מתי לאחרונה עשית בדיקת דם לארגון שלך?

נכתב בתאריך March 27, 2012 על ידי orenh אין תגובות

 בשנים האחרונות, עסקתי לא מעט בביקורת שוטפת של ארגונים נסחרים. תקופה זו של השנה, בה המבקר החיצוני של אותם ארגונים משקיע מאות ולעתים אף אלפי שעות עבודה על מנת לוודא כי הדוחות השנתיים שהחברה הצהירה עליהן אכן מציגים את סיכום הפעילות השנתית, וכי הסיכונים (בעיקר הפיננסיים) הארגוניים מנוהלים כראוי.

כמנהלים, אין לנו יותר מדי מה לעשות. להציג את נתוני השנה החולפת, להצניע ככל האפשר את המקומות שאנו חוששים מהם (לאו דווקא כי הם לא בסדר, אלא כי שם אנו נראים פחות טוב), לפאר ולהציג את העבודה הטובה שעשינו השנה, ובעיקר לקוות לטוב.

מהצד השני, כמבקרים, בדיוק כמו החברה, אנחנו עובדים עם צק ליסט מסודר, עוברים סעיף, סעיף, לוודא כי הבקרות שאנו מצפים לראות אכן שם ומופעלות בצורה עקבית.

אם כך, מדוע ישנם כל כך הרבה אירועי אבטחה, מעילות, הונאות וסקנדלים כספיים נוספים?
הדוגמא טובה ביותר (בעיני), היא עולם הבנקאות. לדעת רבים, זהו הסקטור בעל דרישות הרגולציה הגבוהות ביותר ועדיין עפ”י דוח בנק ישראל, בשנת 2011 בלבד, זוהו 13 מקרי מעילה (שזוהו ודווחו !!) בסכום כולל של כמעט 15 מליון ₪. אגב, כמות המעילות קטנה לעומת 2010 (20 מקרים), אך הסכומים גדלו פי שלוש (מסכום כולל של כמעט חמישה מליון לסה”כ כמעט חמישה עשר מליון).

איך זה קורה? מדוע ארגונים המבוקרים באופן שוטף “ממשיכים לסבול” מסקנדלים פיננסיים?

לדעתי האישית, עיקר הבעייתיות נובעת מהתפיסה המוטעית שלנו מתוצרי הביקורת השנתית ובכלל הבנת מטרות הביקורת ומסקנותיה (גם החיצונית ואפילו יותר הפנימית) .
אני אסביר: יש לנו, כמנהלים, תפיסה מוטעית שמטרת הביקורת השנתית היא לזהות את כל החורים האפשריים ובסופה כל מה שזוהה תוקן ונסגר ולעולם לא יחזור. בעוד שבפועל, מטרת הביקורת היא לוודא כי מה שהוצהר כסיכום הפעילות הפיננסית אכן מייצג את הפעילות השנתית.
במילים פשוטות, הביקורת בודקת את המעטפת העליונה של הדיווח הכספי ומוודא שעקרונית אין חורים ענקיים וברורים שעלולים לסכן את נכונות התוצאה הכספית הסופית של השנתון הנבדק.

מטרת הביקורת השנתית אינה לבדוק אבטחת מידע ו/או מעילות והונאות, מטרת הביקורת היא לאשרר את תהליכי הבקרה הפנימית ולוודא כי המספרים המייצגים את הפעילות השנתית, הגיוניים וסבירים. לא סתם מדובר במילה האנגלית Assurance ובתרגום לעברית – ביטחון (המבקרים מדברים על Reasonable assurance  – ביטחון הגיוני).

מכאן, ניתן להסיק עד כמה התלות בביקורת השנתית מזויפת ואינה הגיונית.
זו ביקורת כספית בלבד וגם התהליכים הטכנולוגיים נבדקים ברמה העליונה בלבד.

אם נעבור רגע לאנלוגיה רפואית, הרי ידוע כי “מניעה עדיפה על ריפוי”. לכן, כאשר אנו רוצים לדעת מהי המחלה שאנו סובלים ממנה? אנחנו מבצעים בדיקות דם. הרפואה בימינו עברה מזיהוי סימפטומים חיצוניים (באנלוגיה שלנו – הביקורת השנתית) לבדיקות מקיפות (דם, שתן, צואה וכדומה).
בדיקות הדם נותנות לנו “התראות מוקדמות” לבעיות שעלולות לצוץ בקרוב. מערכת הדם נושאת את הסממנים של סכנות אפשריות חודשים ולעיתים אף שנים לפני שהם יצוצו כסימפטומים חיצוניים. מן הסתם, ידיעת הבעיות מראש מאפשרת התכוננות והערכות ואף תוכנית פעולה למניעת המחלה.

האנלוגיה הרפואית שלפניכם היא החשיבה הנכונה גם בעסקים.
זה לא מספיק להסתמך על הביקורת השנתית כנגד מעילות, הונאות וחשיפות אבטחת מידע. עלינו לבצע בדיקות דם תקופתיות לזיהוי בעיות שעלולות להגיע בעתיד.

כיוון שכיום, כל התהליכים העסקיים שלנו, נתמכים בצורה זו או אחרת במערך הטכנולוגיה, עלינו לבצע בדיקות דם למערך הטכנולוגיה.

ביצוע סקרי סיכונים, בדיקות חדירה, ביקורות נקודתיות באפליקציות ובתהליכי הליבה, מבדקי אנומליות ואפילו בחינת הארכיטקטורה הטכנולוגית הינם דוגמאות מובהקות של בדיקות דם ארגוניות.

כמנהלים אנו רוצים לאתר ולזהות חשיפות ובעיות עוד לפני שהן הופכות למציאות, בדיקות אלו יזהו בעיות קיימות ו/או עתידיות הרבה יותר טוב מהביקורת החשבונאית השנתית.

לכל אלה שהאסוציאציה הראשונה שעולה במוחו, “למי יש תקציב לבדיקות הללו?”,
הרי כאן באה לידי ביטוי יכולת הניהול ולא פחות חשוב, האחריות.
אין צורך לעשות הכל ומיד. יש לתכנן לפי הרלוונטיות תוכנית ביקורת רב שנתית שבה בהתאם לצרכים ולסיכונים, אנו מבצעים בדיקת דם תקופתית. זה יכול להיות רבעוני, דו שנתי, שנתי ואפילו יותר. כל עוד אנו דואגים לבדוק את המערכת החיסונית הארגונית.

צריכים עזרה בבניית תוכנית בדיקות, צרו קשר בטלפון 076-5436466, או במייל  info@know-it.co.il, כבר עכשיו, ובוא יחד נבין את הצרכים הארגוניים ונבנה תוכנית “רפואית” עבורכם.

פורסם בקטגוריה אבטחת מידע, כללי, ניהול סיכונים

מדיניות אבטחת מידע ארגוני: פוסט המשך

נכתב בתאריך March 14, 2012 על ידי orenh אין תגובות

אני ממשיך לקבל תגובות לפוסט יישום ממשל אבטחת מידע שפורסם כאן בינואר.
לפיכך, החלטתי להרים את הכפפה ולהתחיל לפרוט את המשמעויות של יישום ממשל אבטחת מידע בארגונים.

התחלת יישום ממשל הוא בקביעת עקרונות העל. במקרה שלנו, עקרונות אבטחת המידע ובמקרים רבים נתעד אותם במסמך מדיניות אבטחת מידע ארגוני.
למה דווקא במסמך מדיניות, מאוד פשוט, מסמך זה מייצג את עקרונות “המה” עלינו לעשות. בעוד ניהול אבטחת המידע הוא בנהלים האומרים “איך” לעשות זאת.

אם כך, איך כותבים מסמך מדיניות אבטחת מידע?

כמו כל דבר, מתחילים מההתחלה. כל עסק, בין אם הוא נולד היום, או קיים ונושם, בין אם מדובר במפעל יצרני, או מתחם משרדים, בצפון או בדרום, עלינו לקחת בחשבון שלושה פרמטריים עיקריים במדיניות אבטחת המידע שלנו:
אבטחה פיזית, אבטחה לוגית והגורם האנושי (המשתמשים ובעיקר עד כמה אנחנו סומכים עליהם).

