"המירוץ בין הסיכונים לניהולם – מאבק אינסופי"

"סיכון הוא מילת מפתח בכל הקשור להתנהלות ארגונים פיננסיים. הם מאוד משתלמים כלכלית, אלא שאם אין ניהול סיכונים יעיל ונכון – עלולים להגיע למשבר דוגמת זה המצוי בעולם כיום. למערכות ה-IT יש תפקיד מפתח בניהול הסיכונים בצורה יעילה"; כך אמר פרופ' צבי וינר, ראש התמחות במימון, בית הספר למנהל עסקים באוניברסיטה העברית בירושלים. וינר היה דובר המפתח בכנס IT-GRC09, שהתקיים אתמול (ד') במרכז הכנסים אבניו, קרית שדה התעופה. הכנס, בהפקת ThePeople, עסק בנושאי ממשל IT, ניהול סיכונים והלימה לרגולציות והשתתפו בו אנשי אבטחת מידע, מבקרים פנימיים ומנהלי סיכונים.

לדברי פרופ' וינר, "עולם המימון הוא זה שהוביל את העולם למשבר בו אנו שרויים כיום. תחילתו של המשבר היא באירועי הטרור של ספטמבר 2001, שכתוצאה מהם ארה"ב נכנסה להיסטריה". כדי לצאת מהיסטריה זו, הסביר, הורדה הריבית באופן דרסטי להנעת הכלכלה, וזו גרמה לכך שההלוואות הפכו לזולות. בהמשך לאותה תגובת שרשרת, ציין פרופ' וינר, הופיעה בעית הנדל"ן, שהתאפיינה בחוסר התאמה מוחלט בין ערך הנכסים וערך ההתחייבויות עליהם (משבר הסאב-פריים). בעקבות נפילת הבורסה, ציין, הפך המשבר מפיננסי – למשבר כלכלי, מה שהוביל למשבר הגלובלי כיום, המתאפיין בין השאר, בכך שלבנקים יש כסף, אלא שלא משתלם להם לתת הלוואות.

כדי להסביר את משמעות הסיכון, הראה פרופ' וינר מה קרה להשקעות באפיקים שונים במהלך 200 השנים האחרונות: דולר של אז שהושקע בזהב שווה כיום ל-14 דולרים, אג"ח ממשלתי שווה 5,000 דולרים, אג"ח ארוך טווח שווה 14,000 דולרים, וערך מניות שווה ל-8.8 מיליון דולרים. אלא, הסביר פרופ' וינר, השוואה זו מטעה, כי היא מתייחסת להשקעה לאורך זמן ואינה בוחנת ירידות שהיו במהלך השנים.

לדברי פרופ' וינר, כל תחום ניהול הסיכונים כיום הוא מבוסס מערכות IT, שמסייעות בחישובים מורכבים ובשקלול נתוני סיכון שונים. בין שאר מטרות ניהול הסיכונים, ציין, יש צורך לערוך פיזור סיכונים, על מנת להקטינם. "תחום ניהול הסיכונים הפך לקריטי בעולם", סיכם פרופ' וינר, "והמודלים לניהול זה הם כולם מבוססי IT והמערכות לניהול הן מערכות תלויות IT".

אופיר זילביגר, מנכ"ל SECOZ ומנחה הכנס, פתח בציינו מחקר של גרטנר שפורסם באחרונה, שהעלה כי 49% מהכישלונות של פרויקטי IT – מקורם בניהול לקוי. "סוגיות רבות בתחום מציאת הכישלונות מתכנסות לבסוף לעולם התהליכים והניהול", אמר זילביגר. לדבריו, במערכות ה-IT גלום פרדוקס: מחד, הן מהוות את ההשקעה השניה בגודל המשאבים המוקצים לה אחרי שכר העובדים; מנגד – מערכות אלו מהוות במקרים רבים את התשתית העיקרית להכנסות החברה. הוא פירט את תפקידי שלושת מרכיבי ה-GRC – ממשל IT, ניהול סיכונים, והלימה לרגולציות, ותיאר כיצד כל אחד מהגורמים בארגון קשור אליהם. זילביגר סיכם באומרו, כי "מימוש GRC מאפשר ניצול מירבי של התרומה העסקית של ה-IT לארגון, מפחית את עלויות ה-IT ומצמצם את סיכוני ה-IT".

את הכנס פתחו בדברי ברכה בני קמין, נשיא itSMF – פורום העוסק בקידום ITIL, ורו"ח דורון רונן, נשיא ISACA, האיגוד הישראלי לביקורת מערכות מידע. הם הודיעו על איחוד שני הפורומים, בשל החפיפה החלקית ביניהם: ITIL הוא הכלי המייצר את האופן בו מגיעים לניהול נכון של IT, ואילו COBIT הוא הבקרה על הניהול של ה-IT.

