אילו תוכניות ממשל מיושמות בארגונך?

נכתב בתאריך August 1, 2012 על ידי orenh אין תגובות

בפוסט הקודם שלנו, הסברתי למה הקטנת עלויות כבר לא מספיק, וכי ארגונים צריכים לעבור לתוכניות ממשל. עוד ציינו, כי תוכניות ממשל מיישרות קו בין המצוי לרצוי, בכך שהן מגדירות את קווי היסוד לניהול אפקטיבי של המשאבים הארגוניים להשגת מטרות הארגון תוך מדידה ושיפור מתמיד.

בימים אלו, פירסם נורמן מרקס, אחד מגדולי המשפיעים בעולם ממשל טכנולוגיית המידע וביקורת פנים, סדרת פוסטים בנושא “שאלות לשאול בנושא ממשל, סיכונים ותאימות”. פוסטים אלו מיועדים למועצות מנהלים ולהנהלה הבכירה. ברשותו האדיבה, חיברתי בין סדרה הפוסטים שלו לנקודת מבט מותאמת לניסיוני מישראל ולהלן התוצאה:

.

האם ארגונך מיישם תוכנית ממשל?

כיוון שממשל מוסבר בצורות ואופנים רבים, וכי לכל ארגון מתאים משהו קצת שונה, אני מוצא לנכון להתחיל ביישור קו – מהו ממשל?
מנהלים רבים חושבים כי ניהול יעיל ונכון של ציות לחוקים ולדרישות רגולציה יחד עם ניהול סיכונים הוא המפתח לתוכנית ממשל. עבור ארגונים אחרים, הציות הוא מרכז החשיבה לתוכנית ממשל. יחד עם זאת, בארגונים רבים המענה לדרישות הציות מנוהל בצורה מבוזרת ולא מרכזית וכנ”ל לגבי ניהול הסיכונים. למרות ההפרדה בין הציות לסיכונים, יש קשר הדוק ביניהם ואחד הסיכונים המשמעותיים ביותר לארגון הוא אי עמידה בהוראות ציות אלה ואחרות.

מכוני המחקר השונים כגון: גרטנר (Gartner), פורסטר (Forrester) ואחרים, מציעים גישה קצת שונה המתבססת על הכלים הקיימים בשוק. וכך, ממשל כולל: ניהול סיכונים, ניהול הציות, ניהול מדיניות וביקורת פנים, מאוחדים לכלי אחד המתעד ומסייע בניהול תהליכים אלו.
גם גישה זו קצת בעייתית כיוון שראשית לא כל הכלים מכילים את אותם תהליכים בדיוק ואז האם תהליך המוכל במערכת א’ ולא במערכת ב’ הוא חלק מתהליכי ממשל או לא?

הארגון לשיתוף פעולה ופיתוח כלכלי – OECD, מגדיר ממשל כ- “כל הפעולות הכלכליות והניהוליות הנדרשות לניהול צורכי מדינה” (או ארגון בהקבלה שלנו).

ושוב, תהליכי ממשל תפקידם, בין השאר, להבטיח ניהול הסיכונים והעמידה בדרישות רגולציה מבוצעות באופן נאות תוך כדי שילוב עם הצרכים העסקיים של הארגון.
המטרה איננה לעמוד בדרישות רק על מנת לקבל אישור לכך, אלא לשלב את הדרישות ביעדים הארגוניים תוך יצירת יתרון יחסי עסקי.

לכן, אני מצדד בגישה שהגדרת ממשל חייבת להיות בעלת ערך והיגיון עסקי, אחרת זה לצאת ידי חובה בלבד. לשמחתי, רבים ומנוסים ממני, כמו נורמן מרקס, חושבים כך.

ולפיכך, ההגדרה הקולעת ביותר (בעיני) היא של הארגון לשיתוף ציות ואתיקה –  OCEG, בתרגום חופשי: “ממשל היא יכולת המאפשרת לארגון להשיג את יעדיו בצורה אמינה תוך התייחסות לאי ודאות ולפעול מתוך יושרה”

נכון שמדובר בהגדרה מאוד כללית וקשה לפרוט אותה למעשים, כיוון שכל אחד יכול לפרש אותה כראות עיניו. ועדיין, המשך ההסבר של המושג ממשל מפרט הגדרה זו ומציג את הפרשנות של ה- OECD הגורסת כי הגדרה זו כוללת (ושוב בתרגום חופשי) “פעולות אפקטיביות, ניהול ביצועים, והיבטים אחרים של ממשל ארגוני יחד עם ניהול סיכונים, ציות ובקרה פנים ארגונית במטרה משותפת של מתן ערך ואופטימיזציה באופן ממושך ולכל בעלי העניין”.

מכאן, ממשל מתייחס, לפעולה משולבת ומתוזמנת של הפונקציות השונות בארגון.
מבלי לגרוע מחשיבות כל פונקציה לעבוד גם באופן פרטני, חשוב כי הם יודעים ויכולים לעבוד יחד.
לדוגמה, אם מטרות הארגון מוגדרות ללא הבנה של הסיכונים הקשורים במטרות אלו,  הם עדיין יכולים להיות מושגים. השאלה הנשאלת היא באיזה מחיר?
מנהלי סיכונים שלא מבינים או לא עונים על סיכונים הקשורים למטרות הארגון, לא סביר שהם שוקלים ו/או עונים לסיכונים משמעותיים יותר ביצירת ערך לארגון.
אם מנהלים ברובד הביניים לא מכירים ומבינים את מטרות הארגון, כיצד הארגון יכול לצפות ממנהלים אלו, לקבל החלטות המקדמות מטרות ארגוניות?
ודוגמה אחרונה, אם כל פונקציה בארגון תרצה לייעל את תהליכיה במערכת הטובה ביותר עבורה, תיווצר ערבוביה של טכנולוגיות שונות, שבלתי אפשרי לנהל, יקרה לתפעול בעיקר כאב ראש עצום בכל הנוגע לאבטחתה. הכל יהיה “מושלם” אבל יעיל וזריז (Agile) זה לא יהיה.

לכן, ממשל יעיל אומר כי הארגון פועל בהרמוניה כדי להשיג מטרות משותפות, בנוסף ליעילות ואפקטיביות של כל פונקציה בארגון (ובנפרד).

.

על מנת לבדוק האם ישנם תהליכי ממשל בארגונכם, בואו נשאל יחד את השאלות הבאות:

1. אסטרטגיה ויעדים (Goals & Strategies) – .האם האסטרטגיה והיעדים הארגוניים זמינים באופן ברור לידיעת כלל המנהלים והעובדים ברחבי הארגון? האם יש מטרות ויעדים משותפים?
פירוט: האם קיים תהליך “שקוף” שבו היעדים והמטרות שהנהלת הארגון יחד עם אישור מועצת המנהלים אישרה, מתוקשרים למנהלים בדרגי הביניים? לעובדים? לספקי השירות העיקריים של הארגון?
האם התהליכים כוללים הגדרת תפקידים ותחומי אחריות המוודאים כי המטרות הנקודתיות של פונקציות בארגון משתלבות ומאוגדות להשגת יעדי הארגון?
האם קורה / קרה שמנהלים מפרשים את מטרות הארגון בדרכם ועלולים לייצור סיכון מיותר לארגון?

2. שת”פ והרמוניה (Harmony) – האם הארגון פועל בשיתוף פעולה והרמוניה? האם שיטת העבודה היא מטרות משותפות לפונקציות שונות בארגון?
פירוט: האם הנהלת הארגון עובדת יחד או כל מנהל יחידה עסקית עובד עצמאית ואף מתחרה עם יחידות אחרות על עמדות כוח? האם למנהלים בארגון יש מטרות משותפות? האם הם יכולים לעזור אחד לשני בהשגת מטרותיהם ויעדיהם?
האם הסיכונים המרכזיים של הארגון משותפים למספר פונקציות וכל אחד ממנהלי אותן פונקציות יודע ומבין את השפעת הסיכון על פונקציות אחרות בארגון?
האם הקצאת המשאבים (תקציבים ואנשים) נעשית בצורה משותפת? האם מחלקות משתפות את משאביהן עם מחלקות אחרות בעת הצורך?

3. השתלבות (Integration) – האם האסטרטגיה הארגונית משולבת יחד עם ניהול הסיכונים, תקציב, ציות והביקורת הפנימית?
פירוט: האם תהליכי קבלת החלטות בארגון כוללים מידע על סיכונים, תקצוב, ציות וביקורת משולבים בבחירת אסטרטגיה זו או אחרת?
במילים אחרות, האם בעת בחירת אסטרטגיה מסוימת מוערכים הסיכונים הגלומים בבחירה זו, התקציב הנדרש למימוש, יכולת הבקרה הפנימית אל מול הסיכוי שלא לעמוד במימוש אותה אסטרטגיה?
כמו כן, האם קיים תהליך בדיקת תוצאות הכולל את רמת הסיכון שבו הארגון נמצא במהלך מימוש והשגת מטרותיו? או שהארגון נמדד עפ”י תוצאות בלבד?
במידה וקיימים קציני ציות ומנהלי סיכונים, האם הם חלק מההנהלה הבכירה? האם הם מייעצים בתהליכי קבלת ההחלטות בארגון?

4.  מקטעים (Fragmentation) – האם הארגון יכול לזהות תהליכים מקוטעים, המעכבים ביצועים ותוצרים? האם יש כפל תהליכים בארגון?
פירוט: כאשר ארגונים מנהלים סיכונים ו/או תאימות לדרישות חיצוניות ע”י פונקציות שונות, אי אפשר לנהל ולפקח על התהליכים השונים ומכאן שכמעט בלתי אפשרי להבין מהי מפת הסיכונים של הארגון. לכל פונקציה שכזו יש מילון מונחים שונה, סטנדרטים שונים, תהליכים ומערכות שונים ובסופו של דבר הגרוע מכל – הערכת סיכון שונה לאותם סיכונים.
בישראל לא אחת, ארגונים מעדיפים להקים צוות עבודה לדרישות חיצוניות במקום לנהל זאת בצורה מרוכזת. לכל דרישה מוקם כוח משימה והתהליכים הופכים למקטעים נפרדים וכמובן נוצר כפילויות בתהליכים.
האם ארגונך מנהל סיכונים ודרישות חיצוניות בצורה מרוכזת?
האם מישהו רואה את כל חלקי הפאזל מלמעלה?
ניתן לקבל מידע נוסף ודוגמאות במצגת שהצגתי בכנס האיגוד הישראלי לביקורת ואבטחת מערכות מידע, ב- 2011 “ציות בסביבה מרובת רגולציות“.

