סקר סיכונים בארגון: מה זה בדיוק וכיצד משתמשים בו לייעול החברה?

איש מחזיק עט וכותב בדף

סקר סיכונים בארגון או בשמו המקצועי הפורמלי: "הערכת סיכונים מבוקרת" הוא מעין תהליך של בדיקה והערכה לכלל הסיכונים האפשריים שקיימים בקרב חברה עסקית מסוימת, שעלולים לגרום לכשלים תפקודיים או להפסקת הפעילות השוטפת של אותה חברה. כשלים אלה יכולים להיות ברמת הביטחון הפיזי או ביטחון המידע, היכולת להיערך למצבי חירום, התוכנית הכלכלית, האסטרטגיה של בית העסק, עובדיו, נכסיו, בעלי המקצוע הפועלים מולו ועוד. לכל חברה קיימים סיכונים מסוימים באופן פנימי וחיצוני ועל כן מספק הסקר מידע מפורט ככל האפשר לגבי סכנות קיימות ופוטנציאליות.

 

מהם היתרונות המשמעותיים של הסקר?

ביצוע הסקר יתבצע על ידי בניית תרחישי סיכון אפשריים, אלא שהדבר אפשרי כל עוד יש לכם את הנתונים המתאימים על פעילותה של החברה מכל זווית אפשרית. כיצד משיגים את נתונים אלה? באמצעות חקירה פרטית ממולחת, שתרכז את כל הנתונים הקיימים בנוגע למחלקות השונות: המערך הלוגיסטי, מערך משאבי האנוש, השיווק, הפעולות הכלכליות המבוצעות ועוד. לאחר שיסתיים הסקר ויתקבלו הממצאים, יהיה אפשר לשקול כיצד למנוע או למזער כל אחד מהסיכונים הללו. ככל שרמות הסיכון הולכות ופוחתות, ניתן לספק לעסק יעילות גבוהה לתהליכים שונים, לחסוך בהוצאות משמעותיות ולהביא לרווחיות גבוהה בהרבה לטווח הקצר והארוך, שתביא לשיתופי פעולה מוצלחים יותר מול חברות ותאגידים אחרים.

 

הסוגים, השלבים, השאלות הבוערות והתוצאות שחייבים להתייחס אליהן

למעשה קיימים שני סוגים של סקר סיכונים בארגון: האחד מתייחס לנזק פיזי פוטנציאלי בסביבת העבודה והשני לנזק שנגרם במערכות המידע העסקיות, דהיינו אבטחת מידע. תוצאות שני הסקרים (מומלץ מאוד לבצע את שניהם) יוגשו למנהלים ולמקבלי ההחלטות בארגון והם יחליטו על דרכי הפעולות שלהם הלאה.

לכל סקר ישנם שלושה שלבים עיקריים: הראשון הוא איסוף המידע המקדים לגבי מאפייני המקום, בעלי התפקידים, תחומי האחריות וכו'.

השלב השני כולל את מהלך ניתוח המידע ומיפוי הסיכונים האפשריים כמו: גניבת מידע, פגיעה בנתונים או בתהליכים, עבירות אבטחה, חשיפת מידע סודי ועוד. שלב זה כולל מספר מעגלי התייחסות הבוחנים כל סיכון לגופו ומבצעים מבדקים בשטח, ראיונות ושיחות עם עובדים, מדגמים וטסטים, ביצוע גיבויים ובדיקת בסיסי נתונים וירטואליים.

בשלב השלישי והאחרון יופקו התוצאות כולל הערכה והמלצות אפשריות. שלב זה כולל גם את ההסתברות שיתרחש כל אחד מהסיכויים, כך שבארגון יוכלו לקבל תמונת מצב ריאלית ומדויקת ככל האפשר: מהם הנכסים הפגיעים או החשופים לפגיעה כרגע? האם קימת בארגון אבטחה יעילה? מהם הפתרונות שצריך ליישם בדחיפות לשם הגברה והתייעלות של מערך האבטחה? האם ניתן לחסוך בעלויות? מהם האיומים הקיימים? הסקר יכלול המלצות לגבי דרך העבודה מול העובדים, הספקים והשותפים, הטיפול בניירת משרדית, פעולות למניעת ריגול עסקי, אופציות חדשניות להגנת סייבר ועוד.