ITリスクマネジメントのための リスクシナリオ作成 Think again from start point of IT Risk Management & Challenge to develop IT Risk Scenarios. Based on "COBIT5 for Risk" ITGI Japan 理事: 梶本政利, CISA, CRISC 自己紹介 • 1992: EDPAA(現在のISACA)入会 • 1994 – 2013: Director of ISACA Tokyo Chapter – 2003 – 2005: Chapter President • 2006: ITGI Japanの設立に参加 – 2006 – 2013: 事務局長 – 2013 – Current: 理事 • ISACA InternaHonal関係 – 2009 – 2011: GRA SC1 Member – 2011 – 2014: GRA SC1 Chair, GRAC Member – Subject MaNer Expert • • • • • COBIT5 Framework(日本語版有り) COBIT5 Enabling Processes(日本語版有り) COBIT5 for Assurance(日本語版作成中) COBIT5 Enabling InformaHon Risk Scenarios using COBIT5 for Risk ITガバナンスの目的 COBIT 5におけるITガバナンス 事業ニーズ ガバナンス 評価 方向の指示 マネジメント・フィードバック モニタリング マネジメント 計画 (APO) 構築 (BAI) 実行 (DSS) モニター (MEA) ITのガバナンスとマネジメント • ガバナンスは 以下のことによって、組織目標の達成 を保証することである。(EDM) – ステークホルダーのニーズ、状況及び選択肢を評価する(E) こと; – 優先順位付けと意思決定によって方向を定める(D) こと; – パフォーマンス、コンプライアンス及び合意された方向と目的に対する進捗を モニターする(M) ことである。 • マネジメントは、ガバナンスを担う組織によって設定 された方向に活動を整合させ、組織の目標を達成さ せるために、計画(P)し、構築(B)し、運用(R)し、そし て モニター(M)する活動である。 (PBRM) プロセスの体系(COBIT 5) 組織のITのガバナンスのためのプロセス 評価、方向の指示、モニタリング EDM01 ガバナンスの フレームワークの設定 と維持の保証 EDM02 便益の提供の保証 EDM03 リスク最適化の保証 EDM04 資源の最適化の保証 整合、計画、及び組織化 APO01 ITマネジメント フレームワークを管 理する APO08 関係を管理する APO02 戦略を管理する APO09 サービスアグリーメン トを管理する APO03 エンタープライズアー キテクチャを管理す る APO10 サプライヤーを管 理する APO04 改革を管理する APO11 品質を管理する APO05 ポートフォリオを管 理する APO06 予算と費用を管理 する APO12 リスクを 管理する APO13 セキュリティを管理 する BAI05 BAI06 変革を管理する APO07 人材を管理する EDM01 ステークホルダーへ の透明性の保証 モニター、評価、 及び査定 MEA01 成果と適合性を モニター、評価 及び査定する 構築、調達、及び導入 BAI01 BAI03 プログラムと プロジェクトを 管理する BAI02 要求定義を 管理する ソリューションの特定 と構築を 管理する BAI08 知識を管理する BAI09 資産を管理する BAI10 構成を管理する BAI04 可用性と性能・容 量を管理する 組織変革を可能とす るものを管理する 提供、サービス、及びサポート DSS01 運用を管理する DSS02 サービス要求と インシデントを 管理する DSS03 問題を管理する DSS04 継続性を 管理する DSS05 セキュリティ サービスを管理する DSS06 ビジネスプロセスのコ ントロールを管理す る BAI07 変革の受容と 移行を管理する MEA02 内部統制のシステム をモニター、評価、及 び査定する MEA03 外部要求への コンプライアンスをモ ニター、評価 及び査定する COBIT5におけるリスクマネジメント EDM03: リスク最適化の保証 • プロセスの概要 – 事業体のリスク選好度と許容度が理解、明確化、周知されていること を確認し、IT の使用に関する事業体価値へのリスクを確実に特定、 管理できるようにする。 • プロセスの目的 – IT 関連の事業体リスクが、リスク選好度とリスク許容度を上回らず、 事業体価値へのIT リスクの影響を特定、管理し、コンプライアンス違 反の可能性を最小限に抑えることを確実なものとする。 リスク最適化の責任者は? APO12:リスクマネジメント • プロセスの概要 – IT 関連リスクを継続的に特定、評価し、事業体の経営幹部が設定し た許容水準の範囲内に低減する。 • プロセスの目的 – IT 関連の事業体リスクの管理を全般的なERM に統合し、IT 関連の事 業体リスク管理のコストと効果のバランスを取る。 リスクマネジメントの責任者は? IT Risk Categories リスク階層におけるITリスク リスクの考察例 • 戦略リスク – 事業体のIT組織は、新しいIT計画を予算内でスケジュールどおりにうまく遂行できるか? そのIT計画は、期待どおりのビジネス上の利益をもたらすだろうか?新IT環境への移行が新たなレ ベルのリスクを引き起こすことはないか? • 環境リスク – そのIT計画は、ユーザ(内部、パートナまたはカスタマーユーザ)に、十分に検討され、直観的で使 いやすい環境を提供するだろうか?その環境は、事前に特定したビジネス要求を満足し、導入後に 識別された要件に適合できるだろうか? • 市場リスク – そのIT計画は、競争相手が提供する取り組みに匹敵、または、それに勝るユーザ環境を提供する だろうか?現ユーザと新ユーザは、その取り組みを歓迎するだろうか? • 信用リスク – そのIT計画は、見積もり予算内で完成し、維持管理され、結果として期待以上の価値を出すだろう か? • オペレーショナルリスク – ベンダーによる運用サポート、自組織の運用組織は、期待どおりのパフォーマンスを維持するだろ うか? • コンプライアンスのリスク – 新しいIT計画は現時点および将来の規制要件を満たすだろうか? Risk Scenario Structure 対応の選択肢と優先順位付け Risk Scenario Overview Risk Duality Two PerspecHves on Risk Risk Function Perspective Risk Management Perspective COBIT 5 Enablers The Risk Function perspective describes how to build and sustain a risk function in the enterprise, by making use of the COBIT 5 Enablers. Processes Risk Function Perspective Organisational Structures Culture, Ethics & Behaviour Principles, Policies & Frameworks Information Services, Infrastructure & Applications People, Skills & Competences Risk Management Perspective The Risk Management perspective looks at the core Risk Governance and Risk Management processes and to Risk Scenarios. It describes how risk can be mitigated by using COBIT 5 enablers. Scope of COBIT5 for Risk COBIT 5 for Risk COBIT 5 Enablers for the Risk Function Processes Organisational Structures Culture, Ethics & Behaviour Principles, Policies & Frameworks Information COSO ERM Services, Infrastructure & Applications ISO/IEC 31000 ISO/IEC 27005 People, Skills & Competences Others Enterprise Risk Management Standards COBIT 5 Framework COBIT 5 Enabling Processes Core Risk Processes Risk Function Perspective Risk Risk Management Perspective Mapping Scenarios to COBIT 5 Enablers Risk Scenarios ITIL, ISO/ IEC 20000 ISO/IEC 27001/2 Others IT Management Frameworks Risk Factors Main Issues when Developing & Using Risk Scenarios No. Focus/Issue 1 Maintain currency of risk scenarios and risk factors. 