סיכוני סייבר למנכ”ל הארגון

נכתב בתאריך April 7, 2016 על ידי orenh 2 תגובות

הסייבר הוא מרחב פעולה עסקי.

פעילות ארגונית, גדולה וקטנה כאחת, היא תחת אחריות המנכ”ל. במציאות של היום, פעילות במרחב הסייבר, לצערנו, כוללת גם איומים חובקי עולם, עקביים, מתמשכים ומתוחכמים, המחייבים שילוב אמצעי אבטחה בתהליכים עסקיים ובהגנה על מידע ארגוני במרחב הסייבר.
אתגר שהופך להיות אקוטי וקשה יותר ויותר.

הקושי המרכזי נובע מחוסר המודעות לרוחב ועומק ההשפעה העסקית של איומי הסייבר.
סיכוני סייבר הם לא האיום הטכנולוגי!

אלו סיכונים עסקיים שמקורם בשימוש בטכנולוגיה. שימוש המאפשר ניצול מיטבי של מרחב הסייבר ליצירת יתרון עסקי. זהו שיפור עסקי והתאמת תהליכים כמינוף ליתרון תחרותי.

מכאן, אבטחת התהליכים הארגוניים והגנה על המידע העסקי, הן פעילויות רוחביות וכלל ארגונית ולא אחריות טכנולוגית. לא מעט פתרונות אבטחה והגנה הם פתרונות טכנולוגיים, אבל האם לא ניתן להגדיר את התהליכים העסקיים בדרך זו?

האם התהליכים בארגונכם אינם טכנולוגיים ומתבססים על מערכות מידע?

מימוש ההגנה בסייבר מחייב שיתוף פעולה כלל ארגוני, עבודת צוות ובעיקר מודעות של כל הגורמים המעורבים. האם זו לא הגדרה של פעילות עסקית? ומי אחראי על הפעילות העסקית? המנכ”ל ושדרת הניהול בארגון.

המנכ”ל ושאר המנהלים העסקיים הם הגורמים האחראיים על ההרמוניה שבין המחלקות הארגוניות, שיתוף פעולה המייצר שלם הגדול מסך חלקיו. אלה הם יסודות הניהול.

מנהלים עסקיים ומנכ”לי חברות בפרט מחויבים להוביל תהליכי הגנה בסייבר.

זו אינה אחריות בלעדית של מנהלי הטכנולוגיה בארגון. נהפוך הוא. ארגונים שישכילו להבין את צרכי ההגנה בסייבר ושיתוף הפעולה הניהולי עסקי יצרו ערך מוסף לפעילות העסקית שלהם במרחב הסייבר.

לשם כך, על המנהלים להבין את המשמעויות ולשאול את עצמם את השאלות הבאות:

1. מהי מידת תלות הארגון בפעילותו במרחב הסייבר? האם זוהו הסיכונים המתאימים?

2. האם קיימת תכנית פעולה לניהול וצמצום הסיכונים? האם אני כמנכ”ל ו/או מנהל בכיר בחברה, מודע ודואג ליישום התכנית?

3. עד כמה תכנית ההגנה בסייבר מותאמת לנעשה בקרב גופים אחרים בסקטור שלנו ובהשוואה לסטנדרטים מקובלים?

4. האם קיימת לנו יכולת גילוי ותגובה לאירוע סייבר שהארגון עלול לחוות?

.

האם המנכ”ל שלכם שאל את השאלות הללו? האם אתם שאלתם אותו?

צריכים עזרה בהגדרת השאלות הנכונות? צרו קשר ונשאל יחד..

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים, סייבר

מדיניות הגנה בסייבר והכשרת דירקטוריונים

נכתב בתאריך February 28, 2016 על ידי orenh אין תגובות

מדיניות אבטחת מידע או הגנה בסייבר מייצגת “מה אנחנו הולכים לעשות” בתחום האבטחה.

בעוד “האיך” מנוהל ע”י הנהלת הארגון ומבוצע ע”י עובדיו, שאלת “המה” היא בתכולה של דירקטוריון הארגון.

לאחרונה קיבלתי, לשמחתי הרבה, מספר פניות מארגונים המבקשים לעדכן את מדיניות אבטחת המידע שלהן למדיניות הגנה בסייבר ולפתח אסטרטגיה למימושה. הבקשות הגיעו מארגונים השונים אחד מהשני, לא רק במגזרים בהם הם פועלים, אלא לא פחות ואפילו בעיקר במוכנות ובתרבות הארגונית הקיימת בארגון.

אחת הבקשות הגיעה מחברה פרטית, שאינה נדרשת לרגולציות מחייבות ועדיין רואה בצורך לעדכן את המדיניות ולבצע התמרה מאבטחת מידע לאבטחת סייבר. שתים נוספות הגיעו מחברות ממשלתיות, המבקשות “להתקדם” ולהתאים את הפעילות לעולם ההגנה בסייבר. בקשה נוספת הגיעה בכלל מבנק המחויב להוראה 361 ורצה תכנית מעשית למימוש המדיניות שנכתבה לאחרונה.

כפי שציינתי, למרות הצורך הדומה, קיים שוני מהותי בין החברות. אז איך בונים התמרה לאבטחה בסייבר?

הדבר הראשון שמוודאים הוא שמסמכי מדיניות ואסטרטגיה יאושרו בדירקטוריונים השונים.
זהו צעד הכרחי ובעל היגיון עסקי ברור. מסמך מדיניות ארגוני, בכל נושא שהוא, הוא מסמך של דירקטוריון. זהו מסמך המייצג כאמור את שלב “המה”. הוא חייב להציג את החזון הארגוני, שלא רק שנקבע ע”י חברי הדירקטוריון, הוא חייב להיות בתאימות מלאה עם הצורה שבה מקבלי ההחלטות  מבקשים לכוון את הארגון אליו.

שלב נוסף בתחילת התהליך הוא לקיים ראיונות מקדימים עם הנהלת הצד העסקי בארגון ובמיוחד מומלץ עם חברי הדירקטוריון האחראיים על טכנולוגיית המידע. וזאת למה? כיוון שהם המקור הראשון שיידע לאן מכוון הארגון.

מצד שני, וזו האמת לצערנו, לא לכל ארגון יש חברי דירקטוריון אחראיים על טכנולוגיית המידע ויתרה מזאת, בהרבה מאוד דירקטוריונים, אין את הידע הנדרש וההבנה הנחוצה להכתיב מדיניות אבטחת סייבר. היעדר גורם מכוון מביא אותנו לסוג של פלונטר. מאין מבוא סתום המצריך חשיבה קצת שונה ובעיקר מתואמת סיטואציה. אין באמת פתרון של חליפה במידה גנרית המתאימה לכולם ( באנגלית זה נשמע טוב יותר One size suit to fit all).

גם הסיטואציה הזו נמצאת מולי במספר מישורים. במסגרת הפעילות העסקית וההתנדבותית שאני משתתף, ישנם מספר גורמים המעוניינים לשנות את המציאות הזו.

