מודל RACI וניהול הרשאות
ביומיום כל אחד מאיתנו הוא חלק מפרויקט, תהליך או משימה מורכבת, בין אם ברמת מנהל, מוביל תחום, מנהל פרויקט או מיישם חלק מסוים ברמת פרויקט ותהליך. כידוע בכל פרויקט שמקימים עלולים להיות חלקים אפורים ומאוד קשה לצפות את הנולד ובמיוחד בפרויקטים שבהם ישנם לא מעט גורמים ובעלי אחריות.
לצד זה, באבטחת מידע RACI מקבל משמעויות נוספות, למשל, ניהול גורמים ובעלי האחריות אשר צריכים גישה, הרשאות ודלגציה לממשקים שונים ברמת עובד ארגוני או ספק חיצוני.
יתרה מכך גם בניהול המשימות היומיומיות עלולות להיות שאלות וסוגיות לגבי אחריות ביצוע והרשאות נדרשות לממשקים שונים. אז מה עושים? ישנם המון כלים, מודלים ומתודולוגיות.
כמה שאלות בסיסיות לפני שמתחילים: מי אחראי לביצוע תהליכים בכל שירות או פלטפורמה? מי מקבל החלטות? מי מתקשר אירועים (כללים ואירועי אבטחה)? מי אחראי על התהליך? נשמע פשוט ונראה שניתן לענות עליו באופן מהיר אבל מה קורה בפועל בתהליך? בדיוק הפוך!
מודל RACI
מודל RACI או ראשי התיבות של Responsible, Accountable, Consulted and Informed הוא למעשה מטריצת אחריות וסמכויות בתהליך או פרויקט המאפשר באופן פשוט ברור לבצע חלוקת אחריות בין הגורמים השונים.
המודל בנוי מטבלה אשר מכילה את כל בעלי האחריות, המשימות וחלוקת סמכויות בכל חלק בתהליך ובכל משימה.
הערה: ישנם טבלאות רבות של RACI החל מתחום אבטחת המידע ועד ניהול הפרויקטים.
כיום בדינמיות של אבטחת המידע, סייבר, IT וחדשנות כל אחד צריך לדעת מהם גבולות הגזרה, ולכן בכל פרויקט, תהליך ואפילו שירות חייבת להיות מטריצת סמכויות ברורה וידועה מראש לכולם עם כל תחומי האחריות.
אומנם זה יכול להיראות כמשהו אשר מובן מאליו או לעיתים מסובך, אך בפועל לא כך הדברים ובטח במצבים של ריבוי משימות ותקלות לאורך זמן.
אם נעמיק מעט (בלבד) במודל RACI נבין את חלוקת הסמכויות וישנו מודל בסיסי וישנו מודל מתקדם, נתחיל עם הסמכויות במודל הבסיסי של RACI עם אבעה תפקידים מרכזיים:
- Responsible – גורם או קבוצת האנשים שמבצעים את התהליך בפועל
- Accountable – גורם אחד בלבד שאחראי מנהלית על התהליך
- Consulted – קבוצת אנשיםשניתן להתייעץ מולם לגבי המשימה או התהליך
- Informed – האנשים שצריכים להיות מעודכנים בכל שלבי הביצוע
בכל אחת מתוך המשימות חייבת להיות הקצאה של גורם מסוים בכדי שיידע מהו תפקידו. ישנם דרכים שונות ליישם את המודל אז נמשיך מהדגשים הפשוטים:
- כל תהליך חייב להיות מוגדר באופן ברור
- כל משימה חייבת להיות מוגדרת באופן ברור
- כל גורם בתהליך חייב לקבל אחריות מסוימת
- הגדרת תפקידים חייבת להיות מוגדרת מראש גם הקטנים ביותר
- כל גורם בתהליך חייבת לדעת ולהכיר את הדרישה
דגשים במודל
כמו בכל מודל ישנם דגשים קטנים שמאוד חשובים בהכנת הטבלה והסמכויות, ולכן לאחר שהטבלה מלאה עם כלל הגורמים, התפקידים והסמכויות צריך לבדוק את הדגשים הבאים:
- גורמים רבים בעלי הגדרת A על משימה ספציפית יוצר בעיה של עודף מנלים על המשימה ולכן בכל משימה צריך להיות מנהל אחד בלבד.
- אין גורמים בעלי סמכויות A אז איך מנהל לתהליך אז מי נותן את התשובות ומי אחראי על התהליך?
- אין גורמים בעלי סמכויות R אז מי יבצע את הפעולות בתהליך ובפרויקט?
- אין גורמים בעלי C ולכן מי שיבצע את הפרויקט ועלול התיקל בבעיה ולכן לא יידע למי לפנות? למי לדווח בעיכוב המשימה?
- אין גורמים בעלי I ולכן מי שיבצע את הפרויקט ועלול התיקל בבעיה ולכן לא יידע למי לפנות? למי לדווח בעיכוב המשימה?
לסיכום
מודל RACI עלול להיראות כמודל שגורם "לכאבי ראש" ובזבוז זמן מיותר אך עדיף להשתמש במודל לפני תחילת התהליך או הפרויקט, ולאחר מכן להימנע מבעיות וחלקים אפורים שאין להם גורם מבצע או אחראי.
מודל RACI יכול להיות משולב גם בניהול הרשאות ודלגציה של ממשקים שונים כולל הרשאות ידועות מראש אשר מצריכות רק שילוב של בעלי אחריות בכל הרשאה, כדוגמת הטבלה המצורפת שהיא חלק מתוך ניהול Intune לפי הרשאות:
דוגמה נוספת מתןך מטריצת סמכויות בניהול ISO 27002 בארגון
מודל RACI יכול להיות פשוט או מסובך הכל תלוי במורכבות התהליך, אבל אפשר לומר שגם במקרים מורכבים ניתן ליצור מטריצת סמכויות פשוטה!
