העיתונות המקומית והעולמית מוצפת במושגים אשר לא תמיד אנו יורדים לעומקם או למטרתם, וכתוצאה - יכולה להיווצר התופעה ש"נפספס" את הרעיונות והמסרים הטמונים במושגים אלו.
נתייחס למושג "ניהול סיכונים" שבוודאי מעסיק ארגונים רבים, אך בלא כל ספק קיימים גם כאלו ששואלים, למה לכל הרוחות הם מתכוונים - כיצד ניתן לנהל סיכונים, שהרי הם בלתי צפויים ?
לצורך ההבנה של כל המסתתר מאחורי מושג זה ולמה הכוונה, נציץ לרגע קט בעולמה של הנמלה וננסה לעמוד על האסטרטגיה שהיא מנהלת, ובפרט בעתות מלחמה.
הנמלה - וניהול הסיכונים שבתפיסת עולמה
לנמלה יש לוגיסטיקה פנימית - המבוססת על חלוקת תפקידים ברורה (פועלות, לוחמות וכיו"ב), אסטרטגיה לניהול מלחמות - הנשענת על שכבות של הגנה (הלוחמות על ה"חומה" ומעגלי האבטחה הפנימיים, שתפקידם להגן על ה"אזרחים"), וטקטיקה של התרעה - המושתתת על חיישנים ומערכת אזעקה (הצופות המוצבות בכניסה אל הקן).
הסקת מסקנות מהירה תוליך אותנו להכרה, שהנמלה מנהלת אסטרטגיה של ניהול סיכונים - גם אם זה נעשה בהעדר כל חשיבה - שעליה מבוסס כל תהליך ההתגוננות וניהול המלחמות שלה.
בדומה לנמלה, כל ארגון המבקש להגן על נכסיו ולהבטיח את עתידו התלוי באופן ישיר במידע המצוי ברשותו, נדרש לעצב אסטרטגיה שתאפשר למזער את הסיכונים המאיימים על מידע זה.
בפועל, ארגונים נדרשים לגבש דרכים שיאפשרו להם לתת מענה לסיכונים קיימים, ובו בזמן להיערך גם לקראת סיכונים עתידיים, ומכאן שמדובר באסטרטגיה ארגונית ארוכת טווח, שמטרתה למנוע מהסיכונים כל אפשרות להכתיב לארגון את דרך החיים.
וכיצד מגבשים אסטרטגיה לניהול סיכונים? לצורך הבהרה נתייחס כאן בהקבלה לעולם הנמלה, שבו הסיכונים מנוהלים בהסתמך על שלושה מרכיבים מרכזיים.
* לוגיסטיקה ארגונית - המבוססת על מבנה פנימי מוגדר (מלכה, פועלות, זכרים וכיו"ב) והפרדת סמכויות ברורה - הקובעת עבור כל אחד את הרשאותיו בגישה למידע..
* אסטרטגיית הגנה - המושתתת על מעגלי אבטחה, שנועדו לספק שכבות רבות של הגנה (שכבת הלוחמות, הפועלות וכיו"ב) עד לשכבה הפנימית של המידע (שכבת הצאצאים).
* טקטיקה של התרעה - הנשענת על ניטור אירועים שוטף (הצופות בפתח הקן) ומשלוח התרעות בזמן אמת באיתור איומים ממשיים (הזעקת הלוחמות באיתור אויב).
כלומר, גיבוש אסטרטגיה ארגונית לניהול הסיכונים כרוכה בעבודת ניתוח והכנה של תשתיות, אשר יוכלו להתמודד בהצלחה עם סיכונים פנימיים וחיצוניים ועם איומים מוכרים וכאלו שאינם ידועים.
גיבוש אסטרטגיה ארגונית
גיבוש אסטרטגיה בעולם דינאמי ומשתנה משמעו לתכנן את המחר, מתוך ניתוח והבנה של הקיים ובהתבסס על פיתוח יכולות אשר ייתנו בידינו כלים לחיזוי ו"ראייה" של הבאות.
