tema broja Piše: Dalibor Uremović 48 listopad MREŽA

Transcription

1 Upravljanje inform Piše: Dalibor Uremović 48 listopad MREŽA

2 acijskim rizicima Premda upravljanje informacijskim rizicima nije nov pojam, susrećući se pri razgovoru s klijentima i partnerima s brojnim problemima, zabludama i mitovima vezanim uz ovaj proces, vrijeme je da ga demistificiramo i jasno kažemo: društvo nam je dovoljno zrelo za implementaciju učinkovitog procesa upravljanja IT rizicima Ilustracija: HRVOJE BREKALO MREŽA listopad

3 Upravljanje informacijskim rizicima Uvod Kad se dogodi da zbog problema vezanog uz informacijski sustav stane poslovanje i krene se vrtjeti brojčanik s gubicima nakon svakog sata zastoja, svađa o tome tko je kriv i zašto se problem dogodio može početi. Poslovni korisnici tada krive informatiku jer nije dobro napravila svoj dio posla, a informatička podrška krivi poslovni menadžment jer nije dovoljno uložio u sigurnost i učinkovit rad informacijskog sustava. Možda se tada nađe i poneka pametna glava koja po poznatoj izreci lako je biti general poslije bitke govori o tome da se problem mogao prepoznati (ili da je bio prepoznat) te da je trebalo odvojiti određene resurse kako bi se vjerojatnost pojave tog problema i/ ili naknadni utjecaj na poslovanje tvrtke sveli na prihvatljivu mjeru. Upravo zadnja rečenica čini bit upravljanja rizicima informacijskog sustava. Ukratko, upravljanje informacijskim rizicima čine aktivnosti prepoznavanja rizika koje prijete informacijskom sustavu, njihova vrednovanja te njihove obrade, počevši od najznačajnijih prema najbanalnijima. Premda možemo reći da se ove aktivnosti provode u neformalnom obliku u svakoj organizaciji, tek formalno upravljanje informacijskim rizicima prema nekoj od poznatih metodologija može dati prave učinke, a tu prije svega mislimo na smanjenje potencijalnih gubitaka uslijed ostvarivanja raznih neželjenih događaja vezanih uz informacijski sustav. Općenito možemo reći da je upravljanje rizicima jedan od temeljnih pokretača raznih sigurnosnih inicijativa unutar tvrtki. Ostali su temeljni pokretači izvještaji vanjskih i unutarnjih revizija, potreba za usklađenosti sa standardima i regulativom te, naravno, korištenje same tehnologije. Danas je upravljanje rizicima prepoznato kao standardni proces (ili skup procesa) unutar bilo koje metodologije za učinkovito upravljanje informacijskim sustavom. Tablica uz tekst daje putokaz na ove procese unutar nekih od takvih metodologija. Poznata krivulja životnog ciklusa nekog proizvoda/usluge/procesa/tehnologije Uloga procesa upravljanja rizikom Osim što je jedan od zahtijevanih procesa u raznim standardima i regulativi, upravljanje rizikom informacijskog sustava ključan je element svake organizacijske aktivnosti traženja načina da se zaštite informacije. Periodička procjena rizika može organizaciji dati jasan uvid u trenutno stanje implementiranosti korištenih sigurnosnih kontrola. Pritom je lako uočiti u kojim sve područjima organizacija nije primijenila dovoljno dobre sigurnosne kontrole te može biti jasan putokaz što je sve potrebno učiniti da bi razina sigurnosti u svim aspektima promatranja sigurnosti informacijskog sustava bila uravnotežena. Svi procesi, pa tako i oni koji se tiču učinkovitog rada informacijskog sustava, povremeno trebaju provjeriti nezavisne osobe. Procjenom rizika dobiva se upravo to - objektivan pogled na sigurnosne kontrole koje djelatnici svakodnevno operativno koriste te nemaju sveobuhvatan pogled o trenutno primijenjenoj zaštiti. Npr. što vrijede sve moguće najbolje sigurnosne kontrole izrade web aplikacija ako je vrlo lako doći do poslužitelja baze podataka i do samih podataka mimo korištenja te iste aplikacije? Jedna od najvažnijih koristi upravljanja rizikom informacijskog sustava jesu informacije o tome koje su sigurnosne kontrole potrebne, koliko za njih vrijedi izdvojiti novca odnosno resursa. Jedna od osnovnih stvari vezanih uz ulaganje u sigurnost informacijskog sustava jest pitanje Zašto izdvojiti XY kuna za zaštitu podataka? Znamo li koji su sve rizici vezani uz gubitak povjerljivosti, cjelovitosti ili raspoloživosti tih podataka te koji je procijenjeni iznos godišnjeg gubitka (tzv. ALE - Annual Loss Expectancy), lako je izračunati koliko nam se resursa isplati uložiti i u kojem vremenu. Šest zabluda menadžmenta o (ne)potrebi upravljanja rizicima Kao i s mnogim drugim procesima vezanim uz učinkovito upravljanje informacijskim sustavom, tako se i za ovaj mogu čuti negativna razmišljanja o potrebi uspostavljanja tog procesa. Evo nekih od tipičnih zabluda i mogućih odgovora na njih: 1. To nama ne treba Ako ste tijelo državne uprave ili lokalne samouprave, treba vam u najmanju ruku da biste poštovali Zakon o informacijskoj sigurnosti i Uredbu o mjerama informacijske sigurnosti. Ako ste kreditna institucija, regulatorni vas akti obvezuju na to. Ako ste pak neka druga vrsta organizacije, treba vam ako želite upravljati informacijskim sustavom u skladu s međunarodnim standardima i dobrim praksama. Osim ovoga, teško ćete u slučaju gubitaka moći reći da o njima niste barem raspravili prilikom procjene rizika. Svakodnevno razmišljamo o rizicima bez formalnog procesa i to 2. nam je dovoljno Možemo ovo razmišljanje svesti na proces nabave nove ICT opreme i softvera. Kao što i opremu i softver nabavljate prema nekom planu, tako i upravljanje rizicima treba biti sistematično. Bez sveobuhvatne procjene 50 listopad MREŽA rizika, mnogi od njih proći će nezapaženo, a ulaganja u sigurnosne mjere neće biti kvalitetno planirana i opravdana. Premali smo da bi nam trebalo formalno upravljanje rizicima Ako ste mali, znači da je i informacijski sustav manji od drugih te je time i opseg upravljanja rizicima manji. Osim toga, zavisno o tome koliko se ide u detalje, moguće je identificirati 100, ili rizika. Svaki proces, pa tako i upravljanje rizicima, treba prilagoditi veličini organizacije, ali je potrebno zadržati sve osnovne korake i aktivnosti. Upravljanje rizikom mogu primijeniti i tvrtke do 10 zaposlenih, a kamoli veće. Proces upravljanja informacijskim rizicima je preskup i traži mnogo resursa Zavisi kako gledate na ulaganje i povrat investicije. Ne možete znati koliko zapravo gubite ako ne procjenjujete gubitke i planirate ulaganja. Ako vam je 3. 4.

4 Pored gore jasno navedenih koristi od upravljanja rizikom informacijskih sustava, ono nam pruža i neke druge koristi, često neprepoznate. Npr. prijenos znanja osoba koje su radile procjenu rizika (npr. konzultanata) na djelatnike koji rade operativne aktivnosti, poboljšano komuniciranje među raznim odjelima glede informacijske sigurnosti (tzv. učinkovitiji i sigurniji DevOps rad) te općenito podizanje razine svijesti o informacijskoj sigurnosti unutar čitave tvrtke. Aktivnosti povezane s pojmom upravljanja rizicima Dosta je zbunjujućih termina koji opisuju procjenu trenutnih sigurnosnih kontrola unutar organizacije. Svi se oni, ako ih možemo jedinstveno opisati i jasno odvojiti jedne od drugih, mogu upotrijebiti u procesu upravljanja rizikom te služiti kao izvor informacija o ranjivostima informacijskog sustava. Ove termine svakako ne smijemo koristiti kao zamjenu za sveobuhvatan proces procjene rizika premda čine neke od ključnih aktivnosti u samom procesu. Tako tzv. gap analiza daje analizu trenutnog stanja informacijskog sustava u odnosu na neko od ciljanih stanja (npr. neki od poznatih standarda ili normi). Ovakva se analiza često radi samo na osnovi upitnika i bez stvarne provjere na uzorku kontrola. Revizija informacijskog sustava slična je gap analizi, s razlikom da revizor uzima uzorak zapisa koje kreiraju pojedine kontrole te pokušava utvrditi je li stanje upravo onakvo kakvo je dano odgovorima u upitnicima. Provjera ranjivosti postupak je u kojem se koriste specijalizirani softverski alati koji traže poznate ranjivosti unutar nekog od primijenjenih alata odnosno tehnologija (npr. nedostatak zakrpa ili slabe konfiguracijske postavke). Analiza koja najdublje zadire u postavljene sigurnosne kontrole bio bi penetracijski test u kojem se etički haker specijaliziranim softverskim alatima pokušava probiti kroz implementirane mjere kako bi dobio mogućnost kompromitiranja povjerljivih odnosno kritičnih podataka tvrtke. Rezultati svih ovih aktivnosti mogu se koristiti kao informacije u Upravljanje rizicima unutar raznih standarda Metodologija/standard Veza na poglavlje/kontrolu unutar metodologije CobIT 5 EDM03 Ensure risk optimization EDM03.01 Evaluate risk management EDM03.02 Direct risk management EDM03.03 Monitor risk management AP012 Manage Risk APO12.01 Collect data. APO12.02 Analyse risk. APO12.03 Maintain a risk profile. APO12.04 Articulate risk. APO12.05 Define a risk management action portfolio. APO12.06 Respond to risk. CobiT 4.1 PO9 Assess and manage IT risks PO9.1 IT Risk Management Framework PO9.2 Establishment of Risk Context PO9.3 Event Identification PO9.4 Risk Assessment PO9.5 Risk Response PO9.6 Maintenance and Monitoring of a Risk Action Plan ITIL v3 Service strategy book 9.5 Risks Service design book Information security management system (ISMS) ISO 27001/ Establish ISMS (ISO 27001) 4 Risk assessment and treatment (ISO 17799) 4.1 Assessing security risks 4.2 Treating security risks PCI DSS v Includes an annual process that identifies threats, and vulnerabilities, and results in a formal risk assessment. NIST SP Information Security 3.1 Managing organizational risk RA domain - Risk Assessment SP Risk Management Guide for Information Technology Systems procesu procjene rizika prvenstveno jer nam daju listu ranjivosti informacijskog sustava kao jednog od osnovnih kataloga u procesu procjene rizika. Upravljanje rizikom kod nas Odgovor na pitanje kako uspostaviti proces upravljanja rizikom informacijskog sustava možete potražiti u sljedećem članku. Ipak, to je samo jedan od načina odnosno metodologija u moru drugih koje možemo pronaći u gotovo svim standardima i dobrim praksama učinkovitog upravljanja informacijskim sustavom. Tablica uz tekst daje pokazatelje na pojedina poglavlja u poznatim standardima kao što su CobIT, ITIL, ISO 27001, PCI DSS i sl. a koja sadrže detaljno razrađen proces upravljanja informacijskim rizicima. Uz ovakvu pokrivenost procesa upravljanja rizikom u standardima mogli bismo pomisliti da su organizacije i privatne tvrtke u Hrvatskoj ovo prepoznale kao nužan proces upravljanja informacijskim sustavom. Nažalost, čini se da naše tvrtke i javna poduzeća nisu prepoznali ovaj proces kao važan jer je, prema iskustvima autora, proces upravljanja informacijskim rizicima vrlo slabo implementiran, a u mnogim ga organizacijama uopće nema. Nešto skupo imati stručnog zaposlenika koji bi upravljao ovim procesom, možda ga možete eksternalizirati. Osim toga, nakon što se proces prvi puta definira i implementira, svaki sljedeći put trošit ćete sve manje vremena na njega i on će postati dio standardnih operativnih aktivnosti organizacije. Na tržištu postoji mnogo jeftinih alata koji bitno ubrzavaju proces, pa i tu možete uštedjeti. Nikad nismo imali nikakvih gubitaka pa nam procjena rizika ne treba U ovom slučaju obično razmišljate o velikim gubicima koje budu uzrok neželjenih događaja poput potresa, poplava ili požara. Ovo je tek manji dio gubitaka koji nastaju u informacijskom sustavu. Veći dio, tzv. mikrogubici, kojih je puno više, nastaju zbog neučinkovitog upravljanja informacijskim sustavom kao što su ispadi aplikacija, dugotrajan razvoj softvera, ispravljanje pogrešaka u podacima, kvarovi ICT opreme, analiza raznih problema, preopsežna korisnička podrška, spor oporavak sustava, reinstalacije uzrokovane virusima i rootkitovima i sl. Ovakvih događaja ima na tisuće, a da uzrokuju gubitke, ponekad niste ni svjesni. Osim toga, gubitak je potrebno ukalkulirati u godišnji plan iako se on dosad nije dogodio (npr. ako je procjena da se poplava ili izljev vode u server sobi prema postojećim kontrolama događa prosječno jednom u 10 godina, a gubitak je pritom x kuna, vaš je stvarni godišnji gubitak je x/10, dogodio se on do sada ili ne. S tim gubitkom trebate računati na godišnjoj razini te eventualno primijeniti mjere smanjenja vjerojatnosti događaja i/ili utjecaja). Od upravljanja rizicima nema nikakve koristi Odgovor na ovu zabludu krije se u svim gore navedenim odgovorima. Često zapravo niste ni svjesni koristi jer ne prepoznajete (potencijalne) gubitke. Naime, gubici postaju stvarni bez obzira na to jesu li se dosad dogodili ili nisu (v. prethodni odgovor). Metodološko upravljanje rizicima daje vam sveobuhvatni pogled na gubitke te uravnoteženo ulaganje - počevši od najvažnijih prema manje važnim sigurnosnim kontrolama. MREŽA listopad