5. מדדים וביצועים (Performance Measurement) – האם מדידת הביצועים בארגון נעשית לפי מתן ערך, השגת מטרות וערכים ארגוניים?
פירוט: השאלה הזו מתייחסת לשני פרמטרים. הראשון, האם מתקיים תהליך מדידה וניטור של תהליכים ויחידות עסקיות? במידה וכן, כיצד מתוגמלים אלא שהשיגו את התוצאות הרצויות והערכים הנדרשים.
ארגונים רבים מתגמלים עובדים עפ”י הישגים. יחד עם זאת, האם ההישגים הם רק כמותיים? האם ישנם מדדים נוספים כגון ערך לחברה? רווחיות (ולא רק הכנסות)? ערכים ארגוניים (לקוחות מועדפים, ירוקים, כניסה לשווקים חדשים וכדומה)?
בתחום המכירות אני מאמין שהשינוי לכיוון שילוב מדדים כבר כאן. האם זה נכון ליחידות ארגוניות אחרות? האם טכנולוגיית המידע נמדדת לפי יכולת סיום פרויקטים מועדפים?
האם פרויקטים נמדדים גם לפי יתרונות ומדדים עקיפים שזוהו בתחילת התהליך?
האם ישנם עובדים המתוגמלים לפי תרומתם לתרבות הארגונית?

6. מידע זמין (Management Information) – האם להנהלת הארגון יש מידע איכותי, אמין, זמין, עדכני ושמיש בעת קבלת החלטות?
פירוט: קבלת החלטות נעשית בכל עת. איכות קבלת ההחלטות תלויה לא מעט במידע הקיים למקבלי ההחלטות. ברור לחלוטין, כי אם המידע  לא איכותי, מהימן, זמין, עדכני ו/או שמיש הרי ההחלטה שתתקבל היא הימור. לפיכך, האם קיימים תהליכים המוודאים כי המידע הזמין למקבלי ההחלטות הוא אכן, איכותי, אמין… ושאר התארים שהזכרנו.
כמה פעמים בישיבות הנהלה, מישהו מציג תהליך ומספרים ואנשי הנהלה קופצים ואומרים שהמספרים לא נכונים? האם הם מוצגים כתוצאה של חישובי אקסל? מערכת בינה עסקית? המערכות התפעוליות?
האם אנשי מערכות המידע הארגוניים מעורבים בהחלטות שיבואו לידי ביטוי במערכות הארגון? האם אבטחת המידע נשקלת בעת קבלת החלטות המערבות לקוחות חיצוניים למערכות הארגון? האם הבקרה הפנימית ומערך ניהול הסיכונים מיודעים ואפילו מוודאים תקינות תהליכים חדשים בארגון?
בעולם עסקי דינמי וגלובלי בו אנו חיים ופועלים, יש חשיבות עליונה להבדל בין נתונים למידע. על בסיס מה מקבלים החלטות בארגונכם?

7. ניהול סיכונים (Risk Management) – האם ניהול סיכונים נלקח בחשבון בתהליכי הארגון?
פירוט: השאלה הזו מתייחסת לאופן ניהול הסיכונים בארגון. האם הם מנוהלים בצורה מרוכזת או בצורה מקוטעת (כל יחידה עסקית בפני עצמה – אם בכלל)?
הרחבת השאלה תהיה האם הסיכונים מנוהלים לפי צרכי הארגון? האם הוגדרה “סיבולת הסיכון המקובלת” (Risk Tolerance)? האם סיכוני טכנולוגיית המידע מנוהלים כסיכונים טכנולוגיים או סיכונים עסקיים (נושא שהעלאתי בלא מעט פוסטים, לדוגמא: ניהול סיכונים עבור טכנולוגיית המידע ולא פחות חשוב, האם אלו האחראים לניהול הסיכונים מקבלים את הסמכויות ותחומי האחריות המתאימים לתפקידם? האם קולם נשמע בארגון?

8. ציות / תאימות (Compliance) – האם הארגון יוצא ידי חובה במענה לדרישות ציות או שזה חלק מהתכנון האסטרטגי, הדרישות משולבות בתהליכים והארגון מנצל דרישות אלו ליצירת ערך ו/או יתרון עסקי?
פירוט: מי שלחץ על הלינק של מצגת “ציות בסביבה מרובת רגולציות“, כבר ראה כי להערכתי, ארגונים רבים (מדי) לוקחים את דרישות הציות לניהול בקרות נדרשות, מבלי להתאמץ או לחשוב.
ניהול בקרות אינו שקול לניהול סיכונים !!
ניהול בקרות אמנם נותן מענה לדרישות רגולציה, אך הארגון “מבזבז” משאבים אדירים ובמקום להפיק מכך יתרון, דרישות אלה נתפסות כהכרח בלבד ואינו מהווה גורם המאפשר שיפור תהליכים ויצירת ערך עסקי.
כמו כן, במענה לשאלות הציות לעיל, יש לקחת בחשבון את המענה לשאלות שנשאלו בסעיף 4 “מקטעים”.

9. ניטור ודיווח (Monitoring & Reporting) – האם קיימים תהליכי דיווח פורמליים להנהלה הבכירה ולמועצת המנהלים בנושאי בקרה, ביקורת ומדדי ביצוע, לרבות כשלים ואירועים חריגים?
פירוט: מעבר לישיבות תקופתיות, האם קיימים תהליכי עדכון מידע למקבלי ההחלטות בנוגע לכשלים, אירועים חריגים, אירועים הדורשים התייחסות מיידית של הארגון?
האם מועצת המנהלים מדווחת, עוקבת, מפעילה ועדות ביקורת במידה וקיים צורך, ואף מעדכנת בעלי עניין בפעילות חריגה בארגון?

10. ביטחון (Assurance) – האם מועצת המנהלים וההנהלה הבכירה מקבלים ביטחון לאיכות תהליכי עסקיים בארגון (כגון: תהליכי ממשל, במידה ויש)?
פירוט:  רואי החשבון החיצוניים מספקים לארגון ביטחון לאיכות הדוחות הכספיים. האם ישנו ביטחון לאיכות התהליכים העסקיים האחרים?
זהו תפקידם של יחידות הבקרה הפנימית,  ניהול הסיכונים, אבטחת מידע, ציות ואחרים.
האם גופים אלו קיימים בארגונכם? האם הם יכולים לבצע את תפקידם מבחינת סמכויות? תחומי אחריות? כוח אדם מקצועי ומערכות טכנולוגיות מתאימות? תקציב הולם?
האם הם מדווחים למועצת המנהלים ולהנהלה הבכירה? האם קולם נשמע?
האם גופים אלו מתמקדים בתהליכים ובסיכונים המשמעותיים ביותר לארגון בכללותו?

.

חושבים אחרת? פספסנו משהו? הערות והארות?

נשמח אם תגיבו, “כאן ועכשיו”.
בהמשך נשתדל לפרוט חלק מהשאלות לפוסטים שלמים על שאלות נקודתיות.

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

הקטנת עלויות כבר לא מספיק

נכתב בתאריך July 18, 2012 על ידי orenh אין תגובות

המגמות הטכנולוגיות שאנו חווים בעשור האחרון, משקפות שינוי בחשיבה העסקית שבו הקטנת עלויות הוא ערך מוביל במטרות הארגון.
אנשי הניהול העסקי רוצה יותר תוצרים, יותר מידע, יותר אבטחה ויותר קידמה, בעלויות נמוכות יותר.
הסיסמה: “יותר בפחות”, נשמעת בפי אנשי השיווק הטכנולוגיים יותר ויותר.
מגמות של מיקור חוץ (outsourcing), איחוד ומיזוג פעילות (Consolidation), שירותים מאוחדים (Shared Services), “ייצור רזה” (LEAN) והמגמות העדכניות ביותר כיום כגון: מחשוב ענן (Cloud), תקשורת מבוססת רשתות חברתיות (Social Networking),  והמעבר למכשירים ניידים ככלי עבודה בשטח (Mobile & Tablets), כולם ככולם, הן מגמות של הפחתת עלות טכנולוגיית המידע.

“הקטנת העלויות” הניע את עולם הטכנולוגיה ליצירתיות, להתפתחות, לחדשנות ולהתמקצעות של אנשיה. ועדיין, קולות החיסכון נשמעים ברקע העסקי בכל עת.

האם אנו מתקרבים לקו פרשת המים?
האם ניתן עוד ועוד לצמצם עלויות ועדיין לצפות לקבלת תוצאות זהות ואף טובות יותר?

כאן נכנס אופן הניהול לידי ביטוי.
ארגונים המצליחים לנהל את ההשקעות בטכנולוגיה בצורה חכמה ויעילה ימשיכו להפיק תוצאות טובות יותר בהשקעות נמוכות יותר. על מנת לשמר את היכולות ועדין להקטין עלויות על ארגונים לחשוב אחרת בניהול טכנולוגיית המידע.

לחשוב ממשל.

בעבר, ארגונים רבים בנו מערך טכנולוגיה רחב. העסקנו עובדים, רכשנו מערכות, פיתחנו כל בקשה שהגיעה, העיקר לחשוב בגדול. מערך זה היה איטי וכמובן יקר ועדיין ארגונים רבים השקיעו כי לא היו חלופות אחרות. כל אחד פיתח עבור עצמו. עם השנים, ארגונים רבים חיפשו איך להקטין את עלות המודל הרחב.

כלומר, לעשות אותו דבר בדיוק רק בעלות קטנה יותר. הארגון דרש מהטכנולוגיה את אותם פעולות בדיוק, רק למצוא דרך לחתוך בעלויות באמצעות ספקים ושירותים זולים יותר. המגמות שציינו בתחילת הפוסט מדגישות גישה זו.