הראשונה היא ISACA. לאיגוד מספר פרסומים מקצועיים על הקשר שבין הגנה בסייבר וחברי דירקטוריון. על בסיס פרסומים אלו, בנינו הכשרה המותאמת לחברי דירקטוריון והנהלות בכירות בנושא הגנה בסייבר. מדובר בפעילות קצרה יחסית (מספר שעות) המתמקדת ביישום הגנה בסייבר מבוססת ממשל תאגידי, נושא ליבה בפרסומי ISACA.

מטה הסייבר הלאומי – כחלק מהסדרת תחום ההגנה בסייבר ולצד האסדרה של מקצועות הסייבר, המטה מבקש לקיים הכשרות לגורמים האחראיים על ההגנה בסייבר במשרדי הממשלה ולחברי דירקטוריון של חברות ממשלתיות. שילוב ההכשרה של ISACA לצד התאמות לגופים ממשלתיים יובילו מגמה של הרחבת פעילות האבטחה במשרדים ובגופים המונחים ע”י רשות הסייבר וראם.

כיועץ תוכן ומתודולוגיה בסייברספארק אקדמי (CyberSpark Academy – גוף מוביל של אקו סיסטם סייבר בקריית הסייבר בב”ש), אנו משולבים בפעילות לבניית הכשרה מתאימה לגורמים בכירים בחברות בינלאומיות מהעולם, כחלק מתכנית הכשרה רחבה יותר בתחום ההגנה בסייבר.

ולבסוף, גם כיועץ עצמאי, ניתן לזהות מגמה למודעות הצורך בהקניית תכנים מקצועיים בסיסיים בתחום טכנולוגיית המידע בכלל והסייבר בפרט לחברי דירקטוריון, חברי הנהלה ואפילו ליחידות ביקורת גדולות.

פיתוח מדיניות ובניית תכנית אסטרטגיה למימוש מדיניות מחייבת הבנה וידע (לפחות בסיסי) בהגנה בסייבר של מכווני הארגון, קרי, חברי דירקטוריון וחברי הנהלה בכירה. הקניית ידע זה והכוונה, תוך הצגת שאלות מתאימות לגורמי ניהול האבטחה יעלו את המוכנות הארגונית, הבשלות ביכולת ההגנה ותמיד יעצימו את התרבות הארגונית בנושא.

רוצים לדעת יותר? להבין איך ההכשרות האלה יתרמו לארגון שלכם?

אשמח לעמוד לרשותכם בבניית הכשרה מתאימה …

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, סייבר

הגנה בסייבר – מה צפוי ב- 2016

נכתב בתאריך February 4, 2016 על ידי orenh אין תגובות

הגנה בסייבר – מה הצפי ל- 2016?

שנת 2015 המשיכה את תהליך השינוי המהיר שעובר תחום ההגנה בסייבר, 2016 לא תהיה שונה.

מיסוד תהליכי ההגנה בסייבר, בעקבות מגמת כניסת הרגולציה לנושא, כדוגמת  “נב”ת 361 – ניהול ההגנה בסייבר” והיחידה להגנת סייבר בממשלה (יה”ב), להסדרת דרישות הגנה מובנות בגופים ממשלתיים, יחד עם המחסור בעובדים מקצועיים בתחום ההגנה שהוביל לצורך באסדרה של מקצועות הסייבר ע”י מטה הסייבר הלאומי, יובילו את פעילות התחום בחודשים הקרובים.

בשבועיים האחרונים פרסמה ISACA סקר קצר שבוצע אל מול כ- 3000 אנשי מקצוע מלמעלה מ- 120 מדינות, המציג תמונת מצב (Cyber Security Snapshot Survey) של תחום ההגנה בסייבר.
ממצאי הסקר מציגים תמונה מקצועית בה שלושת האיומים המובילים הם:

1. הינדוס חברתי (Social Engineering)

2. עובדים פנימיים (Insider Threats)

3. איומים עקביים וממושכים (APT’s).

בנוסף, 85% (!) ממשיבי הסקר מאמינים כי : קיים סיכוי בינוני ומעלה שבמהלך שנת 2016 תתבצע תקיפת סייבר משביתה נגד מתקן תשתית קריטי” וכשליש ממשיבי הסקר חושבים שסיכון האיום הפנים ארגוני יגדל במהלך 2016 לעומת השנה שעברה.

האם אתם ערוכים לאיומים הללו?

האם אתם פועלים אל מול הסיכונים הנ”ל?

מה עוד יקרה לנו בשנת 2016?

בארה”ב נכנסה לתוקף חוק הדיווח על אירועי סייבר (CISA – Cybersecurity Information Sharing Act), שמטרתו (הרשמית): שיפור יכולות ההגנה באמצעות שיתוף מידע על איומים ותקיפות.

נשאלות שתי שאלות עיקריות?:

1. האם ארגונים ישתפו פעולה?

2. האם חוק זה יכול לפעול כאן בישראל?

כמובן ששיתוף מידע מרצון הינו חיובי, חיוני ואף הכרחי.

יחד עם זאת, על מנת לקבל כיסוי רחב יותר ובאמת לשפר את יכולות ההגנה, נדרשים ארגונים לאפשר זרימת מידע לא מסונן או מפולטר, קרי, להעביר מידע גולמי שלא בטוח שארגונים ירצו להעביר (למשל, עקב פגיעה במוניטין?) ויותר מזה, החוק מאפשר לרשויות הפדרליות לאסוף מידע במגוון דרכים וממגוון מקורות שנויים במחלוקת.

האיזון בין שמירה על פרטיות אל מול שיפור יכולת ההגנה מקבל ניעור לכאן ולכאן ומחייב חשיבה עמוקה.

נחזור לשתי השאלות שלנו, לגבי השאלה הראשונה, מתוך הסקר של ISACA עולה כי 72% מהמשיבים מאמינים כי החוק נכון ויסייע לשיפור יכולת ההגנה בסייבר, יחד עם זאת, פחות מ- 50% מאמינים שהארגונים בהם הם עובדים, אכן ישתפו פעולה ויעבירו מידע גולמי לארגונים הפדרליים.

האם מדובר בבעיית אמון קלה?

ומה כאן בישראל? המעמיקים בנב”ת 361, ימצאו כי המחוקק בהחלט שואף לפורום שיתוף פעולה ומידע זורם בסקטור הבנקאי, ואף הגדיר זאת באמצעות: דרישה לדיווח אירועים בדוח מובנה, הגדרת יחסי הגומלין וזרימת המידע לגופים חיצוניים ואף סיום הנב”ת בסעיף 82 – “התאגיד הבנקאי ידווח לפיקוח על הבנקים על אירוע סייבר או התרעה על אירוע סייבר בהתאם להוראת הדיווח לפיקוח על הבנקים”. האם המילה התרעות מתייחסת לפעילות שוטפת? הרי בעולם הנוכחי, אנו סופגים ומתנהלים אל מול התרעות באופן שוטף ותמידי.

