לקראת אירוע | אסף ויסברג, משנה לנשיא ISACA ישראל : "לא ניתן להתעלם מסיכונים – כי הם שם . המנמ"ר חייב לדעת לנהל סיכונים בתבונה"

ארגון ISACA ישראל, יקיים בשבוע הבא (3.11) את הכנס השנתי שלו, והשנה בנושא ניהול סיכונים בעולם מערכות המידע. במסגרת הכנס, יתקיים השנה לראשונה מסלול ייחודי המיועד למנמ"רים, במהלכו יידונו נושאים כגון תפיסת גוף ה-IT כיחידה עסקית, תפקיד המנמ"ר בתהליך ניהול הסיכונים, COBIT 5 בשירות המנמ"ר ועוד. לקראת המפגש נפגשנו עם אסף ויסברג, משנה לנשיא האיגוד ומנכ"ל חברת introSight מקבוצת רוזנבלום הולצמן, לשמוע עוד על הנושא.

מדוע נושא ניהול סיכונים כל כך קריטי?

אין חולק, כי מערכות המידע, תורמות לארגון להשיג את יעדיו ותומכות באופן שוטף בתהליכי העבודה שלו. אולם בעוד שהצורך במערכות המידע מובן מאליו, הצורך לנהל את הסיכונים הפוטנציאליים הכרוכים בהן, טרם הופנם באופן מלא, על ידי מנהלי מערכות המידע ועל ידי הנהלות ודירקטוריונים של ארגונים.

ניהול סיכוני טכנולוגיות המידע בא להבטיח את פעילתן התקינה של מערכות המידע ואת התועלת העסקית הנובעת מהן. כך לדוגמא, ברורה התועלת העסקית, הנובעת מהקמת אתר מכירות מקוון, עבור ארגון קמעונאי. אולם במידה ולא נקיים תהליך של הערכת סיכונים ובעקבותיו, נספק מענה לסיכונים שזוהו, עלולים להתממש סיכונים, דוגמת חשיפת פרטי אמצעי תשלום או פרטים אחרים של לקוחות, ובעקבות זאת נטישת לקוחות ותביעות משפטיות.

האיזון בין הצורך להשיא ערך עסקי מפעילות טכנולוגיות המידע, לבין הסיכונים הכרוכים בהם, הינו מהות המושג ממשל טכנולוגיות מידע – IT Governance.
כיצד משרת IT Governance את הארגון?

ניתן לתאר ממשל טכנולוגיות מידע – IT Governance, המהווה נגזרת של ממשל תאגידי, כרובד המתקיים מעל לרובד הניהול בחברה. במטרה לאזן בין תועלת עסקית וסיכונים, נדרש בין היתר לגבש מבנה ארגוני הולם ולהגדיר תחומי סמכות ואחריות, באופן שיבטיח זרימת מידע דו כיוונית, של אסטרטגיה וצרכים עסקיים מההנהלה למנמ"ר ושל סיכוני טכנולוגיות המידע – ומשמעותן העסקית, מהמנמ"ר להנהלה.

COBIT 5, אשר יוצג במסגרת הכנס השנתי, מהווה מסגרת ידע מובילה, והיא כוללת היבטים מתודולוגיים, לצד כלים פרקטיים, ליישום IT Governance בארגון.
אז איך בכל זאת ניתן להוכיחROI ? איזה טיפ אתה יכול לתת למנמ"ר שרוצה לשכנע את ההנהלה שלו להשקיע בניהול והפחתת סיכונים?

בניהול סיכונים, בדומה לעריכת פוליסת ביטוח, אנו משלמים בגין סיכונים פוטנציאליים, מתוך תקווה שלא יתממשו. בשונה מעריכת פוליסת ביטוח, בתחום ניהול והפחתת הסיכונים, נובע התשלום גם מהשקעה באמצעים טכנולוגיים ואחרים, אשר מטרתם לצמצם את הסיכונים הפוטנציאליים. כלומר, במקום להשקיע כסף כדי להבטיח כיסוי ביטוחי, מושקע הכסף בפעולה פרו-אקטיבית, אשר מטרתה הפחתת הסבירות להתממשות הסיכון.