מכאן, שעל "אסטרטגיה ארגונית" לשלב בין סקירה וניתוח מדוקדקים של מידע ונתונים קיימים ובין חשיבה וחיזוי יצירתיים, המאפשרים לארגון תכנון עתידי והיערכות לאיומים חדשים.
וכיצד מגבשים אסטרטגיה לסיכול/מזעור סיכונים, שנשענת על שני המרכיבים הנזכרים לעיל? כנקודת מוצא נצא מהעובדה, שנושא "ניהול הסיכונים" חייב להוות חלק בלתי נפרד מהאסטרטגיה ומהתהליכים הכלל ארגוניים, ויש להטמיע אותו בכל הדרגים הקיימים בארגון. וכמרכיב מרכזי, אסטרטגיה ארגונית לניהול הסיכונים נדרשת לתת מענה ולשלב כלים מתאימים לאיתור, אבחון, ניתוח, כימות ותגובה לסיכונים מוכרים וצפויים ולסיכונים חדשים וחזויים.
מתודולוגיה וכלים לניהול סיכונים ארגוניים
נפרט כאן בקצרה את התהליכים והכלים המעורבים באסטרטגיה הארגונית של ניהול הסיכונים.
אפיון לניהול הסיכונים
בשלב ראשון יש למפות את התהליכים הארגוניים/עסקיים הקיימים בארגון ולדרג אותם ו/או מקטעים בתוכם בהתייחס לרמת הקריטיות/חיוניות שלהם לפעילותו השוטפת של הארגון.
כפועל יוצא משלב זה יש לקבוע מטרות וסדרי עדיפויות לאבטחת המידע הארגוני בכל הגזרות, ולאפיין מודל לניהול הסיכונים, שיבוסס על יעדים הנובעים מההחלטות והשיקולים שלעיל.
כדוגמה ניקח ארגון, אשר דירג במקום הראשון את מערך חיובי הלקוחות, במקום שני את מערך ההזמנות, וכך הלאה. מודל ניהול הסיכונים יאופיין על ידי יעדים מרכזיים המייצגים את מערך חיובי הלקוחות, יעדים משניים המייצגים את מערך ההזמנות, וכך הלאה.
איתור ואבחון הסיכונים
איתור ואבחון של סיכוני אבטחת המידע מהווה שלב ראשוני בניהול הסיכונים של כל חברה, ומתפקידו למפות את החשיפות והכשלים הקיימים במערך אבטחת המידע, תוך התייחסות מדורגת אל הסיכונים, התואמת את המודל שאופיין בארגון על ידי הגורמים המוסמכים.
איתור של סיכונים מוכרים יבוסס על ניסיון העבר של הארגון ושל גופי אבטחת מידע מוכרים, וכן על מאמרים בעיתונות ובעלונים, המכילים התרעות ומידע על סיכוני אבטחת מידע.
איתור של סיכונים חדשים ובלתי מוכרים יבוסס על היכרות מעמיקה עם מערך אבטחת המידע ואבחון של תופעות חריגות ובלתי מובנות, וכן על חיווי של פעילויות חשודות ובלתי מוסברות.
ניתוח והערכת הסיכונים
הניתוח והערכת הסיכונים נסמכים על סדרי העדיפויות והיעדים שהוגדרו במסגרת מודל ניהול הסיכונים, בצירוף שיקולים של אומדן הנזקים הצפויים כתוצאה מהתממשות האיומים.
בשלב הנוכחי ייבחנו הסיכונים שאותרו מהיבט הערכיות שלהם במסגרת המודל שאופיין, וכן מהיבט ההסתברות להתרחשותם ומידת הנזק הצפויה לארגון עם התממשותם. כפועל יוצא של השלב הזה, ידורגו הסיכונים על פי "רמות חומרה" ויהוו הכנה לתוכנית פעולה.
