Transcript prof. dr. Mario Spremić

Procjena i financijsko vrednovanje ICT
rizika i njihov utjecaj na poslovanje
ICTI 2009, 23. listopad 2009.
Prof.dr.sc. Mario Spremić, CGEIT
Ekonomski fakultet Zagreb
Katedra za informatiku
Potreba za korporativnim upravljanjem rizicima
 Rizik neisplativih ulaganja u informatiku (‘annual value
destruction’)
 Rizik neuspješne provedbe informatičkih projekata (Gartner,
Standish Group)
 Rizik prekida ili otežanog funkcioniranja poslovanja (poslovnih
procesa)
 Rizik napada na imovinu informacijskog sustava
 Rizik krađe osjetljivih podataka
 Rizik rastuće složenosti informacijskih sustava
 Tehnološki rizici, …..
 Kako upravljate ovim vrstama rizika? Tko je odgovoran? Kojim
metrikama i metodama procjenjujete razinu rizika? Prihvatljiva
razina rizika?
2
Što je korporativno upravljanje informatikom
(IT Governance)?
Skup tehnika i metoda kojima korporativna tijela i izvršni
menadžment 'ovladavaju' primjenom informatike u
poslovanju, odlukama o ulaganjima u informatiku,
performansama i rizicima njezina korištenja, ali i
preuzima odgovornost za kontrolu provedbe
informatičkih procesa i svih aktivnosti
Važan dio procesa upravljanja poslovanjem koji se odnosi
na upravljanje informacijskom infrastrukturom i svim
njezinim dijelovima, prije svega informacijskim
sustavima, njihovim performansama, rizicima upotrebe
i ukupnom utjecaju na poslovanje
3
5 područja korporativnog upravljanja
informatikom
• Strateško povezivanje poslovanja i informatike
(Business/IT strategic alignment)
• Upravljanje ulaganjima (IT value creation and delivery)
• Upravljanje rizicima (IT Risk management and/or value
preservation)
• Upravljanje performansama i ‘mjerenje’ učinka
informatike (Performance measurement)
• Upravljanje resursima u informatici (IT resource
management)
• GOVERNANCE
• RISK
• CONTROL (COMPLIANCE)
4
Upravljanje rizicima
• Sistematičan analitički proces kojim organizacija otkriva
(pronalazi), prepoznaje (identificira), umanjuje (reducira) i
nadzire (kontrolira) potencijalne rizike i gubitke kojima je
izložena
• Taj proces omogućuje organizacijama utvrđivanje
veličine (ozbiljnosti, težine, razmjera) i učinaka
potencijalnih gubitaka, vjerojatnosti da će se takav
gubitak eventualno i dogoditi te protumjera koje mogu
djelovati na smanjenje vjerojatnosti ili veličine gubitka
• Rizik = F (imovina, prijetnja, ranjivost)
5
Informatički rizici
• Rizik predstavlja opasnost ili vjerojatnost da će odgovarajući izvor
prijetnje u određenim okolnostima iskoristiti ranjivost (slabost) sustava,
čime se, posljedično, može počiniti neka šteta imovini organizacije.
• Informatički rizici su rizici koji proizlaze iz intenzivne uporabe poslovnih
informacijskih sustava i tehnologije kao važne podrške odvijanju i
unaprjeđenju poslovnih procesa i poslovanja uopće.
• Rizici koji proizlaze iz intenzivne uporabe informacijskih sustava i
tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih
procesa i poslovanja uopće
• Opasnosti i prijetnje da intenzivna primjena informatike može
uzrokovati neželjene ili neočekivane posljedice i možebitne
financijske i druge štete unutar organizacije ali i njezinog
neposrednog i šireg okruženja
• Šteta: materijalna i financijska, izravna ili neizravna
6
Upravljanje rizicima
• Rizik je potencijal zbivanja nekog neželjenog događaja
• Rizik je funkcija vjerojatnosti pojave (zbivanja)
neželjenog događaja i njegovih posljedica
• Što je veća vjerojatnost nastupa neželjenog događaja i
što su teže njegove posljedice – rizik je veći
• Vjerojatnost zbivanja ovisi o prijetnjama i ranjivosti
RIZIK = POSLJEDICA x (PRIJETNJA x RANJIVOST)
7
Plan upravljanja inf. rizicima
• Prihvatljiva razina rizika - onaj intenzitet rizika koji još uvijek ne
ugrožava odvijanje važnih poslovnih funkcija i procesa, odnosno
ostvarenje zacrtanih poslovnih ciljeva.
• Plan upravljanja informatičkim rizicima predstavlja sustavan
proces koji sadrži sljedeće korake:
– utvrđivanja (identifikacija) svih informatičkih rizika,
– određivanje razine (intenziteta) informatičkih rizika
procjenom njihove 'težine' (utjecaja na poslovanje i imovinu) i
učestalosti pojavljivanja,
– određivanje protumjera utvrđenim rizicima postavljanjem
informatičkih kontrola,
– dodjela odgovornosti i provedba i dokumentiranje
informatičkih kontrola, i
– stalan nadzor i revizija plana upravljanja informatičkim
rizicima.