ארגון בו מתקיים ניהול סיכונים אפקטיבי, צפוי להתנהל על מי מנוחות, ללא אירועים מיוחדים, תוך התממשות מצומצמת של סיכונים פוטנציאליים. במצב כזה, עלול המנמ"ר למצוא את עצמו מתקשה להצדיק השקעות שונות, בתחום מערכות המידע ואבטחת המידע, מאחר ומתקבלת בהנהלה תחושה שההשקעות אינן נדרשות: "עובדה – עד כה לא קרה כלום".

כדי להתמודד עם מצב זה, נדרש המנמ"ר להיכנס בנעלי הנהלת הארגון, להפגין בקיאות ביעדים העסקיים של הארגון וליצור זיקה בין סיכוני טכנולוגיות המידע, לבין פגיעה פוטנציאלית ביעדי הארגון. ככל שניתן, יש להעריך את היקף הנזק לארגון במידה ויתממש הסיכון ולהעמיד מולו, את העלויות הכרוכות בהטמעת אמצעים, טכנולוגיים ואחרים, לשם הפחתת סיכונים אלו. גישה זו יוצרת שפה משותפת, המהווה בסיס לדיאלוג ענייני, בין הנהלת הארגון לבין המנמ"ר, באשר לסיכונים המרכזיים בהם יש להתמקד והתקציב הנדרש לשם הפחתתם.
תוכל לתת דוגמא להמחשה?

בהחלט. ניקח כדוגמא תהליך בחינת האפשרות, למעבר למחשוב במודל ענן. בצד היתרונות, עולות מיד דוגמאות לערך שיתקבל, לרבות מענה גמיש ומידי לצרכים משתנים, תשלום לפי צריכה ופתרון אפשרי להמשכיות עסקית של הארגון. מנגד, נדרש להעריך את הסיכונים הטכנולוגיים והתהליכיים הכרוכים בכך, לרבות סיכוני סייבר, פגיעויות טכנולוגיות של הסביבה הווירטואלית של הספק ועוד. על מנת להפחית סיכונים אלו, יתכן ותידרש השקעה נוספת, דוגמת בחירת ספק איכותי יותר – ויקר יותר, או הוספת אמצעים להתמודדות עם סיכונים טכנולוגיים. על מנת להצדיק את ההשקעה הנוספת, נדרש להציג את הסיכונים העסקיים הנובעים מהסיכונים הטכנולוגיים. למשל, התממשות של סיכוני סייבר עלולה להוביל לזליגת מידע, לשיבוש נתונים או לאי זמינות מערכות ושירותים חיוניים וכתוצאה מכך, עלול להיחשף מידע קנייני של הארגון או נתונים רגישים של לקוחות. ניתוח המשמעויות הכלכליות של חשיפת מידע רגיש למתחרים, פגיעה במוניטין עקב זליגת מידע אישי של לקוחות, או השבתת שירותים, תסייע למנמ"ר לתקשר את המשמעות העסקית של הסיכונים הטכנולוגיים, להעריך יחד עם הגורמים העסקיים את רמת הסיכון, ובהתאם את היקף ומהות ההשקעות הנדרשות, לשם הפחתת סיכונים אלו.

לסיכום, כיצד היית מתמצת את מהות תחום ניהול סיכוני טכנולוגיות המידע?

ניהול סיכוני טכנולוגיות המידע, אינו תחום העומד בפני עצמו, אלא מהווה אחת מכפות המאזניים של IT Governance ומטרתו להבטיח כי השקעות בתחום טכנולוגיות המידע, יניבו את הערך והתועלת המצופה מהן. על כן, יש לזהות ולתקשר את הפגיעה הפוטנציאלית ביעדים העסקיים של הארגון, כתוצאה מהתממשות סיכוני טכנולוגיות המידע.

במסגרת הכנס השנתי של ISACA ישראל, יושק התרגום לעברית של COBIT 5 for Risk. מסגרת ידע זו, כוללת היבטים מתודולוגיים, לצד כלים פרקטיים, להטמעה ויישום של מערך ניהול סיכוני טכנולוגיות המידע. הספר יוענק ללא עלות נוספת למשתתפי הכנס.