שיטות הניהול של היום, מציבות ארגונים רבים באתגרים לא פשוטים.
אתגר האבטחה, ברוב המקרים, נדחק לפינה ומקבל עדיפות נמוכה יחסית בתקצוב ובמשאבים. כתוצאה מכך, הארגון מתחיל באבטחה פיזית מינימאלית (בד”כ בהתאם לדרישות חברות הביטוח), הגישה הלוגית מכוסה בפיירוול והגורם האנושי מסתכם בראיונות משאבי אנוש ולא באנשי ביטחון המתמחים בזיהוי בעיות אמינות. במילים פשוטות, קו ההתחלה אינו מזהיר…

מצד שני, חלק מהאתגרים העומדים בפני ארגון הוא להיזהר גם מאפשרויות תקיפה, הן מצד מתחרים עסקיים, הן פושעי מחשוב ובמדינתנו אפילו טרוריסטים.
לכן, כמו בכל מודל עסקי אחר, ראשית עלינו להעריך את הסיכונים העומדים בפני הארגון, הן הסיכונים הצפויים ובמידת האפשר הסיכונים הלא צפויים.
לכל סיכון שזוהה, עלינו להצמיד “תג מחיר”, וסליחה על האנלוגיה, שיהיה על הארגון לשלם במקרה של התממשות הסיכון. הכפלת אותו “מחיר” (זהירות: לא להשתמש במושג הקודם שוב), בהסתברות שהסיכון אכן יתממש נותן לנו אינדיקציה עד כמה נדרשת אבטחת המידע ומה התעדוף שעלינו לבצע בין הסיכונים השונים. הערכה זו בצירוף מגבלות תקציביות יאפשר לנו להבין מול אילו סיכונים אנחנו עומדים, מתמודדים או במקרים מסוימים אפילו מודעים לכך שאנו לא מוגנים מפני אותם סיכונים.

כנגד הסיכונים העיקריים שזיהינו, עלינו לקבוע מהם קריטריוני הסף לבקרות אבטחת המידע הארגוני:
לפני שאני מתחיל לפרוט את אופן ההתייחסות לשלושת הקריטריונים, אני מבקש להדגיש:
יש להתייחס לאבטחת מידע כתהליך עסקי לכל דבר. כמו בכל תהליך עסקי אחר, עלינו להבין מהם הצרכים הנדרשים בארגון שלנו ולהתאימם לתוכנית אבטחת המידע.
תפקיד אבטחת המידע הוא להגן ולשפר את התהליך העסקי ולא לעכב אותו. המשמעות היא, ניהול הסיכון בתהליך ובאותה נשימה התאמה לצרכי התהליך. יתר אבטחה ימנע מהתהליך להיות יעיל ושימו לב: מחיר “אבטחה בכל מחיר” תמיד יהיה גבוה מדי.

אבטחה פיזית – מגוון הפתרונות הקיימים בשוק, הוא לא נתפס. מצלמות, חיישנים, חומרים כימיים כאלה ואחרים ועוד ועוד. השאלה הנשאלת היא: מה אנחנו באמת צריכים?
האבטחה הפיזית היא חלק ממארג האבטחה, היא לא עצמאית ועליה לתת פתרונות ליותר מחדר השרתים. זה נכון שעיקר ההנחיות צריכות להיות סביב משאבי הטכנולוגיה המרוכזים בדרך כלל בחדר אחד מרכזי, אך גם הגישה הפיזית לתחנות עבודה, לסביבת הייצור, למתחם המשרדים עצמו יכולים במקרים רבים להוות סיכון לארגון.
עקרונות העל חייבים להתייחס למכלול האבטחה הפיזית. במקומות מסוימים יש חשיבות למיקום חדר השרתים, ובמקומות אחרים תהיה התייחסות לעובי הקירות במשרדים, סוגי ורמות המנעולים, בקרת כניסה נרשמת וכדומה.
אל תשכחו, היום (כמעט) כל התהליכים העסקיים מנוהלים בצורה ממוחשבת. מתן גישה פיזית ברוב המקרים מאפשר גישה לוגית!! לכן, האבטחה הפיזית תכלול התייחסות לגישה פיזית למשאבי המחשוב, לרבות (ואולי אפילו בדגש) על גישה של גורמים פנים ארגוניים. כמו שציינו, עלינו לקחת בחשבון גם את הגורם האנושי.

אבטחה לוגית – תחום האבטחה הלוגית עובר שינויים במהלך השנים האחרונות והתמחויות חדשות נכנסות לתחום הגדל הזה. הסיכונים העומדים בפני ארגונים הם פועל יוצא של רמת ההתבססות על טכנולוגיה. גם כאן, ישנם כל כך הרבה כלים ואפשרויות שהיום כל ארגון מתפעל לפחות 3-4 מערכות / כלים בתחום (אתם מכירים ארגון ללא פיירוול, נתבים בעלי רשימות גישה, אנטי וירוס ו/או רשימות משתמשים מוגבלות ברשת הארגון? כי אני לא מכיר…) בדגש על לפחות. במסמך מדיניות אבטחת המידע עלינו להגדיר מהו המינימום הנדרש כנגד הסיכונים שזיהינו בתחילת התהליך.
במרבית הארגונים שאני נתקלתי, ישנם סוגי מידע רגישים יותר ורגישים פחות ולכן המומלץ ביותר הוא לבצע סיווג מידע ולהגדיר מינימום נדרש למידע הכי פחות רגיש ומשם להמשיך בקריטריוני סף יותר מאובטחים ככל שאנו עולים ברמת הרגישות ו/או הסיכון בחשיפת המידע הרגיש ביותר.
דוגמא קלאסית היא הגדרת רשת בסיסיות כמינימום למידע שהוגדר כאינו רגיש במיוחד אל מול אבטחת מידע רגיש בסגמנט נפרד ברשת, אליו הנגישות מצומצמת ודורשת אמצעי זיהוי שלישי, בד”כ אמצעי פיזי (טוקן כלשהו ולעיתים אפילו ביומטרי).

הגורם האנושי – האמת, גם כאשר אבטחת המידע הפיזית והלוגית מתוחזקים בצורה מושלמת, הגורם האנושי הוא הסיכון הגדול ביותר. טעויות אנוש, גורמי בצע או תסכול, רוע ולעיתים אף פלילי ייזום (ריגול תעשייתי פנימי) הם מראות שאנו רואים יותר ויותר בשנים האחרונות.
בדיקות וראיונות אבטחה מקצועיים לפני קליטת עובדים, ובעיקר הגברת מודעות וידיעה הם הפתרונות העיקריים כנגד הגורם האנושי. יצירת מודעות נעשית ע”י תדרוך, מיילים תקופתיים, חיוב X שעות הדרכה בנושא אבטחת מידע, הסברים על משמעות הנזק שעלול להיגרם ותרגול הם כולם כלים הניתנים לתחזוק ולמדידה במדיניות אבטחת המידע הארגוני.

לסיכום: מדיניות אבטחת מידע ארגוני מוודא שתהיה מינימום תוכנית פעולה בשלושת הפרמטרים הללו, בדגש על אפשרויות מדידה בצורה פשוטה ככל האפשר.
ודבר אחרון. לא משנה כמה מאובטח הארגון שלכם, עם הזמן, המשאבים והרצון תמצא הפרצה. לפיכך, גם על מסמך מדיניות אבטחת המידע הארגוני כדאי ורצוי לעבור תקופתית על מנת לוודא שהיא עדיין אקטואלית ומשרת את הצרכים הארגוניים.
לארגונים בכלל, ובתחום אבטחת המידע בפרט, אסור לקפוא במקום!!
משפטים כגון: “לנו זה לא יקרה”, “אני סומך על העובדים שלי”, “אין לי בעיה שהם נגישים להכל”, הם משפטים ששמעתי כל כך הרבה פעמים ממנהלים. ומנגד, מעילות שנתקלתי בארגונים, השבתות מלאות של מערכות עקב פרצות וחשיפות שלא נוהלו, נזקים למידע עקב טעויות אנוש… בארגונים הללו שומעים הרבה פחות אמירות שכאלה.

אל תתנו לארגונכם להיקלע למצב שכזה.
הקדימו תרופה למכה ותנו גם למקרים אלו “מחיר” עבור ההנהלה.
בסופו של דבר זה מתפקידם להחליט ולאשר מה יבוצע בפועל ומה ייספג בנייר.

רוצים ליישם ממשל אבטחת מידע בארגונכם?
צריכים סיוע בבניית מדיניות אבטחת מידע ארגוני?
סיוע והרחבה בנושא האחריות (נשיאה באחריות ותחומי אחריות)?
איך המבנה הארגוני קשור ליישום ממשל אבטחת מידע?
חברת Know-IT מתמחה ביישום עקרונות ממשל.
צרו קשר  בטלפון 076-5436466 או שלחו מייל לכתובת info@know-it.co.il ונשמח לבדוק כיצד אנו יכולים לסייע.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

ממשל ואסטרטגיית טכנולוגיית המידע – מצא את ההבדלים

נכתב בתאריך March 7, 2012 על ידי orenh אין תגובות

סמנכ”ל טכנולוגיות בחברה גדולה שאל אותי השבוע, “בעצם, מה הבדל בין ממשל טכנולוגיית המידע ואסטרטגיית טכנולוגיית המידע?”. השאלה באה במהלך פגישה, בה ייעצתי לחברה להטמיע מסגרת עבודה התומכת בניהול מערך הטכנולוגיה תחת עקרונות ממשל.
“או” עניתי לו, “בדיוק בשביל זה אני כאן”, יש כל כך הרבה מושגים דומים, הקשורים זה בזה באופן ישיר ועקיף ולעיתים הקשרים הללו מבלבלים לא מעט מנהלים, במיוחד שמדובר בתהליכים שכולם מכירים בכותרת, אך לא כולם מכירים לעומק ו/או מנוסים ביישום שלהם.

