דבר אחד שכל סמנכ"ל כספים צריך לדעת על סיכוני IT

CGS ישראל - סיכוני ITאמון הוא דבר חשוב מאוד בעסקים. כל משרה ניהולית דורשת מועמדים שהם מצוינים בעבודה שלהם ויודעים להעריך את הביצועים של העובדים שלהם לאורך זמן מול מדדי ביצוע מרכזיים. למנהלים יש בדרך-כלל הבנה בסיסית של תפקידי העובדים שלהם. עם זאת, עבור אנשי מקצוע בתחום הפיננסי שמנהלים אנשי IT (טכנולוגיית מידע) זה יכול להיות מאתגר. כיצד אנשי מקצוע פיננסיים מפתחים את מדדי הביצוע המרכזיים הנכונים כדי לסקור אנשי IT? אימות העובדה כי עבודת ה-IT  מתבצעת בצורה הטובה ביותר יכול להיות קשה מאוד, עד בלתי אפשרי, עבור מנהלים שאינם טכניים.

רק מספר קטן של סמנכ"לי כספים למדו ניהול IT  בתואר הראשון. רבים מהם לא קיבלו הכשרה במהלך תקופת הלימודים שלהם ורובם המוחלט של סמנכ"לי הכספים למדו באופן עצמאי ובאמצעות טיפול בבעיות שהתעוררו. אחד הנושאים הגדולים ביותר בניהול IT  הוא פיקוח על העבודה עצמה. כיצד יכול איש מקצוע פיננסי לאמת את הפרטים הטכניים של אבטחה ומערכות ניהוליות? איך הוא יכול להיות בטוח שהתליכי IT עומדים בתקני התעשייה? פיקוח IT הוא שדה מאתגר, במיוחד עבור אלה שאינם מומחי IT.

הטעיות הגדולות ביותר שחברות עושות בתחום פיקוח ה-IT הוא הערכת צוות ה-IT שלהם על פי כמה טוב הם מטפלים בפרוייקטי חירום. כיבוי אש נגד אבטחה ונושאים אחרים שצפים הוא חלק חשוב והכרחי בעבודה של אנשי IT. עם זאת, אלה לא הקריטריונים הנכונים לפיהם יש להעריך ביצועים. במקום זאת, על החברה לפתח קריטריונים לניהול תהליכים שבאמצעותם ניתן להעריך באמת את הצוות. כמו טובים המדדים שלהם ברמה היומית, השבועית והחודשית? כמה יעילים הם בשיטות עבודה מומלצות ותקני תעשייה? והכי חשוב, האם הם לומדים ומשתפרים?

הצעד הראשון לקראת יצירת הקריטריונים הנכונים הוא הקמת בסיס שיעזור להבין כמה טוב המחלקה מתפקדת. רוב החברות טועות ומתמקדות בנושאים שעל שולחן העבודה, שכן הם הנושאים הבולטים ביותר באינטראקציה עם הלקוחות וזה הופך את איסוף המידע לקל מאוד. עם זאת, בעיות בשולחן העבודה, על פי רוב, משקפות פרודוקטיביות לטווח קצר ואינן מעידות על ניהול המערכת ופונקציות האבטחה, אשר רק לעיתים נדירות נבדקות לעומק.

IT הוא הרבה יותר מתרשימים ומדדים

כאשר אנשי הצוות שלכם יישאלו, הם צפויים לדווח שהכל נהדר, ולמיטב ידיעתם, יש להם סיבה להאמין שהם אכן על המסלול הנכון. הם עשויים אפילו לייצר תרשימים המציגים מדדים קרובים לממוצע, אחוז גבוה של מתן פתרון בשיחה הראשונה ודו"ח מפורט של העדכונים והתיקונים שהם הספיקו לבצע בחודש האחרון. עם זאת, המדדים והתרשימים הם רק חלק מהסיפור, הם לא מדברים על אסטרטגיית האבטחה הכוללת וניהול התשתית, וגם לא יצביעו על כל פערי המידע שקיימים במערכת. יש כמה דברים שקשה יותר לבדוק אותם מאשר את העבודה שלכם. תחשבו על ימי המכללה או האוניברסיטה שלכם, כשהגשתם עבודה שכתבתם, באיזו תכיפות היא חזרה אליכם מהמרצה עם קווים אדומים, אשר במבט לאחור, נראו לכם כטעויות מטופשות ומיותרות?

