מנהל אבטחת המידע החדש

נכתב בתאריך January 28, 2013 על ידי orenh אין תגובות

השבוע הרצתי בפני  תלמידי קורס CISO של חברת טיטנס סקיוריטי, בנושא ממשל אבטחת מידע.

במהלך השיעורים הצגתי לתלמידים את תפיסת עולמי האומרת שמנהל אבטחת מידע הוא בראש ובראשונה מנהל ובנוסף יש לו התמחות מסויימת. במקרה שלהם, תחום ההתמחות הספציפי הוא אבטחת מידע.

הדגש בשיעור היה הצורך של מנהל אבטחת המידע להבין תהליכים עסקיים, לא פחות מטכנולוגיה, ולמצוא איך לאפשר את התנהלות התהליכים בצורה תקינה ככל הניתן, תוך שמירה על אבטחת המידע הזורם בתהליכים אלו.  היה חשוב לי לומר, כי דווקא כיוון שההתמחות שלהם היא טכנולוגית, זה מחייב יכולת ניהול גבוהה ממנהל של תהליכים עסקיים אחרים.

למה בעצם? למה נדרש ממנהל אבטחת מידע, או מנהלי טכנולוגיות בכלל, יכולת ניהולית גבוהה יותר? מיהו מנהל אבטחת המידע החדש? ובמה הוא שונה מהעבר?

בשנים האחרונות בכלל ובשנה האחרונה בפרט, ישנם לא מעט סקרים ומאמרים בנושא. אחד הסקרים שקראתי לאחרונה פורסם ע”י חברת IBM, תחת השם Finding a strategic voice. הסקר מצא כי שני שליש ממנהלי אבטחת המידע מאמינים שמנהלים בכירים בארגונים בהם הם עובדים, מבינים יותר ולכן נותנים יותר תשומת לב לאבטחת מידע, לעומת המצב לפני שנתיים או שלוש.

קצת נתונים על הסקר: הוא כלל 138 מנהלים הן מהצד הטכנולוגי והן מנהלי תהליכים אחרים בארגון. בנוסף למנהלים, בוצעו ראיונות עומק עם 25 אנשי אבטחת מידע בכירים, והנתון האחרון הוא שלמעלה מ- 75% מהנשאלים היו מארגונים של למעלה מ- 1,000 עובדים.

הסקר העלה שמנהלים עסקיים מודאגים יותר ויותר מנושא אבטחת המידע בתהליכים הארגוניים. אחד האתגרים הגדולים ביותר העומדים מול מנהלי אבטחת המידע הוא להבדיל בין איומים חיצונים לאיומים פנימיים, והטמעת טכנולוגיות חדשות המתמודדות עם הבדלים אלו וכל זה תוך שמירה על חוקים ודרישות רגולציה, ולבסוף, שלמעלה מ- 50% מהנשאלים שמים את אתגר אבטחת המידע במחשוב נייד (טאבלטים וסמארטפונים) כאתגר המהותי ביותר לשנים הקרובות. אחד הנתונים המעניינים ביותר מהסקר הוא שאצל למעלה מ- 70% מהנשאלים (להזכירכם, לא רק מהצד הטכנולוגי) תקציב אבטחת המידע בארגונם גדל בשנה האחרונה ולהערכתם ימשיך לגדול גם בשנים הבאות. כלומר, זה לא רק בתחושה, אלא גם בהקצאת יותר משאבים לתחום אבטחת המידע. ואכן, לאור המגמות הללו, ניתן להסיק כי הציפייה ממנהלי אבטחת מידע משתנה ומגורם האחראי על אבטחת מערכות הארגון, הופך מנהל אבטחת מידע להיות מנהל סיכונים ברמה הגבוהה ביותר והציפייה עוד תמשיך לעלות.

אם בעבר מנהל אבטחת המידע נדרש בעיקר להגנה היקפית של רשת הארגון, הגדרת מדיניות, כתיבת נהלים ובעיקר להגיב לאירועים… הרי שכיום זה פשוט לא מספיק.

מנהל אבטחת מידע (מודרני) נדרש להרבה יותר, הוא נדרש לבצע:

– פיתוח תוכנית הגנה לנכסי מידע נקודתיים (בד”כ בעלי רגישות גבוהה לארגון)

– הפחתת סיכוני אבטחה בתהליכים עסקיים, תוך הבנת התהליכים הארגוניים ובשילוב עם גורמי ניהול הסיכונים הארגונייים (לאוו דווקא רק של טכנולוגיה ואבטחת המידע)

– עבודה מול גורמי אכיפה חיצוניים – גורמי חוק, ביקורת חיצונית ובקרה פנימית

– זיהוי מקורות תקיפה על הרשת הארגונית וניסיונות לגניבת זהויות ארגוניות

– לבצע בדיקות מוכנות ותגובה למקרי אבטחת מידע נקודתיים (Security breaches)

.

מיותר לציין שדרישות אלו לא היו קיימות לפני כמה שנים. אז מה השתנה?

אני מאמין שבראש ובראשונה השינוי נובע מהתפתחות יכולות התקיפה וההכרה כי לא ניתן להגן על פלטפורמת המחשוב הארגונית באופן מוחלט. אם בעבר, תפיסת אבטחת המידע הייתה סביב בניית חומות הגנה וכלי איתור נסיונות כניסה במרכיבים המוגדרים לתעבורה, הרי שתפיסה זו כבר אינה רלוונטית. תפיסת ההגנה בעידן איומי הסייבר גורסת כי לא משנה כמה חומות וביצורים נבנה סביב הרשת הארגונית, תוקף מיומן יצליח לחדור אותן. ולכן יש חשיבות גדולה בסיווג נכסי המידע ורכיבי הרשת תוך התאמת הגנה ייעודית לכל אחד מהם בהתאם לדרישה העסקית.

סיבה שניה ולא פחות חשובה, היא ההבנה שלא כל סיכון אבטחתי נפתר באמצעות כלי טכנולוגי ואנשי אבטחת המידע הם לא תמיד גיבורי על טכנולוגיים שיצילו את הארגון.
הבנה זו יוצרת מעבר מניהול כלי אבטחה לניהול סיכונים. מנהל אבטחת מידע “חדש” מבין כי תפקידו לשלב בין הצורך בהגנה על המידע הארגוני לבין הצורך בהרצת התהליכים העסקיים. עליו לתקשר את הצורך בהגנת המידע בשפה ברורה ומובנת לקולגות הלא טכנולוגיים שלו (במילים אחרות, בשפה ניהולית / עסקית ולא טכנולוגית), מבלי שתורגש הפרעה להתנהלות התהליכים העסקיים.

אם כך, בואו נחזור לשאלה המקורית –  מדוע מנהל אבטחת מידע נדרש ליכולת ניהולית גבוהה יותר?

ובכן, תשובתי במהלך ההרצאות הייתה שמנהל “רגיל” צריך לדעת לדבר ולנהל את צוות העובדים שלו (ניהול כלפי מטה) והן את המנהלים שלו (נהול כלפי מעלה), רק שמנהל אבטחת מידע, ולמעשה כל מנהל טכנולוגי, עושה זאת בשפות שונות !!

על מנהל אבטחת המידע לדבר “ניהולית – עסקית” עם מנהלים מקבילים אליו ומול המנהלים הישירים שלו ושבפה “טכנולוגית” אל מול צוות העובדים שלו. ובחשבון פשוט, לדעת שתי שפות קשה יותר משפה אחת.

סט היכולות להן מנהל אבטחת מידע נדרש כולל (ולא רק):

– הכרות מעמיקה ככל הניתן של תהליכי העבודה בארגון לרבות הבנה של היעדים האסטרטגיים

– יכולת תקשורת מילולית גבוהה

– יכולת לימוד גבוהה ואת הרצון להתעדכן תמידית

– הבנה של ניהול סיכונים ועקרונות ממשל

– ידע ובעיקר הבנה טכנית / טכנולוגית גבוהה

ואם כל זה לא מספיק, אז תפקיד מנהל אבטחת מידע הוא גם לאפשר ואפילו לדחוף את הארגון לפעילות פרואקטיבית הפועלת אל מול סיכונים לפני מימושם במקום לפעול כתגובה לאירועים.

אני בטוח שלחלקכם יהיה מה להוסיף ולהרחיב, ואתם יותר ממוזמנים לעשות זאת.

ואם נפשכם חפצה בלימוד מתקדם על מנהל אבטחת מידע חדש אתם יותר ממוזמנים להצטרף אלינו לקורס CISO ולשמוע את הפרזנטציות במלואן…

מחכה לתגובתכם ולהארותיכם….

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ניהול סיכונים

פעולות למימוש אסטרטגיית טכנולוגיית המידע

נכתב בתאריך December 5, 2012 על ידי orenh אין תגובות

כחלק מיישום ממשל אבטחת מידע, ראינו בפוסטים הקודמים, כיצד כותבים אסטרטגיית אבטחת מידע ולא פחות חשוב, ואולי אפילו יותר, איך מתקשרים אותה להנהלת הארגון.