אז מה ההבדל? המשיכו לקרוא ואין לי ספק שתבינו…
ממשל טכנולוגיית המידע הוא המושג המרכזי בבלוג שלי. לכן, מרבית הפוסטים הקודמים שלי כוללים הסברים והתייחסות אליו, ובכל זאת (בקיצור), אלה הם העקרונות שעליהן מנוהל העסק בהקשר של טכנולוגיית המידע. אסטרטגיית טכנולוגיית המידע, לעומתו, הוא מושג חדש בבלוג ועלינו להגדירו.

כפי שציינתי לא אחת, ביישום ממשל טכנולוגיית המידע אנחנו לא מחפשים להמציא שום גלגל.
ישנן לא מעט מתודולוגיות, תקנים ומסגרות עבודה לשם כך (ראו באחד הפוסטים הראשונים שלי – מסגרות עבודה מקובלות בממשל טכנולוגיית המידע).
אחד התקנים המובילים בעולם בנושא ממשל טכנולוגיית המידע הוא – ISO38500.
זהו תקן המפרט עקרונות מנחים עבור ארגונים בדבר השימוש האפקטיבי, היעיל והמקובל של טכנולוגיית המידע. כמו כן, התקן מפרט את ששת העקרונות הנדרשים ליישום ממשל טכנולוגיית המידע. והם:
– אחריות – Responsibility
– אסטרטגיה – Strategy
– רכש – Acquisition
– ביצועים – Performance
– התאמה – Conformance
– התנהגות אנוש – Human Behavior

כבר מקריאת ששת העקרונות ניתן להבין מה השוני בין ממשל לבין אסטרטגיה. אסטרטגיה היא חלק מממשל, אך ממשל מכיל הרבה יותר מאסטרטגיה.

ועדיין, כפי שהתחייבנו, עלינו להגדיר מהי אסטרטגיית טכנולוגיית המידע. אסטרטגיית טכנולוגיית המידע היא נגזרת של האסטרטגיה העסקית. אין ואסור שתהיה לטכנולוגיית המידע אסטרטגיה עצמאית.
אסטרטגיית טכנולוגיית המידע היא התוכנית הרב שלבית / רב שנתית (ושניהם גם יחד) שבה טכנולוגיית המידע תתמוך, תספק ואף תעצים את האסטרטגיה העסקית. תוכנית טובה אף תכלול בחובה גם מדדים המאפשרים ניטור ומדידה של יישום התוכנית.

ועכשיו נותר בעיקר לסכם.
ממשל טכנולוגיית המידע היא קביעת עקרונות למכלול הפעולות שעל המערך הטכנולוגי לבצע על מנת לתמוך ביעדים והמטרות העסקיים.
עקרונות הממשל יכללו תוכנית אסטרטגית לטכנולוגיית המידע על מנת לתמוך ביעדים ובמטרות העסקיות, מכלול המשאבים הנדרשים ליישום תוכנית זו, מבנה תפקידים ותחומי האחריות ביישום התוכנית ובנוסף, יקבעו יעדים ומדדים, טכנולוגיים ועסקיים, המאפשרים ניטור ודיווח התקדמות אל מול התוכנית האסטרטגית הארגונית.

השלבים הנכונים הם:
1. קביעת עקרונות ממשל
2. תוכנית אסטרטגית עסקית
3. תוכנית אסטרטגית טכנולוגית תומכת
4. ניהול עסקי וטכנולוגי בהתאם לתוכנית האסטרטגית ותחת עקרונות הממשל.

ובמילים הכי פשוטות שאפשר (לפחות ממני),

ממשל – עקרונות העל לשימוש במכלול המשאבים הארגוניים להשגת מטרות עסקיות

אסטרטגיה  – “מפת הדרכים” להשגת המטרות העסקיות

ניהול – האופן (היום יומי) שבו משיגים את המטרות העסקיות

בסופה של אותה פגישה, עם אותו סמנכ”ל טכנולוגיות מדובר, סוכם כי הנושא יועלה לדיון בישיבת ההנהלה הקרובה ותישקל האפשרות לשילוב רעיון עקרונות הממשל בתוכניות העבודה השנתיות כחלק מההכנה לשילוב עקרונות ממשל ארגוני במהלך תכנון 2013.

רוצים לדעת איך עקרונות הממשל משתלבים בארגונכם כבר השנה?
רוצים להכין את הקרקע לממשל טכנולוגיית המידע?

צרו קשר בטל: 076-5436466 או במייל info@know-it.co.il עוד היום ונשמח לתאם פגישת הכרות לבחינת התאמת עקרונות ממשל בארגונכם.

פורסם בקטגוריה כללי, ממשל, מתודולוגיות וסטנדרטים

האם מנהלי הסיכונים הם הורים טובים?

נכתב בתאריך February 28, 2012 על ידי orenh אין תגובות

“כהורים, אנו מלמדים את ילדנו להיות זהירים. אנו לא רוצים שהם ייקחו סיכונים מיותרים, כמו לרדוף אחרי תרנגולות בכביש סואן…”, אומר נורמן מרקס באחד הפוסטים האחרונים שלו…

נורמן מרקס הוא אחד מגדולי המשפיעים בעולם ממשל טכנולוגיית המידע.
עם רקע עשיר כמבקר פנים ראשי, מנהל סיכונים ארגוני, וחלק מהנהלה בכירה למעלה מעשרים שנה, הוא משמש כיום כסמנכ”ל עסקי בסאפ העולמית.
במקביל, נורמן מפרסם בלוג בתחום ממשל טכנולוגיית המידע, בלוג נוסף בתחום ביקורת פנים. כמו כן, הוא חבר כבוד בארגון OCEG עקב תרומתו הענפה לתחום הממשל וניהול הסיכונים.

נורמן ואני לוקחים חלק במגזין אינטרנטי חדש שיוצא לאור בימים אלו בשם: Alinement Network, וברשותו האישית, תרגמתי את אחד הפוסטים הפשוטים והמבריקים שקראתי לאחרונה:

כהורים, אנו מלמדים את ילדנו להיות זהירים. אנו לא רוצים שהם ייקחו סיכונים מיותרים, כמו לרדוף אחרי תרנגולות בכביש סואן (כדברי המשל).
במקרה הרע, אנו מלמדים אותם להסתכל לצדדים ולוודא שאף רכב לא עובר, ולהמשיך לחפש רכבים גם תוך כדי חצייה. אנו בעצם מלמדים אותם לנהל את הסיכונים האישיים שלהם בצורה יעילה. כמובן שאנחנו לא נשב איתם כל רבעון, לזהות, להעריך, ולהגיב לסיכונים. עליהם להתאמן ולבדוק את עצמם בכל יום ויום במהלך שנותיהם כצעירים.
העקרון הבסיסי הזה חל ותקף גם למבוגרים בחייהם המקצועיים והאמת, גם האישיים.

בכל פעם שמנהל, עובד, חבר דירקטוריון או כל קולגה שלנו מבצע החלטה עליהם להבין ולנהל את הסיכון הכרוך בהחלטה זו. ניהול סיכונים, בדיוק כמו עם הילדים, הוא חלק מחיי היום יום העסקיים.

יחד עם זאת, מי ילמד את האנשים הללו את הלקחים, בדיוק כמו את הילדים, לא לקחת סיכונים מיותרים ולהסתכל לכל הצדדים בכל פעם שלוקחים החלטה עסקית?

מי אם לא העוסקים בניהול סיכונים?
כן. ניתן לטעון כי על כל מנהל לעזור לעובדים לקבל החלטות יעילות. אך, לעוסקים בניהול הסיכונים יש הכשרה וניסיון לפעול כהורים. לשמש כמנטורים וכמדריכים למנהלים, לחברי הדירקטוריון ולכל עובד, אפילו הזוטר ביותר.

האם בארגונכם יש אנשים העוסקים בניהול סיכונים? האם הם “הורים טובים”?

חברת Know-IT שמה לה למטרה לשמש “הורים טובים” בתחום הממשל, ניהול הסיכונים והתאימות.
אנו נשמח לעמוד לרשותכם ולעזור לכם לבנות ולהכיל “הורים טובים” בארגונכם.
אנו מזמינים אתכם לייצור קשר בטל’: 076-5436466 או במייל info@know-it.co.il  ונשמח לבדוק כיצד אנו עושים זאת יחד.