להערכתי, מרבית הארגונים נמצאים במצב הנ”ל. מנמ”רים רבים נדרשים ולפיכך מחפשים להמשיך ולתת את אותו שירות שניתן בשנים האחרונות רק בעלות קטנה יותר.
הבעיה הגדולה (בעיני) במצב הזה הוא שמערך הטכנולוגיה נתקע במקומו וכמו שכולנו יודעים, מי שנתקע במקום בעצם הולך אחורה.

.

מה בכל זאת ניתן לעשות?

.

על ארגונים היום לבנות תוכנית ממשל המגדירה את הצרכים החיוניים והנכונים לארגון, להשגת מטרותיו ויעדיו בפרט ולמימוש התוכנית האסטרטגית בכלל.
תוכנית ממשל אינה רק הקטנת עלויות או לחשוב בקטן, תוכנית ממשל היא לנהל נכון את המשאבים האנושיים והטכנולוגיים בצורה האפקטיבית ביותר לארגון, בדרכו להשגת מטרותיו.
תוכנית ממשל הינה לנהל משאבים וטכנולוגיה להשגת מקסימום תוצאות המקושרות ליעדי הארגון. תוכנית ממשל עונה לבעיות היסוד בפרודוקטיביות, ניהול זמן ותפוקה טכנולוגיית המידע.
לא עוד איי מידע, מערכות נקודתיות וחשיבה מחלקתית. תוכנית ממשל מסתכלת על הארגון באופן רוחבי ומתייחסת לצרכים ולמטרות הכלל ארגוניות.

הארגונים המובילים כבר שם. בארגונים אלו, המנהלים המובילים כבר מחלקים בעלות, תחומי אחריות, מטרות ומדדים לבדוק התקדמות.

תוכניות ממשל מתרכזות בערך התוצרים אל מול העלות ולא בהקטנת העלות.

תוכניות ממשל מודדות תוצרים ולא מנהלות פעילות

תוכניות ממשל מוודאות תאימות אסטרטגית ומענה לדרישות חיצוניות (חוקים ורגולציות)

תוכניות ממשל מהוות את היסוד לדרישות הידע והכישורים שיידרשו לארגון בעתיד

תוכניות ממשל מייצרות תשואות גבוהות יותר ממשאבי המידע והטכנולוגיה

.

תוכניות ממשל מיישרות קו בין הרצוי והמצוי.
תפקידן העיקרי להגדיר קווי יסוד לניהול אפקטיבי של המשאבים (האנושיים והטכנולוגיים) תוך מדידה קבועה וברורה על התקדמות ושיפור מתמיד.

.

רוצים לשמוע עוד? שלחו מייל לכתובת info@know-it.co.il ונשמח לבדוק יחד אתכם איך תוכניות ממשל מסייעות לארגונכם להשיג את מטרותיו ויעדיו העסקיים.

פורסם בקטגוריה כללי, ממשל

ניהול סיכונים עבור טכנולוגיית המידע

נכתב בתאריך July 4, 2012 על ידי orenh אין תגובות

מהם סיכונים טכנולוגיים? האם קיים מושג שכזה? למה מתכוונים בניהול סיכונים ארגוני? האם קיימים תקנים? מתודולוגיות? במידה וכן, במה הם שונים מניהול סיכונים פיננסיים? תפעוליים? או כל סוג אחר? זה חלק מדרישות הרגולציה שלנו? כמה זה עולה? איך זה משפיע? …

אם אתם שואלים את עצמכם, מדוע לשאול כל כך הרבה שאלות? ומבלי לענות…
הרי זה גם מה שעולה לי בראש… ועדיין, את כל השאלות הללו, שמעתי השבוע בפגישה שקיימתי עם חברה שלא הבינה מה רואי החשבון החיצוניים שלה רוצים ממנה.

השבוע התקשר אלי מנהל כספים של חברה נסחרת בבורסה שקיבל את הטלפון שלי מהמבקר החיצוני שלהם. למי שכבר חקר, וגם למי שלא, הרקע שלי הוא ממשרד רואי חשבון גדול (הכי גדול), ולכן, בעל הכרות מעמיקה (וכואבת) בצורך של עמידה בדרישות רגולציה עבור טכנולוגיית המידע.

במהלך השיחה עניתי על השאלות הללו ואני רוצה לנצל את ההזדמנות ולהציג את הנושא בצורה רחבה ככל שאוכל. מטרת הרגולציה היא לנהל סיכונים.
בפועל, ארגונים רבים (ולצערי, גם מבקרים רבים), מנהלים בקרות ולא סיכונים.

ראשית, למרות שהמושג שגור בפי רבים, אין זכות קיום למושג – סיכונים טכנולוגיים!

אנו מחפשים לענות על סיכונים עסקיים הנובעים משימוש, ותפעול הטכנולוגיה ו/או העדרם.
תוכלו לעיין שוב בפוסט קודם שכתבתי בנושא “מה לניהול סיכונים ולשיפור תהליכים עסקיים?“.

איך מזהים סיכונים שכאלה?

רוב הארגונים, במיוחד אלא המונעים מביקורת, מזהים תהליכים עסקיים וגוזרים מהם את הנכסים הטכנולוגיים הנדרשים במימוש התהליך העסקי ומכאן מזהים סיכונים וקובעים בקרות מתאימות.

גישה זו מצוינת על מנת לעמוד בדרישות רגולציה וממנה והלאה אנו מנהלים בקרות (ולא סיכונים).

אני הייתי ממליץ על עבודה מלמטה למעלה – זיהוי הסיכונים הקשורים בטכנולוגיה וניהולם בהתאם לשייכות בתהליכים העסקיים והדרישות הארגוניות.

איך עושים זאת, בבקשה:

שלב 1: זיהוי ומיפוי כלל נכסי המידע והטכנולוגיה בארגון.
על מנת להקל, כדאי למפות את הנכסים לפי קטגוריות. כיוון שאנו מחפשים את הסיכונים, שיטה נוחה יכולה להיות קטלוג לפי נקודות תורפה עיקריות – אנשים, מידע, תוכנה, חומרה, תקשורת.

שלב 2: קביעת בעלות ואחריות מצד ההנהלה לנכסים שזוהו.
לכל נכס שזוהה יש לקבוע מיהו בעליו ומי בעל עניין מהותי בנכס. מעבר למשילות נכסי הטכנולוגיה המתאפשרת בקביעות אלו, רישום בעלות ובעלי עניין, יאפשר בשלבים הבאים לזהות את השפעת הסיכון על הארגון, זיהוי האחראיים ליישום בקרות, זיהוי האחראיים להפעלת הבקרות, חישובי עלות להקטנת הסיכון, חישובי השקעה בנכס, ולא פחות חשוב, מיהם הגורמים בארגון שצריכים להיות מודעים לבעיות, תקלות, אירועים מיוחדים או כל דבר אחר הקשור לנכס עצמו.

שלב 3: זיהוי איומים לנכסים שזוהו, והערכתם.
גם כאן, אני ממליץ על לקיחת רשימות גנריות של האיומים הקיימים ובדיקת הרלוונטיות שלהם בארגון. שימוש ברשימות אלה, מרענן את הזיכרון ומאפשר זיהוי איומים הרלוונטיים לנכסי הארגון.
כמו בכל מקרה של עודף מידע, הריצו גוגל ומצאו את הרשימות המתאימות לכם.

שלב 4: זיהוי החשיפות ונקודות התורפה הקיימות בארגון שלנו והקשרם אל מול האיומים הקיימים לנכסי הטכנולוגיה שלנו.
זיהוי ההקשרים בין החשיפות לאיומים יאפשר מיקוד והתייחסות לסיכונים בעלי ההשפעה הגדולה ביותר לארגון. אנו נרצה למזער ולהגיב לסיכונים בעלי המהות הגבוהה ביותר לארגון.

שלב 5: זיהוי הבקרות הקיימות והשוואת האפקטיביות שלהן אל מול הסיכונים שזוהו.
במידת הצורך, יש לבצע אימות בקרה ובדיקות מדגמיות על מנת להבין טוב יותר את יעילות ואפקטיביות הבקרה בתהליך.
סביר להניח כי שינוי והתאמת בקרות קיימות קל יותר לעיכול בארגון, ובמיוחד שכך נתאים מצב קיים לצורך העסקי ולא נוסיף עוד ועוד בקרות שתרומתם העיקרית היא עלות ולא תועלת.

שלב 6: הצגת הממצאים להנהלה הבכירה,
או כל גוף אחר בארגון בעל הסמכות להחליט איך רוצים לטפל בסיכונים הקיימים, בין אם בהעדר בקרות והין אם הבקרות רק מצמצמות את הסיכון.
מומלץ להציג מהם המשאבים הנדרשים לצמצום הסיכונים (כספית / כלים / אנשים).
במילים אחרות: הצגת מצב קיים לגוף המושל. עליו להחליט מהו הסיכון שהארגון מוכן לקחת ומהי התוכנית לצמצום הסיכון שזוהה, תוך מתן ההתחייבות הניהולית לפעולה, למשאבים, והגדרת המטרה.

שלב 7: ביצוע התוכנית להפחתת סיכון כפי שהוגדרה ע”י הנהלת הארגון (הגוף המושל).
במהלך ביצוע התוכנית, יש לוודא כי המדיניות והנהלים תואמים (מעודכנים) להתנהלות, השינויים ברורים וידועים לעובדים בכל הרמות הרלוונטיות והמשאבים הנדרשים למימוש התוכנית קיימים.

שלב 8: עדכון ושימור רשימת הנכסים על בסיס קבוע, לרבות בדיקת איומים, חשיפות ונקודות תורפה חדשות בהתאם לשינויים החיצוניים והטכנולוגיים בארגון.
כחלק מתהליך השיפור המתמיד, מומלץ מאוד לעבוד עם מדדים המציגים את אחוז מימוש ביצוע התוכנית, מדדים המאפשרים למדוד ביצוע בפועל אל מול מקומות נוספים לשיפור וכדומה.
מדדים אלו יכולים בהחלט להיות הבסיס לשלבים מתקדים יותר של תוכנית הפחתת הסיכון בארגון שלנו.

.

רוצים לשמוע עוד? חושבים שיש לכם מה להוסיף?

אשמח לשמוע את דעתכם בתגובות לפוסט זה או למייל info@know-it.co.il.

