IT Governance
יישום מערכת ERP הינו תהליך מורכב אשר בעיקרו מספק פתרון פונקציונאלי בדרך של מחשוב רוב תהליכי העבודה בארגון. יחד עם זאת מערכות ERP, על אף רמת הבקרה המובנית בתוכן, עלולות לגרום לאיבוד בקרות אשר היו קיימות במערכות הקודמות ולחשוף את הארגון לסיכונים אשר עשויים להשפיע באופן ישיר על ביצועי החברה. על מנת להבטיח רמת בקרה נאותה במערכת ה- ERP יש לבצע תהליך של אפיון ויישום הבקרות (אשר לרוב מובנות במערכת עצמה). שרותינו בתחום זה כוללים סקירה וביצוע בדיקות בתחומי בקרות ממוחשבות וידניות על התהליכים התפעוליים, אבטחת מידע והרשאות ברמת האפליקציה ואבטחת מידע ברמת ה- System והתשתית המחשובית.
ביצוע הערכת סיכונים במערכות מידע וסיכוני אבטחת מידע המבוססת על מתודולוגיות כימות והערכת סיכונים. כימות והערכת הסיכונים מאפשר למנהלי הארגון לתעדף את פעילויות אבטחת המידע הנדרשות. סקרי סיכונים אלו מבוצעים בהתאם לרגולציות ולתקנים הרלוונטיים לארגון תוך קישור בין הסיכונים הטמונים במערכות המידע לבין התהליכים העסקיים הרלוונטיים. הערכת הסיכונים מתבצעת ע"י ניתוח השלכה וסבירות של הסיכונים השורשיים, השאריים וסיכוני המטרה.
אחד העקרונות המרכזיים בעת הקמת מערך ניהול סיכוני IT הינו הגדרת הקווים המנחים המובלים ע"י הנהלת הארגון ואשר מטרתם העיקרית היא לקבוע, באמצעות מסמך מדיניות, את מידת הסיכון אותה מעוניינת ההנהלה לקחת על עצמה ועקרונות מנחים לבניית מערך מזעור סיכונים למערכות המידע של הארגון. מטרת הנהלים שיכתבו על בסיס המדיניות הינה הגדרה פרטנית של אופן ניהול הסיכונים השונים אל מול הערכת הסיכונים הקיימת בארגון ואל מול הדרישות הרגולטוריות השונות.
חברת אנטרופי פיתחה מתודולוגיה מובנית להערכת סיכוני IT כנדרש מהוראת בנק ישראל 357 והוראת המפקח על שוק ההון והביטוח. במסגרת פעילות זו, ממפה החברה את התהליכים העסקיים, את מערכות המידע התומכות ואת הסיכונים השורשיים והשארים מהיבטים תפעוליים ומהיבטי אבטחת מידע. בהתבסס על מודל כימות והערכה מדרגת החברה את מערכות המידע של הארגון בהתאם לסיכונים הקיימים והמשוכללים בהסתמך על חישובי סבירות והשלכה של כל סיכון.