ומה עם שאר תהליכי טכנולוגיית המידע?

מה הפעולות הנדרשות מיחידת הניהול הטכנולוגית אשר ברצונה ליישם עקרונות ממשל בטכנולוגיית המידע?
האם עליו להתבסס על אותן עקרונות פעולה כמו של מנהל אבטחת המידע?
האם אופן התקשור להנהלה זהה?

על מנת לענות על השאלות הללו, בואו נתחיל מההתחלה.

התשובה היא: כן!! עקרונות הפעולה ועקרונות העברת המידע להנהלת הארגון זהים לחלוטין.

גם למנהל מערכות המידע או מנהל הטכנולוגיות (תלוי בתארים בהם ארגונכם משתמש), הקלף החזק ביותר מבחינתו, היא שילוב הצרכים הטכנולוגיים בתהליכי הליבה הארגוניים.

ברגע שהמנמ”ר (ברשותכם אשתמש במונח הנ”ל אך הוא רלוונטי גם לתואר שאתם נושאים עימכם) מצליח להעביר את המשאבים הטכנולוגיים הנדרשים לחזקת צרכים עסקיים ו/או ההשקעות בתהליכים העסקיים הרי סיכוייו להצליח ולקבל את המשאבים הנדרשים, גבוהים הרבה יותר.

במקביל, על המנמ”ר (או אתם) להבין לאן מועדות פני הארגון שלכם ולבחון מהם הטכנולוגיות המתאימות ביותר להשגת המטרות והיעדים שהארגון מציב לעצמו. שבו עם המנהלים העסקיים והבינו יחד איתם כיצד הטכנולוגיה יכולה לקדם, לשפר, לייעל, לבקר את התהליכים העסקיים. ברגע שתצליחו לעשות כה, הרי דרככם סלולה קדימה.

כיוון שעל עקרונות הממשל כתבתי כל כך הרבה פעמים, אנסה לשדרג את הפוסט באמצעות פריטת התיאוריה למעשים בפועל.

אם כך, מהן הפעולות שכמנמ”רים תרצו לעשות על מנת לקדם את יחידתכם:

יצירת צוות מקבלי החלטות עבור טכנולוגיית המידע
על הצוות לכלול בנוסף להנהלת טכנולוגיית המידע, נציגי (רצוי מנהלי) היחידות העסקיות העיקריות בארגון: ניהול הכספים, השיווק, הרכש ואחרים בהתאם לצורכי הארגון. ולא פחות חשוב, בצוות זה חייב לשבת לפחות נציג אחד מההנהלה הבכירה של הארגון.

קבלת החלטות בנושאי השקעה טכנולוגית באמצעות מנהלי היחידות העסקיות.
על המנמ”ר ואנשיו להציג ולאפשר למנהלי היחידות העסקיות השונות להבין מהן ההשקעות הנדרשות על מנת לקיים / לשפר / למחשב / לנטר / לבקר את התהליכים העסקיים שלהם (על ההחלטה להתקבל לא במחלקת טכנולוגיית המידע, אלא ביחידות המשתמשות בטכנולוגיה).

איוש אחראי על אסטרטגיית טכנולוגיית המידע בקרב ההנהלה הבכירה בארגון.
על מנת לקבל את מחוייבות ההנהלה הבכירה ולוודא כי טכנולוגיית המידע נמצאת על שולחן ההנהלה בכל עת, על המנמ”ר לרתום לפחות חבר הנהלה אחד שייצג את הצד הטכנולוגי בישיבות ההנהלה.
אגב, במקרים לא מעטים, מנמ”רים הם חלק מהנהלת הארגון. הנקודה הזו מן הסתם רלוונטית יותר לארגונים בהם אין נכון להיום ייצוג לניהול הטכנולוגי.

הנחיית היעדים והמטרות הארגוניות לבעלי תפקידים ניהוליים בטכנולוגיית המידע.
יצירת סדנאות / הדרכות למנהלי טכנולוגיית המידע בהקשר של האסטרטגיה, היעדים והמטרות הארגוניות. לא להסתפק באמירת היעד למנהלי הביניים. על מנת להפיק את המיטב, עלינו להסביר ולהנחות את כלל העובדים והנהלת הביניים בפרט במטרות וביעדים הארגוניים וזאת על מנת לרתום אותם לעשייה ולכוונם לעבר השגתם.

הצגת תהליכי טכנולוגיית המידע העיקריים ואפשרויות טכנולוגיות חדשות / נוספות למנהלי היחידות העסקיות.
חבר ההנהלה האחראי על אסטרטגיית טכנולוגיית המידע, יחד עם הנהלת טכנולוגיית המידע יתארו ויסבירו את העקרונות לפיהם מנוהלים תהליכי טכנולוגיית המידע. כמו כן, באופן תקופתי, יוצגו אפשרויות פיתוח נוספות לטכנולוגיות הקיימות ו/או טכנולוגיות חדשות הרלוונטיות ליחידות העסקיות השונות.

דיווח תקופתי (קבוע) להנהלה הבכירה ולדירקטוריון.
דיווח תקופתי יאפשר דיון קבוע בנושאים טכנולוגיים, שיפור עמדות אל מול ההנהלה והדירקטוריון באופן קבוע ותוך כדי עשייה.
המטרה היא לאפשר דיווח בהתקדמות מימוש אסטרטגיית טכנולוגיית המידע ובהתאמת הפעולות השוטפות לצורכי הארגון.

אני מאוד ממליץ להשתמש באבני דרך ומדדים שנקבעו מראש והועברו לאישור הנהלת הארגון (ע”י נציגינו בהנהלה) בעת אישור התוכנית האסטרטגית מלכתחילה…

.

אם יש פעולות נוספות שאתם חושבים ששכחתי או שאתם מאמינים כי הם יתרמו לנושא, אני ובמיוחד שאר הקוראים ישמחו לקרוא בתגובות לפוסט…

פורסם בקטגוריה כללי, ממשל

כתיבת אסטרטגיית אבטחת מידע

נכתב בתאריך November 14, 2012 על ידי orenh תגובה אחת

לאור התגובות לפוסט הקודם, הצגת אסטרטגיית אבטחת מידע להנהלת הארגון, בפוסט הזה ננסה להבין מהם האתגרים האסטרטגיים באבטחת מידע ואיך עלינו לענות עליהם. או במילים אחרות, מה כותבים באסטרטגיית אבטחת מידע.

כיוון שכמות האתגרים והשפעתן על הארגון משתנות מארגון אחד למשנהו, אשתדל לפרט אתגרים בצורה כללית יחסית, כאשר על כל אחד מכם, לעשות את ההתאמות, בהתאם לצורכי הארגון בו הוא פועל…

בסקר שפורסם ביולי האחרון, ע”י חברת ESG – חברת מחקר ואסטרטגיה בעולם הטכנולוגיה, תחת הכותרת – “שינויים באופק ניהול ותפעול אבטחת מידע“, נמצא כי האתגר הגדול ביותר של מנהלי מערכות מידע ומנהלי אבטחת מידע הוא אילוצי תקציב (כמה מפתיע, נכון?), אם כך, כיצד מתגברים על אילוצי תקציב?
לפני שנענה על האתגר הראשון, להלן ארבעת האתגרים הנוספים המרכיבים את רשימת חמשת האתגרים המשמעותיים ביותר, עפ”י הסקר, העומדים בפני מנהלי מערכות מידע ואבטחת מידע:

2. מעבר מניהול הגנתי (כמענה למקרה) לניהול אקטיבי מקדים, לרבות תכנון.

3. היעדר ידע וכישורים בתחומי אבטחת המידע במחלקת הטכנולוגיה.

4. ריבוי כלי אבטחה נקודתיים

5. היעדר ידע וכישורי אבטחה במחלקת אבטחת מידע עצמה.

אז מה ניתן לעשות? איך בונים אסטרטגיית אבטחת מידע העונה על חמשת האתגרים המובילים הללו?

ראשית, אין ספק שנושא התקציב הוא האתגר הקשה ביותר, ולא רק בתחום אבטחת המידע.
כולנו יודעים שבסופו של דבר הכל מסתכם בעלות. או בשפה הניהולית – עלות מול תועלת ובמקרים אחרים החזר השקעה (ROI).