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, ניהול סיכונים

הצגת תוכנית אבטחת מידע ופרטיות להנהלת הארגון

נכתב בתאריך June 21, 2012 על ידי orenh אין תגובות

פוסט זה מיועד למנהלי טכנולוגיה ואבטחת מידע המעוניינים לדבר בשפה העסקית…

השבוע קראתי את סיקור פורום C3 של אנשים ומחשבים, ובמיוחד את דבריו של פרופסור ישראל בורוביץ, דיקן בית הספר לכלכלה במכללה האקדמית תל אביב-יפו : “המנמר”ים הם המועמדים הטובים ביותר להיות מנכ”לים“. פרופ’ בורוביץ שהיה דובר המפתח במפגש, ולטענתו, אלמלא העובדה שמרבית המנמ”רים הם “לא פוליטיקאים” (כדבריו), רבים מהם היו הופכים להיות מנכ”לים. לדבריו, אנשי הטכנולוגיה מדברים יותר מדי טכנולוגית ופחות מדי עסקית. ציטוטים כגון: “זה לא מה שאומרים, אלא איך אומרים זאת”, “המנמ”ר נדרש להבנת הארגון ברמה של מנכ”ל”, ובמיוחד “הצפי מהמנמ”ר הוא להבין כל זווית עסקית בארגון, לרבות החזון, היבטי החדשנות, המנהיגות והחזר ההשקעה”. כולם ציטוטים שהוצגו במרבית הפוסטים שפרסמתי בחודשים האחרונים.

במקביל, ובאותו פורום C3, נאם גם פרופסור ישע סיוון, ראש התכנית למערכות מידע במכללה האקדמית ת”א – יפו, תחת הכותרת – “אין כזה דבר IT לכשעצמו – יש תהליכים עסקיים בארגון, המבוססים IT “. גם כאן, ומבלי להיכנס יותר מדי לדבריו, אני חושב שזה משקף לחלוטין את תפיסת ממשל טכנולוגיית המידע / אבטחת המידע כפי שפורסם בבלוג זה יותר מפעם אחת.

אם כך, איך מציגים תוכנית אבטחת מידע ופרטיות להנהלת הארגון? למנהלים שאינם אנשי טכנולוגיה?

השלב הראשון הוא הבנת היעדים העסקיים של הארגון!! על מנת לדבר “עסקית”, עלינו להבין את מטרותינו העסקיות. הבנת היעדים תאפשר חיבור תוכנית אבטחת המידע והפרטיות ליעדים אלו.

ולכן, הפעולה הראשונה, היא התאמת תוכנית אבטחת המידע והפרטיות ליעדים העסקיים.

לדוגמא: אם היעד העסקי שלנו הוא הגדלת מכירות מוצר מסוים. עלינו להראות להנהלה איך תוכנית אבטחת מידע והגנת הפרטיות משתלבת בהשגת היעד. אגב, באבטחת מידע, לעיתים קרובות, התוכנית תכלול בקרות והגנות כנגד מצב של אי עמידה ביעד. או בשפה “עסקית”, העדר הגנה על מידע עלול למנוע או לשבש את השגת היעד.

יחד עם זאת, זה לא מספיק על מנת לשכנע מנהל שתפקידו השגת יעד זה או אחר. זה גם לא מספיק להנהלה שרוצה למקסם את רווחי הארגון. יש לתת דוגמאות פשוטות ככל האפשר תוך שימש במושגים עסקיים שהארגון השתמש בהם בתיעוד מטרותיו.

בוא ניקח שוב את הדוגמא של הגדלת מכירות של מוצר בודד. לשם הדוגמא, הארגון שלנו הוא ארגון יצרני, המייצר 20 מוצרים שונים. אחד היעדים העסקיים שלו, הוא הגדלת  מכירות של מוצר אחד שלדעת ההנהלה, זהו המוצר בעל הסבירות הגבוהה ביותר למכירות ובגינו יש את הרווח הגבוה ביותר מסל המוצרים. הגיוני מאוד שהיעד העסקי יהיה להגדיל מכירות ממוצר זה.

איך מחברים ליעד מכירות זה, תוכנית אבטחת מידע ופרטיות?

ראשית, בהערכה גסה, שמירה על ומניעת זליגת מידע של נתוני הלקוחות, נתוני המוצרים, רווח למוצר ואני מניח שנתונים רלוונטיים נוספים יהיו בעלי משמעות גדולה לארגון. הצגת המשמעות של זליגת נתונים אלו במונחים כספיים ו/או מוניטין החברה ידברו יותר לאותם מנהלים מאשר פרקטיקת השמירה והטכנולוגיה שברצוננו ליישם. יחד עם זאת, הערך המוסף יהיה בתרומת התוכנית להשגת היעד עצמו. ולכן, בפרזנטציה למנהלים יש לוודא כי התוכנית מציגה הקפדה על שמירת מידע סודי וקריטי להשגת יעדי המכירות. ובמקביל:

– התוכנית כוללת אמצעים המוודאים כי מדדי המכירה הממוחשבים אמינים ומציגים תמונת מכירות אמיתית

– התוכנית כוללת בקרות המוודאות את זמינות טכנולוגיית המידע והנתונים.

– אנשי המכירות עובדים עפ”י תוכנית הרשאות מתאימה המאפשרת זיהוי מכירות באופן אמיתי ומדויק

– התוכנית כוללת בקרות גישה וזיהוי מרוחקות המאפשרות לאנשי החברה לבצע פעולות “מהשטח”.

– אירועי אבטחה וניסיונות גישה לא מורשים לנתוני המכירות (ובכלל) מזוהים, מדווחים ומטופלים באופן מיידי

– ניהול הרשאות הגישה לנתונים חסויים וקריטיים מטופלים באופן מיידי

– כלל המערכות המציגות נתונים ומדדי מכירות (ובכלל) מכילות דרישות אבטחה השוללות שינויים לא מורשים בנתונים ובמידע.

– במקרה של (חו”ח) חשיפת נתונים ו/או כשל בזמינות הנתונים,  קיימות בקרות המאפשרות בידוד הנתונים שנחשפו, מניעת המשך החשיפה וחזרה לעבודה וזמינות הנתונים והמידע.

.

שימו לב: באף אחד מהנקודות לעיל אין אזכור לטכנולוגיה, למערכת מידע נקודתית, או לצד השלילי של העדר אבטחת מידע. וזו רק דוגמא אחת מני רבות. ברגע שאנו מכירים ומבינים את היעדים הארגוניים, אנו יכולים (וצריכים) להתאים את יעדי הטכנולוגיה, אבטחת המידע והפרטיות לאותם יעדים.

והכי חשוב: פרזנטציה להנהלה אינה טכנולוגית. זוהי פרזנטציה עסקית / ניהולית.
אנחנו לא מציגים את הטכנולוגיה אלא את מטרותיה ותוצאותיה למען השגת יעדי הארגון.

.

רוצים לכתוב “עסקית”? רוצים לשכתב את התיעוד והמטרות?
צלצלו עכשיו ל- 076.5436466, או כתבו למייל info@know-it.co.il  ואנחנו בדרך אליכם…

פורסם בקטגוריה אבטחת מידע, כללי, ממשל

אישור תקציבי לכלים טכנולוגיים

נכתב בתאריך June 7, 2012 על ידי orenh אין תגובות

מדוע בעולם של הדלפות נתונים, פשעי אינטרנט, התקפות סייבר ושאר הזוועות שאנו שומעים עליהן מדי יום ביומו, עדיין למנהלים רבים כולל מנהלי מערכות מידע ובמיוחד מנהלי אבטחת מידע, קשה לשכנע הנהלות לביצוע רכש טכנולוגי או כלי אבטחת מידע?

האם זה בגלל שאנשי המכירות מציגים תמונה ורודה של “קנה את הכלי שלי וכל בעיותיך נפתרות”? או שמדובר בחוסר הבנה מה הטכנולוגיה תתרום לי בהשגת יעדי הארגון?

כיועץ למקבלי החלטות בארגונים, אני טוען שבניית תהליך נכון חשוב יותר מהטמעת כלי זה או אחר. אפקטיביות מקסימלית מתקבלת כאשר אנו ממחשבים תהליך הבנוי נכון. לכן, בניית התהליך העסקי, באופן המשרת את השגת מטרות הארגון קודם ליישום והטמעה של כלי מחשוב. יחד עם זאת, גם למחשוב התהליך ובחירת המערכת ו/או הכלים המתאימים יש חשיבות רבה בהשגת היעדים והמטרות.

ושוב מהו ממשל טכנולוגיית המידע? מימוש אפקטיבי ומרבי של יעדי הארגון, ואף העצמת יעדים אלו, באמצעות השימוש בטכנולוגיית המידע.

אז נכון, ספקי הכלים הטכנולוגיים וכלי האבטחה מנסים להרשים שברשותם הטכנולוגיה המתקדמת ביותר וברגע שתרכוש אותה “אתה על הסוס”, מצד שני, אי אפשר להמשיך עם הקונספט של “יש לי בעיה” ולכן אני צריך כלי טכנולוגי זה או אחר. הרי המנהלים לא מטומטמים (לפחות כך אני רוצה להאמין), עם הזמן מבינים את הקונספט ובמהרה מתחילים לפתח התנגדות עקרונית לכל דרישה בנושא טכנולוגי ו/או אבטחת מידע.

אז מה בכל זאת עושים על מנת לשכנע ביתר קלות את ההנהלה להשקיע (מראש) בכלים טכנולוגיים?

לצערנו (או לשמחתנו, תלוי באיזה צד של המתרס אתם נמצאים), השקעות בטכנולוגיה התקבלו ביתר קלות בעקבות ביקורות. אם המבקר ממליץ על הצורך במחשוב תהליך או טכנולוגיה מסוג מסוים, לארגון ולמקבלי ההחלטות היה קל יותר “להחליט” על השקעות טכנולוגיות.

ושוב לצערנו (והפעם זה כנראה לכולנו), הגיעו המשברים הפיננסיים ופתאום תקציבים נעצרו, ובעצם כל שקל שחושבים להוציא, הופך להיות מחושב ומוצדק. ניהול הסיכונים הפך להיות יותר כלכלי ופחות רגשי. על מנהלי הטכנולוגיה להצדיק את ההוצאות ומנהלים עסקיים שואלים יותר ויותר: “מהי ההשפעה העסקית של רכש זה או אחר ועד כמה הוא אפקטיבי עבור הארגון”?

