אופיר זילביגר, SECOZ: "תחומים רבים יתנקזו לטיפול ב-GRC בגלל השינויים בעולם העסקים"
זילביגר, שפתח את כנס ניהול הסיכונים, המליץ למנמ"רים להיצמד למסגרות קיימות, להגדיר איש בארגון שיהא מתאם ל-GRC, למפות את הבקרות הקיימות, לשפר את התהליכים ולא להיכנס לפאניקה ● חיים ריינהולד, מנהל תחום המשכיות עסקית, HMS: "ארגונים נדרשים להגדיר את תרחיש האסון הקובע"
"GRC – ראשי תיבות של ממשל, ניהול סיכונים והלימה לרגולציות, הוא עולם ומלואו, ובשל שינויים רבים שקורים בעולם העסקי, עולם הנהלים ושינויים טכנולוגיים, תחומי טיפול ותהליכים רבים בארגונים יתנקזו לטיפול ב-GRC", אמר אופיר זילביגר, מנכ"ל SECOZ. זילביגר פתח את כנס itGRC10, שנערך היום (ה') במלון דיוויד אינטרקונטיננטל בתל אביב. הכנס, בו השתתפו 500 אנשי בקרת ניהול מערכות מידע, מנהלי סיכונים ומנהלי אבטחת מידע, הופק על ידי אנשים ומחשבים. מנחה האירוע היה יהודה קונפורטס, העורך הראשי בקבוצה.
לדברי זילביגר, "it-GRC הוא הטיפול בתחומים הללו בהקשר למערכות מידע, כי יש גם ניהול סיכונים ורגולציות שהם כלל ארגוניים. it-GRC ממומשת מנקודת ראות המנמ"ר בשני אופנים: תהליכים שעליו להטמיע במערכות המידע בארגונו, כדי לטפל ב-GRC, וכן מערכות שהוא כמנמ"ר יכול להטמיע בארגון, שיעזרו לארגון כולו לממש את דרישות ה-GRC".
זילביגר סיים בהמלצות למנמ"ר הנדרש להתמודד מול שפע הנהלים והרגולציות הניתך עליו: "היצמדו למסגרות קיימות, הגדירו איש בארגון שיהא מתאם ל-GRC, פונקציה כזו יכולה להביא ערך רב ולחסוך כסף; מפו את הבקרות הקיימות, שפרו את התהליכים ואל תיכנסו לפאניקה".
חיים ריינהולד, מנהל תחום המשכיות עסקית, HMS, אמר, כי ארגונים נדרשים להגדיר את ה-"תרחיש האסון הקובע", לבצע רענון ומיפוי מהיר לפעילויות העסקיות הקריטיות – להמשך קיומה של החברה, ואת מערכות ה-IT, אנשי המפתח ומערכות התפעול – התומכים בפעילויות הללו. בנוסף, אמר, נדרש לרענן את פתרונות ההתאוששות שכבר הוגדרו בחברה בעבר ולתרגל את היערכות מערכי ה-IT, תפעול, כוח אדם, ביטחון ובטיחות. הוא סיים בציינו כי יש לבצע את ההיערכות על סמך קביעת הפעילויות הקריטיות בארגון, העלולות להיפגע, תוך ניתוח הסיכון והתממשותו.
דרור קפלן, מנהל חטיבת מוצרים, אופיסופט, דיבר על ניהול סיכונים בתחום האקסל והגליונות האלקטרוניים. לדברי קפלן, הרגולציות השונות יוצרות דרישות שונות אותם ארגונים נדרשים לבצע, ויש מקרים רבים בהן חברות ניזוקו כיוון במהלך הדיווחים שהן שלחו, נעשה שימוש שגוי באקסל. הוא הציג מוצר שאופיסופט מייצגת, הממפה את האקסלים בארגון, ומסייע לבקרה ולמניעת טעויות בעת השימוש באקסל ובגיליונות האלקטרוניים.
מתי רם, מנכ"ל דיינסק, דיבר על שיטות להערכת סיכונים בעולם ה-IT. הוא ציין כי קיים דיסוננס גדול בתחום, בין השאר בשל הפער בין ההערכה המבוססת על העבר, לבין חוסר היכולת להגדיר במדויק את הסיכון העתידי. "אנו רוצים להבין", אמר רם, "ממה מורכב הסיכון – האירוע עצמו, מה הייתה נקודת הזמן בה התממש הסיכון ומה קרה, משמע מהי מידת הנזק, התוצאה".
יצחק זפט, מנכ"ל KCS, דיבר על הצורך לשמור את הניהול והבקרה של התאימות הרגולטורית פשוטים. לדבריו, "נדרש לשמור על פשטות ולהגיע למצב בו לצד טיפול נכון בניהול הסיכונים, הארגון ממשיך לפעול באופן גמיש, עם תהליכים גמישים".
תגובות
(0)