Procjena i financijsko vrednovanje ICT rizika i njihov utjecaj na poslovanje ICTI 2009, 23. listopad 2009. Prof.dr.sc. Mario Spremić, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku

Potreba za korporativnim upravljanjem rizicima Rizik neisplativih ulaganja u informatiku (‘annual value destruction’) Rizik neuspješne provedbe informatičkih projekata (Gartner, Standish Group) Rizik prekida ili otežanog funkcioniranja poslovanja (poslovnih procesa) Rizik napada na imovinu informacijskog sustava Rizik krađe osjetljivih podataka Rizik rastuće složenosti informacijskih sustava Tehnološki rizici, ….. Kako upravljate ovim vrstama rizika? Tko je odgovoran? Kojim metrikama i metodama procjenjujete razinu rizika? Prihvatljiva razina rizika? 2

Što je korporativno upravljanje informatikom (IT Governance)? Skup tehnika i metoda kojima korporativna tijela i izvršni menadžment 'ovladavaju' primjenom informatike u poslovanju, odlukama o ulaganjima u informatiku, performansama i rizicima njezina korištenja, ali i preuzima odgovornost za kontrolu provedbe informatičkih procesa i svih aktivnosti Važan dio procesa upravljanja poslovanjem koji se odnosi na upravljanje informacijskom infrastrukturom i svim njezinim dijelovima, prije svega informacijskim sustavima, njihovim performansama, rizicima upotrebe i ukupnom utjecaju na poslovanje 3 3

5 područja korporativnog upravljanja informatikom Strateško povezivanje poslovanja i informatike (Business/IT strategic alignment) Upravljanje ulaganjima (IT value creation and delivery) Upravljanje rizicima (IT Risk management and/or value preservation) Upravljanje performansama i ‘mjerenje’ učinka informatike (Performance measurement) Upravljanje resursima u informatici (IT resource management) GOVERNANCE RISK CONTROL (COMPLIANCE) 4 4

Upravljanje rizicima Sistematičan analitički proces kojim organizacija otkriva (pronalazi), prepoznaje (identificira), umanjuje (reducira) i nadzire (kontrolira) potencijalne rizike i gubitke kojima je izložena Taj proces omogućuje organizacijama utvrđivanje veličine (ozbiljnosti, težine, razmjera) i učinaka potencijalnih gubitaka, vjerojatnosti da će se takav gubitak eventualno i dogoditi te protumjera koje mogu djelovati na smanjenje vjerojatnosti ili veličine gubitka Rizik = F (imovina, prijetnja, ranjivost) 5

Informatički rizici Rizik predstavlja opasnost ili vjerojatnost da će odgovarajući izvor prijetnje u određenim okolnostima iskoristiti ranjivost (slabost) sustava, čime se, posljedično, može počiniti neka šteta imovini organizacije. Informatički rizici su rizici koji proizlaze iz intenzivne uporabe poslovnih informacijskih sustava i tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i poslovanja uopće. Rizici koji proizlaze iz intenzivne uporabe informacijskih sustava i tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i poslovanja uopće Opasnosti i prijetnje da intenzivna primjena informatike može uzrokovati neželjene ili neočekivane posljedice i možebitne financijske i druge štete unutar organizacije ali i njezinog neposrednog i šireg okruženja Šteta: materijalna i financijska, izravna ili neizravna 6

Upravljanje rizicima Rizik je potencijal zbivanja nekog neželjenog događaja Rizik je funkcija vjerojatnosti pojave (zbivanja) neželjenog događaja i njegovih posljedica Što je veća vjerojatnost nastupa neželjenog događaja i što su teže njegove posljedice – rizik je veći Vjerojatnost zbivanja ovisi o prijetnjama i ranjivosti RIZIK = POSLJEDICA x (PRIJETNJA x RANJIVOST) 7

