Upravljanje rizicima i revizija informacionog sistema

Žaklina ArsićAjla Ćerimagić Hasibović

Uvod

• Upravljanje rizicima razvoja i održavanja IS

• Revizija informacionog sistema (metodologija, standardi)

• CASE: Business continuity plan za program životnog osiguranja

Rizik i njegovi elementiRizik je funkcija verovatnoće da određeni izvor pretnje iskoristi potencijalnu

slabost tako da to rezultuje određenim štetnim i neželjenim uticajem na

poslovanje organizacije.

Proces upravljanja rizikom• Pod rizikom se podrazumeva verovatnoća nastanka

negativnih efekata na poslovni i finansijski rezultat društva i položaj društva.

• Proces upravljanja rizikom se sastoji iz šest koraka:1. Utvrđivanje ciljeva

2. Identifikacija rizika

3. Procena rizika

4. Razmatranje alternativa i izbor sredstava za upravljanje rizikom

5. Primena odluke

6. Procena i ponovno ispitivanje

Rizici informacionog sistema• U toku razvoja softverskih rešenja, javljaju se brojni rizici, pa je zato

razvijeno više klasifikacija tih rizika.

Rizici projekata razvoja softvera:– tehnički rizici (problemi sa jezikom, obimom projekta, funkcionalnostima

projekta, platformama, metodama, standardima, ili procesima);

– upravljački rizici (nedostatak/propusti u planiranju, nedostatak iskustva u upravljanju i obuci, komunikacioni problemi, nedostatak autoriteta i problemi sa kontrolama);

– finansijski rizici (prinude vezane za cash flow, budžet itd);

– pravni i ugovorni rizici (izmena zahteva, zdravstveno-bezbednosnečinjenice, državna regulativa i garancija proizvoda);

– personalni rizici (slabosti osoblja, problemi sa iskustvom i obukom, problemi morala, konflikti, produktivnost);

– ostali rizici resursa (neraspolaganje ili kasna isporuka opreme, neraspolaganje sa kompjuterskim resursima i slab vremenki odziv).

Rizici informacionog sistemaRizici softverskih procesa:

– nedokumentovani softverski proces;

– nedostatak efektivnih peer reviews;

– ne postojane prevencije defekata;

– siromašni dizajn procesa;

– siromašno upravljanje zahtevima korisnika;

– neefektivno planiranje.

Rizici softverskih proizvoda: – nedostatak ekspertize u datom području;

– kompleksni dizajn;

– slabo definisani interfejsi;

– slabo razumevanje legacy sistema;

– nejasni ili nekompletni zahtevi.

MSF za upravljanje rizicima

• MSF (Microsoft Solutions Framework) predstavlja okvir zaupravljanje tehnološkim projektima koji je se temelji naskupu principa, modela, disciplina, koncepata, i uputstavaoprobanih u praksi.

• MSF definiše upravljanje rizikom kao proces identifikovanja, analiziranja i proaktivnog upravljanja rizicima projekta, takoda oni ne postanu problem i da ne izazovu štetu ili gubitak.Cilj upravljanja rizikom je maksimizacija pozitivnih i minimizacija negativnih uticaja povezanih sa rizikomprojekta.

Faze MSF procesa za upravljanje rizikom

Klasifikacija izvora rizika projekta

Lista 10 najznačajnijih rizika

ID RB Naziv rizikaIzloženost

riziku

1. T-2 Migracija podataka 10

2. P-6 Česta promena zahteva 8.1

3. K-3 Nedostatak tehnički obučenog kadra 8.1

4 O-13 Eksterne odluke nametnute projektu 8.1

5. T-17 Neispunjavanje zahteva u pogledu performansi 8.1

6. P-12 Nerealni planovi 7.2

7. P-16 Nedovoljno kvalitetno opisani biznis procesi 7.2

8. K-5 Spor odziv klijenta u fazi testiranja 6.4

9. K-7 Osipanje ljudstva zbog drugih prioriteta 6.4

10. K-20 Članovi tima otežano pronalaze kompromisno rešenje 6.4

Revizija informacionog sistema

• Tehnologija omogućava rad sa velikim količinama podataka – zloupotreba

• Svaki dio manipulacije podacima mora biti isplaniran i pažljivo nadgledan

• Revizija informacionih sistema se definiše kao svaka revizija koja obuhvata djelimičnu ili cjelokupnu analizu i ocjenu automatizovanog sistema obrade informacija, povezanih neautomatizovanih procesa i interfejsa između njih

Upravljanje revizijom

• Adekvatni revizorski resursi

• Raspored izvođenja akcija

• Naknadne provjere statusa

Metodologija revizije

• Ne postoji jedinstven metod revizije

• Revizori ocjenjuju

– Bezbjednost

– Kvalitet

– Povjerljivost

• Interna i eksterna revizija

Frameworks i/ili standardi

• CobiT (Control Objectives of Information and related Technology)

• ISO 27000 standard (ISO 27001:2005, ISO 27002:2005)

• Basel II, ITIL, NIST, SANS, ISC2, itd

Framework

• Deloitte plan za reviziju informacionih sistema

• Imamo:

– Plan

– Analizu

– Ocjenu

– Izvještaje

Osnovni tipovi revizije IS

• Revizije centara podataka

• Revizije aplikacija

• Revizije procesa razvoja sistema

• Revizije ostalih kompjuterskih okruženja

Veza između revizije IS i business continuity managementa

• Interne kontrole sa aspekta revizije informacionih sistema predstavljaju sistem koji sprečava, detektuje i ispravlja neželjene efekte i procese u informatičkom okruženju

• Business continuity plan je kreiranje i validacija praktičnog logističkog plana za organizacije koji definiše kako se organizacija može oporaviti i vratiti djelimično ili potpuno uništene funkcionalnosti, unutar predefinisanih vremenskih okvira, nakon katastrofe ili drugog ometanja rada sistema

Veza između revizije IS i business continuity managementa

• Zadatak revizora

• HR plan i IT plan

CASE: Business continuity plan za program životnog osiguranja

• Različite vrste osiguranja – samo dio

• Aplikativni audit

1. Na dokumentu osiguranja

2. Na objektu osiguranja

3. Na pojedinom zapisu

• Sistemski audit

CASE: Business continuity plan za program životnog osiguranja

• Kontrola pristupa aplikaciji realizovana je kroztri nivoa zaštite:

– Zaštita na nivou korisničkog naloga

– Zaštita na nivou prava pristupa do modula

aplikacije

– Zaštita na nivou prava pristupa do objekata u bazi podataka

CASE: Business continuity plan za program životnog osiguranja

• Hardverski resursi

• Hronološko dokumentovanje

• Razvojno, testno i produkcijsko okruženje

Zaključak

• Standardi na nivou svake organizacije i njihova primjena

• Važnost saradnje

• Dobre smjernice