upravljanje rizicima i revizija informacionog sistema
Post on 29-Jan-2017
243 Views
Preview:
TRANSCRIPT
Upravljanje rizicima i revizija informacionog sistema
Žaklina ArsićAjla Ćerimagić Hasibović
Uvod
• Upravljanje rizicima razvoja i održavanja IS
• Revizija informacionog sistema (metodologija, standardi)
• CASE: Business continuity plan za program životnog osiguranja
Rizik i njegovi elementiRizik je funkcija verovatnoće da određeni izvor pretnje iskoristi potencijalnu
slabost tako da to rezultuje određenim štetnim i neželjenim uticajem na
poslovanje organizacije.
Proces upravljanja rizikom• Pod rizikom se podrazumeva verovatnoća nastanka
negativnih efekata na poslovni i finansijski rezultat društva i položaj društva.
• Proces upravljanja rizikom se sastoji iz šest koraka:1. Utvrđivanje ciljeva
2. Identifikacija rizika
3. Procena rizika
4. Razmatranje alternativa i izbor sredstava za upravljanje rizikom
5. Primena odluke
6. Procena i ponovno ispitivanje
Rizici informacionog sistema• U toku razvoja softverskih rešenja, javljaju se brojni rizici, pa je zato
razvijeno više klasifikacija tih rizika.
Rizici projekata razvoja softvera:– tehnički rizici (problemi sa jezikom, obimom projekta, funkcionalnostima
projekta, platformama, metodama, standardima, ili procesima);
– upravljački rizici (nedostatak/propusti u planiranju, nedostatak iskustva u upravljanju i obuci, komunikacioni problemi, nedostatak autoriteta i problemi sa kontrolama);
– finansijski rizici (prinude vezane za cash flow, budžet itd);
– pravni i ugovorni rizici (izmena zahteva, zdravstveno-bezbednosnečinjenice, državna regulativa i garancija proizvoda);
– personalni rizici (slabosti osoblja, problemi sa iskustvom i obukom, problemi morala, konflikti, produktivnost);
– ostali rizici resursa (neraspolaganje ili kasna isporuka opreme, neraspolaganje sa kompjuterskim resursima i slab vremenki odziv).
Rizici informacionog sistemaRizici softverskih procesa:
– nedokumentovani softverski proces;
– nedostatak efektivnih peer reviews;
– ne postojane prevencije defekata;
– siromašni dizajn procesa;
– siromašno upravljanje zahtevima korisnika;
– neefektivno planiranje.
Rizici softverskih proizvoda: – nedostatak ekspertize u datom području;
– kompleksni dizajn;
– slabo definisani interfejsi;
– slabo razumevanje legacy sistema;
– nejasni ili nekompletni zahtevi.
MSF za upravljanje rizicima
• MSF (Microsoft Solutions Framework) predstavlja okvir zaupravljanje tehnološkim projektima koji je se temelji naskupu principa, modela, disciplina, koncepata, i uputstavaoprobanih u praksi.
• MSF definiše upravljanje rizikom kao proces identifikovanja, analiziranja i proaktivnog upravljanja rizicima projekta, takoda oni ne postanu problem i da ne izazovu štetu ili gubitak.Cilj upravljanja rizikom je maksimizacija pozitivnih i minimizacija negativnih uticaja povezanih sa rizikomprojekta.
Faze MSF procesa za upravljanje rizikom
Klasifikacija izvora rizika projekta
Lista 10 najznačajnijih rizika
ID RB Naziv rizikaIzloženost
riziku
1. T-2 Migracija podataka 10
2. P-6 Česta promena zahteva 8.1
3. K-3 Nedostatak tehnički obučenog kadra 8.1
4 O-13 Eksterne odluke nametnute projektu 8.1
5. T-17 Neispunjavanje zahteva u pogledu performansi 8.1
6. P-12 Nerealni planovi 7.2
7. P-16 Nedovoljno kvalitetno opisani biznis procesi 7.2
8. K-5 Spor odziv klijenta u fazi testiranja 6.4
9. K-7 Osipanje ljudstva zbog drugih prioriteta 6.4
10. K-20 Članovi tima otežano pronalaze kompromisno rešenje 6.4
Revizija informacionog sistema
• Tehnologija omogućava rad sa velikim količinama podataka – zloupotreba
• Svaki dio manipulacije podacima mora biti isplaniran i pažljivo nadgledan
• Revizija informacionih sistema se definiše kao svaka revizija koja obuhvata djelimičnu ili cjelokupnu analizu i ocjenu automatizovanog sistema obrade informacija, povezanih neautomatizovanih procesa i interfejsa između njih
Upravljanje revizijom
• Adekvatni revizorski resursi
• Raspored izvođenja akcija
• Naknadne provjere statusa
Metodologija revizije
• Ne postoji jedinstven metod revizije
• Revizori ocjenjuju
– Bezbjednost
– Kvalitet
– Povjerljivost
• Interna i eksterna revizija
Frameworks i/ili standardi
• CobiT (Control Objectives of Information and related Technology)
• ISO 27000 standard (ISO 27001:2005, ISO 27002:2005)
• Basel II, ITIL, NIST, SANS, ISC2, itd
Framework
• Deloitte plan za reviziju informacionih sistema
• Imamo:
– Plan
– Analizu
– Ocjenu
– Izvještaje
Osnovni tipovi revizije IS
• Revizije centara podataka
• Revizije aplikacija
• Revizije procesa razvoja sistema
• Revizije ostalih kompjuterskih okruženja
Veza između revizije IS i business continuity managementa
• Interne kontrole sa aspekta revizije informacionih sistema predstavljaju sistem koji sprečava, detektuje i ispravlja neželjene efekte i procese u informatičkom okruženju
• Business continuity plan je kreiranje i validacija praktičnog logističkog plana za organizacije koji definiše kako se organizacija može oporaviti i vratiti djelimično ili potpuno uništene funkcionalnosti, unutar predefinisanih vremenskih okvira, nakon katastrofe ili drugog ometanja rada sistema
Veza između revizije IS i business continuity managementa
• Zadatak revizora
• HR plan i IT plan
CASE: Business continuity plan za program životnog osiguranja
• Različite vrste osiguranja – samo dio
• Aplikativni audit
1. Na dokumentu osiguranja
2. Na objektu osiguranja
3. Na pojedinom zapisu
• Sistemski audit
CASE: Business continuity plan za program životnog osiguranja
• Kontrola pristupa aplikaciji realizovana je kroztri nivoa zaštite:
– Zaštita na nivou korisničkog naloga
– Zaštita na nivou prava pristupa do modula
aplikacije
– Zaštita na nivou prava pristupa do objekata u bazi podataka
CASE: Business continuity plan za program životnog osiguranja
• Hardverski resursi
• Hronološko dokumentovanje
• Razvojno, testno i produkcijsko okruženje
Zaključak
• Standardi na nivou svake organizacije i njihova primjena
• Važnost saradnje
• Dobre smjernice
top related