OK יועצים לניהול

אחת הסוגיות המעניינות בתקן 27001:2022 ISO היא הדרישה להפרדת תפקידים, Segregation of duties, SoD.
הגרסה הנוכחית של תקן ISO 27001:2022, מדגישה את הדרישה הזו, ואת תפקידה הקריטי של דרישת SoD בהפחתת סיכונים שעלולים לנבוע מעקיפת בקרות אבטחת מידע, שעלולות לגרום לשגיאות, חדירות לארגון ואף להונאות.

המאמר שלהלן מגדיר את חשיבות הדרישה חדשה בתקן ב-ISO 27001:2022 לנושא הפרדת תפקידים בתחום ניהול אבטחת מידע ומתמקד ספציפית בדרישה להפריד בין ניהול תהליך הסמכה לתקן 27001:2022 ותפקיד ניהול ה-IT בחברה.

מהי הפרדת תפקידים?

הפרדת תפקידים היא אמצעי בקרה הכולל חלוקת משימות ואחריות בין אנשים או צוותים שונים כדי למנוע מכל אדם בודד את היכולת לבצע מטלות סותרות. הפרדה זו נועדה להפחית את הסבירות לפעילויות לא מורשות, ולהבטיח שלאף אדם בודד אין את הכוח לסכן את אבטחת המידע הרגיש.

מדוע עיקרון הפרדת תפקידים, SoD, כה חשוב שניתן לו דגש מיוחד ב-ISO 27001:2022?

תקן ISO 27001:2022 המעודכן מדגיש את הצורך בהפרדת אחריות וסמכות בין בעלי תפקידים כאמצעי לשמירה על היושרה, הסודיות והזמינות של המידע. על ידי הטמעת SoD, ארגונים יכולים להפחית באופן משמעותי את הסיכון לאיומים פנימיים, כגון הונאה או פרצות מידע, שעלולים להוביל לפגיעה פיננסית ומוניטין חמורה.

אזורי מפתח להפרדה

התקן מספק דוגמאות לפעילויות הדורשות הפרדה, כולל:

• ייזום, אישור וביצוע שינויים.
• בקשה, אישור ויישום זכויות גישה.
• עיצוב, הטמעה ובדיקת קוד.
• פיתוח תוכנות וניהול מערכות ייצור.
• שימוש וניהול יישומים.
• שימוש ביישומים וניהול מסדי נתונים.
• תכנון, ביקורת והבטחת בקרות אבטחת מידע.

כדאי להפריד בין התפקידים הבאים:
א. ניהול מערכת אבטחת מידע
מגדיר את הבקרות על מערכת אבטחת מידע, ואחת לתקופה בודק את יישום הבקרות כחלק מתהליך ההסמכה השנתי לתקן 27001:2022 ISO
ב. ביצוע בפועל של הבקרות

כל תפקיד – דורש כשירות מיוחדת. ביצוע מבדקים, למשל: חייב להיות על ידי גורם בלתי תלוי.

אתגרים ופתרונות

בעוד שהעיקרון של SoD הוא פשוט, היישום שלו יכול להיות מאתגר, במיוחד עבור ארגונים קטנים עם כוח אדם מוגבל. למרות זאת, הדרישה היא שהעיקרון יישמר.
כלים אוטומטיים יכולים לסייע בזיהוי ופתרון קונפליקטים, כגון: קונפליקטים בהרשאות גישה.
כאשר הפרדה קשה, כדאי לשקול הוצאה של אחד התפקידים למיקור חוץ: ניהול מערכת אבטחת מידע או ניהול CISO.

הפרדת תפקיד ניהול מערכת אבטחת מידע, לבין ביצוע בפועל של בקרות אבטחת מידע

הפרדת תפקיד ניהול ההסמכה לתקן ISO 27001 מניהול שוטף של ה- IT היא החלטה אסטרטגית המשפרת את האובייקטיביות, משפרת את המיקוד, מבטיחה אחריות ומייעלת הקצאת משאבים, כל אלו חיוניים לשמירה על מערכת ניהול אבטחת מידע איתנה.

להלן היתרונות בהפרדת התפקידים, גם לארגונים שאינם עוברים תהליך הסמכה לתקן 27001:2022 ISO או ארגונים ששוקלים לעקוף את הדרישה, בהנחה שהסוקר לא "יעניש" אותם על כך, ברישום ממצא לתיקון.

1. הימנעות מניגוד עניינים

ניהול IT אחראי בעיקר על ההיבטים התפעוליים של טכנולוגיית המידע בתוך הארגון, לרבות הטמעה ותחזוקה של מערכות ותהליכי IT. לעומת זאת, ניהול הסמכת ISO 27001 מתמקד בהבטחת מערכת ניהול אבטחת המידע (ISMS) עומדת בדרישות התקן. שילוב התפקידים הללו עלול להוביל לניגוד עניינים, כאשר ניהול ה-IT עשוי לתעדף יעילות תפעולית על פני תאימות לאבטחה.

