סקר סיכונים במערכות מידע בצל המשבר הכלכלי
סקר סיכונים במערכות מידע בצל המשבר הכלכלי
דורון כהן, רו"ח, CIA, חנן טויזר, CISA, פאהן קנה ניהול בקרה בע"מ
מה הקשר בין המשבר הכלכלי העולמי להגברת הסיכונים במערכות המידע? מה צריך לקחת בחשבון כאשר מקצצים את תקציב מערכות המידע בארגון? כיצד מתאימים את הבקרות במערכות המידע לאיומים שנובעים מסביבה של שוק במשבר? בשורות הבאות תוכלו למצוא תשובות לחלק מהשאלות.
חברת המחקר הבינלאומית "גרטנר" עדכנה במחצית חודש מרץ את תחזיותיה לגבי הוצאות המיחשוב העולמיות הצפויות השנה ובחמש השנים הקרובות, והפחיתה את ההערכה שלה ב-5.9%. כך, בניגוד לתחזית הקודמת, שנערכה ברבעון האחרון של 2008, אשר צפתה צמיחה חיובית בהוצאות הIT- העולמיות בסדר גודל של 2.2%, הרי שעתה מסרה החברה, כי צפויה צמיחה שלילית של 3.7%. על פי חברת המחקר, "בשנת 2009 תהיה הירידה בהוצאות המיחשוב ברחבי העולם, גדולה אף מזו שנרשמה בשנת 2001, לאחר ההתפוצצות של בועת האינטרנט".
אין ספק כי הקיצוץ המשמעותי בהשקעה במערכות המידע, מגביר את החשיפה בארגונים לתפעול חסר של מערכות המידע, וכפועל יוצא: פגיעה באבטחת המידע, פגיעה ברמת השירות, החלשת מערך הבקרה ועוד.
בנוסף לחשיפה הנובעת כתוצאה מקיטון במשאבים, המשבר הכלכלי יוצר איומים חדשים ומגביר את הסיכונים הקיימים גם בעיתות פריחה כלכלית.
להלן מספר דוגמאות לאיומים, אשר כדאי לקחת בחשבון בתכנון הקצאת המשאבים, בארגון בכלל, ובניית תקציב מערכות המידע, בפרט:
- גופים מתחרים אשר מצבם הפיננסי הורע, עלולים לבחור בקיצורי דרך יצירתיים על מנת לקצר תהליכי פיתוח, שיווק ומכירות. בין היתר כתוצאה מהמשבר מתגברת החשיפה לריגול תעשייתי באמצעות חדירה למערכות המידע. ריגול תעשייתי יכול להתבצע בצורות רבות בהן: חדירה לרשתות המחשבים, השתלת "סוס טרויאני", ציטוט למידע שזורם ברשת, ניסיונות לקבל או לקנות מידע מעובדים שפוטרו ועוד.
- אחת מתופעות המשבר הינה פיטורים בהיקפים גדולים. גם העובדים שלא פוטרו נתקלים בקיצוצים בתנאי העסקתם. בחברות רבות קיצרו את שבוע העבודה כנגד הפחתת שכר וזאת בנוסף להפחתה של תנאים נוספים כגון: קרן השתלמות, שעות נוספות, ארוחות, רכבים וכו'. הפגיעה בתנאים וחוסר הוודאות גורמים לתחושה של חוסר יציבות ומירמור. לעובדים ממורמרים יש מוטיבציה גבוהה יותר לנצל פרצות במערכות המידע, על מנת לבצע פעולות בלתי חוקיות לרבות: גניבת מידע (הן ברמת המוצרים המפותחים על ידי הארגון והן מידע מסחרי כגון: רשימת הלקוחות, מחירונים וכו'), פגיעה בזדון במערכות המידע של הארגון כנקמה (החדרת וירוסים וכו'),מחיקה של ושיבוש מידע קריטי ועוד.
- עלות השימוש בתוכנה מהווה חלק נכבד מתקציב ה -IT בחברות. החוסר באמצעים והרצון לצמצם את העלויות, מוביל לא אחת שימוש בתוכנות פיראטיות, ושימוש בתוכנות ללא רכישת רישיון. מצב זה חושף את הארגון לתביעות משפטיות מחד ופגיעה במוניטין, מאידך.
- הפחתת ההשקעות בתשתיות המחשוב עלולה לגרום לתקלות שוטפות וחוסר יציבות ברשת, וכתוצאה מכך לפגיעה ביעילות העבודה, ריבוי תקלות וכו'.
- חיסכון במשאבים כגון כוח אדם, אמצעי מיגון ומערכות אבטחה מגביר באופן ניכר את החשיפה הקיימת בתחום אבטחת המידע.
