קוזו (COSO)
1, גוף שהוקם ב-1985 על-ידי חמשת הגופים המקצועיים המיצגים פרופסיות פיננסיות (רו"ח, מבקרי פנים, סמנכ"לי כספים) בארה"ב לצורך קביעת הנחיות בנושא בקרה וניהול סיכונים שהנחיותיו אומצו בעולם וגם בישראל, פרסם ב-28 ביולי 2021 הנחיות חדשות בנושא "ניהול סיכונים ארגוניים למחשוב ענן"(2). פרסום זה נעשה על-רקע הצורך המוגבר בסביבות עבודה מרוחקות וגמישות יתר כתוצאה ממגיפת הקורונה, והשימוש במחשוב ענן שהפך לרכיב חיוני בזירת העבודה והמסחר.
הנחיה זו משלימה את זו שפרסם COSO ב-2012, שהציעה להחיל את מסגרת ניהול סיכונים הכולל (ERM) של COSO על תהליכים העסקיים הנתמכים על-ידי מחשוב ענן
3. מסגרת זו יכולה לאפשר למנהלים להטמיע את אסטרטגית ניהול סיכונים שלהם על מחשוב הענן, על-ידי מתן כלים לזיהוי סיכונים, בעיקר על-ידי ניתוח הבקרה הפנימית על רכיביה ושימוש במידע זה כדי לסייע בניהול הסיכונים. ואכן הנחיות אלה, שנועדו לשמש מדריך לביסוס ממשל מחשוב ענן תוך מינוף עקרונות ניהול סיכונים ארגוניים (ERM).
החידוש בהנחיה החדשה (7/2021) הוא בכך שהיא מציגה, מעבר לעקרונות, כיצד יש לשלב בפועל את תחום מחשוב ענן בניהול הסיכונים הארגוני ולאפשר בכך להנהלות להעריך נכונה את מידת החשיפה לסיכונים מחד-גיסא, ולצמצם מאידך את סיכונים הנובעים ממחשוב ענן. זה למעשה מפת דרכים תמציתית, הנשענת על המודל המפורסם לניהול סיכונים (ERM) של קוזו שילוב מחשוב ענן עם הארגון פונקציית ERM על-ידי הערכה של רכיבים אלה על-רקע העקרונות ממשל תאגידי של קוזו (A. ממשל ותרבות, B. אסטרטגיה וקביעת יעדים, C. ביצוע, D. סקירה ובחינה מחדש, E. מידע, דיווח ומתן דין וחשבון). הנחיה כוללת גם שני נספחים המציגים כלים פרקטים המסייעים ביישום ההנחיה: נספח A: מפה ליישום מחשוב ענן; ונספח B: הגדרת בעלי התפקידים וגזרות האחריות בניהול סיכוני ענן.
מעבר לעקרונות הנחיה כוללת גם היבטים פרקטים של זיהוי והערכת סיכונים. לדוגמה, במקרה ושירותי מחשוב ענן ניתנים לתאגיד משרתים ציבורים, החשיפה לסיכונים שהמידע ידלוף/ייגנב גבוה יותר. אשר על כן הנהלה צריכה להעריך היטב אילו נתונים הם יכולים להעלות לענן. ביצוע סיווג נתונים שכזה והערכת הסיכונים ביחס לכך יכול לעזור להנהלה להגדיר פרמטרים לנתונים השונים ביחס לכל סוג מחשב ענן ו/או מודל פריסה שלו. גישה זו אם כן מביאה את הארגון להעריך עד כמה הם שולטים בגישה לנתונים ולנקוט צעדים, וכן מעודד בקביעת מדיניות למחיקת נתונים. היבט נוסף הוא בחינת שמירת מידע אישי במחשבים, דבר המקים באופן טבעי סיכוני אבטחת שמירה ושמירת הפרטיות. הנחיה כוללת דוגמאות והסברים נוספים.
אם כן, כפי שניתן לראות, הנחיה זו מהווה כלי יישומי מקנה למקבלי החלטות בתאגידים הבטחה (assurance) כי הם אכן מכסים את הסיכונים שיש לבחון בכל מה שקשור למחשוב ענן. ארגונים שישלבו בניהול הסיכונים ארגוני תהליכי מחשוב הענן יבטיחו אם כן כי יש בידיהם מידע ושליטה המאפשר להם לנהל סיכונים אלה המאיימים על האסטרטגיה של הארגון ועל יכולתו לעמוד ביעדים שנקבעו. מסמך זה יכול גם להוות כלי עבור מבקרי פנים בבואם לבחון את מערך המחשוב הענן.