פעילות נוספת שתומכת בצורך ובאפשרות שיתוף המידע בין פרטים, ארגונים עסקיים וגופים ממשלתיים, הוא הקמת ה- CERT הממשלתי בהובלת מטה הסייבר הלאומי (CERT – IL) והקמת מרכזים קיברנטיים מגזריים (מק”מים), כאשר הראשון המוקם הוא למגזר התשתיות הלאומיות, האנרגיה והמים (עבדכם הנאמן לוקח חלק בהגדרת הפעילות בשניהם). בהמשך יצאו מכרזים למק”מים נוספים כגון: למגזר הפיננסי, למגזר ההי-טק ולאחרים.

 אשמח לשמוע את דעתכם וכמובן לעמוד לרשותכם בחשיבה, הצעות ומתן פתרונות יצירתיים.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים, סייבר

אבני היסוד לשנת סייבר פוריה

נכתב בתאריך September 22, 2015 על ידי orenh אין תגובות

עם החזרה מחופשות הקיץ רובנו מתחילים (או ממשיכים), לבנות תכניות עבודה לשנה הבאה.

אצל כולנו המילה “סייבר” מופיעה יותר ויותר בתכניות. אם לא בצורה ישירה, היא משפיעה בצורה עקיפה על בניית התכניות.    למה?

איך נושא הסייבר השתלט לנו על האופן שבו אנו מנהלים את העסק שלנו? ואיך משלבים עם תכניות העבודה?

התפתחות הטכנולוגיה מאפשרת מגוון הזדמנויות עסקיות חדשות.

יחד עם זאת, עולה גם הצורך לאבטח ולהגן על המערכות והמידע התומכים במימושן הזדמנויות אלו.

היום כבר ברור לכולם, כי היסודות שהוטמעו בדרישות ממשל תאגידי בוועדת גושן (ISOX) לבקרות כלליות במערכות המידע (ITGC), אינם מהווים מענה לאיומים ולסיכונים הקיימים (והם רק מתגברים) במרחב הסייבר – מרחב פעולה עסקי המשמש כל ארגון וארגון במשק המקומי והעולמי כאחד.

אם כך, מה מהווה מענה לנושא? ואיך מגשרים על הפער בין ניצול ההזדמנויות לניהול הסיכונים?

הסייבר נתפס אצל מרביתנו כנושא טכנולוגי, אך הסייבר הוא לא הטכנולוגיה!!

הסייבר הוא האנשים והתהליכים.

אנשים ותהליכים מפעילים טכנולוגיה ולא להיפך. על מנת לשלב ולהשיג את המקסימום בהגנה בסייבר עלינו להבין אילו הזדמנויות אנחנו רוצים לממש? מהו המידע הנדרש למימוש ואת מי הוא מעניין? מי יכול לפגוע בנו? למה שיפגע ומה בעצם מעניין אותו? מהם נכסי המידע שלנו (ה- Crown Jewels) שעליהם עלינו להגן?

הגנה בסייבר אינה מניעת תקיפות. הגנה בסייבר הינה אוסף פעולות (תהליכים ובקרות) שתפקידם להקשות על תוקף פוטנציאלי מלהצליח. תפקיד ההגנה בסייבר הוא לעכב ולהפתיע תוקף ובכך לגרום לו להתעצבן, להתייאש ולבסוף לוותר ולעבור למקום תקיפה אחר. לשם כך עלינו להיות יצירתיים יותר, מורכבים יותר, ובעיקר ממוקדים. כיוון שהמשאבים שיש לנו הם בד”כ מצומצמים, יש חשיבות עליונה למיקוד פעולות השיבוש והקושי באופן שיגנו על הנכסים החשובים בלבד ובמקומות שבהם השפעת תקיפה על הארגון עלולה להיות מקסימלית.

הקושי הגדול מכולם הוא המיקוד. ולכן אנשי הסייבר הטובים ביותר לא יהיו אנשי הטכנולוגיה כי אם אנשי הביזנס. אנשים המכירים את התהליכים העסקיים בצורה המעמיקה ביותר ויודעים לזהות את נקודות התורפה בתהליכים, אותן נקודות שעליהן יש למקד את ההגנה. על זיהוי הנקודות הרגישות יש להוסיף את הטכנולוגיה. באופן מושכל.

אבני היסוד לשילוב מושכל ואפקטיבי של הסייבר בתכנית העבודה הם:

1. וודאו כי קיימת מדיניות, תפיסה ו/או מתודולוגיה להגנה בסייבר המובילה את קו הפעולה בארגון.

2. התאימו את תכנית ההגנה ליעדים העסקיים ולתכנית ניהול הסיכונים הכללית.

3. זהו בבירור מהם הסיכונים שאנחנו לא יכולים לקבל, כאלה שעלולים למוטט את הארגון.

חפשו אינדיקציות לזיהוי התממשות סיכונים שכאלה על מנת למנוע או לפחות להפחית את השפעתם.

4. סמנו את נכסי המידע המהותיים, אלה שיש להגן עליהם באופן קשיח יותר.

5. קשרו את הנהלת הארגון להוביל את תכנית ההגנה בסייבר, המיקוד הוא בתהליכים ואח”כ הטכנולוגיה.

שתהיה לכולנו (עוד) שנת סייבר פוריה – קלה, שקטה וכזו שנרגיש שהתקדמנו בה..

צריכים עזרה בלממש טיפים אלו, צרו קשר ואנחנו בדרך לסייע.

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים, סייבר

ניהול ההגנה בסייבר בבנקאות

נכתב בתאריך November 18, 2014 על ידי orenh 3 תגובות

“התקפות סייבר נגד גופים פיננסיים הופכים להיות יותר תדירים, יותר מתוחכמים ובעיקר יותר נפוצים. נכון שהתקפות מניעת שירות (Denial of Service) מקבלות את הכותרות הגדולות, אך אנו עדים ליותר ויותר גופים פיננסיים החווים התקפות סייבר וניסיונות פריצה בשנים האחרונות”.

כך נפתח דוח “מצב הסייבר בבנקאות” שפרסמה מחלקת השירותים הפיננסים של מדינת ניו יורק, במאי האחרון. הדוח שהוגש למושל המדינה ולמפקח על הבנקים, סקר את התוכנית הארגונית והערכת העלויות המושקעות והעתידיות בתחום הסייבר של למעלה מ- 150 ארגונים פיננסיים מקומיים וזרים במדינה.

האם דוח זה היווה טריגר (נוסף?) לפרסום הוראת המפקח על הבנקים “לניהול ההגנה הקיברנטית“?

ניהול ההגנה בסייבר, כפי שמבקש המפקח, עולה בקנה אחד עם הדוח ויישומו יאפשר מתן מענה בדרגי הניהול לסיכונים הנתפסים טכנולוגיים אך עיקר השפעתם ניהולית ועסקית.

הדוח הניו יורקי מתאר עלייה גוברת במגוון איומי הסייבר והשפעתם העסקית. הדוח מציין כי:

ברמה הניהולית, מרבית הבנקים מנהלים מסגרת ארגונית הכוללת התייחסות  לסייבר. למחציתם יש תכנית אסטרטגית הכוללת גם איומים חדשים (יחסית), בעוד ה השאר מאמינים כי יעדכנו את האסטרטגיה במהלך התקופה הקרובה, בדגש על מענה לאיומים במרחב הסייבר ולהתקדמות הטכנולוגית. ברמה הטכנולוגית, ככל שהבנק גדול יותר, נראה שימוש רחב יותר בטכנולוגיות מתקדמות ותקציבים גבוהים יותר, בדגש על מתן מענה לדרישות רגולציה, פיתוח יכולות המשכיות עסקית והרחבת המוניטין הארגוני (או לפחות אי פגיעה בו).