פורסם בקטגוריה כללי, ממשל, ניהול סיכונים

שאלות יסוד למימוש פרויקט טכנולוגי

נכתב בתאריך February 22, 2012 על ידי orenh אין תגובות

אם אתם חושבים שההנהלה שלכם אינה מבינה בצורך בממשל טכנולוגיית המידע ו/או כל יישום פרויקט טכנולוגי גדול אחר (למשל: יישום כלי אבטחת מידע הכנסת מערכת רוחבית וכדומה), יש לזכור שחוסר ההבנה הזו יכולה להיות הדדית ולנבוע מהמחשבה שההנהלה חושבת שאתם פשוט לא מבינים בניהול עסק.

אז מה עושים?

בואו נשים את הדברים על השולחן. המטרה הראשונה והחשובה ביותר לכל עסק, היא להניב רווחים לבעלים / בעלי המניות (כמובן שאני מדבר על עסקים מסחריים ולא גופי ממשל, עמותות, מלכ”רים וכדומה). לכן, השפה השלטת היא שפת הכסף.
מצטער על בוטות הדברים, אך גם פעולות חברתיות, תרומות, סיוע, אחריות חברתית ואחרים, נועדו בסופו של דבר לייצר מוניטין ראוי שיניב מכירות נוספות ומקסום רווחים.

בחזרה לנושא, לפני שאנחנו פונים להנהלת הארגון בדרישות ליישום פרויקט ממשל / אבטחת מידע / כלים ממוחשבים או כל פרויקט גרנדיוזי אחר, קודם כל עלינו להבין מספר נושאים לגבי מטרות הארגון, אופי ותרבות הארגון, צורת חשיבת הנהלתו, דרישות חיצוניות וכדומה.
על מנת להקל עליכם, להלן חמשת שאלות היסוד ליישום ממשל טכנולוגיית המידע
(וכל פרויקט רוחבי אחר בטכנולוגיית המידע)

1. האם זה נדרש?

קודם כל, מה יוצא לארגון מהפרויקט?
מי שחושב שיישום פרויקט הוא גנרי ומתאים לכולם, פשוט טועה.
לכל ארגון יש מקרה עסקי אחר, צרכים, מטרות ורצונות ובסופו של דבר אם לא מדובר בחוק , התאימות היא לא 100% (אגב, לצערי גם אם כן מדובר בחוק, תמיד יהיה מישהו שיחליט שעדיין הוא לא רוצה ליישם את הפרויקט).
כולנו מכירים את המשפט Is it a must or nice to have?.
עלינו להראות להנהלה שתוצרי הפרויקט כדאיים לארגון.
ברוב המקרים (אמרנו שתמיד יש יוצאים מהכלל), יתרונות יישום ממשל הן: חיבור מערך הטכנולוגיה לאסטרטגיה העסקית (מטרות העסק), ניהול הסיכונים הנובעים מטכנולוגיה (לא סיכונים טכנולוגיים, אלא, סיכונים עסקיים הנובעים מהטכנולוגיה או העדרה), תאימות לדרישות חוק ורגולציה, אופטימיזציה של תהליכים עסקיים וסביבת הבקרה בהן, תוך הגדרת אחריות ומשימות ברורה.
2. האם זה מתאים לכיוון הכללי של הארגון?
ארגונים רבים מגדירים מטרות לשנים הקרובות (לצערי, מרביתן לא מתעדות את היעדים הללו, אך יותר ויותר ארגונים מבינים את הצורך בתוכנית אסטרטגית), עלינו לוודא, להבין ולהציע את עקרונות הממשל לסיוע ביישום ובעיקר במדידה של השגת אותם יעדים.
ממשל טכנולוגיית המידע מסייע במדידה של תוצרי החברה הן מסחרית והן טכנולוגית.
3. מהן העלויות? והאם הן מקטינות עלויות אחרות במקביל?
יישום ממשל טכנולוגיית המידע אינו כולל בהכרח רכישת כלים טכנולוגיים אך הוא טומן בחובו שינוי ארגוני.
שלא תבינו לא נכון, ישנם כלים, אך כפי שתמיד אמרתי, כלי רוכשים אחרי שמבינים משמעויות ובד”כ אני לא ממליץ לעשות זאת בשלב ראשוני של היישום (ראו על מוכנות הארגון לכלי ממשל טכנולוגיית המידע).
מה שכן, שינוי ארגוני מחייב נהלים חדשים, לימוד, הדרכות, הטמעה, ולעיתים אף בניית תפקידים חדשים וכדומה. בחינה מעמיקה של השינויים הללו תציג תמונה של עלויות עקיפות ולאו דווקא ישירות. זה לא כל כך קל להעריך עלויות, וכמו שכתבתי למעלה, לכל ארגון יש את המקרי העסקי שלו. יחד עם זאת, הבנה של העלויות (הן הישירות והן העקיפות) ע”י ההנהלה, תאפשר קבלת החלטות נכונה יותר והערכת החיסכון שהארגון יכול להפיק מהשקעה ביישום ממשל טכנולוגיית המידע.
4. איך מוודאים שהארגון משיג את התוצאות שאליהן הוא שואף ומצפה?
ממשל טכנולוגיית המידע היא בראש ובראשונה מדידת מערך הטכנולוגיה במדדים עסקיים. קרי, אפשר, ניתן ורצוי להציב יעדים (ריאליים כמובן) הן לטכנולוגיה והן לעסק ולבדוק אבני דרך בתהליך היישום, ומטרות אסטרטגיות מתמשכות.
כיוון שאנחנו חיים במציאות ולא בתיאוריה, תמיד יהיו שינויים בתוכניות ולעולם לא ניישם תוכנית בדיוק כמו שהיא הופיעה בנייר המקורי.
דווקא כיוון שכך, אני מאוד ממליץ לייצר תוכניות מגירה פשוטות שבהן אנו מראים להנהלה, מראש, שבמידה ומדד מסוים אינו עומד ביעדו, איך ניתן לשנות תוך כדי תנועה את הדברים ולהציג הן התועלות (מהדרך העקיפה) והן את המטרות החדשות (בהתאם לצרכי הארגון).
גישה הכוללת חלופות לשלבים מציגה לא רק תועלות נוספות להנהלה, אלא מציגה גם שהנושא נבדק ונחקר ובעיקר הותאם לארגון, לצרכיו, למטרותיו, לתרבותו ולאופי הכללי שלו.
5. מהם הסיכונים והסיכויים ביישום? ומהם הסיכונים באי יישומו?
אני מאמין שעל ההנהלה להבין, מספרית ככל שניתן, מה הם מפסידים במידה והיישום לא מצליח או לא משיג את מטרתו (שזה חוסר הצלחה אחרת).
ובאותה נשימה אני ממליץ להציג להנהלה גם מהם התועלות (הסיכויים) שניתנות להשגה מעבר למדדים המוגדרים להצלחה.
למשל: ארגון שאחת ממטרותיו היא להגדיל מכירות פנימיות (ללקוחות קיימים), כדאי לבנות מדדים בהן הטכנולוגיה מאפשרת הצגת הלקוח ומוצריו (אילו מוצרים הלקוח כבר קנה), הטכנולוגיה מאפשר צימודי מוצרים (סטטיסטית אילו מוצרים נרכשים לצד אחרים), שלישיות מוצרים וכדומה, הטכנולוגיה מאפשרת זיהוי מגמות רכישה קימות ומדדים נוספים באותו כיוון.
היעדים העסקיים הם הגדלת נתח מכירות פנימיות או הגדלת שילובי מוצרים אלו ואחרים וכדומה. הסיכויים הם ניתוח כלל המכירות הפנימיות להבנת טרנדים ושילובים מעבר ליעדים ולסטטיסטיקה. אפשרות של זיהוי טרנד מכירות והפיכתו למינוף גם ללקוחות חדשים ולא רק קיימים ועוד ועוד.
האמינו לי, זו רק דוגמא קטנה ומינורית לעומת הפוטנציאל העצום הגלום ביישום טכנולוגיית המידע בארגונים.
ביום שבו נשאל את עצמנו את חמשת שאלות היסוד הללו לפני שנביא להנהלה בקשות ליישום פרויקטים, נדע שאנו מתחילים לדבר את שפת העסקים. וכאשר אנו מדברים את שפת העסקים, ההנהלה שלנו תבין שאנו לא מדברים על טכנולוגיה אלא על שיפור עסקי ומקסום רווחים.

לנושאים הללו יש תמיד הקשבה ומוכנות להשקיע!!