- אחד מכלי הבקרה החשובים, הקיימים בארגון, הינו הפרדת התפקידים. לקיומה של הפרדת התפקידים חשיבות גבוהה ביותר בניהול ובתפעול מערכות המידע. ככלל, בכל פעילות קריטית רצוי שתהיה מעורבות של יותר מגורם אחד. בד"כ מקובל להגדיר גורם מבצע וגורם בודק/מאשר. צמצום במצבת כוח האדם של הארגון עלול לגרום לכך שפעולות שבוצעו בעבר, תוך מעורבות ובקרה של מספר גורמים, יבוצעו על ידי גורם יחיד ללא בקרות נוספות, דבר החושף את הארגון לטעויות אנוש מחד, אך גם למעילות, מאידך.
ניתן היה לצפות, כי לאור הסיכונים והאיומים כמפורט לעיל, בתקופת משבר יגביר הארגון את פעילותו בתחום הביקורת והבקרה השוטפת (הן בתדירות והן בכמות). עם זאת ניתן לראות בארגונים רבים כי הקיצוץ במשאבים ובכוח אדם מוביל לפגיעה ישירה במערך הבקרה של הארגון, דבר אשר מקטין את הסיכוי לאתר טעויות ומעילות.
אז מה עושים??
ככל הנראה בתקופות משבר בהן מבצעים קיצוץ רוחבי בארגון, יפגע גם תקציב מערכות המידע. הדרך להתמודד עם הקיטון במשאבים הינה ניתוח של הסיכונים הקיימים וקביעת סדר עדיפויות אשר ישמש את ההנהלה הן בחלוקת המשאבים בין הפעילויות השונות והן לצורך ביצוע בקרה מוגברת.
לכאורה, השקעה בניהול סיכונים אינה נותנת תמורה מיידית בעין, ולכן ארגונים רבים בתקופת משבר, נוטים לצמצם את השקעותיהם בניהול הסיכונים בכלל, ובתחום מערכות המידע בפרט. כאמור, דווקא בתקופה של משאבים מוגבלים סקר סיכונים מסייע לארגון למקד את השקעותיו בהתאם לסדר עדיפויות מושכל, ולבצע קיצוצים באופן שיגרמו לצמצום הנזק הפוטנציאלי.
סקר סיכונים במערכות מידע
סקר סיכונים הינו כלי לאיתור מוקדי סיכון בתחום ב- IT של הארגון. מטרת ניתוח סיכונים הינה לאתר תהליכים ונושאים אשר חשופים בצורה מוגברת לסיכונים. ככל שתהליך או נושא מסוים חשוף יותר לסיכונים, על הנהלת הארגון להפנות אליו משאבים ניהוליים לפעולות תכנון ובקרה מתאימות. סקר הסיכונים מאפשר לארגון להתמקד באותם תחומים, אשר להם חשיפת יתר לסיכונים.
סקר הסיכונים במערכות המידע כולל את השלבים הבאים:
סקר הסיכונים מאפשר ליצור מפה אשר מזהה את הסיכונים, עוצמתם ובאלו תהליכים/מחלקות הם ממוקמים, באופן שיסייע להנהלה לקבל החלטות בקרה באופן יעיל.
להלן תרשים המתאר מיפוי לדוגמא:
מהתרשים ניתן נראות כי הנושאים E, F, ו-C נמצאים בתחום המסוכן ולכן יש להקצות את המשאבים לנושאים אלו על מנת לצמצם את חשיפת הארגון. משמעות סקר הסיכונים הינה יצירת מיפוי וסיווג של הסיכונים, ויצירת תוצר לוואי של התווית דרך ההתמודדות של הארגון עם הסיכונים על פני תקופה מוגדרת. חשוב לציין, כי נושאים ברמת סיכון נמוכה (בתחום הירוק) מומלצים להבחן, אם כי לאו דווקא בתקופה בה חלו צמצומים במשאבים, אלא אם תקופה זו מקבלת אופי קבוע, מה שכולנו מייחלים שלא...
סיכום
הקריטיות של מערכות המידע לארגון, לא נעלמה מעיני הרגולטורים, הבוחנים דרכים להגברת הבקרות בתחום מערכות המידע. עם זאת, כאמור, המשבר הכלכלי טומן בחובו קיצוץ בהשקעה במערכות המידע. לפיכך, דווקא עכשיו מומלץ כי היוזמה לסקר
הסיכונים בתחום ה- IT תבוא מהמנמ"ר. היא עשויה להתגלות כמשתלמת, נוכח המשבר.
המשבר יצר מפת איומים חדשה, ולפיכך יש להתאים את הנושאים והתחומים, הנבחנים בסקר, למציאות החדשה. גם אם בוצע בשנה האחרונה סקר סיכונים, וזוהו כל הסיכונים באופן ראוי, רצוי לבחון שוב את הניתוח שבוצע לכל אחד מהסיכונים, שכן ייתכן שהסבירויות והעוצמות שהיוו בסיס לניתוח, השתנו.
ניתוב הקיצוצים ההכרחיים, למקומות שיזוהו כפחות מסוכנים, תסייע לארגון לחסוך ולהתייעל, וכך להתמודד טוב יותר עם המשבר.
להורדת המאמר בפורמט PDF לחץ/י כאן