5 Upravljanje informacijskim rizicima Savjeti za početak je bolja situacija u financijskom sektoru, pogotovo u kreditnim institucijama, što je posljedica jače regulative koju propisuje Hrvatska narodna banka, o čemu možete čitati u jednom od popratnih članaka teme broja. Za ostale tvrtke u realnom sektoru praktički nema nikakve regulative za ovaj proces, često ni u području upravljanja informacijskim sustavima. Ono što čudi jest vrlo slaba implementacija u državnim tijelima premda postoji zakonski okvir o aktivnostima postupanja s klasificiranim i neklasificiranim podacima. Bez obzira na vrstu podataka o kojoj se radi, traže se aktivnosti upravljanja rizicima ili po Zakonu o informacijskoj sigurnosti i Uredbom o mjerama informacijske sigurnosti ili, za neklasificirane podatke, po hrvatskim normama HRN ISO/IEC i HRN ISO/ IEC Ako proces i postoji formalno definiran, često nije moguće naći zapise o njegovu provođenju u praksi. Razdoblje prosvjetljenja Razdoblje prosvjetljenja jedno je od stanja u tzv. Hype ciklusu svakog proizvoda ili usluge (v. sliku). Prema mišljenju autora, a koje se temelji na brojnim razgovorima s klijentima i partnerima te analizi dokumentacije i alata, nalazimo se upravo u tom stanju gdje smo ispucali ogromne troškove implementacije ovog procesa prije nekoliko godina, a donedavno i milijun negativnih komentara na smisao ovog procesa. Iza svakog buzzworda krije se poslovna mašinerija, pa tako i u slučaju upravljanja IT rizicima. Nekad se dogodi da sve jednostavno propadne i proizvod/usluga/proces budu napušteni. Možemo se složiti da je, s obzirom na zastupljenost ovog procesa u svim mogućim standardima i zakonima, tako nešto nemoguće te da polako ulazimo u stanje platoa produktivnosti, gdje postajemo svjesni koristi od procesa upravljanja informacijskim rizicima, a da za njihovo uvođenje ne moramo potrošiti brdo resursa. Kako upra Teoriju znate. Poznate su vam metodologije. Znate čak i korake procesa, ali ne znate kako točno krenuti. Dajemo vam nekoliko savjeta za lakši početak Ako niste upoznati ni s teorijom, krenut ćemo s malim uvodom. Odgovor na pitanje kako upravljati informacijskim rizicima može se pronaći u raznoj literaturi, a sve se svodi na odabir pojedine metodologije. Metodologija ima mnogo (v. tablicu), a uglavnom se može reći da svaka malo veća nacija ima neku svoju metodologiju koju je potrebno koristiti u okvirima tijela državne uprave iste te nacije. Osim ovih - nazovimo ih nacionalnim metodologijama - postoje i mnoge druge koje su proizišle iz raznih stručnih udruženja te se nalaze ili samostalno, u zasebnim dokumentima, ili unutar nekog od svjetski priznatih standarda upravljanja informacijskim sustavom. Kad ih bolje upoznate, sve su metodologije vrlo slične u koracima i ulaznim odnosno izlaznim informacijama (dokumentima) pojedinog koraka. Najveće su razlike u načinu vrednovanja rizika te u katalozima prijetnji i ranjivosti koji uglavnom dolaze uz svaku od njih. Dalje u tekstu detaljnije se prolazi kroz metodologiju upravljanja rizicima NIST (National Institute of Standards and Technology), jednostavno jer je autoru ovog teksta ona najbolje legla u praksi. Procjena rizika Grubo se upravljanje rizicima može podijeliti na dvije veće faze - procjenu rizika i obradu rizika. U prvoj fazi prikupljamo informacije koje sudjeluju u oblikovanju rizika te ga vrednujemo koristeći neku od matematičkih formula. Kako to činimo? Prvo je potrebno odrediti doseg upravljanja rizicima. To može biti cijeli informacijski sustav neke organizacije ili samo jedan njegov dio, najčešće dio s kritičnim resursima. Procjena rizika samo dijela informacijskog sustava preporučuje se organizacijama koje tek kreću u ovaj proces pa će sužavanjem dosega smanjiti vrijeme potrebno za usvajanje novog procesa te nakon naučenih lekcija eventualno proširiti priču i na ostatak informacijskog sustava. Sagledavanje informacijskog sustava u cjelini poželjno je jer je ponekad teško napraviti jasnu granicu dosega, prvenstveno jer informacijski sustav čine entiteti različitih tipova isprepleteni raznim međusobnim vezama. Tipovi entiteta koje trebamo uzeti u obzir jesu npr. lokacije, hardver, softver, servisi, procesi, ljudi, treće strane, Proces upravljanja informacijskim rizicima Metodologije upravljanja rizicima Danas je u primjeni mnoštvo metodologija upravljanja rizicima. Uglavnom je to posljedica oblikovanja regulative odnosno standardiziranja ovog postupka u tijelima državne uprave raznih zemalja. Autor se u svom radu susretao s većinom niže nabrojenih metodologija i zaključak je samo jedan: sve su odlične ako postoji dovoljno resursa te jaka volja za njihovu primjenu. Za dio ovih metodologija postoji već mnoštvo raznih softverskih alata koji bitno ubrzavaju postupke upravljanja rizicima, osiguravajući sveobuhvatnost pri identificiranju prijetnji i ranjivosti, omogućavajući brže i lakše matematičke izračune veličina rizika i dajući razne vrste izvještaja za menadžment ili osobe odgovorne za procese upravljanja rizicima. Ono što je sigurno jest da nijedan od tih alata ne radi svoj posao samostalno (princip 52 listopad MREŽA

