tema broja ¿ ) - AlterInfo | Početak IT rizicima - Mreza 10 2013.pdf · Upravljanje informacijskim rizicima Uvod K ad se dogodi da zbog pro-blema vezanog uz informa-cijski sustav

48 listopad 2013. MREŽA

Piše: Dalibor Uremović

tema broja

Upravljanje inform acijskim rizicima

MREŽA listopad 2013. 49

Ilust

raci

ja: H

RVO

JE B

REKA

LO

Premda upravljanje informacijskim rizicima nije nov pojam, susrećući se pri razgovoru

s klijentima i partnerima s brojnim problemima, zabludama i mitovima

vezanim uz ovaj proces, vrijeme je da ga demistificiramo i jasno kažemo: društvo nam je dovoljno zrelo za implementaciju učinkovitog procesa upravljanja IT rizicima

Upravljanje inform acijskim rizicima

Upravljanje informacijskim rizicima Uvod

Kad se dogodi da zbog pro-blema vezanog uz informa-cijski sustav stane poslovanje i krene se vrtjeti brojčanik s gubicima nakon svakog sata

zastoja, svađa o tome tko je kriv i zašto se problem dogodio može početi. Poslovni korisnici tada krive informatiku jer nije dobro napravila svoj dio posla, a informa-tička podrška krivi poslovni menadžment jer nije dovoljno uložio u sigurnost i učin-kovit rad informacijskog sustava. Možda se tada nađe i poneka pametna glava koja po poznatoj izreci “lako je biti general poslije bitke” govori o tome da se problem mogao prepoznati (ili da je bio prepoznat) te da je trebalo odvojiti određene resurse kako bi se vjerojatnost pojave tog problema i/ili naknadni utjecaj na poslovanje tvrtke sveli na prihvatljivu mjeru. Upravo zadnja rečenica čini bit upravljanja rizicima infor-macijskog sustava.

Ukratko, upravljanje informacijskim rizicima čine aktivnosti prepoznavanja rizika koje prijete informacijskom sustavu, njihova vrednovanja te njihove obrade, počevši od najznačajnijih prema najba-nalnijima. Premda možemo reći da se ove aktivnosti provode u neformalnom obliku u svakoj organizaciji, tek formalno upravljanje informacijskim rizicima prema nekoj od poznatih metodologija može dati prave učinke, a tu prije svega mislimo na smanjenje potencijalnih gubitaka uslijed ostvarivanja raznih neželjenih događaja vezanih uz informacijski sustav. Općenito možemo reći da je upravljanje rizicima jedan od temeljnih pokretača raznih si-gurnosnih inicijativa unutar tvrtki. Ostali su temeljni pokretači izvještaji vanjskih i unutarnjih revizija, potreba za usklađenosti sa standardima i regulativom te, naravno, korištenje same tehnologije.

Danas je upravljanje rizicima prepoznato kao standardni proces (ili skup procesa) unutar bilo koje metodologije za učinko-vito upravljanje informacijskim sustavom. Tablica uz tekst daje putokaz na ove pro-cese unutar nekih od takvih metodologija.

tema broja

Uloga procesa upravljanja rizikom

Osim što je jedan od zahtijevanih pro-cesa u raznim standardima i regulativi, upravljanje rizikom informacijskog sustava ključan je element svake organizacijske aktivnosti traženja načina da se zaštite informacije. Periodička procjena rizika može organizaciji dati jasan uvid u tre-nutno stanje implementiranosti korištenih sigurnosnih kontrola. Pritom je lako uočiti u kojim sve područjima organizacija nije primijenila dovoljno dobre sigurnosne kontrole te može biti jasan putokaz što je sve potrebno učiniti da bi razina sigurnosti u svim aspektima promatranja sigurnosti informacijskog sustava bila uravnotežena.

Svi procesi, pa tako i oni koji se tiču učinkovitog rada informacijskog sustava, povremeno trebaju provjeriti nezavisne osobe. Procjenom rizika dobiva se upravo to - objektivan pogled na sigurnosne kon-

trole koje djelatnici svakodnevno operativ-no koriste te nemaju sveobuhvatan pogled o trenutno primijenjenoj zaštiti. Npr. što vrijede sve moguće najbolje sigurnosne kontrole izrade web aplikacija ako je vrlo lako doći do poslužitelja baze podataka i do samih podataka mimo korištenja te iste aplikacije?

Jedna od najvažnijih koristi upravljanja rizikom informacijskog sustava jesu infor-macije o tome koje su sigurnosne kontrole potrebne, koliko za njih vrijedi izdvojiti novca odnosno resursa. Jedna od osnov-nih stvari vezanih uz ulaganje u sigurnost informacijskog sustava jest pitanje “Zašto izdvojiti XY kuna za zaštitu podataka?” Znamo li koji su sve rizici vezani uz gubitak povjerljivosti, cjelovitosti ili raspoloživosti tih podataka te koji je procijenjeni iznos godišnjeg gubitka (tzv. ALE - Annual Loss Expectancy), lako je izračunati koliko nam se resursa isplati uložiti i u kojem vremenu.

Poznata krivulja životnog ciklusa nekog proizvoda/usluge/procesa/tehnologije

ŠEst zAbludA MEnAdŽMEntA o (nE)potREbi upRAvljAnjA RiziciMA

To nama ne trebaAko ste tijelo državne uprave ili lokalne samouprave, treba vam u najmanju ruku da biste poštovali Zakon o informacijskoj sigurnosti i Uredbu o mjerama informacijske sigurnosti. Ako ste kreditna institucija, regulatorni vas akti obvezuju na to. Ako ste pak neka druga vrsta organizacije, treba vam ako želite upravljati informacijskim sustavom u skladu s međunarodnim standardima i dobrim praksama. Osim ovoga, teško ćete u slučaju gubitaka moći reći da o njima niste barem raspravili prilikom procjene rizika.

Svakodnevno razmišljamo o rizicima bez formalnog procesa i to nam je dovoljno

Možemo ovo razmišljanje svesti na proces nabave nove ICT opreme i softvera. Kao što i opremu i softver nabavljate prema nekom planu, tako i upravljanje rizicima treba biti sistematično. Bez sveobuhvatne procjene

1.

2.

Kao i s mnogim drugim procesima vezanim uz učinkovito upravljanje informacijskim sustavom, tako se i za ovaj mogu čuti negativna razmišljanja o potrebi uspostavljanja tog procesa. Evo nekih od tipičnih zabluda i mogućih odgovora na njih:

rizika, mnogi od njih proći će nezapaženo, a ulaganja u sigurnosne mjere neće biti kvalitetno planirana i opravdana.

Premali smo da bi nam trebalo formalno upravljanje rizicima

Ako ste mali, znači da je i informacijski sustav manji od drugih te je time i opseg upravljanja rizicima manji. Osim toga, zavisno o tome koliko se ide u detalje, moguće je identificirati 100, 1.000 ili 10.000 rizika. Svaki proces, pa tako i upravljanje rizicima, treba prilagoditi veličini organizacije, ali je potrebno zadržati sve osnovne korake i aktivnosti. Upravljanje rizikom mogu primijeniti i tvrtke do 10 zaposlenih, a kamoli veće.

Proces upravljanja informacijskim rizicima je preskup i traži mnogo resursa

Zavisi kako gledate na ulaganje i povrat investicije. Ne možete znati koliko zapravo gubite ako ne procjenjujete gubitke i planirate ulaganja. Ako vam je

3.

4.


skupo imati stručnog zaposlenika koji bi upravljao ovim procesom, možda ga možete eksternalizirati. Osim toga, nakon što se proces prvi puta definira i implementira, svaki sljedeći put trošit ćete sve manje vremena na njega i on će postati dio standardnih operativnih aktivnosti organizacije. Na tržištu postoji mnogo jeftinih alata koji bitno ubrzavaju proces, pa i tu možete uštedjeti.

Nikad nismo imali nikakvih gubitaka pa nam procjena rizika ne treba

U ovom slučaju obično razmišljate o velikim gubicima koje budu uzrok neželjenih događaja poput potresa, poplava ili požara. Ovo je tek manji dio gubitaka koji nastaju u informacijskom sustavu. Veći dio, tzv. mikrogubici, kojih je puno više, nastaju zbog neučinkovitog upravljanja informacijskim sustavom kao što su ispadi aplikacija, dugotrajan razvoj softvera, ispravljanje pogrešaka u podacima, kvarovi ICT opreme, analiza raznih problema, preopsežna korisnička podrška, spor oporavak sustava, reinstalacije uzrokovane virusima i rootkitovima i sl. Ovakvih događaja ima na tisuće, a da uzrokuju gubitke, ponekad niste ni svjesni. Osim toga, gubitak je potrebno

ukalkulirati u godišnji plan iako se on dosad nije dogodio (npr. ako je procjena da se poplava ili izljev vode u server sobi prema postojećim kontrolama događa prosječno jednom u 10 godina, a gubitak je pritom x kuna, vaš je stvarni godišnji gubitak je x/10, dogodio se on do sada ili ne. S tim gubitkom trebate računati na godišnjoj razini te eventualno primijeniti mjere smanjenja vjerojatnosti događaja i/ili utjecaja).

Od upravljanja rizicima nema nikakve koristi

Odgovor na ovu zabludu krije se u svim gore navedenim odgovorima. Često zapravo niste ni svjesni koristi jer ne prepoznajete (potencijalne) gubitke. Naime, gubici postaju stvarni bez obzira na to jesu li se dosad dogodili ili nisu (v. prethodni odgovor). Metodološko upravljanje rizicima daje vam sveobuhvatni pogled na gubitke te uravnoteženo ulaganje - počevši od najvažnijih prema manje važnim sigurnosnim kontrolama.

5. 6.


UPravljaNjE rizicima UNUTar razNih STaNdardametodologija/standard veza na poglavlje/kontrolu unutar metodologijeCobIT 5 EDM03 Ensure risk optimization

EDM03.01 Evaluate risk managementEDM03.02 Direct risk managementEDM03.03 Monitor risk management

AP012 Manage RiskAPO12.01 Collect data.APO12.02 Analyse risk.APO12.03 Maintain a risk profile.APO12.04 Articulate risk.APO12.05 Define a risk management action portfolio.APO12.06 Respond to risk.

CobiT 4.1 PO9 Assess and manage IT risksPO9.1 IT Risk Management FrameworkPO9.2 Establishment of Risk ContextPO9.3 Event IdentificationPO9.4 Risk AssessmentPO9.5 Risk ResponsePO9.6 Maintenance and Monitoring of a Risk Action Plan

ITIL v3 Service strategy book9.5 Risks

Service design book4.6.4.3 Information security management system (ISMS)

ISO 27001/17799 4.2.1 Establish ISMS (ISO 27001)4 Risk assessment and treatment (ISO 17799)

4.1 Assessing security risks4.2 Treating security risks

PCI DSS v2 12.1.2 Includes an annual process that identifies threats, and vulnerabilities, and results in a formal risk assessment.

