לאחרונה עולות, שוב, שאלות לגבי ההבדלים בין ניהול סיכונים ארגוני? סיכוני טכנולוגיית המידע? סיכוני אבטחת מידע וההגדרה החדשה של המפקח על הבנקים – “סיכוני הסייבר”?
לקראת כנס האיגוד הישראלי לביקורת ואבטחת מידע, בנושא “ניהול סיכוני IT כאמצעי להשגת יעדים עסקיים“, שיתקיים בתחילת ספטמבר הקרוב (רישום / בפייסבוק), התבקשתי לכתוב מאמר קצר המסביר מהם סיכוני טכנולוגיית המידע. להלן הדברים כפי שמופיעים באתר האיגוד:
לצד החתירה להצלחה עסקית משלבים ארגונים, בשנים האחרונות, תהליכי ניהול חדשים יחסית לזיהוי והערכה של סיכונים העלולים לפגוע בתפקוד השוטף של ארגון ובהצלחתו העסקית.
סיכון עסקי מוגדר כגורם או פעולה, העלולים לגרום לנזק כספי ישיר ו/או עקיף לארגון. ניהול הסיכונים הינו מכלול התהליכים והפעולות שהארגון מבצע לטובת זיהוי, הערכה, טיפול והתמודדות ישירה ו/או עקיפה אל מול אותם סיכונים שזוהו. הסיכונים מסווגים לתחומי הניהול השונים (סיכונים אסטרטגיים, תפעוליים, כספיים, ציות ונוספים) וערכם (עלותם) לארגון מחושב, על פי רוב, כמכפלה של הסתברותם להתממשות והנזק הכספי העלול להיגרם לארגון אם יתממשו.
סיכוני טכנולוגיית המידע הינם הסיכונים העסקיים הנובעים משימוש או אי שימוש ומתפעול או אי תפעול של טכנולוגיית המידע (לרבות סיכוני אבטחת מידע וסייבר). לפיכך, סיכוני טכנולוגיית המידע מהווים חלק מהסיכונים התפעוליים של ארגון.
מטרתה העסקית של פעילות ניהול סיכוני טכנולוגיית המידע היא להקטין את חשיפת הארגון לפגיעה כספית להיערך מולם. בעולם המודרני בו ליבת העסקים של ארגונים מושתתת על טכנולוגיית המידע, אך טבעי, שסיכוני טכנולוגיית המידע יהוו חלק משמעותי מניהול הסיכונים הארגוני, כאשר מרכז הפעילות תשאף לבנות סביבת בקרה המפחיתה את הנזקים לכאלו שהנהלת הארגון מוכנה לקחת על עצמה. על מנת לשפר ולמקסם את החתירה להצלחה עסקית ואת יכולת קבלת ההחלטות הארגונית (במודעות לסיכון הכללי), על תהליך ניהול סיכוני טכנולוגיית המידע לכולל את השלבים הבאים:
1. מיפוי נכסי הטכנולוגיה והמידע בארגון – הכרה והבנה של הטכנולוגיות והמידעים מולם אנו רוצים לזהות סיכונים.
2. קביעת בעלות ואחריות לנכסים שמופו – קביעת אחראיים ניהוליים למיפוי סיכונים, למדידת עוצמות ואפשרויות כשל ופגיעה וליישום מענה כנדרש.
3. זיהוי איומים וסיכונים והערכתם – לאחר זיהוי הטכנולוגיות והמידעים, ניתן להבין מהם הסיכונים והאיומים על טכנולוגיות והמידעים הקיימים בארגון (הסיכונים המובנים בטכנולוגיה ובמידע). ניתן להעריכם על בסיס הסתברות התממשותם ופוטנציאל הנזק בגין התממשות זו וניתן להעריך במה כדאי וניתן לטפל ואיך.
4. זיהוי בקרות קיימות והערכה איכות סביבת הבקרה כנגד הסיכונים שזוהו (זהו הסיכון השיורי – הסיכון הקיים לאחר בקרה). – לרבות המלצות לשיפור. בהינתן סביבת בקרה, לעיתים ניתן לשפר ולעדכן בקרות בתהליכים העסקיים ו/או באמצעות כלים טכנולוגיים נוספים.
5. הצפת הממצאים ובניית תוכנית הפחתה לסיכונים בהתאם לרגישות הארגונית – הגורמים הניהוליים יקבלו החלטות לשיפור, התאמה ואופטימיזציה של סביבת הבקרה הארגונית.
6. מימוש תוכנית הפחתה אפקטיבית – חתירה לאופטימיזציה של משאבים לטובת הפחתת הסיכונים שזוהו.
7. מדידת מימוש התוכנית – מעקב לשיפור מתמיד של המשאבים ובחינת סיכונים חדשים / מעודכנים העלולים להשפיע על הארגון.
.
פרטים נוספים בנושא ניהול סיכוני טכנולוגיית המידע ניתן למצוא בלינקים הבאים:
מרכז הידע של ISACA, קוביט 5 לסיכונים (משתתפי הכנס הקרוב, יקבלו תרגום לעברית של הספר בחינם!!), מתודולוגיית RISK IT .
פוסטים שפורסמו כאן בעבר בנושא זה:
מה לניהול סיכונים ולשיפור תהליכים עסקיים?
ניהול סיכונים עבור טכנולוגיית המידע
רוצים לומר את דעתכם? אתם מוזמנים לפנות ולהגיב…