כפי שהצגתי בפוסט הקודם, כאשר אנו מציגים צרכים להנהלה, עלינו לדבר במונחים של השקעה ולא מונחי עלות. העלייה באיומי הסייבר (בעולם בכלל ובארצנו בפרט), הנעשים מתוחכמים יותר ויותר מצד אחד והעלייה בדרישות הרגולציה מאידך, מייצרים אף הם דרישות השקעה באבטחה ובמיגון. מכאן, כאשר אנו כותבים אסטרטגיה לאבטחת מידע, עלינו לשלב שינויים אלו הן בצרכים והן בכדאיות הכלכלית של השקעות באבטחה. יש לקחת בחשבון שחברי הנהלה, שאינם בהכרח בעלי הבנה מעמיקה בטכנולוגיה, מבינים כי על מנת שהיחידות העסקיות יוכלו להמשיך ולתפקד, עליהם ליישר קו עם אותן דרישות רגולציה ואיומים טכנולוגיים משתנים. פעילות זו תתבצע בצורה אפקטיבית אך ורק באמצעות תאימות בין הצרכים העסקיים להשקעה באבטחה.

בנקודה זו אציין כי מניסיוני, אני מוצא יותר ויותר מנהלים עסקיים המבקשים נתונים ועדכונים בנושאי אבטחה באופן שוטף, מה שמגביר מודעות מצד כל המשתתפים וחשוב אף יותר, הבקרות, המדדים ובסופו של דבר העדכונים הופכים להיות יותר עסקיים ואפילו פיננסיים ופחות טכנולוגיים.

אם כך, בתוכנית האסטרטגית אנו רוצים להראות את התאימות בין הדרישות העסקיות לפעילות האבטחה. אחת הדרכים האפקטיביות ביותר ליישום התאימות היא באמצעות תכנון מודולרי של הקמת גופי חשיבה ופעולה משותפים, כגון: ועדות היגוי משותפות (עסקי, טכנולוגי ואבטחה) וצוותי פעולה משותפים, הכוללים עשייה משותפת, מדדים ודיווחים שוטפים למנהלים הבכירים יותר. הקמת ועדת היגוי עליונה, אפילו לשם אשרור התוכנית האסטרטגית, תניע את הארגון ליישום של קבוצות עבודה וחשיבה רחבות יותר ותיישם הלכה למעשה את האינטגרציה והתאימות בין היחידות העסקיות לפעילות אבטחת המידע.

דבר נוסף הנדרש מאסטרטגיית אבטחת מידע הוא התקדמות ולימוד מוכווני צרכים עסקיים. כאמור, האיומים והסיכונים מתקדמים ועלינו להתאים את צוות האבטחה לשינויים המתרחשים. על אסטרטגיית אבטחת המידע לכלול תוכנית התקדמות טכנולוגית לעובדים המכילה קידום מקצועי של העוסקים במלאכת אבטחת המידע באמצעות: הסמכות מקצועיות, הדרכות פנימיות, ובמידת הצורך שמירת תקציב לייעוץ חיצוני של בעלי ידע וכישורים  החסרים בארגון. תוכנית אסטרטגית יכולה אף לכלול תקציב למנטור מקצועי שילמד ויכוון את העובדים הקיימים בתחילת דרכם עם טכנולוגיות חדשות.
בדיוק לשם כך, האיגוד הישראלי לאבטחת מערכות מידע (ISSA), מקיים מפגש מקצועי בנושא הסמכות בעולם אבטחת המידע. המפגש יתקיים ב- 27.11.12, בקריה האקדמית אונו, בקרית אונו, אתם יותר ממוזמנים להגיע ולנסות לבנות אסטרטגיית לימוד בארגונכם (גילוי נאות, אני חבר באיגוד. כמו כן, תמכתי והמלצתי לקיים כנס שכזה. אני מאמין כי השירות הזה הוא בעל חשיבות עצומה לעוסקים באבטחת מידע בכלל ולחברי האיגוד בפרט).

סקר נוסף, הפעם מטעם חברת RH Technology , מראה כי למעלה מ- 70% ממנהלי הטכנולוגיה, בצפון אמריקה, התקשו למצוא אנשי מקצוע מוכשרים במהלך הרבעון השלישי של 2012 (מתקשר בעיקר לאתגרים השלישי והחמישי). מכאן ניתן להסיק כי במקרים רבים יותר קל, ובטח יותר נכון, להרחיב את הידע לעובדים קיימים מאשר למצוא עובדים מתאימים לטכנולוגיות חדשות (מעבר ללויאליות שנקבל מהעובדים המתקדמים מקצועית).

וכמובן בנוסף לעיל, יש להציג תוכנית פעולה כללית המציגה איך אבטחת המידע מאפשרת את השגת המטרות העסקיות של הארגון, תוך שמירה על תאימות לחוק ולתקנות ודרישות בעלי העניין.

לגבי אתגרי אבטחת מידע בנושא מענה לבעיות במקום תכנון מראש, וריבוי כלי אבטחה נקודתיים, הרי שמדובר בבעיות פרטניות של כל ארגון וארגון. בהקשר זה אני תמיד ממליץ ללקוחותיי לחשוב יחד עם המנהלים העסקיים ולהבין את הצרכים של הארגון.
ככל שנבין טוב יותר את הארגון, צרכיו ומטרותיו, יקל עלינו לתכנן פעילות מראש, כולל בחירת פלטפורמות עבודה וכלים אחידים ומקיפים. לצערי, יש כל כך הרבה מנהלי אבטחת מידע או אפילו מנמ”רים הרואים בכלי זה או אחר פתרון לבעיה נקודתית ומחליטים לרכוש את הפתרון. בסופו של דבר הם מוצאים עצמם משקיעים משאבים אדירים (ומשלמים תקורות מיותרות) בתפעול הכלים השונים ובסיטואציה קשה לניהול.

לנהל מערכת אינטגרטיבית פלוס מערכות לוויין תומכות קל הרבה יותר מאשר מערכות שונות המחוברות בקשרים ניהוליים בלבד. תוכנית אסטרטגית טובה, תכלול תכנון ובחירה של פלטפורמת אבטחת מידע אחת והרחבתה במהלך התקופה.

.

מי שרוצה דוגמא לתוכן עניינים מפורט יותר, מוזמן להגיב או לפנות אלי במייל

Hadar.oren@know-it.co.il, ואשמח לעזור ככל שאוכל.

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

תקשור אסטרטגיית אבטחת מידע להנהלה

נכתב בתאריך October 24, 2012 על ידי orenh תגובה אחת

בימים אלו אני מייעץ בפרויקט בניית אסטרטגיית אבטחת מידע בארגון גדול, אסטרטגיה אותה נציג להנהלה הבכירה. במקביל, קראתי מאמר על איך מתקשרים אסטרטגיית אבטחת מידע לדירקטוריון (ולהנהלה הבכירה), מפי אחד מבכירי המנהלים של הארגון ללא מטרות רווח, בעל מספר החברים הגדול ביותר בעולם בתחום אבטחת מידע ומסמיך הסכמת CISSP – ארגון 2(ISC).

להלן תובונותי:

הצגת אסטרטגיית אבטחת מידע בפני מנהלים עסקיים היא אחת הפעולות הקשות ביותר עבור אנשי אבטחת מידע. אם מדובר בדרישות חוק או רגולציה, סביר להניח שנקבל כל מה שיידרש על מנת לעמוד בדרישות. אם מדובר בפעילות מתקנת אחרי בעיה שהתעוררה או פריצה, קרי האירוע מאחורינו, ואנו מבקשים למנוע את התקיימות האירוע בשנית – גם אין בעיה.
יחד עם זאת, אם מדובר בבקשה לתקציב עבור תשתיות ו/או כלי אבטחה, זה כבר סיפור אחר לחלוטין.

במקרים בהם אנו מבקשים תקציב עבור תשתיות, החזר על השקעה הוא המוטיב הראשון שברצוננו להציג. עלינו להבין כי המנהלים העומדים מולנו, חושבים אחרת מאיתנו. הם חושבים על הכסף שייצא ועליהם לראות מה הם מקבלים בתמורה. לכן, חשוב מאוד להדגיש את התמורה העסקית שההשקעה בתשתיות תתן. במידה וניתן לכמת את התמורה בכסף, אנחנו בהחלט מתקדמים בנושא. במידה ולא, עלינו לשים דגש על התמורה המעשית ולא פחות חשוב על התרומה העקיפה של ההשקעה מבחינה עסקית.

אגב, אם אנחנו לא יודעים לומר מה נקבל בתמורה, הסיכויים שלנו לקבל תקציב נמוכים מאוד. יתרה מזאת, אני ממליץ בחום לבדוק שוב האם אנו צריכים את ההשקעה הזו מלכתחילה.

בעולם בו הסיכונים גדלים ומשתנים כל הזמן, כדאי לבדוק את סיכוני אבטחת המידע באופן תקופתי, על מנת לוודא כי אנחנו מעודכנים הן בסיכונים ובמיוחד בהשלכות העסקיות אותן יכול הסיכון לממש נגדנו. בדיקה תקופתית תאפשר מגע קבוע של תחום אבטחת המידע עם ההנהלה ותיצור תחושת שותפות בדרך להשגת המטרות העסקיות תוך כדי הגנה עליהן.

גם במצגת עצמה, זו שתראו למנהלים, הטקטיקה היא השורה התחתונה. מה אני מבקש ומה אני נותן.

