האם "מחויבות לצפיית סיכונים ואיומים מראש" תהיה הגישה המיטבית הבאה ?

האם "מחויבות לצפיית סיכונים ואיומים מראש" תהיה הגישה המיטבית הבאה ?

Will anticipatory compliance be the next best practice?                                                                                                            http://www.huffingtonpost.com/tom-garrubba/will-anticipatory-complia_b_9213816.html

"ארגונים פיננסיים צריכים להיות ערוכים להראות שהם צופים מראש, חוקרים ופועלים בצורה פעילה סביב איומים הנראים לעין".

באחד הבלוגים שבו אני נוהג לבקר, הופיע פוסט המצטט הרצאה של John Ashcroft – מי שהיה התובע הכללי של ארצות הברית, אשר דיבר על סיכונים שאורבים לארגונים פיננסיים ועל ההיערכות המתחייבת מכך.
תמצית הדברים היא שבמציאות הרווחת, אנו עדים על בסיס כמעט יומיומי לאיומי סייבר מצד יריבים זרים, קבוצות אקטיביסטיות, סינדיקט הפשע, ואך מכותלי משרדינו.
אלה עלולים לגרום לשיבושים גדולים לארגונים, לספקי שירותי צד שלישי, ובסופו של דבר לצרכנים המסתמכים על מוצרים ושירותים המסופקים על ידי הארגונים. בנוסף לאיומי סייבר, צריך להוסיף למשוואה אירועים סביבתיים ופוליטיים, כי אלה יכולים להשפיע עוד יותר על שרשרת האספקה שלנו ומשווקי צד שלישי התומכים בתהליך ארגוני קריטי.
ועוד: ככל שארגונים נעים במהירות מרבית קדימה כדי להשיג את מטרותיהם, הם אולי לא תמיד לוקחים את הזמן הנדרש כדי לראות מידע על הרדאר שלהם המגלה איומים אפשריים לקו העסקים שלהם. זה אומר כי הם הופכים נעולים לאופן פעולה ראקטיבי (למשל, לכבות שריפות), ולכן קשה יותר ויותר למצוא את הזמן כדי לנתח את אופק האיום שלהם. וכאשר זמן זה נהיה זמין, המשאבים שלהם לעתים קרובות מדי נגררים שוב לתוך המערכה לטיפול בשריפה הבאה . בדרך זו, צפיית האיומים הופכת לחשיבה שלאחר מעשה, ולא חלק מתהליך התכנון.
מוסכם על חוקרים בתחום שהרגולטורים מודעים לפער הזה ומחפשים דרכים לסגור אותו.
על כן הם טוענים שעל ארגונים פיננסיים להתחיל להכין עצמם לבחינה קפדנית של האופן בו הם צופים איומים חדשים, קובעים מדיניות, הליכים, סטנדרטים ודרכי ביצוע לגבי השאלה כיצד להתמודד עמם, וכן כיצד הם מתעדים תהליכים אלה. תבנית צומחת זו תובעת שהתכנון וההערכה בכל ארגון יהיו הן גמישים והן איתנים.
אותם העקרונות אמורים לחול של משווקי צד שלישי ועל השימוש שהארגונים הפיננסיים עושים בהם לצורך תהליכים קריטיים. בין השאר, יש לבחון את הצעדים שמשווקי צד שלישי נוקטים בעניין מחויבות מקדמית לאיומים: ניטור, רישום מעקב והצגת ניתוחים לגבי סיכונים המשפיעים על מערכות מפתח ותהליכים שמשפיעים על לקוחותיהם.
לסיכום: משמעות המחויבות מראש היא לפקוח עיניים ולהטות אוזניים לזיהוי איומים וסיכונים כלפי עסקינו ופיתוח אסטרטגיה להתמודד איתם חזיתית. בנוסף, ארגונים אמורים לתעד עבודה זו ולהעמידה להערכת הסגל והרגולטורים".

 

ומה אנו יכולים ליישם מהניתוחים שהצגנו לעיל, על מערכות לשירותי אנוש (חינוך, רווחה, קהילה וכ')?
נדמה שהצעד הקשה אך המשמעותי מאוד נעוץ באיתור הסיכונים והאיומים שעלולים לעמוד בפתחם של תכניות ומדיניות של מערכות אלה.
זה המקום להציג את תמציתו של הניתוח המקדמי: (הערכה מקדמית)
א. הוא נועד לזהות מראש מרכיבים בהצעה ובהקשרים שלה שעלולים לפגוע באפקטיביות, ביעילות או בטיב הביצוע של התוכנית או המדיניות, בשני מישורים:

במישור הלוגי
– נקודות תורפה ופגמים בלוגיקה התכנונית או בהיערכות המוצעת לקראת הוצאתה אל הפועל של תכנית או מדיניות.

במישור העתידאי (הפרוספקטיבי)
– מכשולים, סיכונים פוטנציאליים, חסמים או התנגדויות שעלולים לעמוד בדרכה של התוכנית או המדיניות.
– תוצאות לוואי לא מתוכננות שהתוכנית או המדיניות עשויות "לייצר".

ב. הוא נועד לאפשר לקבל החלטות מבוססות אודות תיקונים, שיפורים, בניית היתכנות או אפילו דחיית הצעות. כמו כן, הניתוח המקדמי מאפשר לזהות מנופים, הזדמנויות ועוצמות שאולי לא אותרו על ידי המציעים.

ועתה, אזכיר כמה כלים מועילים שעשויים לשרת אותה "מחויבות לצפיית סיכונים ואיומים מראש":
– ניתוח SWOT
– סריקת סביבות הארגון
– בניית תרחישים
– סימולציות
– מטריצת "סיכונים-הסתברות התרחשות"privacy-cartoon
– ניתוח "תאוריית התכנית"

 

"Hurry it up, Solomon Brothers are waiting for my decision"

 

 

 

השארת תגובה