בשנים האחרונות ובעיקר מאז רגולציית בזל II (רגולציה לניהול סיכונים לתאגידים בנקאיים) שמציפה את המונח "סיכונים תפעוליים" מתחילה לפרוח מתודולוגיה החורטת על דגלה את המונח "ניהול כולל של הסיכונים בארגון" – Organizational Risk Management.
ישנם הרבה סיכונים לנהל בארגון. לדוגמה: סיכונים אסטרטגיים (קשורים להליכי קבלת החלטות על ניהול פעילויות הארגון), סיכונים טקטיים (קשורים לאופן שבו מממשים את הפעילויות הארגוניות), סיכונים תפעוליים (קשורים לאופן שבו מבוצעים או לא מבוצעים תהליכי עבודה), סיכונים פיננסיים (קשורים לאי התאמה בין כמות וזמינות מקורות כספיים לצורכי הארגון ולפעילויות שאינן נאותות בכספי הארגון), סיכונים משפטיים (קשורים להיעדר יכולת אכיפה של זכויות משפטיות), סיכוני ציות (קשורים לאי יכולת ציות לחוק/רגולציה), סיכון סקטוריאלי (במגזר רפואי – סיכוני רשלנות רפואית לדוגמה, במגזר האנרגיה – אי יכולת לספק את השירות או המוצר) וכך הלאה.
מה קורה עם סיכוני השימוש בטכנולוגיית המידע?
ובכן לכאורה, מאז בזל II סיכוני טכנולוגיית המידע כלולים בסיכונים תפעוליים. מדוע?
הגדרת סיכון תפעולי: "הסיכון שבהפסד הנובע מכישלון או אי התאמה של תהליכים פנימיים, אנשים או מערכות, או מאירועים חיצוניים".
מערך טכנולוגיית המידע מורכב ממערכות (חומרות ותוכנות טכנולוגיית המידע למיניהן), אנשים, ותהליכי העבודה אשר אותם מפעילים אנשים על אותן המערכות או שהמערכות מפעילות זו על זו. מאחר ועפ"י ההגדרה לעיל, טכנולוגיית המידע הינה לא יותר ממקרה פרטי של סיכון תפעולי, אזי בשיטת "הכל כבר כלול" לא צריך להתעמק באופן ייחודי ב"דבר הזה" שנקרא בשם טכנולוגיית המידע, הכל כבר מסודר תחת העולם הקסום של "הסיכונים התפעוליים".
ואז באה המציאות ומראה לנו שלא כך הם פני הדברים. מדוע?
אני מונה שתי סיבות ואתחיל מהקלה יותר:
כל הסיכונים כולם מתממשים רק בטכנולוגיית המידע או גם בטכנולוגיית המידע.
ככל שאנו מתקדמים על סרגל הזמן, כל הפעילויות החל מהטריוויאליות ביותר, כמו לוח הזמנים שלי, ועד לרמה האסטרטגית הכל מצוי שם בתוך טכנולוגיית המידע. על כן, סיכון יהיה זה משפטי, פיננסי, ואפילו אסטרטגי, קשור באופן זה או אחר ל"דבר הזה" שאנו רוצים להתעלם ממנו ולהחביא אותו בתוך קופסא אחרת. כן, גם הסיכון האסטרטגי אותו סופרלטיב, תהליך קבלת ההחלטות הרות הגורל, איך יתבצע ללא מערכות ה-BI וה-BIG DATA? כך שללא שמירת הסודיות, השלמות והאמינות, הזמינות והשרידות, ההתאמה לצורכי הארגון, הסקלביליות ועוד לא מעט נושאים שמיוחסים לסיכוני טכנולוגיית המידע הם התשתית למימושם של הסיכונים האחרים.
הסיבה השנייה היא היא הגורם שלדעתי לא ניתן לחבר את עולם סיכוני טכנולוגיית המידע לשום עולם סיכונים אחר. לטוב ולרע דרך אגב.
מהו היום רכיב טיפוסי שהולך וכובש את מקומם של שאר הרכיבים? הסמארטפון. כן, איזה שם חיבה לרכיב שמתאים לכיס, הכולל מחשב וטלפון סלולרי ועוד מיני מינים של גאדג'טים.