יש הדוגלים בפתיח בסגנון “תנו לי לספר לכם איך אני הולך לחסוך לארגון כסף”.
פתיח הצהרתי שכזה, מושך תשומת לב ומסקרן, מה שגורם למנהלים להקשיב ולא רק להיות נוכחים בדיון. ועדיין, אני מאמין בקצת יותר רוך, וממליץ על פתיח בסגנון:
“אבטחת מידע כמאפשרת השגת יעדים עסקיים”. ואם בכל זאת רוצים לייצר פרובוקציה שתמשוך תשומת לב, אפשר לומר את אותו דבר, בדרך השלילה. משהו בסגנון:
“העדר אבטחת מידע כגורם לכישלון עסקי” (אישית, יותר אוהב את החיובי).

מוטיב קריטי נוסף הוא השפה. בל נשכח, הנהלת הארגון, ובטח חברי הדירקטוריון, אינם (בד”כ) אנשי טכנולוגיה ו/או אבטחה. הם בהגדרה מומחים לעסקים. לכן, הסברים מפורטים על הטכנולוגיה לא רק שלא ישרתו את המטרה, אלא להיפך, הדברים ירדימו אותם ויגרמו להם לאבד אותנו, עלינו לדבר בשפה העסקית.
נכון, אתם צודקים. לא כל סיכון הנובע מאבטחת מידע אפשרי לתיאור בשפה עסקית. אי אפשר להסביר התקפות קוד על מסדי נתונים (כגון: SQL Injuction) בשפה עסקית…. מה שכן אפשר לעשות הוא להשתמש באנלוגיות מהחיים או מעולם העסקים על מנת להסביר. במקרה של הזרקת SQL, להסביר את חשיבות בדיקות הקלט ואפילו להשתמש בדוגמא של קלט מספר תעודת זהות, במבנה של תשע ספרות לרבות ספרת ביקורת המוודא כי אכן המספר חוקי ודוגמאות נוספות לבדיקת הקלט. אלה דוגמאות שכל הדיוט מבין, על אחת כמה וכמה הדיוט מנוסה המשמש מנהל בכיר או חבר דירקטוריון.

אותו מנהל בכיר, מר הורד טיפטון, משתמש במאמרו בדוגמא של תוכנית אבטחת מידע כבניה של בית.
לא מספיק שיש תוכנית לשלד המבנה, אלא עלינו להתאימה לעמידה בדרישות חוקי העזר העירוניים כתנאי סף לביצוע הבניה (אנלוגיה לתאימות רגולציה כמובן). אנלוגיה נוספת היא השימוש בחיווט חשמל במקום כבלי סאונד ייעודיים. שימוש זה יחסוך כמה דולרים במהלך הבניה, אך מה ההשלכות בטווח הרחוק? מה ההשלכות של שימוש בחלונות זכוכית דו שכבתית או תלת שכבתית כאשר מתייחסים לחיסכון באנרגיה וטכנולוגיה ירוקה?

בסופו של דבר, הצגה למנהלים בכירים ולחברי דירקטוריון דורשת תרגול.
על מנת להצליח להעביר מסר ולקבל תקציב ראוי, עלינו לזכור מיהו הקהל היושב מולנו, עלינו לפרק כל נושא מורכב לפיסות מידע קליטות ומובנות ע”י קהל המטרה ועלינו תמיד לסכם במונחים של התמורה.

בבואנו להציג למנהלים בכירים את אסטרטגיית אבטחת המידע, עלינו לנסות לראות את פני הדברים מנקודת מבטם. נסו להיכנס לנעליהם ולהבין מה מניע אותם ומה חשוב להם.

כיוון שמדובר במשאבים מוגבלים, עלינו להדגיש מדוע אבטחת מידע חשובה לפעילות העסקית תוך דגש על הסיכונים הכרוכים סביב העדר אבטחה נאותה.

טיפ אחרון: נסו להיות ויזואליים. לא סתם אומרים שתמונה אחת שווה אלף מילים.

לסיכום:

1. אנחנו לא מבקשים תקציב על בסיס עלות, אלא על בסיס השקעה, לרבות הצגת החזר בגין ההשקעה (ROI).

2. עלינו לייצור אינטראקציה בין מנהל/י אבטחת המידע וההנהלה הבכירה על בסיס קבוע. גרמו להנהלה להיפגש עמכם באופן תדיר ולא רק בעת צורך בתקציב נוסף.

3. דברו בשפה עסקית ולא טכנולוגית. השתמשו באנלוגיות מחיי היום יום על מנת לוודא הבנה של מטרות אבטחת המידע.

4. בצעו תיאום ציפיות. לא יעלה על הדעת שמנהלים יחשבו שבעקבות מתן תקציב גבוה יותר הארגון יהיה 100% מוגן, מהסיבה הפשוטה שהוא לא.
תיאום ציפיות היא הסכמה או לפחות ההבנה כי שימוש בבקרות אלה ואחרות, יפחיתו את הסיכונים.

.

חושבים שיש לכם מה להוסיף? אשמח מאוד לשמוע את דעתכם.

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

עתיד הטכנולוגיה והמנמר בשנים הבאות

נכתב בתאריך October 10, 2012 על ידי orenh אין תגובות
הפיינאליסטים היו: מנמ”ר AT&T, מנמ”ר UPS, מנמ”ר פרוקטר וגמבל (P&G) ומנמ”ר פלקסטרוניקס (Flextronics).
כפי שניתן להבין, מדובר בחברות ענק והמנמ”רים הללו הם העילית שבעילית.
במהלך הכנס, ובהתאם לנושא, נסך דיון מעמיק בנושא עתיד הטכנולוגיה ובמיוחד עתיד תפקיד המנמ”ר. ושוב, כפי שניתן להבין, הכנס כלל מנמ”רים מובילים מהארגונים המובילים והגדולים בעולם.
מסקנות הדיון כללו את הנושאים הבאים:
1. אנו חיים בעולם תנודתי ומורכב. אי הוודאות והעמימות סובבים לא מעט מההחלטות שאנו צריכים לקחת מדי יום ביומו. האתגר העומד בפני מקבלי ההחלטות הוא להוביל מציאות המושתתת על חזון, הבנה, בהירות (ככל שניתן), וגמישות לשינויים עסקיים תכופים.
ובמילים שלי: יישום ממשל תאגידי לרבות טכנולוגיית המידע, מאפשר ומכוון את ניהול הארגון לפי החזון של הגוף המושל (דירקטוריון החברה וההנהלה הבכירה).
2. המונח מנמ”ר (מנהל מערכות מידע ראשי) אינו מתאים יותר לתפקידו של מנהל הטכנולוגיות בארגון. זאת כיוון שהמילה טכנולוגיה מייצגת הרבה יותר ממערכות מידע (IT).
ובמילים שלי: ממשל טכנולוגיית המידע טומן בחובו הרבה יותר ממערכות המידע הארגוניות.
3. מנהל טכנולוגיות שרוצה להתבלט בארגונו (ומול עמיתיו), חייב לשנות את פרדיגמת החשיבה שלו, לצאת ממושבו הנוח (Comfort zone), לעשות את העבודה שאחרים לא רוצים לעשות ולפעמים אפילו לשבור את הכללים. בעולם דינמי ומשתנה בו חיים הארגונים שלנו, יש צורך בחוצפה ניהולית.
ובמילים שלי: חזרו לפוסט “עיצוב מחדש של תפקידי ניהול טכנולוגיים“.
4. הטכנולוגיה מתקדמת למומחיות ייחודית והשילוב של המומחיות ויצירת ערך עסקי לארגון הופכת להיות קשה יותר וממוקדת יותר. מספר רב של מנמ”רים ציין כי הדרישה למומחיות תמשיך לעלות אך ההובלה של מומחיות זו תהיה פועל יוצא של הובלה ניהולית ושם יימדד המנמ”ר יותר ויותר.
ובמילים שלי: ממשל טכנולוגיית המידע אינה למנמ”ר בלבד.
זוהי שיטת ניהול מתקדמת הנותנת מענה לכלל הארגון ולניהול משאביו.
ראו עוד בפוסט: “ממשל טכנולוגיית המידע מיועד למנמ”ר או למנכ”ל?
5. הטכנולוגיות החדשות וכמות המידע הזורם משנים את כללי המשחק.
האינטרנט ששינה את חיינו לפני לא יותר מעשור, ממשיך להשתנות בקצב מהיר (שלא נגיד קצב מטורף) אל מול עינינו. כתוצאה מכך, כל תפיסת הצריכה, המסחר ולבסוף אף ההצלחה, משתנים אף הם. אופי הטכנולוגיות והטרנזקציות שאנו מבצעים כמשתמשים וכמפעילים מתרחק מהמקלדת המסורתית והופך להיות מבוסס מובייל , קרי, בכל מקום ובכל עת.
ובמילים שלי: עקרונות ממשל מהווים בסיס לקליטת טכנולוגיות חדשות ושינויים תכופים בסביבה העסקית שלנו. הממשל מאפשר לנו לנהל הן את הסיכויים והן את את הסיכונים הכרוכים בטכנולוגיות הללו (כולל מובייל, שירותי ענן, ביג דטא, ניהול תשתיות במיקור חוץ ועוד).
.
הדיון בנקודות הנ”ל מראות כי אנו בתחילתו של שינוי משמעותי בתפיסת הטכנולוגיה בכלל ותפקיד העומד בראשם בפרט.
זוהי תקופה אדירה לשינוי, הזדמנות לחדשנות, יצירת ערך והמצאת תפקיד המנמ”ר מחדש ובהתאם לדרישות הארגוניות.
החידוש המשמעותי ביותר בעיני, הוא ההכרה שבשילוב בין הטכנולוגיה להתנהלות העסקית הן במישור הביצועי והן במישור האישי (המוביל לשיתוף פעולה והצלחה ביצועית).
שילוב זה מחייב תאימות בין הן בין האסטרטגיה העסקית לאסטרטגיה הטכנולוגית והן בטקטיקה הניהולית להשגת המטרות הארגוניות.
ובמילים אחרות (המילים שלי) – ממשל.

