התנהגות אישית בארגונים כבסיס לרישוי ולציות לרגולציה
מאת:
אבי וייס, 6.10.13, 21:30
בלעדי: הרשאות, רישוי מערכות, ניטור סיכונים וציות לכללי הרגולציה, תוך הפרדת תפקידים, הם מהנושאים הקשים המהווים "חור שחור "בארגונים. לא עוד, עם הפתרונות של חברת הסטארט-אפ אקספנדיון.
"הנקודה המרכזית, שראינו בלתי פתורה: בניית פרופילים של התנהגות אנושית. זה לא היה דבר ברור וזה הלב של הרגולציה הפיננסית", מדגיש
משה פנצר, מנכ"ל אקספנדיון (
Xpandion) (בתמונה). "ראינו, שיש צורך לזהות עובדים, שעושים דברים, שהם לא במסלול הרגיל של עבודתם. לא היה פתרון כזה בשוק".
קיימתי ראיון בלעדי עם
משה פנצר, כדי לשמוע מה חדש בעולם הרישוי והרגולציה בארגונים, לאור המהפכות המהירות המתחוללות ממש מול עינינו בתחומים הללו והמעבר של מערכות התוכנה הארגוניות לענן.
שאלה: מה אקספנדיון מפתחת?
משה פנצר: "קמנו ב- 2007, לאחר ניסיון רב שנים בתחום ה-
SAP ומערכות המידע ולאחר אקזיט של כמה חברות בעולם ה-
SAP ושירותי המידע. ב- 2007 הבשילו התנאים, שלפיהם נראה לי ולשותף שלי לרעיון –
יואב מיכאלי (כיום מנהל הפיתוח של אקספנדיון) להיכנס לתחום הרגולציה הפיננסית. זה תחום, שהתחיל להתפתח בשנות האלפיים, אבל לקח שנים לא מעטות עד שהבשיל.
בחרנו בשם של עוף הצופה מרחוק, שיודע לזהות דג במים מגובה רב, לצלול אליו ולשלוף אותו מהמים. ה-
X בתחילת השם בא מאותו רעיון: אנו באים לזהות משתמשים החורגים מהנורמה שלהם.
לקח לנו שנתיים וחצי להוציא מוצר ראשון. זה לא היה פשוט. אולם, ראינו, שזה שוק לא גדול ולא רווחי, ואז עשינו תפנית לכיוון ה-
GRC, שזו הרגולציה העכשווית. ה-
GRC וה-
SOX מגיעים מהרגולציה האמריקאית והתפשטו לכל העולם. החוקים הללו מדברים בעיקר על כך, שתהיה בארגון הפרדת תפקידים, הגדרת תפקידים ותיעוד מלא של הפעילות בארגונים. זה בדיוק מוצר ההמשך של מה שכבר פיתחנו. ויכולנו לבוא לשוק עם פתרון מלא המתאים לרגולציות החדשות".
שאלה: מה הבעיה ברגולציה שבאתם לפתור?
תשובה: "הפרדת תפקידים היא לב הבעיה והמוקד של הרגולציה החדשה בעולם הארגוני. כל אחד מהמתחרים שלנו, שעוסקים בעולם הרגולציה, לא יודע לפתור את הבעיה הזו בצורה קלה ונוחה לארגונים.
אנו מבצעים השוואות של פרופילים לכל מה שעושה כל עובד כל הזמן. כך, אנו מובילים לתוצאה בה יש פחות טעויות. אנשים עושים טעויות כל הזמן, אבל צריך לזהות את הטעויות ולדעת להפריד זאת מפעולות חריגות.
כך, אנו מורידים 80% מהעבודה של צוות הרגולציה בכל ארגון. זה היתרון היחסי שלנו. אנו מזהים באופן אוטומטי מה דורש הפרדת תפקידים, ומציגים המלצות מה מפרידים ואיך. אחר כך בודקים איך העובדים מתנהגים לאור ההרשאות שלהם.
למעשה, אנו בוחנים כל הזמן מה עושה כל עובד ברשת העסקית. אנו מנסים להבין מה דפוס הפעולה שלו והאם זה מתאים להגדרת התפקיד שלו ולהרשאות שלו. זו מערכת לומדת, מערכת מאוד חכמה היודעת להתמודד עם תהליכי העבודה ולהבחין בדפוסי העבודה של כל משתמש. כך, שניתן להבחין בחריגים וניתן לבצע הפרדת תפקידים ברורה, כנדרש ברגולציה".
שאלה: האם יש לכם עוד פיתוחים בתחום הרגולציה?
תשובה: "בהחלט. הלקוחות גררו אותנו לתחום חדש, תחום הרישוי. אנו מסתכלים על מערכות עסקיות מכל סוג הקיימות בארגון, ורואים את כל סוגי הרישוי לכל סוגי העובדים והמנהלים. כיום, זה כאוס אחד גדול.
חברות גדולות משלמות על רישוי, שנקבע ביום בו נחתם ההסכם הראשון עם ספק התוכנה, בלי לדעת מה השתנה מאז ומה השימוש האמיתי של העובדים במוצרים השונים של הספק. למעשה, חברות משלמות על רישיונות באופן עיוור, בלי לדעת מאומה על מה הן משלמות מידי שנה.
הרי השימוש ברישיונות משתנה כל הזמן. אם החברה לא יודעת מה היא צריכה ולא מעוניינת לשלם על מה שהיא לא צריכה, אזי ברור, שהיא זקוקה לכלי, שידווח לה מה קורה כל הזמן.
יש במערכות הארגוניות המון מידע לנתח כדי לתת תשובה לשאלות הללו. כל עובד משתמש בכמה מערכות במקביל כל הזמן ולעיתים תכופות מחליף מערכות תוכנה ורמות שימוש. בתוכנות דוגמת אורקל או סאפ, יש צורך להתאים את הרישוי המתאים לכל אחד, לפי רמת השימוש שלו בתוכנה. יש חברות בחו"ל המשלמות עשרות מיליוני דולרים ברישיונות, למשל לסאפ, בלי שיש להן איזה כלי, שיבחן את ההוצאה הזו. כאן, אנו מבצעים אופטימיזציה של הרישוי הנדרש לחברה. לעיתים אנו מגיעים כמומחים אם יש חילוקי דעות בין החברה לספק התוכנה. אנו למעשה מספקים כלי עבודה מאוד חשוב לארגונים בתחום הרישוי של מערכות תוכנה.
תחום הרישוי הפך כה חשוב, עד כי חברת גרטנר שמה בשנה החולפת את הפתרון שלנו בשם
License Auditor בקטגוריה של 'חברה מבטיחה' –
Cool Vendor ברמה העולמית. יש כאן מעט מאוד מתחרים".
שאלה: מה אתה מוכר למעשה לארגונים?
תשובה: "אני מוכר גם תוכנה וגם שירות בענן. ה-
GRC דורש בחינה ובדיקות ברמה שנתית או רבעונית של הרישוי שניתן לארגון. אנו חלק מהתהליך הזה. את הפתרון לרגולציה ואת הפתרון לרישוי תוכנות אנו מספקים בענן (בענן של אמזון) למי שמעוניין בפתרון בענן.
יש כאלו שמבקשים את הפתרונות בהתקנה מקומית, מטעמים של אבטחת מידע ברמה גבוהה. יש לנו כבר מעל ל- 100 לקוחות ברחבי העולם, כך שנראה, שיש כבר הבנה בעולם לחשיבות הפתרונות הללו".
שאלה: מה הדבר שהכי מציק היום לארגונים?
תשובה: "אנו מוצאים, שבארגונים רבים יש בלגן שלם של הרשאות, שנבנו טלאי על טלאי במשך שנים. הם לא יודעים לצאת מזה ולשלוט בזה. לכן, אנו באים ומציעים להם לבנות מחדש את עולם ההרשאות, כי זו המומחיות שלנו. אנו רואים את ההתנהגות של האנשים במערכות ויודעים מהניסיון שלנו מה כל בעל תפקיד צריך מבחינת הרשאות ויכולים לבנות לו את פרופיל ההרשאות באופן דינמי.
אדם חדש, שנכנס לארגון, פותחים לו
User במערכת שלנו והוא מקבל את ההרשאות מהמערכת לפי התפקיד שלו. עי"כ שומרים על תאימות לרגולציה. הרגולציה הופכת להיות מבוססת על ניתוח התנהגויות. המערכת בוחנת את ההתנהגות של האדם בכל המערכות כל הזמן ובוחנת את הסיכונים. זה הייחוד שלה".
שאלה: לאן אתם מתפתחים?
תשובה: "אנו התחלנו עם פתרון לסאפ, כאשר ישראל שימשה לנו כבטא. משם התפשטנו לתחומים של מערכות
Salesforce, אורקל ועוד. השוק הזה פשוט עצום. רק בתחום ה-
SAP יש בעולם כ- 100 אלף לקוחות פוטנציאליים. זה שוק רחב כדי להתפתח בו. אנו רק בתחילת הדרך לחדור לשוק הזה.
אני בא למנהלים ואומר להם: אני לא מבין איך חברה מנהלת מו"מ על כסף בהיקפים גדולים, שקשור להרשאות ולרישיונות, בלי להבין על מה משלמים, מה הארגון צריך באמת ומה השימוש האמיתי של העובדים בארגון בסוגי הרישיונות השונים.
הרי גם
SAP עוברת לענן. אז למה אי אפשר לבחון את הרישוי בענן? לכן, אנו בוחנים את הפעילות של העובדים בכל מקום, גם בתוך הארגון וגם בענן.
הפתרונות שלנו משלימים את התהליכים הארגוניים ותהליכי העבודה, בכך, שהם מספקים יכולת לבחון לגבי כל אדם מה הצרכים שלו, מה ההיסטוריה של העבודה שלו במערכות השונות, מה המגבלות החלות עליו, מה הסיכונים הקיימים בהרשאות שלו וכך הלאה. אלו יתרונות, שהארגון זקוק להם ומקבל אותם מאתנו".
שאלה: מהם כיווני הפיתוח החדשים שלכם?
תשובה: "אנו הולכים בפיתוח שלנו בשני כיוונים ראשיים:
א. העמקת היכולת להעביר את כל המערכות לענן. זה תהליך הלוקח שנים, אך הכיוון שלו ברור: הכל עובר לענן. יש בעיות לא פשוטות של רישוי בענן ורישוי של 'מנועים' המופעלים ע"י הארגון בעננים השונים.
ב. אנו מפתחים הרחבה לתחום התהליכים הארגוניים. בקרוב נציג פתרונות נוספים לתחום הניתוח של תהליכים ארגוניים, שיכולים לחסוך כסף לארגונים בתהליכים הללו".
שאלה: מה החלום המקצועי שלך?
משה פנצר: "הרבה זמן הסתובבתי עם החיידק, שמנהל אותי כבר כמה שנים: אני מעוניין וחולם, שלפחות 70% או 80% מהחברות המשתמשות במערכות תוכנה מורכבות, תהיינה להן תובנות לגבי ההתנהגות של המשתמשים שלהם במערכות הללו. זה לא יכול להמשיך להיות 'חור שחור' עבור הארגונים. אני חושב, שהם יכולים לצאת מהעיוורון הזה. זה חלום מאוד מצומצם שיש אצלי, חלום ממוקד במטרה אחת.
אנו חברה רווחית כבר משנת 2010, כך שיש לנו את היכולות להמשיך ולהתפתח. אנו פועלים לשכנע את הארגונים, שהם חייבים לקבל החלטות על בסיס מידע מוצק, לא על בסיס השערות. מעטים מוכנים להתעסק בתחומים של פיתוח מערכות כמו שיש לנו, לתחום הרישוי וההתנהגות של משתמשים במערכת הארגונית. לכן, אנו נחשבים כמובילי שוק בתחומים הללו".