Presentation is loading. Please wait.

Presentation is loading. Please wait.

Procjena i financijsko vrednovanje ICT rizika i njihov utjecaj na poslovanje ICTI 2009, 23. listopad 2009. Prof.dr.sc. Mario Spremić, CGEIT Ekonomski.

Published byLiliane Bellefleur Modified over 6 years ago

Similar presentations

Presentation on theme: "Procjena i financijsko vrednovanje ICT rizika i njihov utjecaj na poslovanje ICTI 2009, 23. listopad 2009. Prof.dr.sc. Mario Spremić, CGEIT Ekonomski."— Presentation transcript:

1 Procjena i financijsko vrednovanje ICT rizika i njihov utjecaj na poslovanje ICTI 2009, 23. listopad 2009. Prof.dr.sc. Mario Spremić, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku

2 Potreba za korporativnim upravljanjem rizicima
Rizik neisplativih ulaganja u informatiku (‘annual value destruction’) Rizik neuspješne provedbe informatičkih projekata (Gartner, Standish Group) Rizik prekida ili otežanog funkcioniranja poslovanja (poslovnih procesa) Rizik napada na imovinu informacijskog sustava Rizik krađe osjetljivih podataka Rizik rastuće složenosti informacijskih sustava Tehnološki rizici, ….. Kako upravljate ovim vrstama rizika? Tko je odgovoran? Kojim metrikama i metodama procjenjujete razinu rizika? Prihvatljiva razina rizika? 2

3 Što je korporativno upravljanje informatikom (IT Governance)?
Skup tehnika i metoda kojima korporativna tijela i izvršni menadžment 'ovladavaju' primjenom informatike u poslovanju, odlukama o ulaganjima u informatiku, performansama i rizicima njezina korištenja, ali i preuzima odgovornost za kontrolu provedbe informatičkih procesa i svih aktivnosti Važan dio procesa upravljanja poslovanjem koji se odnosi na upravljanje informacijskom infrastrukturom i svim njezinim dijelovima, prije svega informacijskim sustavima, njihovim performansama, rizicima upotrebe i ukupnom utjecaju na poslovanje 3 3

4 5 područja korporativnog upravljanja informatikom
Strateško povezivanje poslovanja i informatike (Business/IT strategic alignment) Upravljanje ulaganjima (IT value creation and delivery) Upravljanje rizicima (IT Risk management and/or value preservation) Upravljanje performansama i ‘mjerenje’ učinka informatike (Performance measurement) Upravljanje resursima u informatici (IT resource management) GOVERNANCE RISK CONTROL (COMPLIANCE) 4 4

5 Upravljanje rizicima Sistematičan analitički proces kojim organizacija otkriva (pronalazi), prepoznaje (identificira), umanjuje (reducira) i nadzire (kontrolira) potencijalne rizike i gubitke kojima je izložena Taj proces omogućuje organizacijama utvrđivanje veličine (ozbiljnosti, težine, razmjera) i učinaka potencijalnih gubitaka, vjerojatnosti da će se takav gubitak eventualno i dogoditi te protumjera koje mogu djelovati na smanjenje vjerojatnosti ili veličine gubitka Rizik = F (imovina, prijetnja, ranjivost) 5

6 Informatički rizici Rizik predstavlja opasnost ili vjerojatnost da će odgovarajući izvor prijetnje u određenim okolnostima iskoristiti ranjivost (slabost) sustava, čime se, posljedično, može počiniti neka šteta imovini organizacije. Informatički rizici su rizici koji proizlaze iz intenzivne uporabe poslovnih informacijskih sustava i tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i poslovanja uopće. Rizici koji proizlaze iz intenzivne uporabe informacijskih sustava i tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i poslovanja uopće Opasnosti i prijetnje da intenzivna primjena informatike može uzrokovati neželjene ili neočekivane posljedice i možebitne financijske i druge štete unutar organizacije ali i njezinog neposrednog i šireg okruženja Šteta: materijalna i financijska, izravna ili neizravna 6

