Professional Documents
Culture Documents
0246069695
Sadržaj
1. Uvod .................................................................................................................................... 3
2. Općenito o rizicima ............................................................................................................. 4
3. Procjena rizika .................................................................................................................... 6
4. Strategije upravljanja rizicima ............................................................................................ 9
5. Metode za procjenu rizika ................................................................................................. 11
5.1. Sustavna identifikacija i klasifikacija ........................................................................ 13
5.2. Prikupljanje tehničkih podataka ................................................................................ 13
5.3. Identifikacija prijetnji ................................................................................................ 14
6. Popis literature .................................................................................................................. 16
1. Uvod
Razvojem raznih tehnologija razvili su se i novi problemi s kojima se prije ljudi nisu suočavali.
Mnogo podataka i informacija se pohranjuje pomoću različitih tehnoloških rješenja, kao što su
osobni i organizacijski podatci(institucije, vojska, državna uprava, školstvo, firme…).
Pohranjenim podacima prijete razne stvari, kao što su prirodne nepogode, krađe podataka s
mogućom zlouporabom, uništavanje i trajni gubitak istih. Vrlo je važno štiti podatke ali mnoge
tvrtke ne vide pravu važnost zaštite nego vide to samo kao prevelik trošak pa uvode polovična
i nekvalitetna sigurnosna rješenja. Kako bi se implementirao pouzdani sigurnosni sustav,
potrebne su brojne analize te kvalitetna planiranja.
Kada se priča o sigurnosti neizostavan pojam je rizik. Sa rizicima se čovjek sreće oduvijek.
Prve rizike proživljavao je prvi pračovjek koji je išao u lov. U starom Babilonu se pojavljuju
prve procjene rizika. Trgovci koji su prenosili robu bili su česta meta pljačkaša, oni su tražili
jamčevinu za ukradenu robu kako bi se osigurali. Prvi zapisi procjene rizika potječu iz 17.
stoljeća razvojem vjerojatnosti i statistike. 1954. godine znanstvenici su stvorili alat za
kvantifikaciju rizika te se od 18. do sredine 20. stoljeća kvantitativna procjena rizika služi u
državnim agencijama, financijama i bankarstvu. U drugoj polovici 20. stoljeća razvijaju se nove
metode kvantitativne procjene rizika koje su znatno profinjenije i služe u nuklearnoj industrije
i energetici. Daljnjim razvojem tehnologije i računala dobili smo mogućnost analizirati na
tisuće različitih scenarija te koja je njihova slučajnost. Poslovne organizacije danas ulažu velike
količine kapitala i pridaju veliku pažnju upravljanju rizikom.
3
1. Općenito o rizicima
Prilikom donošenja odluka jako je bitno znati koji su potencijalni rizici za poduzeće te kako
pravilno i učinkovito upravljati rizicima.
Nekada su poduzeća poslovala u mnogo sigurnijoj okolini koju je bilo puno lakše pratiti,
predviđati te je upravljanje rizicima bio znatno jednostavniji posao. Danas poduzeća djeluju u
okolini koja je nesigurna, prevrtljiva, nepredvidiva i turbulentna te ljudi koji se bave procjenom
rizika imaju veoma zahtjevan posao pronaći način da se tvrtka što bolje prilagodi i da
proživljava što manje rizike.
Ukoliko u poduzeću ne postoji grana koja se bavi upravljanjem rizicima ili je to upravljanje
neučinkovito, to može donijeti velike štete za napredak i razvoj poduzeću, a tako i kapitalne
štete. Učinkovito upravljati rizikom znači konkurirati na tržištu te se zaštititi od konkurencije.
Poduzeću omogućuje lakše i brže prepoznavanje i reagiranje na povoljne poslovne prilike te
pravodobnu reakciju na poslovne promjene.