ציות
אשר גניחובסקי, איש הצוות הטכני בסימנטק ישראל, הציג כיצד הציות יכול לסייע לחסכון במשאבים. לדבריו, "יותר ויותר הנהלות IT נדרשות לתיאום עם יעדים עסקיים במסגרת תקציבים מתכווצים, ומנהלים עסקיים דורשים מה-IT להשיג ציות לתקנות פנימיות וחיצוניות, תוך ניהול האיזון העדין של סיכון מול תשואה". הוא הסביר, כי "מיכון תהליך הציות – הוא המפתח לעמידה בדרישות אלה באופן חסכוני".

גניחובסקי אמר, כי מוצר סימנטק בתחום מספק ללקוחות את היכולת למכן תהליכי ציות IT מרכזיים, במטרה להפחית את הסיכון לנכסי המידע שלהם, ולהפחית את העלויות של ניהול הציות. "על ידי שילוב של הערכת סיכוני IT ויכולות ציות לפתרון משולב", סיכם, "סימנטק עוזרת ללקוחות לשפר תיאום בין ציות IT ותהליכים עסקיים. אנו מאפשרים ללקוחות להטמיע כיסוי מקצה לקצה של מחזור חיי ציות ה-IT, אשר מחזק את נהלי IT GRC שלהם – מהגדרת מדיניות מתאימה מבוססת על תקנות חוקיות, דרך הערכת בקרות IT לטיפול בפערים, ולבסוף – יצירת דו"חות מפורטים".

מתי רם, מנכ"ל דיינסק, אמר, כי החברה מספקת תוכנת תשתית למימוש פרויקטים בתחומי ניהול סיכונים וניהול ממשל תאגידי. "התוכנה מספקת פלטפורמה יציבה, יעילה וגמישה, עליה בונה הארגון את המודולים הדרושים לו בתחומים אלו". לדברי רם, "הדרישות הרגולטוריות השונות להם נדרש הארגון לציית, בנוסף לכללי הארגון עצמו, משמע – ממשל תאגידי, חופפים במידה זו או אחרת במקרים רבים. אנו מספקים את הכלים הנחוצים לבניית ולתחזוקת מדיניות ארגונית לטווח ארוך לניהול סיכונים, GRC – בצורה מושכלת, יעילה ובת שליטה".

הוא סיים בהציגו הטמעה שנעשתה על ידי החברה בבנק ראבו ההולנדי. "מידול נכון של תהליכי מערכות IT יכול לחסוך בכמות הבקרה המבוצעת, לצד הצגת תמונת מצב של המערכות, ומביא לחסכון תפעולי".

איציק כוכב, ממונה אבטחת מידע, שירותי בריאות כללית, הציג סיפור לקוח של הטמעת  מערכת דיינסק. הוא אמר, כי הארגון בזבז מדי שנה עשרות אלפי דולרים על מימון סקרי סיכונים, וגם אלו היו נקודתיים. בנוסף, אמר כוכב, לאחר שהגיעו סקרי הסיכונים, היה קשה מאד לבצע מעקב אחר סגירת הפערים שסקרי הסיכונים הציפו. המערכת הוטמעה לפני שלוש שנים, אמר כוכב, והוטענו בה כל דרישות אבטחת המידע במדיניות הארגונית, עם הנחיות למיישמים באגף ה-IT. המערכת נפרשה בכל מוסדות הקופה, כמו גם בחברות הבת – מכונים וביטוחים משלימים. "בשל הטמעת המערכת יש לנו בארגון מערכת ניהול סיכוני אבטחת מידע מסביב לשעון", סיכם כוכב, "ברמה אחידה, על פי מדיניות שנקבעה, תוך הגדלת רמת הבקרה, וחסכון תפעולי".

גיל גבעתי, מנכ"ל Efficens Software, אמר כי ארגונים אינם רואים לנגד עיניהם את כלל ההוצאות, הסמויות והגלויות, הכרוכות בתפעול מערך ה-IT. "אלא שדווקא בתקופה זו, בזמן משבר כלכלי – ניטור היישומים נחוץ יותר מתמיד, בשל הערך העסקי הטמון בו". לדבריו, מנמ"רים בארגונים כיום ניצבים בפני מצוקת משאבים, שצפויה להשפיע על פעילות מערכי ה-IT שבראשותם. הוא ציין, כי "לניטור האפליקטיבי יש ערך כלכלי מובהק לארגון. יש דרכים שונות לבחינת החזר ההשקעה בתוכנות מסוג זה. הוא מאפשר לדעת בזמן אמת מתי המערכות של הארגון אינן פועלות כשורה ומספק מידע רב ככל האפשר שיסייע לפתור את הבעיה בזמן הקצר ביותר".