IT Governance
חלק נכבד מהקדמה העסקית של הארגונים טמון בשימוש במערכות מידע אינטגרטיביות אשר תומכות ביוזמות העסקיות. קידמה טכנולוגית זו משמשת ככלי עיקרי במזעור הסיכונים מחד ומאידך חושפת את הארגון לסיכונים חדשים. חברת אנטרופי מציעה שירותים וכלים לאיתור, הערכה ומזעור סיכונים אלו.
- ניהול סיכוני מערכות מידע
- סקר סיכוני מערכות מידע
- הגדרת מדיניות ונהלים למזעור סיכוני IT ואבטחת מידע
- הערכת סיכוני IT
- ניהול סיכונים במערכות ERP
- סקירה ובקרה של תהליכים וביקורת מערכות מידע
ניהול סיכוני מערכות מידע
ניהול סיכוני טכנולוגיית המידע הנו תהליך לניהול סיכוני מערכות המידע, הגנת המידע, הגנת נכסי המידע וכן תהליך של מניעת נזק לפעילות הארגון כתוצאה מכשל במערכת/רכיב מידע. חלק מהתפתחות זו נובעת מהתקדמות יישום הנחיות באזלII ותהליך ה ICAAP כמו גם יישום סולבנסי II ותהליך ה ORSA.
כחלק ממערך ניהול הסיכונים הכולל, נדרשים מנהלי הסיכונים ומנהל מערכות מידע לקחת חלק בתהליך ניהול הסיכונים השוטף של טכנולוגיית המידע, בדרך של הערכה דינאמית של רמת הסיכון וניהולו תוך בחינה שוטפת של רמת הבקרה של המערכות עצמן.
על מנת להתמודד עם סיכוני טכנולוגיית המידע ובניסיון למזער את חשיפת הארגון להתרחשות אירועי כשל הנובעים מכשלים במערכות המידע, נדרשת קביעת עקרונות ייסוד לניהול סיכוני טכנולוגיות המידע, כימות החשיפה להתממשות הסיכונים וניתוח ההשלכות הנגזרות מהתממשותם של סיכונים אלו בהקשר לתהליכים העסקיים והתפעוליים העושים שימוש במערכות המידע.
סקר סיכוני IT
ביצוע סקר סיכונים פרטני במערכות מידע תוך בחינה של תמיכת המערכות בתהליכי העבודה העסקיים והתפעוליים הקשורים בה, בחינת יישום מנגנון בקרות למזעור סיכונים בתהליכים וכן בחינה כי המערכות אינן מהוות סיכון מובנה בפני עצמו אשר עלול לפגוע בתהליכים הנתמכים. סקרי סיכונים אלו מבוססים על מתודולוגיות כימות והערכת סיכונים מקובלות כגון COSO לצד הנחיות מתודולוגיית Cobit המקובלת לניהול עולם סיכוני מערכות המידע. ביצוע סקרי סיכונים מסוג זה מאפשר את חיזוק הבקרות לתהליכים העסקיים והתפעוליים, זאת לצד יישום שיפורים נדרשים במערכות המידע ובתהליכי העבודה הנהוגים ביחידות המחשוב (תהליכי ITGC).
הגדרת מדיניות ונהלים למזעור סיכוני IT ואבטחת מידע
אחד העקרונות המרכזיים בעת הקמת מערך ניהול סיכוני IT הינו הגדרת הקווים המנחים המובלים ע”י הנהלת הארגון ואשר מטרתם העיקרית היא לקבוע, באמצעות מסמך מדיניות, את מידת הסיכון אותה מעוניינת ההנהלה לקחת על עצמה ועקרונות מנחים לבניית מערך מזעור סיכונים למערכות המידע של הארגון. מטרת הנהלים שיכתבו על בסיס המדיניות הינה הגדרה פרטנית של אופן ניהול הסיכונים השונים אל מול הערכת הסיכונים הקיימת בארגון ואל מול הדרישות הרגולטוריות השונות.
הערכת סיכוני IT
חברת אנטרופי פיתחה מתודולוגיה מובנית להערכת סיכוני IT כנדרש מהוראת בנק ישראל 357 והוראת המפקח על שוק ההון והביטוח. במסגרת פעילות זו, ממפה החברה את התהליכים העסקיים, את מערכות המידע התומכות ואת הסיכונים השורשיים והשארים מהיבטים תפעוליים ומהיבטי אבטחת מידע. בהתבסס על מודל כימות והערכה מדרגת החברה את מערכות המידע של הארגון בהתאם לסיכונים הקיימים והמשוכללים בהסתמך על חישובי סבירות והשלכה של כל סיכון.
ניהול סיכונים במערכות ERP
יישום מערכת ERP הינו תהליך מורכב אשר בעיקרו מספק פתרון פונקציונאלי בדרך של מחשוב רוב תהליכי העבודה בארגון. יחד עם זאת מערכות ERP, על אף רמת הבקרה המובנית בתוכן, עלולות לגרום לאיבוד בקרות אשר היו קיימות במערכות הקודמות ולחשוף את הארגון לסיכונים אשר עשויים להשפיע באופן ישיר על ביצועי החברה. על מנת להבטיח רמת בקרה נאותה במערכת ה- ERP יש לבצע ת%
סקירה ובקרה של תהליכים וביקורת מערכות מידע
…