Bitni pojmovi s kojima se poduzeće susreće tokom rješavanja rizika su: rizik, upravljanje
rizikom, metode i tehnike upravljanja rizikom, analiza rizika…
Što su ciljevi poslovanja i zaštite (sigurnosti) više usklađeni, bit će uspješnije ostvareni. [1]
4
Postoje razne vrste rizika, a jedna od tih je opća podjela: [2]
U poslovnom sustavu postoje specifičnosti rizika, pa je jedna od podjela poslovnih rizika: [3]
o strateški - najčešće vezano uz strategiju poduzeća, ali i osobnu, mogu imati teške
posljedice, kao npr. propast poduzeća ili osobni bankrot,
o poslovno-financijski – oni koji utječu na posao i financije (kao npr. tržišni i kreditni ),
o programsko-projektni – slaba definiranost (svrhe, opsega posla, termina, troškova, i sl.),
previše projekata, vanjski suradnici, nekvalitetna komunikacija, nedostatak podrške
višeg rukovodstva, itd.,
o operativni – greške upravljanja, računalna greška, ljudska greška, greška u procesu i
proceduri,
o tehnički – novi proizvodi, nove tehnologije, greška u konstrukciji, materijal,
o vanjski – politički, lokalna zajednica, utjecaj dioničara,
o zaštita okoliša – dozvole, promjena uvjeta okoline, nedostatak stručnjaka po nekom
pitanju zaštite okoliša, lokalna zajednica,
o organizacijski – gubitak značajnog osoblja, dodatne potrebe osoblja, čekanje odobrenja,
nedostatak vremena za kvalitetno planiranje, promjena prioriteta, nerazumljivost
(procedure, odgovornosti).
5
2. Procjena rizika
Procjena rizika (engl. risk assessment) je dio većeg procesa koji se naziva upravljanje rizikom
(engl. risk management).
Procjena rizika se određuje po iskustvu, a ovisna je o projektu. Na temelju toga stvara se matrica
procjene koja govori gdje su najveći i najvažniji rizici.
Može se procjenjivati kolika je vjerojatnost za neki rizik ali i kolika je vjerojatnost da smo
pogriješili pri procjeni rizika. Što je veći rizik to je veća vjerojatnost da će se nešto dogoditi,
što ne mora značiti veličinu novčanog gubitka.
6
Vjerojatnosti i utjecaji na rizike se dijele na slijedeći način : [5]
o niska vjerojatnost (1) – rizici su identificirani i postoji jasan plan akcije po tom pitanju
o srednja vjerojatnost (2) – postoji više mogućnosti pristupa rješavanju identificiranih rizika
i mogućnosti dodatnih promjena za vrijeme izvršenja projekta, te je stoga prisutan viši nivo
nesigurnosti vezano uz rješavanje istih
o velika vjerojatnost (3) – postoje ograničenja i nemogućnost značajnijeg utjecaja na
rješavanje i upravljanje rizicima
7
Tablica 1. Matrica rizika
Tablica 2. prikazuje opis razine rizika koje su prikazane u tablici 1. Ljestvica rizika s
pripadajućim ocjenama predstavlja stupanj ili razinu rizika kojem si izloženi resursi
informacijskog sustava ako je iskorištena određena ranjivost. Stupanj ili razina rizika određuje
aktivnosti koje bi se trebale poduzeti.[6]
8
3. Strategije upravljanja rizicima
a) Izbjegavanje ili ''pokrivanje'' rizika može se raditi na više načina, a neke od mogućnosti su :
o osiguranje naplate
o osiguranje izvršenja posla
o osiguranje prijevoza
o tehnički rizici
o rokovi
o kad se mora uključiti već postojeća oprema
9
d) Reduciranjem ciljeva (zahtjeva) reduciraju se rizici, jer viši i složeniji ciljevi sadrže i više
potencijalnih rizika. U slučaju procjene prevelikog rizika treba razmotriti i samu mogućnost
zadovoljenja cilja (ugovora), ili redefiniranja postavki, kako bi se rizici sveli u granice
mogućnosti.