6 vljati rizicima potpišite se na procjenu rizika Kako za većinu tehnologija i procesa informacijskog sustava, tako i za procese upravljanja ICT rizicima postoji papir koji će potvrditi da ste stručni za obavljanje takvih aktivnosti. Trenutno je najpoznatiji certifikat koji je uže usmjeren upravo na obavljanje aktivnosti upravljanja rizikom informacijskih sustava CRISC (Certified in Risk and Information Systems Control). Izdaju ga organizacije ISACA/ITGI, a isto vrijedi i za ostale njihove poznate certifikate kao što su CISA, CISM ili CGEIT. Premda i ovi ostali nabrojeni bar djelomično obuhvaćaju aktivnosti upravljanja rizicima, CRISC puno šire pokriva ovo područje, i to: identifikaciju, procjenu i vrednovanje rizika odgovor na rizik odnosno obradu rizika nadzor rizika dizajn i implementaciju IS kontrola (mjera) nadzor i održavanje IS kontrola (mjera). Kod nas će se rijetki naći da polože isključivo ovaj certifikat jer u Hrvatskoj ne postoje dovoljno velike organizacije (ili ih je jako malo) u kojima ima smisla postojanje posebne funkcije upravitelja rizika (risk manager). U Certifikat CRISC izdaju ISACA/ITGI i, za razliku od nekih drugih, usko je vezan uz upravljanje informacijskim rizicima velikim svjetskim korporacijama koje broje desetke tisuća zaposlenih u brojnim lokacijama na svijetu, funkcija risk manager nije rijetkost, a ovaj certifikat daje na težini osobi koja obnaša takvu funkciju. Od ostalih certifikata, mada ne toliko vezanih za ICT, ističu se i: CRMA (Certification in Risk Management Assurance), CISRCP (Certified Information Systems Risk and Compliance Professional) i/ili američki CRM (Certified Risk Manager). Zemlja porijekla Cijena Primjenjivost na vrstu organizacije CRAMM Velika Britanija N/A velike BS :2006 Velika Britanija cca 80 sve ISO/IEC 27005:2008 svijet (Velika Britanija) cca 90 sve IT-Grundschutz Njemačka besplatno sve Mehari 2007 Francuska besplatno sve Octave SAD besplatno srednje i male SP (NIST) SAD besplatno sve ključ u ruke i vozi ), već je često potrebno provesti određene prilagodbe samoj organizaciji, njenim poslovnim procesima, željama menadžmenta ili raznim regulatornim i zakonskim uvjetima specifičnim informacije. Njima je potrebno odrediti kritičnost temeljem koje će se lakše određivati utjecaj rizika u slučaju njegova ostvarenja. Kritičnost je širok pojam; zato ga najčešće preslikavamo kroz pojam gubitka koji organizacija trpi zbog neraspoloživosti entiteta, gubitka povjerljivosti ili cjelovitosti. Ako kritičnost (koja će nam prilikom vrednovanja trebati zbog procjene utjecaja rizika) izrazimo običnom skalom procjene (npr. mala, srednja, velika), govorimo o kvalitativnoj procjeni rizika, a ako kritičnost (i posljedično veličinu rizika) izrazimo novčano ili nekom drugom matematičkom formulom, govorimo o kvantitativnoj procjeni rizika. Kvantitativna daje bolje rezultate, ali je potrebno više vremena za izračune, pa je čest slučaj da se organizacije odluče na kvalitativnu procjenu rizika - bar u početku. Sljedeća se dva koraka odnose na identifikaciju prijetnji i ranjivosti pojedinog entiteta informacijskog sustava. U ovom nam koraku mogu pomoći katalozi generičkih prijetnji i ranjivosti koje uglavnom možemo pronaći unutar korištene metodologije. Tablica uz tekst navodi neke od tipičnih prijetnji i ranjivosti koje se mogu naći u takvim katalozima. Premda je korištenje ovih kataloga nužno radi sveobuhvatnosti procjene rizika, specifične prijetnje i ranjivosti potrebne su kako bi proces procjene rizika bio čim bliži specifičnostima informacijskog sustava s kojim radimo. Ovdje nam mogu pomoći razne tehnike poput upitnika ili brainstorminga među skrbnicima IT servisa te informacije koje nam daju alati za provjeru ranjivosti, izvještaji vanjske i unutarnje revizije informacijskog sustava, odnosno informacije iz baze incidenata/helpdeska, ako takvu imamo. Izlazni je rezultat ovih aktivnosti katalog rizika od- za pojedinu poslovnu vertikalu ili državu u kojoj organizacija djeluje. nosno veza entiteta s pojedinom prijetnjom i ranjivošću informacijskog sustava. Kad smo dobili katalog rizika, moramo ih nekako vrednovati. Danas su u primjeni dvije temeljne matematičke formule kojima pridjeljujemo vrijednosti pojedinom riziku. Prva vrednuje rizik kao matematički produkt vjerojatnosti ostvarivanja prijetnje nad entitetom te utjecaja koji nastaje u slučaju ostvarivanja prijetnje. Pod utjecajem mislimo na negativan utjecaj (financijski i/ili nefinancijski) premda rizik po definiciji može imati i pozitivan utjecaj. Druga se formula temelji na matrici (produktu) vrijednosti entiteta, prijetnje i ranjivosti. Prema iskustvu autora, bolje je koristiti prvu formulu jer daje rezultate bliže praksi. Uz veličinu rizika možemo vezati i financijski trošak u slučaju ostvarenja rizika, a za njega se najčešće veže termin ALE (Annual Loss Expectancy), tj. prosječni očekivani godišnji gubitak. Premda ovaj podatak nije lako izračunati, vrlo je koristan jer daje menadžmentu tvrtke jasan putokaz o tome koliko sredstava smije MREŽA listopad

7 Upravljanje informacijskim rizicima Savjeti za početak alocirati za smanjenje pojedinog rizika. Osim toga, ovo je jedan od najboljih primjera kako dati protuargument čestoj izreci menadžmenta nama upravljanje rizicima ne treba, nikad nemamo nikakvih gubitaka. Gubici uvijek postoje, samo su sakriveni u maloj vjerojatnosti ili svakodnevnim mikrogubicima čiji se financijski utjecaj vrlo rijetko računa (npr. ispadi aplikacija, kratkotrajni prestanci rada mreže i sl.). Da bismo mogli izračunati vrijednosti rizika, moraju nam dakle biti poznate vrijednosti vjerojatnosti prijetnje i utjecaja. One prije svega ovise o kritičnosti imovine te postojećim sigurnosnim kontrolama koje imamo unutar informacijskog sustava, a koje smanjuju vjerojatnost ostvarivanja rizika ili njegov utjecaj. Primjeri su za to kontrola pristupa serverskoj sobi putem ovlaštenih kartica, koja smanjuje vjerojatnost da netko neovlašteno uđe u serversku sobu, ili sistem za gašenje vatre plinom koji - u slučaju da do požara dođe - može brzo ugasiti vatru i tako smanjiti mogući utjecaj uništenja čitave serverske sobe, a možda i prostorija izvan nje. Popis implementiranih kontrola nam dakle daje osnovu za lakše vrednovanje rizika te eventualni naknadni odabir kontrola za smanjivanje rizika. Procjena rizika završava izvješćem u kojem su pobrojeni rizici, najčešće posloženi od najvećih prema najmanjima. Ovakvo izvješće, uz nekoliko efektnih grafova, menadžmentu daje jasnu sliku o trenutnoj izloženosti informacijskog sustava rizicima te smjer aktivnosti za ovladavanje tim rizicima. Obrada rizika Druga faza upravljanja rizicima naziva se obradom rizika te daje odgovor na pitanje što učiniti s procijenjenim rizicima. Nakon što menadžment dobije izvješće Ulaz Aktivnost Izlaz Hardver Softver Sučelja Podaci i informacije Ljudi Povijest napada Podaci s Interneta, iz baza gubitaka Izvješća prošlih procjena rizika Izvješća revizija Rezultati testiranja Trenutne kontrole Planirane kontrole Motivacija izvora prijetnji Kapacitet prijetnji Trenutne kontrole Analiza utjecaja Procjena kritičnosti imovine Kritičnost i osjetljivost podataka Veličina utjecaja Adekvatnost planiranih ili trenutnih kontrola Koraci procjene rizika (prema NIST-u) o procjeni informacijskih rizika, trebao bi odrediti koji su rizici prihvatljivi za organizaciju, odnosno s kojim se mogućim gubicima može živjeti, a koje rizike treba smanjiti. Osim ove dvije najčešće opcije, često se govori i o mogućnosti prijenosa rizika na nekog drugog, Korak 1. Karakterizacija sustava Korak 2. Identifikacija prijetnji Korak 3. Identifikacija ranjivosti Korak 4. Analiza kontrola Korak 5. Određivanje vjerojatnosti Korak 6. Analiza utjecaja Korak 7. Određivanje rizika Korak 8. Preporuka kontrola Korak 9. Dokumentiranje rezultata Granice sustava Sistemske funkcije Kritičnost i osjetljivost podataka i sustava Katalog prijetnji Katalog ranjivosti Lista trenutnih i planiranih kontrola Ocjena vjerojatnosti Ocjena utjecaja Katalog rizika Veličine rizika Preporučene kontrole Izvješće o procjeni rizika Entitet Prijetnja Ranjivost Opis rizika Vjerojatnost Utjecaj Veličina rizika Centralni usmjernik CBA aplikacija MS SQL Server Serverska soba Administrator baze podataka Tehnički kvar na sustavu Pogreška u aplikaciji Napad probijanjem zaporki Nestanak struje Pogreške pri korištenju Kvalitativna procjena rizika daje brze rezultate jer u izračun veličine rizika nisu uključene kompleksne matematičke formule kojima izračunavamo financijski gubitak 54 listopad MREŽA Neredovito održavanje Kvar centralnog usmjernika uslijed starosti - poslovnice se ne mogu spojiti na centralnu aplikaciju Srednja Veliki Visok Nedovoljno testiranje softvera Česti ispadi ključne aplikacije Velika Srednji Visok Slabo upravljanje zaporkama Nedostatak agregata i/ili UPS-ova Nedovoljna obučenost/ osviještenost djelatnika Krađa podataka iz centralne baze zbog prazne zaporke na admin korisničkom računu Ne radi centralna aplikacija zbog nestanka struje u serverskoj sobi Slučajno brisanje tablica iz baze administratora baze podataka (Delete bez Where uvjeta) Mala Veliki Srednji Mala Veliki Srednji Mala Srednji Nizak