האם הוראת המפקח על הבנקים בישראל יכולה להקדים את הבלתי נמנע? האם הוראה זו תחייב את סקטור הבנקאי בישראל להכיל עקרונות ניהול הסיכון ברמה ניהולית אסטרטגית? תחייב התייחסות דירקטוריון שוטפת?

 אין ספק שהשאיפה של מרבית הבנקים בנושאי השירותים הדיגיטליים מחייב החדרת טכנולוגיות חדשות וחדשניות. מי שמכיר פעילות עסקית חדשנית, יודע כי התחרותיות והרצון למקסום אפשרויות בד”כ משאיר את נושא האבטחה מאחור וללא טיפול הולם. מאידך, יישום ההוראה תחייב הסדרת תהליכי ממשל הגנה בסייבר וזהו בהחלט צעד ראשון ונכון בתהליך.

אחד השינויים המשמעותיים ביותר במעבר מאבטחת מידע להגנה בסייבר הוא השימוש במודיעין. ארגונים רבים מפתחים יכולות איסוף מודיעין, מתחברים לשירותי מידע מגוונים ובעיקר רוכשים מערכות עיבוד ואבטחה המותאמות לכמויות מידע ונתונים מורחבים (Big Data Analytics).

יחד עם זאת, ולמרות הרחבת יכולות הטכנולוגיה, הסייבר אינו רק הכלים. זהו מרחב פעולה עסקי הכולל תהליכים ואנשים. זהו מרחב פעולה עסקי המאפשר ומייצר הזדמנויות אין סופיות.. חלומו של כל ארגון. על מנת לנצל הזדמנויות אלו, על ארגונים להבין מהם היתרונות היחסיים שלהם, מהו המידע העסקי הרגיש שלהם, ומכאן על מה עליהם להגן. ההגנה אינה היקפית, אלא הגנה נקודתית. תקיפות במרחב הסייבר תמשכנה להתקיים ולהתעצם, ומול התעצמות זו על ארגונים פיננסיים לאסוף ולהשתמש במודיעין עסקי בהקשרי הסייבר. מטרת השימוש במודיעין הוא לנסות לזהות מי מתכנן תקיפה, למה ומה מעניין אותו. המטרה היא לשנות ולשבש ניסיונות תקיפה. הרי בסופו של דבר, התקיפות תתקיימנה, עלינו פשוט להקשות ככל הניתן ולגרום לתוקף/ים לעבור לניסיונות תקיפה על אתרים אחרים.

האם הקמת מרכז מודיעין, בין הבנקים, לשיתוף ידע רלוונטי ושימושי על איומי הסייבר תוך מיקוד באיומים ייעודיים והדרכים להתמודד מולם, כפי שהמליצה המחלקה לשירותים פיננסיים בניו יורק יכול לקום גם בישראל? האם זה הצעד הבא?

האם מרכז ידע שכזה יכול להתקיים עבור גופים מסחריים שאינם בנקים?

אשמח לשמוע את דעתכם והמלצותיכם…

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, ניהול סיכונים

ניהול סיכונים טכנולוגיים

נכתב בתאריך August 8, 2014 על ידי orenh אין תגובות

לאחרונה עולות, שוב, שאלות לגבי ההבדלים בין ניהול סיכונים ארגוני? סיכוני טכנולוגיית המידע? סיכוני אבטחת מידע וההגדרה החדשה של המפקח על הבנקים – “סיכוני הסייבר”?

לקראת כנס האיגוד הישראלי לביקורת ואבטחת מידע, בנושא “ניהול סיכוני IT כאמצעי להשגת יעדים עסקיים“, שיתקיים בתחילת ספטמבר הקרוב (רישוםבפייסבוק), התבקשתי לכתוב מאמר קצר המסביר מהם סיכוני טכנולוגיית המידע. להלן הדברים כפי שמופיעים באתר האיגוד:

לצד החתירה להצלחה עסקית משלבים ארגונים, בשנים האחרונות, תהליכי ניהול חדשים יחסית לזיהוי והערכה של סיכונים העלולים לפגוע בתפקוד השוטף של ארגון ובהצלחתו העסקית.

סיכון עסקי מוגדר כגורם או פעולה, העלולים לגרום לנזק כספי ישיר ו/או עקיף לארגון. ניהול הסיכונים הינו מכלול התהליכים והפעולות שהארגון מבצע לטובת זיהוי, הערכה, טיפול והתמודדות ישירה ו/או עקיפה אל מול אותם סיכונים שזוהו. הסיכונים מסווגים לתחומי הניהול השונים (סיכונים אסטרטגיים, תפעוליים, כספיים, ציות ונוספים) וערכם (עלותם) לארגון מחושב, על פי רוב, כמכפלה של הסתברותם להתממשות והנזק הכספי העלול להיגרם לארגון אם יתממשו.

סיכוני טכנולוגיית המידע הינם הסיכונים העסקיים הנובעים משימוש או אי שימוש ומתפעול או אי תפעול של טכנולוגיית המידע (לרבות סיכוני אבטחת מידע וסייבר). לפיכך, סיכוני טכנולוגיית המידע מהווים חלק מהסיכונים התפעוליים של ארגון.

מטרתה העסקית של פעילות ניהול סיכוני טכנולוגיית המידע היא להקטין את חשיפת הארגון לפגיעה כספית להיערך מולם. בעולם המודרני בו ליבת העסקים של ארגונים מושתתת על טכנולוגיית המידע, אך טבעי, שסיכוני טכנולוגיית המידע יהוו חלק משמעותי מניהול הסיכונים הארגוני, כאשר מרכז הפעילות תשאף לבנות סביבת בקרה המפחיתה את הנזקים לכאלו שהנהלת הארגון מוכנה לקחת על עצמה. על מנת לשפר ולמקסם את החתירה להצלחה עסקית ואת יכולת קבלת ההחלטות הארגונית (במודעות לסיכון הכללי), על תהליך ניהול סיכוני טכנולוגיית המידע לכולל את השלבים הבאים:

1. מיפוי נכסי הטכנולוגיה והמידע בארגון – הכרה והבנה של הטכנולוגיות והמידעים מולם אנו רוצים לזהות סיכונים.

2. קביעת בעלות ואחריות לנכסים שמופו – קביעת אחראיים ניהוליים למיפוי סיכונים, למדידת עוצמות ואפשרויות כשל ופגיעה וליישום מענה כנדרש.

3. זיהוי איומים וסיכונים והערכתם – לאחר זיהוי הטכנולוגיות והמידעים, ניתן להבין מהם הסיכונים והאיומים על טכנולוגיות  והמידעים הקיימים בארגון (הסיכונים המובנים בטכנולוגיה ובמידע). ניתן להעריכם על בסיס הסתברות התממשותם ופוטנציאל הנזק בגין התממשות זו וניתן להעריך במה כדאי וניתן לטפל ואיך.