NIST SP 800-53 Information Security3.1 Managing organizational riskRA domain - Risk Assessment

SP 800-30 Risk Management Guide for Information Technology Systems

Pored gore jasno navedenih koristi od upravljanja rizikom informacijskih sustava, ono nam pruža i neke druge koristi, često neprepoznate. Npr. prijenos znanja osoba koje su radile procjenu rizika (npr. konzul-tanata) na djelatnike koji rade operativne aktivnosti, poboljšano komuniciranje među raznim odjelima glede informacijske sigur-nosti (tzv. učinkovitiji i sigurniji DevOps rad) te općenito podizanje razine svijesti o in-formacijskoj sigurnosti unutar čitave tvrtke.

Aktivnosti povezane s pojmom upravljanja rizicima

Dosta je zbunjujućih termina koji opisuju procjenu trenutnih sigurnosnih kontrola unutar organizacije. Svi se oni, ako ih mo-žemo jedinstveno opisati i jasno odvojiti jedne od drugih, mogu upotrijebiti u pro-cesu upravljanja rizikom te služiti kao izvor informacija o ranjivostima informacijskog sustava. Ove termine svakako ne smijemo koristiti kao zamjenu za sveobuhvatan proces procjene rizika premda čine neke od ključnih aktivnosti u samom procesu.

Tako tzv. gap analiza daje analizu trenut-nog stanja informacijskog sustava u odnosu na neko od ciljanih stanja (npr. neki od po-znatih standarda ili normi). Ovakva se ana-liza često radi samo na osnovi upitnika i bez stvarne provjere na uzorku kontrola. Revizija informacijskog sustava slična je gap analizi, s razlikom da revizor uzima uzorak zapisa koje kreiraju pojedine kontrole te pokušava utvrditi je li stanje upravo onakvo kakvo je dano odgovorima u upitnicima. Provjera ranjivosti postupak je u kojem se koriste spe-cijalizirani softverski alati koji traže poznate ranjivosti unutar nekog od primijenjenih alata odnosno tehnologija (npr. nedostatak zakrpa ili slabe konfiguracijske postavke). Analiza koja najdublje zadire u postavljene sigurnosne kontrole bio bi penetracijski test u kojem se etički haker specijaliziranim softverskim alatima pokušava probiti kroz implementirane mjere kako bi dobio moguć-nost kompromitiranja povjerljivih odnosno kritičnih podataka tvrtke. Rezultati svih ovih aktivnosti mogu se koristiti kao informacije u

procesu procjene rizika prvenstveno jer nam daju listu ranjivosti informacijskog sustava kao jednog od osnovnih kataloga u procesu procjene rizika.

Upravljanje rizikom kod nasOdgovor na pitanje kako uspostaviti pro-

ces upravljanja rizikom informacijskog su-stava možete potražiti u sljedećem članku. Ipak, to je samo jedan od načina odnosno metodologija u moru drugih koje može-mo pronaći u gotovo svim standardima i dobrim praksama učinkovitog upravljanja informacijskim sustavom. Tablica uz tekst daje pokazatelje na pojedina poglavlja u

poznatim standardima kao što su CobIT, ITIL, ISO 27001, PCI DSS i sl. a koja sadrže detaljno razrađen proces upravljanja infor-macijskim rizicima. Uz ovakvu pokrivenost procesa upravljanja rizikom u standardima mogli bismo pomisliti da su organizacije i privatne tvrtke u Hrvatskoj ovo prepoznale kao nužan proces upravljanja informacij-skim sustavom.

Nažalost, čini se da naše tvrtke i javna poduzeća nisu prepoznali ovaj proces kao važan jer je, prema iskustvima autora, proces upravljanja informacijskim rizicima vrlo slabo implementiran, a u mnogim ga organizacijama uopće nema. Nešto


tema broja

Teoriju znate. Poznate su vam metodologije. Znate čak i korake procesa, ali ne znate kako točno krenuti. Dajemo vam nekoliko savjeta za lakši početak

Upravljanje informacijskim rizicima savjeti za početak

je bolja situacija u financijskom sektoru, pogotovo u kreditnim institucijama, što je posljedica jače regulative koju propisuje Hrvatska narodna banka, o čemu možete čitati u jednom od popratnih članaka teme broja. Za ostale tvrtke u realnom sektoru praktički nema nikakve regulative za ovaj proces, često ni u području upravljanja informacijskim sustavima. Ono što čudi jest vrlo slaba implementacija u državnim tijelima premda postoji zakonski okvir o aktivnostima postupanja s klasificiranim i neklasificiranim podacima. Bez obzira na vrstu podataka o kojoj se radi, traže se aktivnosti upravljanja rizicima ili po Zako-nu o informacijskoj sigurnosti i Uredbom o mjerama informacijske sigurnosti ili, za neklasificirane podatke, po hrvatskim normama HRN ISO/IEC 27001 i HRN ISO/IEC 17799. Ako proces i postoji formalno definiran, često nije moguće naći zapise o njegovu provođenju u praksi.

Razdoblje prosvjetljenjaRazdoblje prosvjetljenja jedno je od sta-

nja u tzv. Hype ciklusu svakog proizvoda ili usluge (v. sliku). Prema mišljenju autora, a koje se temelji na brojnim razgovorima s klijentima i partnerima te analizi dokumen-tacije i alata, nalazimo se upravo u tom stanju gdje smo ispucali ogromne troškove implementacije ovog procesa prije neko-liko godina, a donedavno i milijun nega-tivnih komentara na smisao ovog procesa. Iza svakog buzzworda krije se poslovna mašinerija, pa tako i u slučaju upravljanja IT rizicima. Nekad se dogodi da sve jedno-stavno propadne i proizvod/usluga/proces budu napušteni. Možemo se složiti da je, s obzirom na zastupljenost ovog procesa u svim mogućim standardima i zakoni-ma, tako nešto nemoguće te da polako ulazimo u stanje platoa produktivnosti, gdje postajemo svjesni koristi od procesa upravljanja informacijskim rizicima, a da za njihovo uvođenje ne moramo potrošiti brdo resursa.

Proces upravljanja informacijskim rizicima

A ko niste upoznati ni s teorijom, krenut ćemo s malim uvodom. Odgo-

vor na pitanje kako upravljati informacijskim rizicima može se pronaći u raznoj literaturi, a sve se svodi na odabir pojedine metodologije. Metodologija ima mnogo (v. tablicu), a uglavnom se može reći da svaka malo veća nacija ima neku svoju metodo-logiju koju je potrebno koristiti u okvirima tijela državne uprave iste te nacije. Osim ovih - na-zovimo ih nacionalnim meto-dologijama - postoje i mnoge druge koje su proizišle iz raznih stručnih udruženja te se nala-ze ili samostalno, u zasebnim dokumentima, ili unutar nekog od svjetski priznatih standarda upravljanja informacijskim su-stavom.

Kad ih bolje upoznate, sve su metodologije vrlo slične u ko-racima i ulaznim odnosno izla-znim informacijama (dokumen-tima) pojedinog koraka. Najveće su razlike u načinu vrednovanja rizika te u katalozima prijetnji i ranjivosti koji uglavnom dolaze uz svaku od njih. Dalje u tekstu detaljnije se prolazi kroz me-todologiju upravljanja rizicima NIST (National Institute of Stan-dards and Technology), jedno-

stavno jer je autoru ovog teksta ona najbolje legla u praksi.

Procjena rizikaGrubo se upravljanje rizicima

može podijeliti na dvije veće faze - procjenu rizika i obradu rizika. U prvoj fazi prikupljamo informa-cije koje sudjeluju u oblikovanju rizika te ga vrednujemo koristeći neku od matematičkih formula. Kako to činimo? Prvo je potrebno odrediti doseg upravljanja rizici-ma. To može biti cijeli informa-cijski sustav neke organizacije ili samo jedan njegov dio, najčešće dio s kritičnim resursima. Procje-na rizika samo dijela informa-cijskog sustava preporučuje se organizacijama koje tek kreću u ovaj proces pa će sužavanjem dosega smanjiti vrijeme potrebno za usvajanje novog procesa te na-kon naučenih lekcija eventualno proširiti priču i na ostatak infor-macijskog sustava. Sagledavanje informacijskog sustava u cjelini poželjno je jer je ponekad teško napraviti jasnu granicu dosega, prvenstveno jer informacijski su-stav čine entiteti različitih tipova isprepleteni raznim međusobnim vezama. Tipovi entiteta koje trebamo uzeti u obzir jesu npr. lokacije, hardver, softver, ser-visi, procesi, ljudi, treće strane,

MEtodologijE upRAvljAnjA RiziciMADanas je u primjeni mnoštvo metodologija upravljanja rizicima. Uglavnom je to posljedica oblikovanja regulative odnosno standardiziranja ovog postupka u tijelima državne uprave raznih zemalja. Autor se u svom radu susretao s većinom niže nabrojenih metodologija

i zaključak je samo jedan: sve su odlične ako postoji dovoljno resursa te jaka volja za njihovu primjenu. Za dio ovih metodologija postoji već mnoštvo raznih softverskih alata koji bitno ubrzavaju postupke upravljanja rizicima, osiguravajući sveobuhvatnost pri identificiranju

prijetnji i ranjivosti, omogućavajući brže i lakše matematičke izračune veličina rizika i dajući razne vrste izvještaja za menadžment ili osobe odgovorne za procese upravljanja rizicima. Ono što je sigurno jest da nijedan od tih alata ne radi svoj posao samostalno (princip

Kako upra vljati rizicima

nosno veza entiteta s pojedinom prijetnjom i ranjivošću informa-cijskog sustava.

Kad smo dobili katalog rizika, moramo ih nekako vrednova-ti. Danas su u primjeni dvije temeljne matematičke formule kojima pridjeljujemo vrijednosti pojedinom riziku. Prva vrednuje rizik kao matematički produkt vjerojatnosti ostvarivanja prijet-nje nad entitetom te utjecaja koji nastaje u slučaju ostvari-vanja prijetnje. Pod utjecajem mislimo na negativan utjecaj (financijski i/ili nefinancijski) premda rizik po definiciji može imati i pozitivan utjecaj. Druga

se formula temelji na ma-trici (produktu) vrijednosti entiteta, prijetnje i ranjivosti. Prema iskustvu autora, bolje je koristiti prvu formulu jer daje rezultate bliže praksi. Uz veličinu rizika možemo vezati i financijski trošak u slučaju ostvarenja rizika, a za njega se najčešće veže termin ALE (Annual Loss Expectancy), tj. prosječni očekivani godišnji gubitak. Premda ovaj podatak nije lako izračunati, vrlo je kori-stan jer daje menadžmentu tvrtke jasan putokaz o to-me koliko sredstava smije

MEtodologijE upRAvljAnjA RiziciMAzemlja porijekla cijena Primjenjivost na vrstu organizacije

cramm Velika Britanija N/A velikeBS 7799-3:2006 Velika Britanija cca 80 £ sveiSO/iEc 27005:2008 svijet (Velika Britanija) cca 90 £ sveiT-Grundschutz Njemačka besplatno svemehari 2007 Francuska besplatno sveOctave SAD besplatno srednje i maleSP800-30 (NiST) SAD besplatno sve

“ključ u ruke i vozi”), već je često potrebno provesti određene prilagodbe

samoj organizaciji, njenim poslovnim procesima, željama

menadžmenta ili raznim regulatornim i zakonskim uvjetima specifičnim

za pojedinu poslovnu vertikalu ili državu u kojoj organizacija djeluje.