2 Use generic risk scenarios as a starHng point and build more detail where and when required. 3 Number of scenarios should be representaHve and reflect business reality and complexity. 4 Risk taxonomy should reflect business reality and complexity. 5 Use generic risk scenario structure to simplify risk reporHng 6 Ensure adequate people and skills requirements for developing relevant risk scenarios. 7 Use the risk scenario building process to obtain buy-‐in. 8 Involve first line of defence in the scenario building process. 9 Do not focus only on rare and extreme scenarios. 10 Deduce complex scenarios from simple scenarios by showing impact and dependencies. 11 Consider systemic and contagious risk. 12 Use scenario building to increase awareness for risk detecHon. Risk Scenario Development 1 Title Category ☐ 01-‐Porbolio establishment and maintenance ☐ 02-‐Programme/projects life cycle management ☐ 03-‐IT investment decision making ☐ 04-‐IT experHse and skills ☐ 05-‐Staff operaHons ☐ 06-‐InformaHon ☐ 07-‐Architecture ☐ 08-‐Infrastructure ☐ 09-‐Soeware ☐ 10-‐IneffecHve business ownership of IT ☐ 11-‐SelecHon/performance of third-‐party suppliers ☐ 12-‐Regulatory compliance ☐ 13-‐Geo-‐poliHcal ☐ 14-‐Infrastructure thee ☐ 15-‐Malware ☐ 16-‐Logical aNacks ☐ 17-‐Industrial acHon ☐ 18-‐Environmental ☐ 19-‐Acts of nature ☐ 20 InnovaHon and Improvement Describe the risk/opportunity scenario, including a discussion of the negaHve and posiHve impact of the scenario. The descripHon clarifies the threat/vulnerability type and includes the actors, events, assets and Hme issues. Risk Scenario Development 2 Threat Type ☐ Malicious The nature of the event – Is it malicious? If not, is it ☐ Accidental accidental or is it a failure of a well-‐defined ☐ Error process? Is it a natural event or is it an external ☐ Failure requirement? ☐ Natural ☐ External requirement Actor Who generates the threat that exploits a vulnerability. Actors can be internal or external, human or non-‐human Event ☐ Internal actors are within the enterprise, e.g., staff, contractors ☐ External actors include outsiders, compeDtors, regulators and the market ☐ Disclosure Is it disclosure (of confidenDal informaDon), ☐ InterrupLon interrupDon (of a system, of a project), theI or ☐ ModificaLon destrucDon? AcDon also includes ineffecDve design ☐ TheN (of systems, processes, etc.), inappropriate use, ☐ DestrucLon changes in rules and regulaDon (that will materially ☐ IneffecLve design impact a system) or ineffecDve execuDon of ☐ IneffecLve execuLon processes (e.g., change management procedures, ☐ Rules and regulaLons acquisiDon procedures, project prioriDsaDon ☐ Inappropriate use processes) Risk Scenario Development 3 Asset An asset is any item of value to the enterprise that can be affected and lead to business impact (Assets and resources can be idenDcal, e.g., IT hardware is an important resource because all IT applicaDons use it, and at the same Dme, it is an asset because it has a certain value to the enterprise). 1. Process, e.g., modelled as COBIT 5 processes, or business Processes 2. People and Skills 3. OrganisaLonal Structure 4. Physical Infrastructure (faciliDes, equipment etc.) 5. IT Infrastructure (including compuDng hardware, networks, middleware) 6. InformaLon 7. ApplicaLons Resource A resource is anything that helps to achieve goal (Assets and resources can be idenDcal, e.g., IT hardware is an important resource because all IT applicaDons use it, and at the same Dme, it is an asset because it has a certain value to the enterprise). 1. Process, e.g., modelled as COBIT 5 processes, or business Processes 2. People and Skills 3. OrganisaLonal Structure 4. Physical Infrastructure (faciliDes, equipment etc.) 5. IT Infrastructure (including compuDng hardware, networks, middleware) 6. InformaLon 7. ApplicaLons Risk Scenario Development 4 Time 1. Timing of occurrence (criDcal, non-‐ criDcal – Does the event occur at a criDcal moment?) 