RIZIK = POSLJEDICA x (PRIJETNJA x RANJIVOST)
8
Procjena rizika
Ranjivost
Iskorištavanje ranjivosti
Neodgovarajuća zaštita kriptografskih
ključeva
otkrivanje informacija
Nedostatak kontrole ulaznih i izlaznih
podataka
greška
Nedostatak ili nedovoljno testiranje softvera
uporaba softvera od strane
neovlaštenih korisnika
Vjerojatnost
Prijetnja
Loše dokumentirani softver
greška zaposlenika u održavanju
Nejasni ili nepotpuni zahtjevi za razvojno
osoblje
neispravnost softvera
Nekontrolirano skidanje i uporaba softvera
zloćudni softver
Nekontrolirana uporaba
"shareware/freeware"
softvera za aplikacije poduzeća
zakonska odgovornost
Dobro poznati nedostaci softvera
uporaba softvera od strane
neovlaštenih korisnika
Pogrešan odabir ispitnih podataka
neovlašteni pristup osobnim
podacima
Ranjivost
Imovina
Utjecaj
Rizik
9
Vrste informatičkih rizika
• ‘korporacijski rizici’ informatički rizici
– Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS,
politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o
dobavljačima, rizici iz vanjskog okruženja, rizik IT projekta, itd.
• ‘procesni’ ili opći informatički rizici
– Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni
rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada
(disaster recovery), itd.
• aplikacijski IT rizici i rizici IT servisa
•
Rizici provedbe IT operacija (jesu li transakcije točne, potpune, cjelovite, podjela dužnosti i
kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka,
itd..) (primjer – rizik IT servisa – ITIL)
• sigurnosni rizici, rizici kontinuiteta poslovanja,
financijski rizici, rizici netočnosti podataka, rizici
nedostupnosti podataka, rizici krađe podataka,
10
itd.
Proces upravljanja IT rizikom
• Identificiranje svih IT rizika i prijetnji
• Procjena IT rizika i ranjivosti na prijetnje (primjer)
–
–
–
–
Utvrđivanje vjerojatnosti pojave nekog IT rizika
Procjena utjecaja na poslovanje (business impact analysis)
Analiza učestalosti pojavljivanja (IT risk ranking)
Procjena težine (kvalitativna i kvantitativna) – ‘vrijednosti’
rizika i ‘strategija odgovora’
• Strategije odgovora na IT rizike
–
–
–
–
Praćenje razine IT rizika
Smanjenje razine IT rizika
Izbjegavanje IT rizika
Podjela IT rizika, ‘prebacivanje’ IT rizika na nekoga drugoga
• Određivanje i dokumentiranje IT kontrola
11
Analiza utjecaja na poslovanje (BIA)
• RTO – vrijeme neraspoloživosti poslovnih procesa i osnovna
mjera kritičnosti poslovnih procesa
• RTO - maksimalnim dozvoljenim vremenom neraspoloživosti
poslovnog procesa (engl. Maximum Tolerable Downtime MTD)
• RPO – količina podataka koje je organizacija spremna izgubiti
u slučaju pojave neželjenog i nepredviđenog događaja
• RPO = 2h – organizacija je spremna izgubiti sve podatke koji
su nastali unutar dva sata prije neželjenog događaja
• RTO = 0,5h – poslovni proces može biti neraspoloživ 0,5h
bez velikog utjecaja na uspješnost poslovanja
Primjer procjene rizika
• Web trgovina, novi IS
• U prvoj je godini poslužitelj na kojem je instalirana internetska
prodavaonica bio napadnut tri puta, što je dovelo do uskraćivanja
pružanja usluge kupcima. Svaki gubitak dostupnosti kompaniju stajao cca
24.000 kn. Ipak, dio propuštene prodaje kompanije (recimo jednu trećinu)
nadoknadila je nakon što je poslovni model ponovno postao funkcionalan.
Svaki gubitak dostunosti kompaniju stajao 16.000 kuna.
• Kvantitativno izračunavanje rizika:
– Ukupna godišnje procjene štete (engl. Annual Loss Expectation, ALE ) x iznos
pojedine štete (engl. Single Loss Expectation, SLE)
– ALE = SLE x broj ponavljanja neželjenog događaja
– ALE = 16.000 kn x 3
– ALE = 48.000 kn
‘Matrica’ IT rizika
Matrica rizika
A
B
C
D
E
I (visoka)
II
III
IV (niska)
Razina rizika
Vjerojatnost
Razina 'ozbiljnosti'
neželjenog
događaja
Vjerojatnost nastanka
događaja (ranjivost
sustava)
Vrlo visoka
5
10
Visoka
4
8
12
Srednja
3
6
9
12
Niska
2
4
6
8
Vrlo niska
1
2
3
Vrlo nizak
Nizak
Srednji
Učinak
>9
Vrlo visok rizik
7-9
Visok rizik
5-6
Sredni rizik
10
3-4
Mali rizik
4
5
1-2
Vrlo mali rizik
Visok
Vrlo visok
Vrijednost
utjecaja
(imovine) (b)
Vjerojatnost
ostvarenja (c)
Mjera rizika
(d)
d=bxc
Rang.