ההטיה הקוגניטיבית מקשה עליכם לראות את הטעויות שלכם. המוח יודע מה הוא מנסה לעשות או להגיד וחוסם מידע לא נכון. ניהול ה-IT  אינו חסין מפני השפעות אלו ועל פי הצוות שלכם שעשה את העבודה, הכל נראה בסדר עד שזה נכשל. טעויות יכולות לזלוג לתוך התהליך ולהיעלם מהעין במשך חודשים ואפילו שנים, מאז השינויים המהירים בטכנולוגיה. בדיקה מתמדת של המערכות שלכם תעזור לכם לשמור עליהן מעודכנות בזמן שדברים משתנים. אחת הדרכים לזהות את הבסיס שלכם ולהימנע מפערי מידע היא להיעזר בביקורת IT מגורם חיצוני.

לבדיקות של מיקור חוץ IT יש כמה יתרונות עיקריים:

1.סיכון נמוך יותר

על ידי סקירת הפונקציות המרכזיות של תהליכי ה-IT והנהלים של החברה, צוות הניהול יקבל תובנות לגבי תפקוד הרשת והפונקציה שלה. מיקור חוץ IT  יצביע על ליקויים וידגיש את אזורי הסיכון שניתן לשפר.

2.כוחו של הגורם החיצוני

לפעמים אזהרות מגורם חיצוני ללא משוא פנים, יכולות להיות בעלות השפעה עמוקה. כאשר מישהו שאתם מכירים מעלה בפניכם בעיה, האופן שבו הם מצליחים להעביר לכם את המסר והאופן שבו אתם מצליחים לקבל את המסר, יכול להשפיע על תשומת הלב שהבעיה תקבל ועל התקציב שתקציבו. איש הצוות שלכם עשוי לחשוב שהוא מסר לכם את המסר בצורה טובה, אבל האם אתם באמת מסוגלים להבין ממנו את ההשלכות של המידע ואת הדחיפות בטיפול? למנהלי IT רבים יכולים להיות שיקולים שונים משלכם והם עשויים להציב דגל אדום כשהם נתקלים בבעיות שלדעתכם הן דווקא מינוריות. הכישלון האחרון ב"British Airways" הוא דוגמה לכך. חברת התעופה הפסידה יותר ממאה מיליון דולר בגלל נזק במתח החשמל במערכת ה-IT. הגנה על נקודות מתח חשמלי היא אחד התפקידים הבסיסיים ביותר של מחלקת ה-IT. התחקיר המלא על המקרה טרם הסתיים, אבל נראה שאין להעלות על הדעת שהנושא לא יתגלה. כל טכנאי IT מתחיל לומד להגן על נקודות מתח חשמלי. סביר להניח, שהצוות ידע שיש בעיה, אבל זה הלך לאיבוד בתקשורת מול הצוות החיצוני.

3.אימות בונה אמון

עבודה שעוברת ביקורת עמיתים יכולה להגדיר את הסטנדרטים. לאחר זיהוי בעיות ותיקונן, ניתן לעדכן תהליכים. התהליכים החדשים יכולים להגדיר את התקן ולהיות הבסיס לפיתוח מדדי ביצוע מרכזיים. צוותים שיודעים שההערכה היא הוגנת ומוגדרת לפי תקן ידוע, יהיו הרבה יותר טובים מצוותים שנוח להם לדעת שאף אחד לא צופה בהם.

הפחתת סיכוני IT מתחילה בבדיקת מערכות ומבנים לפי שיטות העבודה המומלצות בתעשייה. שכירת אנשי טכנולוגיה כגורם צד שלישי יכולה לא רק להפחית סיכונים, אלא גם לשפר את הביצועים ולעזור לכם להתכונן לעתיד.