עיצוב ותעדוף פתרונות
השלב הבא, אשר מהווה גם הוא רכיב מרכזי בשיקולי הכנתה של תוכנית פעולה, מבוסס על עיצוב הפתרונות הנדרשים, בצירוף שיקולים הנשענים על מורכבות הפתרונות המוצעים.
הפתרונות ידורגו על פי "רמות מורכבות", שייקבעו בהתייחס לאומדן עלותו של הפתרון המוצע והערכת ההשקעה בכוח-אדם ואמצעי תוכנה/חומרה שיידרשו במסגרת הפתרון המוצע.
תוכנית הפעולה לטיפול בסיכוני אבטחת המידע תעוצב בהסתמך על תעדוף הפתרונות שייקבע בחברה, וזה יישען על "רמות החומרה" ו"רמות המורכבות" שנקבעו בשלבים הקודמים של תהליך ניהול הסיכונים.
קביעת בקרות ותגובות
כשלב משלים לתהליך ניהול הסיכונים יש לעצב מערך של פיקוח ובקרה, אשר יעקוב אחר כל שינוי ופעילות המבוצעים במערכי המחשוב של החברה, וישלח התרעות ודיווחים לגבי אירועים שיזוהו כחשודים ובעלי פוטנציאל להיותם חריגים.
קביעת מדיניות לניהול סיכונים רציף
ניהול הסיכונים שלא באופן רציף ומתמשך יוצר חללים המסכנים את הארגון ומהווה גורם בהיווצרותן של פרצות וחשיפות, המסכנות את מארג אבטחת המידע של הארגון.
לפיכך, על כל ארגון לקבוע מדיניות לניהול סיכונים רציף, אשר יושתת על המהלכים המפורטים לעיל ועל תהליכי מעקב ובקרה אחר ביצוע השינויים הנדרשים והשפעתם על כלל העובדים.
לסיכום, כל ארגון, שאבטחת המידע מהווה נדבך חשוב בתפיסת עולמו וקיומו, נדרש לקבוע מדיניות ברורה לניהול הסיכונים במערכי המידע ולבנות תהליכים רציפים, אשר יבטיחו זרימת המידע וטיפול נאות בכל כשלי אבטחת המידע והחשיפות.
נתייחס למושג "ניהול סיכונים" שבוודאי מעסיק ארגונים רבים, אך בלא כל ספק קיימים גם כאלו ששואלים, למה לכל הרוחות הם מתכוונים - כיצד ניתן לנהל סיכונים, שהרי הם בלתי צפויים ?
לצורך ההבנה של כל המסתתר מאחורי מושג זה ולמה הכוונה, נציץ לרגע קט בעולמה של הנמלה וננסה לעמוד על האסטרטגיה שהיא מנהלת, ובפרט בעתות מלחמה.
הנמלה - וניהול הסיכונים שבתפיסת עולמה
לנמלה יש לוגיסטיקה פנימית - המבוססת על חלוקת תפקידים ברורה (פועלות, לוחמות וכיו"ב), אסטרטגיה לניהול מלחמות - הנשענת על שכבות של הגנה (הלוחמות על ה"חומה" ומעגלי האבטחה הפנימיים, שתפקידם להגן על ה"אזרחים"), וטקטיקה של התרעה - המושתתת על חיישנים ומערכת אזעקה (הצופות המוצבות בכניסה אל הקן).
הסקת מסקנות מהירה תוליך אותנו להכרה, שהנמלה מנהלת אסטרטגיה של ניהול סיכונים - גם אם זה נעשה בהעדר כל חשיבה - שעליה מבוסס כל תהליך ההתגוננות וניהול המלחמות שלה.
בדומה לנמלה, כל ארגון המבקש להגן על נכסיו ולהבטיח את עתידו התלוי באופן ישיר במידע המצוי ברשותו, נדרש לעצב אסטרטגיה שתאפשר למזער את הסיכונים המאיימים על מידע זה.
