You are on page 1of 22

Upravljanje rizicima i revizija

informacionog sistema
Žaklina Arsić
Ajla Ćerimagić Hasibović
Uvod
• Upravljanje rizicima razvoja i održavanja IS
• Revizija informacionog sistema (metodologija,
standardi)
• CASE: Business continuity plan za program
životnog osiguranja
Rizik i njegovi elementi
Rizik je funkcija verovatnoće da određeni izvor pretnje iskoristi potencijalnu
slabost tako da to rezultuje određenim štetnim i neželjenim uticajem na
poslovanje organizacije.
Proces upravljanja rizikom
• Pod rizikom se podrazumeva verovatnoća nastanka
negativnih efekata na poslovni i finansijski rezultat društva i
položaj društva.

• Proces upravljanja rizikom se sastoji iz šest koraka:


1. Utvrđivanje ciljeva
2. Identifikacija rizika
3. Procena rizika
4. Razmatranje alternativa i izbor sredstava za upravljanje rizikom
5. Primena odluke
6. Procena i ponovno ispitivanje
Rizici informacionog sistema
• U toku razvoja softverskih rešenja, javljaju se brojni rizici, pa je zato
razvijeno više klasifikacija tih rizika.

Rizici projekata razvoja softvera:


– tehnički rizici (problemi sa jezikom, obimom projekta, funkcionalnostima
projekta, platformama, metodama, standardima, ili procesima);
– upravljački rizici (nedostatak/propusti u planiranju, nedostatak iskustva u
upravljanju i obuci, komunikacioni problemi, nedostatak autoriteta i
problemi sa kontrolama);
– finansijski rizici (prinude vezane za cash flow, budžet itd);
– pravni i ugovorni rizici (izmena zahteva, zdravstveno-bezbednosne
činjenice, državna regulativa i garancija proizvoda);
– personalni rizici (slabosti osoblja, problemi sa iskustvom i obukom,
problemi morala, konflikti, produktivnost);
– ostali rizici resursa (neraspolaganje ili kasna isporuka opreme,
neraspolaganje sa kompjuterskim resursima i slab vremenki odziv).
Rizici informacionog sistema
Rizici softverskih procesa:
– nedokumentovani softverski proces;
– nedostatak efektivnih peer reviews;
– ne postojane prevencije defekata;
– siromašni dizajn procesa;
– siromašno upravljanje zahtevima korisnika;
– neefektivno planiranje.

Rizici softverskih proizvoda:


– nedostatak ekspertize u datom području;
– kompleksni dizajn;
– slabo definisani interfejsi;
– slabo razumevanje legacy sistema;
– nejasni ili nekompletni zahtevi.
MSF za upravljanje rizicima
• MSF (Microsoft Solutions Framework) predstavlja okvir za
upravljanje tehnološkim projektima koji je se temelji na
skupu principa, modela, disciplina, koncepata, i uputstava
oprobanih u praksi.

• MSF definiše upravljanje rizikom kao proces identifikovanja,


analiziranja i proaktivnog upravljanja rizicima projekta, tako
da oni ne postanu problem i da ne izazovu štetu ili gubitak.
Cilj upravljanja rizikom je maksimizacija pozitivnih i
minimizacija negativnih uticaja povezanih sa rizikom
projekta.
Faze MSF procesa za upravljanje rizikom
Klasifikacija izvora rizika projekta
Lista 10 najznačajnijih rizika
Izloženost
ID RB Naziv rizika riziku

1. T-2 Migracija podataka 10

2. P-6 Česta promena zahteva 8.1

3. K-3 Nedostatak tehnički obučenog kadra 8.1

4 O-13 Eksterne odluke nametnute projektu 8.1

5. T-17 Neispunjavanje zahteva u pogledu performansi 8.1

6. P-12 Nerealni planovi 7.2

7. P-16 Nedovoljno kvalitetno opisani biznis procesi 7.2

8. K-5 Spor odziv klijenta u fazi testiranja 6.4

9. K-7 Osipanje ljudstva zbog drugih prioriteta 6.4

10. K-20 Članovi tima otežano pronalaze kompromisno rešenje 6.4


Revizija informacionog sistema
• Tehnologija omogućava rad sa velikim količinama
podataka – zloupotreba
• Svaki dio manipulacije podacima mora biti isplaniran
i pažljivo nadgledan
• Revizija informacionih sistema se definiše kao svaka
revizija koja obuhvata djelimičnu ili cjelokupnu
analizu i ocjenu automatizovanog sistema obrade
informacija, povezanih neautomatizovanih procesa i
interfejsa između njih
Upravljanje revizijom
• Adekvatni revizorski resursi
• Raspored izvođenja akcija
• Naknadne provjere statusa
Metodologija revizije
• Ne postoji jedinstven metod revizije
• Revizori ocjenjuju
– Bezbjednost
– Kvalitet
– Povjerljivost

• Interna i eksterna revizija


Frameworks i/ili standardi
• CobiT (Control Objectives of Information and
related Technology)
• ISO 27000 standard (ISO 27001:2005, ISO
27002:2005)
• Basel II, ITIL, NIST, SANS, ISC2, itd
Framework
• Deloitte plan za reviziju informacionih sistema

• Imamo:
– Plan
– Analizu
– Ocjenu
– Izvještaje
Osnovni tipovi revizije IS
• Revizije centara podataka
• Revizije aplikacija
• Revizije procesa razvoja sistema
• Revizije ostalih kompjuterskih okruženja
Veza između revizije IS i business
continuity managementa
• Interne kontrole sa aspekta revizije informacionih
sistema predstavljaju sistem koji sprečava, detektuje
i ispravlja neželjene efekte i procese u informatičkom
okruženju
• Business continuity plan je kreiranje i validacija
praktičnog logističkog plana za organizacije koji
definiše kako se organizacija može oporaviti i vratiti
djelimično ili potpuno uništene funkcionalnosti,
unutar predefinisanih vremenskih okvira, nakon
katastrofe ili drugog ometanja rada sistema
Veza između revizije IS i business
continuity managementa
• Zadatak revizora
• HR plan i IT plan
CASE: Business continuity plan za
program životnog osiguranja
• Različite vrste osiguranja – samo dio
• Aplikativni audit
1. Na dokumentu osiguranja
2. Na objektu osiguranja
3. Na pojedinom zapisu
• Sistemski audit
CASE: Business continuity plan za
program životnog osiguranja
• Kontrola pristupa aplikaciji realizovana je kroz
tri nivoa zaštite:
– Zaštita na nivou korisničkog naloga
– Zaštita na nivou prava pristupa do modula
aplikacije
– Zaštita na nivou prava pristupa do objekata u
bazi podataka
CASE: Business continuity plan za
program životnog osiguranja
• Hardverski resursi
• Hronološko dokumentovanje
• Razvojno, testno i produkcijsko okruženje
Zaključak
• Standardi na nivou svake organizacije i njihova
primjena
• Važnost saradnje
• Dobre smjernice