מאת גלעד ירון, סמנכ"ל, SECOZ IT Governance, Risk & Compliance (IT GRC) בקרוב זה קורה! האיגוד הישראלי לביקורת ואבטחת מערכות (ISACA ישראל) ישיק בחודש מאי הקרוב את המהדורה העברית של COBIT. השקה זו תביא לישראל את אחת מן המתודולוגיות החשובות והמשפיעות ביותר בעולם ביקורת מערכות המידע. COBIT הפך בשנים האחרונות לכלי המרכזי המקובל כמסגרת לבחירת ובחינת בקרות IT ובסיס על פיו מנהלים ובוחנים את עמידת מערכות המידע ברגולציות שונות כגון SOX,  Basel IIועוד. אני ועמיתי עושים שימוש בכלים של COBIT כבר מספר שנים ומוצאים אותם פשוטים, ברורים ונהירים. לפניכם מתאבן קצר למספר מאותם כלים. לרוץ קדימה ולהישאר במסגרת? תפיסה ראשונה, שעלולה להישמע לנו, כישראלים, משונה מעט, הנה תפיסת ה Framework, ובעברית - מסגרת. חברים יקרים. אין צורך להמציא שוב ושוב את הגלגל! COBIT מגדיר 4 תחומים ובהם 34 תהליכים גנריים הנדרשים לוודא כי המידע הנדרש מגיע לארגון ומשמש את יעדיו העסקיים. כמו כן הוא מגדיר את מאפייני המידע הנדרש בכל אחד מן התהליכים הללו ואת המשאבים המרכזיים הרלוונטיים אליו. ארבעה התחומים בהם עוסק ה COBIT הינם תכנון וארגון, רכש ופיתוח, יישום ותמיכה ובקרה. היפה במודל זה הוא היותו כללי – נכונות המודל אינה משתנה בסביבה עסקית או בפלטפורמה טכנולוגית ספציפית. מה צריך לעשות? עבור כל אחד מהתהליכים מוגדרים סט של יעדים אשר מבהירים היטב מה הן התוצאות הנדרשות מן התהליך המדובר. אלה הינם יעדי הבקרה (Control Objectives). שוב, יש להדגיש כי COBIT עוסק ב"מה" ולא ב"איך" ועל כן הוא גמיש ומתאים לכל סביבה. עד כמה אנחנו בוגרים? אחד מן הכלים החזקים שמעניק COBIT הינו מודל הבגרות. מודל זה מאפשר להגדיר בצורה מאוד חדה וברורה את רמת בגרותו של כל תהליך בארגון, להציגו למנהלים ולהעמידו כבסיס לשיפור התהליך. מניסיוני, מנהלים אוהבים הצגה ברורה, מדידה הניתנת לשיפור. המודל מגדיר חמש רמות בגרות לפי הפירוט הבא: 0 -Non-Existent. התהליך אינו קיים כלל. הארגון לא זיהה כלל את הצורך לטפל בתהליך זה. 1 - Initial. הארגון זיהה את הצורך בתהליך בתחום. אין סטנדרטים מוגדרים לתהליך. הטיפול בו נעשה בגישת אד-הוק תוך טיפול בכל מקרה לגופו. התמונה הגדולה של התהליך אינה חשופה להנהלה. 2 - Repeatable. תהליכים הוגדרו כך שאנשים שונים מבצעים את התהליך בצורה דומה. אין הדרכה פורמאלית ותקשור של התהליכים הללו. האחריות על הביצוע היא בידי הפרט. הארגון מסתמך ברמה רבה על הידע של הפרט ולכן טעויות עלולות להתרחש. 3 - Defined. התהליכים אוחדו ותועדו. הם מתוקשרים באמצעות הדרכה. יחד אם זאת, האחריות לביצועם נותרה בידי הפרט. קיים חשש כי סטייה מנהלים אלה לא תזוהה. הנהלים הקיימים מהווים שילוב של נהלים אשר היו קיימים בארגון עד כה – לא בוצעה אופטימיזציה. 4 - Managed. ניתן לנטר ולמדוד עמידה בנהלים ולבצע פעולות תיקון כאשר מתגלים ליקויים בנהלים עצמם. הנהלים נמצאים תחת שיפור מתמיד. כלים ואוטומטיזציה של התהליך קיימים ברמה מוגבלת. 5 - Optimized. התהליכים שופרו לרמה הרצויה על בסיס תוצאות השיפור המתמיד והשוואה ולימוד מתהליכים דומים בארגונים אחרים. נעשה שימוש בתשתיות מחשוב על מנת להגיע לאוטומיזציה של התהליכים, תוך אספקת כלים שלפר את איכות ויעילות הבקרות. מי כאן בעצם אחראי? כלי נוסף אותו מעניק לנו COBIT הינו מודל RACI. היופי, כמו כל כלי COBIT הינו בפשטות: ·         אנו מפרקים כל תהליך לאוסף משימות. ·         עבור כל משימה ועבור כל אחד מהמשתתפים במשימה אנו מגדירים תפקיד o        Responsible ( R ) - מי אחראי בפועל לביצוע התהליך o        Accountable ( A ) – מי אחראי מנהלית, "מי יעמוד למשפט אם המשימה לא תבוצע" o        Consulted     (  C ) – עם מי נתייעץ במהלך ביצוע המשימה o        Informed      ( I ) – למי צריך להודיע על ביצוע המשימה זה הכול! פשוט, נכון? הנה זה בא, שווה לחכות! במאמר קצר זה העליתי על קצה המזלג מספר כלים חזקים ושימושיים לשימושם של מנהלי מערכות מידע, מבקרי פנים, מנהלי סיכונים ומנהלי אבטחת מידע כדי לתכנן ולבקר את הבקרות הנדרשות לארגונם. אני מקווה כי הצלחתי לעורר את הסקרנות והתיאבון שלכם ל COBIT. אם אכן כך הוא הדבר, לא תאלצו לחכות הרבה. כאמור, עוד מעט כמעט – במאי השנה – תושק המהדורה העברית של COBIT. זהו הראשון בסדרת מאמרים, הנכתבים על ידי חברי וועדת ההשקה של COBIT בעברית,  ומפרטים את יתרונותיו הרבים.