בפועל, ארגונים נדרשים לגבש דרכים שיאפשרו להם לתת מענה לסיכונים קיימים, ובו בזמן להיערך גם לקראת סיכונים עתידיים, ומכאן שמדובר באסטרטגיה ארגונית ארוכת טווח, שמטרתה למנוע מהסיכונים כל אפשרות להכתיב לארגון את דרך החיים.
וכיצד מגבשים אסטרטגיה לניהול סיכונים? לצורך הבהרה נתייחס כאן בהקבלה לעולם הנמלה, שבו הסיכונים מנוהלים בהסתמך על שלושה מרכיבים מרכזיים.
* לוגיסטיקה ארגונית - המבוססת על מבנה פנימי מוגדר (מלכה, פועלות, זכרים וכיו"ב) והפרדת סמכויות ברורה - הקובעת עבור כל אחד את הרשאותיו בגישה למידע..
* אסטרטגיית הגנה - המושתתת על מעגלי אבטחה, שנועדו לספק שכבות רבות של הגנה (שכבת הלוחמות, הפועלות וכיו"ב) עד לשכבה הפנימית של המידע (שכבת הצאצאים).
* טקטיקה של התרעה - הנשענת על ניטור אירועים שוטף (הצופות בפתח הקן) ומשלוח התרעות בזמן אמת באיתור איומים ממשיים (הזעקת הלוחמות באיתור אויב).
כלומר, גיבוש אסטרטגיה ארגונית לניהול הסיכונים כרוכה בעבודת ניתוח והכנה של תשתיות, אשר יוכלו להתמודד בהצלחה עם סיכונים פנימיים וחיצוניים ועם איומים מוכרים וכאלו שאינם ידועים.
גיבוש אסטרטגיה ארגונית
גיבוש אסטרטגיה בעולם דינאמי ומשתנה משמעו לתכנן את המחר, מתוך ניתוח והבנה של הקיים ובהתבסס על פיתוח יכולות אשר ייתנו בידינו כלים לחיזוי ו"ראייה" של הבאות.
מכאן, שעל "אסטרטגיה ארגונית" לשלב בין סקירה וניתוח מדוקדקים של מידע ונתונים קיימים ובין חשיבה וחיזוי יצירתיים, המאפשרים לארגון תכנון עתידי והיערכות לאיומים חדשים.
וכיצד מגבשים אסטרטגיה לסיכול/מזעור סיכונים, שנשענת על שני המרכיבים הנזכרים לעיל? כנקודת מוצא נצא מהעובדה, שנושא "ניהול הסיכונים" חייב להוות חלק בלתי נפרד מהאסטרטגיה ומהתהליכים הכלל ארגוניים, ויש להטמיע אותו בכל הדרגים הקיימים בארגון. וכמרכיב מרכזי, אסטרטגיה ארגונית לניהול הסיכונים נדרשת לתת מענה ולשלב כלים מתאימים לאיתור, אבחון, ניתוח, כימות ותגובה לסיכונים מוכרים וצפויים ולסיכונים חדשים וחזויים.
מתודולוגיה וכלים לניהול סיכונים ארגוניים
נפרט כאן בקצרה את התהליכים והכלים המעורבים באסטרטגיה הארגונית של ניהול הסיכונים.
אפיון לניהול הסיכונים
בשלב ראשון יש למפות את התהליכים הארגוניים/עסקיים הקיימים בארגון ולדרג אותם ו/או מקטעים בתוכם בהתייחס לרמת הקריטיות/חיוניות שלהם לפעילותו השוטפת של הארגון.
כפועל יוצא משלב זה יש לקבוע מטרות וסדרי עדיפויות לאבטחת המידע הארגוני בכל הגזרות, ולאפיין מודל לניהול הסיכונים, שיבוסס על יעדים הנובעים מההחלטות והשיקולים שלעיל.
כדוגמה ניקח ארגון, אשר דירג במקום הראשון את מערך חיובי הלקוחות, במקום שני את מערך ההזמנות, וכך הלאה. מודל ניהול הסיכונים יאופיין על ידי יעדים מרכזיים המייצגים את מערך חיובי הלקוחות, יעדים משניים המייצגים את מערך ההזמנות, וכך הלאה.