פורסם בקטגוריה כללי, ממשל

ניהול סיכונים ארגוני מול קבוצת אי.די.בי

נכתב בתאריך September 5, 2012 על ידי orenh אין תגובות

נפילתה (לכאורה) של קבוצת אי.די.בי בראשות נוחי דנקנר, מורכבת מהרבה סיבות.
אינני כלכלן ולכן אני מסתמך על העיתונות הכלכלית, ועדיין ניתן לומר שהמשבר הכלכלי שהקבוצה נקלעה אליו מורכב (כנראה) ברובו מהחלטות ניהול כושלות.
רכישת הקרקעות בלאס ווגאס, ההפסדים העצומים מקרדיט סוויס, הכישלון ברכישת העיתון מעריב, הרפורמה בשוק הסלולר שהקטין את רווחיות סלקום והירידה החדה ברווחי שופרסל בעקבות המחאה הציבורית, השילוב של כל האלמנטים הללו, יצרו בור שהיום, הקבוצה נמצאת על סף פשיטת רגל.

האם יש קשר בין הדברים? האם כשל רכישת עיתון מעריב קשור למחאה החברתית? האם הכסף שהושקע בלאס ווגאס קשור לקישוריות של סלקום?

התשובה היא כן. אבל לאו דווקא בעיניים שלכם. אלא יותר בעיני קבוצת אי.די.בי.

חברת אחזקות, במיוחד קונצרן בסדר גודל של קבוצת אי.די.בי, מנהל את כספו בצורה עמוקה.
אין לי ספק, שהקבוצה מנהלת את יכולת האשראי (הכמעט בלתי נגמר שקיבלה מהבנקים והמוסדות הפיננסיים), ממנפת אותו לרכישות נוספות ומנצלת כל פרצת מס שהיא יכולה לנצל במסגרת החוק.

מכאן, אני יוצא מהנחה שהקבוצה גם מנהלת את סיכוני האשראי שלה בצורה זו או אחרת (על איכות אפשר להתווכח), יחד עם זאת, האם ניהול סיכוני אשראי מספיק לקונצרן בסדר גודל שכזה?

ניהול סיכונים ארגוני (מרכזי), מאפשר לארגון לבחון את עולם הסיכונים התיאורטי ולזהות את הסיכונים הרלוונטיים לפעילותו.
ניהול סיכונים ארגוני אינו מתייחס לכל הסיכונים האפשריים, אלא, זיהוי הסיכונים הרלוונטיים לארגון, חישוב המשמעות של כל סיכון ויכולת ההשפעה שלו על הארגון שלנו, מכאן תעדוף הסיכונים וניהולם.

לחלק מהסיכונים שזיהינו, נבצע פעולות אופרטיביות לצמצום רמת הסיכון או ההשפעה על הארגון שלנו. פעולות כגון רכישת ביטוח נגדי, שינוי תהליכים בהתאם לסיכונים, הוספת בקרות שליטה ופיקוח על מנת לזהות בזמן סיכונים נקודתיים ולעיתים אף נוסיף פעולות חיצוניות לצמצום הסיכון.

לעומתם, לחלק אחר של הסיכונים שזוהו, לא נפעל באופן אופרטיבי. הארגון יקבל החלטה שהסיכון מקובל עליו (קרי, במידה והוא מתממש, הארגון יכול לספוג זאת) והדבר היחידי הנשאר הוא רק לבחון תקופתית שהסיכון לא גדל.

אבל זה לא הכל. כי מטרת ניהול סיכונים מרכזי אינה רק לטפל בסיכונים קיימים.
ניהול סיכונים ארגוני גם מחייב חשיבה וחיבור סיכונים ליעדים ולמטרות העסקיות שלנו.
ניהול סיכונים ארגוני הוא חלק מתהליך קבלת ההחלטות בארגון. כל החלטה, והשקעות על אחת כמה וכמה, מוערכת גם ברמת הסיכון הנלווה לקבלת החלטה זו.
ארגונים שמנהלים את הסיכונים באופן מרכזי, מקבלים החלטות עפ”י הזדמנויות וסיכונים למכלול החלופות. ארגון שרוצה לבצע השקעה א’ (למשל רכישת אדמות בלאס ווגאס), בוחן את ההזדמנויות המצופות ובסיכונים הגלומים בקבלת חלופה זו.
יותר מכך, בניהול סיכונים ארגוני, על מקבלי ההחלטות להבין לא רק את המשמעות של קבלת חלופה א’, אלא גם את ההזדמנויות והסיכונים שבחלופות ב’, ג’ ואולי אף יותר חלופות.

כלומר, ניהולים סיכונים ארגוני בקבוצת אי.די.בי, היה צריך לאפשר למקבלי ההחלטות להבין משמעויות של הזדמנות וסיכון בחלופת ההשקעה בלאס ווגאס, ובמקביל, מהן ההזדמנויות (והסיכונים) בחלופות אחרות למינוף כספי הקבוצה.

חשיבה זו נכונה לא רק להשקעה הכושלת בלאס ווגאס, אלא לכל החלטה ניהולית בדבר השקעה זו או אחרת. האם אתם חושבים שהקבוצה עובדת לפי ניהול סיכונים ארגוני?

ואפילו יותר מכך, ניהול סיכונים ארגוני המוטמע באופן יעיל, מחבר סיכונים משמעותיים ליעדים ומטרות ארגוניות. כך אנו מוודאים, בין השאר, כי אם הארגון רוצה להשיג יעד מסוים, הוא מבין מהם הסיכונים הגלומים בהשגת ו/או אי השגת היעד.
כך שאם קבוצת אי.די.בי רצתה להרחיב את פעילות הבנקאות שלה מעבר לדסק”ש, באמצעות קרדיט סוויס, היא הייתה מבינה את הסיכונים הגלומים בפעילות זו באופן מורחב יותר.

וגם כאן נשאלת השאלה, האם קבוצת אי.די.בי מנהלת את הזדמנויותיה וסיכוניה באופן ארגוני? מרכזי?

.

אשמח לשמוע את דעתכם…

פורסם בקטגוריה כללי, מתודולוגיות וסטנדרטים, ניהול סיכונים

עיצוב מחדש של תפקידי ניהול טכנולוגיים

נכתב בתאריך August 29, 2012 על ידי orenh 3 תגובות

המצב הביטחוני בעולם בכלל ובישראל בפרט משנה את ההתייחסות שלנו לביטחון ואבטחה גם בעולם העסקי. ארגונים רבים, שהסתמכו על אמצעי אבטחה פיזיים וטכנולוגיים קונבנציונליים, מוצאים עצמם עם חשש מהתקפות קיברנטיות ובעיקר מתוקפים מתוחכמים יותר ויותר.

שינויים עולמיים של גלובליזציה, התקדמות הטכנולוגיה, התקשורת ובעיקר הצורך ביכולת פיתוח המתאימה לשינויים זריזים (Agile) מחייבים ארגונים לחשוב שונה. כיום, ארגונים המשתמשים בכלים “הרגילים” לאבטחה ומנהלים את הטכנולוגיה שלהם בצורה “ישנה”, אינם עומדים בקו אחד אל מול האיומים והסיכונים המתרחבים.

אנשי הטכנולוגיה ומנהל ואנשי אבטחת המידע בראשם, נדרשים לא רק להגן על המידע הארגוני מפני האקרים חיצוניים (כמו שהיה פעם), אלא גם להגן על “שמו הטוב” של הארגון ואף על יתרונו התחרותי, תוך יצירת תהליכים ארגוניים יעילים וזריזים (מי אמר Agile, ולא קיבל?).