2. DuraLon (extended – The duraDon of the event – e.g., extended outage of a service or data centre) 3. DetecLon (slow ,moderate, instant) 4. Time Lag (immediate, delayed – Lag between the event and the consequence – Is there an immediate consequence, e.g., Network failure, immediate downDme, or delayed consequence), e.g., wrong IT architecture with accumulated high costs, over a Dme span of several years?) Risk Scenario Development 5 Risk Type Describe the risk type, include whether the risk type is primary or secondary, i.e., a higher or lower degree of fit. Risk Types: – IT Benefit/Value Enablement: Associated with [missed] opportuniDes to use technology to improve efficiency or effecDveness of business processes, or as an enabler for new business iniDaDves • Technology enabler for new business iniDaDves • Technology enabler for efficient operaDons – IT Programme and Project Delivery: Associated with the contribuDon of IT to new or improved business soluDons, usually in the form of projects and programmes as part of investment porWolios. • Project quality • Project relevance • Project overrun – IT OperaAons and Service Delivery: Associated with all aspects of the business as usual performance of IT systems and services, which can bring destrucDon or reducDon of value to the enterprise. • IT service interrupDons • Security problems • Compliance issues Risk Scenario Development 6 PotenLal Impact Describe the impact on the enterprise if the risk materializes. The impact can be described quanHtaHvely using units of money, Hme, weight, etc. The impact can also be described qualitaHvely as high, medium, or low. Frequency (Probability) of Occurring Describe the likelihood of the risk materializing. The likelihood can be described quanHtaHvely using percentages or qualitaHvely as high, medium, or low. Risk Response Describe how the enterprise will respond to the risk. The purpose of defining a risk response is to bring risk in line with the defined risk appeHte and tolerance for the enterprise: • Risk Acceptance • Risk Sharing/Transfer • Risk MiHgaHon • Risk Avoidance Risk Scenario Development 7 Risk MiLgaLon Using COBIT 5 Enablers Describe how the enterprise will work to avoid the risk from materializing. For Risk MiHgaHon possibiliHes use COBIT 5 Management PracHces (Enablers). Please provide the following informaHon: • Reference, Htle and descripHon of one or more relevant enablers that can help to miHgate the risk • The esHmated effect that implemenHng this enabler will have on the frequency and impact of the risk. Use either Low, Medium or High. • Based on the two parameters frequency and impact give an indicaHon whether this enabler is ‘essenHal’ (Key management pracHce to miHgate the risk) or not. An enabler is considered essenHal if it has a high effect on reducing either impact or frequency of the scenario. Reference Title Management PracHce Effect on Effect on Frequency Impact EssenHal Key Risk Indicators IdenHfy a number of metrics to detect and monitor the risk scenario and the risk response. Risk Analysis Methods – QuanHtaHve vs. QualitaHve • EssenHal properHes – Frequency – The number of Hmes in a given period (usually in a year) that an event is likely to occur – Impact – The business consequences of the scenario • LimitaHons – No method is fully objecHve, and results of risk assessments are always dependent on the person performing them and his/her skills and views. – IT-‐risk-‐related data /(such as loss data and IT risk factors) are very oeen of poor quality or quite subjecHve (e.g., process maturity, control weaknesses). Using structures or models can help to achieve more objecHvity and can provide at least a basis for discussion in the risk analysis. – QuanHtaHve approaches run the risk of creaHng over-‐confidence in complex models based on insufficient data. However, over-‐simplified qualitaHve or quanHtaHve models can also result in unreliable results. Risk Response Workflow
© Copyright 2024 Paperzz