10
4. Metode za procjenu rizika
o NIST
o CRAMM
o COBRA
o RuSecure
o OCTAVE
o COBIT
o Ostalo
NIST-ov pristup
11
Rizik možemo i izraziti kao funkciju koja je ovisna o paremetrima: prijetnji, ranjivosti i
vrijednosti resursa.
Izraženo formulom:
12
4.1. Sustavna identifikacija i klasifikacija
Pri procjeni rizika IT sustava prvi korak je definiranje domene unutar koje djelujemo. To znači
identifikacija i klasifikacija resursa. Kako bismo kvalitetno identificirali resurse unutar IT
sustava važno je dobro razumjeti okruženje u kojem taj sustav radi, ali i sve ostale resurse koji
su značajni za organizaciju a tako i za kvalitetnu procjenu rizika.
Osobe koje se bave procjenom rizika prikupljaju informacije koje su sistemski povezane te se
dijele na:
o sklopovlje,
o programe,
o sustavno sučelje (unutarnje i vanjske veze),
o podaci i informacije,
o osoblje koje upravlja i koristi IT sustav,
o kritični dio sustava i kritični podaci i
o osjetljivi dio sustava i podataka.
o Anketa – anketa mora biti reprezentativna, što znači da uzorak ispitanika koji će
sudjelovati u anketi mora biti reprezentativan i razumljiv osobama koje jesu i nisu
tehnički obrazovne,
13
o On-site intervju – razgovor sa osobljem i vodstvom IT sustava koji se odvija gdje se
sam taj sustav nalazi. To omogućava osobama koje procjenjuju rizik da dobe uvid kako
sustav funkcionira u konkretnom poslovanju. Također, omogućava uvid u operacijsku
sigurnost sustava.
o Dokumenti o strategiji - Dokumentacija politike (zakonski dokumenti, direktive),
dokumentacija sustava (vodič kroz sustav, administracija sustava, dizajn sustava i
potrebita dokumentacija, prikupljena dokumentacija) i dokumentacija o sigurnosnim
elementima (izvještaji o prijašnjim stanjima sustava, izvješće o procjeni rizika, rezultati
testiranja sustava, plan sigurnosti sustava, sigurnosna politika). [9]
o Alati za automatsko skeniranje sustava – omogućuje identificiranje servisa/osobe koja
pokreće testirani IT sustav te gradi osobni profil korisnika te se oni koriste u daljnjim
analizama.
Sigurnosne prijetnje (eng. threat) se smatraju događaju koji se negativno mogu odraziti na
poslovanje organizacije, IT sustava ili na povjerljivost i raspoloživost resursa. Cilj identifikacije
prijetnji je prepoznati moguće prijetnje koje bi se mogle primijeniti na postojeći IT sustav, te
sam izvor prijetnje. Izvor prijetnji jest slučaj ili okolnost koji šteti IT sustavu ili poslovanju
organizacije.
Pri identifikaciji prijetnji radi se lista prijetnji. Na listi se nalaze namjerne i nenamjerne prijetnje
koje su potencijalna opasnost IT sustavu. Osobe koje izrađuju liste često se konzultiraju i
14
surađuju sa administratorima sustava i ostalim ljudima koji rade ili su stvarali sustav te
svakodnevno rade na njemu i najbolje su upoznati s radom samog sustava. Kako bi lista bila
što kvalitetnija važno je i uključiti već ranije napade na sustav i događaje koji su u prošlosti bili
prijetnja ali i lokacije o resursima koje sustav koristi i sve ostale faktore koji mogu negativno
utjecati na rad sustava.
Neke od prijetnji su :
o Neovlašteni korisnici,
o Virusi
o Greške u programiranju
o Industrijska špijunaža
o Krađa
o Neispravno rukovanje
15
5. Popis literature
16