Kako upra vljati rizicima potpiŠitE sE nA pRocjEnu RizikA

Certifikat CRISC izdaju ISACA/ITGI i, za razliku od nekih drugih, usko je vezan uz upravljanje informacijskim rizicima

Kako za većinu tehnologija i procesa informacijskog sustava, tako i za procese upravljanja ICT rizicima postoji papir koji će potvrditi da ste stručni za obavljanje takvih aktivnosti. Trenutno je najpoznatiji certifikat koji je uže usmjeren upravo na obavljanje aktivnosti upravljanja rizikom informacijskih sustava CRISC (Certified in Risk and Information Systems Control). Izdaju ga organizacije ISACA/ITGI, a isto vrijedi i za ostale njihove poznate certifikate kao što su CISA, CISM ili CGEIT.Premda i ovi ostali nabrojeni bar djelomično obuhvaćaju aktivnosti upravljanja rizicima, CRISC puno šire pokriva ovo područje, i to:

➲ identifikaciju, procjenu i vrednovanje rizika

➲ odgovor na rizik odnosno obradu rizika

➲ nadzor rizika

➲ dizajn i implementaciju IS kontrola (mjera)

➲ nadzor i održavanje IS kontrola (mjera).Kod nas će se rijetki naći da polože isključivo ovaj certifikat jer u Hrvatskoj ne postoje dovoljno velike organizacije (ili ih je jako malo) u kojima ima smisla postojanje posebne funkcije upravitelja rizika (risk manager). U

velikim svjetskim korporacijama koje broje desetke tisuća zaposlenih u brojnim lokacijama na svijetu, funkcija risk manager nije rijetkost, a ovaj certifikat daje na težini osobi koja obnaša takvu funkciju. Od ostalih certifikata, mada ne toliko vezanih za ICT, ističu se i:

➲ CRMA (Certification in Risk Management Assurance),

➲ CISRCP (Certified Information Systems Risk and Compliance Professional) i/ili

➲ američki CRM (Certified Risk Manager).

informacije. Njima je potrebno odrediti kritičnost temeljem koje će se lakše određivati utjecaj ri-zika u slučaju njegova ostvarenja. Kritičnost je širok pojam; zato ga najčešće preslikavamo kroz po-jam gubitka koji organizacija trpi zbog neraspoloživosti entiteta, gubitka povjerljivosti ili cjelovi-tosti. Ako kritičnost (koja će nam prilikom vrednovanja trebati zbog procjene utjecaja rizika) izrazimo običnom skalom procjene (npr. mala, srednja, velika), govorimo o kvalitativnoj procjeni rizika, a ako kritičnost (i posljedično veličinu rizika) izrazimo novčano ili ne-kom drugom matematičkom for-

mulom, govorimo o kvantitativnoj procjeni rizika. Kvantitativna daje bolje rezultate, ali je potrebno više vremena za izračune, pa je čest slučaj da se organizacije odluče na kvalitativnu procjenu rizika - bar u početku.

Sljedeća se dva koraka odnose na identifikaciju prijetnji i ranji-vosti pojedinog entiteta infor-macijskog sustava. U ovom nam koraku mogu pomoći katalozi generičkih prijetnji i ranjivosti koje uglavnom možemo pronaći unutar korištene metodologije. Tablica uz tekst navodi neke od tipičnih prijetnji i ranjivosti koje se mogu naći u takvim katalo-

zima. Premda je korištenje ovih kataloga nužno radi sveobuhvat-nosti procjene rizika, specifične prijetnje i ranjivosti potrebne su kako bi proces procjene rizika bio čim bliži specifičnostima informacijskog sustava s kojim radimo. Ovdje nam mogu pomo-ći razne tehnike poput upitnika ili brainstorminga među skrb-nicima IT servisa te informacije koje nam daju alati za provjeru ranjivosti, izvještaji vanjske i unutarnje revizije informacijskog sustava, odnosno informacije iz baze incidenata/helpdeska, ako takvu imamo. Izlazni je rezultat ovih aktivnosti katalog rizika od-



tema broja

alocirati za smanjenje pojedinog rizika. Osim toga, ovo je jedan od najboljih primjera kako dati protuargument čestoj izreci me-nadžmenta “nama upravljanje rizicima ne treba, nikad nemamo nikakvih gubitaka”. Gubici uvijek postoje, samo su sakriveni u ma-loj vjerojatnosti ili svakodnevnim mikrogubicima čiji se financijski utjecaj vrlo rijetko računa (npr. ispadi aplikacija, kratkotrajni prestanci rada mreže i sl.).

Da bismo mogli izračunati vrije-dnosti rizika, moraju nam dakle biti poznate vrijednosti vjerojat-nosti prijetnje i utjecaja. One prije svega ovise o kritičnosti imovine te postojećim sigurnosnim kon-trolama koje imamo unutar infor-macijskog sustava, a koje smanjuju vjerojatnost ostvarivanja rizika ili njegov utjecaj. Primjeri su za to kontrola pristupa serverskoj sobi putem ovlaštenih kartica, koja smanjuje vjerojatnost da netko neovlašteno uđe u serversku sobu, ili sistem za gašenje vatre plinom koji - u slučaju da do požara do-đe - može brzo ugasiti vatru i tako smanjiti mogući utjecaj uništenja čitave serverske sobe, a možda i prostorija izvan nje. Popis imple-mentiranih kontrola nam dakle daje osnovu za lakše vrednovanje rizika te eventualni naknadni oda-bir kontrola za smanjivanje rizika.

Procjena rizika završava izvje-šćem u kojem su pobrojeni rizici, najčešće posloženi od najvećih prema najmanjima. Ovakvo izvješće, uz nekoliko efektnih grafova, menadžmentu daje ja-snu sliku o trenutnoj izloženosti informacijskog sustava rizicima te smjer aktivnosti za ovladava-nje tim rizicima.

Obrada rizikaDruga faza upravljanja rizicima

naziva se obradom rizika te daje odgovor na pitanje što učiniti s procijenjenim rizicima. Nakon što menadžment dobije izvješće

Kvalitativna procjena rizika daje brze rezultate jer u izračun veličine rizika nisu uključene kompleksne matematičke formule kojima izračunavamo financijski gubitak

Upravljanje informacijskim rizicima savjeti za početak

Entitet Prijetnja ranjivost Opis rizika vjerojatnost Utjecaj veličina rizika

Centralni usmjernik Tehnički kvar na sustavu Neredovito održavanje

Kvar centralnog usmjernika uslijed starosti - poslovnice se ne mogu

spojiti na centralnu aplikacijuSrednja Veliki Visok

CBA aplikacija Pogreška u aplikaciji Nedovoljno testiranje softvera Česti ispadi ključne aplikacije Velika Srednji Visok

MS SQL Server Napad probijanjem zaporki Slabo upravljanje zaporkama

Krađa podataka iz centralne baze zbog prazne zaporke na admin

korisničkom računuMala Veliki Srednji

Serverska soba Nestanak struje Nedostatak agregata i/ili UPS-ova

Ne radi centralna aplikacija zbog nestanka struje u serverskoj sobi Mala Veliki Srednji

Administrator baze podataka

Pogreške pri korištenju

Nedovoljna obučenost/osviještenost djelatnika

Slučajno brisanje tablica iz baze administratora baze podataka (DELETE bez WHERE uvjeta)

Mala Srednji Nizak

• Hardver• Softver• Sučelja• Podaci i informacije• Ljudi

• Granice sustava• Sistemske funkcije• Kritičnost i osjetljivost podataka i sustava

• Katalog prijetnji

• Katalog ranjivosti

• Lista trenutnih i planiranih kontrola

• Ocjena vjerojatnosti

• Ocjena utjecaja

• Katalog rizika• Veličine rizika

• Preporučene kontrole

• Izvješće o procjeni rizika

Korak 1.Karakterizacija sustava

Korak 2.Identifikacija prijetnji

Ulaz Aktivnost Izlaz

Korak 3.Identifikacija ranjivosti

Korak 4.Analiza kontrola

Korak 5.Određivanje vjerojatnosti

Korak 6.Analiza utjecaja

Korak 7.Određivanje rizika

Korak 8.Preporuka kontrola

Korak 9.Dokumentiranje rezultata

• Povijest napada• Podaci s Interneta, iz baza gubitaka

• Izvješća prošlih procjena rizika• Izvješća revizija• Rezultati testiranja

• Trenutne kontrole• Planirane kontrole

• Motivacija izvora prijetnji• Kapacitet prijetnji• Trenutne kontrole

• Analiza utjecaja• Procjena kritičnosti imovine• Kritičnost i osjetljivost podataka

• Veličina utjecaja• Adekvatnost planiranih ili trenutnih kontrola

Koraci procjene rizika (prema NIST-u)

o procjeni informacijskih rizika, trebao bi odrediti koji su rizici pri-hvatljivi za organizaciju, odnosno s kojim se mogućim gubicima može živjeti, a koje rizike treba smanjiti. Osim ove dvije najčešće opcije, često se govori i o mogućnosti prijenosa rizika na nekog drugog,


primjerice sklapanjem ugovora o osiguranju ili eksternaliziranjem procesa/servisa. Zadnja je opcija izbjegavanje rizika. U ovom sluča-ju jednostavno ne koristimo rizični entitet. Primjer je za ovo gašenje VPN pristupa zaposlenicima, čime smo jednostavno izbrisali sve rizike povezane s tim servisom.

One rizike koje je organiza-cija odlučila smanjiti obradit ćemo implementacijom raznih sigurnosnih kontrola. Ove kon-trole možemo naći u raznim svjetskim standardima odnosno dobrim praksama. Kako bi se implementacija zaista dogodila, potrebno je jasno odrediti roko-ve implementacije te odgovorne osobe. Time dobivamo popis koji se zove plan implementacije kontrola i njegovo je izvršenje, poput bilo kojeg drugog plana ili projekta, potrebno pratiti. Nakon implementacije kontrola rizik se smanjio jer se smanjila vjerojatnost ostvarivanja rizika i/ili njegov utjecaj. Ono što ostane zovemo rezidualnim rizikom i to je onaj rizik koji menadžment organizacije prihvaća. Kad već govorimo o terminima procesa upravljanja rizicima, često se govori i o inherentnim rizicima, a to su oni koji su ugrađeni u samu prirodu entiteta i okoline te po-stoje bez obzira na sve kontrole koje imamo unutar informacij-skog sustava. Npr. rizik potresa nikad ne može biti jednak nuli.