8 Tip imovine Ranjivost Prijetnja Primjer rizika Neredovito održavanje Tehnički kvar na sustavu Kvar centralnog usmjernika radi starosti - poslovnice se ne mogu spojiti na centralnu aplikaciju Hardver Nezaključani ormarići Krađa medija i dokumenata Krađa povjerljivih izvješća tvrtke Nekontrolirano odbacivanje medija Krađa medija i dokumenata Nestanak povjerljivih izvješća koja su ostavljena na mrežnom printeru u hodniku Nedovoljno testiranje softvera Pogreška u aplikaciji Česti ispadi ključne aplikacije Softver Mreža Ljudi Lokacija Poznate ranjivosti u softveru/ Neprimijenjene zakrpe i nadogradnje Nedostatak operativnih i sistemskih zapisa Slabo upravljanje zaporkama Nekriptirani promet Neredundantna oprema Nedovoljna obučenost/ osviještenost djelatnika Manjak obučenog kadra Blizina rijeke Iskorištavanje poznatih ranjivosti Neovlaštene promjene u sustavu Napadi probijanjem zaporki Prisluškivanje prometa Kvar na mrežnom uređaju Pogreške pri korištenju Otkaz djelatnika Poplava Hakerski upad u informacijski sustav preko ranjivosti php web aplikacije Nemogućnost rekonstrukcije hakerskog napada zbog manjka zapisa o zloćudnim aktivnostima Krađa podataka iz centralne baze zbog prazne zaporke na admin korisničkom računu Otkrivanje korisničkog imena i zaporke snifanjem zbog korištenja http prometa s web aplikacijom Kvar centralnog preklopnika, a nema pričuvne opreme za zamjenu - ne radi cijela zgrada Slučajno brisanje tablica iz baze administratora baze podataka (delete bez where uvjeta) Nema tko raditi administraciju sustava jer je to znao samo Pero Perić Uslijed čestih kiša, rijeka se izlijeva i poplavlja serversku sobu u prizemlju Nedostatak agregata i/ili UPS-ova Nestanak struje Ne radi centralna aplikacija zbog nestanka struje u serverskoj sobi Generičke prijetnje i ranjivosti koje možemo naći gotovo u svakoj metodologiji upravljanja informacijskim rizicima primjerice sklapanjem ugovora o osiguranju ili eksternaliziranjem procesa/servisa. Zadnja je opcija izbjegavanje rizika. U ovom slučaju jednostavno ne koristimo rizični entitet. Primjer je za ovo gašenje VPN pristupa zaposlenicima, čime smo jednostavno izbrisali sve rizike povezane s tim servisom. One rizike koje je organizacija odlučila smanjiti obradit ćemo implementacijom raznih sigurnosnih kontrola. Ove kontrole možemo naći u raznim svjetskim standardima odnosno dobrim praksama. Kako bi se implementacija zaista dogodila, potrebno je jasno odrediti rokove implementacije te odgovorne osobe. Time dobivamo popis koji se zove plan implementacije kontrola i njegovo je izvršenje, poput bilo kojeg drugog plana ili projekta, potrebno pratiti. Nakon implementacije kontrola rizik se smanjio jer se smanjila vjerojatnost ostvarivanja rizika i/ ili njegov utjecaj. Ono što ostane zovemo rezidualnim rizikom i to je onaj rizik koji menadžment organizacije prihvaća. Kad već govorimo o terminima procesa upravljanja rizicima, često se govori i o inherentnim rizicima, a to su oni koji su ugrađeni u samu prirodu entiteta i okoline te postoje bez obzira na sve kontrole koje imamo unutar informacijskog sustava. Npr. rizik potresa nikad ne može biti jednak nuli. Što dalje? Pokretanjem aktivnosti praćenja plana implementacije kontrola možemo reći da je završen Razine rizika iz izvještaja o procjeni rizika Ulaz Aktivnost Izlaz Izvještaj o procjeni rizika jedan ciklus periodičkog upravljanja rizicima. Dobre prakse nalažu da se periodička procjena rizika nad cijelim informacijskim sustavom provodi minimalno jednom godišnje. Ovo može biti velik posao ako ga radi samo jedna osoba (npr. voditelj sigurnosti informacijskog sustava). Zato je korisno u procjenu rizika upregnuti sve zaposlenike koji su vlasnici odnosno skrbnici IT imovine, što svakako nije jednostavno ako se ne koristi neki od alata za upravljanje rizicima. Periodička procjena rizika jedan je od čestih načina upravljanja rizicima i predstavlja minimalne zahtjeve kad govorimo o stupnju zrelosti ovog procesa u organizaciji. Sljedeći korak bio bi implementiranje kontinuiranog upravljanja rizicima odnosno svakodnevna procjena i obrada rizika kako ih identificiramo u svom radu, čime bismo izbjegli dugačka razdoblja između pojedinih procjena u kojima se rizicima uopće ne bavimo. Korak 1. Određivanje prioriteta Korak 2. Prijedlog sigurnosnih kontrola Korak 3. Analiza isplativosti Korak 4. Odabir kontrola Korak 5. Pridjeljivanje odgovornosti Korak 6. Izrada plana za obradu rizika Korak 7. Implementacija odabranih kontrola Koraci obrade rizika (prema NIST-u) Rangirane aktivnosti obrade rizika Lista s prijedlogom sigurnosnih kontrola Cost-benefit ili neka druga analiza isplativosti implementacije kontrola Odabrane kontrole Lista odgovornih osoba Plan za obradu rizika Preostali rizici MREŽA listopad

9 Upravljanje informacijskim rizicima Alati Majstore, trebaš alat! Učinkovito upravljanje informacijskim rizikom teško je zamisliti bez korištenja nekog od danas dostupnih alata koji se koriste u tu svrhu. Premda je dobar dio naših tvrtki koje imaju uspostavljen proces upravljanja rizicima još na papiru i olovci (prevedeno: Excelu), relacije među podacima, ugrađene baze znanja te automatsko izvještavanje zovu na zamjenu starog načina rada U sljedećim redovima predstavit ćemo neke od danas dostupnih softverskih alata za upravljanje informacijskim rizicima fokusirajući se na domaće alate - kojih, istina, nema mnogo, ali dovoljno ih je da možemo govoriti i o zastupljenosti hrvatske softverske industrije u ovom području. Softverskih alata na tržištu koji pokrivaju informacijske rizike ima vrlo mnogo. Autor ovog teksta radio je analizu takvih alata još prije četiri godine i tada je na tržištu već bilo prisutno minimalno 40 alata. Danas ih je puno više i ne bi nam bio dosta cijeli časopis da ih sve obradimo. Alati koji su prikazani u tablicama redom su domaći (proizvođači su hrvatske tvrtke) te nekoliko - po mišljenju autora - poznatijih i jačih stranih alata koji zaslužuju malo više pažnje. Kao u svakom području, tako će se i u ovom naći oni koji nisu našli mjesto pod suncem (u okviru ovih par stranica). Jedan dio takvih alata odnosi se i na vrlo poznate softverske/hardverske proizvođače (npr. IBM, Microsoft, Symantec, Oracle, CA) pa svakako pogledajte i na njihovim stranicama što oni imaju reći u ovom području. Naziv alata Alter Risk Domaći softverski alat za upravljanje rizikom informacijskog sustava i sukladnošću Kratak opis alata s najpoznatijim svjetskim standardima i dobrim praksama u upravljanju informacijskim sustavom (IT GRC). Proizvođač Alter info d.o.o. Zemlja porijekla Hrvatska Registar informacijske imovine - moguće je kreirati registar prema tipovima (hardver, softver, lokacije, servisi ), odrediti njihovu kritičnost, grupirati ih i uključivati u projekte. Detaljni podaci za servise, procese, softver i hardver (asset management). Identifikacija rizika - ugrađena baza znanja prijetnji s vezama na tipove imovine koju je moguće konfigurirati. Rizike je moguće unositi kontinuirano ili u Funkcionalnost procjene rizika okviru projekata. Procjena rizika - automatsko kreiranje rizika iz baze znanja. Koristi se metoda produkta vjerojatnosti rizika i utjecaja. Procjena je objektivizirana jer je moguće pogledati i status implementiranih kontrola vezanih uz rizik. Moguć unos financijskih parametara. Višekorisnička procjena rizika. Mail notifikacije. Pregled rizika - pregled po projektima, razdoblju, resursima, sortiranje, odabir načina obrade rizika. Obrada rizika - unos stavki plana implementacije kontrola lako uz pomoć podataka o već implementiranim kontrolama. Odabir kontrola iz baze znanja prema svjetskim standardima (NIST kontrole korištene kao osnovica). Funkcionalnost obrade rizika Praćenje plana implementacije kontrola - pregled plana po projektima ili po kontrolama, rokovi, zadužene osobe, status izvršenja, financijski trošak Izvještavanje o sukladnosti - automatska izvješća o statusu sukladnosti s velikim brojem regulativa i standarda (NIST, ISO 27002, CobiT, PCI DSS, ITIL, Odluka HNB, Odluka BiH) Katalog informacijske imovine, katalog procesa, katalog IT servisa s parametrima potrebnim za BIA-u. Automatsko kreiranje planova oporavka IT servisa. Asset management. BIA izvješća i grafovi. Aktivnosti revizije informacijskog sustava po projektima, automatsko kreiranje revizorskog izvješća. Ostale funkcionalnosti Baza znanja prijetnji, kontrola, regulative, ugrađena mapiranja. Brzo vrednovanje rizika u data sheet modu, kao u Excelu. Mogućnost mijenjanja svih šifarnika, grupiranja i unos vlastite baze znanja. Uvoz/izvoz podataka s gotovo svih ekrana i izvješća u Excel, PDF, slike, Word. Sve ekrane moguće filtrirati, sortirati gotovo po svim parametrima. Dashboard s grafičkim prikazom podataka za menadžment. Životni ciklus 6. studenog 2012., Alter Risk v3.0 Službena web stranica Podržani jezici Hrvatski (engleski, srpski i njemački u pripremi) Cijena prema tri modela: osnovni, standardni, napredni paket Cijena Plaćanje jednokratno ili mjesečna otplata (cloud SaaS model) Moguće ugovoriti i dodatno održavanje (besplatne nadogradnje i podrška) Arhitektura i platforma Web aplikacija (IIS), ASP.NET 4.0, MS SQL Server 2008, OS: Windows Server 2008, Windows 7, Windows 8 In-house instalacija kod korisnika Način korištenja Cloud (SaaS) model 56 listopad MREŽA

