תגיות: pCon, ניהול, סיכונים, יעילות, ERM, Risk
המסר העיקרי הוא - איך מנהלים סיכונים? איזה סיכונים יש לנהל? איך יוצרים סדר עדיפויות לסיכונים השונים? מה הכלים שיעזרו לך לנהל סיכונים? אלה רק חלק מהשאלות איתם נאלץ המנמ"ר להתמודד בנושא ניהול הסיכונים - תחום חשוב מאין כמוהו, הסובל לעיתים קרובות מטיפול לקוי. אז למה כדאי לקחת בחשבון גם רעידות אדמה? מיד.
עם יד על הלב, כמה מנהלי מחשוב בדרום, נערכו לאפשרות של שיתוק מערכות המחשב שלהם, כתוצאה מפגיעת טיל שמגיע מרצועת עזה? בתחילת 2008 פגעה בצפון המדינה רעידת אדמה בעוצמה של5.3 בסולם ריכטר. כמה מנהלי מחשוב בצפון, היו ערוכים לכך?
בשלבי התהוות
אין ספק שקבלת החלטות המבוססת על ניהול סיכונים (ERM - Enterprise Risk Management) חשובה לכל ארגון וארגון, אך לפי Gartner עדיין מדובר בתחום הנמצא בשלבי התהוות וסובל מחוסר מודעות בקרב מנהלי הארגונים. יחד עם זאת, ב-Gartner מאמינים כי בשנתיים הקרובות יבשילו מנהלי הסיכונים בארגונים באופן משמעותי, והנושא יתפוס יותר חשיבות גם בחלקים העסקיים בארגון. במקביל, הם מאמינים שנראה חדירה של אנשי ניהול סיכונים ממחלקות ה-IT ואבטחת המידע, אל המחלקות העסקיות.
משמעות נושא זה לארגונים כפולה: מחד, סיכון מחשובי עלול למוטט את הארגון ולכן חובה להתעמק בניהול סיכונים לשם מניעת נזקים, כולל תכנון תכנית אב לניהול הסיכונים. מאידך, חשוב לוודא שהסיכונים השונים, "המרחפים" מעל יוזמות IT חדשות, לא ייבלמו אותן או יביאו לכשלונן. בנוסף, הטכנולוגיה יכולה להיות כלי מדידה שמשקף מצבים לא בריאים ולמנוע סיכונים עסקיים. כך למשל, שימוש מושכל בכלי בקרה טכנולוגיים, היו יכולים להדליק אורות אדומים במקרה של משבר הסאב פריים ששוטף את העולם ולצמצם את נזקיו. בנוסף, מעורבותו של המנמ"ר בנושא ניהול הסיכונים, מתבקשת, גם כחלק ממגמת השתלבותו כמוביל עסקי וכלכלי בארגון. ניהול הסיכונים במחשוב, יהיה חלק מניהול הסיכונים העסקים בארגון כולו, והוא צריך לצאת מנקודת מבט עסקית כזו.
מגמות משפיעות
מגמות רבות משפיעות כעת על התחום. כך אנו רואים כי אבטחה הופכת להיות רק חלק אחד, גם אם חשוב, מניהול סיכוני המחשוב, לצד סיכונים עסקיים או סיכונים הנובעים מאי תאימות לתקנות (כמו SOX או באזל); גישות ניהול כמו ITIL ו-COBIT, מעודדות את ניהול הסיכונים במחשוב; סיכונים אופייניים למדינת ישראל שלא נראה כי עומדים להיעלם בקרוב; תקנים ניהוליים ישראליים הנמצאים בתחילת דרכם; תפקיד חדש - איש ניהול סיכונים - שעושה דרכו מארגונים כלכליים לכלל הארגונים. נדגיש, כי הסיכונים רבים ומגוונים ולא מדובר רק בסיכוני אבטחה דוגמת ספאם, וירוסים, נוזקות או רוגלות (ראה תחקיר 873 - 38+ סכנות במחשוב). בנוסף, ככל שהטכנולוגיות הולכות ומשתכללות, כך מתרבים גם הסיכונים, כאשר ארגון נאלץ לא רק לזהותם ולמנוע אותם אם אפשר, אלא גם לבחור איזה מהסיכונים לנהל (מאחר שלא מעשי לנסות ולנטרל כל סיכון אפשרי)!