7 Upravljanje rizicima Rizik je potencijal zbivanja nekog neželjenog događaja Rizik je funkcija vjerojatnosti pojave (zbivanja) neželjenog događaja i njegovih posljedica Što je veća vjerojatnost nastupa neželjenog događaja i što su teže njegove posljedice – rizik je veći Vjerojatnost zbivanja ovisi o prijetnjama i ranjivosti RIZIK = POSLJEDICA x (PRIJETNJA x RANJIVOST) 7

8 Plan upravljanja inf. rizicima
Prihvatljiva razina rizika - onaj intenzitet rizika koji još uvijek ne ugrožava odvijanje važnih poslovnih funkcija i procesa, odnosno ostvarenje zacrtanih poslovnih ciljeva. Plan upravljanja informatičkim rizicima predstavlja sustavan proces koji sadrži sljedeće korake: utvrđivanja (identifikacija) svih informatičkih rizika, određivanje razine (intenziteta) informatičkih rizika procjenom njihove 'težine' (utjecaja na poslovanje i imovinu) i učestalosti pojavljivanja, određivanje protumjera utvrđenim rizicima postavljanjem informatičkih kontrola, dodjela odgovornosti i provedba i dokumentiranje informatičkih kontrola, i stalan nadzor i revizija plana upravljanja informatičkim rizicima. RIZIK = POSLJEDICA x (PRIJETNJA x RANJIVOST) 8

9 Procjena rizika Ranjivost Iskorištavanje ranjivosti
Neodgovarajuća zaštita kriptografskih ključeva otkrivanje informacija Nedostatak kontrole ulaznih i izlaznih podataka greška Nedostatak ili nedovoljno testiranje softvera uporaba softvera od strane neovlaštenih korisnika Loše dokumentirani softver greška zaposlenika u održavanju Nejasni ili nepotpuni zahtjevi za razvojno osoblje neispravnost softvera Nekontrolirano skidanje i uporaba softvera zloćudni softver Nekontrolirana uporaba "shareware/freeware" softvera za aplikacije poduzeća zakonska odgovornost Dobro poznati nedostaci softvera Pogrešan odabir ispitnih podataka neovlašteni pristup osobnim podacima Utjecaj Ranjivost Prijetnja Vjerojatnost Rizik Imovina 9 9 9

10 Vrste informatičkih rizika
‘korporacijski rizici’ informatički rizici Strat. IT plan, IT project management praksa, IT politike, procedure, pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljačima, rizici iz vanjskog okruženja, rizik IT projekta, itd. ‘procesni’ ili opći informatički rizici Razvoj i kupnja aplikacija, promjena softvera, pristup programima i podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd. aplikacijski IT rizici i rizici IT servisa Rizici provedbe IT operacija (jesu li transakcije točne, potpune, cjelovite, podjela dužnosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka, itd..) (primjer – rizik IT servisa – ITIL) sigurnosni rizici, rizici kontinuiteta poslovanja, financijski rizici, rizici netočnosti podataka, rizici nedostupnosti podataka, rizici krađe podataka, itd. 10

11 Proces upravljanja IT rizikom
Identificiranje svih IT rizika i prijetnji Procjena IT rizika i ranjivosti na prijetnje (primjer) Utvrđivanje vjerojatnosti pojave nekog IT rizika Procjena utjecaja na poslovanje (business impact analysis) Analiza učestalosti pojavljivanja (IT risk ranking) Procjena težine (kvalitativna i kvantitativna) – ‘vrijednosti’ rizika i ‘strategija odgovora’ Strategije odgovora na IT rizike Praćenje razine IT rizika Smanjenje razine IT rizika Izbjegavanje IT rizika Podjela IT rizika, ‘prebacivanje’ IT rizika na nekoga drugoga Određivanje i dokumentiranje IT kontrola 11