2. אובייקטיביות מוגברת

הפרדת התפקידים הללו מבטיחה שהאדם או הצוות האחראים להסמכת ISO 27001 יכולים לשמור על נקודת מבט אובייקטיבית. אובייקטיביות זו חיונית לביצוע הערכות חסרות פניות של נוהלי אבטחת המידע בארגון ולזיהוי אזורים בהם נדרשים שיפורים כדי לעמוד בדרישות התקן.

3. מיקוד משופר

ניהול הסמכת ISO 27001 מצריך הבנה עמוקה של התקן והתמקדות בהיבטים הרחבים יותר של ניהול אבטחת מידע. הפרדת תפקיד זה מניהול ה-IT מאפשרת לצוות המיועד להתרכז אך ורק ביוזמות ציות ושיפור אבטחה, מבלי להכביד על האתגרים התפעוליים היומיומיים של ניהול ה-IT.

4. ניהול סיכונים

הפרדת תפקידים אלו מאפשרת ניהול סיכונים טוב יותר. ניהול IT יכול להתמקד בטיפול בסיכונים תפעוליים ובהבטחת תפקוד חלק של מערכות IT, בעוד שצוות הניהול של ISO 27001 יכול להתרכז בזיהוי, הערכה והפחתת סיכוני אבטחת מידע בהתאם לדרישות התקן.

5. אחריות ושקיפות

תפקידים ברורים עבור ניהול הסמכות ISO 27001 וניהול IT מקדם אחריות ושקיפות בתוך הארגון. כל צוות אחראי לתוצאות ספציפיות, מה שמקל על מעקב אחר ביצועים, זיהוי בעיות ויישום פעולות מתקנות.

6. אופטימיזציה של משאבים

הפרדת התפקידים הללו מאפשרת הקצאה יעילה יותר של משאבים. ניהול IT יכול להתמקד באופטימיזציה של השימוש בטכנולוגיה ובכוח אדם לצורך אפקטיביות תפעולית, בעוד שצוות הניהול של ISO 27001 יכול להקצות משאבים במיוחד לשיפורי אבטחה ופעילויות תאימות.

סיכום

הפרדת התפקידים היא מרכיב קריטי בתקן ISO 27001:2022, המשמש מרכיב יסוד בהקמת מערכת ניהול אבטחת מידע איתנה. על ידי הקפדה על עיקרון זה, ארגונים יכולים לשפר משמעותית את עמדת האבטחה שלהם, להגן על נכסיהם ולבנות אמון עם מחזיקי עניין.

איך אפשר לעזור?

מזמינה ארגונים ששוקלים להשתמש בייעוץ או מיקור חוץ לחלק מהתפקידים כדי לשמור על הפרדת תפקידים לפנות אלי ישירות, כדי להתייעץ איתי או עם אחד המומחים שלנו בנושא זה או בכל נושא אחר.
אורנה קמין, ok-consulting.co.il, 0537739018

ארגונים רבים מחפשים דרך ללמוד על שביעות רצון לקוחותיהם אך נמנעים לעשות סקרים ממגוון סיבות טובות:

• משאבים – ביצוע סקר כהלכתו דורש השקעת משאבים בפיתוח הסקר, בהפצתו ובניתוח התוצאות. לא תמיד לארגון יש את המשאבים והאנרגיה / חשק לעשות זאת.
• עייפות סקרים: עם המספר ההולך וגדל של סקרים שנערכים על ידי חברות שונות, לקוחות חווים עייפות סקרים. התוצאה היא שיעור תגובה נמוך.
• אי רצון להעיר את הדובים: חברות עשויות להסס לערוך סקרים בשל חשש לשמוע משוב שלילי או שהמשוב יפתח תיבת פנדורה של תלונות או בקשות לשינוי המוצר או השירות. הדבר נכון במיוחד עבור ארגונים שאינם בשלים להתמודד עם ביקורת או שאין להם תרבות של פתיחות למשוב ושיפור מתמיד.
• אי ביצוע פעולות מתקנות בעקבות המשוב: נזכור שמטרת הסקר היא לשמוע משוב ולשפר את חווית הלקוח בהתאם. כאשר אין בחברה תרבות של הפקת לקחים מהמשוב, חבל על המאמץ. תשאלו את עצמכם? כמה פעמים חזרו אליכם בעקבות משוב שלילי שנתתם בסקר?
• קושי בעיבוד נתונים: כדי לערוך סקר כהלכתו צריך לדגום מספר משמעותי של לקוחות ולעבד את הנתונים. לעיתים, כדי לצאת ידי חובה עורכים סקר על מספר קטן ולא משמעותי של לקוחות ובהתאם – המסקנות עלולות להיות שגויות.