10 Prezentirani podaci Podatke prezentirane u okvirima naveli su sami proizvođači. Kategorije informacija o svakom alatu preuzete su te djelomično izmijenjene prema predlošku ENISA (European Network Information Security Agency) koji popunjavaju tvrtke koje žele ući u njihovu bazu softverskih alata za upravljanje informacijskim rizicima. Ovo daje objektivan pogled na svaki alat, a ako vam nije dosta informacija navedenih u narednim okvirima, slobodno prosurfajte i tom bazom znanja te proširite mogućnosti vrednovanja i na one alate koji nisu obrađeni ovim tekstom. Popis alata nastao je na temelju autorovih razgovora s brojnim tvrtkama u privatnom i javnom sektoru o tome koji alat koriste te na temelju istraživanja domaćih web stranica. Ako neka tvrtka koristi domaći alat koji nije na ovom popisu, mogući je razlog što takvi alati nisu javno dostupni (proizvođači ih ne reklamiraju) ili su njihove stranice slabo indeksirane te ih nije moguće pronaći ni dubljim traženjem nekom od poznatih tražilica. Naziv alata Hestia RISK Vrhunski softver za upravljanje rizicima. Posebno je prilagođen za područje informacijske sigurnosti (ISMS) u skladu Kratak opis alata s normama ISO/IEC (27001, 27005, i 27035). Mogućnost rada za jednu organizaciju ili rad za konzultantske kuće. Proizvođač BlueField d.o.o. Zemlja porijekla Hrvatska Definiranje metodologije procjene rizika i matrice (kriterija) prihvatljivosti rizika Izrada kataloga prijetnji i ranjivosti Izrada kataloga sigurnosnih mjera (kontrola) Povezivanje prijetnji, ranjivosti i sigurnosnih Izrada kataloga organizacijskih jedinica Izrada kataloga odjela Izrada kataloga poslovnih funkcija Funkcionalnost procjene rizika Izrada kataloga lokacija Izrada kataloga ljudi koji sudjeluju u funkcioniranju informacijskog sustava Izrada kataloga grupa imovine Izrada kataloga imovine Povezivanje grupa imovine s prijetnjama, ranjivostima i sigurnosnim mjerama u čarobnjak za automatizaciju procjene rizika Izrada procjene rizika Izvještavanje o rezultatima procjene rizika po raznim kriterijima kataloga Automatsko dodjeljivanje opcije obrade rizika prema kriterijima korisnika (prihvaćanje, transfer, izbjegavanje i smanjenje rizika) Funkcionalnost obrade rizika Modificiranje dodijeljenih opcija obrade rizika s procjenom očekivanog rizika nakon implementacije opcije obrade Izrada plana obrade rizika s terminima, troškovima i odgovornostima Izvještavanje svih zainteresiranih strana Povezivanje s ostalim poslovnim procesima organizacije u drugim sustavima upravljanja (9001, itd.) Automatska izrade liste preostalih rizika Automatska izrada dokumenta SoA - Izjava o primjenjivosti Incident management - Upravljanje incidentima Ostale funkcionalnosti Obrada i upravljanje dokumentacijom u skladu s ISO normama Uključene kontrole iz Aneksa A norme ISO/IEC uz neograničenu mogućnost dodavanja svojih specijalnih. Dokument SoA automatski se usklađuje s popisom svih kontrola. Uz softver se dobivaju i besplatni predlošci dokumenata vezanih za procjenu rizika (u formatu.doc ili.rtf) prema zahtjevima ISO/IEC Životni ciklus 1999, Hestia RISK v (2013) Službena web stranica Podržani jezici Hrvatski, engleski, ruski, srpski + korisnik može sam definirati svoj jezik i napraviti prijevod BESPLATNI DEMO: potpuna funkcionalnost uz ograničenje broja procjena rizika na 50. Nema vremenskih ograničenja. Može se obnavljati na nove demo verzije. Uključena je standardna podrška (Public eticket). Cijena LICENCIRANA VERZIJA Hestia RISK: kn + PDV, prva godina održavanja uključena u cijenu, svaka naredna godina 40% prodajne cijene. Održavanje uključuje obnavljanje licencirane verzije i profesionalnu podršku (Private eticket). Windows aplikacija. Arhitektura i platforma OS: Windows XP (32-bit & 64-bit), Windows 7 (32-bit & 64-bit), Windows 8 (32-bit & 64-bit), Windows Server ( 2003) Rad na jednom računalu. Način korištenja Višekorisnički rad u mrežnom okruženju, rad preko udaljenog terminala. MREŽA listopad

11 Upravljanje informacijskim rizicima Alati Naziv alata Risk Management Tool Cjelovito programsko rješenje za upravljanje Kratak opis alata rizicima informacijskih sustava Proizvođač Infigo IS d.o.o. Zemlja porijekla Hrvatska Alat podržava sve aktivnosti ključne za provođenje postupka procjene rizika. Identifikacija i vrednovanje informacijske imovine Grupiranje informacijske imovine prema poslovnim Funkcionalnost procjene rizika procesima i drugim kriterijima Identifikacija prijetnji, ranjivosti i postojećih sigurnosnih kontrola Procjena rizika temeljem procjene vjerojatnosti realizacije prijetnje i potencijalnog utjecaja na poslovanje Izvješćivanje Alat podržava tretiranje, odnosno obradu rizika prema slijedećim aktivnostima: Identifikacija opcija za tretiranje rizika (umanjivanje, prihvaćanje, transfer) Funkcionalnost obrade rizika Odabir kontrola za umanjivanje identificiranih rizika Izvješćivanje katalog ugrađenih prijetnji i ranjivosti Ostale funkcionalnosti bilježenje korisničkih aktivnosti grupiranje informacijske imovine prema različitim kriterijima s ciljem podizanja razine učinkovitosti postupka procjene rizika Životni ciklus veljača 2009., Infigo Risk Management v3.0 Službena web stranica Podržani jezici Hrvatski, engleski Cijena Na upit Arhitektura i platforma Web aplikacija (IIS), ASP.NET, MS SQL Server 2005/2008, OS: Windows Server 2003/2008 Instalacija kod korisnika Način korištenja Korištenje alata kao usluge (alat smješten na lokaciji proizvođača) Naziv alata Uris Softverski alat za upravljanje rizicima Kratak opis alata informacijskog sustava po metodologiji Mehari Proizvođač Borea d.o.o. Adservio d.o.o. Zemlja porijekla Hrvatska Faza 1: Popis preddefiniranih grupa imovine i prijetnji Funkcionalnost procjene rizika Faza 2: Popis preddefiniranih kontrolnih mjera Faza 3: Izračun rizika po neprihvatljivim događajima (scenarijima) Slanje izvješća menadžmentu (PDF) uz prijedlog Funkcionalnost obrade rizika konkretnih kontrolnih mjera koje je potrebno uvesti/poboljšati Generiranje izvješća po smjernicama HNB-a (PDF) Ostale funkcionalnosti Grafički prikaz pojedinih kontrolnih mjera (pie chart) Kontrolne mjere su definirane prema ISO 27001, a planira se i mapiranje na COBIT u sljedećoj verziji Životni ciklus 1. lipnja 2009., Uris v2.2 Službena web stranica Hrvatski, engleski. Osim sučelja, na hrvatski su jezik prevedene i sve sastavnice kataloga rizika (imovina, prijetnje, kontrolne Podržani jezici mjere, scenariji rizika) Cijena: EUR + godišnje održavanje Cijena Probno razdoblje: prema dogovoru Arhitektura i platforma Web aplikacija (IIS), ASP.NET 2.0, MS SQL Server Express 2005, OS: Windows Način korištenja In-house instalacija kod korisnika 58 listopad MREŽA

12 Strani alati za upravljanje informacijskim rizicima U sljedećoj tablici predstavljeni su neki od jačih alata u kategoriji upravljanja informacijskim rizicima. Ako ne pronalazite svog favorita, vjerojatno je riječ o alatu s funkcionalnošću koja cilja neko specifično područje (npr. izračun adekvatnosti kapitala). Nažalost, nema mjesta za obuhvat većeg broja alata. Ova vam tablica može pomoći u počecima potrage za alatom koji vam najviše odgovara. Za ostalo - tražilicu u ruke i surfajte! Imajte samo u vidu da veći broj ovih alata stoji čitavo malo bogatstvo. Također ne zaboravite pogledati što nude veliki proizvođači ICT opreme (IBM, Symantec, Microsoft, Oracle, CA i sl.). Naziv Proizvođač Zemlja porijekla Organizacija koja podržava alat Link proizvođača Acuity Stream Acuity Risk Management LLP UK - Agiliance Risk Vision Agiliance Kanada - Citicus ONE Citicus Ltd UK - EAR A.L.H. J. Mañas Španjolska Spanish National Security Agency Easy2Comply Check Point USA - GSTool Metric Stream Risk Management Federal Office for Information Security (BSI) Germany Njemačka Federal Office for Information Security (BSI) Germany MetricStream USA - weiterethemen/gstool/gstool.html it_risk_management.htm Modulo Risk Manager Modulo Brazil - Proteus Information Governance Limited UK British Standards Institution (BSI), ISF, HISP Resolver Risk Resolver Kanada - RM Studio Stiki Island - RSAM RSAM USA - MREŽA listopad

13 Upravljanje informacijskim rizicima U financijskim institucijama Sektor novca Najveći je broj regulatornih akata vezanih uz upravljanje rizicima u financijskom sektoru. Najveći je stupanj zrelosti uspostavljenih procesa upravljanja rizicima u financijskom sektoru. Zašto je tome tako te što ostale organizacije mogu naučiti od banaka i ostalih financijskih institucija u pogledu upravljanja informacijskim rizicima? Današnju prihvaćenost procesa upravljanja informacijskim rizicima možemo zahvaliti prvenstveno naporima koje financijske institucije ulažu u ovo područje i zapravo možemo reći da su financijske institucije (prvenstveno banke) te koje razvijaju ove procese i pokazuju put svim ostalim organizacijama koje ih Interne prevare Vanjske prevare Zaposlenici i radna okolina Klijenti, proizvodi i poslovne prakse Fizičke štete na imovini Narušavanje poslovnih procesa i kvarovi sustava Izvršavanje, isporuka i upravljanje procesima 60 listopad MREŽA slijede. Ovo naime i nije toliko posljedica sazrijevanja procesa upravljanja rizicima u samim bankama koliko posljedica regulative u ovom području koja ih naprosto prisiljava da taj proces uspostave. Osim informacijskih rizika na koje stavljamo naglasak u ovoj temi broja, financijske se institucije u samom poslovanju susreću Neovlaštene transakcije Falsificiranje Insajderska trgovina Manipulacija datotekama i programima i sl. Provala/krađa Neovlašteno korištenje bankomata Upad računalnih virusa i crva Hakerski napadi i sl. Nelegalan prestanak radnog odnosa Potraživanja zaposlenika zbog zdravstvenih tegoba i sl. Kršenje tajnosti podataka Kršenje privatnosti klijenata Nedozvoljena agresivna prodaja Greške u modelima/uslugama Loše klauzule ugovora i sl. Oštećenja zbog prirodnih katastrofa Troškovi prekida poslovanja zbog prirodnih katastrofa Zakonske i političke promjene i sl. Nedostupnost aplikacija Nemogućnost slanja ili primanja podataka Pogrešna automatska obrada podataka Pad sustava javnih usluga i sl. Greške pri unosu podataka/održavanju i/ili greške zbog preopterećenosti Računovodstvene greške Propusti u isporuci Netočni izvještaji Loše komunikacije i sl. Operativni rizici kako ih vidi Basel II. Moguće je prepoznati da informacijski rizici koje obrađujemo ovom temom broja čine većinu operativnog rizika s raznim vrstama rizika kao što su kreditni rizik, rizik promjene kamatne stope, tržišni rizik, valutni rizik, rizik zemlje, rizik solventnosti i sl. Menadžment financijskih institucija mora obratiti pažnju na svaki od ovih rizika pojedinačno, ali - što je još važnije - na njihove interaktivne efekte. Budući da je definicija rizika jednaka za sve vrste rizika, a slična je i metodologija vrednovanja rizika, financijskim institucijama nije bilo teško uspostaviti procese upravljanja informacijskim rizikom. Možemo reći da je razlika u samom sadržaju rizika, odn. gledištu. I dok kod primjerice tržišnog rizika prepoznajemo rizike koji nastaju iz trgovanja ili investiranja u instrumente aktive ili pasive zbog promjena kamatnih stopa, deviznih tečajeva ili cijena vrijednosnica, informacijske rizike prepoznajemo kao rizike koji nastaju zbog neadekvatnog upravljanja informacijskim sustavom odnosno kao posljedica neželjenih događaja u informacijskom sustavu. U oba se slučaja aktivnosti ponavljaju: identifikacija rizika, procjena odnosno vrednovanje, obrada rizika i sl. Što se tiče upravljanja informacijskim rizicima, možemo slobodno reći da je do njih došlo zbog pojave regulatornih okvira koji su nastali kao posljedica raznih financijskih kriza na svjetskim tržištima, odnosno prepoznavanjem informacijskog sustava i upravljanja njime kao jednog od ključnih faktora koji su izravno ili neizravno bili pokretači tih negativnih događaja. Informacijski se sustav promatra u kontekstu grupe operativnih rizika, tj. onih koji nastaju kao rezultat neadekvatnih odnosno neuspjelih internih procesa, ljudi, sustava ili vanjskih događaja. Neka istraživanja navode podatak o udjelu operativnih rizika do čak 29% u ukupnom udjelu gubitaka po raznim vrstama rizika u financijskim institucijama. Ako uzmemo i konzervativniji stav, opet imamo brojke zbog koje nije čudan nastanak regulative vezane uz upravljanje operativnim rizikom. Basel II i Solvency II Jedna od važnijih regulativa o kojoj vrijedi reći par informacija svakako su smjernice Basel II, nazvane po tijelu koje ih je donijelo (Basel Committee on Banking Supervision). Prvotno