4. זיהוי בקרות קיימות והערכה איכות סביבת הבקרה כנגד הסיכונים שזוהו (זהו הסיכון השיורי – הסיכון הקיים לאחר בקרה). – לרבות המלצות לשיפור. בהינתן סביבת בקרה, לעיתים ניתן לשפר ולעדכן בקרות בתהליכים העסקיים ו/או באמצעות כלים טכנולוגיים נוספים.

5. הצפת הממצאים ובניית תוכנית הפחתה לסיכונים בהתאם לרגישות הארגונית – הגורמים הניהוליים יקבלו החלטות לשיפור, התאמה ואופטימיזציה של סביבת הבקרה הארגונית.

6. מימוש תוכנית הפחתה אפקטיבית – חתירה לאופטימיזציה של משאבים לטובת הפחתת הסיכונים שזוהו.

7. מדידת מימוש התוכנית – מעקב לשיפור מתמיד של המשאבים ובחינת סיכונים חדשים / מעודכנים העלולים להשפיע על הארגון.

.

פרטים נוספים בנושא ניהול סיכוני טכנולוגיית המידע ניתן למצוא בלינקים הבאים:

מרכז הידע של ISACAקוביט 5 לסיכונים  (משתתפי הכנס הקרוב, יקבלו תרגום לעברית של הספר בחינם!!), מתודולוגיית RISK IT .

פוסטים שפורסמו כאן בעבר בנושא זה:

 

מה לניהול סיכונים ולשיפור תהליכים עסקיים?

 

הפיכת סיכונים להזדמנויות

 

ניהול סיכונים עבור טכנולוגיית המידע

 

רוצים לומר את דעתכם? אתם מוזמנים לפנות ולהגיב…

 

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

ממשל הגנה בסייבר

נכתב בתאריך May 29, 2013 על ידי orenh תגובה אחת

בחודשים האחרונים, לצערי, מיעטתי לפרסם פוסטים, וזאת עקב כניסה מעמיקה לעולם הסייבר.
בחודשים אלו אני משמש כיועץ בתחום בגוף בטחוני גדול.
כל מי שמכיר אותי או לפחות קורא את הפוסטים שלי, יודע שאני דוגל בניהול ארגוני מבוסס עקרונות ממשל. כמו כן הוא יודע שאני מתמקצע בממשל טכנולוגיית המידע וממשל אבטחת מידע.
ניהול זה מתחיל בקביעת המדיניות והאסטרטגיה הארגונית, ומכאן כל מרכיבי ותחומי הניהול, דרך התהליכים העסקיים, הפעילויות הפנים ארגוניות וההתנהלות מול גורמים חיצוניים כגון לקוחות, ספקים ושירות נגזרים מאותה אסטרטגיה. וזאת, תוך כדי ניהול סיכונים (מרכזי במידת האפשר) ומדידת הביצועים אל מול דרישות חוק ורגולציה וכמובן המטרות והיעדים העסקיים.

מה יותר טבעי להנהיג עקרונות אלו בניהול אחד מגורמי הסיכון הגבוהים ביותר בשנים האחרונות – איומי התקיפה בסייבר? ובמיוחד במקומות הרגישים והחשופים ביותר לאיומים אלו – המגזר הבטחוני?
הרי במה צריך ארגון לטפל? בסיכונים בעלי הסתברות גבוהה להתממש ובסיכונים בעלי השפעה פוטנציאלית גבוהה ביותר. תוצאת מכפלת שני הגורמים הללו (סבירות והשפעה) היא המשתנה המשפיע ביותר בתעדוף טיפול בסיכונים.

רבות נכתב, נאמר והופץ בנושא הסייבר. אין ספק שהמילה סייבר נמצאת במודעות של מרבית המנהלים והעובדים, מי יותר ומי פחות, ועדיין מרביתם לא יודעים מה לעשות אם בכלל נדרש לעשות בנידון. חשוב לציין כי למרות שאיומי הסייבר הם איומים טכנולוגיים, הבעיה היא בעיה עסקית לכל דבר. המשמעות של תקיפה בסייבר היא לאו דווקא פגיעה, לעיתים היא נועדה לריגול עסקי, ללימוד ותרגול תקיפות, ולצערנו לעיתים אפילו כשעשוע.

בפוסטים הקרובים,  אתמצת סדרת מאמרים שכתבתי, אשר תופיע בגיליונות הבאים של עיתון האיגוד העולמי לאבטחת מידע (ISSA), הצאפטר הישראלי – Global Security. מאמרים אלו באים להציג את השימוש בעקרונות ממשל בתחום הסייבר. פעולות שבעיני ובעיני מומחי סייבר רבים לא רק חשובות לביצוע, אלא אפילו נדרשות לביצוע.

אז בואו נתחיל ללמוד מה עושים עם המושג סייבר.

ראשית, המילה סייבר (Cyber) נגזרת ממילת התואר היוונית “סייברנטיק”  (Cybernetic – κυβερνητικός ), שמשמעותה: בעל כישורי הובלה / משילות גבוהים. כבר ניתן למצוא את הקורלציה בין ממשל לסייבר. היום, המילה סייבר מופיעה כקידומת למגוון תיאורים הקשורים להובלה ומשילות בנושאי מחשוב, רשתות, תקשורת ובמיוחד אינטרנט. המושגים העיקריים הינם:  Cyber Space, Cyber Security, Cyber Warfare, Cyber Crime ועוד ועוד.

הסייבר, או יותר נכון מרחב הסייבר (לעיתים משתמשים גם במושג מקביל – המרחב הקיברנטי) הוא מרחב לוגי, וירטואלי, המתאר את כל המחשבים ורכיבי התקשורת המחוברים יחדיו באלפי ומליוני רשתות תקשורת שונות, לרבות, כל המידע העובר על גבי תשתיות תקשורת אלו.
במילים פשוטות להדיוטות – כל מה שנמצא על מחשב.

בעולם המציאותי, זה שאנו חיים בו, הכל ממוחשב. ולכן האיומים רלוונטיים לאדם הפשוט, לחברות קטנות, לארגונים גלובליים ואף למדינות, מהקטנה ביותר ועד למעצמות.
כולם חשופים. חשופים לפשעי סייבר וללוחמת סייבר. חשיפות אלו באות לידי ביטוי ממתיחות קטנות של אנשים פרטיים ללא סיבה מוקדמת (בעיקר להוכיח “שאני יכול”), דרך התחזות לאנשים באופן דיגיטלי (למגוון סיבות שונות), הונאות כספיות, ניצול מיני ועד לתקיפות מכוונות של מדינות במדינות אחרות
(כיוון שאינני פושע סייבר, יכול להיות שפספסתי איומים וחשיפות נוספות 🙂 )

האם באמת הכל כל כך שחור? אז מה עושים? איך מגנים? על מה מגנים?

ובכן, קודם כל לא הכל שחור. אולי קצת אפור ולעיתים אפילו קהה, אך לא שחור.