לאור השינויים הללו, מצאתי לנכון כי שימוש בעקרונות ממשל מסייע בהפיכת ההוצאה להשקעה, ושכנוע מקבלי ההחלטות בנחיצות ההשקעה.

עקרונות הממשל הם:

–          חיבור ההוצאה הנדרשת לכלים הטכנולוגיים לאסטרטגיה וליעדי הארגון
למשל: אם אחת המטרות של הארגון היא להגדיל רווחים ממכירת מוצר X, הרי שהשקעה בכלי המאפשר ניהול טוב יותר בגרסאות המוצר ו/או אבטחת הגישה לתכנון ויישום רכיבים חדשים של המוצר, יאפשרו מכירה איכותית יותר של אותו מוצר

–          חיבור ההוצאה הנדרשת לתאימות מול דרישות רגולציה
למשל: הרגולציה דורשת תיעוד אירועים, תקלות ובעיות. יש לכם סיבה לרכוש כלי לתיעוד זה (ואם רלוונטי הוא יוכל לבצע דברים נוספים)

–          הצגת התקציב הנדרש כמפחית סיכון קיים ומפחית סיכונים לארגון
למשל: איך הכלי הספציפי נותן מענה לסיכון טכנולוגי זה או אחר ובד בבד גם תורם להפחתת סיכונים בתהליכים אחרים

–          הצג את אפקטיביות ויתרונות האיחוד והתקינה של מחשוב הפעולה או התהליך באמצעות הכלי המוצע

–          הצגת החזר השקעה מפורט ככל הניתן באמצעות מדדים עסקיים (כמותי או איכותי)

שימוש בחמשת העקרונות הללו, יסייעו לכם לקבל תקציבים מתאימים לצרכי הארגון.

וכמו בכל דבר, ככל שתהיו יותר יצירתיים ותפעלו יותר, כך יקל לכם לקבל את אותו תקציב לכלים המיוחלים.

חושבים שיש לכם להוסיף?

הרגישו חופשי להעלות את אשר בראשכם ואני באופן אישי אשמח להתייחס להערות אלו.

מרגישים שחסר לכם ידע? חושבים איך אפשר לשפר יותר? רוצים סיוע בהפרדת הגוף המושל לגוף המנהל? שלחו מייל לכתובת info@know-it.co.il או צרו קשר בטלפון: 054-4736466 ואשמח לתאם עמכם פגישה (לא מחייבת) לדון באפשרויות העומדות לפניכם.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

ניהול אבטחת מידע במגבלות תקציב: פוסט המשך

נכתב בתאריך May 30, 2012 על ידי orenh אין תגובות

בפוסט הקודם שלי “ניהול אבטחת מידע במגבלות תקציב“, סיפרתי לכם איך בעקבות פגישה על חבר המשמש כמנהל אבטחת מידע, מצאתי לנכון להראות מה אפשר לעשות בתחום אבטחת מידע ללא תקציב ראוי.
כפעולה ראשונה, הלכנו על הבנת המשמעות האמיתית של תפקידנו, כמנהלי אבטחת מידע, בארגון.
לשם כך, עלינו לדעת ולהבין את מטרות הארגון, יעדיו, התוכנית האסטרטגית שלו (למספר שנים קרובות ולא רק לשנה הנוכחית), ולא פחות מיהם השחקנים הראשיים בארגון.
לאחר מכן, מיפינו את המטרות העסקיות ומצאנו מהן פעולות אבטחת המידע המתאימות ביותר להשגת אותן מטרות עסקיות. לאחר ביצוע המיפוי, אנחנו מוכנים לשלבים הבאים.

ובמקרה, השלבים הבאים הם בדיוק מה שברצוני לכתוב עליהם היום. מוכנים, הנה מתחילים…

אחרי שמיפינו את המטרות והיעדים הארגוניים, אנחנו יכולים לרדת לרזולוציית האנושית.

עכשיו עלינו לזהות אילו מנהלים מקושרים לאילו מטרות ולהתחיל לרתום אותם לחשיבה “מאובטחת”.
לכל מנהל, בכיר או זוטר, יש מטרות ויעדים המהווים את התחייבותם לארגון להשגת המטרות הכלליות של הארגון. למה זה רלוונטי? מהסיבה הפשוטה שאם תצליח להראות להם למה אבטחת המידע שלהם יעזור להם להשיג את מטרותיהם ויעדיהם, או לסירוגין, תעזור להם להימנע מכשל בהשגת מטרותיהם, הרי השגתם תמיכה במקום לחימה (מצב השורר עם לא מעט מנהלים “הנלחמים” על יוקרה, ותקציבים ארגוניים).

תבינו, המיפוי שעשינו בתחילת הדרך, מוביל להבנה טובה יותר של הארגון, הכרה בחלק אבטחת המידע בתהליכים העסקיים, בניית קשרים אישיים, באיחוד מטרות ויעדים וכדומה.

כל הידע הזה מוביל בסופו של דבר ליכולת קבלת החלטות טובה יותר עבור הארגון ואפשרות לניהול סיכוני אבטחת המידע בצורה אפקטיבית יותר.

מהר מאוד, אנחנו פועלים לא לטובת אבטחת המידע אלא לטובת התייעלות עסקית, צמצום עלויות, העלאת פרודוקטיביות ואפילו גמישות עסקית. האם אלה לא היו סיסמאות הז’רגון שאיתם התחלנו את ההכרות שלנו בארגון? כנראה שכן…

אני מאמין כי תפקיד מנהל אבטחת המידע הוא: לעזור למנהלים עסקיים להבין את הערך הטמון בניהול אבטחת המידע בתהליכים עליהם הם אמונים, כאשר חוק KISS תקף מתמיד (Kiss – Keep it simple).
כיוון שתהליכים עסקיים מבוססים על מידע ומערכות תומכות לניהול המידע הנ”ל, הרי הגיוני שמנהל האמון על התהליך יוודא כי המידע “שלו” חסוי, זמין, שלם ואמין (עקרונות הבסיס לאבטחת מידע), שילוב אבטחת המידע בתהליך מאפשר וודאות שכזו.

כמו תמיד, אין כאן קסם. מה שכן יש הוא שינוי תרבות ארגונית ומעבר מגישת “האבטחה מחייבת” לגישה של “צרכים עסקיים”.

מכאן הדרך לקבלת הכרה, סמכות ותקציב מתאים קלה הרבה יותר.

וחשוב אף יותר – שינוי חשיבה והתאמת תהליכים אינה דורשת תקצוב מיוחד אלא חשיבה חדשה.

רוצים ללמוד מה עוד ניתן לעשות? שלחו מייל לכתובת info@know-it.co.il ונשמח לתאם פגישת הכרות עמכם ולנסות להבין איתכם איך אבטחת המידע יכולה לעזור ולהתאים לצרכים העסקיים של ארגונכם.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

ניהול אבטחת מידע במגבלות תקציב

נכתב בתאריך May 23, 2012 על ידי orenh אין תגובות

השבוע פגשתי חבר המשמש כמנהל אבטחת מידע בארגון בינוני (כ- 500 משתמשי מחשב). במהלך שיחתנו, התלונן הבחור שהתקציב שניתן לו לא מאפשר לו אפילו לעמוד בדרישות אבטחה מינימליות, כל שכן, לרכוש ולשדרג כלי אבטחה קיימים או נוספים. נשמע לכם מוכר?

איך אפשר לנהל אבטחת מידע ללא תקציב נאות?

בעצם, יש שתי תשובות אפשריות:
א. להיות “עציץ” – לעשות את ההכרח ולהתפלל לטוב (ולחשוב מהו התפקיד הבא שלי)
ב. לייצור שינוי ארגוני ותרבותי – להפעיל שיקול דעת (וגם עקרונות ממשל) ולתכנן איך מפיקים את המיטב מהתקציב (הקטן) שיש לנו.

באופציה הראשונה, כולנו יודעים מה עושים. משדרגים את פרופיל הלינקדאין שלנו, ומתחילים לחפש..

ברשותכם, אני אנסה לעזור לאלה שבחרו באופציה השנייה.

האחריות הארגונית היא העול שלנו כמנהלי ואנשי אבטחת מידע בארגונים.
מניסיוני, מנהלי אבטחת מידע רבים מרגישים שבכל כשל טכנולוגי, איכשהו הטענות מגיעות לפתח דלתם.
כשווירוס מצליח לתקוף מחשב במשרד, הם אשמים כי לא מנעו זאת. וזאת, למרות שהמנכ”ל בכבודו ובעצמו הביא את האייפד של הבת שלו וחיבר לרשת למרות האיסור…
כל האטה ברשת אנשי אבטחת המידע אשמים, כיוון שזו תוצאה של כשל בפיירוול או כלי אבטחה אחרים המאיטים את הרשת (ברור, לא?) והעובדה שכבר שנתיים הם מתריעים על רוחב פס קטן מדי לא נחשב…

גישת הניהול הרווחת כיום היא לפתור פרצות אבטחה ברגע שנתגלו. הארגון חווה בעיית אבטחה, הוא מקצה תקציב לפתרון הנקודתי “ותופר” טלאי נוסף במערך אבטחת המידע (תהליך זהה לדרישת רגולציה חדשה, כפי שכתבתי בפוסט על דרישות הרגולציה).
ושוב, למרות שבמרבית המקרים, “הפרצה” היא תולדה של התהליך העסקי, מנהל אבטחת המידע נושא באחריות (כבר ציינתי שזהו עול?). מצד אחד הבעיות נובעות מהתנהלות התהליך העסקי או מפעיליו (העובדים) ומצד שני, כמנהלי אבטחת מידע אין לנו מנדט לומר למנהלים העסקיים מה לעשות ובטח לא לשנות את התהליך העסקי.
זה כמו להיות מנהיג טייסת כאשר לכל טייס יש את המנדט לטוס כפי שהוא רואה לנכון.
ברור לכולם שזה לא הדרך הנכונה ועדיין כאשר מערבבים פוליטיקה עסקית ואגו ניהולי איכשהו אנחנו נתפסים למשחק הקלוקל הזה.