14 SOLVENCY II je zakonski okvir kojim se revidiraju dosadašnji zahtjevi za kapitalnom adekvatnošću osigurateljne industrije (Solvency I). Primjenjuje se na cijelu industriju, te postavlja nova, čvršća pravila i zahtjeve za kapitalnom adekvatnošću i proces upravljanja rizicima društava s ciljem smanjenja mogućnosti gubitka osiguranika odnosno korisnika osiguranja i poremećaja na tržištu osiguranja. Solvency II utemeljen je na tri stupa: I Osiguravanje adekvatnih financijskih resursa Sadrži kvantitativne zahtjeve koji uključuju vlastita sredstva, tehničke pričuve i izračun kapitalnih zahtjeva SCR (Solvency Capital Requirements) i MCR (Minimal Capital Requirements). II III Osiguravanje odgovarajućih sustava upravljanja Odnosi se na primjenu odgovarajućeg sustava upravljanja u društvima odnosno pred društva postavlja kvalitativne zahtjeve učinkovitog sustava upravljanja rizicima redovnom primjenom samoprocjene rizika i solventnosti (ORSA - Own Risk and Solvency Assesment). Ovaj stup uključuje i sveukupan proces nadzora društava od nadzornih tijela kako bi se osiguralo poslovanje društava u skladu sa zakonskim okvirom te zaštita osiguranika i korisnika osiguranja u slučaju financijskih i organizacijskih slabosti društava. Objava izvješća i izvještavanje nadzornog tijela Odnosi se na pravila za javno objavljivanje informacija (disclosure) i izvještavanje nadzornog tijela. Povećava se opseg informacija koje su društva dužna dostaviti nadzornom tijelu te se propisuju određene informacije koje moraju biti javno objavljene, a čime se poboljšava tržišna disciplina i osigurava stabilnost samih društava. izdane godine, ove su smjernice usmjerene na kreiranje standarda za izračunavanje adekvatnosti kapitala odnosno potrebne rezervacije kapitala radi amortiziranja financijskih i operativnih rizika. U okviru prvog stupa (1st pillar) nalazi se i dio vezan uz izračun minimalnih kapitalnih zahtjeva operativnih rizika te se daju upute za ovaj izračun sa tri različita modela (osnovni, standardizirani i napredni). Nije namjena članka da ide u detalje ovih smjernica, ali ih je bitno spomenuti jer informacijski rizici koje obrađuje ova tema broja u većoj mjeri čine operativne rizike. Njih ćete lako prepoznati u tablici u okviru ovog članka prema grupama kako ih definira Basel II. Što se tiče osiguravajućih društava, njima se smiješi direktiva Solvency II koja je manje-više pandan smjernicama Basel II - vezana, naravno, uz osiguravajuće tvrtke koje djeluju na prostoru EU, a s ciljem smanjenja rizika nesolventnosti. Kao i Basel II, i ova direktiva ima tri stupa, a cilj je uspostaviti četiri funkcije (risk management, compliance, internal audit, actuarial). Solvency II, po uzoru na Basel II, utemeljen je na tri stupa Upravljanje informacijskim sustavom i HNB Na temelju smjernica Basel II Hrvatska narodna banka izdala je niz dokumenata, među ostalim poznate Smjernice za upravljanje informacijskim sustavom u cilju smanjenja informacijskog rizika iz godine, a jedno od glavnih poglavlja jest i upravljanje rizikom informacijskog sustava. Ovim se poglavljem daju napuci bankama što sve treba sadržavati proces upravljanja rizikom te se daju čak i prijedlog faza/aktivnosti i isporuka svake od njih. Premda se nije nužno u potpunosti držati ovog prijedloga, on je baziran na poznatim svjetskim standardima i praksama poput NIST-ova pa je logično da će ga banke u većoj mjeri implementirati. Nakon smjernica izašao je i regulatorni akt Odluke o primjerenom upravljanju informacijskim sustavom koji daje zahtjeve bankama prema područjima raspisanim u smjernicama. Zadnja inačica ovog akta iz godine ne propisuje detaljno proces upravljanja rizikom, nego se poziva na članke Zakona o kreditnim institucijama. Dodatno je izišao i akt Odluka o upravljanju rizicima iz godine, kojim se propisuju minimalni zahtjevi upravljanja kreditnim, tržišnim i operativnim rizikom. Ono što je autor mogao prepoznati u nekim našim bankama jest još uvijek prilično velika doza diskrepancije upravljanja informacijskim rizikom, o kojem često skrbi voditelj sigurnosti informacijskog sustava ili čak voditelj informatike, te upravljanja operativnim rizikom, za koje je zadužena posebna funkcija unutar banaka. Objedinjavanje odnosno usklađenje ova dva procesa treba doći kao posljedica razvoja stupnja zrelosti procesa upravljanja rizikom koji je u dobrom dijelu naših banaka još u začetku. Aktivnosti procjene rizika uglavnom se rade jednostavnim alatima (Excel, Access), a praćenje mjera potrebnih za smanjenje rizika, izgleda, još predstavlja daleku budućnost. Osiguravajuće kuće - čast izuzecima - vrlo rudimentarno upravljaju informacijskim rizicima, što je posljedica slabe regulative u ovom području. Ako i postoji, ovaj se proces uglavnom svodi na to da pojedini voditelji informatike i/ili voditelji sigurnosti informacijskog sustava guraju aktivnosti ne bi li pokazali da prate trendove odnosno pokušali uspostaviti proces jer su sami prepoznali njegovu važnost. Za sada imamo Smjernice za identificiranje, mjerenje i praćenje rizika kojima je u svojem poslovanju izloženo društvo za osiguranje odnosno društvo za reosiguranje iz godine, u sklopu kojih postoji i dio vezan uz operativne rizike. MREŽA listopad

15 Upravljanje informacijskim rizicima Intervju Damir Blažeković: Jaka regulativa kao prevencija? Kad ocjenjujemo zrelost upravljanja informacijskim sustavima u hrvatskim tvrtkama, prosjek debelo povećavaju kreditne institucije odnosno kreditne unije. Odgovor, između ostalog, leži i u jakoj regulativi vezanoj za informacijski sustav koju propisuje HNB, preciznije Odjel supervizije informacijskih sustava Povodom teme broja razgovarali smo s voditeljem tog odjela, fokusirajući se na procese upravljanja rizikom informacijskog sustava. Možete li ukratko objasniti čime se vaš odjel bavi i kako se provodi supervizija informacijskih sustava banaka u RH? Odjel supervizije informacijskih sustava bavi se supervizijom informacijskih sustava kreditnih institucija i kreditnih unija u RH, što uključuje provođenje izravnih (on-site) i neizravnih (off-site) nadzora IS-ova te nalaganje i nadzor provođenja supervizorskih mjera vezanih uz IS. U smislu supervizije IS-ova kreditnih institucija, izravni nadzori IS-ova najbolji su mehanizam procjene stanja IS-ova i primjerenosti upravljanja IS-ovima kreditnih institucija. Izravni nadzori IS-ova provode se odlaskom supervizora u prostorije kreditnih institucija u okviru kojih se (ovisno o tipu nadzora IS-a u kreditnim institucijama) u prvom redu procjenjuje stanje IS-a, primjerenost načina na koji kreditna institucija upravlja IS-om i rizikom IS-a, usklađenost poslovanja kreditne institucije sa Zakonom o kreditnim institucijama te propisima donesenim na temelju tog Zakona, kao i usklađenost s vlastitim pravilima i standardima te pravilima struke. Prilikom obavljanja izravnih nadzora promatraju se procesi vezani uz IS kreditnih institucija (npr. upravljanje, sigurnost, razvoj i održavanje, upravljanje kontinuitetom poslovanja) te upravljačke, logičke i fizičke kontrole primijenjene na poslužiteljima, radnim stanicama, prijenosnim uređajima, mrežnoj opremi, operacijskim sustavima, bazama podataka i aplikacijama. Međutim, uzimajući u obzir da nije moguće imati stalan (izravni) uvid u sve kreditne institucije, da nije moguće provesti izravne nadzore IS-ova svih kreditnih institucija u jednoj kalendarskoj godini te iterativnost procesa izravnog nadzora, opseg dokumentacije koja se analizira i komunikacije te obveznu formu rezultirajućih izvješća, provode se i neizravni (off-site) nadzori IS-ova kreditnih institucija kojima je glavni cilj unapređenje provođenja svih supervizorskih aktivnosti vezanih uz IS kreditnih institucija, optimiziranje procesa planiranja i provođenja izravnih nadzora ISova te kontinuiranog praćenja izloženosti kreditnih institucija IT riziku. 62 listopad MREŽA