 רוצים לשמוע רעיונות נוספים, דוגמאות שחווינו עם ארגונים להם ייעצנו, הרחבת העקרונות לעיל, צרו קשר טלפוני במספר 076-543-6466 או שלחו מייל לכתובת info@know-it.co.il   ונשמח לעמוד לרשותכם.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל

מה לניהול סיכונים ולשיפור תהליכים עסקיים?

נכתב בתאריך February 8, 2012 על ידי orenh 2 תגובות

הנה סיפור: היום התראיינתי , למשרת “יועץ סיכונים טכנולוגיים”.
הראיון התבצע ע”י מנהל משאבי אנוש כהכנה למנהל האחראי על ניהול הסיכונים.
השאלות שנשאלתי ובעיקר התשובות שעניתי חידדו את מה שכבר הבנתי מזמן, מונחי היסוד מפורשים ומתורגמים בצורה שונה ע”י מנהלים בהתאם לרמת הידע שלהם.
שלא כמו מושגי התוכנה והחומרה, בהם מושגים רבים אינם מוכרים או מובנים לאנשים “שמחוץ לתחום”, עולם הייעוץ (לפחות זה שאני מייעץ בו), הוא עסקי לכל דבר.
מנהלים רבים מבינים את המילים (כי זו השפה הניהולית), אך לא בהכרח את המשמעות שלהם בהקשר של ממשל, סיכונים ותאימות לדרישות רגולציה טכנולוגיים.
מה שכן, ככל שהארגונים חיים בעולם עמוס יותר ויותר רגולציות, המנהלים באותם ארגונים מבינים יותר ויותר את המושגים בהקשר הנ”ל.

כהמחשה, בואו נתחיל מהגדרת המשרה אליה התראיינתי – “יועץ סיכונים טכנולוגיים”.
מהם סיכונים טכנולוגיים? מצטער, אך אין כזו חיה!!
ישנם סיכונים עסקיים העלולים להיגרם כתוצאה מהפעלה / העדר / שימוש / של טכנולוגיית המידע (על מרכיביה הטכנולוגיים השונים).

הלאה, האם ניהול סיכונים קשור לדרישות רגולציה? ועוד איך!!
האם ניתן להפריד בין השניים? לדעתי לא !
ראשית, אי עמידה בדרישות רגולציה הוא סיכון בפני עצמו.
בנוסף, מטרת הרגולציה היא “להצהיר” על סיכונים גנריים ולהכתיב לארגונים השונים את אופן ניהולם בין אם באמצעות הצהרות שהארגון מחויב לפעול בשיטה זו או אחרת, ובין אם הרגולציה מכתיבה את הפתרונות הנדרשים למענה לסיכונים.
נמשיך? מהו ממשל טכנולוגיית המידע? כבר עברנו על זה בכמה וכמה פוסטים קודמים, ממשל הוא קביעת “עקרונות על” לדרך השגת המטרות העסקיות, תוך ניהול הסיכונים ועמידה בדרישות אליהם הארגון מחויב (למשל, רגולציה).
מכאן נובע, כי עולמות הבקרה הפנימית, התאימות לדרישות רגולציה, אבטחת המידע, ניהול הסיכונים וממשל טכנולוגיית המידע, כולם שזורים זה בזה וקשה מאוד להפריד ביניהם. דבר הגורם לבלבול לא פשוט.
לכן קיים מושג נוסף הנקרא  GRC.  אינני יודע איך לתרגם אותו כיוון שזהו קיצור של אותיות למושגים.
GRC = Governance, Risk & Compliance.
זהו מושג “מטריה”, הכולל בחובו את העולמות השונים ובעיקר את ההקשרים שביניהם.
ניתן לדבר על עולם ה- GRC כמכלול, כמו שמדברים על אבטחת מידע, וניתן לדבר על כל אחד ממרכיביו כישות עצמאית הן בהקשר של פעילות (בקרות ותהליכים) והן בהקשר של מערכות מידע תומכות. ושוב, באנלוגיה של אבטחת מידע, ניתן לדבר על המכלול וניתן לדבר על עולמות ספציפיים כגון: חומות אש (איזה שם עברי נוראי – Firewalls), כלים ופעולות למניעת וירוסים, ניתוח לוגים, ניהול הרשאות, ניהול שינויים וכדומה. כפי שציינתי, יש עולם מושגים ייחודי לתחום ועולם “מטרייתי” הכולל מספר עולמות השזורים זה בזה.
עולם ה- GRC  הוא עולם חדש יחסית (השבוע קראתי שהוא חוגג עשור ראשון), מתפתח, וכל ספקי התוכנה הגדולים נמצאים שם (סאפ, IBM, צ’ק פוינט, אורקל, EMC ועוד רבים אחרים), ולא בכדי.

זהו השלב הבא באבולוציית שיפור תהליכים ארגוניים.
ארגונים גדולים, במיוחד הגלובליים, נדרשים לתת מענה למגוון רחב של דרישות בקרה (פנימיות וחיצוניות) ולשם כך דרושה ראייה מערכתית איך מתפעלים את התחום ואיך מנצלים אותו לטובת יצירת יתרון יחסי / עסקי בשוק. זו הדרך היחידה להפוך את נטל פעילות הבקרה ליתרון עסקי, רק בראייה ניהולית מלמעלה, ניתן להפוך את הנטל ליתרון.

למשל, הממונה על שוק ההון הוציא חוזר לניהול טכנולוגיות מידע בגופים מוסדיים.
במסגרת ההוראה, על הגופים המוסדיים להגדיר גורם אחראי מקצועי ליישום הוראות הציות (סעיף 4ב) וגורם אחראי ליישום הוראות התוכנית לניהול סיכונים ועדכונה (סעיף 5).
והרי, לפני רגע הראנו כי העולמות של תאימות וניהול סיכונים שזורים זה בזה, האם יתכן שהמנהלים הללו יעבדו כל אחד על תחום אחריותו ללא קשר קציף וקבוע אחד עם השני?
ובכן, תתפלאו. לא רק שיתכן, כבר ביקרתי בלא מעט ארגונים שכך הם הדברים.
יותר נכון לומר כי יש תיאום, אך הוא למראית עין בלבד, ובד”כ משיקולים פנימיים / פוליטיקה ארגונית / סימון וי לדרישות מבלי להבינם.

שיפור תהליכים מתקיים כאשר אפשר וניתן לקיים בקרה טובה יותר, ניצול נכון יותר של משאבים, השקעות נכונות, מחשוב תהליכים וכדומה. הבסיס לכל שיפור תהליכי הוא היכולת להבין את המקרה העסקי של הארגון, ולהתאים לו את הפתרון הנכון.
עולם התוכן של מטריית ה- GRC מוודא כי כך הם פני הדברים.

חושבים שיש עולמות נוספים המשתתפים בתהליכים? מאמינים שיש דרכים אחרות לשיפור עסקי? אשמח לשמוע עליהן ולקרוא את תגובותיכם.

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, ניהול סיכונים

יישום ממשל אבטחת מידע

נכתב בתאריך January 25, 2012 על ידי orenh אין תגובות

בשבועות האחרונים פורסמו מקרים רבים של כשלים באבטחת מידע.
חשיפת נתוני כרטיסי האשראי, הפלת אתרי הבורסה ואל על ע”י ההאקר הסעודי, ואפילו צווי ניתוק מהאינטרנט לכ- 1700 בתי עסק, בהוראת בית משפט.
אז מה יהיה בסוף? האם הנהלת ארגון יכולה לומר, “לנו זה (כנראה) לא יקרה”?
איך ארגון יודע אם הוא מאובטח דיו?

התשובה היא יישום ממשל אבטחת מידע!! איך עושים זאת, המשיכו לקרוא…

כבר בפוסטים הראשונים שפרסמתי, השתמשתי בתחום אבטחת המידע כדוגמא לאחת מצורות ממשל.
למה? כי זה נושא רלוונטי לכל ארגון וארגון. לא משנה מהו תחום העיסוק, כארגון, תמיד יש מידע שעליו עלינו להגן וחשיפתו מהווה סיכון עבורנו. זה יכול להיות פרטים אישיים של העובדים, פרטי לקוחות, פרטי ספקים, נתונים פיננסיים, ובאותה מידה המידע שעלינו להגן עליו הוא קניין רוחני או אפילו תוכנית אסטרטגית של הארגון. ומנגד, יש מידע שאנו מכילים שהוא בחזקת הכלל. המידע מפורסם, נגיש ולא מהווה שום איום עבורנו.

בקצרה, מהו ממשל אבטחת מידע? קביעת עקרונות על (קווים מנחים) לניהול אבטחת המידע, התאמתו לצרכים ולמטרות הארגוניות, ניהול הסיכונים שבחשיפתו ועמידה בדרישות חיצוניות אליהן הארגון מחויב (ולעיתים מעוניין לעמוד בהן). ובמקביל, ולא פחות חשוב, מדידת התוצרים והתפעול של יישום מערך אבטחת המידע במדדים עסקיים.

