במרבית הארגונים כיום נכסי המידע הינם אחד מהנכסים המהותיים בארגון, ולכן מושקעים משאבים רבים באבטחת נכסים אלו. אולם כיום, החלטת ההנהלה על היקף המשאבים שיושקעו בהגנה על נכסי המידע מבוססת על מידע חלקי "בשפה זרה" - שפת אנשי טכנולוגיית המידע. דבר זה עלול להביא להשקעות עודפות בהגנה על נכסים מסוימים בעלי קריטיות עסקית פחותה והשקעות חסר בהגנה על נכסים קריטיים. פתרון אפשרי לבעיה זו טמון ביכולת "תרגום" בין התיעדופים העסקיים לאתגרים הטכנולוגיים.
ניהול סיכוני המידע הינו תחום התמחות חדש יחסית, ולעיתים קרובות, קבלת ההחלטות בניהול סיכוני המידע נופלת קורבן לשתי בעיות יסוד: א) ההחלטות לא מתקבלות על-ידי בעלי התפקידים המתאימים, כתוצאה מחוסר בהירות לגבי הגורם המתאים לניהול הסיכון בארגון, מידת אחריותו והציפיות ממנו, דבר אשר עלול להוביל למצב של אי עמידה ביעדים ובציפיות, היעדר תמיכת הנהלה ו/או קביעת סדר עדיפויות שגוי מבחינה עסקית ; ב) ההחלטה מתקבלת על סמך מידע והבנה חלקיים של הסיכון ובלי לראות את כלל הארגון, דבר אשר עלול להוביל להשקעה כספית במקום הלא נכון ולהוצאות עודפת.
מהלכי ביקורת והערכות הסיכונים, הנערכים בארגונים השונים, מתמקדים בדרך כלל במצב הבקרות ופחות בבעלי העניין, בערך הנכס, בחבות הנגזרת, או בגורם המאיים. המבקר/יועץ עשוי להתחשב בהכללה מרומזת לפקטורים אלו, אבל בהיעדר התייחסות מפורשת, דירוג הסיכון נוטה לגדול - לעיתים משמעותית. צמיחת הסיכון והנטיה להגן על נכסים (ללא הבנת הערך) במקום על האנטרסים של בעלי העניין תורמת בצורה משמעותית לחוסר יעילות תקציבית ולניהול סיכונים חסר.
סיכוני מידע הינם רק חלק ממכלול הסיכונים שההנהלה והדירקטוריון צריכים לנהל (סיכוני שוק, אשראי, תפעול, משפטיים, וכו). במצבים מורכבים עסקית ובמשאבים מוגבלים קיימת חשיבות רבה ליצירת איזון הולם ביישום המשאבים לניהול הסיכונים ובסנכרון בינהם. סיטואציה זאת נקראת גם תחרות בין סיכונים והדרך לפתור אותה היא על-ידי יצירת תעדוף על בסיס מכנה משותף מוסכם (רצוי כספי).
בפועל, מירב מנהלי אבטחת המידע הם טכנולוגיים בהכשרתם וביסודם ואינם חלק מהשדרה הניהולית הבכירה, דבר שמרמז שאין בידם את תמונת הסיכונים הכוללת ולעיתים אף לא הבנה של תיאבון הסיכון, החבות, והיעדים העסקיים של התאגיד. מנגד, מעטים הם המנהלים הבכירים בעלי הבנה טכנולוגית עמוקה דיה של איומים ובקרות טכנולוגיות. כתוצאה מכך, הפקדת ניהול סיכוני המידע בידי מנהל אבטחת המידע מחייבת שליטה מצידו באלמנטים העסקיים.
הפקדת אחריות זו בידי השכבה הניהולית (כפי שנעשה ברוב המוחלט של הארגונים) מחייבת את אנשי הטכנולוגיה לספק למנהלים מידע בהיר, שימושי ובלתי מוטה לגבי האיומים ומשמעותם וכן הבקרות והכלים הקיימים על-מנת לנהל את הסיכון; זאת, בכדי להבטיח מצב בו קבלת ההחלטות תגיע מתוך הבנה של כלל המרכיבים ולא מתוך הפחדה או טרנדים. בשני המצבים דרושה שפה משותפת, בהירות בדבר טיב התפקיד, האחריות והציפיות מכלל הגורמים המעורבים.
כאמור, החוליה החסרה היא שפה משותפת אשר תאפשר את כימות הסיכון לערכים כספיים אשר מובנים לכלל הגורמים העוסקים בנושא. מאחר שנדרשתי לעניין ובחיפוש אחר פתרון לבעיה, מבלי להמציא את הגלגל, סקרתי מספר מתודולוגיות, אחת בלטה מעל השאר.
Factor Analysis of Information Risk - FAIR - היא מתודולוגיה וסט של כלים יעילים וקלים להבנה להערכות סיכונים, ניהול סיכונים, ניתוח בעיות שורש ומשימות תומכות קבלת החלטות. המתודולוגיה מאפשרת לחברות לשפר משמעותית את הליך ניהול הסיכונים, בכך שהיא מאפשרת דיווח סיכונים תוך התייחסות להיבטי עלות/תועלת (כמקובל בקבוצת הסיכונים העיסקיים), התייעלות ואופטימיזציה תקציבית, ויסודות מהן ניתן לפתח גישה מדעית לניהול כמותי של סיכוני מידע (כספי).
המתודולוגיה מבוססת על התועלות האנליטיות של התפלגות נורמלית, הערך הפרקטי של קבלת החלטות ביסיאנית והתחכום של סימולאציות מונטה קרלו. מצאתי כי בעזרתה ניתן להשיג הערכות סיכונים מתועדות, ריאליות, ניתנות לשחזור, שניתן לעמוד מאחוריהן, וחשוב מכל - בשפה שגם השדירה הניהולית וגם אנשי ניהול הסיכונים ואבטחת המידע מבינים.
היכולות הכמותיות של FAIR מספקות הבנה אמיתית של כמה סיכון מייצר אירוע X, בכמה יופחת הסיכון תוך שימוש באמצעי הגנה Y, ובכמה יעיל יותר אמצעי אחד מאמצעי אחר לשיכוך הסיכון. מאחר שהתוצר של FAIR הוא כמותי (כספי) הוא שימושי גם לצרכים הבאים:
- בסיס ליצירת תוכנית עבודה ותקציב מסודרים, מתועדפים, מבוססי מדדים כספיים.
- תוצר שמוכיח לבעלי המניות (או הציבור) התנהלות מקצועית ומובנית ובמילים אחרות Due Care.
- תוצר שמאפשר תמונה ברורה של חבות ביטוח מה שיכול לשמש לניהול מו"מ מול המבטח.
לרוב אבטחת מידע נתפסת כבעיה טכנולוגית עם השלכות טכנולוגיות. לא הבעיות הטכנולוגיות הן שבאמת משנות, אלא גובה הסיכון, על-ידי שימוש במתודולוגיה להערכת וניהול סיכונים כמותית יכולות חברות להמשיך לקבל את ההחלטות הקשות שהן לעיתים נדרשות לקבל על-מנת לשמר את היתרונות האסטרטגים והתחרותיים שלהן.