ממשיכים? פרסמנו מדיניות אבטחת מידע ארגוני. המדיניות קובעת כללים אלה ואחרים, אך בפועל, אין לנו כמנהלי אבטחת מידע דרך לאכוף אותה, ויותר גרוע, אין לנו תקציב לעשות שינוי רוחבי בארגון. זה גם גורם לנו לנסות ולהפוך “לעציצים”…

אז מה בכל זאת ניתן לעשות?

היכולת לשנות מבוססת על היכולת לאכוף רצון.
בין אם מדובר במדיניות ובנהלי החברה, ובין אם מדובר בתקציב, או אפילו ניהול קבוצת עובדים.
כלומר, אם אתם לא יכולים לאכוף לעבוד לפי הנהלים על עצמכם יהיה לכם קשה מאוד לשכנע אחרים בשינוי הנדרש. זה בלתי אפשרי להיות רק בצד המתגונן. אם לא מקבלים את הנהגת השינוי / תקציב לשינוי מלמעלה, עלינו להרוויח אותה בכבוד ובכלים עסקיים ולא טכנולוגיים.

פעולה ראשונה שעלינו לעשות היא להבין מהו תפקידנו האמיתי בארגון?
מי שחושב שתפקידו למנוע כניסת קוד זדוני ולתפעל את כלי האבטחה הקיימים, ימצא עצמו כ- בר החלפה מהר מאוד.
אנשי אבטחת מידע ומנהלים בפרט חייבים להכיר את התהליכים העסקיים של הארגון.
עלינו לשאול מה יכול להשתבש בתהליכים הללו בעקבות סיכוני אבטחת המידע? בנוסף, האם אבטחת המידע בתהליך יכולה להוות יתרון? האם ניתן לשפר את התהליך? אל תתביישו, לכו למנהלים העסקיים ותשאלו שאלות. אחרת איך תדעו?
נסו להיפגש איתם כמה שיותר, חפרו עמוק, ואל תשכחו שהאנשים שיושבים מולכם, הקולגות שלכם, הם בהחלט אלה שנלחמים על התקציבים וההשפעה הארגונית. גלו מה מעניין אותם, מהם נקודות התורפה, איפה אפשר לעזור ומה ניתן לשפר. וכמו בפוסטים קודמים – אל תמציאו את הגלגל. המידע הזה נמצא בארגון, עליכם למצוא אותו ולהשתמש בו. נסו בהתחלה לספק מידע מהימן שעוזר להם. טבלאות, נתונים, מידע גולמי לגבי התהליכים עליהם הם ממונים.

אח”כ התחילו לעבור לשדרת הניהול (C suite management), אם כמנהלי אבטחת מידע אתם לא חלק משדרה זו, זה כבר אומר משהו על המיקום שלכם בתרשים הארגוני ויכול להיות שהתפקיד שלכם שונה מאלה שכן. יחד עם זאת, נסו להגיע אל אלה שכן בהנהלת הארגון (בין אם הם מקבילים ובין אם לא), הבינו מהם מהן מטרות הארגון?, מהם היעדים שלו? מה ההנהלה רוצה להשיג בזמן הקצר? הבינוני והארוך? נסו להבין ככל שתוכלו את הסביבה והתרבות הארגונית, ומן הסתם איפה אבטחת המידע משתלבת / משפרת בסיפור.

הנושאים והמטרות שרבים ממנהלי האבטחה מקבלים בשיחות הללו, הם קודם כל הסיסמאות: “צמצום עלויות”, “יעילות”, “העלאת פרודוקטיביות”, “שינוי חיובי”, ושאר מושגי הניהול הרווחים כיום בז’רגון. יחד עם זאת, ככל שתעמיקו ותיצרו חברויות (אישיות ועסקיות) תוכלו לרדת לרזולוציית השוטף (כולנו עובדים באותה צורה, מתחילים בסיסמאות ואח”כ פורטים למעשים בפועל, תוצרים ומדדים).

בשלב הזה, אני ממליץ לעשות מיפוי (כתוב או בראש, כל אחד איך שנוח לו), מה בתחום אבטחת המידע יכול לתרום לפעולות הללו, זה הזמן ללכת לתקנים, למתודולוגיות ולבחור את החלקים הרלוונטיים לארגון שבו אתם נמצאים. לאחד רלוונטי ניהול הרשאות כי הארגון עובד עם מידע חסוי / מסווג ואחת מהמטרות היא לשפר את יכולות מידור המידע, לעומת ארגון אחר שמטרתו לייצר אפשרות של התאוששות מאסון וזו הפרטיקה הרלוונטית לעכשיו.

דוגמא למיפוי שכזה בנושא צמצום עלויות:
מטרות ארגוניות – הקטנת זמן השבתת שרתים מתוכנן או לא (Downtime), הפחתת עלות העבודה על שינויים בתוכנית העבודה, הפחתת עלות עבודה על שינויים שנעשו ללא צורך/ נעשו לא תקין … ועוד
מטרות אבטחת המידע – ניהול אירועים ותקלות טוב יותר (לשרתים), שימוש בכלי ניטור אוטומטיים (לשרתים), ניהול גרסאות מערכת הפעלה (Patch Management), שימוש בסביבת טסטים מהימנה יותר ובכלל שימוש במתודולוגיית מחזור חיים של מערכות (SDLC) וכדומה.

שימו לב: את מרבית הדברים הללו אפשר לעשות גם ללא תוספת תקציבית!!
אנחנו מדברים על ייעול ושיפור תהליכים ולא כלים טכנולוגיים (זה יבוא בשלבים הבאים).

מיפוי שכזה מחייב הן את מנהלי אבטחת המידע והן את המנהלים העסקיים המעורבים לחשיבה. הוא מצדיק את הפעילות ויצדיק בהמשך את ההשקעה בטכנולוגיית המידע בכלל ובאבטחת המידע בפרט.

.

כיוון שהפוסט הזה יצא ארוך מהרגיל ועדיין יש לי מה לכתוב, ברשותכם, אני אמשיך בפוסט נפרד שיפורסם, כרגיל, בשבוע הבא.

.

רוצים להגיב, לשאול, לבקש בקשות, אשמח לשמוע את דעתכם כאן ולהתייחס בפוסט ההמשך לתגובותיכם.

.

זקוקים לעזרה ביישום עקרונות ממשל לשיפור טכנולוגיית המידע?
שלחו מייל ל info@know-it.co.il או התקשרו לטלפון: 076-5436466, ונשמח לתאם פגישת הכרות ללא עלות וללא התחייבות ולבדוק יחד עד כמה אימוץ עקרונות ממשל יכולים לעזור לארגונכם.

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים

ניהול אבטחת מידע מבוסס מתודולוגיות ותקנים

נכתב בתאריך May 17, 2012 על ידי orenh אין תגובות

עד כה הפוסטים שכתבתי הדגישו את תחום הממשל וברובם ניסיתי להסביר במה שונה השימוש בעקרונות ממשל מהניהול השוטף. בפוסט הזה אני רוצה להתרכז דווקא בניהול השוטף ולהציג את היתרונות בשימוש ובהטמעת תקני עבודה בינלאומיים, וכמו תמיד בכפוף לצרכים הארגוניים.

ישנם עשרות מתודולוגיות, מסגרות עבודה, תקנים, שיטות עבודה ועזרים אחרים לניהול אפקטיבי ונכון לטכנולוגיית המידע. עקב קוצר היריעה, בפוסט הזה אני אתרכז בתחום אבטחת מידע בלבד.
למה? כי זהו נושא הרלוונטי לכל ארגון ללא קשר לתחום עיסוקו ולגודלו, עולם אבטחת המידע והגנת הסייבר זה אחד הנושאים החמים ביותר, ובנוסף, אני כרגע מייעץ בכמה פרויקטים בתחום ממשל אבטחת מידע (להפתעתי ובעיקר לשמחתי, הנושא צובר תאוצה ומודעות), כך שנוח לי להציג את מסקנותיי בתחום אבטחת המידע.

אז בואו נתחיל:
בעולם הטכנולוגי שלנו, אבטחת מידע נדרשת בכל ארגון, בכל תהליך, לכל עובד.
מהרגע שהשירותים ו/או המוצרים שניתנים הינם מבוססי ידע כלשהו (ואני לא מצליח לחשוב על כאלה שאינם) הרי עלינו להגן על המידע שבאמצעותו אנו מספקים את התוצר/ים (אפילו אם הוא נמצא רק בראש של ראש הארגון).

אם כך, מתי אנו מוגנים מספיק?
או כמו שכתבתי בפוסט יישום ממשל אבטחת מידע, מתי ארגון יכול לומר: “לנו זה לא יקרה?”
התשובה לשאלה הזו היא סובייקטיבית לחלוטין. לאחד זה עכשיו ולשני זה אף פעם לא. אנשי אבטחת מידע יודעים שתפקידם לוודא כי אבטחת המידע תקפה 24 X 7 X 365, עכשיו נשאלת השאלה איך עושים את זה?

בלא מעט ארגונים (שלא נגיד רובם), מנהלי אבטחת המידע  / האחראיים על יישום בקרת אבטחת המידע, הם אנשי אבטחה שהצליחו בעבודתם, הוכיחו את עצמם והתקדמו לתפקידים ניהוליים.
יתרה מזאת, מרבית הארגונים מחפשים אנשי ניהול אבטחת מידע בעלי ידע ביצועי (Hands On) בכלים הטכנולוגיים העיקריים שהארגון משתמש לאבטחת המידע שלו.
כנסו למודעות דרושים, מנהלי אבטחת מידע ובד”כ תמצאו דרישות “ידע וניסיון בתפעול מערכות פיירוול מסוג X או מערכת מניעת זליגה מסוג Y” וכדומה.
וכל זה למה? מהסיבה הפשוטה שכך הארגון פעל ומבחינתו, עליו להמשיך ולפעול באותו אופן.

אני חושב וטוען כי זוהי הטעות (!!!) שארגונים רבים (גדולים כקטנים) עושים.
אבטחת מידע אינה כלי זה או אחר. אבטחת מידע הוא תהליך. תהליך רוחבי ועליו להיות חלק במכלול התהליכים העסקיים. הרי הסיכונים משתנים, אמצעי הפריצה והיכולות משתפרים כל הזמן, הצרכים הארגוניים מתחלפים, התהליכים העסקיים משודרגים… למה אבטחת המידע נשארת במצב הקיים ומתבססת על הכלים  הקיימים?