incidenta
(e)
Incident A
5
2
10
2
Incident B
2
4
8
3
Incident C
3
5
15
1
Rizik 3 - prihvatljiv uz praćenje i
izvještavanje menadžmentu
Incident D
1
3
3
5
Incident E
4
1
4
4
Rizik 4 - prihvatljiv bez 'uplitanja'
menadžmenta
Incident F
2
4
8
3
Rizik 1 - neprihvatljiv, kritičan, vrlo moguć i
zahtijeva trenutnu reakciju najviših razina
menadžmenta
Rizik 2 - neprihvatljiv, zahtijeva korektivnu
akciju i izravno uključivanje (višeg)
menadžmenta
Opis
incidenta
(a)
Opis
14
Razrada scenarija IT rizika
Primjer scenarija
IT rizika
Objašnjenje potencijalne štete
Ovlašteni korisnici
izvode
nedozvoljene
aktivnosti
Korisnici imaju pristup podacima, mogu pregledavati i
mijenjati važne podatke, manipulirati radom
sustava
100.000 kn
I
Prekid rada
sustava i
servisa
Prekid rada sustava može nastati radi pogrešne
opreme, pogrešaka u aplikacijama ili podacima, a
može uzrokovati prekid obavljanja kritičnih
poslovnih procesa i gubitak važnih podataka
500.000 kn
I
Nepotpuna obrada Neotkrivena pogrešna ili nepotpuna obrada poslovnih
poslovnih
transakcija može utjecati na financijske izvještaje
transakcija
i smanjiti kvalitetu odlučivanja
130.000 kn
I
Neuspješna
provedba
projekata
Projekti nisu dovršeni na vrijeme, unutar predviđenog
budžeta i nemaju sve unaprijed dogovorene
funkcionalnosti
300.000 kn
I
Krađa osjetljive ili
kritične
imovine
Krađa računala i opreme na kojima se nalaze
povjerljivi i osjetljivi podaci
25.000 kn
II
Potencijalni
gubitak
'Ozbiljnost'
događaja
15
•
Regulativa i metode
COBIT – krovni okvir korporativnog
upravljanja informatikom i revizije IS-a
(PO 9 Procjena i upravljanje IT rizicima)
Zakon o kreditnim institucijama i Odluka HNB-a
•
Kreditna institucija je dužna
•
–
–
–
–
–
–
Uspostaviti proces upravljanja rizikom IS-a (01.01.2009)
Usvojiti metodologiju upravljanja rizikom IS-a (01.01.2009)
Dokumentirati rezultate procjene rizika IS-a (01.07.2009)
Procijeniti i na prihvatljivu razinu svesti rizike IS-a (01.07.2009)
Klasificirati i zaštititi informacije prema razini osjetljivosti
(01.10.2009)
Uprava je odgovorna za donošenje prihvatljive razine rizika
kojima je izložen IS (01.01.2009)
16
Izvedene metode i okviri revizije IS-a
• Prema područjima provjere razlikujemo sljedeće izvedene standarde
strateškog upravljanja IS-om:
– upravljanje razvojem poslovnih informacijskih sustava (CMMI,
TickIT,...),
– upravljanje informatičkim uslugama (ITIL)
– upravljanje ulaganjima u informatiku (Val IT)
– upravljanje informatičkim rizicima (Risk IT, Solvency II, MEHARI,
PCI DSS, Basel II, ISO 27005)
– upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO
27000 normi, NIST, SANS, IS3)
– upravljanje projektima (Prince 2, PMBOK)
– upravljanje kontinuitetom poslovanja (BS 25999)
17
Izvedene metode i okviri revizije IS-a
• Val IT inicijativa (www.isaca.org/valtit) - poboljšanje upravljanja
ulaganjima u informatiku (3 područja, 40-ak procesa)
• ITIL okvir (ISO 20000 norma) (www.itil.org.uk) - upravljanje informatičkim
uslugama (5 područja, 20-ak procesa)
• Risk IT metodologija (www.isaca.org/riskit) - upravljanje informatičkim
rizicima (3 područja, 20-ak procesa)
• Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) - ciljana unaprjeđenja
sustava sigurnosti informacija (ISO 27001 11 područja i 40-ak procesa)
• Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja
operativnim rizicima (11 područja)
• Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima
• PMBOK – poboljšanje prakse upravljanja projektima
• PCI DSS (engl. Payment Card Industry Data Security System) –
regulatorna pravila sigurnog i pouzdanog baratanja s podacima u
18
kartičarskoj industriji.
Hvala na pozornosti
Pitanja, komentari, prijedlozi, sugestije
[email protected]
www.efzg.hr/mspremic
Copyright © dr. Mario Spremić
19