קשה להאמין, אך הרכיב התמים לכאורה הוא חרב פיפיות. מצד אחד משמש את בעליו לצרכיו, ובה בעת עלול לשמש מאן דהוא שיחדיר לתוכו קוד עוין לצרכים אחרים לחלוטין, בעוד בעליו של הסמארטפון החביב כלל איננו מודע שמה שהוא נושא בכיסו או בתיקו הינו כלי נשק שעלול להיות מופעל נגדו או נגד בני משפחתו או נגד, השד יודע מי.
יאמרו לי: גם מכונית היא צעצוע מסוכן. נכון הדבר, אלא שהמסוכנות ברוב רובם של המקרים נובעת מהאופן שבו הנוהג בה משתמש בצעצוע שקרוי מכונית ולא במהותה של המכונית.
מסוכנותם המובנית, המהותית של רכיבי טכנולוגיית המידע איננה נגזרת מהתנהגות המשתמש בהם, אלא מהעובדה שלא תוכננו כלל להתמודד עם היכולת להשתמש בהם למטרות שונות בתכלית, כמו לדוגמה: כתיבת קוד שמטרתו הצגת מצגת וכתיבת קוד שהוא קוד עוין (לדוגמה וירוס), שליחת דואר אלקטרוני לחבר ומשלוח דואר אלקטרוני שהוא ספאם או נועד לפתות אותי למסור מס' כרטיס אשראי לגורם עוין (דוגמה לפישינג), גלישה באתרי רשתות חברתיות או שימוש ברכיב כחלק מצבא מחשבים עוינים (BOTNET).
ההיפך הוא הנכון, רכיבי טכנולוגיית המידע נבנו בדיוק למטרה של שימוש מגוון. ההוכחה היא שהשימוש בהם הינו בכל תחומי החיים, בלא שנצטרך לשנות דבר ברכיב גופו. בואו נזכור, המחשבים האישיים הראשונים נבנו על מנת שניתן יהיה לשחק באמצעותם משחקים. אח"כ בא יישום הגיליון האלקטרוני לוטוס 1-2-3 והשאר היסטוריה.
מי העלה על דעתו שמחשבים אלו יהיו בכיסו של כל אדם?
מי מסוגל היה לחשוב באותה העת שהיצירתיות המופלאה הזו, המחשב האישי ידרוש מאתנו כעבור לא יותר מעשרות ספורות של שנים התמודדות להגנת תשתיות חיוניות, סיכון לקריסת מערכות שבשימוש יומיומי כמו בנקאות, בריאות, תקשורת וכד'?
זו מציאות חדשה. המחשב האישי שמתורגם כעת לסמארטפון, מחשב לוח, מחשב נייד, ועושר עצום של מגוון סוגי רכיבי טכנולוגיית המידע הינו רכיב רב שימושי, התועלות בשימוש בו רבות מספור וכך גם הסיכונים שנלווים לכך.
אין לכך אח ורע בכל עולם ניהול הסיכונים הסובב אותנו.
תקנו אותי עם אני טועה.
תעיזו ללכת עוד צעד אחד יחד איתי? אז הנה...
בכנס RSA בתחילת חודש מרץ בסן פרנציסקו, התקיים פנל שכותרתו:
ישנם הרבה סיכונים לנהל בארגון. לדוגמה: סיכונים אסטרטגיים (קשורים להליכי קבלת החלטות על ניהול פעילויות הארגון), סיכונים טקטיים (קשורים לאופן שבו מממשים את הפעילויות הארגוניות), סיכונים תפעוליים (קשורים לאופן שבו מבוצעים או לא מבוצעים תהליכי עבודה), סיכונים פיננסיים (קשורים לאי התאמה בין כמות וזמינות מקורות כספיים לצורכי הארגון ולפעילויות שאינן נאותות בכספי הארגון), סיכונים משפטיים (קשורים להיעדר יכולת אכיפה של זכויות משפטיות), סיכוני ציות (קשורים לאי יכולת ציות לחוק/רגולציה), סיכון סקטוריאלי (במגזר רפואי – סיכוני רשלנות רפואית לדוגמה, במגזר האנרגיה – אי יכולת לספק את השירות או המוצר) וכך הלאה.