16 Regulatorni okvir Možete li ukratko objasniti razvoj regulatornog okvira vezanog uz informacijske sustave banaka te na koju regulativu vezanu uz upravljanje rizikom informacijskog sustava naše banke moraju odgovoriti? U ožujku godine na internetskoj stranici HNB-a objavljene su Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika čiji je cilj bio upoznati banke sa stavom HNB-a u vezi s postupcima primjerenog upravljanja ISom. Kako tada svijest banaka o primjeni Smjernica o IS nije bila na prihvatljivoj razini, pristupilo se izradi Odluke o primjerenom upravljanju informacijskim sustavom. Cilj donošenja Odluke o IS bio je definirati pravila igre; definirati što (a ne kako) treba ostvariti da bi sve kreditne institucije primjereno upravljale IS-ovima i rizikom ISova, unapređenje sigurnosti i raspoloživosti informacijskih sustava kreditnih institucija te u konačnici sigurniji i stabilniji bankovni sustav. U ožujku HNB je donijela novu Odluku o IS, i to prvenstveno zbog usklađivanja sa Zakonom o kreditnim institucijama te zbog činjenice da bi izmjene i dopune stare Odluke o IS vjerojatno dovele do njezine nejasnoće i nepreglednosti. Nova Odluka o IS razmjerno detaljno razlaže obveze kreditnih institucija u pogledu upravljanja IS-ovima i ne odstupa bitno od stare Odluke o IS. Osim što su izmjene posljedica usklađivanja sa Zakonom o kreditnim institucijama, one su i posljedica usklađivanja s propisima donesenim temeljem tog Zakona. Vezano uz upravljanje rizikom IS-ova, pored Smjernica o IS i Odluke o IS, kreditne institucije trebaju posebnu pozornost obratiti na odredbe Odluke o eksternalizaciji, Odluke o upravljanju rizicima i Odluke o sustavu unutarnjih kontrola. Na temelju čega ste propisali tu regulativu? Smjernice o IS i Odluka o IS nastale su objedinjavanjem dobrih praksa za upravljanje informacijskim sustavima, uz konzultacije s IT supervizorima drugih zemalja te stručnjacima s područja upravljanja i revizije informacijskih sustava, kao i kroz vlastita iskustva iz provedenih izravnih nadzora informacijskih sustava kreditnih institucija. Smjernice o IS i Odluka o IS u najvećoj su mjeri usklađene sa svjetskim standardima i metodologijama povezanima s informacijskim sustavima (COBIT, ISO 2700x, ITIL, FFIEC). Prepoznavanje koristi Možete li procijeniti trenutno stanje procesa upravljanja rizikom informacijskog sustava u našim bankama? Trenutno je stanje procesa upravljanja rizikom IS-ova u kreditnim institucijama u Damir Blažeković Damir Blažeković voditelj je Odjela supervizije informacijskih sustava (bivši Odjel za izravni nadzor informacijskih sustava banaka) u Hrvatskoj narodnoj banci. Na ovo radno mjesto prešao je s pozicije financijskog supervizora, a prije HNB-a radio je i u Ini. Radi na analizama izvješća kreditnih institucija, izradi regulatornog okvira vezanog za informacijske sustave, sudjeluje u svojstvu voditelja izravnih nadzora informacijskih sustava banaka, a predaje i na mnogim međunarodnim konferencijama na temu supervizije informacijskih sustava u bankama. Nositelj je i certifikata CISA (Certified Information System Auditor). RH zadovoljavajuće. Treba napomenuti da su sve kreditne institucije, sukladno Odluci o IS, bile dužne još godine uspostaviti proces upravljanja rizikom informacijskog sustava koji obuhvaća procjenu rizika, ovladavanje rizikom (poduzimanje radnji za svođenje rizika na prihvatljivu razinu) te kontinuirano praćenje i održavanje prihvatljive razine rizika. Općenito govoreći, od donošenja Smjernica o IS i Odluke o IS do danas ostvaren je napredak u načinu na koji kreditne institucije upravljaju rizikom IS-a, a razina se zrelosti procesa upravljanja rizikom IS-a povećala. Pritom su neke kreditne institucije posljednjih godina značajno unaprijedile postupke i metode utvrđivanja, mjerenja, procjenjivanja, ovladavanja i praćenja rizika (uključujući i izvještavanje o rizicima), dok je kod dijela kreditnih institucija proces upravljanja rizikom IS-ova ostao na minimalno prihvatljivim zakonskim razinama. Koliki je, po Vašem mišljenju, bio utjecaj Smjernica o IS-u i Odluke o IS-u na bankarski sustav u RH i kolika je percipirana korisnost njihove implementacije? Možete li pritom izdvojiti područje upravljanja rizikom informacijskog sustava? Teško je procijeniti kolik je bio stvarni utjecaj Smjernica o IS i Odluke o IS na bankarski sustav u RH, ali u svakom su slučaju Smjernice o IS i Odluka o IS značajno utjecale na organizacijske i kadrovske promjene kod kreditnih institucija, uspostavu ili prilagodbu različitih procesa (npr. upravljanje rizikom IS-a), usvajanje i primjenu internih akata vezanih uz IS, izradu izvješća (npr. izvještavanje uprave i nadzornog odbora, procjena rizika, testiranja). U anketi provedenoj godine zatražili smo kreditne institucije da procijene kakav su utjecaj imale Smjernice o IS i Odluka o IS na unapređenje stanja njihovih IS-ova. Preko 97% kreditnih institucija ocijenilo da je Odluka o IS imala dobar ili vrlo dobar utjecaj na kreditnu instituciju, a gotovo 90% kreditnih institucija ocijenilo je da su Smjernice o IS imale dobar ili vrlo dobar utjecaj na kreditnu instituciju. Od kreditnih institucija zatražena je i procjena korisnosti implementacije pojedinih odredbi Odluke o IS. Kreditne institucije najkorisnijima su ocijenile odredbe vezane uz uspostavu oporavka IS-a, upravljanje korisničkim pravima pristupa, programski razvoj i testiranje te uspostava sigurnosnog okvira, a manje korisnima odredbe o obvezi obavještavanja HNB-a u slučaju pojave incidenata te o potrebi uspostave procesa upravljanja hardverskom imovinom. Vezano uz upravljanje rizikom IS-a, gotovo 65% kreditnih institucija ocijenilo je da je provođenje postupaka vezanih uz upravljanje rizikom IS-a imalo dobar ili vrlo dobar utjecaj na unapređenje stanja IS-a. Zaštita od napada Upravljanje rizikom informacijskog sustava, između ostalog, usmjereno je i na bolju zaštitu od hakerskih i drugih vrsta napada. Je li dosad bilo napada na informacijske sustave banaka u RH? Ako jest, o kojim napadima je riječ? U proteklih godinu i pol dana dogodilo se nekoliko sigurnosnih incidenata odnosno napada na sustave internetskog bankarstva usmjerenih na kreditne institucije koje kao mehanizam autentifikacije korisnika internetskog bankarstva koriste zaporku i transakcijski autentifikacijski broj (Transaction Authentication Number), tzv. TAN. S tim u vezi, HNB je s pojavom tih napada svim kreditnim institucijama uputila dopis u kojem su navedena moguća unapređenja i kontrole čija bi implementacija trebala doprinijeti povećanju sigurnosti internetskog bankarstva. Nadalje, u posljednjih nekoliko mjeseci došlo je i do učestalijih pojava DDoS (Distributed Denial-of-Service) napada na javno dostupne servise pojedinih kreditnih institucija, čime se na kraće vrijeme legitimnim korisnicima onemogućilo odnosno otežalo korištenje tih servisa. Učinkovito upravljanje rizicima informacijskog sustava trebalo bi smanjiti utjecaj, a posljedično i učestalost takvih vrsta napada. MREŽA listopad

17 Upravljanje informacijskim rizicima IT GRC Da se za(grc)neš! Ključni su poslovni procesi u tvrtkama već davno informatizirani odnosno podržani raznim softverskim rješenjima. No što je s upravljačkim i procesima podrške? Dio njih može se naći u terminu IT GRC, za koji već postoji niz stranih i domaćih softverskih alata Uloge koje sudjeluju u IT GRC procesima (Izvor: Agilliance) 64 listopad MREŽA U razgovoru s brojnim djelatnicima u informatičkom sektoru uvidio sam da je pojam GRC još prilično nepoznat. Premda Gartner, Forrester i slične kuće prate područje GRC-a već desetak godina, tek manji dio IT menadžera zna pojam GRC više od značenja same skraćenice. Inače, GRC stoji za engleski pojam Governance, Risk management and Compliance, što obuhvaća jedan dio tipičnih procesa učinkovitog upravljanja informacijskim sustavom. Rastavimo li pojam na sastavne dijelove, možemo reći da se G (upravljanje IS-om) odnosi na uspostavljanje mehanizama koje organizacija koristi kako bi osigurala da svi u organizaciji slijede definirane procese i politike/pravila; R (upravljanje rizikom) na učinkoviti proces kojim organizacija postavlja prihvatljivu razinu rizika, analizira i obrađuje rizike te ih rangira prema poslovnim ciljevima organizacije; a C (upravljanje sukladnošću) na bilježenje i nadziranje kontrola koje su potrebne kako bi se osigurala sukladnost sa zakonima, regulatornim obvezama i internim politikama/pravilima organizacije. Ono zašto se ova tri procesa promatraju zajedno pod pojmom GRC upravo je mnogostruka povezanost aktivnosti i informacija koje ti procesi koriste, a koji se danas u većem dijelu organizacije promatraju odvojeno. Time se gubi sinergija koja nastaje sveobuhvatnim promatranjem tih procesa kao čvrsto povezanih i međusobno ovisnih. Slika u nastavku teksta pokazuje koje sve razne uloge sudjeluju u ovim procesima te koje glavne i zajedničke informacije koriste. Ako tvrtka nema učinkovito implementirane GRC procese, lako je moguće utvrditi da se mnogo vremena i energije gubi na rad s jednim te istim, a opet odvojenim informacijama koje svatko obrađuje i procjenjuje na različit način. Pronalaženje zajedničkog Kako bismo približili pojam GRC svim čitateljima, dat ćemo primjer tipičnih procesa koji se odvijaju u nekoj tvrtki. Menadžment donosi pravila i procedure koje su uglavnom nastale kao potreba zadovoljenja neke regulative, internih odluka i poslovnih zahtjeva, odnosno želje da se slijede dobre prakse upravljanja. Ta pravila i procedure implementiraju se nizom mjera odnosno kontrola, koje mogu biti organizacijske, proceduralne ili tehničke prirode. Primjer organizacijske kontrole jest osnivanje Odbora za upravljanje informacijskim sustavom ili ustoličenje funkcije voditelja sigurnosti informacijskog sustava. Proceduralna je kontrola npr. uspostavljanje procesa učinkovitog upravljanja incidentima, a jedan od primjera tehničke kontrole jest postavljanje sustava videonadzora tvrtkinih prostora kamerama i softverom za obradu videa. Prilikom implementacije i tijekom cijelog životnog ciklusa kontrola javljaju se rizici koje je potrebno identificirati i procijeniti te primijeniti adekvatne mehanizme za njihovu obradu. Periodično ili kontinuirano praćenje i testiranje kontrola te proces izvještavanja menadžmentu daju uvid u učinkovitost tih kontrola, status Popis funkcionalnosti koje IT GRC alati trebaju zadovoljiti da bi se našli na Gartnerovu popisu

