מיכה וייס, בנק מזרחי-טפחות: "יש למצוא דרך כדי לשלב בין כלל הסיכונים"
"צריך לתת למנהל הסיכונים את הכלים כדי שיידע מה מצב כלל הסיכונים, על מנת שיוכל לדרג, לתעדף ולטפל בהם בהתאם", אמר וייס, מנהל אבטחת מידע בבנק ● לדבריו, "יש שני מניעים למניעת הסיכונים: הרצון להימנע מהפסדים כספיים והצורך בהלימה לרגולציות"
"יש למצוא דרך כדי לשלב בין כלל הסיכונים המצויים בארגון, ובוודאי הפיננסי. צריך לתת למנהל הסיכונים את הכלים כדי שיידע מה מצב כלל הסיכונים, על מנת שיוכל לדרג, לתעדף ולטפל בהם בהתאם", כך אמר מיכה וייס, מנהל אבטחת מידע בבנק מזרחי-טפחות.
וייס דיבר במסגרת פאנל שנערך בכנס InfoSec2011, הוועידה העשירית לניהול סיכוני מידע. הכנס התקיים ביום חמישי האחרון במרכז הכנסים אבניו שבקריית שדה התעופה. לאירוע, בהפקת אנשים ומחשבים, הגיעו יותר מ-1,400 מקצועני אבטחת מידע, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה. מנחה הפאנל היה אופיר זילביגר, מנכ"ל SECOZ.
לדברי וייס, קיימת בבנק מזרחי-טפחות הפרדה בין הגוף שקובע את מדיניות אבטחת המידע לזה שמיישם אותה. הוא תיאר את עבודתו כמי שקובע מדיניות ולאחר מכן מבצע עליה בקרה ואכיפה. "בדרך זו אני סוגר מעגל", אמר. "הגוף שבראשותי הולך ומנחה את הגורמים הטכנולוגיים, וכך יש ודאות שההנחיות בוצעו". וייס דיבר על הדרך שבה מיישם הבנק את הרגולציות השונות בעולם הפיננסי, "כאשר מילוי ההנחיות ומימוש מדיניות אבטחת המידע וניהול הסיכונים משרת, בסופו של דבר, את הגוף העסקי. יש שני מניעים למניעת הסיכונים: הרצון להימנע מהפסדים כספיים והצורך בהלימה לרגולציות".
הוא סיכם בציינו, כי הבנק מפעיל כלי, פרי פיתוח פנימי, לשיקוף ולדירוג כלל הסיכונים, תוך כימות כספי שלהם.
"נדרש ליצור שפת סיכונים אחידה"
"בשל ריבוי היחידות והגופים במוסד פיננסי, נדרש ליצור שפת סיכונים אחידה, עם סולם רמות סיכון אחיד, ודירוג קריטיות של המערכות באופן כלל בנקאי", אמר חנניה כפרי, ראש ענף בכיר ומנהל תחום המשכיות עסקית ויישומים בבנק לאומי. לדברי כפרי, "בשנתיים-שלוש האחרונות חל שינוי מהותי ברמת המודעות וההבנה של חשיבות הסיכונים והצורך בניהול שלהם. הנהלות של ארגונים רוצות לדעת יותר על הדרך לניהול סיכוני IT ושאר הסיכונים".
הוא הוסיף, כי "השאלה היא איך מדרגים ומתעדפים את הסיכונים ואיך ממזערים אותם". כפרי ציין, כי בנק לאומי "השקיע הרבה עבודה על מנת לכמת את הנזקים הפוטנציאליים שעלולים לנבוע ממימוש הסיכונים השונים. אנחנו מנהלים הרבה סיכונים במקביל, אבל אין לנו דרך אחרת".
"כיום הכול קשור לעסקים", סיכם כפרי, "וכל הסיכונים נבחנים בהיבט העסקי שלהם, ולא בזה הטכנולוגי".
