ביקורת מערכות מידע

רמי איצלב, M.B.A, CISA 

מטרת מאמר זה היא להבהיר מהי ביקורת מערכות מידע, עד כמה היא חשובה לארגון ומהן ההשלכות של הזנחת פונקציה זו.

על- פי ההגדרה 1 "..ביקורת מערכות מידע הינה תחום מקצועי שמטרתו הגדלת הוודאות כי מערכות המידע בארגון פועלות באופן תקין. זהו תת-תחום של ביקורת. ביקורות מערכות מידע הינה עיסוק בינתחומי המשלב התמחויות מתחום הפיננסים וראיית החשבון עם התמחויות בתחום מערכות המידע והמחשבים.

ביקורת מערכות מידע יכולה לפעול בשירות הביקורת הפנימית או הביקורת החיצונית. כמו בתחום הביקורת בכלל, גם בתחום זה הלקוחות העיקריים לתוצרי הביקורת הינם גורמים ניהוליים של התאגיד ובפרט הדירקטוריון, ועדת ביקורת של הדירקטוריון, מנהל כללי וגורמים נוספים.."
לביקורת מערכות מידע שם נרדף נוסף הנמצא בשימוש בארגונים מסוימים: ביקורת ענ"א (ביקורת עיבוד נתונים אוטומטי).

רוב העוסקים בתחום זה למדו את עבודתם ורכשו ניסיון כמתמחים אצל מבקרים וותיקים אחרים. הדבר מייחד את המקצוע ומקשה על הכניסה למעגל העוסקים בו.
יש לציין כי קיימת הסמכה בינלאומית (CISA) למבקרי מערכות מידע על-ידי ארגון מבקרי מערכות מידע ואבטחת מידע בימלאומי ISACA 2. ההסמכה ניתנת על בסיס הצלחה במבחן מקצועי ועמידה בתנאים נוספים (ניסיון בתחום, השכלה אקדמית ועוד).

תמונת מצב קיים בתחום ביקורת מערכות מידע

ביקורת מערכות מידע ניתנת כיום בעיקר כחלק מפונקציית הביקורת הפנימית בארגונים. גם ביקורת חיצונית (המיוצגת על-ידי פירמות רואי החשבון השונות) נעזרת במבקרי מערכות מידע, אך מדובר בעבודות מאוד ספציפיות ומוגבלות על-פי הגדרתן (כגון: ניתוח נתוני ספר ראשי, GL, לאיתור מעילות ושגיאות).

עקב תיחומה ושיוכה של ביקורת מערכות מידע לפונקציית הביקורת הפנימית, היא סובלת מאותן "המחלות הכרוניות".
באפריל 2008 פרסמו רשות ניירות הערך ולשכת המבקרים הפנימיים ישראל דוח חמור בנוגע למצב הביקורת הפנימית בארץ. הדוח בחן את הדיווחים שהעבירו לרשות ניירות הערך 500 חברות ציבוריות במהלך השנים 2004, 2005 ו-2006.

הדוח קובע כי "..ביקורת פנים הינה בגדר קישוט אירגוני בלבד.." וכי לא קיימת ביקורת פנים ראויה לשמה בחברות הציבוריות, על אף שהן מחויבות לכך על פי החוק.

להלן מספר עובדות מדאיגות שהועלו בדוח:
- 87%  מהחברות דיווחו על היקף שעות ביקורת פנים שנתיות השקול לרבע משרה בלבד
-  28% מהחברות לא דיווחו כלל על מספר דוחות הביקורת שבוצע בהן
- מבין החברות שדיווחו על מספר הדוחות 83% ניפקו רק שלושה דוחות ביקורת פנים בשנה - פחות מדוח אחד  לרבעון.

לאור הממצאים הנ"ל ניתן להסיק בקלות כי כמות דוחות הביקורת שעסקו בביקורת מערכות מידע הייתה עוד יותר קטנה. יותר מזה, בחלק מהחברות ביקורת מערכות מידע לא נערכה כלל.
נציין כי מערכות המידע ששימשו בעבר כלי עזר בלבד בידי המפעילים, הפכו בימינו לפס הייצור של החברות, ליתרון תחרותי ולליבת הרווחיות הארגונית.
בהיעדר ביקורת מערכות מידע לא יתגלו ולא יטופלו חשיפות שונות בפיתוח ותחזוקת המערכות, אבטחת המידע, גיבויים ועוד.

בחברות רבות כשל חמור בתחומים הנ"ל עלול להביא לקריסה וביטול הארגון כיישות עסקית (לדוגמה, כתוצאה מאבדן כל הנתונים הממוחשבים או עזיבה מאסיבית של הלקוחות).
גם כשלים שאינם חמורים גורמים לנזקים כספיים, עיכובים מיותרים, השקעה בפרוייקטים כושלים, בזבוז זמן עבודה יקר ופגיעה במוניטין החברות.
 
