספר מסגרות עבודה בתחום של ניהול סיכונים, לרבות ניהול סיכוני סייבר (כמו ISO27000). אלא שניהול סיכוני IT אינו רק ניהול סיכוני אבטחת מידע, אלא כולל התייחסות לסוגיות נישתיות יותר כמו…
- חריגות בפרויקטי מחשוב
- השלכות על הפעילות העסקית (מעבר לחריגה ממשאבים ומלוחות זמנים)
- גישור פערים בהבנה: האם השקעה ב-IT תיתרגם להשקעה והפקת ערך לארגון
- בדיקת גמישות בארכיטקטורה המחשובית בעניין שינויים צפויים לפעילות העסקית, ניהל שירות, תפעול, סיכונים בתחומי כוח אדם, התיישנות חומרה, התיישנות תוכנה ותשתיות מחשוב, כשלי תקשורת וכן הלאה.
ניתן לראות את תחום ניהול סיכוני IT כמסגרת עבודה הכוללת 3 תחומים:
- סיכון באספקת שירותים
- סיכון באספקת פתרונות
- סיכון ליצירת ערך כדרך מערכות IT
עמידה בתקן ISO27001
ציינו קודם שישנו מושג הנקרא תקן ISO27000. מה משמעותו? כאמור, מדובר בתקן הקשור לאבטחת מידע. מטרת התקן, היא הבטחת שמירה וניהול תקינים של מידע בארגון כדרך הקמת מערכת לניהול אבטחת מידע. במילים אחרות, עמידה בתקן ISO27000, משמעה, יצירת מנגנון לזיהוי סיכונים, כתיבת נהלים כמו גם הגדרה של בקרות. זאת, מתוך מטרה לוודא כי הנתונים בטוחים, זמינים ונכונים בכל עת. ויש שיגידו שיש בכך (בעמידה בתקן ISO27000) גם תמיכה בסיוע להתאוששות עסקית.
במילים אחרות, כל חברה עד ארגון עד תאגיד וארגוני ענק אשר רצויים לשמור מפני דליפות או איבוד מידע, לרבות הסיכונים הנובעים מכך, יכולים לאמץ עמידה בתקן ISO27000, על מנת להחזיק בהגנות שהוא מאפשר ודורש. למעשה, ישנן חברות הדורשות עמידה בתקן זה כחלק מתנאי סף לעמידה במכרזים.
הטמעת התקן בחברתך תייצר מערכת מאורגנת ומסודרת המאפשרת שליטה וניהול זרימת המידע. כיום חברות רבות דורשות את התקן כתנאי סף לעמידה במכרזים.
שאלות ותשובות
שאלה: מה החשיבות של ניהול סיכונים ארגוניים – סייבר?
תשובה: על מנת שארגון יוכל לסמוך על יכולתו לתת מענה לתקלות בפעילותו השוטפת, ולנטרלן מלכתחילה מבלי לאפשר להן לקרות, עליו לזהות את הסיכונים הארגוניים בתחום אבטחת המידע מלכתחילה. ניתן לעשות זאת כדרך ביקורות פנימיות וחיצוניות, כמו גם קבלת ליווי וייעוץ מגורמים מומחים.
שאלה: מה ערכו של ניהול סיכוני IT בחברות וארגונים?
תשובה: מעבר להטמעה והתאמה נכונה של טכנולוגיות IT, יש אפשרות למצות יותר מן הפוטנציאל והערך הגולמי שבמערכות אלו עבור הארגון.
שאלה: מדוע יש להקפיד על ניהול סיכוני מערכות ואבטחת מידע וסייבר?
תשובה: על ארגון להסתמך על שלל התהליכים והתפוקות של תהליכים אלו, ברמה המחשובית, כמו גם להגן על הנתונים הקיימים. ישנם מקרים שהדבר מחיוב מכורח רגולציות או עמידה בתנאי סף של מכרז.
שאלה: מי יכול לקיים ביקורות פנים?
תשובה: בעלי מקצוע מוסמכים לנושא.