איך מקדמים את אבטחת המידע במקביל לשינויים הפנימיים והחיצוניים שהארגון חווה?

לדעתי המקצועית, הדרך הנכונה ביותר היא יישום מתודולוגיה / תקן לניהול אבטחת המידע.

אני אסביר:
אבטחת מידע אינה תהליך עצמאי. על אבטחת המידע להיות:

ברמה הארגונית – לארגון צריכה להיות מודעות ותפיסה ברורה של מה נחשב מותר ומה אסור בהקשר לנגישות / שימוש / הצגה ושמירה על המידע הארגוני, חבר הנהלה המשמש (לפחות) כספונסר לנושא ובנוסף, חיבור ליעדים העסקיים המשתנים.
כל המתודולוגיות / תקנים מדגישים את הדרג הניהולי (עסקי) כחלק בלתי נפרד ממערך אבטחת המידע הארגוני.

ברמת התהליכים העסקיים – על בקרות האבטחה להיות מוטמעות בתהליכים עצמם ולא כבקרה חיצונית לתהליך. בקרות המוטמעות בתהליכים לא רק משפרות את סביבת הבקרה הכללית, אלא הן מאפשרות יכולת קבלת החלטות נכונה יותר בהינתן הסיכונים והחשיפות בתהליך הספציפי.
לדוגמא: מתן הרשאות גישה למידע חייב להינתן ע”י המנהל העסקי האמון על אותו מידע ולא לפי שיקול דעת חיצוני של אנשי מערכות מידע / אבטחת מידע או כל גורם אחר. “בעל הנתונים” הוא הישות העליונה ביותר בקבלת החלטות אלו. הגיוני וסביר שהוא ירצה להתייעץ ולהסתמך על מידע מקצועי שיינתן לו ע”י מנהל / אנשי אבטחת המידע אך עליו לקבל את ההחלטה הסופית האם לאשר או לא נגישות למידע שבבעלותו.
גם כאן, כל המתודולוגיות / תקנים מדגישים את הטבעת (Embedded) בקרות אבטחת המידע בתהליכים העסקיים ואת האחריות של הדרג הניהולי (עסקי) לוודא כי התהליכים עליהם הם אמונים אכן כוללות סביבת בקרת אבטחת מידע נאותה.

ברמת העובד – כל עובד חייב לדעת מהן הסיכונים הבסיסיים שהוא נושא בחובו מהרגע שהמידע הארגוני (חלקו או כולו) זמין לו (אפילו אם מדובר בצפייה בלבד) וחשוב לא פחות על העובד לדעת מהם הכלים הבסיסיים מבחינתו לטיפול במקרה שבו קיים חשש לפריצת מערך האבטחה הארגוני. מפעולות שעליו לעשות, דרך כלים שעליו להפעיל ועד לגורמים שעליו לפנות על מנת לדווח כל אירוע הקשור בצורה ישירה ו/או עקיפה לסיכוני אבטחת מידע.
ושוב, אין מתודולוגיה / תקן שאינו מתייחס לגורם האנושי ולידע הנדרש ממנו ליישום מערך אבטחת מידע ארגוני.

שימוש ויישום מתודולוגיה / תקן מאפשר:

1. הנהלת הארגון יודעת כי אכן אבטחת המידע מוטמעת בתהליכים העסקיים.

2. מנהל אבטחת המידע (או המנהל האחראי) מוודא כי כל נושאי אבטחת המידע הרלוונטיים לארגון מנוהלים (באופן שיטתי וקבוע) ובקרות מומלצות מיושמות עפ”י הצרכים הארגוניים.

3. התבססות על ניהול סיכונים, בחינה עקבית והתאמות לשינויים.
ביצוע סקר ראשוני מאפשר לארגון לקבל תמונת מצב עדכנית ושימוש במדדים לבדיקת יעילות מערך האבטחה באופן תמידי (בסקר הארגון נמצא במצב מסוים והמדדים משמשים לשיפור מתמיד באמצעות בדיקה שאחרי פעולות שהוגדרו לשיפור המערך המצב השתנה לטוב יותר וכך ניתן להעלות את רף המדד גבוה יותר).

4. עמידה בדרישות פנימיות וחיצוניות (חוקים ורגולציה) למערך אבטחת המידע.
5. יתרון שיווקי ושיפור המוניטין.
“הצהרה” של הארגון כי תחום אבטחת המידע מיושם עפ”י מתודולוגיה / תקן מוכר מאפשר לארגון לשווק עצמו כטוב יותר והוא ייתפס ע”י לקוחותיו כאמין יותר.

אני בטוח שישנם סיבות נוספות ראויות לשימוש במתודולוגיה / תקן מוכר.

יחד עם זאת, ולסיכום, שימוש במתודולוגיה סדורה ו/או תקן מוכר אינו מבטיח יעילות למערך אבטחת המידע. יישום של סימון וי ברשימת המטלות (יישום “עיוור”) הוא לא בהכרח פתרון (וברב המקרים הוא ממש לא פתרון) בל נשכח שאם אנו עומדים בפני תקיפה, גם התוקף יודע ומכיר את בקרות התקן. השימוש בבקרות “המוכרות” מהווה הגנה נגד טעויות  ובעיקר מסגרת שעל הארגון לקחת בחשבון כשהוא מבקש לאבטח את המידע החשוב לו.

תפקידי הממונים על אבטחת המידע הוא קודם כל לחשוב!!!
יש להפעיל שיקול דעת ולהתאים את הנחיות אבטחת המידע למצב הארגוני.
אבטחת המידע של היום משתנה באופן כל כך מהיר ששום מתודולוגיה אינה יכולה לתת צ’ק ליסט של בקרות שברגע שארגון מיישם אותן הוא מוגן. אסור לארגון לקפוא על השמרים בנושא, תמיד להיות עם היד על הדופק, להיות קשובים לשינויים, ולהעריך את הסכנות והסיכונים המתחדשים לאבטחת המידע הארגוני.
כאשר אנו מטמיעים מתודולוגיה / תקן עלינו לחשוב ולהבין את המשמעות של הבקרות המוצעות, לבחון האם הן מתאימות ורלוונטיות לארגון שלנו ולהתאים את יישומן לצרכים הספציפיים של הארגון.

חושבים אחרת? יש לכם תובנות נוספות? נשמח מאוד לשמוע אותן בתגובות כאן למטה.

רוצים לשמוע יותר, מעוניינים בפגישת ייעוץ ללא תשלום וללא התחייבות, צרו קשר במייל info@know-it.co.il או בטלפון 076-5436466, ונשמח לתאם.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

מה חדש במסגרת העבודה COBIT 5 ?

נכתב בתאריך April 10, 2012 על ידי orenh אין תגובות

השבוע ארגון מבקרי מערכות המידע העולמי (ISACA) פרסם את מסגרת העבודה החדשה COBIT 5. הארגון, שסניפו בישראל מופיע תחת השם: האיגוד הישראלי לביקורת ואבטחת מערכות מידע (מודה, אני חלק פעיל ממנו), הפיץ את העדכון, 15 שנה אחרי הפרסום הראשון של מסגרת העבודה, הנחשבת כנפוצה ביותר בשוק המסחרי.

המסגרת החדשה, היא איחוד של כמה מסגרות עבודה, שהארגון פרסם בעבר, לניהול טכנולוגיית המידע והוספת נדבך הממשל כחלק ממכלול הטיפול בטכנולוגיית המידע.

אז מה בעצם יש לנו שם?

כאמור, קוביט 5 הוא שילוב של COBIT 4.1  (הגרסא האחרונה, שאף תורגמה לעברית וניתנת לרכישה באיגוד הישראלי), מסגרת עבודה לניהול סיכוני טכנולוגיית המידע RiskIT (את דעתי האישית על המושג סיכוני טכנולוגיית המידע ניתן למצוא בפוסט – “מה לניהול סיכונים ולשיפור תהליכים עסקיים?“), מסגרת עבודה לניהול ערך מטכנולוגיית המידע ValIT, ואפילו מהמודל העסקי לניהול אבטחת מידע BMIS שהארגון פרסם בשנת 2010. אך השינוי המשמעותי ביותר, הוא הוספת הממשל מעל לניהול טכנולוגיית המידע. או במילים אחרות, ההפרדה בין מושגי ותהליכי הממשל לניהול.

אם כך, מהו ההבדל בין ממשל לניהול?

ממשל – תפקיד הגוף המושל הוא לוודא כי המטרות העסקיות של הארגון מושגות.
את זה עושים באמצעות הצבת מטרות ויעדים עסקיים, בחינת האפשרויות להשגתם, הכוונת שדרת הניהול הארגונית בעזרת תיעדוף ונהלים לתהליכי קבלת החלטות וכמובן ניטור הביצועים והתוצאות.
ממשל = הערכה – כיוון – ניטור.

ניהול לעומת זאת, זה הביצוע בפועל. מנהלי הארגון מתכננים תוכניות עבודה, בונים ומפתחים תהליכי עבודה, תפעול ושימוש התהליכים הללו וניטור מכלול הפעולות שמטרתן, השגת היעדים העסקיים של הארגון.
ניהול = תכנון – בניה – שימוש – ניטור

וכך, קוביט 5 כוללת 5 תהליכי ממשל, שכל אחד מהם מבוסס על עקרון ההערכה, כיוון וניטור, ו- 4 תחומי ניהול טכנולוגיית המידע (המאגדים בחובם 32 תהליכים) מבוססים על יסודות התכנון, בניה, שימוש וניטור.

במקביל לחלוקה הנ”ל של התהליכים, ישנם חמישה עקרונות מפתח בקוביט 5:

מענה לצרכי בעלי העניין (בעלי המניות בעיקר) – בשורה התחתונה, מטרת כל ארגון היא להביא ערך (בד”כ כספי) לבעלי העניין בו. לפיכך, עקרון זה אומר שלכל ארגון כדאי להטמיע עקרונות ממשל. בפועל – הארגון רוצה להציג יתרונות עסקיים באמצעות ניצול מקסימאלי של המשאבים העומדים לרשותו וצמצום הסיכונים העומדים בפניו.

