להקדים תרופה למכה

בשנים האחרונות חלה בעולם העסקי הפנמה כי רגולציות, תקנים ותקנות, הינם חלק מובנה מתוך ההתנהלות העסקית של כל חברה או ארגון. במקביל, מרבית החברות הבינו כי מערכות המידע, בדגש על מערך המחשוב, מהוות משקל רב בתוך התהליך העסקי היום יומי. מערך זה אמור לפעול בהתאם לתהליכי הרגולציה הנדרשים. רבות דובר על תקנות רגולציה כלל עולמיות כגון: SOX ,בזל 2, PCI ועוד, לצד תקנות שמקורן בישראל, כמו תקנות המפקח על הבנקים (תקנה 357) ותקנות המפקח על הביטוח (257). מטרתן העיקרית היא לייצב תהליכי בקרה (IT Controls) נאותים על התהליכים העסקיים, תוך יצירת ערך לתהליכים אלו. כל זאת, על-מנת למנוע ככל האפשר מעילות והונאות בחברה. התועלות לארגון הן ברורות: מיפוי תהליכים ומערכות, זיהוי המערכות הפעילות והלא פעילות, שליטה ופיקוח על הקישוריות בין מערכות השונות, גילוי נקודות החולשה בארגון, חוזק האבטחה במערכות המידע ועוד. ארגון שפועל בשקיפות ומקיים עמידה בסטנדרטים תוך מעקב שוטף על כל התהליכים והמערכות שבו, מוכיח ללקוחות ולשותפים העסקיים שלו איכות ואמינות, הבונים ערך עסקי גבוה לארגון. מחקרים מראים שהשווקים הפיננסים מגיבים באופן חיובי לחברות, שעומדות ביישום התקנות הנדרשות. בשלב זה תמיד עולה שאלת העלויות של תהליך עמידת החברה בתקן כזה או אחר. האם התהליך מוצדק כלכלית? חשוב לדעת בהקשר זה, כי ברוב המקרים, החזר ההשקעה ((ROI מתבצע כבר במהלך סקר התאימות לרגולציה. תוך כדי ביצוע הסקר, מתגלות נקודות כשל מסוגים שונים (תקשורת, שרתים, תחנות קצה, ועוד) כך שבסופו, תרומת ההליך לארגון גבוהה מאוד. צד אחר של שאלת העלויות היא כמות המשאבים הנדרשת על-מנת לבצע את הסקר (זמן ואנשים): הקצאת הזמן ואנשי ה- IT לטובת ביצוע הסקרים היא העלות הגבוהה ביותר (והכואבת) לארגון. קיימות מספר מסגרות בחינה לתאימות מול התקנות. המסגרת הידועה ביניהן היא ה- COBIT (Control Objectives for Information and related Technology), שמגדירה מאות תהליכי בקרה על מערך ה-IT. לדוגמא: האם השרת מוקשח, האם תחנות הקצה מותקנות עם AV ,האם מותקנים התקנים מסוכנים, האם קיים מודם וכו'. כיום, על-מנת לבצע את מכלול הבדיקות, נעזרים הארגונים בחברות ייעוץ, שבודקות מדגמית את הרשת ומציגות דוח בדיקה, אשר ממנו יש להשליך על כלל הרשת. כאמור, מדובר בבדיקה מדגמית ותקופתית שאחריה יתוקנו הליקויים והארגון יעבור את מבחן התאימות. חשוב להדגיש' כי כל תהליך ביצוע הסקר ותיקון הליקויים גוזל משאבי זמן וכוח אדם יקרים. האם אנו כמנהלים, נושאי האחריות הכוללת במערכות המידע, שלמים עם התהליך? במרבית המקרים התשובה היא לא. רוב המנהלים בוודאי יעדיפו לצמצם את העלויות הכרוכות בתאימות לרגולציה. במקביל לחסכון בעלויות ישאפו מנהלי מערכות המידע לחזות את חוסר התאימות או את מפגעי אבטחת המידע מראש בטרם התרחשותם על-מנת להגן על ארגונם מבעוד מועד. לאחרונה הופיעו בשוק מוצרים העונים לשתי הדרישות המופיעות מעלה: סריקת מערך ה IT בשלב הראשון, ובשלב השני, השוואת תוצאות הסריקה אל מול דרישות הרגולציה, תוך הצפת חוסר התאימות והחוסרים בעמידה בתקנות או במדיניות הרצויה. בין הפתרונות השונים ניתן למצוא גם את מוצר התוכנה של וונדיום, אשר מספק סקירה רציפה של מערכות המידע בארגון (24/7), בתהליך אוטומטי, המאפשר קבלת התראות על חריגות או חוסר תאימות לרגולציות או מדיניות אבטחת מידע קיימת. התוצאה המתקבלת היא חיסכון ניכר בעלויות עבור הארגון, תוך שמירה 24/7 על רמת תאימות גבוהה של מערך ה- IT הארגוני לרגולציות. כל שינוי או תזוזה לא מאושרת במערך ה IT אשר לא תואם למדיניות או לתקנות, מוצפת באופן מיידי כלפי הנהלת הIT, לטיפול מהיר. לסיכום, ניתן לשער כי התקנות השונות ימשיכו להכות שורשים בארצנו היות והרשויות הבינו את הצורך בכללי סדר בארגון. לכל חברה תתואם הדרישה והצורך, אך באחריות החברות ליישר קו עם דרישות המחוקק.