כיום, ארגונים רבים מבינים את חשיבות שיפור ניהול סיכוני ה-IT שלהם, והם משקיעים יותר כסף מבעבר בייעוץ, בסקרי סיכונים, בתפיסת ההמשכיות העסקית ובתכניות התאוששות מאסון. למעשה, סקר ב-InfoWorld מצא כי 80% מהמנהלים בתחום הטכנולוגיה צופים שהארגונים שלהם יגדילו את ההשקעה בניהול סיכונים במהלך 12-18 החודשים הקרובים.
לפי סקר InfoSec08 שערכה חברת Secoz, חלק ניכר מהארגונים בארץ אינם מעריכים בעקביות סיכונים הקשורים לאבטחת מידע; לשאלה: "האם הארגון מעריך את סיכוני אבטחת המידע באופן עקבי?", ענו 3.73% "כלל לא", 10.82% ענו "במידה מועטה", ו-29.85% מהמשיבים ענו "מדי פעם".
סיכונים לדוגמא
בעוד שבכל ארגון חשוב להתייחס לשורה רחבה של סיכונים עסקיים, בגלל אובדן שוק, השפעת מתחרים, היבטי מטבע וכדומה, אנו מתמקדים כאן, רק בתרומת ה-IT לסיכונים שמשפיעים על הארגון:
? פגיעה בתשתיות - סיכונים הקשורים לפגיעה בתשתיות עלולים להשבית את עבודת הארגון כליל. בכל מקרה, חשוב לזכור שמערך המחשוב, הוא בין הפונקציות הבודדות בארגונים, שנסמכות לחלוטין על תשתית החשמל, ובמידה רבה מאוד על תשתיות תקשורת.
? סיכונים ביטחוניים מקומיים - לישראל יש סיכונים אופייניים משלה. טווח הקסאמים, למשל, מתרחב (על פי ראש אמ"ן, עד 2010 יגיעו טילים אלה גם עד באר שבע, אשדוד וקרית גת) ומכניס למשוואה סיכון פיזי משמעותי למערכות המחשוב בארגון. לא רק ארגונים בדרום או בצפון עומדים בפני סיכון פיזי (היזכר במלחמת לבנון, אז שם החיזבאללה את כל הארגונים בצפון על הכוונת); הסיכון בהחלט יכול להגיע גם למרכז.
? סיכוני אבטחה - בתחום האבטחה הסיכונים רבים ומגוונים והולכים ונעשים קשים לטיפול עם הזמן. גניבת זהויות, סחיטות, מעילות וריגול תעשייתי, הם רק חלק מסיכונים אלו.
? סכנות טכנולוגיות - סיכונים והזדמנויות הולכים יד ביד, לכן חשוב לזכור כי טכנולוגיות חדישות המהוות הזדמנות לארגון, טומנות בחובן גם סיכונים. למשל, ה-VoIP, חידוש המציע חיסכון בתקשורת, עלול לסבול מקריסות הנובעות מחוסר בשלות; כך גם ראינו פריצות למערכות טלפוניה (Phreaking) ופישינג קולי (Vishing).
אלה רק חלק מהסיכונים שיש לקחת בחשבון. רשימת סיכונים מלאה ניתן למצוא בתחקיר שערכנו.
מוצרים לשירותך
? אנטרופי יועצים - מבצעים סקרי סיכונים על בסיס גישת ה-COSO, ניהול סיכוני שוק, סיכוני אשראי, היערכות להמשכיות עסקית במקרה אסון, עיצוב נהלים ובקרות - הכל בתאימות לרגולציות כמו באזל2, SOX ואחרות.
