אופיר זילביגר, SECOZ: "תחום ניהול הסיכונים החל לחלחל בארגונים"

"בעבר, תחום ניהול הסיכונים היה מצוי רק בליבה העסקית של כל ארגון וארגון, ותחום ניהול סיכוני ה-IT לא טופל. המצב השתנה. כיום יש מודעות לתחום והוא מתחיל לחלחל להנהלות הארגונים ומהן למטה", כך אמר אופיר זילביגר, מנכ"ל SECOZ.

זילביגר דיבר בפתח מפגש פורום CISO למנהלי אבטחת מידע מקבוצת אנשים ומחשבים, שנערך היום (ה') במלון שרתון בתל אביב.

לדבריו, "הדיבור על ניהול סיכוני IT, כתת נושא של ניהול סיכונים, החל לפני שלוש-ארבע שנים. ארגונים הבינו שהנושא מתאים לטיפול על ידי מנהלי אבטחת המידע, כי יש בו דמיון לאופן פעילותם של אלה. אז גם נעשה החיבור בין הטכנולוגיה וניהול הסיכונים. הסיבה לכך שהחיבור הזה נעשה היא שהרגולציות החלו לצוץ בתדירות גבוהה יותר, ומרחב הסיכון היה מפורט ומגוון".

על פי זילביגר, "קיימת הכרה שצריך להסביר לגופים העסקיים בארגון מה נדרש לעשות בתחום. אלא שבארגונים לא הייתה תרבות ניהול סיכונים". הוא ציין כי "ניהול סיכוני IT הוא תת תחום בעולם ניהול הסיכונים התפעוליים, דוגמת המשכיות עסקית. ניהול סיכונים זה מקצוע בפני עצמו ומנגד – נדרש להבין IT, על מנת לקשר בין תשתית מיזוג האוויר בדטה סנטר לסכנה שבהשבתתו". הוא הוסיף כי "ניהול סיכוני IT הוא המפגש בין עולם ניהול הסיכונים וההבנה של ה-IT מצד שני".

ארבעה תחומים של סיכונים
גלעד ירון, סמנכ"ל טכנולוגיות ב-SECOZ, דיבר אף הוא במפגש ואמר כי "מערכות המידע נמצאות כמעט בכל מקום, כל הארגונים תלויים בהן. אין כמעט תשתית מים, חשמל או תקשורת שאינה מבוססת IT. זה נכון גם לגבי מערכות המידע שנמצאות בעננים וגם לגבי משתמשי הקצה, שהמידע מצוי אצלם. עלויות ה-IT הופכות להיות מרכיב מרכזי בארגונים ובמקרים רבים, תשתיות המיחשוב הן השירות".

ירון הגדיר סיכון לארגון כ-"אירוע שאם יתממש יגרום לו נזק, או תועלת". הוא ציין כי "עולמות הסיכון הם פיננסיים, אסטרטגיים, תפעוליים והתחום הרביעי הוא סיכוני ידע ומידע, שכוללים את הציות והעמידה בתקנות". ירון עמד על כמה מושגי יסוד בניהול סיכונים: חולשות, איומים, נכסים, ערך, דרישות ובקרות. "ניהול הסיכונים הוא שקלול של המושגים הללו בשני מימדים: ההשפעה העסקית על התממשות כל אחד מהתרחישים ומידת הסבירות שהוא יתממש".

לדבריו, תהליך הצמצום של הסבירות למימוש הסיכון נקרא בקרה, והוא קשור לשלושה מאפייני המידע, CIA (ר"ת סודיות, שלמות וזמינות). "לצד שלושת מושגי יסוד אלה יש ארבעה נוספים: מהימנות, ציות, יעילות ונצילות", אמר.

הוא ציין את שלבי התהליך שעוזר לנהל את הסיכונים בצורה הטובה ביותר: "תחילה יש להבין את העולם בו מדובר, לאחר מכן יש לזהות את הסיכונים, מה עלול לקרות, ולנתח כמה הם רלוונטיים. אז צריך להעריך מה הסבירות שיקרה כל אחד מהם ומה הנזק שייגרם אם הוא יקרה. לאחר מכן יש להפעיל בקרות, על מנת לצמצם את הסיכונים, לבנות תוכנית פעולה ולבסוף – לטפל בסיכונים", אמר ירון. הוא הוסיף כי מתווה פעולה שלבי זה כולל "תרגום" מאנשי ה-IT להנהלה – ולהפך. "יש לערוך את ניהול הסיכונים כתהליך לכשעצמו, כלומר לבצע ניהול ובקרה ולבחון שעושים את הדברים הנכונים", אמר.

ירון סיכם באמרו כי "צריך להבין את 'הראש' של הביזנס, לחשוב על 'סרטים', משמע – תרחישים גרועים, לתקן רק את מה ששבור. יש אנשים מופלאים מאחורי המכונות – משמע, סיכוני ה-IT קשורים לטכנולוגיה, אנשים ותהליכים. והעיקר – לא לפחד כלל".

"אנשי הביזנס לרא חושבים 'סיכונית'"
סיון אבידן, ראש תחום ניהול סיכונים והמשכיות עסקית ב-SECOZ, אמרה כי "אנשי הביזנס לא חושבים 'סיכונית', ולכן יש לנסות ולדובב אותם על מנת לגלות את סיכוני ה-IT". היא אמרה כי "אנחנו ממליצים להתחיל ולבנות את ניהול מערך סיכוני ה-IT בשלבים: הקמת ועדת היגוי; מינוי אחראי לניהול סיכוני IT; קביעת עקרונות עבודה עבור מחזור חיי ניהול הסיכונים; מיפוי מערכות המידע והתשתיות הקריטיות; ביצוע סקר סיכונים למערכות ולתשתיות; עריכת סקר רוחבי וסקר פרטני; ודיווח תקופתי לוועדת ההיגוי ולהנהלת הארגון".

"סיכוני IT הם לא רק אבטחת מידע", אמרה אבידן. "יש סיכונים נוספים, כגון כשל מערכות ותשתיות IT, כשל תשתית פיזית של IT, חשמל, מיזוג ותקשורת. קיימת תלות במומחים בעלי ידע ייחודי בארגון, או העדר של הכשרה מספקת. קיימת תלות במיקור-חוץ ובספקי תוכנה וחומרה. ובנוסף, קיים סיכון בשל חריגה תקציבית משמעותית, בשל השקעה בטכנולוגיה". היא סיכמה כי "יש לערוך סקר ניהול סיכונים, הכולל בחינת תהליכים רוחביים וניהול ה-IT בארגון, כגון ניהול שינויים, ניהול תצורה וניהול בעיות. יש לערוך בחינה של הסיכונים למערכת ספציפית, תוך זיהוי רגישות המערכת".

חתמה את המפגש הרצאתו של תומר כהן מ-KCS שעסקה בזיהוי אירועי אבטחת מידע ככלי לניהול סיכונים.