איך עושים זאת? ראשית, קובעים מיהו הגורם המטפל.
רצוי וכדאי שיהיה בכיר ככל הניתן. מוודאים שהמינוי יינתן וייתמך ע”י ההנהלה הבכירה ובמידת הרלוונטיות והאפשרות, יש לעגן (ולהציג) פעילות זו מול מועצת המנהלים.
לאחר מכן, חושבים ומבינים מהם הצרכים של הארגון.
יש לזהות מהו המידע שעליו אנו רוצים להגן. במידת הצורך מבצעים ניתוח וסיווג למידע הארגוני (Data Classification), ומכאן נגזר הצורך להגן על המידע באופן שונה בין רמה לרמה. על מידע קריטי נגדיר הגנות אינטנסיביות יותר לעומת מידע שהוגדר כזמין (בלמ”ס, בעגה הצבאית) עליו נגן במינימום אמצעיים (בהתאם לצרכים הארגוניים).
חשיבה זו מהווה את התשתית לעקרונות ממשל אבטחת המידע.
ההגדרה מהו מידע קריטי ומהם אמצעי המיגון הנדרשים, לעומת הגדרת מידע זמין והמיגון הנדרש בגינו הם בדיוק עקרונות העל. אח”כ ביישום, בתוכנית הניהולית, נגדיר באילו כלים נשתמש ומי נגיש לכל רמת מידע שקבענו.
החשוב ביותר בתהליך, הוא להבין מהם הסיכונים הכרוכים במידע הקיים בארגון ולטפל בסיכונים בהתאם לצרכים. כמובן שיש להתחשב גם בנושא הרגולציה. עלינו להבין כי אם המידע הקיים נופל בהגדרת רגולציה זו או אחרת (לדוגמא: נתונים אישיים תחת פרטיות, נתונים פיננסיים תחת PCI וכדומה) עלינו לפעול בהתאם להנחיות הרגולציה.

ברשותכם, אני עוצר בברוטאליות (ובחוסר אובייקטיביות מעליבה) ואומר – אל תמציאו את הגלגל.
קחו יועצים שכבר עשו זאת. השתמשו בתקנים ובמסגרות עבודה קיימות.
היעזרו בארגונים שכבר בצעו פעילות שכזו, ובמיוחד, אל תתנו למתחרים / קולגות שלכם להקדים ולהשיג עליכן יתרון עסקי.

וחזרה ליישום.
אחרי שהגדרנו את עקרונות הממשל – הקווים המנחים, ואחרי שבנינו תוכנית ניהולית ליישום, נותר החלק האחרון והלא פחות חשוב, קביעת ממדים עסקיים לאיכות תוכנית אבטחת המידע הארגוני .
מדדים ברמה הגבוהה כגון: האם זוהתה פריצה למידע הארגוני? האם מידע מסווג נחשף לגורמים שאינם מורשים לכך? האם השירות שאנו נותנים נפל עקב כשל באבטחת מידע? ודומיהם אינם מספקים ארגונים ו/או מנהלים כיום. אלו שאלות שאכן חשוב שנעלה, אך הם נותנים מענה של שחור ולבן בלבד ולא מזהים מגמות ו/או שינויים באיכות וביעילות תוכנית אבטחת מידע.
כאן המקום לקחת את אותם יועצים ואותן מתודולוגיות שכבר שימשו אותנו בתכנון ולנצלם לקביעת מדדים שאכן נותנים אינדיקציות של שינוי ושל מגמתיות.
למשל: תוכנית אבטחת מידע טובה תכלול גם הדרכות לעובדים, ולכן מדד כמות עובדים שעברו הכשרה, בדיקת ערנות עובדים לכשלים יזומים, מספר קריאות מצד העובדים לסיכונים ו/או כשלים קיימים, כמות טעויות האנוש שדווחו וכדומה יהוו מדדים יותר איכותיים ממדד על האומר האם בוצעו הדרכות לעובדים.
תוכנית אבטחת מידע טובה גם תכלול עדכונים שוטפים לעובדים / לקוחות.
יחד עם זאת, מדד של כמות העדכונים אינה מספקת, יש לחשוב על כמות הפניות בתשובה לעדכון, כמות התיקונים שנעשו בעקבות עדכוני אבטחה, איכות העדכונים עצמם, כמות הגורמים המקבלים / מבקשים לקבל עדכונים וכדומה.
ודוגמא אחרונה, תוכנית אבטחת מידע תכלול גם דוחות פרטניים.
האם דוחות אלו מספקים תשובה ראויה למנהלים? לא תמיד.
ראשית, מנהלים רבים אינם עוברים על דוחות אלו.
שנית, הדוחות הם בלא מעט מקרים מהווים מידע גולמי. עלינו להפוך את המידע לידע ולספר את הסיפור שלנו מתוך המידע הקיים.
לנתח, להסביר, לפרט, ולעיתים אך לפרש את המידע למשמעות עסקית טהורה על מנת לקבל התייחסות ראויה לנתונים שהעלנו. הדוגמאות הן רבות כגון: ניתוח לוגים מתוך מערכות אבטחת המידע (אי אפשר להבין כלום מדוח לוגים, יש לפרט ולהסביר משמעות), דוחות גישה לנתונים מסווגים (למשל, סימון כל הלא מורשים שהגיעו למידע המסווג) ועוד.

השורה התחתונה היא להתאים את המדדים לתוכנית העסקית.
ארגון הרוצה לגדול במכירות, ישים דגש על מדדים הקשורים לשיווק המוצר / השירות שהוא מספק. אם התוכנית השיווקית היא בנוגע לאיכות אזי, על המדדים להיות בתחום איכות המוצר / שירות ואם התוכנית השיווקית היא על אופי השירות הניתן, אזי,  יש להתאים מדדים לאיכות השירות וכן הלאה.
בסופו של דבר הכל מתחבר. הפעילות הארגונית והיעדים העסקיים מהווים ספינת הדגל ובכך, משפיעים על כל רבדי הארגון, לרבות תוכנית אבטחת המידע שלו.
כאשר אנו מתאימים תוכנית ממשל אבטחת מידע (טכנולוגיית המידע או כל ממשל אחר), היא חייבת להיות בהתאמה לתוכנית העסקית. אחרת דינה להפוך להוצאה ולא להשקעה (מה שבעולם שלנו הופך להיחשב ככישלון)

חושבים אחרת? יש לכם דוגמאות נוספות?
אני בטוח שכולם ישמחו לשמוע…

פורסם בקטגוריה אבטחת מידע, כללי, ממשל

האם ארגונך מוכן ליישום כלי ממשל טכנולוגיית המידע?

נכתב בתאריך January 11, 2012 על ידי orenh אין תגובות

ביולי האחרון (2011), מכון המחקר גרטנר, פרסם מאמר רב ערך בתחום כלים ליישום ממשל טכנולוגיית המידע. במאמר, סקרו אנליטי החברה את הכלים הקיימים בשוק הממשל, ניהול הסיכונים והתאימות לדרישות רגולציה (GRC). בד”כ מדובר בכלים הנותנים מענה לכלל התחומים הללו ובמקרים רבים אף לניהול הביקורת הפנימית.

בואו נשחק משחק קטן. את/ה מנהל בחברה, שהנהלתה החליטה ליישם ממשל טכנולוגיית המידע.
לשם כך, קיבלת מינוי לחפש את הכלי המתאים לחברתך. עכשיו נשאלת השאלה, האם ארגונך מוכן לכך?
איך בודקים זאת? בשביל זה כתבתי את הפוסט הנ”ל.

ראשית, אקדים ואומר שלדעתי האישית (אפשר לקרוא לה גם דעתי המקצועית), יישום של כלי אינה דרך הפעולה הנכונה כאקט ראשוני ביישום ממשל טכנולוגיית המידע.
טוב, בסדר, כמו לכל דבר, גם ליישום כלי יש יתרונות וחסרונות, אך לדעתי, גדולים החסרונות על היתרונות (על היתרונות והחסרונות אשתדל להרחיב בפוסט אחר).

ראשית, לפני שאנו חושבים על כלי, עלינו להתחיל בהבנת הצרכים והמטרות הארגוניות.
עלינו להגדיר אילו צרכים אנו רוצים / יכולים לענות ביישום ממשל?
או במילים אחרות, אילו תהליכים עסקיים אנו רוצים לכסות?
בפוסט הקודם שלי, האם ממשל טכנולוגיית המידע מיועדת למנמ”ר או למנכ”ל? ציינתי בהערה האחרונה שלעיתים אפשר ואף כדאי לחלק יישום לשלבים. חלוקה זו מאפשרת להקל על השינוי הארגוני, צריכת המשאבים הנדרשים קטנה יותר, ובעיקר מאפשרת מדידה בכל עת ותיקון תוך כדי תנועה. לכן, כמו בכל ניהול פרויקט מתודולוגי, יש להגדיר את הצרכים והמטרות, ולוודא שאכן אנו יכולים להשיגן.
אם אנו נתקלים בקשיים כבר בשלב הזה, עלינו לבדוק טוב, טוב, את רלוונטיות הפרויקט.