איתור ואבחון הסיכונים
איתור ואבחון של סיכוני אבטחת המידע מהווה שלב ראשוני בניהול הסיכונים של כל חברה, ומתפקידו למפות את החשיפות והכשלים הקיימים במערך אבטחת המידע, תוך התייחסות מדורגת אל הסיכונים, התואמת את המודל שאופיין בארגון על ידי הגורמים המוסמכים.
איתור של סיכונים מוכרים יבוסס על ניסיון העבר של הארגון ושל גופי אבטחת מידע מוכרים, וכן על מאמרים בעיתונות ובעלונים, המכילים התרעות ומידע על סיכוני אבטחת מידע.
איתור של סיכונים חדשים ובלתי מוכרים יבוסס על היכרות מעמיקה עם מערך אבטחת המידע ואבחון של תופעות חריגות ובלתי מובנות, וכן על חיווי של פעילויות חשודות ובלתי מוסברות.
ניתוח והערכת הסיכונים
הניתוח והערכת הסיכונים נסמכים על סדרי העדיפויות והיעדים שהוגדרו במסגרת מודל ניהול הסיכונים, בצירוף שיקולים של אומדן הנזקים הצפויים כתוצאה מהתממשות האיומים.
בשלב הנוכחי ייבחנו הסיכונים שאותרו מהיבט הערכיות שלהם במסגרת המודל שאופיין, וכן מהיבט ההסתברות להתרחשותם ומידת הנזק הצפויה לארגון עם התממשותם. כפועל יוצא של השלב הזה, ידורגו הסיכונים על פי "רמות חומרה" ויהוו הכנה לתוכנית פעולה.
עיצוב ותעדוף פתרונות
השלב הבא, אשר מהווה גם הוא רכיב מרכזי בשיקולי הכנתה של תוכנית פעולה, מבוסס על עיצוב הפתרונות הנדרשים, בצירוף שיקולים הנשענים על מורכבות הפתרונות המוצעים.
הפתרונות ידורגו על פי "רמות מורכבות", שייקבעו בהתייחס לאומדן עלותו של הפתרון המוצע והערכת ההשקעה בכוח-אדם ואמצעי תוכנה/חומרה שיידרשו במסגרת הפתרון המוצע.
תוכנית הפעולה לטיפול בסיכוני אבטחת המידע תעוצב בהסתמך על תעדוף הפתרונות שייקבע בחברה, וזה יישען על "רמות החומרה" ו"רמות המורכבות" שנקבעו בשלבים הקודמים של תהליך ניהול הסיכונים.
קביעת בקרות ותגובות
כשלב משלים לתהליך ניהול הסיכונים יש לעצב מערך של פיקוח ובקרה, אשר יעקוב אחר כל שינוי ופעילות המבוצעים במערכי המחשוב של החברה, וישלח התרעות ודיווחים לגבי אירועים שיזוהו כחשודים ובעלי פוטנציאל להיותם חריגים.
קביעת מדיניות לניהול סיכונים רציף
ניהול הסיכונים שלא באופן רציף ומתמשך יוצר חללים המסכנים את הארגון ומהווה גורם בהיווצרותן של פרצות וחשיפות, המסכנות את מארג אבטחת המידע של הארגון.
לפיכך, על כל ארגון לקבוע מדיניות לניהול סיכונים רציף, אשר יושתת על המהלכים המפורטים לעיל ועל תהליכי מעקב ובקרה אחר ביצוע השינויים הנדרשים והשפעתם על כלל העובדים.
לסיכום, כל ארגון, שאבטחת המידע מהווה נדבך חשוב בתפיסת עולמו וקיומו, נדרש לקבוע מדיניות ברורה לניהול הסיכונים במערכי המידע ולבנות תהליכים רציפים, אשר יבטיחו זרימת המידע וטיפול נאות בכל כשלי אבטחת המידע והחשיפות.
צביקה גורן
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il