? דן אנד ברדסטריט - מציעים פתרונות ודו"חות, כולל ניהול סיכוני אשראי; מציעים את DB Pro המציעה ציונים לסיכונים השונים ומעקב אחריהם בזמן אמת.
? מתודה - MethodRisk, ערכה לאיור איומים בשיטת סיעור מוחות, והגדרת קריטריונים ל"הרמת דגל" עבור סיכונים שהטיפול בהם דחוף.
? Comsec - כוללת יחידה שלמה המוקדשת לניהול סיכונים, המורכבת ממומחים בתחום, ועובדת בתאימות לבאזל II ו-ISO 17799 (סטנדרט לאבטחת מידע).
? IBM - מציעים ל-SMB's ניהול סיכונים פיננסי; מציעה עם Cognos את Risk Adjusted Profitability Performance Blueprint, לניהול סיכונים וביצועים.
מוצרים מעניינים נוספים ניתן למצוא בתחקיר המלא.
לסיכום
מומלץ להיות מודע לחידושים ולמגמות בתחום קריטי זה, ולהבטיח שהוא מקבל את הטיפול הנאות.
הערה חשובה - הסיפור על מנסים לנהל סיכונים לקוח מתוך תחקיר pCon והוא רק חלק מהסיפור הענק על השימוש בתמריצים, יתרונותיהם וחסרונותיהם. איך נחשפים לסיפור כולו וגם מרוויחים יותר זמן פנוי?http://www.pcon.co.il/v5/DebriefSignup25.asp
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
המסר העיקרי הוא - איך מנהלים סיכונים? איזה סיכונים יש לנהל? איך יוצרים סדר עדיפויות לסיכונים השונים? מה הכלים שיעזרו לך לנהל סיכונים? אלה רק חלק מהשאלות איתם נאלץ המנמ"ר להתמודד בנושא ניהול הסיכונים - תחום חשוב מאין כמוהו, הסובל לעיתים קרובות מטיפול לקוי. אז למה כדאי לקחת בחשבון גם רעידות אדמה? מיד.
עם יד על הלב, כמה מנהלי מחשוב בדרום, נערכו לאפשרות של שיתוק מערכות המחשב שלהם, כתוצאה מפגיעת טיל שמגיע מרצועת עזה? בתחילת 2008 פגעה בצפון המדינה רעידת אדמה בעוצמה של5.3 בסולם ריכטר. כמה מנהלי מחשוב בצפון, היו ערוכים לכך?
בשלבי התהוות
אין ספק שקבלת החלטות המבוססת על ניהול סיכונים (ERM - Enterprise Risk Management) חשובה לכל ארגון וארגון, אך לפי Gartner עדיין מדובר בתחום הנמצא בשלבי התהוות וסובל מחוסר מודעות בקרב מנהלי הארגונים. יחד עם זאת, ב-Gartner מאמינים כי בשנתיים הקרובות יבשילו מנהלי הסיכונים בארגונים באופן משמעותי, והנושא יתפוס יותר חשיבות גם בחלקים העסקיים בארגון. במקביל, הם מאמינים שנראה חדירה של אנשי ניהול סיכונים ממחלקות ה-IT ואבטחת המידע, אל המחלקות העסקיות.
משמעות נושא זה לארגונים כפולה: מחד, סיכון מחשובי עלול למוטט את הארגון ולכן חובה להתעמק בניהול סיכונים לשם מניעת נזקים, כולל תכנון תכנית אב לניהול הסיכונים. מאידך, חשוב לוודא שהסיכונים השונים, "המרחפים" מעל יוזמות IT חדשות, לא ייבלמו אותן או יביאו לכשלונן. בנוסף, הטכנולוגיה יכולה להיות כלי מדידה שמשקף מצבים לא בריאים ולמנוע סיכונים עסקיים. כך למשל, שימוש מושכל בכלי בקרה טכנולוגיים, היו יכולים להדליק אורות אדומים במקרה של משבר הסאב פריים ששוטף את העולם ולצמצם את נזקיו. בנוסף, מעורבותו של המנמ"ר בנושא ניהול הסיכונים, מתבקשת, גם כחלק ממגמת השתלבותו כמוביל עסקי וכלכלי בארגון. ניהול הסיכונים במחשוב, יהיה חלק מניהול הסיכונים העסקים בארגון כולו, והוא צריך לצאת מנקודת מבט עסקית כזו.