Što dalje?Pokretanjem aktivnosti praće-

nja plana implementacije kon-trola možemo reći da je završen

Generičke prijetnje i ranjivosti koje možemo naći gotovo u svakoj metodologiji upravljanja informacijskim rizicima

Koraci obrade rizika (prema NIST-u)

Tip imovine ranjivost Prijetnja Primjer rizika

Hardver

Neredovito održavanje Tehnički kvar na sustavu Kvar centralnog usmjernika radi starosti - poslovnice se ne mogu spojiti na centralnu aplikaciju

Nezaključani ormarići Krađa medija i dokumenata Krađa povjerljivih izvješća tvrtke

Nekontrolirano odbacivanje medija Krađa medija i dokumenata Nestanak povjerljivih izvješća koja su ostavljena na mrežnom printeru u hodniku

Softver

Nedovoljno testiranje softvera Pogreška u aplikaciji Česti ispadi ključne aplikacije

Poznate ranjivosti u softveru/Neprimijenjene zakrpe i nadogradnje Iskorištavanje poznatih ranjivosti Hakerski upad u informacijski sustav preko ranjivosti PHP web

aplikacije

Nedostatak operativnih i sistemskih zapisa Neovlaštene promjene u sustavu Nemogućnost rekonstrukcije hakerskog napada zbog manjka zapisa

o zloćudnim aktivnostima

Mreža

Slabo upravljanje zaporkama Napadi probijanjem zaporki Krađa podataka iz centralne baze zbog prazne zaporke na admin korisničkom računu

Nekriptirani promet Prisluškivanje prometa Otkrivanje korisničkog imena i zaporke “snifanjem” zbog korištenja HTTP prometa s web aplikacijom

Neredundantna oprema Kvar na mrežnom uređaju Kvar centralnog preklopnika, a nema pričuvne opreme za zamjenu - ne radi cijela zgrada

Ljudi

Nedovoljna obučenost/osviještenost djelatnika Pogreške pri korištenju Slučajno brisanje tablica iz baze administratora baze podataka

(DELETE bez WHERE uvjeta)

Manjak obučenog kadra Otkaz djelatnika Nema tko raditi administraciju sustava jer je to znao samo Pero Perić

LokacijaBlizina rijeke Poplava Uslijed čestih kiša, rijeka se izlijeva i poplavlja serversku sobu u

prizemlju

Nedostatak agregata i/ili UPS-ova Nestanak struje Ne radi centralna aplikacija zbog nestanka struje u serverskoj sobi

• Razine rizika iz izvještaja o procjeni rizika

• Rangirane aktivnosti obrade rizika

• Cost-bene�t ili neka druga analiza isplativosti implementacije kontrola

• Lista s prijedlogom sigurnosnih kontrola

• Odabrane kontrole

• Lista odgovornih osoba

• Plan za obradu rizika

• Preostali rizici

Korak 1.Određivanje prioriteta

Korak 2.Prijedlog sigurnosnih

kontrola

Ulaz Aktivnost Izlaz

Korak 3.Analiza isplativosti

Korak 4.Odabir kontrola

Korak 5.Pridjeljivanje odgovornosti

Korak 6.Izrada plana zaobradu rizika

Korak 7.Implementacija odabranih

kontrola

• Izvještaj o procjeni rizika

jedan ciklus periodičkog uprav-ljanja rizicima. Dobre prakse nalažu da se periodička procjena rizika nad cijelim informacijskim sustavom provodi minimalno jednom godišnje. Ovo može biti velik posao ako ga radi samo jedna osoba (npr. voditelj sigur-nosti informacijskog sustava). Zato je korisno u procjenu rizika upregnuti sve zaposlenike koji su vlasnici odnosno skrbnici IT imovine, što svakako nije jed-nostavno ako se ne koristi neki od alata za upravljanje rizicima.

Periodička procjena rizika je-dan je od čestih načina uprav-ljanja rizicima i predstavlja mi-nimalne zahtjeve kad govorimo o stupnju zrelosti ovog procesa u organizaciji. Sljedeći korak bio bi implementiranje kontinuiranog upravljanja rizicima odnosno svakodnevna procjena i obrada rizika kako ih identificiramo u svom radu, čime bismo izbje-gli dugačka razdoblja između pojedinih procjena u kojima se rizicima uopće ne bavimo.


tema broja

Upravljanje informacijskim rizicima Alati

Majstore, trebaš alat!Učinkovito upravljanje informacijskim rizikom teško je zamisliti bez korištenja nekog od danas dostupnih alata koji se koriste u tu svrhu. Premda je dobar dio naših tvrtki koje imaju uspostavljen proces upravljanja rizicima još na papiru i olovci (prevedeno: Excelu), relacije među podacima, ugrađene baze znanja te automatsko izvještavanje zovu na zamjenu starog načina rada

U sljedećim redovima predstavit ćemo neke od danas dostupnih softver-

skih alata za upravljanje infor-macijskim rizicima fokusirajući se na domaće alate - kojih, isti-na, nema mnogo, ali dovoljno ih je da možemo govoriti i o zastupljenosti hrvatske softver-ske industrije u ovom području. Softverskih alata na tržištu koji pokrivaju informacijske rizike ima vrlo mnogo. Autor ovog

teksta radio je analizu takvih alata još prije četiri godine i ta-da je na tržištu već bilo prisutno minimalno 40 alata. Danas ih je puno više i ne bi nam bio dosta cijeli časopis da ih sve obradimo.

Alati koji su prikazani u tabli-cama redom su domaći (proi-zvođači su hrvatske tvrtke) te nekoliko - po mišljenju autora - poznatijih i jačih stranih alata koji zaslužuju malo više pažnje.

Kao u svakom području, tako će se i u ovom naći oni koji nisu našli mjesto pod suncem (u okviru ovih par stranica). Jedan dio takvih alata odnosi se i na vrlo poznate softverske/har-dverske proizvođače (npr. IBM, Microsoft, Symantec, Oracle, CA) pa svakako pogledajte i na njihovim stranicama što oni ima-ju reći u ovom području.

Naziv alata alTEr riSK

Kratak opis alataDomaći softverski alat za upravljanje rizikom informacijskog sustava i sukladnošću s najpoznatijim svjetskim standardima i dobrim praksama u upravljanju informacijskim sustavom (IT GRC).

Proizvođač Alter info d.o.o.Zemlja porijekla Hrvatska

Funkcionalnost procjene rizika

Registar informacijske imovine - moguće je kreirati registar prema tipovima (hardver, softver, lokacije, servisi…), odrediti njihovu kritičnost, grupirati ih i uključivati u projekte. Detaljni podaci za servise, procese, softver i hardver (asset management).Identifikacija rizika - ugrađena baza znanja prijetnji s vezama na tipove imovine koju je moguće konfigurirati. Rizike je moguće unositi kontinuirano ili u okviru projekata.Procjena rizika - automatsko kreiranje rizika iz baze znanja. Koristi se metoda produkta vjerojatnosti rizika i utjecaja. Procjena je objektivizirana jer je moguće pogledati i status implementiranih kontrola vezanih uz rizik. Moguć unos financijskih parametara. Višekorisnička procjena rizika. Mail notifikacije.

Funkcionalnost obrade rizika

Pregled rizika - pregled po projektima, razdoblju, resursima, sortiranje, odabir načina obrade rizika.Obrada rizika - unos stavki plana implementacije kontrola lako uz pomoć podataka o već implementiranim kontrolama. Odabir kontrola iz baze znanja prema svjetskim standardima (NIST kontrole korištene kao osnovica).Praćenje plana implementacije kontrola - pregled plana po projektima ili po kontrolama, rokovi, zadužene osobe, status izvršenja, financijski trošak…Izvještavanje o sukladnosti - automatska izvješća o statusu sukladnosti s velikim brojem regulativa i standarda (NIST, ISO 27002, CobiT, PCI DSS, ITIL, Odluka HNB, Odluka BiH)

Ostale funkcionalnosti

Katalog informacijske imovine, katalog procesa, katalog IT servisa s parametrima potrebnim za BIA-u. Automatsko kreiranje planova oporavka IT servisa.Asset management.BIA izvješća i grafovi.Aktivnosti revizije informacijskog sustava po projektima, automatsko kreiranje revizorskog izvješća.Baza znanja prijetnji, kontrola, regulative, ugrađena mapiranja.Brzo vrednovanje rizika u data sheet modu, kao u Excelu.Mogućnost mijenjanja svih šifarnika, grupiranja i unos vlastite baze znanja.Uvoz/izvoz podataka s gotovo svih ekrana i izvješća u Excel, PDF, slike, Word.Sve ekrane moguće filtrirati, sortirati gotovo po svim parametrima.Dashboard s grafičkim prikazom podataka za menadžment.

Životni ciklus 6. studenog 2012., Alter Risk v3.0Službena web stranica http://www.alterinfo.hrPodržani jezici Hrvatski (engleski, srpski i njemački u pripremi)

CijenaCijena prema tri modela: osnovni, standardni, napredni paketPlaćanje jednokratno ili mjesečna otplata (cloud SaaS model)Moguće ugovoriti i dodatno održavanje (besplatne nadogradnje i podrška)

Arhitektura i platforma Web aplikacija (IIS), ASP.NET 4.0, MS SQL Server 2008, OS: Windows Server 2008, Windows 7, Windows 8

Način korištenja In-house instalacija kod korisnikaCloud (SaaS) model


Naziv alata hESTia riSK

Kratak opis alata

Vrhunski softver za upravljanje rizicima. Posebno je prilagođen za područje informacijske sigurnosti (ISMS) u skladu s normama ISO/IEC (27001, 27005, 27031 i 27035). Mogućnost rada za jednu organizaciju ili rad za konzultantske kuće.

Proizvođač BlueField d.o.o.

Zemlja porijekla Hrvatska


Definiranje metodologije procjene rizika i matrice (kriterija) prihvatljivosti rizikaIzrada kataloga prijetnji i ranjivostiIzrada kataloga sigurnosnih mjera (kontrola)Povezivanje prijetnji, ranjivosti i sigurnosnihIzrada kataloga organizacijskih jedinicaIzrada kataloga odjelaIzrada kataloga poslovnih funkcijaIzrada kataloga lokacijaIzrada kataloga ljudi koji sudjeluju u funkcioniranju informacijskog sustavaIzrada kataloga grupa imovineIzrada kataloga imovinePovezivanje grupa imovine s prijetnjama, ranjivostima i sigurnosnim mjerama u čarobnjak za automatizaciju procjene rizikaIzrada procjene rizikaIzvještavanje o rezultatima procjene rizika po raznim kriterijima kataloga


Automatsko dodjeljivanje opcije obrade rizika prema kriterijima korisnika (prihvaćanje, transfer, izbjegavanje i smanjenje rizika)Modificiranje dodijeljenih opcija obrade rizika s procjenom očekivanog rizika nakon implementacije opcije obradeIzrada plana obrade rizika s terminima, troškovima i odgovornostimaIzvještavanje svih zainteresiranih strana

Ostale funkcionalnosti

Povezivanje s ostalim poslovnim procesima organizacije u drugim sustavima upravljanja (9001, 14001 itd.)Automatska izrade liste preostalih rizikaAutomatska izrada dokumenta SoA - Izjava o primjenjivostiIncident management - Upravljanje incidentimaObrada i upravljanje dokumentacijom u skladu s ISO normamaUključene kontrole iz Aneksa A norme ISO/IEC 27001 uz neograničenu mogućnost dodavanja svojih specijalnih. Dokument SoA automatski se usklađuje s popisom svih kontrola.Uz softver se dobivaju i besplatni predlošci dokumenata vezanih za procjenu rizika (u formatu .doc ili .rtf) prema zahtjevima ISO/IEC 27001

Životni ciklus 1999, Hestia RISK v01.11.017. (2013)

Službena web stranica http://www.bluefield.hr

Podržani jezici Hrvatski, engleski, ruski, srpski + korisnik može sam definirati svoj jezik i napraviti prijevod

Cijena

BESPLATNI DEMO: potpuna funkcionalnost uz ograničenje broja procjena rizika na 50. Nema vremenskih ograničenja. Može se obnavljati na nove demo verzije. Uključena je standardna podrška (Public eTicket).LICENCIRANA VERZIJA Hestia RISK: 5.000 kn + PDV, prva godina održavanja uključena u cijenu, svaka naredna godina 40% prodajne cijene. Održavanje uključuje obnavljanje licencirane verzije i profesionalnu podršku (Private eTicket).