הפעולות שכל אדם או ארגון יכולים לעשות על מנת להבהיר את האפור ולהלבין אותו הם קודם כל לחשוב ולהבין מה השתנה ואיך זה משפיע עלינו כפרטים וכארגון. התאמת מדיניות הגלישה באינטרנט כפרטים והתאמת מדיניות אבטחת המידע כארגון הוא צעד ראשוני להתמודדות מול איומי הסייבר.
לארגונים, ממליץ לעבור על היעדים העסקיים של הארגון ולבצע התאמות בהתאם ליעדים אלו.
כארגון, החליטו מהי מדיניות ניהול הזהויות בארגון, השימוש במחשוב נייד, במחשוב ענן, השימוש בביג דטה ושאר הנושאים הטכנולוגיים, כאשר לכל ההחלטות הללו, קבעו קריטריוני סף לאבטחה, הושיבו את המנהלים הטכנולוגיים והעסקיים יחד והבינו משמעויות.

פעולה נוספת היא הגברת המודעות. כפרטים, קצת קשה לומר להגביר מודעות, ועדיין אפשר להעמיק בהבנה ובמשמעות של פעולות שאנו עושים. לארגונים, לעומת זאת, אני מאוד תומך בתוכניות הגברת מודעות לעובדים. מחקרים רבים מצביעים על הגורם האנושי כחלק החלש בשרשרת האבטחה. הינדוס אנושי (Social Engineering) הוא עדיין כלי התקיפה הטוב ביותר לתקיפות סייבר ולכן, גם כפרט וגם כעובד חברה, אל תפתחו מיילים שלא מזוהים, אל תגלשו לאתרים “מפוקפקים”, אל תריצו קבצי קוד והרצה שאינכם מכירים וכאשר אתם משלמים באינטרנט, הקפידו על פרוטוקול מאובטח (HTTPS), בדקו שהכתובת אכן שם הספק, השתמשו בגורמי תשלום צד שלישי וכדומה. קצרה היריעה מלספק את מגוון האפשרויות ומצבי ההתגוננות, אך לסיכום, המנעות מדברים שאינם מוכרים תצמצם אפשרויות תקיפה בהינדוס אנושי.

פעולות נוספות הרלוונטיות בעיקר לארגונים היא סיווג המידע והתהליכים על מנת להקצאות משאבים (כספיים ואנושיים) להגנה על “נכסי מידע” חשובים יותר. ככל שהתקציבים קטנים יותר, כך המשמעות לסיווג מידע גבוהה יותר. הרי בסופו של דבר, לא ניתן להגן על הכל ומול הכל.

.

כיוון שיש פעולות אקטיביות נוספות שניתנות לעשייה, בפוסט הבא, אתמצת את המאמר המדבר על הפעולות הטנוכלוגיות המומלצות להתמודדות ארגונית מול איומי ותקיפות סייבר.

אשמח לשמוע את דעתכם ותובנות נוספות העולות מקריאת פוסט זה. כמו כן, אני קורא ומזמין את כולכם לכנס השנתי השני של איגוד אבטחת המידע לשמוע על אופני התמודדות מול איומי הסייבר. הרישום כאן.

בתקווה שהפוסט הבא לא יחכה חודש ליציאתו 🙂

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, ניהול סיכונים

ממשל מדיה חברתית

נכתב בתאריך April 17, 2013 על ידי orenh 2 תגובות

בפוסט הקודם, ציינתי כי אחת ההרצאות המרתקות ששמענו בכנס מנהיגי ארגון מבקרי ואבטחת מערכות מידע העולמית, היה על ממשל מדיה חברתית. ההרצאה הועברה ע”י נציג הסניף הדרום אפריקני, מר טישאונה זורורו (Tichaona Zororo) או בקיצור טיש.
טיש הוא בעל מספר רב של הסמכות בתחום הביקורת, הטכנולוגיה וניהול סיכונים. בנוסף להיותו חבר הנהלה ב- ISACA  הוא גם חבר הנהלה בלשכת המבקרים הפנימיים בדרום אפריקה – IIA.

המצגת החלה בנתונים בסיסיים של הגדרת מדיה חברתית, נתונים לגבי השחקנים הראשיים במדיה כגון פייסבוק כמובן, לינקדאין, טוויטר ויו טיוב… כמות לקוחות, כמות פרסומים, הכנסות ומפרסמים גדולים, בקצרה: מדובר על מספרים דמיוניים שקשה לבטא במילים לא מבחינת כמות, עומס פרטים ובעיקר ברווחים.

ואז החלו השאלות המעניינות – שאלות לגבי התייחסות ארגונים לנושא המדיה החברתית. למשל, כמה ארגונים אתם מכירים שיש להם נהלים ברורים לגבי מדיניות השימוש במדיה החברתית? לכמה ארגונים יש בנהלים הפרדה בין פרסום רשמי של הארגון לבין פרסומים אישיים של בעלי תפקיד בארגון? האם לאותם ארגונים בודדים שיש מדיניות ונהלים לגבי מדיה חברתית, האם העובדים בכלל מודעים למדיניות שכזו? ובמקרים הנדירים שקיימת מודעות, האם הנהלים כוללים הנחיות שקופות וברורות לעובדים לגבי השימוש במידע ארגוני במדיה האישית שלהם?
האמינו לי, זה רק מסתבך…

ועכשיו, ברשותכם, אשאל אתכם הקוראים, האם יש בארגונכם הנחייה כתובה לנושא? סטטיסטית התשובה היא לא. ועדיין על מנת לשחק את המשחק, בואו נגיד שכן. האם המדיניות, הנהלים ו/או ההנחיה מופצים לכלל העובדים? האם יש דרך לאכוף אותם? האם מתקיימות תוכניות מודעות בנושא?

למה בעצם, קיימת חשיבות למדיניות השימוש במדיה חברתית? כיצד זה משפיע על הארגון?

על מנת לענות לשאלה הנ”ל, להלן מספר דוגמאות בנושא:

חברת נטפליקס, היא חברה נסחרת המשווקת מדיה טלוויזיונית על רשת האינטרנט בתשלום. ביולי האחרון, המנכ”ל שלה, ריד הסטינגס פרסם בעמוד הפייסבוק שלו, כי לראשונה, במהלך חודש אחד (יוני 2012, א.ה) נרכשו למעלה ממליון שעות צפיה מהחברה. מניות החברה קפצו עשרות אחוזים למחרת והרשות לניירות ערך האמריקאית (SEC) הגיבה בפנייה לבית המשפט באשמת הצהרה שאינה חוקית – Inappropriate disclosure… האם פרסום אישי בפייסבוק יכול להיות כה משמעותי עבור משקיעים? האם מדובר בצינור פרסום רשמי? לגיטימי? שאלה מצויינת..
דוגמא נוספת: לחברת קוקה קולה יש  63,000,000 (שישים ושלושה מיליון !!!) עוקבים בפייסבוק. המספר צומח בכל יום ויום. האם פרסום מוטעה או מטעה באתר יכול להשפיע על הצרכנים? האם ניתן לפרסם כל מה שרוצים בעמוד שלהם?
הדוגמא האחרונה שאציג היא ההזויה ביותר. מי לא זוכר שבשנת 2010 מיכלית של חברת הנפט BP דלפה ושמן הציף את מימי מפרץ מקסיקו. אירוע שהפך להיות התאונה הימית אקולוגית הגדולה בכל הזמנים. באותה עת, לחברת BP היו כ- 15,000 עוקבים בטוויטר. בעת האירוע, צץ חשבון חדש של החברה שמפה לאוזן רשם 175,000 עוקבים.
ההבדל היחידי היה שהיה מדובר בחשבון בעל שם החברה אך מאחוריו עמדה קבוצת פרסום שפרסמה פרודיה על מנהלי החברה ושמה את האירוע ותגובת החברה ללעג.