Plan upravljanja inf. rizicima Prihvatljiva razina rizika - onaj intenzitet rizika koji još uvijek ne ugrožava odvijanje važnih poslovnih funkcija i procesa, odnosno ostvarenje zacrtanih poslovnih ciljeva. Plan upravljanja informatičkim rizicima predstavlja sustavan proces koji sadrži sljedeće korake: utvrđivanja (identifikacija) svih informatičkih rizika, određivanje razine (intenziteta) informatičkih rizika procjenom njihove 'težine' (utjecaja na poslovanje i imovinu) i učestalosti pojavljivanja, određivanje protumjera utvrđenim rizicima postavljanjem informatičkih kontrola, dodjela odgovornosti i provedba i dokumentiranje informatičkih kontrola, i stalan nadzor i revizija plana upravljanja informatičkim rizicima. RIZIK = POSLJEDICA x (PRIJETNJA x RANJIVOST) 8

Procjena rizika Ranjivost Iskorištavanje ranjivosti Neodgovarajuća zaštita kriptografskih ključeva otkrivanje informacija Nedostatak kontrole ulaznih i izlaznih podataka greška Nedostatak ili nedovoljno testiranje softvera uporaba softvera od strane neovlaštenih korisnika Loše dokumentirani softver greška zaposlenika u održavanju Nejasni ili nepotpuni zahtjevi za razvojno osoblje neispravnost softvera Nekontrolirano skidanje i uporaba softvera zloćudni softver Nekontrolirana uporaba "shareware/freeware" softvera za aplikacije poduzeća zakonska odgovornost Dobro poznati nedostaci softvera Pogrešan odabir ispitnih podataka neovlašteni pristup osobnim podacima Utjecaj Ranjivost Prijetnja Vjerojatnost Rizik Imovina 9 9 9

Vrste informatičkih rizika ‘korporacijski rizici’ informatički rizici Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljačima, rizici iz vanjskog okruženja, rizik IT projekta, itd. ‘procesni’ ili opći informatički rizici Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd. aplikacijski IT rizici i rizici IT servisa Rizici provedbe IT operacija (jesu li transakcije točne, potpune, cjelovite, podjela dužnosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka, itd..) (primjer – rizik IT servisa – ITIL) sigurnosni rizici, rizici kontinuiteta poslovanja, financijski rizici, rizici netočnosti podataka, rizici nedostupnosti podataka, rizici krađe podataka, itd. 10

Proces upravljanja IT rizikom Identificiranje svih IT rizika i prijetnji Procjena IT rizika i ranjivosti na prijetnje (primjer) Utvrđivanje vjerojatnosti pojave nekog IT rizika Procjena utjecaja na poslovanje (business impact analysis) Analiza učestalosti pojavljivanja (IT risk ranking) Procjena težine (kvalitativna i kvantitativna) – ‘vrijednosti’ rizika i ‘strategija odgovora’ Strategije odgovora na IT rizike Praćenje razine IT rizika Smanjenje razine IT rizika Izbjegavanje IT rizika Podjela IT rizika, ‘prebacivanje’ IT rizika na nekoga drugoga Određivanje i dokumentiranje IT kontrola 11

Analiza utjecaja na poslovanje (BIA) RTO – vrijeme neraspoloživosti poslovnih procesa i osnovna mjera kritičnosti poslovnih procesa RTO - maksimalnim dozvoljenim vremenom neraspoloživosti poslovnog procesa (engl. Maximum Tolerable Downtime - MTD) RPO – količina podataka koje je organizacija spremna izgubiti u slučaju pojave neželjenog i nepredviđenog događaja RPO = 2h – organizacija je spremna izgubiti sve podatke koji su nastali unutar dva sata prije neželjenog događaja RTO = 0,5h – poslovni proces može biti neraspoloživ 0,5h bez velikog utjecaja na uspješnost poslovanja 12

Primjer procjene rizika Web trgovina, novi IS U prvoj je godini poslužitelj na kojem je instalirana internetska prodavaonica bio napadnut tri puta, što je dovelo do uskraćivanja pružanja usluge kupcima. Svaki gubitak dostupnosti kompaniju stajao cca 24.000 kn. Ipak, dio propuštene prodaje kompanije (recimo jednu trećinu) nadoknadila je nakon što je poslovni model ponovno postao funkcionalan. Svaki gubitak dostunosti kompaniju stajao 16.000 kuna. Kvantitativno izračunavanje rizika: Ukupna godišnje procjene štete (engl. Annual Loss Expectation, ALE ) x iznos pojedine štete (engl. Single Loss Expectation, SLE) ALE = SLE x broj ponavljanja neželjenog događaja ALE = 16.000 kn x 3 ALE = 48.000 kn 13

