GRC משמעויות ומגמות

התחום של GRC פותח במקור על מנת לסייע לארגונים להתמודד עם אתגרים מרובים שנוגעים לשליטה בענייני סיכון, עמידה בתקנים ברגולציות משתנות ויצירת בקרות סיסטמתיות ותהליכי עבודה רציפים וסגורים על מנת לוודא עמידה בדרישות החוקיות ובתקנים הרלוונטיים.

בשנים האחרונות, יותר ויותר ארגוניים עברו לעבודה היברידית, אשר הצריכה את התאמת התשתיות הארגוניות ומערך אבטחת המידע והסייבר למציאות החדשה שהתהוותה. עובדים קיבלו גישה מרחוק למערכות הארגוניות על מנת לקיים עסקים כסדרם ורובם מתחברים ממחשבים ביתיים, אשר לא עומדים בדרישות אבטחת מידע וכאשר הם מתחברים לרשת הארגונית, הם יכולים לגשת כמעט לכל מערכת. מומחי אבטחת מידע גילו עליה של 1,500% במתקפות על ה- VPN (חיבור רשת מאובטח להתחברות מהבית למחשבי החברה) בעקבות עבודה מרחוק.

מנהלי אבטחת המידע נדרשו לבחון מחדש את מערך ההגנה על נכסי המידע הארגוניים ואת סיכוני הסייבר בתהליכים עסקיים מהותיים. הצורך של לקוחות Enterprise בהגנה על הארגון התגבר, לצד הרגולציות שהחמירו באופן משמעותי. התקינה (Compliance) דורשת הטמעה, פיקוח, בקרה ותחזוקה שוטפת וכתוצאה מכך, נוצר על מנהלי אבטחת המידע ועל מנהלי תהליכים עסקיים עומס רב ביותר. רוב הארגונים לא מחברים מספיק את שני העולמות הללו ולא מבצעים מספיק מבדקי תאימות לתקנים, תוך שהם מאמצים מערכות אבטחת מידע מבלי למפות סיכונים בתהליכים עסקיים בארגון.

מעבודת השטח שלי מצאתי כי מרבית מנהלי אבטחת מידע לא משתמשים כיום במערכות GRC ומנהלים את הבקרות והמשימות באופן חלקי בטבלאות אקסל, ללא יכולת שליטה, בקרה ותיעוד של התהליך וללא יכולת לתעדף בקרות בהתאם למפת הסיכונים המשתנה .

מאחר ומרבית הארגונים נדרשים לעמוד בתקנים שונים, בהתאם לשוק שבו הם פועלים, לעיתים קרובות מחד גיסא, נוצר מצב שבו הם מבצעים את אותן הבקרות מספר פעמים על ידי גורמים שונים בארגון ועל ידי כך משקיעים בעצם משאבים רבים בעבודת בקרה כפולה ומיותרת ומסיתים את תשומת לב הארגון מעיסוקו העיקרי, מאידך גיסא לא מבצעים מספיק את הבקרות על התהליכים שנמצאים בסיכון גבוה.  הגורמת להם לרוב הארגונים מבצעים את הבקרות שלהם בצורה ידנית, בתהליך איטי, מסורבל ולא מדויק. כתוצאה מכך, הם אף פעם לא מגיעים למיצוי מלא של התהליך, כך שהם לא מסוגלים לנהל את הסיכונים בצורה יעילה ולהבטיח לארגון ולבעלי העניין הגנה מיטבית במציאות המשתנה.

פתרונות GRC מתקדמים צריכים לשלב כלים מבוססי בינה מלאכותית (AI), הלומדת את נתוני הארגון, מנתחת אותם ומאחדת אותם במקום אחד וכל זאת תוך ביצוע שלושה תהליכים מהותיים: 

הערכת סיכונים ונכסי הארגון – זיהוי סיכונים ואיומים פוטנציאליים, מול תקיפות וסכנות אשר עלולות להשפיע על מוניטין הארגון, פגיעה באמון, נזק כספי ואף עזיבת לקוחות. הדרך להשיג זאת היא על ידי ביצוע בקרות ותכניות הפחתה מבוססות  Data Driven – Risk Evaluation המאפשרות ניתוח סיכונים מבוסס נתוני מערכות, המקנה לארגון לאתר את החשיפות, את רמות הסיכון ואת ההשלכות בזמן אמת, תוך שימוש בבינה מלאכותית.

מילת המפתח היא מיפוי. הבסיס להצלחה מתחיל במיפוי נכסים, תהליכים עסקיים והתאוששות, שרשת אספקה, ניהול סיכוני סייבר ועמידה בתקנים, תוך כדי ניהול תוכנית עבודה מוסדרת ומעקב אחר הביצועים.