שאלה שנייה, מי הם האנשים המעורבים?
האם תוכנית היישום מאושרת ונתמכת ע”י מועצת המנהלים? ההנהלה הבכירה? מי עומד בראש היישום? האם הוא “חזק” מספיק להוביל תהליך זה? אם זה אתה, עמוד מול המראה ובדוק עצמך. בינינו, עדיף לקחת חלק נכבד בהצלחה מאשר להוביל לכישלון (חס וחלילה). כמו כן, יש לוודא כי לכל אחד מהתהליכים העסקיים שברצוננו לכסות יש נציג אחד לפחות ולא מן הנמנע שנצטרך יותר מנציג אחד מיחידה עסקית זו או אחרת. ושוב מדובר בעקרונות ניהול פרויקטים,אני לא ממציא שום גלגל…

ומכאן, השאלות שעולות הן בראש ובראשונה שאלות בנוגע לאנשים המעורבים, לתרבות הארגונית, לדוגמא הניהולית וכל שאר התחומים הקשורים בהתנהגות אנושית בהתאם לשינוי ארגוני גדול. בשאלות הנוספות עלינו לכסות את הנושאים הבאים (והשאלות הן בהתאם לתשובות שניתנו עבור שתי השאלות הראשונות):
מהן ההחלטות שצריך לקבל על מנת להשלים יישום ממשל טכנולוגיית המידע? מי מקבל החלטות אלו? האם ואיך ניתן להשפיע עליהם?
האם אנו משנים תרבות ארגונית? מיהם האנשים שירוויחו מכך? האם רתימת אנשים אלו תזרז את הצלחת היישום?
מי עלול להפסיד מהשינוי? האם אפשר למצוא יתרונות עבורם שיאפשרו ולרתום אותם לתהליך היישום? במידה ולא, האם הם יכולים לשבש ואף לעצור את היישום? איך אפשר להתגבר על כך?

אם נצליח להבין את הצרכים והאלמנטים האנושיים בשינוי, נצליח להתגבר על המכשולים וליישם בהצלחה עקרונות ממשל טכנולוגיית המידע.

לפני שאתם עוברים הלאה, הייתי רוצה להוסיף, שמשום מה, ישנם גורמי / חברות ייעוץ שחושבות שאם הן תאמרנה מה לעשות ואיך לפעול, הארגון (או יותר נכון, אנשי הארגון), יעשו זאת בדיוק כפי שנאמר להם. זה לא עובד ככה !!
ייעוץ נכון הוא ייעוץ שבו האנשים עובדים יחד, היועץ והארגון. ייעוץ שבו היועץ אומר מה לעשות, מה הולך לקרות, ומה על הארגון לעשות, בהתאם לידע שלו, אינו בהכרח מספק את הסחורה. כדי להצליח, לא מספיק להבין רק את הצרכים והמטרות הארגוניות. עלינו לנתח, ככל הניתן, את האלמנט האנושי והשפעתו על היישום, התרבות הארגונית ושיתוף הפעולה בין הלוקחים חלק בשינוי. תקשורת אישית ויכולת לדבר בגובה העיניים ללא קשר לדרג הניהולי שמולך, לעיתים קרובות, חשובים לא פחות מידע וניסיון.

אחרי שענינו על השאלות האנושיות, עלינו לבחור מסגרת עבודה מתאימה לממשל טכנולוגיית המידע, ואפשר להתחיל להתקדם ביישום (ושוב, לפחות בשלב הראשון שלו). עכשיו שכבר הכרנו את התהליכים, גייסנו ורתמנו את האנשים המתאימים, יצרנו תקשורת טובה עם כולם, ובמיוחד אם אנחנו יכולים להראות תוצרים (quick wins), אפשר סופסוף, לבדוק אילו כלים יכולים לענות לנו על הצרכים הן המקצועיים והן האנושיים שזוהו.

יש לכם מה להוסיף? חושבים אחרת? אני בטוח שכולם ישמחו לשמוע… אני במיוחד..

פורסם בקטגוריה כללי, ממשל, מתודולוגיות וסטנדרטים

ממשל טכנולוגיית המידע מיועד למנמ”ר או למנכ”ל?

נכתב בתאריך December 26, 2011 על ידי orenh אין תגובות

בשיאו הדרמתי של המחזה “המלט”, מאת שייקספיר, עומד הגיבור ושואל: “להיות או לא להיות? זאת השאלה.” השאלה הזו מהווה תמיד פראפרזה על שאלות עקרוניות הנשאלות, ללא קשר לנושא השאלה.

השאלה העקרונית שלנו להיום, היא: האם ממשל טכנולוגיית המידע מיועד למנכ”ל או למנמ”ר?

התשובה הנכונה היא…(ספר לנו מה מסתתר מאחורי וילון מספר…)

ברמה התיאורטית, ממשל טכנולוגיית המידע הוא יישום של קביעת עקרונות מנחים – ממשל וניהול בפועל עפ”י אותם עקרונות. לפיכך, עקרונות הממשל מיועדים לגוף עליון, גוף המתווה מדיניות, או במילים אחרות, לדירקטוריון, הרבה יותר מאשר לשתי הפונקציות הניהוליות הללו.
מאידך, בעולם המציאותי, הנהלת הארגון מעורבת בצורה משמעותית בהתוויית מדיניות וקביעת העקרונות לפיהם הארגון מנוהל.
מכאן נובע, הנהלת הארגון, בראשות המנכ”ל, חייבת להיות מעורבת משמעותית ביישום ממשל טכנולוגיית המידע. בארגונים בהם מנמ”ר הארגון הוא חלק מההנהלתו, אוטומטית המנמ”ר הופך להיות חלק מהגוף הקובע את עקרונות הממשל.
פשוט לא? אז זהו שלא, מכאן זה רק מסתבך. למה מסתבך? מאוד פשוט
(איזה משפט נפלא – סיבוך פשוט),
בנוסף לקביעת הקווים הכללים לניהול, ממשל טכנולוגיית המידע כולל גם:
– התאמת יעדי טכנולוגיית המידע ליעדים האסטרטגיים הארגוניים
– ניהול סיכוני טכנולוגיית המידע (כאמור,כחלק מניהול סיכונים מרכזי)
– תאימות טכנולוגיית המידע לדרישות רגולציה
– מדידת תוצרי טכנולוגיית המידע במדדים עסקיים
– תמיכה ושיפור התוצרים העסקיים של הארגון באמצעות טכנולוגיית המידע.
כלומר, זה לא רק התווית מדיניות על, זה גם הניהול בפועל, השיפור היום יומי, המדידה העסקית ומטרת העל – שיפור התוצאות העסקיות.
אם חוזרים לתיאוריה, בסופו של דבר, הדירקטוריון אחראי על כל הנקודות הללו.
אך במציאות, את מי יפטרו אם הארגון לא יצליח לעמוד בנקודות הללו? את הדירקטוריון? המנכ”ל? המנמ”ר? כולם? אמרנו שזה מסתבך, לא?

ממשל טכנולוגיית המידע מיועדת לארגון!! יישום נכון של ממשל כולל את כל הגורמים בכל רמות הניהול. ממשל טכנולוגיית המידע היא תוכנית מלמעלה למטה (Top Down Approach) ולכל גורם, בכל רמה, יש תפקיד וייעוד. אי אפשר לוותר ולא כדאי לדלג.
על מנת ליישם ממשל טכנולוגיית המידע יש להתאים את המבנה הארגוני, לקבוע את העקרונות, להתאים את המדדים והטמיע לכל אורך הארגון. התוצאות לא יאחרו להגיע.

הערה חשובה: היקף הפעילות הנדרש ליישום תוכנית ממשל משתנה מארגון לארגון, בהתאם לפעילת העסקית שלו ומורכבות טכנולוגיית המידע בארגון.
לפיכך, היישום אינו חייב להיות כפעילות רצופה ומקיפה , בהחלט ניתן ואף צריך לנהל זאת בשלבים, הן מבחינת המשאבים הנדרשים והן מבחינת המדדים הנמדדים.
בכל מקרה צריך לבחון את הקיים בארגון, ומשם לבנות תוכנית פעולה בהתאם לדרישות ולצרכים הארגוניים. מומלץ ורצוי להעזר בייעוץ מקצועי ובמסגרות עבודה מקובלות (אין צורך להמציא שום גלגל, אלא להתאימו אלינו).