‘Matrica’ IT rizika Opis incidenta (a) Vrijednost utjecaja Razina 'ozbiljnosti' neželjenog događaja Vjerojatnost nastanka događaja (ranjivost sustava) A B C D E I (visoka)   II III IV (niska) Opis incidenta (a) Vrijednost utjecaja (imovine) (b) Vjerojatnost ostvarenja (c) Mjera rizika (d) d = b x c Rang. incidenta (e) Incident A 5 2 10 Incident B 4 8 3 Incident C 15 1 Incident D Incident E Incident F   Rizik 1 - neprihvatljiv, kritičan, vrlo moguć i zahtijeva trenutnu reakciju najviših razina menadžmenta Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno uključivanje (višeg) menadžmenta Rizik 3 - prihvatljiv uz praćenje i izvještavanje menadžmentu Rizik 4 - prihvatljiv bez 'uplitanja' menadžmenta 14

Razrada scenarija IT rizika Primjer scenarija IT rizika Objašnjenje potencijalne štete Potencijalni gubitak 'Ozbiljnost' događaja Ovlašteni korisnici izvode nedozvoljene aktivnosti Korisnici imaju pristup podacima, mogu pregledavati i mijenjati važne podatke, manipulirati radom sustava 100.000 kn I Prekid rada sustava i servisa Prekid rada sustava može nastati radi pogrešne opreme, pogrešaka u aplikacijama ili podacima, a može uzrokovati prekid obavljanja kritičnih poslovnih procesa i gubitak važnih podataka 500.000 kn Nepotpuna obrada poslovnih transakcija Neotkrivena pogrešna ili nepotpuna obrada poslovnih transakcija može utjecati na financijske izvještaje i smanjiti kvalitetu odlučivanja 130.000 kn Neuspješna provedba projekata Projekti nisu dovršeni na vrijeme, unutar predviđenog budžeta i nemaju sve unaprijed dogovorene funkcionalnosti 300.000 kn Krađa osjetljive ili kritične imovine Krađa računala i opreme na kojima se nalaze povjerljivi i osjetljivi podaci 25.000 kn II 15

Zakon o kreditnim institucijama i Odluka HNB-a Regulativa i metode COBIT – krovni okvir korporativnog upravljanja informatikom i revizije IS-a (PO 9 Procjena i upravljanje IT rizicima) Zakon o kreditnim institucijama i Odluka HNB-a Kreditna institucija je dužna Uspostaviti proces upravljanja rizikom IS-a (01.01.2009) Usvojiti metodologiju upravljanja rizikom IS-a (01.01.2009) Dokumentirati rezultate procjene rizika IS-a (01.07.2009) Procijeniti i na prihvatljivu razinu svesti rizike IS-a (01.07.2009) Klasificirati i zaštititi informacije prema razini osjetljivosti (01.10.2009) Uprava je odgovorna za donošenje prihvatljive razine rizika kojima je izložen IS (01.01.2009) 16 16

Izvedene metode i okviri revizije IS-a Prema područjima provjere razlikujemo sljedeće izvedene standarde strateškog upravljanja IS-om: upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje informatičkim rizicima (Risk IT, Solvency II, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO 27000 normi, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999) 17 17

Izvedene metode i okviri revizije IS-a Val IT inicijativa (www.isaca.org/valtit) - poboljšanje upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa) ITIL okvir (ISO 20000 norma) (www.itil.org.uk) - upravljanje informatičkim uslugama (5 područja, 20-ak procesa) Risk IT metodologija (www.isaca.org/riskit) - upravljanje informatičkim rizicima (3 područja, 20-ak procesa) Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) - ciljana unaprjeđenja sustava sigurnosti informacija (ISO 27001 11 područja i 40-ak procesa) Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja) Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima PMBOK – poboljšanje prakse upravljanja projektima PCI DSS (engl. Payment Card Industry Data Security System) – regulatorna pravila sigurnog i pouzdanog baratanja s podacima u kartičarskoj industriji. 18 18

mspremic@efzg.hr www.efzg.hr/mspremic Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije mspremic@efzg.hr www.efzg.hr/mspremic Copyright © dr. Mario Spremić 19