Arhitektura i platforma Windows aplikacija.OS: Windows XP (32-bit & 64-bit), Windows 7 (32-bit & 64-bit), Windows 8 (32-bit & 64-bit), Windows Server (≥2003)

Način korištenja Rad na jednom računalu.Višekorisnički rad u mrežnom okruženju, rad preko udaljenog terminala.

Prezentirani podaciPodatke prezentirane u okviri-

ma naveli su sami proizvođači. Kategorije informacija o svakom alatu preuzete su te djelomično izmijenjene prema predlošku ENISA (European Network In-formation Security Agency) koji popunjavaju tvrtke koje žele ući u njihovu bazu softverskih alata za upravljanje informacijskim rizicima. Ovo daje objektivan pogled na svaki alat, a ako vam nije dosta informacija navedenih u narednim okvirima, slobodno prosurfajte i tom bazom znanja te proširite mogućnosti vred-

novanja i na one alate koji nisu obrađeni ovim tekstom.

Popis alata nastao je na te-melju autorovih razgovora s brojnim tvrtkama u privatnom i javnom sektoru o tome koji alat koriste te na temelju istraživa-nja domaćih web stranica. Ako neka tvrtka koristi domaći alat koji nije na ovom popisu, mo-gući je razlog što takvi alati nisu javno dostupni (proizvođači ih ne reklamiraju) ili su njihove stranice slabo indeksirane te ih nije moguće pronaći ni dubljim traženjem nekom od poznatih tražilica.


tema broja

Naziv alata UriS

Kratak opis alata Softverski alat za upravljanje rizicima informacijskog sustava po metodologiji Mehari

Proizvođač Borea d.o.o. Adservio d.o.o.



Faza 1: Popis preddefiniranih grupa imovine i prijetnjiFaza 2: Popis preddefiniranih kontrolnih mjeraFaza 3: Izračun rizika po neprihvatljivim događajima (scenarijima)

Funkcionalnost obrade rizikaSlanje izvješća menadžmentu (PDF) uz prijedlog konkretnih kontrolnih mjera koje je potrebno uvesti/poboljšati

Ostale funkcionalnostiGeneriranje izvješća po smjernicama HNB-a (PDF)Grafički prikaz pojedinih kontrolnih mjera (pie chart)Kontrolne mjere su definirane prema ISO 27001, a planira se i mapiranje na COBIT u sljedećoj verziji

Životni ciklus 1. lipnja 2009., Uris v2.2

Službena web stranica Http://www.borea.hr

Podržani jezici Hrvatski, engleski. Osim sučelja, na hrvatski su jezik prevedene i sve sastavnice kataloga rizika (imovina, prijetnje, kontrolne mjere, scenariji rizika)

Cijena Cijena: 6.000 EUR + godišnje održavanjeProbno razdoblje: prema dogovoru

Arhitektura i platforma Web aplikacija (IIS), ASP.NET 2.0, MS SQL Server Express 2005, OS: Windows

Način korištenja In-house instalacija kod korisnika

Upravljanje informacijskim rizicima Alati

Naziv alata riSK maNaGEmENT TOOl

Kratak opis alata Cjelovito programsko rješenje za upravljanje rizicima informacijskih sustava

Proizvođač Infigo IS d.o.o.



Alat podržava sve aktivnosti ključne za provođenje postupka procjene rizika.Identifikacija i vrednovanje informacijske imovineGrupiranje informacijske imovine prema poslovnim procesima i drugim kriterijimaIdentifikacija prijetnji, ranjivosti i postojećih sigurnosnih kontrolaProcjena rizika temeljem procjene vjerojatnosti realizacije prijetnje i potencijalnog utjecaja na poslovanjeIzvješćivanje


Alat podržava tretiranje, odnosno obradu rizika prema slijedećim aktivnostima:Identifikacija opcija za tretiranje rizika (umanjivanje, prihvaćanje, transfer)Odabir kontrola za umanjivanje identificiranih rizikaIzvješćivanje

Ostale funkcionalnostikatalog ugrađenih prijetnji i ranjivostibilježenje korisničkih aktivnostigrupiranje informacijske imovine prema različitim kriterijima s ciljem podizanja razine učinkovitosti postupka procjene rizika

Životni ciklus veljača 2009., Infigo Risk Management v3.0

Službena web stranica http://www.infigo.hr/en/proizvodi/aplikacija_rizik

Podržani jezici Hrvatski, engleski

Cijena Na upit

Arhitektura i platforma Web aplikacija (IIS), ASP.NET, MS SQL Server 2005/2008, OS: Windows Server 2003/2008

Način korištenja Instalacija kod korisnikaKorištenje alata kao usluge (alat smješten na lokaciji proizvođača)


stRAni AlAti zA upRAvljAnjE infoRMAcijskiM RiziciMA

Naziv PrOizvOđač zEmlja POrijEKla

OrGaNizacija KOja POdržava alaT liNK PrOizvOđača

acuity Stream Acuity Risk Management LLP UK - http://www.acuityrm.com/

agiliance risk vision Agiliance Kanada - http://www.agiliance.com/

citicus ONE Citicus Ltd UK - http://www.citicus.com/

Ear A.L.H. J. Mañas Španjolska Spanish National Security Agency http://www.pilar-tools.com/es/

Easy2comply Check Point USA - http://www.checkpoint.com/grc/

GSTool Federal Office for Information Security (BSI) Germany Njemačka Federal Office for Information

Security (BSI) Germanyhttps://www.bsi.bund.de/DE/Themen/weitereThemen/GSTOOL/gstool.html

metric Stream risk management MetricStream USA - http://www.metricstream.com/solutions/

it_risk_management.htm

modulo risk manager Modulo Brazil - http://www.modulo.com/

Proteus Information Governance Limited UK British Standards Institution

(BSI), ISF, HISP http://www.infogov.co.uk/

resolver risk Resolver Kanada - http://www.resolvergrc.com/

rm Studio Stiki Island - http://www.riskmanagementstudio.com/

rSam RSAM USA - http://www.rsam.com/

U sljedećoj tablici predstavljeni su neki od jačih alata u kategoriji upravljanja informacijskim rizicima. Ako ne pronalazite svog favorita, vjerojatno je riječ o alatu s

funkcionalnošću koja cilja neko specifično područje (npr. izračun adekvatnosti kapitala). Nažalost, nema mjesta za obuhvat većeg broja alata. Ova vam tablica može pomoći u

počecima potrage za alatom koji vam najviše odgovara. Za ostalo - tražilicu u ruke i surfajte! Imajte samo u vidu da veći broj ovih alata stoji čitavo malo bogatstvo. Također ne

zaboravite pogledati što nude veliki proizvođači ICT opreme (IBM, Symantec, Microsoft, Oracle, CA i sl.).

tema broja


Upravljanje informacijskim rizicima u financijskim institucijama

Sektor novcaNajveći je broj regulatornih akata vezanih uz upravljanje rizicima u financijskom sektoru. Najveći je stupanj zrelosti uspostavljenih procesa upravljanja rizicima u financijskom sektoru. Zašto je tome tako te što ostale organizacije mogu naučiti od banaka i ostalih financijskih institucija u pogledu upravljanja informacijskim rizicima?

D anašnju prihvaćenost procesa upravljanja informacijskim rizicima možemo zahvaliti prvenstveno na-

porima koje financijske institucije ulažu u ovo područje i zapravo možemo reći da su financijske institucije (prvenstveno banke) te koje razvijaju ove procese i pokazuju put svim ostalim organizacijama koje ih

slijede. Ovo naime i nije toliko posljedica sazrijevanja procesa upravljanja rizicima u samim bankama koliko posljedica regu-lative u ovom području koja ih naprosto prisiljava da taj proces uspostave.

Osim informacijskih rizika na koje stavlja-mo naglasak u ovoj temi broja, financijske se institucije u samom poslovanju susreću

s raznim vrstama rizika kao što su kreditni rizik, rizik promjene kamatne stope, tr-žišni rizik, valutni rizik, rizik zemlje, rizik solventnosti i sl. Menadžment financijskih institucija mora obratiti pažnju na svaki od ovih rizika pojedinačno, ali - što je još važnije - na njihove interaktivne efekte. Budući da je definicija rizika jednaka za sve vrste rizika, a slična je i metodologija vrednovanja rizika, financijskim instituci-jama nije bilo teško uspostaviti procese upravljanja informacijskim rizikom. Mo-žemo reći da je razlika u samom sadržaju rizika, odn. gledištu. I dok kod primjerice tržišnog rizika prepoznajemo rizike koji nastaju iz trgovanja ili investiranja u in-strumente aktive ili pasive zbog promjena kamatnih stopa, deviznih tečajeva ili cijena vrijednosnica, informacijske rizike prepoznajemo kao rizike koji nastaju zbog neadekvatnog upravljanja informacijskim sustavom odnosno kao posljedica neže-ljenih događaja u informacijskom sustavu. U oba se slučaja aktivnosti ponavljaju: identifikacija rizika, procjena odnosno vrednovanje, obrada rizika i sl.

Što se tiče upravljanja informacijskim rizicima, možemo slo-bodno reći da je do njih došlo zbog pojave regu-latornih okvira koji su nastali kao posljedica raznih financijskih kriza na svjetskim tržištima, odnosno prepoznava-njem informacijskog su-stava i upravljanja njime kao jednog od ključnih faktora koji su izravno ili neizravno bili pokretači tih negativnih događaja. Informacijski se sustav promatra u kontekstu grupe operativnih rizi-ka, tj. onih koji nastaju kao rezultat neadekvat-nih odnosno neuspjelih internih procesa, ljudi, sustava ili vanjskih do-gađaja. Neka istraživanja navode podatak o udjelu operativnih rizika do čak 29% u ukupnom udjelu gubitaka po raznim vr-stama rizika u financij-skim institucijama. Ako uzmemo i konzervativ-niji stav, opet imamo brojke zbog koje nije čudan nastanak regulati-ve vezane uz upravljanje operativnim rizikom.