לכן, חיוני שמנהלי טכנולוגיים ואנשי אבטחת מידע יבינו כי עליהם להרחיב את ספקטרום ההתעניינות שלהם מטכנולוגיה להבנה עסקית כללית ותהליכי העבודה בארגונם בפרט. כפי שדני דורון, מנהל גלוב מערכות מידע מקבוצת אסם, תיאר את הדברים.

.

עיצוב מחדש של תפקידי ניהול טכנולוגיים מאפשר:

.

חיבור עדיפויות טכנולוגיות ונקודות אבטחה ליעדים עסקיים
חיבור זה יאפשר כיוון הבקרות הנדרשות למתן תועלת עסקית מירבית וצמצום השפעה שלילית על התהליך העסקי.

לדוגמא: ארגון שרוצה להרחיב את סל מוצריו בשנים הקרובות, על הטכנולוגיה והאבטחה לתת דגש על הגנת נתוני התכנון, הפיתוח, הייצור והקניין הרוחני של הארגון, כאשר הבקרות יסובו סביב כמות בעלי הגישה לנתונים, איכות הצפנת נתונים מסווגים, הסכמי סודיות וכדומה .
או ארגון שאסטרטגית מעוניין להיכנס לשווקים חדשים בעולם, על הטכנולוגיה והאבטחה לתת דגש על זמינות הנתונים וקישוריות מרחוק למקסימום מידע אמין ומאובטח, כאשר הבקרות ינועו סביב איכות התקשורת, הצפנת מעבר הנתונים, כמות המידע הזמין ואיכותו.

עופר לקסמן, מנכ”ל חברת ITAnalyzer, מרחיב בנושא, במאמר שפורסם באנשים ומחשבים

חשיפה וקבלת “זמן איכות” של אותם מנהלים עם הנהלת הארגון
בניית תהליכי דיווח, זמן תקשורת והבנה טובה יותר של הסיכון שהנהלת הארגון מוכנה לקבל (Risk Appetite) יאפשרו למנהלים טכנולוגיים לדבר בשפה העסקית, לקבל תמיכה וחסות מהנהלה בכירה יותר ומכאן משאבים הנדרשים לתמיכה באסטרטגיה הארגונית.
במציאות הניהולית כיום, הנושא הקל ביותר להתחיל בו הוא ניהול הסיכונים הארגוניים.
זהו הממשק הברור ביותר בין העולם הטכנולוגי לבין העולם העסקי. חיבור הגורמים המטפלים בתחומים אלו בהחלט יכול לייצור תהליך בנייה בנדון.
כפי שציינתי קודם: שמירת על שמו הטוב של הארגון הוא שם פרקטי לסיכוני מוניטין ואילו שמירה על היתרון העסקי יכול לבוא כנגזרת של מספר סיכונים (כגון: סיכונים תפעוליים, פיננסיים, סיכוני שוק ועוד).
חברת גרטנר פירסמה בכנס אנליסטים באוסטרליה, כי בהחלט ניתן לראות מגמה של ארגונים בהם מנהלי אבטחת מידע הופכים להיות חלק בלתי נפרד מהפעילות העסקית.

קבלת יכולת השפעה ולהוות דוגמא
הטכנולוגיה משמשת מעין מוביל דרך ארגוני. יש הטוענים שמערכות המידע הארגוניות הן ראי ליכולתו. לפיכך, מנהלים טכנולוגיים, לרבות מנהלי אבטחת מידע, יכולים לבנות את המוניטין שלהם דרך כללים ומושגים עסקיים ולא על הבנתם הבלעדית בטכנולוגיה.
כמו כן, עיצוב מחדש של מנהל טכנולוגי יכול להשפיע רבות על הקולגות שלו ועל עובדיו.
באחד המאמרים שקראתי בעבר (אינני זוכר את המקור ולכן אין לינק מחובר), צוטט מחקר שציין כי למעלה מ- 50% ממנהלים בתחומים הטכנולוגיים בארה”ב מצפים כי על הנהלת הארגון להיות יותר מעורבת בהחלטות טכנולוגיות, אבטחת מידע ו/או בנושא פרטיות העובד.

מנהלי הטכנולוגיה ואבטחת המידע שייקחו אחריות להבנת הצדדים העסקיים בארגונם, יצליחו לקדם את ארבעת השלבים של מודל PDCA (תכנן, עשה, בדוק, פעל – Plan, Do, Check, Act).
למשל, בצורה הבאה:

תכנן – היכולת לזהות משמעויות עסקיות של צרכי טכנולוגיה ואבטחה, יאפשרו תכנון טוב יותר של הפעולות הנדרשות למימוש צרכים אלו.

עשה – בניית תוכנית פעולה ומשאבים טכנולוגיים הנדרשים לתמיכה ביעדים העסקיים.

בדוק – היכולת לוודא כי המשאבים, לרבות האנושיים, הנדרשים למימוש תוכניות הפעולה קיימים.

פעל – הוצאת תוכנית העבודה לפועל, תוך מדידת הבקרות בתהליכים למתן ערך עסקי מרבי ולתכנון עתידי.

במקביל, ארגונים שישכילו לתת את קידמת הבמה למנהלים אלו, ירוויחו מנהלים טובים יותר, יכולת קבלת החלטות טובה יותר ויגדילו את האפקטיביות העסקית שלהם.
בדיוק כפי שד”ר מארק מקדונלד, ראש תחום המחקר בפיתוח מנהלים בכירים בגרטנר התראיין לעיתון אנשים ומחשבים בנושא המנ”מר בקדמת הארגון.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

ממשל לארגונים קטנים ובינוניים

נכתב בתאריך August 21, 2012 על ידי orenh אין תגובות

האם עקרונות ממשל מתאימים לארגונים גדולים בלבד? איך מיישמים ממשל בארגונים של 300 עובדים? 50 עובדים? האם ממשל רלוונטי גם לארגונים פרטיים להם אין דירקטוריון?
האם ממשל מתאים לכם? לארגונכם?

האירועים והשינויים שהעולם העסקי חווה בשנים האחרונות, הניעו לעלייה בדרישות רגולציה, חוקים חדשים ודרישות ביקורת מעמיקות וקפדניות יותר. כתוצאה מכך, אנו עדים ליותר ויותר ארגונים, ממגוון תעשיות ומגזרים המחפשים דרכים אפקטיביות לממשל, ניהול סיכונים ותאימות (GRC). התקדמות הגלובליזציה, הצורך באבטחת המידע הארגוני, שותפויות עסקיות, צפיות המשקיעים לשקיפות וחובות דיווח חיצוניים מגבירים ומחזקים צורך זה.

האם זה נכון גם לנו? האם אתם מחפשים תקנים ומסגרות עבודה שכאלה?

ניהול כולל של ממשל, סיכונים ותאימות מחייב השקעה ארגונית.
מאידך, היא עונה לצרכים שזה עתה פירטנו. צרכים שמרבית הארגונים, לאו דווקא הגדולים נחשפים ונדרשים להם יותר ויותר. כפי שכבר ציינו, ממשל טכנולוגית המידע גורם לניהול חכם של בקרות טכנולוגיית המידע, דבר המוביל לא רק למעבר חלק של ביקורות וסקרי סיכונים טכנולוגיים, אלא גם מסייע בשיפור תהליכים עסקיים.

האם לארגונים הכוללים “רק” 50 עובדים, אין תהליכים עסקיים?
האם ניהול עלויות אינו רלוונטי גם לארגונים קטנים? ואף קטנים מאוד?

אז מה תורם ממשל לארגונים בינוניים וקטנים ואיך כדאי ליישם ממשל בארגונים שכאלה?

ממשל כמסגרת לניהול ארגון יותר ויותר רלוונטי ככל שהארגון גדול יותר.
בארגונים קטנים, לא נמצא הפרדה בין הגוף המושל לגוף הניהולי, אלא במרבית המקרים יהיה מדובר באותו אדם או בקבוצת אנשים בארגונים הבינוניים. ועדיין, עקרונות הממשל חשובים לארגונים אלו באופן הבא:

ממשל מוודא מענה לדרישות רגולציה.
דרישות הרגולציה רק מתגברות ומתרחבות. גם על ארגונים קטנים לקבוע בעל תפקיד שבאחריותו לוודא כי שינויים בחוק, ו/או בדרישות רגולציה מועלות ומובאות לידיעת כלל חברי הנהלת הארגון (גם אם מדובר בשניים בלבד).
חלק מתפקיד זה הוא להבין לא רק דרישות אותן יש למלא על פי חוק אלא גם דרישות רגולציה הקשורות למגזר בו פועל הארגון, מתחרים וקולגות. מהן המשמעויות של דרישות אלו? והאם הן מתחברות / מתקשרות ליעדים האסטרטגיים של הארגון?
לאותו בעל תפקיד הייתי ממליץ לתעד עדכונים אלו באופן המחייב את הנהלת הארגון לאשר קבלת מידע זה (אפילו במייל), פעולה שאינה רק כסת”ח, אלא, תהליך שניתן לשפרו במידת הצורך.

