האקסל כבר לא מספיק

עופר גיגי,

אימרו "לא!" לשימוש באקסל ככלי לבקרת הרשאות

תוכנת האקסל (*Excel) הוותיקה והטובה היא מערכת עם יכולות מופלאות לניהול נתונים. למרות זאת, ישנם תחומים בהם שימוש בגליונות נתונים (כדוגמת אקסל) פשוט חוטא למטרה.

"בקרת הרשאות" - על מה מדובר?

ארגונים רבים, בארץ ובעולם, נדרשים לבצע בדיקה יזומה ומחזורית של מערך ההרשאות הארגוני מכורח החוק או תקנות ("רגולציות"). לדוגמא: אחת לתקופה, יש לבדוק את כל ההרשאות במערכת הכספים הארגונית, ולוודא כי רק משתמשים מסוימים מסוגלים לבצע פעולות מסוימות במערכת. זו אולי אינה משימה מסובכת אם כל מה שיש לבדוק זה רק את מערכת הכספים, אך מה קורה אם מדובר בארגון עם 10,000 משתמשים, ומתוכם רק מחלקת הכספים מונה מאות משתמשים, האם כולם מורשים לבצע פעולות במערכת הכספים הרגישה?

 התמונה מסובכת יותר כאשר מכורח הרגולציות קיימת חובה לבדוק הרשאות לא רק במערכת רגישה אחת (כמו מערכת כספים), אלא במאות מערכות, כולן מכילות נתונים רגישים ועל כולן יש לבצע פעילות מחזורית של בדיקת ההרשאות. בכל בדיקה חייבים לאשרר הרשאות חיוניות, ולבטל הרשאות שאינן נחוצות יותר.

מוזר, אך מסתבר שהרוב המוחלט של הארגונים הגדולים באמת שמונים אלפי ועשרות-אלפי משתמשים, עדיין מנסה "להשתלט" על משימת בקרת ההרשאות באמצעות גיליונות נתונים. המציאות המפתיעה מראה כי מרבית הארגונים מנהלים את בקרת ההרשאות שלהם באופן הבא: אנשי המחשוב מבצעים "שליפת" רשימת כל המשתמשים וההרשאות ממערכות תוכנה ארגוניות אל תוך גיליונות נתונים בקבצי אקסל, ומעבירים את הקבצים למנהלים האחראים, כל אחד לפי תחומו (למשל: ריכוז ההרשאות במערכות פיננסיות – לסקירה על ידי מנהל הכספים). כל מנהל אמור לקרוא את הנתונים באקסל, להחליט את מי מהמשתמשים או ההרשאות יש להשאיר ומה יש לבטל. כשהוא מסיים לעבור ולסמן באקסל, מעביר המנהל את הקובץ בחזרה לאנשי מחשוב. אנשי המחשוב אמורים לבטל ממערכת התוכנה המבוקרת (למשל: מערכת הכספים) את ההרשאות שסומנו באקסל כלא תקינות.

במציאות, מדובר בעשרות ואף מאות קבצי אקסל שמועברים בארגון למטרת סקירה, בכל שנה. בנוסף, הנתונים באותם קבצים פשוט אינם מובנים ברובם המכריע למנהל (שפה "טכנית" של קודים והרשאות). יוצא מכך שמרביתם המוחלטת של סוקרי ההרשאות אינם מבינים את המידע עליהם הם נדרשים לחתום, או אינם מסוגלים "להפריד את המוץ מן התבן" ולסמן רק את ההרשאות הבעייתיות אותן יש להסיר. יתר על כן, גם איסוף המידע אל תוך קבצים בתחילת התהליך, ופיזורו לביצוע שנויים בסוף התהליך – הן פעולות שלרוב מצריכות שילוב מספר גורמי מחשוב שונים בתוך הארגון, מה שכמובן מסבך אף יותר את התהליך.

איפה הסכנה?

תחשבו על זה: מי מעובדי הבנק יכול לשנות נתונים ולהשפיע על דיווחי הרווחיות של הבנק? איזה עובד יכול להשפיע על מצב היתרות של לקוחות הפרימיום? מי מעובדי המוסד הביטחוני הרגיש מסוגל להעתיק תכניות של נשק חדש?

הצורך בבקרת הרשאות מיועד למנוע סיכונים לארגון. סיכונים כאלה קיימים אם מידע רגיש הנו חשוף לעיניים לא רצויות, או ניתן לשנוי על ידי גורמים לא מוסמכים. במילים אחרות – אם למשתמשים קיימות הרשאות שלא לצורך.

אם תהליך בקרת ההרשאות אינו מסוגל לאתר את ההרשאות המיותרות (למשל: כי המנהל שאחראי לכך פשוט אינו יכול להבין את המונחים הטכניים של ההרשאות), יוצא כי בארגונים גדולים ומורכבים קיימות חריגות אבטחת מידע שפשוט "צועקות לשמיים", לא מאותרות, ואינן מטופלות כראוי – למרות "תהליך בקרה" שלכאורה מבוצע שוב ושוב מכורח החוק או הרגולציה.