מה קורה עם סיכוני השימוש בטכנולוגיית המידע?
ובכן לכאורה, מאז בזל II סיכוני טכנולוגיית המידע כלולים בסיכונים תפעוליים. מדוע?
הגדרת סיכון תפעולי: "הסיכון שבהפסד הנובע מכישלון או אי התאמה של תהליכים פנימיים, אנשים או מערכות, או מאירועים חיצוניים".
מערך טכנולוגיית המידע מורכב ממערכות (חומרות ותוכנות טכנולוגיית המידע למיניהן), אנשים, ותהליכי העבודה אשר אותם מפעילים אנשים על אותן המערכות או שהמערכות מפעילות זו על זו. מאחר ועפ"י ההגדרה לעיל, טכנולוגיית המידע הינה לא יותר ממקרה פרטי של סיכון תפעולי, אזי בשיטת "הכל כבר כלול" לא צריך להתעמק באופן ייחודי ב"דבר הזה" שנקרא בשם טכנולוגיית המידע, הכל כבר מסודר תחת העולם הקסום של "הסיכונים התפעוליים".
ואז באה המציאות ומראה לנו שלא כך הם פני הדברים. מדוע?
אני מונה שתי סיבות ואתחיל מהקלה יותר:
כל הסיכונים כולם מתממשים רק בטכנולוגיית המידע או גם בטכנולוגיית המידע.
ככל שאנו מתקדמים על סרגל הזמן, כל הפעילויות החל מהטריוויאליות ביותר, כמו לוח הזמנים שלי, ועד לרמה האסטרטגית הכל מצוי שם בתוך טכנולוגיית המידע. על כן, סיכון יהיה זה משפטי, פיננסי, ואפילו אסטרטגי, קשור באופן זה או אחר ל"דבר הזה" שאנו רוצים להתעלם ממנו ולהחביא אותו בתוך קופסא אחרת. כן, גם הסיכון האסטרטגי אותו סופרלטיב, תהליך קבלת ההחלטות הרות הגורל, איך יתבצע ללא מערכות ה-BI וה-BIG DATA? כך שללא שמירת הסודיות, השלמות והאמינות, הזמינות והשרידות, ההתאמה לצורכי הארגון, הסקלביליות ועוד לא מעט נושאים שמיוחסים לסיכוני טכנולוגיית המידע הם התשתית למימושם של הסיכונים האחרים.
הסיבה השנייה היא היא הגורם שלדעתי לא ניתן לחבר את עולם סיכוני טכנולוגיית המידע לשום עולם סיכונים אחר. לטוב ולרע דרך אגב.
מהו היום רכיב טיפוסי שהולך וכובש את מקומם של שאר הרכיבים? הסמארטפון. כן, איזה שם חיבה לרכיב שמתאים לכיס, הכולל מחשב וטלפון סלולרי ועוד מיני מינים של גאדג'טים.
קשה להאמין, אך הרכיב התמים לכאורה הוא חרב פיפיות. מצד אחד משמש את בעליו לצרכיו, ובה בעת עלול לשמש מאן דהוא שיחדיר לתוכו קוד עוין לצרכים אחרים לחלוטין, בעוד בעליו של הסמארטפון החביב כלל איננו מודע שמה שהוא נושא בכיסו או בתיקו הינו כלי נשק שעלול להיות מופעל נגדו או נגד בני משפחתו או נגד, השד יודע מי.
יאמרו לי: גם מכונית היא צעצוע מסוכן. נכון הדבר, אלא שהמסוכנות ברוב רובם של המקרים נובעת מהאופן שבו הנוהג בה משתמש בצעצוע שקרוי מכונית ולא במהותה של המכונית.