18 sukladnosti s donesenim politikama i pravilnicima - ukratko, procjenu učinkovitosti upravljanja. U praksi je često moguće vidjeti da ove procese rade djelatnici koji ne rade kao tim te aktivnosti provode na nekom svom malom setu informacija odvojenih u tzv. nepovezane silose. Tako se može naći ogroman broj raznih Word i Excel dokumenata s parcijalnim podacima o jednim te istim informacijama, koji usput nisu ni konzistentni. Ovdje govorimo o raznim politikama, pravilnicima, procedurama, radnim uputama i drugim internim aktima te o podacima procjene rizika, plana obrade rizika, izvješćima interne i vanjske revizije, periodičnim izvješćima statusa sigurnosti i sl. Zamišljeni učinkoviti GRC procesi pronalaze te zajedničke informacije te im je glavni cilj da podignu učinkovitost ovih procesa na znatno višu razinu. Ovo uglavnom nije moguće postići bez uporabe nekog od softverskih rješenja - što zbog količine podataka koji se ovim procesima obrađuju, što zbog kompliciranog toka radnih aktivnosti. E GRC i IT GRC U literaturi i medijima često ćemo se susresti s pojmovima Enterprise GRC i IT GRC. Razlika se svodi na promatrano područje upravljanja, gdje je pri E GRC-u fokus na poslovnim zahtjevima, regulativi i standardima, a pri IT GRC-u na informacijsko-komunikacijskim tehnologijama koje tvrtka primjenjuje. Tako ćemo u bazama znanja softverskih IT GRC alata pronaći set kontrola i rizika vezanih uz poznate IT standarde kao što su CobiT, ITIL, ISO i sl. Unazad nekoliko godina Gartner i ostale analitičke kuće posebno promatraju IT GRC domenu jer postoji prilično jasna granica u ciljanom tržištu te dijelu funkcionalnosti softverskih alata za IT GRC i E GRC. Ovo tržište svake godine bilježi rast (blizu 30% godišnje) koji je u posljednje doba usporen, ponajviše zahvaljujući svjetskoj krizi te okretanju investicija u alate koji podržavaju ključne poslovne procese. Istraživanje koje redovno provodi IT Policy Compliance Group navodi čime su IT menadžeri najzadovoljniji pri implementaciji IT GRC alata, a to su: manji broj gubitaka uslijed IT rizika, smanjenje utjecaja na poslovanje ako se neki od rizika ostvare, puno manji trošak na funkciju revizije informacijskog sustava, brži odgovor na zahtjeve regulative, jasniji podaci za odlučivanje i sl. Funkcionalnosti softverskih alata Da bi se našli u Gartnerovu magičnom kvadrantu, po mogućnosti na liderskoj poziciji u gornjem desnom kutu, IT GRC alati moraju zadovoljiti set funkcionalnosti koje je Gartner naveo kao kriterije za ocjenjivanje i uspoređivanje. Budući da ove funkcionalnosti čine srž GRC-a, navedimo ih redom. Standard/ regulativa CobiT ITIL ISO PCI DSS Odluka HNB-a o primjerenom upravljanju IS-om Zakon o informacijskoj sigurnosti Osnovne informacije Mapiranje kontrola i politika - jedna od ključnih funkcionalnosti; njome se ostvaruju značajne uštede u procesu usklađivanja sa zakonima i standardima. Naime, IT kontrole koje predlažu vodeći standardi većim se dijelom poklapaju (npr. kontrolu redovitog izvršavanja pričuvne pohrane podataka naći ćete u svim standardima) te je jednim prolazom testiranja kontrola moguće dobiti status usklađenosti po svim standardima, zakonima i regulativi ako su međusobno mapirani u bazi. Distribucija politika i povratna potvrda - odnosi se na sustav upoznavanja djelatnika s naporima menadžmenta u učinkovitom upravljanju IS-om. Bez ovoga je lako moguće naći zaposlenika koji uopće nije upoznat s internim pravilnicima i aktima tvrtke. Samoprocjenjivanje i mjerenje kontrola - odnosi se na jedan vid proširenja funkcije unutarnje revizije na sve zaposlenike. Time zaposlenici postaju svjesniji svojih radnih zadataka i važnosti poznati ICT standardi i regulativa Vjerojatno najširi standard koji daje najbolje prakse upravljanja informacijskim sustavom. Nedavno je izišla inačica 5.0. Standard izdaju povezane organizacije ISACA i ITGI. Standard koji upravljanju IS-om pristupa ne samo sa stajališta ŠTO već i KAKO, a često i ČIME. Postavlja servis (uslugu) kao središnji pojam preko kojeg se preslikavaju zahtjevi poslovnih procesa na IT podršku. Ide više u detalje od općenitih standarda kao što su CobiT ili ISO Set dobrih praksi upravljanja informacijskom sigurnošću. Ako se ove prakse slijede temeljem procjene rizika te ispunjavajući zahtjeve norme ISO 27001, tvrtku je moguće certificirati i time formalno dokazati da tvrtka ima uspostavljen učinkovit sustav upravljanja informacijskom sigurnošću. Uveo ga je trust kartičarskih kuća kako bi se postavili minimalni zahtjevi osiguranja povjerljivih kartičarskih podataka te IT podrške kartičarskim poslovnim procesima. Vrlo detaljan standard koji u pojedinim područjima ulazi u dubinu navodeći čak i potrebne sigurnosne postavke pojedinih protokola. Hrvatska narodna banka zasad je jedina koja je u nekoj gospodarskoj grani izdala jasne zahtjeve koje kreditne institucije moraju zadovoljiti kako bi osigurale minimalnu razinu sigurnosti informacijskog sustava. Radi se o setu kontrola koje se u najvećoj mjeri poklapaju sa svim gore navedenim standardima. Ne ide u detalje koji su donekle pojašnjeni drugim dokumentom - Smjernicama za primjereno upravljanje informacijskim sustavom. Od brojnih zakona koji se tiču informacijske sigurnosti, ovaj sam izdvojio jer je najširi i najbliži svim gore navedenim standardima. Daje mjere i standarde informacijske sigurnosti za tijela državne uprave koja u svom radu koriste klasificirane i neklasificirane podatke te utvrđuje tijela nadležna za donošenje, provođenje i nadzor provedbe ovog Zakona. usklađenja rada sa zacrtanim poslovnim pravilima. Registar informacijske imovine - svaki IT GRC alat mora imati katalog entiteta odnosno informacijske imovine nad kojom se radi procjena rizika te nad kojom se implementiraju željene kontrole. Ovaj registar uobičajeno sadrži popis hardvera, softvera, podataka, servisa, ljudi i sl. - sve ono što čini informacijski sustav. Automatizirano prikupljanje statusa kontrola - brojne tehničke kontrole nije lako revidirati pješke. Potrebni su specijalizirani alati čiji se rezultati mogu koristiti u IT GRC alatima. Primjer je postupak prikupljanja postavki baza podataka, operacijskih sustava ili postavki mrežne opreme. Obrada ranjivosti i iznimaka - osim procesa procjene kojim tvrtka identificira rizike i postavlja dijagnozu usklađenosti, još je važniji proces obrade tih rezultata. Jaki IT GRC alati imaju i funkcije helpdesk sustava, tj. podržavaju proces upravljanja incidentima kako ga definiraju dobre Jednostavna shema GRC procesa MREŽA listopad

19 Upravljanje informacijskim rizicima Čemu IT GRC? Koristi od implementacije učinkovitog IT GRC procesa podržanog softverskim alatom uglavnom se teško mogu izraziti financijski. Financijske uštede zapravo proizlaze iz učinkovitijeg rada, kvalitetnije podrške odlučivanju te bržeg odgovora na potencijalne probleme (rizike) koji stvaraju operativni gubitak. Koristi se svakako vide na dužem promatranom razdoblju, nakon kojeg se teško vratiti na stari način rada. Tipične su koristi sljedeće: Podaci iz više komplementarnih procesa napokon su u istoj bazi (rezultati revizija, procjena i obrada rizika, izvještavanje o statusu sigurnosti i sl.) Moguće je u svakom trenutku dobiti uvid u status usklađenosti po raznim standardima i regulativi Vidljiva je direktna veza IT rizika i poslovnih procesa Identifikacija rizika lakša je i praktičnija jer proizlazi iz već ugrađene baze znanja te postojećih podataka o gubicima i incidentima Za uvid u status sukladnosti po raznim standardima i regulativi dovoljno je samo jednom proći testiranje kontrola Zbog brojnih relacija među podacima moguće je pratiti povijesno kretanje veličine rizika, statusa sukladnosti i još mnogo, mnogo toga svjetske prakse. Pokazatelji sukladnosti (dashboards) - kvalitetno izvještavanje menadžmenta jedna je od ključnih (i najvidljivijih) funkcionalnosti alata. Iz mora podataka treba izvući kvalitetne informacije i lijepo ih prezentirati korisnicima sustava. Ovo se izvodi s pomoću brojnih izvješća, grafova i ploča s pokazateljima stanja sukladnosti (dashboards). Izračun IT GRC rizika - ova funkcionalnost odnosi se na automatizaciju procesa procjene i izračuna veličine rizika. Danas postoje razne metodologije za procjenu rizika, od onih jednostavnih pa do kompliciranih koje daju rezultate čim bliže stvarnosti, a moguće ih je učinkovito koristiti samo s pomoću softverskih alata. Treba li nam to? Kako smanjiti troškove procesa podrške ključnim poslovnim procesima, ako ne upotrebom softvera? Naime, u većem dijelu naših tvrtki poslovi upravljanja informacijskim sustavom, unutarnje i vanjske revizije, upravljanja rizikom i sl. i dalje se vode pješke - tabličnim kalkulatorima i Wordom. Ovakav je pristup prilično neučinkovit. Još je gora situacija s nepovezanim i redundantnim podacima. S treće strane, svjedoci smo poplave zakona i regulative koji se odnose na informacijsko-komunikacijske tehnologije, a napori tvrtki za usklađivanje s njima predstavljaju sve veći trošak u vremenu i novcu. Nije potrebno mnogo mudrosti da se zaključi kako samo automatizacija i softverska podrška mogu pomoći tvrtkama da učinkovito odgovore na ove zahtjeve i time povećaju učinkovitost upravljanja informacijskim sustavom. Sabrana djela Bugovih legendarnih kolumnista, Olega Maštruka i Ive Špigela: točka BIBLIOTEKA IT.KOLUMNE o l e G m a Š t r u k o čovjek Kud to ide? BIBLIOTEKA IT.KOLUMNE I v o Š p I G e l U PRODAJI BUG BUG 66 listopad MREŽA