פוסט זה מיועד למנהלי טכנולוגיה ואבטחת מידע המעוניינים לדבר בשפה העסקית…
השבוע קראתי את סיקור פורום C3 של אנשים ומחשבים, ובמיוחד את דבריו של פרופסור ישראל בורוביץ, דיקן בית הספר לכלכלה במכללה האקדמית תל אביב-יפו : “המנמר”ים הם המועמדים הטובים ביותר להיות מנכ”לים“. פרופ’ בורוביץ שהיה דובר המפתח במפגש, ולטענתו, אלמלא העובדה שמרבית המנמ”רים הם “לא פוליטיקאים” (כדבריו), רבים מהם היו הופכים להיות מנכ”לים. לדבריו, אנשי הטכנולוגיה מדברים יותר מדי טכנולוגית ופחות מדי עסקית. ציטוטים כגון: “זה לא מה שאומרים, אלא איך אומרים זאת”, “המנמ”ר נדרש להבנת הארגון ברמה של מנכ”ל”, ובמיוחד “הצפי מהמנמ”ר הוא להבין כל זווית עסקית בארגון, לרבות החזון, היבטי החדשנות, המנהיגות והחזר ההשקעה”. כולם ציטוטים שהוצגו במרבית הפוסטים שפרסמתי בחודשים האחרונים.
במקביל, ובאותו פורום C3, נאם גם פרופסור ישע סיוון, ראש התכנית למערכות מידע במכללה האקדמית ת”א – יפו, תחת הכותרת – “אין כזה דבר IT לכשעצמו – יש תהליכים עסקיים בארגון, המבוססים IT “. גם כאן, ומבלי להיכנס יותר מדי לדבריו, אני חושב שזה משקף לחלוטין את תפיסת ממשל טכנולוגיית המידע / אבטחת המידע כפי שפורסם בבלוג זה יותר מפעם אחת.
אם כך, איך מציגים תוכנית אבטחת מידע ופרטיות להנהלת הארגון? למנהלים שאינם אנשי טכנולוגיה?
השלב הראשון הוא הבנת היעדים העסקיים של הארגון!! על מנת לדבר “עסקית”, עלינו להבין את מטרותינו העסקיות. הבנת היעדים תאפשר חיבור תוכנית אבטחת המידע והפרטיות ליעדים אלו.
ולכן, הפעולה הראשונה, היא התאמת תוכנית אבטחת המידע והפרטיות ליעדים העסקיים.
לדוגמא: אם היעד העסקי שלנו הוא הגדלת מכירות מוצר מסוים. עלינו להראות להנהלה איך תוכנית אבטחת מידע והגנת הפרטיות משתלבת בהשגת היעד. אגב, באבטחת מידע, לעיתים קרובות, התוכנית תכלול בקרות והגנות כנגד מצב של אי עמידה ביעד. או בשפה “עסקית”, העדר הגנה על מידע עלול למנוע או לשבש את השגת היעד.
יחד עם זאת, זה לא מספיק על מנת לשכנע מנהל שתפקידו השגת יעד זה או אחר. זה גם לא מספיק להנהלה שרוצה למקסם את רווחי הארגון. יש לתת דוגמאות פשוטות ככל האפשר תוך שימש במושגים עסקיים שהארגון השתמש בהם בתיעוד מטרותיו.
בוא ניקח שוב את הדוגמא של הגדלת מכירות של מוצר בודד. לשם הדוגמא, הארגון שלנו הוא ארגון יצרני, המייצר 20 מוצרים שונים. אחד היעדים העסקיים שלו, הוא הגדלת מכירות של מוצר אחד שלדעת ההנהלה, זהו המוצר בעל הסבירות הגבוהה ביותר למכירות ובגינו יש את הרווח הגבוה ביותר מסל המוצרים. הגיוני מאוד שהיעד העסקי יהיה להגדיל מכירות ממוצר זה.
איך מחברים ליעד מכירות זה, תוכנית אבטחת מידע ופרטיות?
ראשית, בהערכה גסה, שמירה על ומניעת זליגת מידע של נתוני הלקוחות, נתוני המוצרים, רווח למוצר ואני מניח שנתונים רלוונטיים נוספים יהיו בעלי משמעות גדולה לארגון. הצגת המשמעות של זליגת נתונים אלו במונחים כספיים ו/או מוניטין החברה ידברו יותר לאותם מנהלים מאשר פרקטיקת השמירה והטכנולוגיה שברצוננו ליישם. יחד עם זאת, הערך המוסף יהיה בתרומת התוכנית להשגת היעד עצמו. ולכן, בפרזנטציה למנהלים יש לוודא כי התוכנית מציגה הקפדה על שמירת מידע סודי וקריטי להשגת יעדי המכירות. ובמקביל:
– התוכנית כוללת אמצעים המוודאים כי מדדי המכירה הממוחשבים אמינים ומציגים תמונת מכירות אמיתית
– התוכנית כוללת בקרות המוודאות את זמינות טכנולוגיית המידע והנתונים.
– אנשי המכירות עובדים עפ”י תוכנית הרשאות מתאימה המאפשרת זיהוי מכירות באופן אמיתי ומדויק
– התוכנית כוללת בקרות גישה וזיהוי מרוחקות המאפשרות לאנשי החברה לבצע פעולות “מהשטח”.
– אירועי אבטחה וניסיונות גישה לא מורשים לנתוני המכירות (ובכלל) מזוהים, מדווחים ומטופלים באופן מיידי
– ניהול הרשאות הגישה לנתונים חסויים וקריטיים מטופלים באופן מיידי
– כלל המערכות המציגות נתונים ומדדי מכירות (ובכלל) מכילות דרישות אבטחה השוללות שינויים לא מורשים בנתונים ובמידע.
– במקרה של (חו”ח) חשיפת נתונים ו/או כשל בזמינות הנתונים, קיימות בקרות המאפשרות בידוד הנתונים שנחשפו, מניעת המשך החשיפה וחזרה לעבודה וזמינות הנתונים והמידע.
.
שימו לב: באף אחד מהנקודות לעיל אין אזכור לטכנולוגיה, למערכת מידע נקודתית, או לצד השלילי של העדר אבטחת מידע. וזו רק דוגמא אחת מני רבות. ברגע שאנו מכירים ומבינים את היעדים הארגוניים, אנו יכולים (וצריכים) להתאים את יעדי הטכנולוגיה, אבטחת המידע והפרטיות לאותם יעדים.
והכי חשוב: פרזנטציה להנהלה אינה טכנולוגית. זוהי פרזנטציה עסקית / ניהולית.
אנחנו לא מציגים את הטכנולוגיה אלא את מטרותיה ותוצאותיה למען השגת יעדי הארגון.
.
רוצים לכתוב “עסקית”? רוצים לשכתב את התיעוד והמטרות?
צלצלו עכשיו ל- 076.5436466, או כתבו למייל info@know-it.co.il ואנחנו בדרך אליכם…