מסוכנותם המובנית, המהותית של רכיבי טכנולוגיית המידע איננה נגזרת מהתנהגות המשתמש בהם, אלא מהעובדה שלא תוכננו כלל להתמודד עם היכולת להשתמש בהם למטרות שונות בתכלית, כמו לדוגמה: כתיבת קוד שמטרתו הצגת מצגת וכתיבת קוד שהוא קוד עוין (לדוגמה וירוס), שליחת דואר אלקטרוני לחבר ומשלוח דואר אלקטרוני שהוא ספאם או נועד לפתות אותי למסור מס' כרטיס אשראי לגורם עוין (דוגמה לפישינג), גלישה באתרי רשתות חברתיות או שימוש ברכיב כחלק מצבא מחשבים עוינים (BOTNET).
ההיפך הוא הנכון, רכיבי טכנולוגיית המידע נבנו בדיוק למטרה של שימוש מגוון. ההוכחה היא שהשימוש בהם הינו בכל תחומי החיים, בלא שנצטרך לשנות דבר ברכיב גופו. בואו נזכור, המחשבים האישיים הראשונים נבנו על מנת שניתן יהיה לשחק באמצעותם משחקים. אח"כ בא יישום הגיליון האלקטרוני לוטוס 1-2-3 והשאר היסטוריה.
מי העלה על דעתו שמחשבים אלו יהיו בכיסו של כל אדם?
מי מסוגל היה לחשוב באותה העת שהיצירתיות המופלאה הזו, המחשב האישי ידרוש מאתנו כעבור לא יותר מעשרות ספורות של שנים התמודדות להגנת תשתיות חיוניות, סיכון לקריסת מערכות שבשימוש יומיומי כמו בנקאות, בריאות, תקשורת וכד'?
זו מציאות חדשה. המחשב האישי שמתורגם כעת לסמארטפון, מחשב לוח, מחשב נייד, ועושר עצום של מגוון סוגי רכיבי טכנולוגיית המידע הינו רכיב רב שימושי, התועלות בשימוש בו רבות מספור וכך גם הסיכונים שנלווים לכך.
אין לכך אח ורע בכל עולם ניהול הסיכונים הסובב אותנו.
תקנו אותי עם אני טועה.
תעיזו ללכת עוד צעד אחד יחד איתי? אז הנה...
בכנס RSA בתחילת חודש מרץ בסן פרנציסקו, התקיים פנל שכותרתו:
Risk Management smackdown II: The wrath of Kuhn
בפנל הועלו דעות מדעות שונות, כאשר ניתן למצוא אחדות מהן בקישור הבא:
בין המשתתפים בפנל זה היה גם Bob Blakely, שהינו סגן נשיא וחוקר מכובד בחברת גרטנר. הוא הגיע לפנל זה לבוש בהתאם לתפקיד שנטל על עצמו, תפקיד השטן.
הציטוט שלהלן לקוח מהקישור הנ"ל. אני מקווה שהוא מדויק, כיוון שהוא פרובוקטיבי למדי ולצערי לא מצאתי במרשתת שפנל זה קיים לשמיעה. סדר היום של הכנס ראו בקישור להלן:
הציטוט שלהלן לקוח מהקישור הנ"ל. אני מקווה שהוא מדויק, כיוון שהוא פרובוקטיבי למדי ולצערי לא מצאתי במרשתת שפנל זה קיים לשמיעה. סדר היום של הכנס ראו בקישור להלן:
לדבריו, ניהול סיכונים איננו רע, הוא זדוני, והוא למעשה אויב האבטחה. וואו....
Risk management is not bad, its evil, and it's actually the enemy of security.
צודק או טועה האדון בוב בלייקלי?
אולי נאמרו דבריו רק על מנת לעורר דיון, להעיר מוחות רדומים מתרדמתם...?
אולי נאמרו דבריו רק על מנת לעורר דיון, להעיר מוחות רדומים מתרדמתם...?
דעתי היא שבנקודת הזמן הזו, ניהול מושכל של סיכוני טכנולוגיית המידע הינו עדיין תהליך בהתהוות ומטרת העוסקים בו למצוא מענה הולם.
עדיף שנמשיך לחפש את המענה במקום להחביא את הבעיה תחת המעטה המעורפל של "ניהול סיכונים כולל".
חג שמח.
רשומות
אין תגובות:
הוסף רשומת תגובה