מגמות משפיעות
מגמות רבות משפיעות כעת על התחום. כך אנו רואים כי אבטחה הופכת להיות רק חלק אחד, גם אם חשוב, מניהול סיכוני המחשוב, לצד סיכונים עסקיים או סיכונים הנובעים מאי תאימות לתקנות (כמו SOX או באזל); גישות ניהול כמו ITIL ו-COBIT, מעודדות את ניהול הסיכונים במחשוב; סיכונים אופייניים למדינת ישראל שלא נראה כי עומדים להיעלם בקרוב; תקנים ניהוליים ישראליים הנמצאים בתחילת דרכם; תפקיד חדש - איש ניהול סיכונים - שעושה דרכו מארגונים כלכליים לכלל הארגונים. נדגיש, כי הסיכונים רבים ומגוונים ולא מדובר רק בסיכוני אבטחה דוגמת ספאם, וירוסים, נוזקות או רוגלות (ראה תחקיר 873 - 38+ סכנות במחשוב). בנוסף, ככל שהטכנולוגיות הולכות ומשתכללות, כך מתרבים גם הסיכונים, כאשר ארגון נאלץ לא רק לזהותם ולמנוע אותם אם אפשר, אלא גם לבחור איזה מהסיכונים לנהל (מאחר שלא מעשי לנסות ולנטרל כל סיכון אפשרי)!
כיום, ארגונים רבים מבינים את חשיבות שיפור ניהול סיכוני ה-IT שלהם, והם משקיעים יותר כסף מבעבר בייעוץ, בסקרי סיכונים, בתפיסת ההמשכיות העסקית ובתכניות התאוששות מאסון. למעשה, סקר ב-InfoWorld מצא כי 80% מהמנהלים בתחום הטכנולוגיה צופים שהארגונים שלהם יגדילו את ההשקעה בניהול סיכונים במהלך 12-18 החודשים הקרובים.
לפי סקר InfoSec08 שערכה חברת Secoz, חלק ניכר מהארגונים בארץ אינם מעריכים בעקביות סיכונים הקשורים לאבטחת מידע; לשאלה: "האם הארגון מעריך את סיכוני אבטחת המידע באופן עקבי?", ענו 3.73% "כלל לא", 10.82% ענו "במידה מועטה", ו-29.85% מהמשיבים ענו "מדי פעם".
סיכונים לדוגמא
בעוד שבכל ארגון חשוב להתייחס לשורה רחבה של סיכונים עסקיים, בגלל אובדן שוק, השפעת מתחרים, היבטי מטבע וכדומה, אנו מתמקדים כאן, רק בתרומת ה-IT לסיכונים שמשפיעים על הארגון:
? פגיעה בתשתיות - סיכונים הקשורים לפגיעה בתשתיות עלולים להשבית את עבודת הארגון כליל. בכל מקרה, חשוב לזכור שמערך המחשוב, הוא בין הפונקציות הבודדות בארגונים, שנסמכות לחלוטין על תשתית החשמל, ובמידה רבה מאוד על תשתיות תקשורת.
? סיכונים ביטחוניים מקומיים - לישראל יש סיכונים אופייניים משלה. טווח הקסאמים, למשל, מתרחב (על פי ראש אמ"ן, עד 2010 יגיעו טילים אלה גם עד באר שבע, אשדוד וקרית גת) ומכניס למשוואה סיכון פיזי משמעותי למערכות המחשוב בארגון. לא רק ארגונים בדרום או בצפון עומדים בפני סיכון פיזי (היזכר במלחמת לבנון, אז שם החיזבאללה את כל הארגונים בצפון על הכוונת); הסיכון בהחלט יכול להגיע גם למרכז.