השלכות של הזנחת ביקורת מערכות מידע
להלן פירוט של סיכונים (רשימה חלקית לפי תחומים) שעלולים להתממש בסבירות גבוהה אם לא מקיימים ביקורת מערכות מידע נאותה:
-  פיתוח תוכנה
מדובר בתהליכי פיתוח מערכות מידע חדשות או הכנסת שינויים ושדרוגים במערכות הקיימות. התהליך כולל כתיבת קוד תוכנה ושינויים בבסיסי הנתונים ובאפליקציות בסביבת הייצור (Production).
להלן הסיכונים:
• שתילת קוד זדוני במערכות התוכנה (BackDoors 3, TimeBombs 4 ועוד) והפעלתו בעת הצורך על-ידי האקרים או מתחרים.
• פיתוח קוד באיכות ירודה (קוד מסובך, ללא מדריכים מסודרים ועוד). קוד כזה קרוב לבלתי אפשרי לתחזוקה ויאלץ את החברה לפתח את היישומים מחדש תוך זמן קצר.
• אי-הכללה של מנגנונים חשובים בתוצר הסופי, עקב אילוצי זמן או כוח אדם (לדוגמא: אי הכללת דוחות בקרה חשובים, נתיב ביקורת (Log) או מודול הרשאות).
• העברת תוכנה לא תקינה (באגים מרובים) לסביבת הייצור, כתוצאה מאי-ביצוע בדיקות איכות. הפעלת מערכות מידע שאינן מתפקדות בצורה טובה בסביבת הייצור (שגיאות חישוב, זמני תגובה ארוכים, נפילות מערכת תכופות) עולה לארגונים ביוקר: הוצאות כספיות חריגות, בזבוז שעות עבודה ומשאבי מחשוב.
• אינטגרציה כושלת בין המערכות השונות בסביבת הייצור. התוצאות האפשריות הן נפילות המערכת, השבתת פעילות חלקית או מלאה ועוד.

-  רכש תוכנה
להלן הסיכונים:
• רכישת תוכנה שאינה תואמת את צורכי הארגון.
• רכישות ללא בדיקות מקדימות של תועלת או איכות הפיתרון המיכוני.

-  ניהול ספקי שירות חיצוניים
להלן הסיכונים:
• התקשרות עם גורמים לא מקצועיים.
• התקשרות יקרה מדי או לא כלכלית.
• יצירת תלות בספקים יחידים.
• איכות תוצרים ירודה עקב אי-ביצוע בדיקות איכות על-ידי הספק.
• חשיפת נתוני חברה רגישים בפני גורמים בלתי מורשים בצד הספק.

-  ניהול משתמשים
להלן הסיכונים:
• ביצוע מעילות על-ידי עובדי החברה תוך ניצול הרשאות גישה רחבות במערכות.
• תביעות משפטיות עקב הפרות הסכמים בכל הנוגע לשימוש ברשיונות תוכנה / תחנות עבודה.
• חשיפת נתונים רגישים ומעילות על-ידי עובדים לשעבר שחשבונות המשתמש שלהם לא בוטלו בזמן.

-  אבטחת מידע
אבטחת המידע בארגון היא כלב השמירה שבלעדיו אי-אפשר להתקיים. כשלים במערך האבטחה שאינם מתגלים בזמן עלולים להביא להשלכות חמורות.
להלן הסיכונים:
• ביטול יתרון תחרותי של החברה עקב גניבת אינפורמציה קריטית על-ידי המתחרים (לדוגמה, על-ידי השתלת סוסים טרויאניים).
• תביעות משפטיות נגד החברה עקב חשיפת אינפורמציה רגישה, על-פי חוק הגנת הפרטיות5.
• גניבת כספים מהחברה או מלקוחותיה על-ידי העברה אלקטרונית בלתי מורשית.
• פגיעת האקרים או מתחרים בנכסי המידע עקב תצורה לא נכונה של ההגנות על התקשורת (FireWalls 6, IDS 7).
• חשיפה או נזק לנתונים רגישים עקב התחברות בלתי מורשית של גורמים זדוניים לרשת הפנימית (לדוגמה, על-ידי ניצול פרוטוקול DHCP בסיסי 8).

- היערכות לשעת חירום
להלן הסיכונים:
• נזק כספי כבד או קריסה טוטאלית החברה בעת חירום (כגון: מלחמה, רעידת אדמה, פיגוע המוני) כתוצאה מפגיעה   קשה בנתונים ומידע, ללא יכולת לשחזרם.
• קנסות רגולטוריים (כגון:  מפקח על הבנקים, מפקח על הביטוח, רשות לניירות ערך ועוד) עקב אי-עמידה בדרישות היערכות לשעת חירום.

כיצד למנוע פגיעה בחברה
סוד ההצלחה הוא בקיום ביקורת מערכות מידע באופן עקבי, רציף ויעיל.
עקבי – עם היעדים העסקיים של החברה.
רציף – כל תחום פעילות או מערכת (לחלוקה מקובלת ניתן להיעזר ב- CobiT 9) אמורים להיבדק אחת לתקופה. התקופה מוגדרת בד"כ על-ידי רמת סיכון של התחום הנבדק.
יעיל – בדיקות מערכות מידע אינן אמורות להוות נטל (מחירים כבדים או עומס בלתי סביר על עובדי IT), עליהן להיערך במשך פרק זמן קצר יחסית (שבועות) ולהקיף אך ורק תחומים רלוונטיים (בהתאם למה שהוגדר לפני תחילת העבודה).

על הביקורת להתבצע על-ידי מומחים בתחום בעלי הסמכה מתאימה וניסיון מוכח. את נושא הניסיון יש לבחון בקפידה (חברות ייעוץ ומשרדי רואי חשבון מסוימים מקצים למשימות אלה עובדים זוטרים, "מתמחים" חסרי ניסיון, ללא פיקוח נאות).
נדרש לכלול את בדיקות מערכות המידע בתוכנית העבודה של מערך ה- IT, ללא קשר לרגולציה (כגון: SOX)  ולביקורת חיצונית (כגון: על-ידי רואה חשבון מבקר).

הערות
הגדרת ביקורת מערכות מידע 1 כפי שמופיעה בויקיפדיה www.wikipedia.com

לרישום במאגר המבקרים הממוחשב, לחצו כאן