לקראת אירוע | ניהול סיכוני טכנולוגיות – מתיאוריה לטכנולוגיה
בשנים האחרונות, ארגונים רבים מוצאים עצמם, מתמודדים מול דרישות שונות אשר בעקבותן, נוצר הצורך בפתרון טכנולוגי מיידי לניהול סיכוני הטכנולוגיות. לדברי אבישי לבנזון, מנכ"ל חברת PandaTech, המתמחה בפתרונות טכנולוגיים לניהול סיכוני טכנולוגיות, קיים כיום פתרון טכנולוגי הנותן מענה הולם לנושא.
כל ארגון נדרשים לטפל במספר נושאים מרכזיים:
1. מיפוי נכסי טכנולוגיות המידע הקשורים למערכות הליבה שלהם.
2. מיפוי מערכות ותהליכי הליבה.
3. ניהול שוטף ודינאמי של נכסים בסיכון והערכה של הסיכוי והיקף הנזק הפוטנציאלי, כתוצאה מפגיעה בכל נכס והערכת עלות הגידור או מיגור הנזק.
4. תוכנית פעולה המתארת צעדים שיש לנקוט על מנת למזער את הסיכון לפגיעה אפשרית במערך טכנולוגיות המידע, בין היתר על התוכנית לכלול צעדים אשר יאפשרו קיומה של המשכיות עסקית (BCP).
ארגונים רבים החלו לתור אחר "פתרונות בזק" אשר יהוו מענה הולם לדרישות הגורמים המפקחים על פעילותם. בין היתר הפתרונות כוללים הטמעה של מערכות שו"ב, המרכזות את המידע הטכני מהמערכות. בנוסף, החלו בבניית תוכניות לניהול ומענה לסיכונים בתחום מערכות המידע. בחשיבה לטווח הארוך, נדרש פתרון מקיף ואינטגרטיבי שייתן מענה לרגולציות נוכחיות וכאלו שעתידות לבוא.
לדברי לבנזון, חברת PandaTech מציעה פתרון אינטגרטיבי בעל ממשק ויזואלי, שמהווה פלטפורמה אחידה לכלל הארגון ומאפשר שילוב של כלל הדרישות לעיל לצורך קבלת תמונה מלאה על מצב הסיכונים בארגון. כל זאת תוך מענה לצורך בניהול סיכונים כולל של התחומים העסקיים בראייה הטכנולוגית ומתן אפשרות לארגון לנהל באופן מלא את כלל המידע החיוני לגבי מערכות המידע והסיכונים הגלומים בהן.
הפתרון משלב מספר ממדים:
1. ניתוח טופולוגיה – מיפוי מלא של נכסי טכנולוגיות המידע, הקשרים ביניהם ומבנהו הפנימי של כל רכיב בטופולוגיה. בין היתר, על כל רכיב בטופולוגיה יתועדו מידת חשיבותו, דרכי בקרה קיימות על תקינות פעילותו, גורמים אחראיים בארגון ואף ממשקים חיצוניים אם קיימים.
2. ניתוח מערכות ותהליכים עסקיים –
א. מערכות מרכזיות- תיעוד מלא של מערכות הליבה בארגון, במטרה לאתר פערי מיכון ולקבוע תכנית עבודה מפורטת להשלמת הפערים.
ב. תהליכים עסקיים- תיעוד גראפי מלא של אופן יישום התהליכים העסקיים של הארגון, כולל תיעוד וקישור למשתמשים העיקריים ולמערכות בתהליכים (גורמים פנים ארגוניים הפועלים במסגרת התהליך העסקי וגורמים חיצוניים בעלי אינטרס בקיום התהליך- לדוגמא,לקוחות הארגון). במסגרת שלב זה, יקושרו המערכות והתהליכים העסקיים שתועדו אל נכסי ה- IT בארגון. כל מערכת ותהליך יקושרו לנכסי ה- IT הפעילים במסגרת הפעילות השוטפת לקיומה התקין של כל מערכת ותהליך עסקי. כמו כן, מערכות הליבה וממשקים למערכות חיצוניות יקושרו אף הם לתהליכים העסקיים.
3. ניתוח סיכונים- מיפוי רמות הסיכון לכל נכס IT, עפ"י תכונותיו, דרכי בקרה ופיתרון קיימים וקשריו לתהליכים העסקיים.
הפיתרון הכולל, מאפשר לכל ארגון, להיות מחובר לסיכונים, ולבדוק היכן הוא ממוקם על סקאלת המוכנות לעתות חירום באופן דינאמי בכל עת, ולנקוט בצעדים לצורך הקטנת הנזקים במקרה חירום למינימום.
לסיכום, מונה לבנזון מספר יתרונות של הפתרון:
* יישום מהיר ונוח.
* אינטגרציה למערכות אחרות בארגון וע"י כך שמירה על עדכניות המידע.
* מערכת ויזואלית מאפשרת התמצאות ושליפת מידע מהירה .
* ריכוזיות המידע- המערכת מרכזת מידע שקיים אצל בעלי תפקידים שונים בארגון לתוך סביבה אחודה.
* קישור בין הפן הטכנולוגי לפן העסקי בארגון- מתן תמונה מלאה על תוצאות עסקיות הנובעות מפגיעה בתשתיות.
לדבריו, "פתרון ראוי, יהווה מרכז שליטה יחיד בארגון רווי מערכות וסיכונים".