אל תתנו לאותיות לבלבל אתכם

מאת גלעד ירון, SECOZ

IT Governance, Risk & Compliance (IT GRC)

 

בשיחות שאנו מקיימים עם מנהלי טכנולוגיות מחשוב, אנו מזכירים לא מעט תקנים, סטנדרטים וחוקים. דברנו על COBIT, ITILISO 20000 ISO 27001 , NIST 800 ועוד. בקיצור – הצפנו אתכם בערב רב של אותיות.

מרוב אותיות, קשה לראות את היעד. בשל כך, לא נתפלא אם בקרוב תקום תנועת מחאה חדשה אשר תחרוט על דגלה את הסיסמא: "די לאותיות, תנו לחיות".

תארו לעצמכם כי אתם עומדים לפני מועצת המנהלים של הארגון ומצדיקים פרויקט חדש ויומרני. "אנו זקוקים להקצאה של ארבעה מיליון דולר", אתם אומרים. כהסבר למהות הפרויקט אתם מציינים כי אתם מבצעים פרויקט SQL. " SQ-מה? " שואלים אתכם חברי ההנהלה ושולחים אתכם כלעומת שבאתם.

האם הארגון שלכם מבצע "פרויקט ITIL" או "פרויקט COBIT" ? שמות אלה מסתירים מאחוריהם מסגרות חשובות לניהול טכנולוגיות מידע, אבל מסגרות אלה אינן מהוות חלק מיעדי הארגון.

לעיתים אנו מבלבלים בין סיבה למסובב. כשאנו בונים בית אנו בוחרים ארכיטקט טוב, חומרי בניין איכותיים ופועלים מוכשרים, אך איננו בונים שרטוט, פטיש או מנופאי. אנו בונים ביית.

בסופו של יום (וגם בתחילתו) עלינו להסתכל על טובת הארגון, סביבתו, התרבות הארגונית שלו, האתגרים הייחודיים העומדים בפניו, האילוצים בפניהם הוא עומד והסיכונים המאיימים עליו. מי אם לא אנחנו וההנהלה שלנו מכירים את הארגון?

אז למה, בכל זאת, שווה להתעדכן בצירופי האותיות הללו?

הסטנדרטים, התקנים וה-Best Practices איתם אנו נפגשים, בטור זה ובמקומות אחרים, הינם אוסף של כלים אשר יכולים לעזור למנהלי טכנולוגיות המידע לעזור לארגון שלהם לעמוד ביעדיו.

חברים חכמים, ברחבי העולם, צברו ידע וניסיון אותו הם הועילו לחלוק איתנו. ידע זה מאפשר לנו לזהות את הנושאים והתחומים החשובים לניהול טכנולוגיות המידע ולוודא כי אנו מבצעים אותם בהתאם למה שמקובל. כך נוכל לקבל את ההחלטות שלנו על בסיס צרכי הארגון הייחודיים, אבל לעשות זאת תוך בחינה מעמיקה ומלומדת ולא על בסיס תחושת בטן.

התקנים מכילים אוסף לא יסולא בפז של כלים ומתודולוגיות שעשויות לשמש אותנו באופן ישיר, בעת יישומם אך גם באופן עקיף בהקשרים אחרים.

יותר מכך, התקנים עוזרים לנו להשוות את עצמינו למקובל בעולם תוך שימוש בשפה ברורה ואחידה אשר מקובלת ומובנת בתוך הארגון ומחוצה לו. דבר זה מונע אי הבנות וכן מאפשר להבהיר ללקוחות פנימיים וחיצוניים את המאמץ המושקע בניהול ראוי של טכנולוגיות המידע שלכם.

 

טוב, הבנו, אבל במה לבחור?

עכשיו, כשהבנו כי תקנים יכולים לעזור לנו, באיזה מן התקנים שווה לבחור?

אכן, יש חפיפה מסוימת בין התקנים, אך למרבה השמחה, לא מעט מהם משלימים זה את זה ובצוותא הם מספקים אוסף כלים רחב יותר מאשר כל אחד בנפרד.

התקנים עליהם דנו בטור זה עונים על הגדרה זו ולכן מומלץ לכם לעיין בכול אחד מהם בהתאם לתרומתו הייחודית. להלן סיכום ביניים של התקנים עליהם דברנו עד כה:

  • COBIT –מסגרת המתמקדת בבחינה ומדידה של בקרות ניהול ה-IT. התקן כולל אוסף מכובד של כלי מדידה המתייחסים לאפיון המידע, הגדרת יעדי ה-IT, עמידה בביצועים, הגדרת האחראים ובחינת השיפור המתמיד בבקרות אלה. התקן עוסק בארבעה תחומים המסודרים בהתאם למחזור החיים של המידע בארגון.
  • ITIL – מתייחס למתודולוגיות המימוש של תהליכי ניהול ה-IT. התקן מדגיש את תפיסת טכנולוגית הידע כשירותים אשר מטרתם לשרת את היעדים העסקיים של הארגון. במהדורה 3 של התקן אשר פורסמה לא מכבר מחולקים השירותים על פי מחזור החיים של המידע בארגון.
  • 20000 ISO – הינו תקן המאפשר הסמכה המעידה על ניהול השירות בהתאם להגדרות ITIL. התקן מבוסס על המהדורה הקודמת של תקן ITIL.
  • 27001 ISO – מתמקד בפירוט במערכת ניהול אבטחת מידע (מנא"ם) ומשלים את התקנים האחרים בתחום זה. גם תקן זה מאפשר הסמכה.
  • סדרת 800 NIST – אוסף של מסמכים מפורטים המתייחסים להיבטים שונים של אבטחת מידע. רוב המסמכים מתייחסים להיבטים טכניים אך קיימים גם מסמכים כלליים כגון ניהול סיכונים, סיווג מידע וכדומה.

אני מקווה שרשימה זו עוזרת לעשות קצת סדר בסבך האותיות והשמות בהם הצפתי אתכם בשבועות האחרונים.
גרסה להדפסה גרסה להדפסה       שליחה לחבר שליחה לחבר