ממשל מוודא ניהול סיכונים על בסיס קבוע.
ארגונים קטנים = סיכונים קטנים, אך אקוטיים!!
מעבר לסיכוני אבטחת המידע הארגוני, סיכונים פיננסיים כגון: ניהול תזרים מזומנים, ניהול אשראי ספקים, או סיכונים תפעוליים כגון: שרשרת אספקה לארגונים יצרניים, העדר כוח אדם מתאים וסיכוני מוניטין יכולים לייצר בעיות אקוטיות עבור ארגונים. ולכן, גם על ארגונים קטנים לנהל את הסיכונים הגדולים (והמהותיים שלהם).
אין צורך לנהל כל סיכון, אך בהחלט מומלץ לנהל את עשרת הסיכונים המהותיים לחברה אפילו אם היא קטנה / בינונית.
בתור דבר ראשון ממליץ לארגונים אלו, לקבוע מיהו בעל האחריות לניהול הסיכונים (ולא, זה לא חייב להיות מנהל הכספים). בהמשך, לרשום רשימת סיכונים, לתעדף אותה, ולהכין תוכניות פעולה לניהול עשרת הסיכונים העיקריים.
מכוון שממשל זה ניהול תהליכים ולא פעולה חד פעמית, על הארגון לבצע ישיבות תקופתיות למעקב ופיקוח. לארגוני SMB הייתי ממליץ להתחיל בישיבת הנהלה רבעונית לפחות  הדנה בניהול הסיכונים.
למרות שאינני אובייקטיבי, ממליץ להיעזר ביועצים חיצוניים להנעת התהליך.

ממשל משפר תהליכים ומכאן חוסך בעלויות תפעוליות.
הטמעת בקרות בתהליכי הליבה, תוך ניהול סיכונים מובנה, מאפשר לארגון למדוד את הביצועים התפעוליים שלו ומכאן לשאוף לשיפור מתמיד בתוצאות.
ארגוני SMB  שישכילו ליישם ולהטמיע בקרות אוטומטיות (ככל הניתן), ינהלו נכון משאבים אנושיים וטכנולוגיים ויסתכלו רוחבית על צורכי הארגון ויעדיו, יוכלו באמצעות מדידת ביצועים קבועה, למצוא דרכים חדשות להוזיל עלויות ולצמצם הוצאות.
בפוסט קודם שלי תחת השם “הקטנת עלויות כבר לא מספיק“, הרחבתי בנושא והוא בהחלט רלוונטי גם לארגונים קטנים ובינוניים.
על מנת ליישם בפועל, כדאי לקחת תהליך ליבה אחד ולבדוק כיצד הממשל מפחית עלויות תפעוליות.
יש לקחת תהליך, לבדוק האם הוא מבוקר דיו? לבדוק האם ניתן ליישם בקרות אוטומטיות בתהליך? למדוד מדדי ביצוע קיימים, ולבדוק מדדי ביצוע לאחר יישום בקרות נוספות / הפיכת הבקרות לאוטומטיות.
בהנחה שתהליך הליבה שנבחר הינו תהליך יומי, ניתן לומר בהערכה גסה כי ניתן יהיה לראות שינוי לאחר זמן קצר יחסית – עד חודש ימים.
גם כאן, השקעה של כמה עשרות שעות ייעוץ יכולות להניב תמורה לאורך זמן רב.

שלושת הנקודות לעיל, מאפשרות לארגון לקבל החלטות טובות יותר, להקטין סיכון – או לפחות להפחית נזק, עלויות בקרה נמוכות יותר ולאפשר זמן לתכנון אסטרטגי ופיתוח יוזמות.
האם משהו מדברים הללו אינו רלוונטי לארגונים קטנים או בינוניים?

לסיכום: עקרונות ממשל מתאימים לכל ארגון, ללא קשר לגודלו או לתחום עיסוקו. לרבות, ארגונים בבעלות פרטית.
הפעולות שארגונים נדרשים לבצע ביישום ממשל מתבססות על תיעוד תהליכי הליבה הארגוניים ובחינת רמת הבקרה שלהם והאפשרות לשימוש במדדי ביצוע.
ארגונים שישכילו ליישם ממשל ישיגו יתרון תחרותי בשוק בו הם פועלים, ושוב, ללא קשר לגודלם.

.

רוצים לשמוע איך ממשל  משפר את העסק שלכם?
שלחו אלי מייל לכתובת Oren.hadar@know-it.co.il ואשמח לתאם פגישה ולסייע לכם להטמיע עקרונות ממשל בארגונכם.

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, ניהול סיכונים

תרבות ניהול סיכוני אבטחת מידע

נכתב בתאריך August 16, 2012 על ידי orenh אין תגובות

בעולם עסקי דינמי, בו האיומים והחשיפות משתנים באופן תמידי, מתי ואיך מנהל ארגון את סיכוני אבטחת המידע שלו בצורה נכונה? בפוסט זה נסביר את השלבים לבניית תרבות ארגונית המנהלת סיכוני אבטחת מידע בצורה יעילה ואפקטיבית.
כולכם כבר יודעים, שממשל אבטחת מידע מהווה את הבסיס לניהול סיכוני אבטחת מידע, ולכן, נגדיר גם את האחראיים לבניית תרבות ארגונית זו.

שאלות נוספות לחשיבה: האם ניהול סיכוני אבטחת המידע ינוהלו תחת מנהל אבטחת מידע “אוונגליסט” או תחת ניהול סיכונים ארגוני? האם ארגונים מנהלים את סיכוני אבטחת המידע שלהם או שהם מנהלים בקרות וכלי אבטחת מידע? האם הנהלת הארגון יכולה לקחת אחריות על כך?

בואו נתחיל מהסוף. יותר נכון מהשאלה האחרונה, כי זו ההתחלה.

האחריות היא תמיד על הנהלת הארגון. זוהי אבן היסוד הראשונה של עקרונות ממשל.
האחריות היא תמיד על הדירקטוריון וההנהלה הבכירה.

ועדיין, הם לא הגוף המבצע, הם הגוף המושל. באחריותם לוודא כי הארגון פועל כפי שהם התוו לו.
אם כך, איך עושים זאת?

הפעולה הראשונה היא להבין איפה אנחנו נמצאים? מהי התרבות הארגונית בנוגע לסיכוני אבטחת מידע נכון לעכשיו. או בשפה המקצועית יותר – מהי רמת הבשלות הארגונית לטיפול בסיכוני אבטחת מידע?
אפשר לעשות זאת באמצעות שאלונים, רשימות סימון (Checklists) ואפילו שימוש במתודולוגיות סיכון היכולות לתת אינדיקציה לרמת הבשלות הארגונית.
בשורה התחתונה, כיוון שגיבוש  דעה על בשלות היא סובייקטיבית מאוד, כדאי ומומלץ להשתמש בכמה גישות יחד ולבצע ממוצע מוסכם מהממצאים המתקבלים.
כאשר אנו משתמשים במודל בשלות, אנחנו בד”כ נשתמש בחמש רמות בשלות.
לראייתי, כדי להשתמש בחמש הבאות:

1. העדר תרבות סיכוני אבטחת מידע – עובדי הארגון אינם מתייחסים לסיכוני אבטחת מידע למרות קיומם של נהלים ובקרות.

2. תרבות בקרות אבטחת מידע – עובדי הארגון פועלים מול סיכוני אבטחת מידע שזוהו בנהלי אבטחת המידע ו/או בבקרות הקיימות בארגון.

3. תרבות סיכוני אבטחת מידע טובה – עובדי הארגון פועלים נכון ומפעילים שיקולי דעת גם בסיכונים שאינם חלק מהנהלים והבקרות.

4. תרבות סיכוני אבטחת מידע יעילה – עובדי הארגון פועלים ומפעילים שיקולי דעת לגבי הסיכונים הרלוונטיים לעובד על בסיס יומי.

5. תרבות סיכוני אבטחת מידע אולטימטיבית – כל עובד משמש כמנהל סיכונים וככזה הוא מעריך, מבצע בקרה ומנסה להפוך את הסיכון להזדמנות ליצירת יתרון תחרותי עבור הארגון.

מהי רמת בשלות לטיפול בסיכוני אבטחת מידע בארגונך?

כשיש לנו תשובה לשאלה זו (גם אם היא סובייקטיבית לחלוטין), זו ההתחלה.
אם נחזור רגע להתחלה, נראה ונבין שזו האחריות של?? נכון מאוד, הדירקטוריון וההנהלה הבכירה.
ולכן, עליהם לקבל החלטה לאן פני הארגון? האם הארגון מרוצה ממיקומו במודל הבשלות או שברצונו לפתח תרבות ארגונית המעלה את בשלותו לנהל סיכוני אבטחת מידע?
תוצרי דיון זה יניבו החלטות ממשל אילו פעולות ניהוליות הארגון רוצה לפתח ומאילו הוא מעוניין להיפרד ולהימנע.