בכל שאלה, נשמח לעמוד לרשותכם הן בתגובות כאן לפוסט או דרך עמוד צור קשר.

פורסם בקטגוריה כללי, ממשל

מהי האסטרטגיה הטכנולוגית לשנת 2012 עפ”י גרטנר?

נכתב בתאריך December 12, 2011 על ידי orenh אין תגובות

חברת הייעוץ גרטנר, פרסמה בחודש שעבר (נובמבר) את עשרת הטכנולוגיות שלהערכתה יהיו רלוונטיות אסטרטגית לרוב הארגונים בשנת 2012. קרי, מרבית הארגונים התייחסו לטכנולוגיות הללו בתכנון העבודה של שנת 2012.

גרטנר מגדירה טכנולוגיה אסטרטגית “כטכנולוגיה עם יכולת השפעה משמעותית בשלוש השנים הקרובות”, כאשר הדגש הוא על טכנולוגיה שהסיכון באיחור אימוצה גדול מההשקעה ביישומה.

טכנולוגיה אסטרטגית יכולה להיות גם טכנולוגיה קיימת שאופן השימוש בה הורחב משמעותית, ו/או טכנולוגיה המציעה הזדמנויות לראשוני המאמצים לעומת אלו שיאמצו אותה בשלבים מאוחרים יותר.

לטכנולוגיות הללו תהינה השפעה ארוכת טווח בתכנון, ביישום תוכניות והקמת יוזמות.

אז מה הקשר לממשל טכנולוגיית המידע? שאלה מצוינת. כמה טוב ששאלתם (גם אם רק אני שאלתי).

מהו ממשל טכנולוגיית המידע? קביעת העקרונות לניהול הטכנולוגיה.

בממשל, אנו מגדירים מה עלינו לעשות, ומכאן גם איפה אנחנו רוצים להיות. אנו קובעים את הקווים הכללים לשימוש, יישום, תפעול ובקרה של מערכות המידע.

האם זה יכלול אסטרטגיה ארגונית? בוודאי.

אם הארגון מעוניין אפילו לשקול אימוץ של אחת מהטכנולוגיות הללו, כל שכן יותר מאחת, הוא חייב לוודא שטכנולוגיית המידע הקיימת יכולה להכיל אימוץ זה. לא מן הנמנע, שהארגון צריך להיערך לטובת אימוץ טכנולוגיה זו או אחרת. רבותי, זהו ממשל טכנולוגיית המידע.

ממשל טכנולוגיית המידע יוודא כי:

  • –  אסטרטגיית טכנולוגיית המידע התאימה עצמה לאסטרטגיה הניהולית
  • –  טכנולוגיית המידע ערוכה ויכולה לאמץ את הטכנולוגיות הללו. העקרונות לגבי אופי השימוש בטכנולוגיות החדשות (מי משתמש? איך משתמשים? איך מיישמים? מה כולל השינוי? אבטחת מידע לטכנולוגיות הללו ועוד) נקבעו והארגון יודע מה עליו לעשות לפני, תוך כדי ולאחר אימוץ טכנולוגיה זו או אחרת
  • –  הסיכונים הכרוכים באימוץ הטכנולוגיה מזוהים ומנוהלים בהתאם (רצוי בניהול סיכונים מרכזי)
  • –  האימוץ אינו נוגד את החוקים והתקנות אליהם הארגון מחויב
  • –  טכנולוגיית המידע תספק מדדים לבחינת תהליך האימוץ, קליטתו וההזדמנויות  שנוצרו בתהליך

עכשיו שאנו מבינים את הקשר לממשל טכנולוגיות המידע, בואו נסקור את הטכנולוגיות יחדיו:

  1. 01) מחשוב נייד – המשתמשים של היום, עוברים לפלטפורמות עבודה חדשות. השימוש בטאבלטים, טלפונים חכמים, התקני פלאש וכדומה. יותר ויותר עובדים משתמשים במכשירים ניידים מגוונים והארגונים ישכילו לאפשר שימוש במכשור המגוון לתוך מערכות המידע הארגוניות.
  2. 02) יישומים וממשקים למובייל – ממשק המשתמש המשרת אותנו כבר עשרות שנים משתנה. אנו עוברים מחלונות, סמלים ותפריטים למסכי מגע, יכולת חיפוש, ווידיאו וקול. דרישות אלו משנות את העיצוב המקובל כיום לעיצוב חדש ומתאים יותר.
  3. 03) חווית המשתמש וההקשר החברתי – הטכנולוגיה העתידית תקשר מידע על המשתמש לרבות, פעילויות, העדפות, קשרים חברתיים ועוד. וזאת על מנת להתאים עבורו תוכן, מוצר או שירות.
    שימו לב: יש משמעות לחוק צנעת הפרט, חוק מאגרי מידע, פרטיות וכדומה.
  4. 04) התפשטות האינטרנט – מושג התפשטות האינטרנט כבר קיים.יחד עם זאת, הרחבתו למכשור ולמכשירים פיזיים הקשורים לאינטרנט מאפשרים יכולת שינוי כלכלי בשנים הקרובות.
  5. 05) חנויות ושווקי אפליקציות – חנויות האפליקציה של אפל ואנדרואיד מכילות מאות אלפי אפליקציות ועפ”י גרטנר זה עוד יגדל משמעותית. אפליקציות צרכן יהפכו להיות אפליקציות ארגוניות. שינוי זה יהפוך את אסטרטגיית מערכות המידע מתכנון מרוכז לניהול שווקים של אפליקציות הנדרשות בארגון.
  6. 06) הדור הבא של ניתוח מידע – מניתוח מידע קיים היסטורית, הדור הבא של ניתוח מידע עובר לניתוח נתונים היסטוריים ובזמן אמת. בנוסף,עולה הדרישה לניתוח מידע שאינו טקסטואלי אלא קול ווידיאו, והשילוב של כולם יחדיו.
  7. 07) נפחי נתונים עצומים – הגודל, המורכבות והמהירויות הגבוהות, משנים את פני ניתוח הנתונים הקיים. קיים צורך בטכנולוגיות חדשות ולו רק על מנת לנהל את הנפחים הנדרשים עבור הנתונים. טכנולוגיות אלו ישנו גם את מודל המחסן הארגוני (Data Warehouse) למודל של ריבוי מחסנים לעומת אחד הנהוג היום.
  8. 08) זיכרון פלאש – גרטנר רואה בשימוש העצום בזיכרונות פלאש במכשירים צרכניים, מחשוב נייד, ציוד בידור ובמערכות מחשב נוספות. גרטנר אף מציינים כי מתקבלת שכבת זיכרון חדשה בשרתים המאפשרת הרחבת הקיבולת, העדר התחממות, ביצועים טובים יותר ויציבות. תוספת השכבה החדשה מפתחת מודלים חדשים של אפליקציות המנצלים יתרונות אלו. השימוש הארגוני בזיכרונות פלאש יבוא לידי ביטוי בניתוח נתונים, עיבוד אירועים, שרתים, ניהול ידע ובהודעות פנים ארגוניות.
  9. 09) שרתים הצורכים אנרגיה מופחתת – עפ”י גרטנר, ישנם שחקנים חדשים בשוק השרתים המשווקים בצורה אגרסיבית שרתים הצורכים פחות חשמל באמצעות שימוש במעבדים של מכשירים ניידים. גישה זו מאפשרת כמות עיבוד גדולה עד פי 30 מאותם שרתים “רגילים”.
    יחד עם זאת, גרטנר מציינים כי יכולת זו מתאימה לשירותים שאינם דורשים יכולת עיבוד חזקה כגון: מיפוי, הפחתת עומסי עבודה, העברת קבצים לאתר אינטרנט. לעומתם, אפליקציות רבות דורשות כוח עיבד גבוה יותר מה שיעלה את עלויות הניהול ויקטין את כדאיות השימוש בשרתים דורשי חשמל מופחתים.
  10. 10) מחשוב ענן – למחשוב ענן יש יכולת השפעה ארוכת טווח למרבית הארגונים. אמנם זה תחילתו של עידן הענן, אך גרטנר רואים בכניסת מרבית השחקנים בשוק הארגונים הגדולים, לאספקת סביבות ענן ושירותים מבוססי ענן. ההצעות והשירותים הניתנים יורחבו וגידול התחרות בים השחקנים הגדולים יעלה את כמות המשתמשים בטכנולוגיה הנ”ל.

מידע נוסף וההרחבה לגבי עשרת הטכנולוגיות האסטרטגיים לשנת 2012, עפ”י גרנטר ניתן למצוא בלינק הבא: http://www.gartner.com/it/page.jsp?id=1826214.

יש לכם מה להוסיף? אשמח לשמוע הערות ותובנות.

פורסם בקטגוריה כללי, ממשל, ניהול סיכונים