Upravljanje rizicima i revizija informacionog sistema

  • View
    219

  • Download
    1

Embed Size (px)

Text of Upravljanje rizicima i revizija informacionog sistema

  • Upravljanje rizicima i revizija informacionog sistema

    aklina ArsiAjla erimagi Hasibovi

  • Uvod

    Upravljanje rizicima razvoja i odravanja IS

    Revizija informacionog sistema (metodologija, standardi)

    CASE: Business continuity plan za program ivotnog osiguranja

  • Rizik i njegovi elementiRizik je funkcija verovatnoe da odreeni izvor pretnje iskoristi potencijalnu

    slabost tako da to rezultuje odreenim tetnim i neeljenim uticajem na

    poslovanje organizacije.

  • Proces upravljanja rizikom Pod rizikom se podrazumeva verovatnoa nastanka

    negativnih efekata na poslovni i finansijski rezultat drutva i poloaj drutva.

    Proces upravljanja rizikom se sastoji iz est koraka:1. Utvrivanje ciljeva

    2. Identifikacija rizika

    3. Procena rizika

    4. Razmatranje alternativa i izbor sredstava za upravljanje rizikom

    5. Primena odluke

    6. Procena i ponovno ispitivanje

  • Rizici informacionog sistema U toku razvoja softverskih reenja, javljaju se brojni rizici, pa je zato

    razvijeno vie klasifikacija tih rizika.

    Rizici projekata razvoja softvera: tehniki rizici (problemi sa jezikom, obimom projekta, funkcionalnostima

    projekta, platformama, metodama, standardima, ili procesima);

    upravljaki rizici (nedostatak/propusti u planiranju, nedostatak iskustva u upravljanju i obuci, komunikacioni problemi, nedostatak autoriteta i problemi sa kontrolama);

    finansijski rizici (prinude vezane za cash flow, budet itd);

    pravni i ugovorni rizici (izmena zahteva, zdravstveno-bezbednosneinjenice, dravna regulativa i garancija proizvoda);

    personalni rizici (slabosti osoblja, problemi sa iskustvom i obukom, problemi morala, konflikti, produktivnost);

    ostali rizici resursa (neraspolaganje ili kasna isporuka opreme, neraspolaganje sa kompjuterskim resursima i slab vremenki odziv).

  • Rizici informacionog sistemaRizici softverskih procesa:

    nedokumentovani softverski proces;

    nedostatak efektivnih peer reviews;

    ne postojane prevencije defekata;

    siromani dizajn procesa;

    siromano upravljanje zahtevima korisnika;

    neefektivno planiranje.

    Rizici softverskih proizvoda: nedostatak ekspertize u datom podruju;

    kompleksni dizajn;

    slabo definisani interfejsi;

    slabo razumevanje legacy sistema;

    nejasni ili nekompletni zahtevi.

  • MSF za upravljanje rizicima

    MSF (Microsoft Solutions Framework) predstavlja okvir zaupravljanje tehnolokim projektima koji je se temelji naskupu principa, modela, disciplina, koncepata, i uputstavaoprobanih u praksi.

    MSF definie upravljanje rizikom kao proces identifikovanja, analiziranja i proaktivnog upravljanja rizicima projekta, takoda oni ne postanu problem i da ne izazovu tetu ili gubitak.Cilj upravljanja rizikom je maksimizacija pozitivnih i minimizacija negativnih uticaja povezanih sa rizikomprojekta.

  • Faze MSF procesa za upravljanje rizikom

  • Klasifikacija izvora rizika projekta

  • Lista 10 najznaajnijih rizika

    ID RB Naziv rizikaIzloenost

    riziku

    1. T-2 Migracija podataka 10

    2. P-6 esta promena zahteva 8.1

    3. K-3 Nedostatak tehniki obuenog kadra 8.1

    4 O-13 Eksterne odluke nametnute projektu 8.1

    5. T-17 Neispunjavanje zahteva u pogledu performansi 8.1

    6. P-12 Nerealni planovi 7.2

    7. P-16 Nedovoljno kvalitetno opisani biznis procesi 7.2

    8. K-5 Spor odziv klijenta u fazi testiranja 6.4

    9. K-7 Osipanje ljudstva zbog drugih prioriteta 6.4

    10. K-20 lanovi tima oteano pronalaze kompromisno reenje 6.4

  • Revizija informacionog sistema

    Tehnologija omoguava rad sa velikim koliinama podataka zloupotreba

    Svaki dio manipulacije podacima mora biti isplaniran i paljivo nadgledan

    Revizija informacionih sistema se definie kao svaka revizija koja obuhvata djeliminu ili cjelokupnu analizu i ocjenu automatizovanog sistema obrade informacija, povezanih neautomatizovanih procesa i interfejsa izmeu njih

  • Upravljanje revizijom

    Adekvatni revizorski resursi

    Raspored izvoenja akcija

    Naknadne provjere statusa

  • Metodologija revizije

    Ne postoji jedinstven metod revizije

    Revizori ocjenjuju

    Bezbjednost

    Kvalitet

    Povjerljivost

    Interna i eksterna revizija

  • Frameworks i/ili standardi

    CobiT (Control Objectives of Information and related Technology)

    ISO 27000 standard (ISO 27001:2005, ISO 27002:2005)

    Basel II, ITIL, NIST, SANS, ISC2, itd

  • Framework

    Deloitte plan za reviziju informacionih sistema

    Imamo:

    Plan

    Analizu

    Ocjenu

    Izvjetaje

  • Osnovni tipovi revizije IS

    Revizije centara podataka

    Revizije aplikacija

    Revizije procesa razvoja sistema

    Revizije ostalih kompjuterskih okruenja

  • Veza izmeu revizije IS i business continuity managementa

    Interne kontrole sa aspekta revizije informacionih sistema predstavljaju sistem koji spreava, detektuje i ispravlja neeljene efekte i procese u informatikom okruenju

    Business continuity plan je kreiranje i validacija praktinog logistikog plana za organizacije koji definie kako se organizacija moe oporaviti i vratiti djelimino ili potpuno unitene funkcionalnosti, unutar predefinisanih vremenskih okvira, nakon katastrofe ili drugog ometanja rada sistema

  • Veza izmeu revizije IS i business continuity managementa

    Zadatak revizora

    HR plan i IT plan

  • CASE: Business continuity plan za program ivotnog osiguranja

    Razliite vrste osiguranja samo dio

    Aplikativni audit

    1. Na dokumentu osiguranja

    2. Na objektu osiguranja

    3. Na pojedinom zapisu

    Sistemski audit

  • CASE: Business continuity plan za program ivotnog osiguranja

    Kontrola pristupa aplikaciji realizovana je kroztri nivoa zatite:

    Zatita na nivou korisnikog naloga

    Zatita na nivou prava pristupa do modulaaplikacije

    Zatita na nivou prava pristupa do objekata u bazi podataka

  • CASE: Business continuity plan za program ivotnog osiguranja

    Hardverski resursi

    Hronoloko dokumentovanje

    Razvojno, testno i produkcijsko okruenje

  • Zakljuak

    Standardi na nivou svake organizacije i njihova primjena

    Vanost saradnje

    Dobre smjernice