מתן מענה לתהליכים מקצה לקצה – בעוד קוביט 4.1 התייחס לתהליכים עסקיים וטכנולוגיים, הגרסא החדשה, מתייחסת לכל רמות הניהול הארגוניות. הדוגמאות המובאות בקוביט 5 מתייחסות למטרות ומטריצות במבט ארגוני, תהליכי וניהולי. תוספות ודוגמאות אלו, מאפשרים תכנון ובניית תהליכים מורכבים יותר ומסייעים בהטמעת האינטגרציה בתהליכים השונים.

שימוש במסגרת עבודה אינטגרלית – איחוד המסגרות וראייה מערכתית מקצה לקצה (ראה עיקרון 2), מאפשרים לא רק שימוש במתודולוגיה אחת, אלא בעיקר יכולת הרמונית לשלב מתודולוגיות ותקנים נוספים המשרתים ממשל וניהול.

שימוש בגישה הוליסטית – ממשל וניהול יעיל ואפקטיבי (effective & efficient) מחייב גישה הוליסטית. קוביט 5 מגדיר 7 קטגוריות של מניעי (Enablers) יעילות ואפקטיביות: עקרונות התהליכים, מסמכי מדיניות ונהלי עבודה, מבנה ארגוני, תרבות ניצול כישורים ויכולות של עובדים, אתיקה ארגונית, תשתיות, ואחרון חביב – שימוש במידע מאפליקציות ארגוניות.

הפרדה בין ממשל לניהול – כפי שכבר ראינו מספר פעמים, קוביט 5 מדגיש ומפריד בין תהליכי ממשל לתהליכי ניהול.

שינוי נוסף בקוביט 5 נעשה במודל ההערכה הפנימי (CMM – Capability Maturity Model).
הוספת תהליכי הממשל והמבט הארגוני והניהולי בנוסף לתהליכים, אינו מאפשר שימוש במודל מהגרסאות הישנות יותר.
המודל הישן כלל 6 שלבים בהטמעת תהליך – מאינו מוטמע כלל ועד מוטמע וכולל בקרה ושיפור מתמיד.
מודל ההערכה בקוביט 5 מבוסס על תקן ISO 15504 , שהוא תקן לניהול איכות ויכולת (בעצם שדרוג של מודל CMMI המוכר, ליכולת פיתוח תוכנה). היתרון בשימוש בתקן זה הוא שכל התהליכים מוערכים ונמדדים באותם ערכים ומדדים (ניתן להשתמש במודל הזה הן לטכנולוגיית המידע והן לתהליכים עסקיים), מה שמאפשר השוואה בין תוצאות הן בין תהליכים והן באותו תהליך בפרקי זמן שונים. יתרון נוסף הוא היכולת העתידית לקבל הסמכה חיצונית לתהליכים על בסיס תקן ISO 15504.

בשורה התחתונה, קוביט 5 היא מסגרת עבודה המתאימה לכל ארגון בכל גודל ומכל מדינה.
כמו כל מסגרת עבודה, לא הייתי ממליץ לקחת את הכתובים ולאמצם כתורה מסיני.
יש לעבור על כל התהליכים, לבדוק מה רלוונטי לארגון, לבנות את המקרה העסקי האישי של הארגון ולהטמיע את הנדרש בשלבים תחת הצבת מטרות ויעדים מדידים קצרי טווח וארוכי טווח. להרגיש את השינוי, לבדוק את עצמנו שוב ושוב ולהמשיך ולהטמיע תהליכים נוספים, לשפר את סביבת הבקרה ולהשתמש במדדים שקבענו לשיפור מתמיד.

רוצים לשמוע עוד על COBIT 5 ? מעוניינים לבדוק איך המסגרת משתלבת בארגונכם? צרו קשר בטלפון 076-5436466 או כתבו למייל info@know-it.co.il ונשמח לתאם פגישת ייעוץ חינם.
השקיעו שעה מזמנכם ובדקו כיצד אתם יכולים לשפר ולייעל את עבודת ארגונכם.

פורסם בקטגוריה כללי, ממשל, מתודולוגיות וסטנדרטים

שליש מהתקציב עבור רגולציה?? למה??

נכתב בתאריך April 4, 2012 על ידי orenh אין תגובות

השבוע קראתי בדיילי מיילי את דבריו של צורי חורין, סמנכ”ל בכיר בנס טכנולוגיות כי “הרגולציה גוזלת כשליש מהתקציב ומכוח האדם של טכנולוגיית המידע (IT)  במגזר הפיננסי“. 30% מהתקציב? מדובר באחוז משאבים עצום!!
שליש (!!) מהתקציב וכוח האדם?? לרגולציה? משהו לא הגיוני כאן !!

האם זו הייתה מטרת הרגולציה? האם החברות בשוק הפיננסי יכולות להעמיד תחרות אמיתית במגבלות שכאלה? משהו חייב להשתנות.

מה עושים?
מטמיעים מסגרות עבודה ועקרונות ממשל ומפחיתים משמעותית את כמות המשאבים הנדרשים.
איך עושים זאת? זה לא כזה מסובך…

דבריו של מר חורין, מובילים לשימוש בכלים הטכנולוגיים שחברתו, נס טכנולוגיות, מפיצה בדגש על כלי ניתוח  ובינה עסקית, כמו גם אפשרויות של מיקור חוץ לפעילות הפיתוח והתמיכה. אין לי ספק שהמודלים העסקיים שנס טכנולוגיות או כל חברה אחרת מציעה מציגים התייעלות וחסכון כספי לחברות תחת דרישות הרגולציה.

יחד עם זאת, לפני שאנחנו רצים להטמיע כלים ולהוציא למיקור חוץ תהליכים שלמים, בואו נבדוק את עצמנו בראיה מפוקחת ובעיקר עסקית.

מהן דרישות הרגולציה? בין אם נסתכל על דרישות הממונה על הביטוח ובין אם נסתכל על דרישות הממונה על הבנקים, דרישות SOX או אפילו החוזר לניהול טכנולוגיות בגופים מוסדיים ובעצם, כל רגולציה אחרת, נמצא כי מטרת הרגולציה היא לוודא כי קיימת סביבת בקרה ראויה ונאותה.
במילים אחרות, הארגונים מטמיעים בקרות בתהליכים, בעיקר הפיננסיים, כנגד מעילות, הונאות, דיווח כוזב, מרמה וכדומה.

ומה עושים הארגונים? מוסיפים בקרות!!
מגיעה דרישה למנהל תחום מסוים, הארגון מעסיק מנהל לאותו תחום. רגולציה א דורשת בקרות גישה לקבצים, הארגון מטמיע בקרות, קונה כלים טכנולוגיים ומגדיל משאבים.
מגיעה דרישת רגולציה ב לניהול זהויות, אין בעיה. הרגולציה מחייבת!! מביאים יועצים חיצוניים, קונים כלים טכנולוגיים, מטמיעים פתרונות ועיקר מסמנים וי על הדרישה.

הכל טוב ויפה, עד שכמות הדרישות הופכת לנטל. מה עושים אז? מפרידים בין דרישות רגולציה א לדרישות רגולציה ב ושמים שני מנהלים נפרדים לכל אחד.
התוצאה: כאוס. כפילויות, בזבוז משאבים, כוח אדם מיותר, השענות על יועצים חיצוניים, הסתכלות נקודתית והכי גרוע – ניהול בקרות נקודתיות וידניות.

מה אין?
– אין הסתכלות ניהולית מלמעלה.
– אין ניהול סיכונים (במקום לנהל בקרות)
– אין אוטומטיזציה של תהליכים
– אין ניטור ודיווח
– אין תהליך קבלת החלטות מבוסס סיכונים וסיכויים

ניהול סיכונים מרכזי, תחת עקרונות ממשל טכנולוגיית המידע הוא הפתרון המלא לדרישות רגולציה.
בכנס האחרון של האיגוד הישראלי לביקורת ואבטחת מערכות המידע, שנערך בדצמבר האחרון, ניתן היה למצוא הרצאות מעולות על השינויים שהרגולציה גורמת.
השינוי שלדעתי הוא המהותי ביותר הוא המעבר לניהול סיכונים במקום ניהול בקרות.
אנו עדים ליותר ויותר ארגונים המתחילים להסתכל על הסיכונים הרלוונטיים אליהם ולנהל אותם במקום להסתמך בעיניים עצומות על הסיכונים הגנריים שהרגולטור מבקש להתייחס אליהם.
אפילו אני לקחתי חלק באותו כנס ונושא ההרצאה שלי היה: “ציות בעולם מרובה רגולציות“.
כמו שאתם יכולים להבין, מטרת ההרצאה הייתה לפקוח את עיני המנהלים שעל מנת להתמודד עם נטל הרגולציה יש לשנות את התפיסה לגביו. בד בבד, מינוף הדרישות יכול להפוך די בקלות ליתרון עסקי.

הגדרת מסגרת עבודה כבסיס למענה לדרישות רגולציה, ריכוז התהליכים, הסיכונים ונושא הציות במקום אחד מרכזי, התאמה לאסטרטגיה העסקית ובמיוחד, קביעת מדדים לסביבת הבקרה המשתמשים גם כמינוף לשיפור מתמיד יהפכו את הנטל ליתרון.

שימוש מושכל במתודולוגיה ייתן מענה לכלל דרישות הרגולציות השונות וימנע כפילויות ובזבוז משאבים. בסופו של יום, הקצאת 30% מהמשאבים לרגולציה מסרס את הארגון מלהיות יעיל, אפקטיבי ומכאן רווחי. הפיכת הדרישות למינוף עסקי יצמצם את העלויות הנדרשות וישפר את הביצועים התפעוליים.

כמנהל, למה בדיוק אתה מחכה?
בדוק עכשיו איך למנף את דרישות הרגולציה לשיפור תהליכים עסקיים.
כמו כן, וודא כי טכנולוגיית המידע משרתת את ארגונך בצורה הטובה ביותר.

צריכים עזרה? רוצים לבדוק מה ייתן לכם ממשל? רוצים דוגמאות למדדים המשתמשים לשיפור מתמיד? התקשרו עכשיו לטל’ 076-5436466 או שלחו מייל לכתובת info@know-it.co.il ונקבע פגישה לעבור על האפשרויות הרלוונטיות לארגונכם.

פורסם בקטגוריה דרישות חוק ורגולציה, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים