מודל RACI וניהול הרשאות

ביומיום כל אחד מאיתנו הוא חלק מפרויקט, תהליך או משימה מורכבת, בין אם מנהל, מוביל או מיישם חלק מסוים ברמת הפרויקט ותהליך. כידוע בכל פרויקט שמקימים עלולים להיות חלקים אפורים ומאוד קשה לצפות את הנולד ובמיוחד בפרויקטים שבהם ישנם לא מעט גורמים ובעלי אחריות.
בנוסף לכך באבטחת מידע RACI הוא מאוד חשוב בגלל סיבה מאוד פשוטה, והיא ניהול גורמים ובעלי האחריות אשר צריכים גישה, הרשאות ודלגציה לממשקים שונים.

יתרה מכך גם בניהול המשימות היומיומיות עלולות להיות שאלות וסוגיות לגבי אחריות ביצוע והרשאות נדרשות לממשקים שונים. אז מה עושים? ישנם המון כלים, מודלים ומתודולוגיות.

כמה שאלות בסיסיות לפני שמתחילים: מי אחראי לביצוע תהליכים בכל שירות או פלטפורמה? מי מקבל החלטות? מי מתקשר אירועים? מי אחראי על התהליך? נשמע פשוט ונראה שניתן לענות עליו באופן מהיר אבל מה קורה בפועל בתהליך? בדיוק הפוך!

מודל RACI

מודל RACI או ראשי התיבות של Responsible, Accountable, Consulted and Informed הוא למעשה מטריצת אחריות וסמכויות בתהליך או פרויקט המאפשר באופן פשוט ברור לבצע חלוקת אחריות בין הגורמים השונים.

המודל בנוי מטבלה אשר מכילה את כל בעלי האחריות, המשימות וחלוקת סמכויות בכל חלק בתהליך ובכל משימה.2018-10-18_07h14_38
הערה: ישנם טבלאות רבות של RACI החל מתחום אבטחת המידע ועד ניהול הפרויקטים.

כיום בדינמיות של אבטחת המידע, סייבר, IT וחדשנות כל אחד צריך לדעת מהם גבולות הגזרה, ולכן בכל פרויקט, תהליך ואפילו שירות חייבת להיות מטריצת סמכויות ברורה וידועה מראש לכולם עם כל תחומי האחריות.

אומנם זה יכול להיראות כמשהו אשר מובן מאליו או לעיתים מסובך, אך בפועל לא כך הדברים ובטח במצבים של ריבוי משימות ותקלות לאורך זמן.

אם נעמיק מעט (בלבד) במודל RACI נבין את חלוקת הסמכויות וישנו מודל בסיסי וישנו מודל מתקדם, נתחיל עם הסמכויות במודל הבסיסי של RACI עם אבעה תפקידים מרכזיים:

  • Responsible – גורם או קבוצת האנשים שמבצעים את התהליך בפועל
  • Accountable – גורם אחד בלבד שאחראי מנהלית על התהליך
  • Consulted – קבוצת אנשיםשניתן להתייעץ מולם לגבי המשימה או התהליך
  • Informed – האנשים שצריכים להיות מעודכנים בכל שלבי הביצוע

בכל אחת מתוך המשימות חייבת להיות הקצאה של גורם מסוים בכדי שיידע מהו תפקידו. ישנם דרכים שונות ליישם את המודל אז נמשיך מהדגשים הפשוטים:

  • כל תהליך חייב להיות מוגדר באופן ברור
  • כל משימה חייבת להיות מוגדרת באופן ברור
  • כל גורם בתהליך חייב לקבל אחריות מסוימת
  • הגדרת תפקידים חייבת להיות מוגדרת מראש גם הקטנים ביותר
  • כל גורם בתהליך חייבת לדעת ולהכיר את הדרישה

הדברים הקטנים במודל

כמו בכל מודל ישנם דגשים קטנים שמאוד חשובים בהכנת הטבלה והסכמויות ולכן לאחר שהטבלה מלאה עם כלל הגורמים, התפקידים והסמכויות צריך לבדוק את הדגשים הבאים:

  • גורמים רבים בעלי הגדרת A על משימה ספציפית יוצר בעיה של עודף מנלים על המשימה ולכן בכל משימה צריך להיות מנהל אחד בלבד.
  • אין גורמים בעלי סמכויות A אז איך מנהל לתהליך אז מי נותן את התשובות ומי אחראי על התהליך?
  • אין גורמים בעלי סמכויות R אז מי יבצע את הפעולות בתהליך ובפרויקט?
  • אין גורמים בעלי C ולכן מי שיבצע את הפרויקט ועלול התיקל בבעיה ולכן לא יידע למי לפנות? למי לדווח בעיכוב המשימה?
  • אין גורמים בעלי I ולכן מי שיבצע את הפרויקט ועלול התיקל בבעיה ולכן לא יידע למי לפנות? למי לדווח בעיכוב המשימה?

לסיכום

מודל RACI עלול להיראות כמודל שגורם "לכאבי ראש" ובזבוז זמן מיותר אך עדיף להשתמש במודל לפני תחילת התהליך או הפרויקט, ולאחר מכן להימנע מבעיות וחלקים אפורים שאין להם גורם מבצע או אחראי.

מודל RACI יכול להיות משולב גם בניהול הרשאות ודלגציה של ממשקים שונים כולל הרשאות ידועות מראש אשר מצריכות רק שילוב של בעלי אחריות בכל הרשאה, כדוגמת הטבלה המצורפת שהיא חלק מתוך ניהול Intune לפי הרשאות:2018-10-18_08h47_36

דוגמה נוספת מתןך מטריצת סמכויות בניהול ISO 27002 בארגון

2018-10-18_08h53_38

מודל RACI יכול להיות פשוט או מסובך הכל תלוי במורכבות התהליך אבל אפשר לומר שגם במקרים מורכבים ניתן ליצור מטריצת סמכויות פשוטה!



:קטגוריותProject, כללי

תגים: ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: