צעדים ראשונים -  טכנולוגיות ענן בשירות גופי למידה\משאבי אנוש

דר' ערן גל, ינאי זגורי, אבי לוי
הפקולטה לטכנולוגיות למידה, HIT

טכנולוגיית "ענן"  (SaaS – Software As A Service) הנה טכנולוגיה שכיחה בקרב מערכות ארגוניות ומסחריות בכלל, בהן מערכות ניהול למידה, פיתוח הדרכה וניהול משאבי אנוש. חשוב לציין כי טכנולוגיית ענן כוללת שירותים נוספים כמו IAAS - Infrastructure As A Service המאפשר לארגון לייצר תשתית וירטואלית עבור תחנות עבודה לדוגמא, PAAS - Platform As A Service המאפשר לארגון להקים פלטפורמה בענן לבניית אפליקציות ושירותים נוספים.

כיום בארגונים רבים בישראל, בעיקר בסקטור הציבורי, ממשלתי וביטחוני, מערכות ניהול הלמידה ומשאבי האנוש פועלות ב"התקנה מקומית" (On Premise) בעיקר בשל שיקולי אבטחת מידע ופרויקטים וותיקים אשר יצאו לאוויר העולם בתקופות בהן טכנולוגית ענן הייתה פחות שכיחה.
במרבית הארגונים, כולל המסורתיים ביותר, מזהים היטב את הצורך לשדרג תשתיות ופתרונות לעובדים בייחוד בתחום משאבי אנוש ולמידה. שתי המגמות המרכזיות אשר השפיעו על כך הם המעבר למודל עבודה היברידי ורמת הסיכון הנמוכה יחסית בחשיפת נתונים ותכני הדרכה ולמידה. בהתאם קיימת סבירות גבוהה כי גוף הלמידה\משאבי אנוש יהיו החלוצים בארגון לחוות פרויקט "ענן" עם ממשקים למערכות מסורתיות בהתקנה מקומית.

המסמך הנוכחי מכיל תובנות שנצברו בפרויקטים מסוג זה ומאפשר לאנשי למידה להכיר את התהליך והשפה בפרויקט טכנולוגיות למידה ב"ענן"

מהי טכנולוגית "ענן"
טכנולוגית ענן או SaaS הנה תשתית מחשובית הזמינה באמצעות רשת האינטרנט. במקום להתקין ולתחזק מערכות בשרתי הארגון, טכנולוגיית ענן מאפשרת לנו להשתמש בטווח רחב מאוד של פתרונות מחשוב לארגון (ובחיים הפרטיים בכלל לדוגמא, Gmail) ללא צורך בהתקנה, תחזוקה או אחסון פיזי בארגון. 
היתרונות המרכזיים של שימוש במערכות ענן הם:

1. עלויות הקמה ותחזוקה נמוכות משמעותית ממערכות בהתקנה מקומית
2. עדכניות המערכת ביחס למגמות בשוק בכלל (ובשוק הלמידה בפרט) 
3. שיפור מתמיד של יכולות המערכת וחווית המשתמש
4. זמינות בכל מקום ובכל זמן

הכינוי "ענן" (Cloud) נלקח מהביטוי הגראפי של תשתית זו בתרשימי מערכות מידע
קיימות שלוש תצורות מרכזיות ליישום פתרון ענן בארגון:

1. ענן ציבורי - מקרה בו הארגון עושה שימוש בתוכנה או פלטפורמה של ספק צד ג' המספק שירותים למספר גורמים
2. ענן פרטי - ענן המשרת את הארגון בלבד והוקם על ידו או אצל ספק חיצוני ומכיל את דרישות האבטחה הנדרשות לארגון. דוגמה לכך הנה "ענן נימבוס" העתיד להוות את תשתית הענן הישראלית עבור גופים ציבוריים\ממשלתיים בישראל
3. ענן היברידי - תצורה בה מותקנת האפליקציה גם בענן פרטי וגם בענן ציבורי. בדרך כלל בהקשר של מערכות למידה נועד למקרה בו קיימים תכנים רגישים אותם הארגון אינו מעוניין לאחסן בשרתי ענן ציבורי.

מערכות ניהול למידה בענן
כיום בעולם כ 800 עד 1000 מערכות ניהול למידה (LMS). חלקן מהוות רכיב בפתרון רחב לתחום משאבי אנוש (HR Suite) וחלקן מערכות ייעודיות ללמידה בלבד (Pure LMS). הרוב המכריע של המערכות עובדות בטכנולוגית ענן בלבד.
בישראל, בשל האופי המסורתי ובטחוני של ארגונים גדולים בארץ, ניתן עדיין למצוא כמות סבירה יחסית של מערכות ניהול למידה המאפשרות התקנה מקומית. מערכות אלו הן פיתוח ישראלי או התאמות במוצר קוד פתוח Moodle הנפוץ בזירה האקדמית בארץ ובעולם.
רוב המערכות הנחשבות מתקדמות ובעלות נפח שימוש משמעותי בעולם אפשרויות לעבודה בתצורת ענן בלבד.

ספקי שירותי ענן
בדומה לאופן בו אנו צורכים אינטרנט ביתי, שירות משולב של תשתית וספק אינטרנט, כך מערכות ניהול למידה בענן מכילות שני מרכיבים מרכזיים:

1. מערכת ניהול הלמידה. תוכנה (אפליקציה) המכילה את כלל התכונות הנדרשות לניהול תהליכי הלמידה בארגון
2. שירות ענן. מערך שרתים, אחסון ואבטחה המאפשר לנו לבצע שימוש בתוכנה באמצעות רשת האינטרנט. מדובר באתרי שרתים הפזורים בעולם מנוהלים ע"י ספקי ענן ייעודיים.

שירותי ענן הפכו לאחד התחומים הצומחים ביותר בתחום המחשוב. בשוק נמצאות ענקיות כמו Amazon, Microsoft, IBM, Google, Oracle ואחרות. גם מספר חברות תקשורת ישראליות מציעות פתרונות ענן.

בבואנו לבחון פתרון ניהול למידה בענן יהיה עלינו לבחון היטב את החברה או החברות המספקות את פתרון הענן ובהתאם את העמידה שלהן בתקני אבטחת מידע במידה והפרויקט ידרוש זאת. חשוב לציין כי מדינת ישראל פועלת תחת תקנות ה- GDPR - General Data Protection Regulation. מדובר בתקנות רגולטוריות העוסקות באופן בו מעובד מידע המוגדר אישי בענן (הגנת הפרטיות, אופן איסוף המידע, עיבוד ושמירת המידע וכיו״ב) והן חלות על ישראל וכל מדינות האיחוד האירופי. 

ממשקים עם מערכות מידע בהתקנה מקומית
ברוב הארגונים בארץ, בייחוד במגזר ממשלתי, ציבורי וביטחוני, מערכות ניהול הארגון (ERP) ובייחוד מערכות ניהול משאבי האנוש, מושתתות על טכנולוגיות בהתקנה מקומית. כדי לקיים פרויקט ניהול למידה יש לקיים ברוב המקרים לכל הפחות שני ממשקים למערכות אלו

1. מערכת ניהול משאבי אנוש (HR) – המערכת מנהלת את רשומות העובדים, פרטי העובדים האישיים, פרטי תפקידם והמבנה הארגוני. כל אלו משפיעים על תהליכי הלמידה והיכולת לבצע התאמה שלהם למשתמש (לדוגמא: תפקיד, וותק, הסמכות קודמות וכד') 
2. מערכת ניהול זהויות IdP - Identity Provider יישום המכיל פרטי זיהוי על עובדים הארגון, מבנה ארגוני ופרטי שיוך ארגוני המאפשרים למערכות הענן לזהות את המשתמש כעובד הארגון ולספק לו גישה והרשאות מתאימות. המערכת הנפוצות הן AD, vidm וכד׳.

ממשקים בין מערכות מידע בכלל, ממשקים בין מערכות בענן למערכות בהתקנה מקומית בפרט, מהווים את אחד האתגרים המורכבים בפרויקט מסוג זה. זאת משום שהם עלולים לאפשר דלף מידע או חשיפה של נתונים פרטיים של העובדים בארגון. 
ביישום פתרון כמו מערכת ניהול למידה הארגון מבקש למזער את מידת חשיפת המידע לענן אך מצד שני ללא מידע מינימלי הכולל את זהות המשתמש, שיוכו הארגוני ומידע אודות תפקידו לא נוכל לנהל למידה אישית וארגונית.

אבטחת מידע
ראשית לשאלה האם פרויקט ענן מסוכן מבחינת אבטחת מידע? התשובה היא "לא בהכרח". הגישה לשירות ענן מתבצעת באמצעות רשת האינטרנט. באופן תיאורטי המידע חשוף יותר ביחס להתקנה מקומית. בפועל שירותי הענן המובילים מציגים מערך אבטחת מידע הדוק ביותר. בכלל זאת בחינות חדריה ע"י גורמים בלתי תלויים ותרחישי אסון בהן יתבצע גיבוי מאתר מקביל.

חשוב מאוד להכיר את יכולות ועמידות ספק הענן המיועד. חשוב לבחון עמידה בתקני אבטחת מידע ואמצעים בהם נוקט להפחתת הסיכון הפוטנציאלי.
ישנם מספר תקני אבטחת מידע מקובלים בשוק הישראלי כגון תקן ISO 27001. כמו כן עבור ארגונים שונים ישנם גופים המנחים אותם בדבר התנהלות ותקני אבטחת מידע.
עבור אנשי הלמידה המובילים את הפרויקט יש לדאוג לצרוף איש\אשת אבטחת מידע בשלב מוקדם ככל הניתן של הפרויקט ולפתור יחד את אתגרי אבטחת המידע אם באמצעות תקנים ואם באמצעות אבטחת ממשקים.

1. הזדהות מול הענן - לרוב מעוניין הארגון לבצע הזדהות באמצעות SSO - Single Sign ON המאפשרת לארגון להפעיל מנגנון הזדהות אחד עבור כל המערכות.
2. העברת מידע לענן - הפתרון לרוב נסמך על תשתיות ניטור ובקרה כחלק מהמעבר של הארגון לעבודה בענן וכן ממשקי ביניים המונעים קשר ישיר בין מידע ארגוני למידע ברשת האינטרנט. ממשקי הביניים מכונה יכולים להיות "כספת" או SFTP - Secure File Transfer Protocol והם מהווים רכיב מאובטח יחסית בתקשורת והעברת נתונים בין המערכות בארגון לענן. 
3. מניעת דלף מידע - למידה בדרך כלל אינה כוללת מידע שמוגדר ״רגיש״ כמו פרטים על לקוחות, מידע מסחרי וכד׳ ולמרות זאת לא מדובר במידע ״ציבורי״ לכן לרוב יפעיל הארגון מנגנון מניעת דלף מידע DLP - Data Loss Prevention Software המאפשר ניטור דיווח ומניעה של העברת קבצים ״רגישים״ מעמדות הקצה לענן ותחסום את הפעולה בעת הצורך
4. הגנה על המידע בענן - כאמור כדי לנהל תהליכי למידה על המערכת לנהל מידע על העובדים והארגון (פרטים מזהים מנימליים, היררכיה ארגונית וכד׳) מידע זה לרוב מוגדר כמידע רגיש עליו חלה חובת הגנה משפטית לכן לרוב הארגון יבקש להצפין את המידע בזמן העברה (in TRANSIT) ובזמן ה״מנוחה״ (at REST) בענן. במקרה זה חשוב לציין כי היצרנים משקיעים מיליוני דולרים בהגנה של המוצר שלהם ועל המידע בו לכן, רוב ההגנות הן חלק מהמוצר. בחלק מהמקרים יבחר הארגון לבצע בקרות מפצות כמו ניטור כניסה למערכת או ניטור אנומליות בשרתים המוקצים לארגון. במקרים כאלה יכול להפעיל כלי ניטור כמו CASB או דומים.

תשתיות ארגוניות המאפשרות לארגון המסורתי לבצע פרויקט ענן
בהמשך ישיר לנושא אבטחת מידע. יתכן והארגון יבחר לבצע בידול בין הרשת הארגונית (LAN) לבין רשת האינטרנט, במקרה זה עולה צורך בפתרון המאפשר גישה לאינטרנט. פתרונות אלו נחוצים לביצוע תקשורת בכל פעילות מול ה LMS או כל מערכת ענן אחרת.
במקרה זה יידרש הארגון לעבודת תשתית שלרוב אינה קשורה בגוף הלמידה או משאבי אנוש.

אחת האפשרויות הנה תשתיות כדוגמת Fire.Glass (כיום תחת חברת  Symantec) המאפשרת גלישה בטוחה ברשת הפתוחה מתוך מחשבים ארגוניים.
פרויקט מעבר לענן יכול להיות פרויקט פשוט במקרה בו לארגון קיימות התשתיות המתאימות או פרויקט מורכב במקרה שבמסגרת הפרויקט נדרשת הקמת התשתית אשר תאפשר גישה ועבודה בענן בכל מקרה אחד המפתחות המרכזיים הוא להכיר את מרכיבי הפרויקט ואת השפה בה מדברים הגורמים הטכנולוגיים ושאר השותפים בפרויקט.

מקווים שעזרנו
דר' ערן גל - erang@hit.ac.il
ינאי זגורי - yanayz@hit.ac.il
אבי לוי - avi.levi@poalim.co.il    
 

פורסם: 17/03/2021