האם עמידה בדרישות רגולציה מחייבת השקעה נוספת ב- IT?
הדרישות הרגולטוריות לארגונים אכן עולות (ועולות גם כסף). בחלק מהמקרים נדרש פיתוח פיתרונות ממוחשבים שלא היו בעבר ושדרוג התשתיות.
תפיסת נושא הרגולציה בחלק מהחברות כפרוייקטאלי ואי-קיום תהליכים חוצי חברה מהווים מכשול רציני.
על מערך IT לעצב ולתחזק מערכות ותהליכי עבודה, על-מנת לעמוד בדרישות ולהתמודד עם מחסור בתהליכים משולבים.
עם זאת, לא בהכרח נדרשת השקעה משמעותית ב- IT. פיתרון יעיל וזול יותר הוא עיצוב תהליכי עבודה נכונים למערך המחשוב (במיוחד כשמדובר בחברות שאינן גדולות, לדוגמה: חברות המנהלות קופות גמל).
ללא ספק, כל מקרה צריך להיבחן לגופו, וכאן באים לידי ביטוי היכולת והניסיון שלנו בסיוע למערך IT בנושאי רגולציה, כולל עיצוב מסגרת בקרות מחשב כלליות (ITGC) ל- Sarbanes Oxley Act סעיף 404 וביצוע טסטים לבחינת אפקטיביות תפקוד הבקרות.
איך לנהל את מערך המחשוב בצורה מבוקרת יותר?
לרוב, ביחידות המחשוב לא מופו באופן שיטתי ולא נותחו תהליכי העבודה, ולא נקבעו מדדים למדידת הערך של IT עבור החברה.
על-מנת לנהל באופן אפקטיבי ויעיל את יחידת המחשוב, נדרש לקשר בין יעדי הארגון לפעילויות IT.
מתודולוגית (CobiT (Control Objectives for Information and related Technology נוצרה, על-מנת לפתור בעיה זאת.
יישומה גורם לייעול ההשקעות ב- IT והבטחת שירות הולם. CobiT מהווה קנה מידה שניתן להשוות מולו במקרים כשהדברים משתבשים.
אנו מציעים לבצע סקר מערכות מידע המבוסס על CobiT, על-מנת לייעל תהליכי העבודה ולשפר את הבקרה של הנהלת החברה על פעילות מערך המחשוב.
איך לצמצם עלויות אבטחת מידע, תוך שמירה על היעילות?
רוב החברות במשק חוו אירועי אבטחת מידע חריגים, כגון:
• פריצה למסדי נתונים על-ידי גורמים עסקיים מתחרים
• פריצת האקרים והשחטת אתר החברה
• מעילה בכספי החברה על-ידי עובדים תוך שימוש בהרשאות של עובדים אחרים
אירועים מסוג זה גורמים לפגיעה במוניטין החברה, תביעות משפטיות ובחלק מהמקרים להפסדים כספיים ישירים.
נציין, כי מודעות הארגונים לנושאי אבטחת המידע עלתה בשנים אחרונות.
עם זאת, החברות לא התמודדו ביעילות עם בניית מערך אבטחת המידע. לרוב, נרכשו מערכות מתקדמות ויקרות מאוד, דבר שגרם להוצאות כבדות.
לצד הוצאות אלה, מאמץ מזערי בלבד הושקע בסביבת הבקרה וההדרכה הארגונית, בנייה ואכיפה של נוהלי עבודה וכשירות מקצועית של עובדי המחשוב.
בפועל, חברות רבות כיום אינן מפעילות כלל או מפעילות באופן חלקי בלבד את כלי אבטחת המידע שרכשו. אירועים מתרחשים ללא ידיעה וללא התייחסות. בנוסף, אין אכיפה מספקת בשטח על משתמשי המערכות, ואלה עלולים לנצל זאת לצורכיהם האישיים.
מדובר בפירוש בפצצה מתקתקת שיכולה להפתיע את הנהלת הארגון בכל עת.
אנו ב- eRA מציעים לבחון יעילות מערך אבטחת המידע על-ידי:
• ביצוע סקרי אבטחת מידע כלליים, לגילוי חשיפות בכלים הממוחשבים ובתהליכי העבודה.
• ביצוע מבדקי חדירה, מרשת האינטרנט ומהרשת הפנימית.
לשפר היערכות לשעת חירום ולא לפשוט רגל
חשיבות ההיערכות לשעת חירום (BCP / DRP) ידועה לכל: בלעדיה פגיעה בנתונים ומידע בעת אסון עלולה לגרום נזק כבד לחברה.
בתקופה של קיצוץ תקציבים והידוק החגורות בהחלט לא סביר כי לחברות תהיה היכולת להשקיע מאות אלפי שקלים להצטיידות במערכות חדישות ואתרים חלופיים.
עם זאת, קיימות פעולות פשוטות שביצוען יכול לשפר מאוד את השרידות הארגונית בעת חירום.
אנו מספקים הערכה מהירה של BCP / DRP בחברה ומייעצים על סדרה של צעדים לשיפור משמעותי של השרידות בעת חירום, ללא צורך בעלויות גבוהות.
ניהול סיכונים ככלי ליצירת ערך
המילים "סיכון", "ניהול סיכונים", "סקר סיכונים" נכנסו לפני זמן רב לאופנה, ללקסיקון הניהולי ולסל הקניות של החברות.
עם זאת, ההיגיון שבתהליכי ניהול סיכון לא תמיד הובן ובמקרים רבים לא בא לידי ביטוי בנקודות החלטה קריטיות. לרוע המזל, התממשות סיכוני IT בדרך כלל מהווה אסון גדול בהרבה מ"נפילה" עסקית נקודתית. כשלון מחשובי עלול לגרום להפסדים כבדים ואף למוטט ארגון תוך זמן קצר.
אנו מציעים הדרכה בניהול סיכונים (תפעולים, טכנולוגיים ומעילות), מבצעים סקרי סיכונים מקיפים וממליצים על אופן ניהול הסיכון בחברה.
רמי איצלב, M.B.A, CISA
בעל תואר ראשון במדעי המחשב וסטטיסטיקה ותואר שני במנהל עסקים מאוניברסיטת בר-אילן, חוקר פלילי מוסמך ומבקר מערכות מידע (CISA) מוסמך.
מייסד חברת "ארה שירותי ביקורת" - eRA IT Audit Services המתמקצעת בביקורת מערכות מידע, אבטחת מידע, בדיקות חדירה, SOX IT וניהול סיכונים.
אתר: http://www.era-ita.com
דוא"ל: rami@era-ita.com