אף מוסד פיננסי או בטחוני גדול, לא היה "חולם" לנהל גם את קשרי הלקוחות או תהליכי התפעול הארגוניים בקובץ אקסל. תארו לעצמכם שספק שירותי סלולר, קופת-חולים או בנק גדול שפניתם אליו מנהל את מערך התמיכה שלו באמצעות גיליונות נתונים. בהיקף נתונים של מיליוני שורות בקובץ הלקוחות, סביר מאד שכל שיחה עם מוקד השירות תתארך בזמן שנציג השירות ינסה לשלוף או לעדכן את המידע הנחוץ. ברור גם שזו רק שאלה של זמן עד שטעויות של ממש יופיעו במידע בעקבות עדכון שגוי. כך קורה כשמטפלים ידנית באתגרים שדורשים מענה ממוכן.

אחריות מנהלים בכירים

גם בארץ, ארגונים רבים מחויבים לעמוד ברגולציה (לעיתים יותר מאחת) המחייבת דיווח על קיומן של בקרות נאותות. למעשה, החוק מטיל על מנהלים אחריות (ולא פעם - אחריות אישית) לקיים מדיניות ומנגנוני בקרת ההרשאות אפקטיביים.

בארגונים גדולים מאד המידע הרגיש פזור במוקדים רבים בתשתיות המידע. לעיתים קרובות מדובר במאות אפליקציות ושרתים שונים. מנהל שרוצה לדעת בבטחה מי מורשה לבצע איזו פעילות צריך לאסוף נתונים ממספר רב של מקורות, ולבצע ניתוח ו"הצלבות" על כמויות מידע עצומות.

באופן תמוה, ארגונים גדולים רבים מנסים עדיין להשתלט על תחום בקרת ההרשאות בעזרת "תהליך" ארגוני מבוסס תכתובות דואר אלקטרוני וקבצי אקסל, במשחק ארוך ולא אפקטיבי בעליל של "חתול ועכבר" עם מנהלי המידע והנתונים שלהם, עם העובדים הבכירים והזוטרים, הוותיקים והחדשים, עם אפליקציות פשוטות ומורכבות - משחק שאדם לא יכול לנצח בו ללא כלים מתאימים. התוצאה היא הקצאה עצומה של זמן ושל כוח אדם ייעודי (ואיכותי!), ש"רץ אחרי הזנב של עצמו" בניסיון לסתום פרצות שיד-אדם עם כלים בסיסיים פשוט לא יכולים לחסום לבדם.

ה- ERP של בקרת ההרשאות

בשנים האחרונות הוגדר נושא בקרת ההרשאות (המוכר גם כ Identity and Access Governance) כתחום בפני עצמו, ופעילים בו מספר יצרני תוכנה. למעשה, חברות מחקר גדולות (כמו גרטנר, פורסטר ו IDC) כבר מתייחסות לתחום זה כנושא מרכזי ועצמאי, תוך מיפוי ודירוג היצרנים הפעילים בעולם.

יצרנים אלה הצליחו לספק מוצרים לריכוז ואוטומציה של תהליך בקרת ההרשאות הארגוני, מוצרים המאפשרים לארגונים לעמוד במשימה המורכבת של מעקב מתמיד אחר תמונת ההרשאות, ואף לאתר אוטומטית הרשאות חריגות ולהסיר אותן.

  • הפעלת כלי תוכנה אלה מאפשרת לא רק לאתר את הבעיות במצב הקיים, אלא גם למכן ו"להכניס סדר" בכל תהליך שנוי ההרשאות בארגון, כמו במצב של קליטת עובד חדש, שנוי תפקיד של עובד וכמובן – עזיבת העובד את הארגון.
  • מערכת שבנויה למנהלים עסקיים, עליהם חלה חובת הבקרה, תאפשר להציג לכל בעל מידע את ההרשאות להם הוא נדרש לתת את הדעת, ובמונחים עסקיים ברורים ומובנים. מערכת בקרת הרשאות יכולה להפעיל אוטומטית סקירה מוכוונת מנהלים. לדוגמא – המערכת תראה למנהל הכספים את כל מי שמסוגל לשנות נתונים במערכת הנהלת החשבונות. מנהל הכספים יידרש לאשר הרשאות נכונות, או לסמן כי נדרשת הסרת הרשאות שאינן נחוצות יותר. מערכת בקרת ההרשאות תדאג להתניע תהליך ארגוני להסרת ההרשאות המיותרות.
  • ה- "אבולוציה" הטבעית של התרחבות מערכות המידע הארגוניות, יחד עם גידול בהיקף המשתמשים במערכות, ויחד עם גידול אמצעי הגישה לנתונים, הביאה למציאות שבה כבר לא ניתן להמשיך ולנהל מה שפעם אכן היה משימה פשוטה יותר -  בתוך Excel, ולבסס על כך "תהליך" בקרת הרשאות.
  • בארגונים מעל גודל ומורכבות מסוימת (בדרך כלל אלפי עובדים ועשרות יישומים רגישים), הדרך האפקטיבית היחידה להתמודד עם משימות הבקרה היא באמצעות מנגנונים מתקדמים של בקרת הרשאות, או: Identity and Access Governance.
  • * מאמר זה מתייחס ל Excel כדוגמא בלבד לתוכנות גליון נתונים.

 

קישורים רלוונטיים:

קישור למאמר באתר לשכת רואי החשבון