12 Analiza utjecaja na poslovanje (BIA)
RTO – vrijeme neraspoloživosti poslovnih procesa i osnovna mjera kritičnosti poslovnih procesa RTO - maksimalnim dozvoljenim vremenom neraspoloživosti poslovnog procesa (engl. Maximum Tolerable Downtime - MTD) RPO – količina podataka koje je organizacija spremna izgubiti u slučaju pojave neželjenog i nepredviđenog događaja RPO = 2h – organizacija je spremna izgubiti sve podatke koji su nastali unutar dva sata prije neželjenog događaja RTO = 0,5h – poslovni proces može biti neraspoloživ 0,5h bez velikog utjecaja na uspješnost poslovanja 12

13 Primjer procjene rizika
Web trgovina, novi IS U prvoj je godini poslužitelj na kojem je instalirana internetska prodavaonica bio napadnut tri puta, što je dovelo do uskraćivanja pružanja usluge kupcima. Svaki gubitak dostupnosti kompaniju stajao cca kn. Ipak, dio propuštene prodaje kompanije (recimo jednu trećinu) nadoknadila je nakon što je poslovni model ponovno postao funkcionalan. Svaki gubitak dostunosti kompaniju stajao kuna. Kvantitativno izračunavanje rizika: Ukupna godišnje procjene štete (engl. Annual Loss Expectation, ALE ) x iznos pojedine štete (engl. Single Loss Expectation, SLE) ALE = SLE x broj ponavljanja neželjenog događaja ALE = kn x 3 ALE = kn 13

14 ‘Matrica’ IT rizika Opis incidenta (a) Vrijednost utjecaja
Razina 'ozbiljnosti' neželjenog događaja Vjerojatnost nastanka događaja (ranjivost sustava) A B C D E I (visoka) II III IV (niska) Opis incidenta (a) Vrijednost utjecaja (imovine) (b) Vjerojatnost ostvarenja (c) Mjera rizika (d) d = b x c Rang. incidenta (e) Incident A 5 2 10 Incident B 4 8 3 Incident C 15 1 Incident D Incident E Incident F Rizik 1 - neprihvatljiv, kritičan, vrlo moguć i zahtijeva trenutnu reakciju najviših razina menadžmenta Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno uključivanje (višeg) menadžmenta Rizik 3 - prihvatljiv uz praćenje i izvještavanje menadžmentu Rizik 4 - prihvatljiv bez 'uplitanja' menadžmenta 14

15 Razrada scenarija IT rizika
Primjer scenarija IT rizika Objašnjenje potencijalne štete Potencijalni gubitak 'Ozbiljnost' događaja Ovlašteni korisnici izvode nedozvoljene aktivnosti Korisnici imaju pristup podacima, mogu pregledavati i mijenjati važne podatke, manipulirati radom sustava kn I Prekid rada sustava i servisa Prekid rada sustava može nastati radi pogrešne opreme, pogrešaka u aplikacijama ili podacima, a može uzrokovati prekid obavljanja kritičnih poslovnih procesa i gubitak važnih podataka kn Nepotpuna obrada poslovnih transakcija Neotkrivena pogrešna ili nepotpuna obrada poslovnih transakcija može utjecati na financijske izvještaje i smanjiti kvalitetu odlučivanja kn Neuspješna provedba projekata Projekti nisu dovršeni na vrijeme, unutar predviđenog budžeta i nemaju sve unaprijed dogovorene funkcionalnosti kn Krađa osjetljive ili kritične imovine Krađa računala i opreme na kojima se nalaze povjerljivi i osjetljivi podaci kn II 15

16 Zakon o kreditnim institucijama i Odluka HNB-a
Regulativa i metode COBIT – krovni okvir korporativnog upravljanja informatikom i revizije IS-a (PO 9 Procjena i upravljanje IT rizicima) Zakon o kreditnim institucijama i Odluka HNB-a Kreditna institucija je dužna Uspostaviti proces upravljanja rizikom IS-a ( ) Usvojiti metodologiju upravljanja rizikom IS-a ( ) Dokumentirati rezultate procjene rizika IS-a ( ) Procijeniti i na prihvatljivu razinu svesti rizike IS-a ( ) Klasificirati i zaštititi informacije prema razini osjetljivosti ( ) Uprava je odgovorna za donošenje prihvatljive razine rizika kojima je izložen IS ( ) 16 16