על מנת להוריד את העומס יש לבצע גם מיפוי בקרות, על מנת לזהות בקרות חופפות. בשלב הבא יש למכן את הבקרות, כולל שמירת עדויות במערכת – מרכיב חשוב ביותר להתייעלות ודיוק הבקרות. עמידה בתקנים (כגון: GDPR, ISO 27001,  SOC 2, ITGC, NIST ,CMMI)- מימוש הבקרות, ניהולן תוך יצירת קישור בין בקרות דומות ומשותפות כמנוע לעבודה יעילה ופרואקטיבית, ניהול משימות שוטף תוך מנגנון ביצוע בקרות בצורה אוטומטית.

יתרונות תחרותיים של GRC כוללים: 

1. שיפור השליטה והבקרה: GRC מאפשר לארגונים להבין ולנהל את כלל הרמות של שליטה בסיכונים והתפקידים הפנימיים, מה שמבטיח שההחלטות מתבצעות בצורה יעילה ושהתהליכים מתנהלים בצורה מיטבית.
2. הפחתת סיכונים: על ידי זיהוי סיכונים ותהליכי ניהול הסיכון, GRC מסייע לארגונים להפחית את הסיכונים הפוטנציאליים הנובעים מפעילותם ומסביבתם העסקית.
3. עמידות ואיכות: ניהול תהליכי הפעילות הפנימית וההתאמה לתקנים ולהוראות החוקיות מבטיחים עמידות גבוהה ואיכות פרודוקטים ושירותים.
4. יתרון תחרותי וביצועים גבוהים: GRC משפר את ביצועי הארגון כולו, בעיקר בעזרת הקטנת הפסים והעלאת היעילות במסגרת התהליכים הפנימיים.
5. התאמה לתקני עמיתות וגיבוש של תרבות ארגונית: GRC מסייע לארגונים להתאים את עצמם לתקני העמיתות, כולל קודים והנחיות אחרות, ובכך להבטיח שפעילות הארגון תהיה בתפקיד אתי ומתוקנת.

נכון לשנת 2023, כמה מהמגמות המתפתחות בתחום ה–GRC כוללות: 

1. התמקדות בגורמי סיכון דיגיטליים: עם התרחבות עולם הטכנולוגיה והדיגיטל, התחום של GRC נותן תשומת לב רבה יותר להגנת פרטיות נתונים, סיכונים דיגיטליים וסייבר CIO & CISO. מנהלי מערכות ואבטחת המידע חייבים להיעזר בכלים טכנולוגיים מותאמים למצב החדש, שיסייעו להם לטפל ולנהל את כל מערך אבטחת המידע, בצל הסיכונים ההולכים ומתרבים. בכדי להתייעל ולבצע את התפקיד יש לאמץ מערכת  GRC, לחבר את נכסי המידע המערכות  והתהליכים העסקיים לסיכונים ולמכן את הבקרות.

2. אוטומציה ושימוש בטכנולוגיות מתקדמות: שימוש בטכנולוגיות חכמות כמו אינטליגנציה מלאכותית, תהליכי עיבוד נתונים ואוטומציה, כדי לייעל ולשפר את תהליכי ה GRC .
3. התמקדות בסיכונים סביבתיים וחברתיים: עם המודעות הגוברת לשאלות סביבתיות וחברתיות, ארגונים משתפים פעולה לטובת התמודדות עם סיכונים כמו שימוש סביר במשאבים, התמודדות עם שינויי אקלים ועוד.
4. אחריות תאגידית ושקיפות: אחת המגמות המרכזיות היא חיזוק האחריות התאגידית והשקיפות בהתמודדות עם סיכונים וניהול ההתנהגות הפנימית של הארגון.
5. התמקדות במדיניות הסבירות: תחום ה-GRC עובר עדכונים והתמקדות בגיבוש מדיניות של סבירות משמעותית (reasonable assurance) במקום אפשרות להבטיח העדר סיכונים לחלוטין.
6. שיפור הקולבורציה והתקשורת הארגונית בנוגע ל–GRC: הקהל הפנימי והחיצוני צופים מהארגון שיפור בתקשורת הקשורה לניהול סיכונים, תקינה והתמודדות עם סיטואציות קריטיות.

האפשרות לנהל באופן מתודולוגי במערכת אחת את כל התהליכים שמשלבים סיכונים מתחומים רבים, כמו: סיכונים תפעוליים, סיכוני הונאות ומעילות, סיכונים פרויקטלים, סיכונים רפואיים, סיכוני שרשרת אספקה, סיכונים סביבתיים, סיכוני סייבר ועוד, יוצרת מבנה טוב יותר לניתוח הסיכונים,  שקיפות , ניטור  דיווח וקולבורציה  בקרב כל 'שומרי הסף' בארגונך.

עם התפתחות והשינויים הפנימיים והחיצוניים, תחום ה-GRC ממשיך להתרחב ולהתעדכן, וארגונים רבים מבינים את היתרון התחרותי שבטיפוח והשקעה בניהול הסיכונים וההתמודדות עם האתגרים התקשורתיים והחוקיים בתחום.

לקבלת מידע נוסף בנושא GRC ניתן לפנות לעופר פלאוט
במייל ofer.p@top-s.co.il או בטלפון 054-5633771