חדשות

ה-GRC, או בעברית 'ניהול ממשל תאגידי', הוא תחום נרחב המאגד בתוכו שלוש תפיסות מרכזיות: שליטה, ניהול סיכונים וציות לתקנות. כל תפיסה מתייחסת לעולם תוכן אחר בתוך הארגון, אך לכולן מכנה משותף אחד: להביא לשליטה רחבה והדוקה בארגון, הן באמצעות טיפול בסיכונים ידועים וצפויים והן על ידי יצירת תאימות לחוקים ולתקנות הרלוונטיים לתחום עיסוקו של הארגון.

משה רז,מנכ"ל חברת DataSEC מקבוצתSQLINK,מציין כי יותר ויותר רגולטורים מעוניינים לקבל מידע מסודר בנושא ציות לרגולציות בארגונים - דבר הדורש מענה באמצעות פתרונות GRC. לדברי רז,  בארץ כבר ניתן לראות גופים המיישמים פתרונות אלו - כגון הבנקים (המחויבים לתאימות לרגולציה של המפקח על הבנקים), חברות הביטוח וגופים בשוק ההון. כמו כן, אומר רז, ועדת גושן מחייבת את כל התאגידים הממשלתיים לדווח על אופן עבודתם.

וכשלא כפופים לרגולציה?

יש ארגונים שעדיין אינם נדרשים לציית לרגולציות כאלו או אחרות, אומר רז, אך הם מבצעים הכנות ונערכים לקראת זה. המנמ"ר צריך לדעת לאילו רגולציות הארגון צריך לציית - למשל בנושא אבטחת המידע או שמירת איכות הסביבה – ובהתאם לכך עליו לבחור את הכלי שייתן מענה לניהול הסיכונים ויסייע לארגון לעמוד בדרישות הרגולציה.

פתרון כזה מתאים לארגונים המעסיקים 100-50 עובדים ומעלה, ובכלל לכל ארגון שנדרש לציית לרגולציות שונות או להקפיד על נהלים פנים-ארגוניים. אם מנהלים את מערכת ה-GRC בצורה חכמה, הרווח הוא עצום: כל מי שיש לו גישה למידע יוכל להבחין בכל הבעיות הקיימות בארגון, לרבות באבטחת המידע שלו, ולהתריע עליהן. באמצעות ה-Workflow של התהליכים העסקיים ניתן לראות באיזה אופן הארגון מאובטח (אם בכלל), מהן הפרצות הקיימות – וכיצד ניתן להגן על המידע.

מסיבה זו מומלץ לעבור לטרמינולוגיה של 'הגנה על מידע' ולא 'אבטחת מידע', כי ההגנה על המידע היא תהליך נרחב יותר, ובמסגרתו ניתן וצריך לאבטח את המידע.

כיום התקנים בנושא הגנת המידע מדברים על ניהול סיכוני מידע וסייבר – והדרך להשיג זאת, הדרך לעמוד בתקנים ולהגן באופן מיטבי על המידע הארגוני, היא באמצעות הקפדה על ניהול ממשל תאגידי ועל יישום פתרון GRC פשוט ויעיל. 

מתוך תחקיר pCon 829