Upravljanje rizicima i revizija informacionog sistema

Upravljanje rizicima i revizija
informacionog sistema
Žaklina Arsić
Ajla Ćerimagić Hasibović
Uvod
• Upravljanje rizicima razvoja i održavanja IS
• Revizija informacionog sistema (metodologija,
standardi)
• CASE: Business continuity plan za program
životnog osiguranja
Rizik i njegovi elementi
Rizik je funkcija verovatnoće da određeni izvor pretnje iskoristi potencijalnu
slabost tako da to rezultuje određenim štetnim i neželjenim uticajem na
poslovanje organizacije.
Proces upravljanja rizikom
• Pod rizikom se podrazumeva verovatnoća nastanka
negativnih efekata na poslovni i finansijski rezultat društva i
položaj društva.
• Proces upravljanja rizikom se sastoji iz šest koraka:
1.
2.
3.
4.
5.
6.
Utvrđivanje ciljeva
Identifikacija rizika
Procena rizika
Razmatranje alternativa i izbor sredstava za upravljanje rizikom
Primena odluke
Procena i ponovno ispitivanje
Rizici informacionog sistema
• U toku razvoja softverskih rešenja, javljaju se brojni rizici, pa je zato
razvijeno više klasifikacija tih rizika.
Rizici projekata razvoja softvera:
– tehnički rizici (problemi sa jezikom, obimom projekta, funkcionalnostima
projekta, platformama, metodama, standardima, ili procesima);
– upravljački rizici (nedostatak/propusti u planiranju, nedostatak iskustva u
upravljanju i obuci, komunikacioni problemi, nedostatak autoriteta i
problemi sa kontrolama);
– finansijski rizici (prinude vezane za cash flow, budžet itd);
– pravni i ugovorni rizici (izmena zahteva, zdravstveno-bezbednosne
činjenice, državna regulativa i garancija proizvoda);
– personalni rizici (slabosti osoblja, problemi sa iskustvom i obukom,
problemi morala, konflikti, produktivnost);
– ostali rizici resursa (neraspolaganje ili kasna isporuka opreme,
neraspolaganje sa kompjuterskim resursima i slab vremenki odziv).
Rizici informacionog sistema
Rizici softverskih procesa:
–
–
–
–
–
–
nedokumentovani softverski proces;
nedostatak efektivnih peer reviews;
ne postojane prevencije defekata;
siromašni dizajn procesa;
siromašno upravljanje zahtevima korisnika;
neefektivno planiranje.
Rizici softverskih proizvoda:
–
–
–
–
–
nedostatak ekspertize u datom području;
kompleksni dizajn;
slabo definisani interfejsi;
slabo razumevanje legacy sistema;
nejasni ili nekompletni zahtevi.
MSF za upravljanje rizicima
•
MSF (Microsoft Solutions Framework) predstavlja okvir za
upravljanje tehnološkim projektima koji je se temelji na
skupu principa, modela, disciplina, koncepata, i uputstava
oprobanih u praksi.
•
MSF definiše upravljanje rizikom kao proces identifikovanja,
analiziranja i proaktivnog upravljanja rizicima projekta, tako
da oni ne postanu problem i da ne izazovu štetu ili gubitak.
Cilj upravljanja rizikom je maksimizacija pozitivnih i
minimizacija negativnih uticaja povezanih sa rizikom
projekta.
Faze MSF procesa za upravljanje rizikom
Klasifikacija izvora rizika projekta
Lista 10 najznačajnijih rizika
Naziv rizika
Izloženost
riziku
ID
RB
1.
T-2
Migracija podataka
10
2.
P-6
Česta promena zahteva
8.1
3.
K-3
Nedostatak tehnički obučenog kadra
8.1
4
O-13
Eksterne odluke nametnute projektu
8.1
5.
T-17
Neispunjavanje zahteva u pogledu performansi
8.1
6.
P-12
Nerealni planovi
7.2
7.
P-16
Nedovoljno kvalitetno opisani biznis procesi
7.2
8.
K-5
Spor odziv klijenta u fazi testiranja
6.4
9.
K-7
Osipanje ljudstva zbog drugih prioriteta
6.4
10.
K-20
Članovi tima otežano pronalaze kompromisno rešenje
6.4
Revizija informacionog sistema
• Tehnologija omogućava rad sa velikim količinama
podataka – zloupotreba
• Svaki dio manipulacije podacima mora biti isplaniran
i pažljivo nadgledan
• Revizija informacionih sistema se definiše kao svaka
revizija koja obuhvata djelimičnu ili cjelokupnu
analizu i ocjenu automatizovanog sistema obrade
informacija, povezanih neautomatizovanih procesa i
interfejsa između njih
Upravljanje revizijom
• Adekvatni revizorski resursi
• Raspored izvođenja akcija
• Naknadne provjere statusa
Metodologija revizije
• Ne postoji jedinstven metod revizije
• Revizori ocjenjuju
– Bezbjednost
– Kvalitet
– Povjerljivost
• Interna i eksterna revizija
Frameworks i/ili standardi
• CobiT (Control Objectives of Information and
related Technology)
• ISO 27000 standard (ISO 27001:2005, ISO
27002:2005)
• Basel II, ITIL, NIST, SANS, ISC2, itd
Framework
• Deloitte plan za reviziju informacionih sistema
• Imamo:
– Plan
– Analizu
– Ocjenu
– Izvještaje
Osnovni tipovi revizije IS
•
•
•
•
Revizije centara podataka
Revizije aplikacija
Revizije procesa razvoja sistema
Revizije ostalih kompjuterskih okruženja
Veza između revizije IS i business
continuity managementa
• Interne kontrole sa aspekta revizije informacionih
sistema predstavljaju sistem koji sprečava, detektuje
i ispravlja neželjene efekte i procese u informatičkom
okruženju
• Business continuity plan je kreiranje i validacija
praktičnog logističkog plana za organizacije koji
definiše kako se organizacija može oporaviti i vratiti
djelimično ili potpuno uništene funkcionalnosti,
unutar predefinisanih vremenskih okvira, nakon
katastrofe ili drugog ometanja rada sistema
Veza između revizije IS i business
continuity managementa
• Zadatak revizora
• HR plan i IT plan
CASE: Business continuity plan za
program životnog osiguranja
• Različite vrste osiguranja – samo dio
• Aplikativni audit
1. Na dokumentu osiguranja
2. Na objektu osiguranja
3. Na pojedinom zapisu
• Sistemski audit
CASE: Business continuity plan za
program životnog osiguranja
• Kontrola pristupa aplikaciji realizovana je kroz
tri nivoa zaštite:
– Zaštita na nivou korisničkog naloga
– Zaštita na nivou prava pristupa do modula
aplikacije
– Zaštita na nivou prava pristupa do objekata u
bazi podataka
CASE: Business continuity plan za
program životnog osiguranja
• Hardverski resursi
• Hronološko dokumentovanje
• Razvojno, testno i produkcijsko okruženje
Zaključak
• Standardi na nivou svake organizacije i njihova
primjena
• Važnost saradnje
• Dobre smjernice

Download Report