17 Izvedene metode i okviri revizije IS-a
Prema područjima provjere razlikujemo sljedeće izvedene standarde strateškog upravljanja IS-om: upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje informatičkim rizicima (Risk IT, Solvency II, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO normi, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999) 17 17

18 Izvedene metode i okviri revizije IS-a
Val IT inicijativa ( - poboljšanje upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa) ITIL okvir (ISO norma) ( - upravljanje informatičkim uslugama (5 područja, 20-ak procesa) Risk IT metodologija ( - upravljanje informatičkim rizicima (3 područja, 20-ak procesa) Obitelj ISO normi (ISO – ISO 27008) - ciljana unaprjeđenja sustava sigurnosti informacija (ISO područja i 40-ak procesa) Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja) Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima PMBOK – poboljšanje prakse upravljanja projektima PCI DSS (engl. Payment Card Industry Data Security System) – regulatorna pravila sigurnog i pouzdanog baratanja s podacima u kartičarskoj industriji. 18 18

19 mspremic@efzg.hr www.efzg.hr/mspremic
Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije Copyright © dr. Mario Spremić 19

Download ppt "Procjena i financijsko vrednovanje ICT rizika i njihov utjecaj na poslovanje ICTI 2009, 23. listopad 2009. Prof.dr.sc. Mario Spremić, CGEIT Ekonomski."

Similar presentations

1 Holcim (Hrvatska) d.o.o. 01.06.2011. Holcimova Mahovina.

1 Holcim (Hrvatska) d.o.o Holcimova Mahovina.
Primjena IT u financijskom izvještavanju

Primjena IT u financijskom izvještavanju
BUDGET TRANSPARENCY IN THE REPUBLIC OF CROATIA Zagreb, 2 December 2015

BUDGET TRANSPARENCY IN THE REPUBLIC OF CROATIA Zagreb, 2 December 2015
Katedra za informatiku

Katedra za informatiku
Ekonomska škola Šibenik Nada Bujas, prof.

Ekonomska škola Šibenik Nada Bujas, prof.
1.6. Pohrana podataka.

1.6. Pohrana podataka.
Korporativno upravljanje informatikom i IT revizija

Korporativno upravljanje informatikom i IT revizija
Genetičko savjetovanje Mario Malički Medicinski fakultet

Genetičko savjetovanje Mario Malički Medicinski fakultet
Programi zasnovani na prozorima

Programi zasnovani na prozorima
PRIJENOS PODATAKA.

PRIJENOS PODATAKA.
Kako provesti reviziju informacijskih sustava – regulativa i metode

Kako provesti reviziju informacijskih sustava – regulativa i metode
predavanja v.as.mr. Samir Lemeš

predavanja v.as.mr. Samir Lemeš
SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE

SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE
Informacijski sustavi

Informacijski sustavi
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008

Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008
Compression Plus Nonsteroidal Antiinflammatory Drugs, Aspiration, and Aspiration With Steroid Injection for Nonseptic Olecranon Bursitis ; RCT Joon Yub.

Compression Plus Nonsteroidal Antiinflammatory Drugs, Aspiration, and Aspiration With Steroid Injection for Nonseptic Olecranon Bursitis ; RCT Joon Yub.
SMJERNICE ZA PRIMJENU ISO 9001:2015

SMJERNICE ZA PRIMJENU ISO 9001:2015
Uvod u projekte Rijeka, 25.07.2013..

Uvod u projekte Rijeka,
GAP ANALIZA Z. Repač, rujan 2010..

GAP ANALIZA Z. Repač, rujan

Similar presentations

Ads by Google