Basel II i Solvency II

Jedna od važnijih regu-lativa o kojoj vrijedi reći par informacija svakako su smjernice Basel II, nazvane po tijelu ko-je ih je donijelo (Basel Committee on Banking Supervision). Prvotno

• Neovlaštene transakcije• Falsificiranje• Insajderska trgovina• Manipulacija datotekama i programima i sl.

• Provala/krađa• Neovlašteno korištenje bankomata• Upad računalnih virusa i crva• Hakerski napadi i sl.

• Nelegalan prestanak radnog odnosa• Potraživanja zaposlenika zbog zdravstvenih tegoba i sl.

• Kršenje tajnosti podataka• Kršenje privatnosti klijenata• Nedozvoljena agresivna prodaja• Greške u modelima/uslugama• Loše klauzule ugovora i sl.

• Oštećenja zbog prirodnih katastrofa• Troškovi prekida poslovanja zbog prirodnih katastrofa• Zakonske i političke promjene i sl.

• Nedostupnost aplikacija• Nemogućnost slanja ili primanja podataka• Pogrešna automatska obrada podataka• Pad sustava javnih usluga i sl.

• Greške pri unosu podataka/održavanju i/ili greške zbog preopterećenosti• Računovodstvene greške• Propusti u isporuci• Netočni izvještaji• Loše komunikacije i sl.

Interne prevare

Vanjske prevare

Zaposlenici i radna okolina

Fizičke štete na imovini

Klijenti, proizvodii poslovne prakse

Narušavanje poslovnihprocesa i kvarovi sustava

Izvršavanje, isporukai upravljanje procesima

Operativni rizici kako ih vidi Basel II. Moguće je prepoznati da informacijski rizici koje obrađujemo ovom temom broja čine većinu operativnog rizika


Upravljanje informacijskim rizicima u financijskim institucijama

izdane 2004. godine, ove su smjernice usmjerene na kreiranje standarda za izra-čunavanje adekvatnosti kapitala odnosno potrebne rezervacije kapitala radi amor-tiziranja financijskih i operativnih rizika. U okviru prvog stupa (1st pillar) nalazi se i dio vezan uz izračun minimalnih ka-pitalnih zahtjeva operativnih rizika te se daju upute za ovaj izračun sa tri različita modela (osnovni, standardizirani i napred-ni). Nije namjena članka da ide u detalje ovih smjernica, ali ih je bitno spomenuti jer informacijski rizici koje obrađuje ova tema broja u većoj mjeri čine operativne rizike. Njih ćete lako prepoznati u tablici u okviru ovog članka prema grupama kako ih definira Basel II.

Što se tiče osiguravajućih društava, nji-ma se smiješi direktiva Solvency II koja je manje-više pandan smjernicama Basel II - vezana, naravno, uz osiguravajuće tvrtke koje djeluju na prostoru EU, a s ciljem smanjenja rizika nesolventnosti. Kao i Basel II, i ova direktiva ima tri stu-pa, a cilj je uspostaviti četiri funkcije (risk management, compliance, internal audit, actuarial).

Upravljanje informacijskim sustavom i HNB

Na temelju smjernica Basel II Hrvatska narodna banka izdala je niz dokumena-ta, među ostalim poznate Smjernice za upravljanje informacijskim sustavom u cilju smanjenja informacijskog rizika iz 2006. godine, a jedno od glavnih poglavlja jest i upravljanje rizikom informacijskog sustava. Ovim se poglavljem daju napuci bankama što sve treba sadržavati proces upravljanja rizikom te se daju čak i prijedlog faza/ak-

tivnosti i isporuka svake od njih. Premda se nije nužno u potpunosti držati ovog prijedloga, on je baziran na poznatim svjetskim standardima i praksama poput NIST-ova pa je logično da će ga banke u većoj mjeri implementirati.

Nakon smjernica izašao je i regulatorni akt Odluke o primjerenom upravljanju informacijskim sustavom koji daje zahtjeve bankama prema područjima raspisanim u smjernicama. Zadnja inačica ovog akta iz

2010. godine ne propisuje detaljno proces upravljanja rizikom, nego se poziva na članke Zakona o kreditnim institucijama. Dodatno je izišao i akt Odluka o uprav-ljanju rizicima iz 2010. godine, kojim se propisuju minimalni zahtjevi upravljanja kreditnim, tržišnim i operativnim rizikom. Ono što je autor mogao prepoznati u ne-kim našim bankama jest još uvijek prilično velika doza diskrepancije upravljanja in-formacijskim rizikom, o kojem često skrbi voditelj sigurnosti informacijskog sustava ili čak voditelj informatike, te upravljanja operativnim rizikom, za koje je zadužena posebna funkcija unutar banaka. Obje-dinjavanje odnosno usklađenje ova dva procesa treba doći kao posljedica razvoja stupnja zrelosti procesa upravljanja rizi-kom koji je u dobrom dijelu naših banaka još u začetku. Aktivnosti procjene rizika uglavnom se rade jednostavnim alatima (Excel, Access), a praćenje mjera potrebnih za smanjenje rizika, izgleda, još predstavlja daleku budućnost.

Osiguravajuće kuće - čast izuzecima - vr-lo rudimentarno upravljaju informacijskim rizicima, što je posljedica slabe regulative u ovom području. Ako i postoji, ovaj se proces uglavnom svodi na to da pojedini voditelji informatike i/ili voditelji sigurnosti informacijskog sustava guraju aktivnosti ne bi li pokazali da prate trendove od-nosno pokušali uspostaviti proces jer su sami prepoznali njegovu važnost. Za sada imamo Smjernice za identificiranje, mje-renje i praćenje rizika kojima je u svojem poslovanju izloženo društvo za osiguranje odnosno društvo za reosiguranje iz 2009. godine, u sklopu kojih postoji i dio vezan uz operativne rizike.

Solvency II, po uzoru na Basel II, utemeljen je na tri stupa

Osiguravanje adekvatnih �nancijskih resursaSadrži kvantitativne zahtjeve koji uključuju vlastita sredstva, tehničke pričuve i izračun

kapitalnih zahtjeva SCR (Solvency Capital Requirements) i MCR (Minimal Capital Requirements).

Objava izvješća i izvještavanje nadzornog tijelaOdnosi se na pravila za javno objavljivanje informacija (disclosure) i izvještavanje nadzornog tijela.

Povećava se opseg informacija koje su društva dužna dostaviti nadzornom tijelu te se propisujuodređene informacije koje moraju biti javno objavljene, a čime se poboljšava tržišna disciplina

i osigurava stabilnost samih društava.

Osiguravanje odgovarajućih sustava upravljanjaOdnosi se na primjenu odgovarajućeg sustava upravljanja u društvima odnosno pred društva postavlja

kvalitativne zahtjeve učinkovitog sustava upravljanja rizicima redovnom primjenom samoprocjenerizika i solventnosti (ORSA - Own Risk and Solvency Assesment).

Ovaj stup uključuje i sveukupan proces nadzora društava od nadzornih tijela kako bi seosiguralo poslovanje društava u skladu sa zakonskim okvirom te zaštita osiguranika i korisnika

osiguranja u slučaju �nancijskih i organizacijskih slabosti društava.

SOLVENCY II je zakonski okvir kojim se revidiraju dosadašnji zahtjevi za kapitalnom adekvatnošću osigurateljneindustrije (Solvency I). Primjenjuje se na cijelu industriju, te postavlja nova, čvršća pravila i zahtjeve za kapitalnomadekvatnošću i proces upravljanja rizicima društava s ciljem smanjenja mogućnosti gubitka osiguranika odnosno

korisnika osiguranja i poremećaja na tržištu osiguranja.Solvency II utemeljen je na tri stupa:

I

II

III

tema broja


Upravljanje informacijskim rizicima intervju

Jaka regulativa kao prevencija?

Kad ocjenjujemo zrelost upravljanja informacijskim

sustavima u hrvatskim tvrtkama, prosjek debelo

povećavaju kreditne institucije odnosno

kreditne unije. Odgovor, između ostalog, leži i u jakoj regulativi vezanoj za informacijski sustav

koju propisuje HNB, preciznije Odjel supervizije

informacijskih sustava

Damir blažeković:

Povodom teme broja razgovarali smo s voditeljem tog odjela, fokusirajući se na procese upravljanja rizikom

informacijskog sustava. Možete li ukratko objasniti čime se vaš odjel bavi i kako se provodi supervizija informacijskih sustava banaka u RH?

Odjel supervizije informacijskih sustava bavi se supervizijom informacijskih sustava kreditnih institucija i kreditnih unija u RH, što uključuje provođenje izravnih (on-site) i neizravnih (off-site) nadzora IS-ova te nalaganje i nadzor provođenja supervizorskih mjera vezanih uz IS. U smislu supervizije IS-ova kreditnih institucija, izravni nadzori IS-ova najbolji su mehanizam procjene stanja IS-ova i primjerenosti upravljanja IS-ovima kreditnih institucija.

Izravni nadzori IS-ova provode se odlaskom supervizora u prostorije kreditnih institucija u okviru kojih se (ovisno o tipu nadzora IS-a u kreditnim institucijama) u prvom redu procjenjuje stanje IS-a, primjerenost načina na

koji kreditna institucija upravlja IS-om i rizikom IS-a, usklađenost poslovanja kreditne institucije sa Zakonom o kreditnim institucijama te propisima donesenim na temelju tog Zakona, kao i usklađenost s vlastitim pravilima i standardima te pravilima struke. Prilikom obavljanja izravnih nadzora promatraju se procesi vezani uz IS kreditnih institucija (npr. upravljanje, sigurnost, razvoj i održavanje, upravljanje kontinuitetom poslovanja) te upravljačke, logičke i fizičke kontrole primijenjene na poslužiteljima, radnim stanicama, prijenosnim uređajima, mrežnoj opremi, operacijskim sustavima, bazama podataka i aplikacijama.

Međutim, uzimajući u obzir da nije moguće imati stalan (izravni) uvid u sve kreditne institucije, da nije moguće provesti izravne nadzore IS-ova svih kreditnih institucija u jednoj kalendarskoj godini te iterativnost procesa izravnog nadzora, opseg dokumentacije koja se analizira i komunikacije te obveznu formu rezultirajućih izvješća, provode se i neizravni (off-site) nadzori IS-ova kreditnih institucija kojima je glavni cilj unapređenje provođenja svih supervizorskih aktivnosti vezanih uz IS kreditnih institucija, optimiziranje procesa planiranja i provođenja izravnih nadzora IS-ova te kontinuiranog praćenja izloženosti kreditnih institucija IT riziku.


damir BlažekovićDamir Blažeković voditelj je Odjela supervizije informacijskih sustava (bivši Odjel za izravni nadzor informacijskih sustava banaka) u Hrvatskoj narodnoj banci. Na ovo radno mjesto prešao je s pozicije financijskog supervizora, a prije HNB-a radio je i u Ini. Radi na analizama izvješća kreditnih institucija, izradi regulatornog okvira vezanog za informacijske sustave, sudjeluje u svojstvu voditelja izravnih nadzora informacijskih sustava banaka, a predaje i na mnogim međunarodnim konferencijama na temu supervizije informacijskih sustava u bankama. Nositelj je i certifikata CISA (Certified Information System Auditor).

