ממשל אבטחת מידע כמנוף לעסקים

מאת אופיר זילביגר, מנכ"ל SECOZ

 

עבור ארגונים רבים מהוות מערכות המידע נכס חשוב ביותר. מערכות אלו הינן ה"מנוע" העומד מאחורי השירותים אותם מעניק הארגון. חלק גדול מתקציב הארגונים מושקע במערכות המידע והוא שני רק לעלויות כוח אדם. מכאן, שניצול יעיל ונכון של מערכות אלה הינם מפתח חשוב להצלחת הארגון.

 

בשל החשיבות האסטרטגית של מערכות המידע, חובה על המנהלים הבכירים ומועצת המנהלים לוודא כי מערכות אלה משרתות נאמנה את יעדיו. כדי להשיג זאת, עליהם להגדיר מדיניות, נהלים ומבנה ארגוני תומך אשר יבטיחו כי:

  • היעדים העסקיים אותם אמורות מערכות המידע לשרת מושגים
  • אירועים שאינם רצויים נמנעים או, לפחות, מזוהים מבעוד מועד ומתוקנים

 הגדרה ואכיפה של ממשל מערכות מידע הינם מפתח לעמידה במשימה זו. בטרם נגדיר מהו ממשל מערכות מידע נעיין במושג הרחב יותר – ממשל חברות.

 

מהו ממשל חברות (Corporate Governance)

ממשל חברות הפך להיות נושא חשוב ומרכזי בארה"ב ובעולם החל בשנת 2002. היה זה בעקבות שערוריות הכספים שנחשפו בזו אחר זו בחברות ענק ובניהן  Enron, Worldcom ו Tyco.

העניין בתחום זה אינו חדש, אך החומרה של שערוריות פיננסיות אלה גרמה לאובדן האמון של המשקיעים המוסדיים והפרטיים והעלתה ספק לגבי יכולתם של ארגונים פרטיים להגן על בעלי המניות שלהם. התוצאה הישירה של אובדן אמון זה הייתה כי במהלך ששה החודשים הראשונים של 2002 איבדו המניות ברחבי העולם ובמיוחד בארה"ב חלק גדול מערכן. בעקבות אירועים אלה חוקק הממשל האמריקני תקנות אשר דורשות ממנהלי החברות להצהיר על אחריותם האישית לדיוק הנתונים הכספיים של החברות שלהם ולהפיק דיווחים בקצב מהיר יותר. במקביל החלו חברות להעלות את רמת הבקרה הפנימית שהן דורשות מעצמן.

 

הארגון לשיתוף פעולה כלכלי ופיתוח (OECD) מגדיר את המושג ממשל חברות כך: "ממשל חברות הוא המערכת באמצעותה חברות עסקיות מנוהלות ומבוקרות. הממשל מגדיר את חלוקת הזכויות והאחריות בין המשתתפים השונים בחברה כגון חבר המנהלים, מנהלים ובעלי המניות וקובע את החוקים והנהלים לביצוע החלטות בחברה. על ידי כך מספק הממשל גם מבנה בעזרתו נקבעים יעדי הארגון ואת הדרכים להשיג יעדים אלה ולבקר אותם."

 

מהו ממשל מערכות מידע (IT Governance)

ממשל מערכות המידע הינו נגזרת של ממשל החברה. בעוד שממשל החברה דואג לכך שההחלטות המתקבלות יתאימו לחזון, הערכים והאסטרטגיה של החברה, דואג ממשל מערכות המידע כי ההחלטות המתקבלות במערכות המידע תומכות ביעדי הארגון.

 

תפקיד ממשל מערכות המידע הינו לספק קווים מנחים לפרויקטים בתחום זה ולהבטיח כי ביצועיהם של המערכות יעמדו ביעדים הבאים של הארגון:

  1. התאמת מערכות המידע עם יעדי הארגון
  2. שימוש אחראי במשאבי מערכות המידע
  3. זיהוי וניהול של סיכונים הכרוכים במערכות המידע
  4. סיוע של מערכות המידע לניצול הזדמנויות עסקיות

ממשל מערכות המידע מבטיח כי מערכות אלה משרתות באופן ישיר את יעדי הארגון. כמו כן הוא עוזר למיסוד תהליכים ומדדי ביצוע.