"תפקיד מערכות ה-IT – לשרת את העסק"
עמית גרינברג, מנהל ביקורת מערכות מידע בבנק מזרחי-טפחות, אמר ש-"תפקידן של מערכות ה-IT הוא לשרת את העסק. אנחנו מסתכלים על מספר רב של סיכונים: סיכוני אשראי, סיכוני שוק, סיכונים תפעוליים וסיכוני IT". לדברי גרינברג, "אני עד לכך שההנהלה הבכירה הפכה בתקופה האחרונה להיות מעורבת יותר בתהליכי ניהול הסיכונים. הדבר נעשה, בין היתר, בעידודו של הרגולטור, אך לא רק בשל כך. לכל הדעות, המדובר בשינוי בתרבות הארגונית".
גרינברג הוסיף, כי "תפקידו של גוף הביקורת הוא לשקף את מה שקורה בבנק, להיות מראה שמצביעה על נקודות חוזקה ותורפה, לזהות את הסיכונים, למפות אותם ולקשר בין כלל התהליכים הכרוכים בהם".
הוא סיכם בציינו, כי "כיום, האתגר של גוף הביקורת הוא לקשר בין שלוש צלעות המשולש: יחידות ארגוניות, תהליכים עסקיים ותהליכי IT. מדובר ביצירת מפה שלובה ומאתגרת".
"המוטו הוא הניהול"
שרה גפן, ראש יחידת אבטחת איכות ותהליכים בכלל-ביט, ציינה שהיחידה בראשותה הוקמה לפני שלוש שנים, כחלק ממימוש תפיסת IT-GRC, "ואני יושבת בכובע RC, רגולציה והלימה לתקנות ולמדיניות". לגבי ניהול הסיכונים, אמרה גפן, כי "זיהינו את הצורך ליצור מפה אחודה ביען כלל התהליכים". גם היא ציינה ש-"בשונה מבעבר, כיום המחויבות של ההנהלה לתחום גדלה, והיא נתנה את מלוא כובד משקלה והכירה בחשיבות הנושא. בשל כך, יש שינוי מהותי, בין היתר, בכל היחס לבקרת וניהול סיכונים, להלימה לרגולציות הסמכות לתקנים בתחום".
"הקושי הגדול הוא בניהול הסיכון ולא בזיהויו או בהערכתו", סיכמה. "הבעיה היא בעצם ניהול הסיכון ומי הגוף האמור ליטול עליו אחריות. אי אפשר לנהל סיכונים על מאה מערכות במקביל, ולכן – נדרש לתעדף אותם תוך דירוג החשיבות והקריטיות של המערכות השונות. המוטו הוא הניהול".
"אנחנו מנסים לבטל את הסיכון"
ישי ורטהיימר, מנהל מחלקת ניהול סיכונים בכ.א.ל., אמר ש-"מה שאנחנו מנסים לעשות הוא לבטל את הסיכון". הוא דימה את החברה למעין רגולטור מול השוק וציין שחברות האשראי החליטו לאמץ את תקן PCI (ר"ת Payment Card Industry) – תקן בינלאומי של אבטחת מידע הנדרשת מחברות כרטיסי האשראי ומבתי העסק העובדים מולן.
לדבריו, חברות כרטיסי האשראי חוו בשנים האחרונות שינוי – מגניבות מסורתיות לפריצה של מסדי נתונים. הוא תיאר את הקושי בעמידה בתקן PCI. "לארגונים קשה עם העובדה שחברת כרטיסי האשראי קובעת להם, מעין מנחה אותם כיצד להתנהל", אמר ורטהיימר. "ברור שמדובר בטובת כולנו, אבל עדיין – בעלי המכולת לא אוהבים שאני קובע להם כיצד יש לאבטח את החנות שלהם. עלינו למצוא את הנקודה הנכונה לאיזון בין הצרכים השונים – העסקיים והאבטחתיים".
הוא סיכם באמרו, כי "בעת האחרונה למדנו שני דברים משמעותיים: האחד, יש המון מניעים וסיבות כלכליות לגניבת נתונים. השני – לא לעולם חוסן. גם הארגונים הגדולים 'חטפו' ואנו ניצבים פעורי פה".
תגובות
(0)