Regulatorni okvir

Možete li ukratko objasniti razvoj regulatornog okvira vezanog uz informacijske sustave banaka te na koju regulativu vezanu uz upravljanje rizikom informacijskog sustava naše banke moraju odgovoriti?

U ožujku 2006. godine na internetskoj stranici HNB-a objavljene su Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika čiji je cilj bio upoznati banke sa stavom HNB-a u vezi s postupcima primjerenog upravljanja IS-om. Kako tada svijest banaka o primjeni Smjernica o IS nije bila na prihvatljivoj razini, pristupilo se izradi Odluke o primjerenom upravljanju informacijskim sustavom. Cilj donošenja Odluke o IS bio je definirati pravila igre; definirati što (a ne kako) treba ostvariti da bi sve kreditne institucije primjereno upravljale IS-ovima i rizikom IS-ova, unapređenje sigurnosti i raspoloživosti informacijskih sustava kreditnih institucija te u konačnici sigurniji i stabilniji bankovni sustav.

U ožujku 2010. HNB je donijela “novu” Odluku o IS, i to prvenstveno zbog usklađivanja sa Zakonom o kreditnim institucijama te zbog činjenice da bi izmjene i dopune stare Odluke o IS vjerojatno dovele do njezine nejasnoće i nepreglednosti. Nova Odluka o IS razmjerno detaljno razlaže obveze kreditnih institucija u pogledu upravljanja IS-ovima i ne odstupa bitno od stare Odluke o IS. Osim što su izmjene posljedica usklađivanja sa Zakonom o kreditnim institucijama, one su i posljedica usklađivanja s propisima donesenim temeljem tog Zakona. Vezano uz upravljanje rizikom IS-ova, pored Smjernica o IS i Odluke o IS, kreditne institucije trebaju posebnu pozornost obratiti na odredbe Odluke o eksternalizaciji, Odluke o upravljanju rizicima i Odluke o sustavu unutarnjih kontrola.

Na temelju čega ste propisali tu regulativu?

Smjernice o IS i Odluka o IS nastale su objedinjavanjem dobrih praksa za upravljanje informacijskim sustavima, uz konzultacije s IT supervizorima drugih zemalja te stručnjacima s područja upravljanja i revizije informacijskih sustava, kao i kroz vlastita iskustva iz provedenih izravnih nadzora informacijskih sustava kreditnih institucija. Smjernice o IS i Odluka o IS u najvećoj su mjeri usklađene sa svjetskim standardima i metodologijama povezanima s informacijskim sustavima (COBIT, ISO 2700x, ITIL, FFIEC).

Prepoznavanje koristi

Možete li procijeniti trenutno stanje procesa upravljanja rizikom informacijskog sustava u našim bankama?

Trenutno je stanje procesa upravljanja rizikom IS-ova u kreditnim institucijama u

RH zadovoljavajuće. Treba napomenuti da su sve kreditne institucije, sukladno Odluci o IS, bile dužne još 2009. godine uspostaviti proces upravljanja rizikom informacijskog sustava koji obuhvaća procjenu rizika, ovladavanje rizikom (poduzimanje radnji za svođenje rizika na prihvatljivu razinu) te kontinuirano praćenje i održavanje prihvatljive razine rizika. Općenito govoreći, od donošenja Smjernica o IS i Odluke o IS do danas ostvaren je napredak u načinu na koji kreditne institucije upravljaju rizikom IS-a, a razina se zrelosti procesa upravljanja rizikom IS-a povećala. Pritom su neke kreditne institucije posljednjih godina značajno unaprijedile postupke i metode utvrđivanja, mjerenja, procjenjivanja, ovladavanja i praćenja rizika (uključujući i izvještavanje o rizicima), dok je kod dijela kreditnih institucija proces upravljanja rizikom IS-ova ostao na minimalno prihvatljivim zakonskim razinama.

Koliki je, po Vašem mišljenju, bio utjecaj Smjernica o IS-u i Odluke o IS-u na bankarski sustav u RH i kolika je percipirana korisnost njihove implementacije? Možete li pritom izdvojiti područje upravljanja rizikom informacijskog sustava?

Teško je procijeniti kolik je bio stvarni utjecaj Smjernica o IS i Odluke o IS na bankarski sustav u RH, ali u svakom su slučaju Smjernice o IS i Odluka o IS značajno utjecale na organizacijske i kadrovske promjene kod kreditnih institucija, uspostavu ili prilagodbu različitih procesa (npr. upravljanje rizikom IS-a), usvajanje i primjenu internih akata vezanih uz IS, izradu izvješća (npr. izvještavanje uprave i nadzornog odbora, procjena rizika, testiranja). U anketi provedenoj 2012. godine zatražili smo kreditne institucije da procijene kakav su utjecaj imale Smjernice o IS i Odluka o IS na unapređenje stanja njihovih IS-ova. Preko 97% kreditnih institucija ocijenilo da je Odluka o IS imala dobar ili vrlo dobar utjecaj na kreditnu instituciju, a gotovo 90% kreditnih institucija ocijenilo je da su Smjernice o IS imale dobar ili vrlo dobar utjecaj na kreditnu instituciju.

Od kreditnih institucija zatražena je i procjena korisnosti implementacije pojedinih odredbi Odluke o IS. Kreditne

institucije najkorisnijima su ocijenile odredbe vezane uz uspostavu oporavka IS-a, upravljanje korisničkim pravima pristupa, programski razvoj i testiranje te uspostava sigurnosnog okvira, a manje korisnima odredbe o obvezi obavještavanja HNB-a u slučaju pojave incidenata te o potrebi uspostave procesa upravljanja hardverskom imovinom. Vezano uz upravljanje rizikom IS-a, gotovo 65% kreditnih institucija ocijenilo je da je provođenje postupaka vezanih uz upravljanje rizikom IS-a imalo dobar ili vrlo dobar utjecaj na unapređenje stanja IS-a.

Zaštita od napada

Upravljanje rizikom informacijskog sustava, između ostalog, usmjereno je i na bolju zaštitu od hakerskih i drugih vrsta napada. Je li dosad bilo napada na informacijske sustave banaka u RH? Ako jest, o kojim napadima je riječ?

U proteklih godinu i pol dana dogodilo se nekoliko sigurnosnih incidenata odnosno napada na sustave internetskog bankarstva usmjerenih na kreditne institucije koje kao mehanizam autentifikacije korisnika internetskog bankarstva koriste zaporku i transakcijski autentifikacijski broj (Transaction Authentication Number), tzv. TAN.

S tim u vezi, HNB je s pojavom tih napada svim kreditnim institucijama uputila dopis u kojem su navedena moguća unapređenja i kontrole čija bi implementacija trebala doprinijeti povećanju sigurnosti internetskog bankarstva. Nadalje, u posljednjih nekoliko mjeseci došlo je i do učestalijih pojava DDoS (Distributed Denial-of-Service) napada na javno dostupne servise pojedinih kreditnih institucija, čime se na kraće vrijeme legitimnim korisnicima onemogućilo odnosno otežalo korištenje tih servisa. Učinkovito upravljanje rizicima informacijskog sustava trebalo bi smanjiti utjecaj, a posljedično i učestalost takvih vrsta napada.

tema broja


Upravljanje informacijskim rizicima it gRc

Ključni su poslovni procesi u tvrtkama

već davno informatizirani

odnosno podržani raznim softverskim

rješenjima. No što je s upravljačkim

i procesima podrške? Dio njih

može se naći u terminu IT GRC, za koji već postoji niz stranih i domaćih softverskih alata

U razgovoru s brojnim djelatnicima u informatičkom sektoru uvidio sam da je pojam GRC još prilično

nepoznat. Premda Gartner, Forrester i slične kuće prate područje GRC-a već de-setak godina, tek manji dio IT menadžera zna pojam GRC više od značenja same skraćenice. Inače, GRC stoji za engleski pojam Governance, Risk management and Compliance, što obuhvaća jedan dio tipičnih procesa učinkovitog upravljanja informacijskim sustavom.

Rastavimo li pojam na sastavne dijelove, možemo reći da se G (upravljanje IS-om) odnosi na uspostavljanje mehanizama koje organizacija koristi kako bi osigurala da svi u organizaciji slijede definirane procese i politike/pravila; R (upravljanje rizikom) na učinkoviti proces kojim orga-nizacija postavlja prihvatljivu razinu rizika, analizira i obrađuje rizike te ih rangira prema poslovnim ciljevima organizacije; a C (upravljanje sukladnošću) na bilježenje i nadziranje kontrola koje su potrebne kako bi se osigurala sukladnost sa zakonima, regulatornim obvezama i internim politi-kama/pravilima organizacije. Ono zašto se ova tri procesa promatraju zajedno pod pojmom GRC upravo je mnogostruka povezanost aktivnosti i informacija koje ti procesi koriste, a koji se danas u većem dijelu organizacije promatraju odvojeno. Time se gubi sinergija koja nastaje sveo-

buhvatnim promatranjem tih procesa kao čvrsto povezanih i međusobno ovisnih.

Slika u nastavku teksta pokazuje koje sve razne uloge sudjeluju u ovim procesima te koje glavne i zajedničke informacije koriste. Ako tvrtka nema učinkovito imple-mentirane GRC procese, lako je moguće utvrditi da se mnogo vremena i energije gubi na rad s jednim te istim, a opet odvo-jenim informacijama koje svatko obrađuje i procjenjuje na različit način.

Pronalaženje zajedničkogKako bismo približili pojam GRC svim či-

tateljima, dat ćemo primjer tipičnih procesa koji se odvijaju u nekoj tvrtki. Menadž-ment donosi pravila i procedure koje su uglavnom nastale kao potreba zadovoljenja neke regulative, internih odluka i poslovnih zahtjeva, odnosno želje da se slijede dobre prakse upravljanja. Ta pravila i procedure implementiraju se nizom mjera odnosno kontrola, koje mogu biti organizacijske, pro-ceduralne ili tehničke prirode. Primjer orga-nizacijske kontrole jest osnivanje Odbora za upravljanje informacijskim sustavom ili ustoličenje funkcije voditelja sigurnosti informacijskog sustava. Proceduralna je kontrola npr. uspostavljanje procesa učin-kovitog upravljanja incidentima, a jedan od primjera tehničke kontrole jest postavljanje sustava videonadzora tvrtkinih prostora kamerama i softverom za obradu videa.

Prilikom implementacije i tijekom cijelog životnog ciklusa kontrola javljaju se rizici koje je potrebno identificirati i procijeniti te primijeniti adekvatne mehanizme za njihovu obradu. Periodično ili kontinu-irano praćenje i testiranje kontrola te proces izvještavanja menadžmentu daju uvid u učinkovitost tih kontrola, status

Popis funkcionalnosti koje IT GRC alati trebaju zadovoljiti da bi se našli na Gartnerovu popisu

Da se za(GRC)neš!

Uloge koje sudjeluju u IT GRC procesima

(Izv

or: A

gilli

ance

)


sukladnosti s donesenim politikama i pra-vilnicima - ukratko, procjenu učinkovitosti upravljanja.