מדדי נאמנות לקוחות

אחת הדרכים ללכת בלי ולהרגיש עם היא בדיקה עד כמה הלקוחות נאמנים לחברה/ מוצר / שירות / מותג. רכישות חוזרות מעידות על שביעות רצון גבוהה. נאמנות לקוחות הוא גם מדד רגשי מעבר לביצוע עסקה כזו או אחרת. ללקוח נאמן יש רגש חיובי כלפי החברה, מעבר לשביעות רצונו מהעסקה האחרונה.

יש מספר דרכים למדידת שביעות רצון לקוחות באמצעות מדידת הנאמנות, ובזאת מתמקד מאמרי זה.

מדד רכישה חוזרת / שיעור שימור לקוחות

מודד באיזו תדירות לקוחות חוזרים לקנות את המוצר או השירות של החברה. שיעור גבוה של רכישה חוזרת מעיד על שביעות רצון גבוהה ונאמנות לקוחות.

מדד זה ניתן להיעשות כתוצאה מניתוח רכישות של לקוחות. שינויים לרעה בהרגלי הצריכה יכולים להעיד על חוסר שביעות רצון ובהחלט כדאי לבדוק עם לקוחות כאלה לגבי הסיבה של הירידה או הפסקת הרכישות.

שיעור שימור לקוחות  הוא שם אחר לאותו מדד. שיעורי שימור גבוהים מעידים בדרך כלל על שביעות רצון ונאמנות גבוהה של לקוחות.

מדד Customer Lifetime Value –  CLV     

מדידת ערך הלקוח עבור החברה לאורך מחזור חיי העבודה עם אותו לקוח. אמנם מדד זה מודד את שביעות רצון הלקוחות באופן עקיף, אך הוא קושר בין שביעות רצון הלקוח לבין מידת הרצון של הלקוח להמשיך לעשות עסקים עם החברה. אין מה להתבייש – המדד קושר בין שביעות רצון הלקוח למידת השווי שלו לחברה. ככל שערך ה-CLV גבוה יותר כך שביעות רצון הלקוח גבוהה יותר ובהתאם נאמנותו לחברה.

מוזמנים לקרוא בהרחבה על המדד במאמר שקישורו להלן – שביעות רצון לקוח – ללכת בלי ולהרגיש עם..

 מדד Net Promoting Score – NPS

מדד קלאסי שבו לקוחות נשאלים מה הסיכוי שהם ימליצו על מוצר או שירות לאחרים. ציון זה מחלק את הלקוחות למקדמים (ציון 9-10), אדישים (ציון 7-8) ולא מרוצים (ציון 1-6), נותן תמונה ברורה של נאמנות.

ניסיוני מראה לי שהשאלה – עד כמה תהיו מוכנים להמליץ עלינו היא לא שאלה מיטבית כיוון שיש לקוחות מרוצים שאינם רוצים להמליץ.   ואריאציה על השאלה יכולה להיות – עד כמה אתם מרוצים מהמוצר שירות שלנו, בטווח 1-10.

לקוחות שנותנים ציון 8 ומטה שואלים שאלה שנייה: מה אנו יכולים לשפר כדי ששביעות הרצון שלך מהמוצר/שירות שלנו תהיה ברמה של 9 לפחות.

מדד זה שואל את הלקוחות שאלה אחת אם ענו ציון 9-10 ושאלה נוספת אם ענו ציון 8 ומטה.   מדד זה בעצם מושך משוב שכן ציון 8 הוא לא מספק! אנו לא רוצים רק להיות טובים. אנו רוצים להיות טובים מאד או מצוינים.

מדד זה מאפשר לאסוף מידע מלקוחות בלי הדרמה הגדולה של סקר לקוחות.

אפשר לשאול את השאלה בסיום אבן דרך או שחרור מוצר בלי הדרמה הגדולה של הסקר.

מוזמנים לקרוא בהרחבה על המדד במאמר שקישורו להלן – רוצים לדעת כיצד תבדקו את נאמנות הלקוחות שלכם בצורה קלה ולא מציקה?

שילוב מספר מדדים לראייה הוליסטית:

כדי למדוד ביעילות את שביעות רצון הלקוחות באמצעות נאמנות, עדיף לשלב נתונים ממספר מדדים, כמו המדדים שהוזכרו לעיל וגם לבצע סקרי שביעות רצון לקוחות.

איך אתם מתייחסים לנושא?

עושים סקרים? משתמשים במדד מסוים מתוך הנ"ל? משלבים נתונים? לא עושים כי לא מסתדר?
מצפה לשמוע מיכם