? סיכוני אבטחה - בתחום האבטחה הסיכונים רבים ומגוונים והולכים ונעשים קשים לטיפול עם הזמן. גניבת זהויות, סחיטות, מעילות וריגול תעשייתי, הם רק חלק מסיכונים אלו.
? סכנות טכנולוגיות - סיכונים והזדמנויות הולכים יד ביד, לכן חשוב לזכור כי טכנולוגיות חדישות המהוות הזדמנות לארגון, טומנות בחובן גם סיכונים. למשל, ה-VoIP, חידוש המציע חיסכון בתקשורת, עלול לסבול מקריסות הנובעות מחוסר בשלות; כך גם ראינו פריצות למערכות טלפוניה (Phreaking) ופישינג קולי (Vishing).
אלה רק חלק מהסיכונים שיש לקחת בחשבון. רשימת סיכונים מלאה ניתן למצוא בתחקיר שערכנו.
מוצרים לשירותך
? אנטרופי יועצים - מבצעים סקרי סיכונים על בסיס גישת ה-COSO, ניהול סיכוני שוק, סיכוני אשראי, היערכות להמשכיות עסקית במקרה אסון, עיצוב נהלים ובקרות - הכל בתאימות לרגולציות כמו באזל2, SOX ואחרות.
? דן אנד ברדסטריט - מציעים פתרונות ודו"חות, כולל ניהול סיכוני אשראי; מציעים את DB Pro המציעה ציונים לסיכונים השונים ומעקב אחריהם בזמן אמת.
? מתודה - MethodRisk, ערכה לאיור איומים בשיטת סיעור מוחות, והגדרת קריטריונים ל"הרמת דגל" עבור סיכונים שהטיפול בהם דחוף.
? Comsec - כוללת יחידה שלמה המוקדשת לניהול סיכונים, המורכבת ממומחים בתחום, ועובדת בתאימות לבאזל II ו-ISO 17799 (סטנדרט לאבטחת מידע).
? IBM - מציעים ל-SMB's ניהול סיכונים פיננסי; מציעה עם Cognos את Risk Adjusted Profitability Performance Blueprint, לניהול סיכונים וביצועים.
מוצרים מעניינים נוספים ניתן למצוא בתחקיר המלא.
לסיכום
מומלץ להיות מודע לחידושים ולמגמות בתחום קריטי זה, ולהבטיח שהוא מקבל את הטיפול הנאות.
הערה חשובה - הסיפור על מנסים לנהל סיכונים לקוח מתוך תחקיר pCon והוא רק חלק מהסיפור הענק על השימוש בתמריצים, יתרונותיהם וחסרונותיהם. איך נחשפים לסיפור כולו וגם מרוויחים יותר זמן פנוי?http://www.pcon.co.il/v5/DebriefSignup25.asp
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
קובי שפיבק Bsc., MBA הוא העורך הראשי של תחקירי pCon ואתר pCon-line. כמי שעוסק במחשבים, על מכלול היבטיהם משנת 1976 וכן כמי שכתב וערך למעלה משמונה מאות תחקירים על כל היבטי המחשוב העיקריים, הוא נמנה על אותם אנשים בודדים בארץ ובעולם, שבאמת ובתמים, מבינים לאן הולך עולם המחשוב ומהן השלכותיו המידיות והעתידיות, על אנשים וארגונים. הוא גם פרסם מספר רב של מאמרים במרבית העיתונים הגדולים והמקצועיים, והופיע פעמים רבות בערוצי הטלוויזיה והרדיו המרכזיים. נכון להיום הוא מייעץ למרבית מנהלי המחשוב בארגונים המובילים בישראל, והוא נחשב בעיני רבים, לגורו של המחשוב העסקי.