אז מה אתם אומרים, יש משמעות למדיניות מדיה חברתית?

נכון, מדובר במגה אירועים שבמדינתנו הקטנה, לא סביר שיקרו. בעצם, למה לא?

האם ציוץ אישי של סמי פרץ, עורך דה מרקר, יכול להיות משמעותי? האם הציוץ של אשת שי אגסי יום לפני פיטוריו מבטר פלייס יש משמעות? ויש עוד לא מעט מקרים בהם ניתן להשפיע במדיה החברתית, ברצון או באילוץ כאשר מדובר במישהו המפרסם עליכם.

בשורה התחתונה:

פיתוח מסמך מדיניות ארגוני המגדיר את השימוש במדיה החברתית באופן ברור, לרבות תחומי אחריות, בעלי הסמכות, מסלול האישורים שיש לקבל על מנת לפרסם, מה מותר ומה אסור בחשבונות אישיים של עובדים ותוכנית הפצה ומודעות לעובדים, הופכים להיות הרבה יותר נדרש מרצוי. וזאת עוד לפני הסיכונים של אבטחת המידע הארגוני שעלול להתפרסם במדיה החברתית מבלי שבכלל נדע על כך.. למי שעוקב אחר הפוסטים, יודע שבעידן סיכוני סייבר, זליגת המידע לא פחות חשובה מהגנה היקפית. במיוחד כשהמידע מופץ ללא כוונות זדון אך משמש תוקפים פוטנציאליים.

אז למה אתם מחכים? קדימה לעבודה.. בואו ניצור תוכנית לארגונכם.

מי אמר ממשל מדיה חברתית ולא קיבל ??

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, ניהול סיכונים

כנס הנהגות האיגוד לביקורת ואבטחת מערכות מידע 2013

נכתב בתאריך March 14, 2013 על ידי orenh אין תגובות

בסוף השבוע האחרון, התקיים כנס הנהלות מדינות אירופה ואפריקה של האיגוד העולמי לביקורת ואבטחת מערכות מידע (ISACA). הכנס התקיים בתל אביב והופק על ידי חברי הסניף הישראלי.
לשמחתי, היה לי הכבוד לקחת חלק קטן בתהליך ההכנה וחלק גדול בהשתתפות עצמה.

הכנס כלל כשלושים נציגים ממרבית מדינות אירופה וכעשרה נציגים ממדינות אפריקה. מעבר לתחומים המקצועיים שהועלו ע”י נציגי המדינות השונות, היה מעניין מאוד לשמוע את נציגי המדינות השונות בקשיים העומדים בפניהם כאשר הם באים להטמיע עקרונות ממשל, ביקורת, ניהול סיכונים ואבטחת מידע בארגונים במדינותיהם.

השיחות המעניינות ביותר, היו השיחות האישיות, שיחות הרישות (Networking), החיבור האנושי בין האנשים, במקומות ובקשיים שאיתם הם מתמודדים ואותם הם מנסים לפתור בחיי היום יום.

אחת השיחות היותר מעניינות, מבחינתי, הייתה עם עמיתנו נציג הסניף האתונאי מיוון.

הבחור, מלא אופטימיות וחיוך, זורח וזחוח בכל עת, פועל במדינה הרוסה כלכלית, בעיר שהפכה לבית קברות, אל מול ארגונים שתחום הממשל, הביקורת ו/או אבטחת המידע לא בדיוק בראש מעייניהם.

על פי הנתונים שהוצגו, באתונה למעלה מחצי מליון (!!) בתים שעקב אי עמידה בהחזר משכנתאות פונו הדיירים והן עומדות שוממות בכל רחבי העיר, ומכאן ערך הדירות שווה לבערך 20% משווים לפני המפולת הכלכלית. בעיר אבטלה של 50% (שני מליון (!!) איש מתוך ארבעה מליון תושבים), ובמיוחד, אין אף אחד שיעשה משהו לשינוי.

ודווקא בגלל שכך, האיש בנה תוכנית עסקית, מבוססת עקרונות ממשל, וחישובים כלכליים המאפשרת להגשים את חזון תקומת העיר אתונה, ובחזונו אף את יוון כולה.

לראייתו, יש להקים גוף ניהולי בכיר המערב נציגי האוכלוסייה, העיר והמדינה בכלל (הגוף המושל עבורנו), שיגדיר מהם גבולות הגזרה שבה ניתן יהיה לפעול. בהנתן הקווים הכלליים, באמצעות הריסה של שכונות “נטושות”, ניתן יהיה לבנות מגדלי אכלוס במחירים בהם “מפוני הבתים” יוכלו להתקיים ולגור וניתן יהיה להשקיע בצורה מאסיבית בתשתיות מה שיצריך בעיקר כוח עבודה (המובטלים) ומדידת ההתקדמות על מנת לייצר החזר השקעה (ROI) מתאים לקצב התקדמות הפרויקט.

למרות שקצת קשה לפרוס תוכנית של 20 עמודים בפיסקה אחת (אני זכיתי לקרוא את מלוא התוכנית), ניתן לראות מייד כי ההגיון העומד מאחורי התוכנית כל כך פשוט ובר ביצוע. התוכנית אינה ממציאה אפילו לא גלגל אחד, אלא פשוט לוקחת עקרונות של הגיון, יוצקת תוכן כלכלי והחזרי השקעה, מגדירה תחומי אחריות וסמכויות ומכילה פיקוח ומדידה כמותית ואיכותית להתקדמות.

אם זה לא ממשל? אז מה כן?

הדוגמא הזו ממחישה בזעיר אנפין את הרעיון שעומד מאחורי עקרונות ממשל.

אני חייב להודות שאני לא רואה חלופה ניהולית טובה יותר, הן בשוטף והן בעת משבר, מאשר פעולה על בסיס עקרונות ממשל.

הגדרת יעדים ומטרות, תיחום גבולות גזרה, חלוקת אחריות וסמכות, ומדידה מתמשכת זה ליבו של הסיפור. הסיפור של יוון, הסיפור של ממשל ארגוני והסיפור של ממשל טכנולוגיית המידע.

הרצאה נוספת שריתקה את מרבית השומעים הייתה בנושא ממשל מדיה חברתית בארגון. אבל זה כבר בפוסט הבא…

פורסם בקטגוריה כללי, ממשל

חדשנות וממשל טכנולוגיית המידע

נכתב בתאריך February 12, 2013 על ידי orenh אין תגובות

נושא החדשנות מקבל בשנים האחרונות מימד נוסף מעבר לטכנולוגיות חדשות.
חדשנות נתפשת כדברים חדשים, טכנולוגיות חדשות או אפילו ליכולות חדשות.