 

ההחלטות המתקבלות על ידי ארגונים בתחום מערכות המידע נוגעות, בדרך כלל, בהיבטים הבאים:

  1. עקרונות מערכות המידע – מה תפקיד מערכות המידע בארגון וכיצד הן עונות על יעדיו
  2. ארכיטקטורת מערכות המידע – החלטות טכנולוגיות ומגמות המתאימות לעקרונות
  3. תשתיות מערכות מידע – לאספקת שירותים משותפים
  4. יישומים עסקיים – בהתאמה לצרכים הייחודיים של היחידות העסקיות
  5. השקעות ותיעדוף מערכות המידע בארגון

 

על מנת לתמוך בקבלת ההחלטות התחומים הללו, על החברות לפתח וליישם ממשל הכולל את שלושה ההיבטים הבאים:

  1. מבנה ארגוני ומנגנונים לקבלת החלטות (צוותי עבודה וועדות)
  2. תהליכי בקרה
  3. תקשור הממשל לכל רובדי הארגון

מהו ממשל אבטחת מידע (Information Security Governance)

ממשל אבטחת מידע הינו חלק ישיר וחשוב של ממשל מערכות המידע. לאבטחת מידע נגיעה בכל שלב משלבי החיים של מערכות המידע: היוזמה, התכנון, התפעול והתחזוקה.

לא בכדי הפך נושא אבטחת המידע לאחד מן הנושאים המרכזיים הנדרשים ברוגלציות ותקנות שונות בעולם כגון SOX, HIPAA, BASELII וכן בארץ בתקנות כגון הוראת המפקח על הבנקים 357.

 

אבטחת מידע אינה עוד נחלתם הבלעדית של אנשי מחשבים ומדענים המחפשים משוואות ודרכים חדשות להצפנת מידע. זהו נושא מערכתי אשר יש להתייחס אליו משלושה צירים בעת ובעונה אחת: ארגוני, תהליכי ועסקי.

 

טיפול נכון בכל הצירים הללו יבטיח להנהלת הארגון:

·         רציפות של הפעילות העסקית של הארגון

·         הגברת יעילות התפעול

·         שירות מיטבי ללקוחותיו

·         שיפור הפעילות העסקית של הארגון (מקסימום פתיחות במקסימום אבטחה).

  

הבסיס לממשל אבטחת מידע הינו המסגרת הארגונית התומכת בו וכוללת בין היתר:

  • מבנה ארגוני – היכן בארגון ממוקמים גוף אבטחת המידע וניהול הסיכונים, למי הם מדווחים
  • מסגרת עבודה – מה הם הפורומים השונים המטפלים בנושא אבטחת המידע, מתי הם נפגשים, מה הסמכויות שלהם, כיצד הם עוקבים אחה הביצוע.
  • מסגרת תקציבית – כיצד מתכננים את ההשקעות בנושא על בסיס הערכת סיכונים עסקיים.
  • תוכנית עבודה – כיצד בונים תוכנית שנתית ורב שנתית לניהול אבטחת מידע בארגון
  • מדדים – כיצד מודדים את אבטחת המידע הן במישור המנהלי והן במישור התפעולי.  

ממשל אבטחת מידע כבסיס לפעילויות אבטחת המידע בארגון

ממשל אבטחת מידע הינו הציר המרכזי מסביבו יש לרכז את כל פעילויות אבטחת המידע בארגון. התרשים שלהלן מציג את התחומים המרכזיים עליהם יש לתת דגש בהקשר זה:

•           

 
חברת SECOZ מאמינה כי ממשל אבטחת מידע הינו נושא מרכזי וחשוב שעד היום לא הושם עליו דגש מספיק ועל כן לקחנו על עצמנו להעלות את המודעות של הארגונים בישראל לתחום זה ולהוביל את מימושו.

 
גרסה להדפסה גרסה להדפסה       שליחה לחבר שליחה לחבר