מכאן, ההחלטות הניהוליות קלות יותר ועליהן לשקף החלטות הגוף המושל.

עקרונות מנחים:

הגישה של האחראי לתהליך (בין אם מדובר בהנהלת הארגון, מנהל הסיכונים או מנהל אבטחת המידע) תקבע את האווירה הארגונית.

הערכים של האחראי לתהליך ינחו את מקבלי ההחלטות

רמת ההשקעה של האחראי לתהליך יקבע את גישת העובדים. העיקרון ברור, ככל שמשקיעים יותר גישת העובדים עולה במודל.

דמות האחראי ומוסר העבודה שלו קובעת את רמת האמון והתפוקה מצד העובדים. תמיד רוצים ותמיד ירצו 100% רצינות.

.

נקודה חשובה מאין כמותה היא ההתייחסות לפן האנושי. בל נשכח  שכל אדם מתייחס לסיכון באופו קצת שונה מרעהו. פרמטרים שעשויים להשפיע הם: דת, לאום, תרבות, חוויות עבר, השכלה, ניסיון עבודה ואחרים.

ההתייחסות לגורמים האנושיים של עובדי הארגון מעבר להיותה מחויבת המציאות, היא הגורם הראשון במעלה להבנה האם ניתן לבנות / לשפר תרבות ניהול סיכוני אבטחת מידע בארגון. אפילו אם הארגון החליט להשתמש בתקנים ומתודולוגיות מקובלות, עליו לוודא כי התרבות הארגונית מאפשרת קליטה של תרבות ניהול סיכוני אבטחת מידע.

ולכן לסיכום: בניית תרבות ניהול סיכוני אבטחת מידע ארגונית, ובעצם, כל תרבות ניהול סיכונים, מחייבת מודעות והכשרה הן לצדדים העסקיים והן לצדדים האנושיים של הארגון.
על תוכניות הפעולה  להיבחן תקופתית ולבצע התאמות באם נידרש.

.

רוצים עזרה בבניית תרבות ניהול סיכונים בארגונכם?
רוצים לזהות את מיקום ארגונכם במודל בשלות ניהול סיכוני אבטחת המידע?
שלחו מייל לכתובת info@know-it.co.il ונתאם פגישה לבחון את הפעולות שישרתו את ארגונכם בצורה הטובה ביותר.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

הפיכת סיכונים להזדמנויות

נכתב בתאריך August 7, 2012 על ידי orenh אין תגובות

השבוע נתקלתי בתוצאות מחקר של Ernst & Young, תחת הכותרת:
Turning Risk into Results, ובעברית, איך ניהול סיכונים מניב תוצאות עסקיות טובות יותר.
המחקר מראה כי חברות שניהלו סיכונים בצורה נכונה הצליחו להפוך סיכונים להזדמנויות ובכך יצרו יתרון תחרותי בשוק בו הן פועלות.
תוצאות המחקר נתמכות בראיונות שהחברה קיימה עם מנהלים מ- 576 חברות שונות ובנוסף, התבססו על למעלה מ- 2750 דוחות של חברות ו/או אנליסטים.

נשמע מרשים לא? השאלה איך עושים זאת?

עפ”י המחקר, ניהול סיכונים מוביל להזדמנויות בשלושה אופנים:

1. הפחתת הסיכון – Risk Mitigation – זיהוי הסיכונים המרכזיים לארגון, היכולת לצמצם משמעותית סיכונים אלו ולשווק פעולות אלו מול משקיעים, אנליסטים ורגולטורים.

2. צמצום עלויות – Cost Reduction – צמצום העלות המושקעת בבקרות באמצעות מעבר לניטור ובקרות הפועלות באופן אוטומטי.  ובאמצעות המנעות מביצוע בקרות כפולות (נושא שהעלתי כל כך הרבה פעמים בפוסטים קודמים, למשל בפוסט “שליש מהתקציב עבור רגולציה?? למה??

 3. יצירת ערך – Value Creation – מקומות בהם ניהול הסיכונים מאפשר שיפור ביצועים בפועל. לדוגמה, ארגונים המזהים סיכונים בתהליכי הליבה ומצליחים לשפר ובקר תהליכים אלו טוב יותר, “מרווחים” ערך עסקי מניהול הסיכונים. דוגמה נוספת היא השימוש באנליסטים על מנת לקבל תוצאות מקסימליות בניהול הסיכונים ובכך לאפשר יכולת קבלת החלטות טובה יותר עבור הארגון.

אני חייב לציין כי ארגונים רבים מנהלים סיכונים בצורה זו או אחרת.
אך כמה ארגונים מנהלים את כל הסיכונים שלהם בצורה מרוכזת, תחת גוף ניהולי רוחבי?
כמה ארגונים משתמשים בניהול סיכונים כחוליה הכרחית בבניית אסטרטגיה עסקית?
להערכתי, מעט מאוד. זהו ההבדל הגדול בין ארגון שמשיג יתרון לבין ארגון “רגיל”.

הבהרה: ניהול סיכונים אינו מחייב טיפול בכל דבר שמזוהה כסיכון לחברה!

באמצעות ניהול סיכונים הארגון מזהה (או לפחות משתדל לזהות) את הסיכונים הרלוונטיים לו, ממיין אותם לנושאים, מגדיר השפעות על הפעילות העסקית בעת מימוש הסיכון, ומכאן מתעדף אותן לפי ההשפעה על הארגון והסיכוי שאכן הסיכון יתממש.

הדוגמה הקלסית היא סיכון של אסונות טבע (רעידת אדמה, שיטפון, מכת ברק וכדומה). הסיכון יכול בהשפעתו אפילו להרוס מבנה משרדים, מפעל יצרני, אתר תפעולי ועוד. הסיכוי שפגיעה שכזו תתקיים ובדיוק באתר שלנו הוא קלוש.
לכן, הן לפרמטר של ההשפעה והן לפרמטר של הסיכוי להתממשות יש חשיבות בתעדוף הסיכונים. ובהתאם לכך, אנו משתמשים במכפלה של שני הפרמטרים הללו.

וחזרה לניהול סיכונים, עלינו להבין שמטרת ניהול סיכונים מרכזית כבר מזמן אינה רק להגן על העסק, מטרתו לשפר ביצועים ותוצאות עסקיות. ברגע שנסתכל על המושג בעיניים אלו, נוכל לראות כי זוהי השקעה נכונה וטובה לארגון שלנו.

ולסיכום, מסקנות המחקר הן:

1. שיפור ניהול הסיכונים – ניהול סיכונים טוב מתחיל מלמעלה, באמצעות ממשל ואסטרטגיה ברורים. הפיקוח והאחריות חייבים לבוא מלמעלה. באותה מידה הבעלות על הסיכונים חשובה וככל שתהיה גבוהה יותר בהיררכיה הארגונית, כך ההתייחסות תהיה מניבה יותר.

2. הטמעת ניהול סיכונים – הסיכונים קיימים בכל התהליכים והפעילות העסקית.
לפיכך, ככל שנטמיע את הטיפול וניהול הסיכונים בתכנון השנתי ובפעילות השוטפת כך נשיג את היעדים האסטרטגיים שלנו בקלות יותר. יתרה מזאת, ביצוע סקרי סיכונים תקופתיים יאפשרו לארגון לתעדף את פעולות צמצום הסיכונים ולזהות הזדמנויות חדשות.

3. מקסום פונקציית ניהול הסיכונים – השמת משאבים מתאימים, תוך תיאום כל פעולות ניהול הסיכונים והציות הנדרשות לרוחב הארגון, יאפשרו הפחתת סיכונים, צמצום עלויות ובד”כ הרחבת כיסוי הבקרה אל מול אותם סיכונים.

4. שיפור תהליכים וסביבת הבקרה – שיפור תהליכי הליבה העסקיים, עיבוי סביבת הבקרה שלהם, אימוץ תהליכים ובקרות אוטומטיות ושימוש במדדי ביצוע לשיפור מתמיד, יניבו שיפורים משמעותיים בביצועים תוך הורדת עלויות הבקרה.

5. תקשור היקפי הסיכונים ומשמעותם – ארגונים שעוברים מדוחי סיכון למנהלי סיכון זקיקים למובילים אישיים. על מנהלי הארגון לשמש דוגמה לעובדים, למשקיעים, לקבלנים ולייצור מוניטין של ניהול שקוף וגלוי.

.

עכשיו זה הזמן עבורכם להעריך את ההשקעה שארגונכם מבצע בניהול סיכונים ולהתקדם מגישת ציות “עיוור” לניהול אסטרטגי של הסיכונים, כאשר השימוש במחקר הנ”ל יכול לשמש מפת דרכים בעלת ערך רב.

.

זקוקים לעזרה, הרגישו חופשי להגיב ונשמח לעזור ככל שנוכל.

פורסם בקטגוריה כללי, ממשל, ניהול סיכונים