קאיה קזמירצ'י, ISACA אירופה: "יש לחשוף את התועלות הכלכליות מבקרת ה-IT"

"מימוש מדיניות GRC בארגון הינו צורך, אולם הוא טומן בחובו גם הזדמנות, כי הוא מייצר בפעילות ה-GRC ערך ארגוני, תועלת כספית וכלי לייעול תהליכים, מלבד הצורך המקורי בשליטה וניהול סיכונים. לכן, נדרש לחשוף בפני הנהלות ארגונים את התועלות הללו", כך אמר קאיה קזמירצ'י, חבר הנהלת הסניף האירופי של ISACA ובכיר בהנהלת האיגוד הטורקי שלו.

קזמירצ'י דיבר במליאה המרכזית בכנס השנתי של האיגוד הישראלי לביקורת ואבטחת מערכות מידע (ISACA). הכנס, שנושאיו היו ממשל IT והגנת הפרטיות, התקיים הבוקר (ד') במרכז הכנסים אבניו שבקריית שדה התעופה, בהפקת אנשים ומחשבים. מנחה הכנס היה רו"ח דורון רונן, נשיא האיגוד הישראלי.

לדברי קזמירצ'י, "הכול עניין של תהליכים. כמו שבכל מפעל יש תהליכים שבודקים כל הזמן איך ניתן לייעל אותם ואיפה ניתן לשחרר צווארי בקבוק, כך נדרש לעשות גם לתהליכי המיחשוב". הוא אמר, כי "אני מדמה את הממשל התאגידי למטאפורה מעולם התחבורה או הפיזיקה, ולא מעולם ה-IT: בכל רגע נתון עלינו לדעת מהי המהירות בה אנו נעים, מהי מידת ההתקדמות, מהו קצב הגידול של המהירות, מי האידיוט שנוסע לפנינו ושעוד רגע יעצור אותנו, מה קורה בכל רגע נתון ומה ניתן לעשות כדי שלא ניעצר".

מיפוי שכזה, אמר קזמירצ'י, יביא ליצירת ערכים נוספים הן בהיבט ה-IT והן בהיבט הבקרה עליו, "כי כך נוכל לא רק להגיב, אלא להגיב בתבונה, על בסיס ידע מוקדם". הוא ציין את הגורמים הדוחפים ליישום פעילות GRC: הצורך הבסיסי בניהול הסיכונים, הרצון ההולך וגובר בארגונים להגברת השקיפות בגופי היישום השונים ודרישות רגולטוריות שונות, דוגמת SOX, באזל II ו-ISOX.

קזמירצ'י הוסיף, כי שימוש נכון בכל ההיבטים השונים של GRC "בצורה מושכלת יביא להצלחה במימוש ממשל תאגידי". הוא אמר, כי הכלי למימוש שאותו הוא פועל להנחיל בטורקיה הוא CobiT. "אני עובד איתו כבר עשור, ובהצלחה". לדבריו, עיקר המימוש של ממשל תאגידי בטורקיה נעשה בעולם הפיננסי, ואילו בשאר מגזרי המשק הטורקי – הדבר נעשה בצורה פחותה, מפני שיש פחות רגולציות.

ממשל IT, אמר קזמירצ'י, "מביא לכך שאנחנו מנהלים את ה-IT כעסק לכל עניין ודבר. הדבר נעשה בין השאר באמצעות מערך שיטות וכלים ממוכנים, ובתאימות לסטנדרטים מובילים, דוגמת CobiT. כך מתאפשר קשר טוב יותר בין רכיבי המיחשוב השונים, נעשה מיפוי של תהליכי המיחשוב, נבדקת מידת הבשלות שלהם, ונקבע היכן ניתן לשפר ולייעל את אותם תהליכי מיחשוב". כל זאת, ציין, תוך ביצוע מדידות של ביצועי ה-IT בהתאם למערך מדדים עסקיים ברורים. "ביקורת מערכות ה-IT ואבטחה שלהן הם נושאים חשובים, ומהווים פרק משמעותי בעבודת הביקורת הכוללת", סיכם. "הממשל התאגידי ממסד מסגרות עבודה מבוקרות, ובתוכן הוא משלב את ה-IT, את ניהולו ואת הבקרה עליו. יש להבטיח את צמצום הסיכונים הכרוך בעבודה עם מערכות ה-IT, בשל היותן רגישות ובשל ריבוי הסיכונים ופוטנציאל הנזק שלהן, שעלול לסכן את הארגון כולו".

דימויים מגן עדן

הכנס נפתח בדבריו של רו"ח שלומי קוט, המשנה לנשיא האיגוד. אחריו דיבר רו"ח רונן. הוא אמר, כי הרגולטור הראשון היה אלוהים, וכי הרגולציה הראשונה שהונחתה הופנתה כלפי האדם הראשון, "שהיה טיפש" בגן עדן, ולפיה אסור לו לאכול שני עצי פרי. רו"ח רונן דימה את הנחש להאקר הראשון, שפרץ את מערכות ה-IT וגילה את הסיסמה לאישה. "זה החטא הראשון", אמר רונן, "בגן עדן לא היה GRC – לא היה ממשל IT, לא היה ניהול סיכונים ולא הייתה הלימה לתקנים ולרגולציות. רגולציה זה טוב, אבל נדרשים אמצעי בקרה משלימים".

עוד בירכו במהלך הכנס רו"ח דורון קופמן, נשיא לשכת רואי החשבון בישראל, וד"ר נחמן אורון, יושב ראש נשיאות לשכת מנתחי המערכות בישראל. בהמשך נערך פאנל רגולטורים שדנו בנושאי אחריות הדירקטוריון לתפקידיו ליישום ISOX, ממשל תאגידי בתחום ה-IT, והקשר בין הרגולטור, הפרטיות ואבטחת המידע. לאחר מכן התפצל הכנס למסלולים מקצועיים.