U praksi je često moguće vidjeti da ove procese rade djelatnici koji ne rade kao tim te aktivnosti provode na nekom svom malom setu informacija odvojenih u tzv. nepovezane silose. Tako se može naći ogroman broj raznih Word i Excel doku-menata s parcijalnim podacima o jednim te istim informacijama, koji usput nisu ni konzistentni. Ovdje govorimo o raznim politikama, pravilnicima, procedurama, radnim uputama i drugim internim akti-ma te o podacima procjene rizika, plana obrade rizika, izvješćima interne i vanjske revizije, periodičnim izvješćima statusa sigurnosti i sl.

Zamišljeni učinkoviti GRC procesi pro-nalaze te zajedničke informacije te im je glavni cilj da podignu učinkovitost ovih procesa na znatno višu razinu. Ovo uglav-nom nije moguće postići bez uporabe nekog od softverskih rješenja - što zbog količine podataka koji se ovim procesima obrađuju, što zbog kompliciranog toka radnih aktivnosti.

E GRC i IT GRCU literaturi i medijima često ćemo se

susresti s pojmovima Enterprise GRC i IT GRC. Razlika se svodi na promatrano područje upravljanja, gdje je pri E GRC-u fokus na poslovnim zahtjevima, regulativi i standardima, a pri IT GRC-u na informacij-sko-komunikacijskim tehnologijama koje tvrtka primjenjuje. Tako ćemo u bazama znanja softverskih IT GRC alata pronaći set kontrola i rizika vezanih uz poznate IT standarde kao što su CobiT, ITIL, ISO 27002 i sl.

Unazad nekoliko godina Gartner i ostale analitičke kuće posebno promatraju IT GRC domenu jer postoji prilično jasna granica u ciljanom tržištu te dijelu funkci-onalnosti softverskih alata za IT GRC i E GRC. Ovo tržište svake godine bilježi rast (blizu 30% godišnje) koji je u posljednje doba usporen, ponajviše zahvaljujući svjetskoj krizi te okretanju investicija u alate koji podržavaju ključne poslovne procese. Istraživanje koje redovno pro-vodi IT Policy Compliance Group navodi čime su IT menadžeri najzadovoljniji pri implementaciji IT GRC alata, a to su: manji broj gubitaka uslijed IT rizika, sma-njenje utjecaja na poslovanje ako se neki od rizika ostvare, puno manji trošak na funkciju revizije informacijskog sustava, brži odgovor na zahtjeve regulative, jasniji podaci za odlučivanje i sl.

Funkcionalnosti softverskih alata

Da bi se našli u Gartnerovu magičnom kvadrantu, po mogućnosti na liderskoj poziciji u gornjem desnom kutu, IT GRC alati moraju zadovoljiti set funkcional-nosti koje je Gartner naveo kao kriterije za ocjenjivanje i uspoređivanje. Budući da ove funkcionalnosti čine srž GRC-a, navedimo ih redom.

Mapiranje kontrola i politika - jedna od ključnih funkcionalnosti; njome se ostva-ruju značajne uštede u procesu usklađiva-nja sa zakonima i standardima. Naime, IT kontrole koje predlažu vodeći standardi većim se dijelom poklapaju (npr. kontrolu redovitog izvršavanja pričuvne pohrane podataka naći ćete u svim standardima) te je jednim prolazom testiranja kontrola moguće dobiti status usklađenosti po svim standardima, zakonima i regulativi ako su međusobno mapirani u bazi.

Distribucija politika i povratna potvr-da - odnosi se na sustav upoznavanja djelatnika s naporima menadžmenta u učinkovitom upravljanju IS-om. Bez ovo-ga je lako moguće naći zaposlenika koji uopće nije upoznat s internim pravilnici-ma i aktima tvrtke. Samoprocjenjivanje i mjerenje kontrola - odnosi se na jedan vid proširenja funkcije unutarnje revizije na sve zaposlenike. Time zaposlenici postaju svjesniji svojih radnih zadataka i važnosti

POzNaTi icT STaNdardi i rEGUlaTivaSTaNdard/rEGUlaTiva OSNOvNE iNfOrmacijE

cobiTVjerojatno najširi standard koji daje najbolje prakse upravljanja informacijskim sustavom. Nedavno je izišla inačica 5.0. Standard izdaju povezane organizacije ISACA i ITGI.

iTil

Standard koji upravljanju IS-om pristupa ne samo sa stajališta ŠTO već i KAKO, a često i ČIME. Postavlja servis (uslugu) kao središnji pojam preko kojeg se preslikavaju zahtjevi poslovnih procesa na IT podršku. Ide više u detalje od općenitih standarda kao što su CobiT ili ISO 27002.

iSO 27002

Set dobrih praksi upravljanja informacijskom sigurnošću. Ako se ove prakse slijede temeljem procjene rizika te ispunjavajući zahtjeve norme ISO 27001, tvrtku je moguće certificirati i time formalno dokazati da tvrtka ima uspostavljen učinkovit sustav upravljanja informacijskom sigurnošću.

Pci dSS

Uveo ga je trust kartičarskih kuća kako bi se postavili minimalni zahtjevi osiguranja povjerljivih kartičarskih podataka te IT podrške kartičarskim poslovnim procesima. Vrlo detaljan standard koji u pojedinim područjima ulazi u dubinu navodeći čak i potrebne sigurnosne postavke pojedinih protokola.

Odluka hNB-a o primjerenom upravljanju iS-om

Hrvatska narodna banka zasad je jedina koja je u nekoj gospodarskoj grani izdala jasne zahtjeve koje kreditne institucije moraju zadovoljiti kako bi osigurale minimalnu razinu sigurnosti informacijskog sustava. Radi se o setu kontrola koje se u najvećoj mjeri poklapaju sa svim gore navedenim standardima. Ne ide u detalje koji su donekle pojašnjeni drugim dokumentom - Smjernicama za primjereno upravljanje informacijskim sustavom.

zakon o informacijskoj sigurnosti

Od brojnih zakona koji se tiču informacijske sigurnosti, ovaj sam izdvojio jer je najširi i najbliži svim gore navedenim standardima. Daje mjere i standarde informacijske sigurnosti za tijela državne uprave koja u svom radu koriste klasificirane i neklasificirane podatke te utvrđuje tijela nadležna za donošenje, provođenje i nadzor provedbe ovog Zakona.

usklađenja rada sa zacrtanim poslovnim pravilima. Registar informacijske imovine - svaki IT GRC alat mora imati katalog en-titeta odnosno informacijske imovine nad kojom se radi procjena rizika te nad kojom se implementiraju željene kontrole. Ovaj registar uobičajeno sadrži popis hardvera, softvera, podataka, servisa, ljudi i sl. - sve ono što čini informacijski sustav.

Automatizirano prikupljanje statusa kontrola - brojne tehničke kontrole nije lako revidirati pješke. Potrebni su specija-lizirani alati čiji se rezultati mogu koristiti u IT GRC alatima. Primjer je postupak prikupljanja postavki baza podataka, ope-racijskih sustava ili postavki mrežne opre-me. Obrada ranjivosti i iznimaka - osim procesa procjene kojim tvrtka identificira rizike i postavlja dijagnozu usklađenosti, još je važniji proces obrade tih rezultata. Jaki IT GRC alati imaju i funkcije helpdesk sustava, tj. podržavaju proces upravljanja incidentima kako ga definiraju dobre

Jednostavna shema GRC procesa

U PRODAJIwww.bug.hr/webshop

Sabrana djela Bugovih legendarnih kolumnista, Olega Maštruka i Ive Špigela:

točka

čovjek

BUG

BIBLIOTEKA IT.KOLUMNE o l e G m a Š t r u k o

U PRODAJIwww.bug.hr/webshoptočka

čovjekIvo ŠpIGel

Kudto ide?BIBLIOTEKA IT.KOLUMNE

I v o Š p I G e l

BUG

svjetske prakse. Pokazatelji sukladnosti (dashboards) - kvalitetno izvještavanje menadžmenta jedna je od ključnih (i naj-vidljivijih) funkcionalnosti alata. Iz mora podataka treba izvući kvalitetne infor-macije i lijepo ih prezentirati korisnicima sustava. Ovo se izvodi s pomoću brojnih izvješća, grafova i ploča s pokazateljima stanja sukladnosti (dashboards). Izračun

rizika - ova funkcionalnost odnosi se na automatizaciju procesa procjene i izračuna veličine rizika. Danas po-stoje razne metodologije za procjenu rizika, od onih jednostavnih pa do kompliciranih koje daju rezultate čim bliže stvarnosti, a moguće ih je učinkovito koristiti samo s pomoću softverskih alata.

Treba li nam to?Kako smanjiti troškove procesa po-

drške ključnim poslovnim procesima, ako ne upotrebom softvera? Naime, u većem dijelu naših tvrtki poslovi upravljanja informacijskim sustavom, unutarnje i vanjske revizije, upravlja-nja rizikom i sl. i dalje se vode pješke - tabličnim kalkulatorima i Wordom. Ovakav je pristup prilično neučinko-vit. Još je gora situacija s nepovezanim i redundantnim podacima. S treće strane, svjedoci smo poplave zakona i regulative koji se odnose na infor-macijsko-komunikacijske tehnologije,

a napori tvrtki za usklađivanje s njima predstavljaju sve veći trošak u vremenu i novcu. Nije potrebno mnogo mudrosti da se zaključi kako samo automatizacija i softverska podrška mogu pomoći tvrtkama da učinkovito odgovore na ove zahtjeve i time povećaju učinkovitost upravljanja informacijskim sustavom.

tema broja


ČEMu it gRc?

Upravljanje informacijskim rizicima it gRc

Koristi od implementacije učinkovitog IT GRC procesa podržanog softverskim alatom uglavnom se teško mogu izraziti financijski. Financijske uštede zapravo proizlaze iz učinkovitijeg rada, kvalitetnije podrške odlučivanju te bržeg odgovora na potencijalne probleme (rizike) koji stvaraju operativni gubitak. Koristi se svakako vide na dužem promatranom razdoblju, nakon kojeg se teško vratiti na stari način rada. Tipične su koristi sljedeće:

➲ Podaci iz više komplementarnih procesa napokon su u istoj bazi (rezultati revizija, procjena i obrada rizika, izvještavanje o statusu sigurnosti i sl.)

➲ Moguće je u svakom trenutku dobiti uvid u status usklađenosti po raznim standardima i regulativi

➲ Vidljiva je direktna veza IT rizika i poslovnih procesa

➲ Identifikacija rizika lakša je i praktičnija jer proizlazi iz već ugrađene baze znanja te postojećih podataka o gubicima i incidentima

➲ Za uvid u status sukladnosti po raznim standardima i regulativi dovoljno je samo jednom proći testiranje kontrola

➲ Zbog brojnih relacija među podacima moguće je pratiti povijesno kretanje veličine rizika, statusa sukladnosti i još mnogo, mnogo toga

Documents

tema broja ¿ ) - AlterInfo | Početak IT rizicima - Mreza 10 2013.pdf · Upravljanje informacijskim rizicima Uvod K ad se dogodi da zbog pro-blema vezanog uz informa-cijski sustav