פרופ' דן גלאי: "אחת הבעיות העיקריות בניהול סיכונים במערכות מידע היא העדרם של נתונים"

"חלק מניהול הסיכונים הוא איסוף נתונים אודות סיכונים שהתממשו, על מנת לאמוד את הסיכוי להתממשות הסיכונים בעתיד. אחת הבעיות המאפיינות את תחום ה-IT, היא העדר נתונים שכאלה", אמר פרופסור דן גלאי, מומחה בינלאומי לניהול סיכונים, דיקן בית הספר למנהל עסקים באוניברסיטה העברית ויו"ר בית ההשקעות סיגמא. פרופ' גלאי היה דובר המפתח בכנס itGRC10, שנערך היום (ה') במלון דיוויד אינטרקונטיננטל בתל אביב. בכנס, שהופק על ידי אנשים ומחשבים, השתתפו 500 אנשי בקרת ניהול מערכות מידע, מנהלי סיכונים ומנהלי אבטחת מידע. מנחה האירוע היה יהודה קונפורטס, העורך הראשי בקבוצה.

לדברי פרופ' גלאי, המשבר העולמי בעולם הוא משבר כלכלי שהתעצם דרך הבעיות בשוק ההון, "ולכן כל נושא ניהול סיכונים קיבל בעקבותיו משנה תוקף". הוא הסביר, כי "כל בתי ההשקעות שחלקם קרסו, לא היו מצויים תחת רגולציות שונות. כתוצאה מהמשבר הכריחו את כל הבנקים להשקעות להפוך לבנקים מסחריים ולעמוד ברגולציות". פרופ' גלאי קבע, כי "במשבר, חשיבותו של תחום ניהול הסיכונים רק הולכת וגוברת".

צילום ועריכת וידיאו: עדי רמלר

לדברי פרופ' גלאי, ניהול סיכונים לסוגיהם, מטפל בשלושה סוגי סיכונים: סיכון תפעולי, אשר נגרם על ידי הגורם האנושי, בזדון או בשוגג; הגורם הטכנולוגי, משמע שימוש במחשבים ובמשאבים שונים דוגמת חשמל, ואשר משהו משתבש תוך כדי העבודה; והגורם התהליכי, המביא לכך שמשהו השתבש בדרך. על אלה, אמר, ניתן להוסיף סיכונים שהשתבשו בשל הנחות שגויות שהיו בתחילת התהליך.

"תנאי הכרחי לניהול סיכונים הוא ניהול מערך נתונים", אמר, "נתונים אלה יכולים לסייע בחיזוי הסיכונים באומדן ההתממשות שלהם, ובהתאם – בהיערכות לקראתם. למערכי המיחשוב הארגוניים יש יכולת לספק כלים ומכשירים סטטיסטיים, המסייעים לניהול סיכונים טוב יותר. כל ארגון נדרש לבחור את כלי ה-IT שיסייעו לו באופן מיטבי לניהול הסיכונים שלו".

פרופ' גלאי סיים באומרו, כי "הסיכונים מצויים בכל מקום בארגון, יש לסכום (לחבר) את כל הסיכונים הללו יחדיו,למפות אותם ואז על הארגון להחליט מהי מידת התיאבון שלו בלקיחת סיכונים, כמובן בהנחה של מציאות עם מרכיבי אי ודאות".

אתי גוטמן – סמנכ"ל מערכות מידע בז"ן, ושירה צינמון – מנהלת תחום GRC בנס ישראל, הציגו את יישום מערכת GRC בחברה. לדברי גוטמן, "מערכת ה-GRC נועדה לעמוד בדרישות העסקיות שהוצגו בפנינו, כאשר בתי זיקוק לנפט הפכה מחברה ממשלתית לפרטית. הבנו שעלינו להגיע לניהול מרכזי ולמבנה של תהליכי עבודה".

היא הסבירה, כי לצורך הצלחת הפרויקט, נדרשת נציגות של כל חלקי הארגון בו, לצד הפקת יכולת לביצוע שינויים בדרך. "יש להציג את הפרויקט כארגוני ולא כפרויקט IT", סיכמה. צינמון תיארה מה עשתה נס בפרויקט, לרבות תיאום המערכת לצרכים הספציפיים של בז"ן, טיוב התהליכים וטיפול במערך ההרשאות של המשתמשים במהלכי העבודה העסקיים.

אשר גניחובסקי, יועץ טכני בכיר בסימנטק (Symantec) ישראל, הציג פתרון של החברה לתחום GRC, תוך שימוש בכלי אוטומציה. "תחום ה-GRC נדרש לטפל בכמה היבטים", אמר גניחובסקי, "אבטחת סיכונים, תחום המשתנה מאד בשלוש שנים אחרונות – אנשים משקיעים מאמצים גדולים בתחום. שוק הפשע הווירטואלי יותר גבוה בהיקפיו הכספיים מאשר הפשע הפיסי". בנוסף, אמר, מחקרים שנים מצביעים כי מרבית הארגונים שנפגעו מהונאות ופשעים קיברנטיים, היו כאלה שלא עמדו בהלימה לתקנים ולרגולציות השונים". לכן, אמר גניחובסקי, "שימוש במיכון מקטין את כמות הבקרות הנדרשת, את כמות הכשלים וכן את כמות הסיכונים שיש לנהל. כך, ניתן להפוך את ה-IT מנטל לנכס".