האם לכך הכוונה? האם נכון לומר כי בזה מסתכמת החדשנות? אם כן, מדוע ארגונים מקימים מחלקת חדשנות? מהי מטרת המחלקה? ואיך כל זה קשור לממשל טכנולוגיית המידע?

אם כך, בואו נתחיל בהגדרה מקצועית של חדשנות (Innovation): “פיתוח ערך ללקוח דרך פתרונות הנותנים מענה לצרכים חדשים, לצרכים לא מוגדרים או צרכים ישנים בדרכים חדשות”.
ובמילים פשוטות יותר (שלי): חדשנות היא יצירת ערך חדש ו/או נוסף מפתרון קיים.
בעיני, החדשנות, מעבר לדברים חדשים שלא הכרנו, היא בעיקר לקחת משהו קיים “ולהמציא” ממנו ערך נוסף ממה שהוא נתן עד כה. רמז לבאות: ממשל טכנולוגיית ואבטחת מידע מביאים ערך נוסף לניהול הטכנולגי…

חדשנות היא מצרך יקר!! המצאות חדשות, חידושים ויזמות נדרשים יותר ויותר כדי לשרוד בעולם העסקי בו אנו חיים וזה נכון באופן גורף בכל המגזרים ובמרבית הארגונים.
“החדש” מתיישן מהר יותר מבעבר, מה שגורם להגברת הדרישה לחדשנות תמידית. לכן, התחרות על הגורם האנושי מתחדדת והחיפוש אחר חשיבה לא שגרתית, המוכרת אצל מרבית המנהלים בשם: חשיבה מחוץ לקופסא, מקבלת תאוצה יותר ויותר.
בעולם הטכנולוגי ישנם שני סוגים של פתרונות, מחד, פתרונות קלאסיים של פיתוח מתוך הידע שנצבר ומאידך, פתרונות “חדשניים”, בלתי צפויים ובלא מעט מקרים די פשוטים, המנצלים ידע קיים ונותנים לו פרשנות חדשה וערך חדש ו/או נוסף. ככל שהמורכבות הטכנולוגית עולה, גובר הצורך בפתרונות חדשניים על מנת להמשיך ולהתקדם טכנולוגית.

אם כך, איך מעוררים חדשנות?

ראשית, חדשנות מתבססת על חשיבה בין תחומית. אם פתרונות קלאסיים מבוססים בעיקר על הנדסת תוכנה ומדעי המחשב, הרי שפתרונות חדשניים באים מדציפלינות שונות. עולם החי, בוטניקה, תעשייה וניהול, פסיכולוגיה ואחרות, כולן דציפלינות שאינן חלק מהטכנולוגיה אך בעלות השפעה גדולה מאוד על חלק לא מבוטל מההמצאות הטכנולוגיות המשמעותיות ביותר בחמישים שנה האחרונות (אני מניח שמבנה רשת האינטרנט המבוססת על תפיסת ומבנה קורי העכביש היא הדוגמא הנפוצה והידועה ביותר). הראיה הבין מערכתית, מביאה לשינוי בחשיבה ולנקודת מבט אחרת ממה שהיה נהוג עד כה.

אחד המאפיינים העיקריים של חדשנות הוא שינוי ניסוח הבעיה.

בעוד הגישה הקלאסית מנסחת את הבעיה בלוגיקה מסויימת של שינוי ו/או שדרוג מצב קיים, גישת החדשנות מדברת על מטרה שאליה אנו רוצים להגיע מבלי להתייחס בהכרח למצב הקיים. כלומר, במקום לשאול “איך משנים?” לשאול, “מה המצב הרצוי? מה הפער ממצב קיים? מה ניתן להסיק מפער זה?”.

הרבה מאוד פעמים, הפתרונות נמצאים ממש מתחת לאף שלנו. על מנת למצוא אותם, עלינו לשנות את אופן החשיבה ולעיתים אף את המוצר שאנו מפתחים או את השירות שאנו מספקים ולבנות אותו מחדש על מנת להשיג תוצאות טובות ומקיפות יותר מהמצב הקודם. ארגון מחודש של המוצר / השירות יכול להניב תפקוד רב יותר מכל אחד מרכיביו ובפתגם מוכר: השלם גדול מסך חלקיו.

אם נחזור רגע לשאלות המקוריות,  אז תגידו לי בבקשה, איך כל זה קשור לממשל? ומדוע ארגונים מקימים מחלקת חדשנות?

למרות שאינני מתיימר לענות לשאלה הזו באופן גורף, אני בהחלט רואה בהתבססות על ממשל טכנולוגיית ואבטחת מידע סוג של חדשנות. היכולת להבין מבנה ארגוני, תהליכים עסקיים, יעדים ומטרות הנמדדים במדדים עסקיים, מחייבת הסתכלות שונה ואחרת לחלוטין על הפעילות הטכנולוגית. השימוש במתודולוגיות ובתקנים, מאפשרת למנהל המצוי להרים רגע את הראש מעל השגרה השוחקת ולבחון האם התהליכים הטכנולוגיים אכן מבצעים את אשר הם מיועדים לעשות? האם לא ניתן וכדאי לבחון אפשרויות לשיפור? להתייעלות? למתן תמיכה והעצמה של תהליכי הליבה הארגוניים? בעצם, שימוש בעקרונות ממשל מאחדים תפיסות וראיה ניהולית כוללת של מנהלים בעלי התמחויות שונות (מולטי דיצפלינארי) על השימוש ויכולת הניצול של מערך הטכנולוגיה ואבטחת המידע להשגת יעדים ארגוניים.

באחד הפוסטים הקודמים, ובבכלל במרבית הפוסטים שלי, אני כותב שעל מנהל טכנולוגיה ואבטחת מידע  להבין את הצרכים הארגוניים, התהליכים העסקיים ולחבר את עבודתו, בראש ובראשונה, להשגת היעדים הארגוניים. שימוש בעקרונות ממשל מאפשרים ומחייבים את המנהל הטכנולוגי להתערות, ללמוד ולהבין את הארגון בו הוא פועל.

האם פעילות זו לא מניבה חדשנות? האם הרחבת הסינרגיה בין המחלקות הטכנולוגיות והעסקיות ושיפור ההבנה בתהליכים הארגוניים לא מספקת ראיה רב תחומית ורב ממדית לאתגרים העומדים בפני הארגון ? האם שימוש במתודולוגיות ותקנים שהוכיחו אצמם בעשרות ומאות ארגונים לא מהווה הרחבת התפיסה של ניהול טכנולוגי? של איכות השירות? של אבטחת המידע הארגוני?

חברים, ממשל טכנולוגיית ואבטחת המידע מהווים חממה לפיתוח יכולת החדשנות בארגון, אז מה הפלא שארגונים רבים מקימים מחלקת חדשנות? וכמה לא מפתיע שחלק גדול מהם מאמצים עקרונות ממשל עבור ניהול הטכנולוגיה ואבטחת המידע בארגון.

רוצים להוסיף הערות? חושבים על דוגמאות נוספות? אני בטוח שכולם ישמחו לקרוא..

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים