Professional Documents
Culture Documents
Uvod................................................................................................................................................2
1. Definisanje IT rizika....................................................................................................................3
2. Utvrđivanje i ocenjivanje rizika...................................................................................................4
2.1 Stalno sakupljanje podataka...................................................................................................5
2.2 Analiza i procena rizika.........................................................................................................7
2.3 Utvrđivanje prioriteta...........................................................................................................10
2.4 Monitoring...........................................................................................................................10
3. Glavni entiteti problema zaštite................................................................................................11
4. Strategije za smanjene rizika.....................................................................................................14
5. Gotova softverska izdvojena rešenja za merenje rizika.............................................................15
5.1. @RISK................................................................................................................................15
5.2. SAS (Statistical Analysis System-eng.)..............................................................................16
5.3 Matlab..................................................................................................................................17
5.4 Crystal Ball..........................................................................................................................18
Zaključak.......................................................................................................................................19
Literatura........................................................................................................................................20
1
Uvod
Upravlajnje IT rizikom nije proizvod koji se kupuje ili politika koja se uvodi. To je proces
upravljanja poslovnim rizikom koji se mora obavljati stalno. On je značajan za organizaciju zbog
stalnog ispitivanja ciljeva koji se odnose na rizike i zaštitu u okviru poslovnog okruženja i zbog
sistematskog ugrađivanja zaštite u način na koji posluje organizacija.
Cilj ovog rada je da se istraže prakse u svetu i u Republici Srbiji, koji standardi i okviri
upravljanja IT rizicima se primenjuju u procesu upravljanja rizicima. Traži se odgovor na
pitanje - koji nivo upravljanja IT rizicima je dostignut u Republici Srbiji, koje organizacije
prednjače u tome, i šta treba uraditi da upravljanje ovim rizicima bude usklađeno sa
Međunarodnim standardima za upravljanje rizikom informacione tehnologije.
2
1. Definisanje IT rizika
IT rizik je potencijalna mogućnost dešavanja neke pretnje koja može štetno delovati na
organizaciju. IT rizici su rizici na poslovanje koji proizilaze iz korišćenja IT. Meri se u smislu
kombinacije verovatnoće nastanka događaja i njegovom posledicom.
Rizik informacione tehnologije ili IT rizik ili IT povezan rizik, je rizik povezan sa
informacionim tehnologijama. Iako se informacije već dugo cene kao vredan i važan resurs,
razvoj znanja o ekonomiji doprineo je da organizacije postanu sve zavisije od informacija,
obrade podataka i posebno IT (Đukić (2017) ). Razni događaji ili incidenti koje prouzrokuju IT
rizici mogu da izazovu negativne uticaje na poslovne procese ili misije te organizacije, u rasponu
od nebitnih do katastrofalnih materijalnih posledica.
stepen rizika, na širem nivou, koji je kompanija ili neka druga organizacija spremna da
prihvati u postizanju svojih ciljeva.
prihvatljiv nivo odstupanja u odnosu na postizanje ciljeva
Ovaj proces nije jedinstven za sva IT okruženja; ali je zaista proces koji je široko zastupljen kod
odlučivanja u svim oblastima našeg svakodnevnog života.
3
2. Utvrđivanje i ocenjivanje rizika
4
2.1 Stalno sakupljanje podataka
5
Izvesni indikatori mogu da upozore na visok nivo rizika u IT procesima. Njih treba razmotriti
prilikom ocenjivanja rizika:
Koliko i koje ključne kontrole su imale propuste u testiranju prethodnog perioda ili za vreme
internih revizija?
Koja je starost aplikacije i koliko često se modifikuje?
Da li postoje poznati problemi kod obrade ili podataka?
Da li ima poznatih problema kod funkcionalnosti važnih aplikacija?
Koliko široko je menjana kupljena aplikacija, prilagođena klijentima, ili menjana njena
konfiguracija?
Koji su bili zahtevi za promenama visokog prioriteta?
Koliko se često dešavaju problemi u obradi?
Koliko često se vrše hitne promene?
Koji je nivo fluktuacije osoblja na ključnim pozicijama?
Koliko je iskusno osoblje i da li je prošlo kroz dovoljnu obuku?
Kod razumevanja rizika kod aplikacije sledeće stavke su tipične stavke koje su dobijene da bi se
shvatili i ocenili rizici na svakom nivou seta aplikacija:
Elementi infrastrukture koji podržavaju aplikacije (na primer: baze podataka, operativni
sistemi, mreže i centri podataka).
Stepen do kojeg automatizovane kontrole predstavljaju rezultat postavljene konfiguracije pre
nego aplikacionog koda.
Tehnologija baze podataka u upotrebi. Upoznati se sa prirodom i dinamikom događanja
promena kod elemenata baze podataka, kao što su šematski prikazi, koje su bitne za ključne
automatizovane kontrole.
Operativni sistem (na primer: koji se koristi za koju aplikaciju i koliko često se vrše
promene).
Značajni interfejsi i njihove manulne kontrole. Možda je potrebno da ove kontrole dodate
listi ključnih automatizovanih kontrola ukoliko nisu uključene kao ključne kontrole, njihovi
propusti ne bi bili otkriveni uobičajenom primenom utvrđenih ključnih kontrola, i one bi
mogle dovesti do materijalne greške.
Infrastruktura mreže i njene potencijalne tačke propusta (na primer: aplikacija i njene ključne
automatizovane kontrole se možda oslanjaju na prenos kroz mrežu gde propust u mreži ili
kršenje zaštite mreže bi mogli da imaju za rezultat neotkrivene materijalne greške u
finansijskim izveštajima).
Da li je aplikacija kreirana interno, ili je kupljena?
Da li se aplikacija održava interno ili se održava uslugama iz spoljnih izvora?
6
Kako su aplikacije i infrastruktura podržavane: centralizovano kroz zajedničke usluge,
geografski, ili pojedinačno po poslovnim jedinicama?
Upravljanje rizikom se može definisati kao skup upravljačkih metoda i tehnika kojima se
minimiziraju gubici i dovode u sklad troškovi kojima se smanjuje verovataoća ostvarenja gubitka
sa troškovima koji bi nastali od rizičnog dogadjaja. Zapravo, sprovodi se neka vrsta cost/benefit
analize.
1. Sam rizični događaj, pojava ili aktivnost koji mogu da prouzrokuju štete ili neželjene
posledice po informacioni sistem.
2. Verovatnoća pojavljivanja rizičog događaja.
3. Veličina uloga, odnosno, veličina gubitka koji može da nastane ako se ostvari rizični
događaj.
7
Menadžment treba da koristi sakupljene podatke o IT sredstvima i rizicima da bi analizirao
potencijalni uticaj rizika na organizaciju. Analizom treba da se utvrde razni događaji ili opasnosti
koji bi mogli da negativno utiču na organizaciju u strateškom ili operativnom pogledu.
Menadžment treba da oceni verovatnoću raznih događaja i rangira mogući uticaj. Neki primeri
događaja koji bi mogli da utiču na organizaciju uključuju sledeće:
8
Tabela 1. Kategorije rizika i pretnji
Izvor: Pleskonjić, D., Maček, N., Đorđević, B., Carić, M. (2006). Sigurnost računarskih mreža.
Beograd, Srbija, Viša elektrotehnička škola u Beogradu
Svaki element matrice (A1 - E3) označava jednu kategoriju rizika koju predstavlja određena
kategorija pretnji za određeni objekt, pri čemu se i objekti i pretnje mogu dalje razvijati do
željenog nivoa detaljnosti (Uremović, D. (2009).).
Kada organizacija utvrdi delokrug rizika menadžment treba da oceni verovatnoću nastajanja kao
i finansijski uticaj, uticaj na reputaciju i druge uticaje na organizaciju. Uticaji na organizaciju su
veoma različiti i nije ih uvek lako kvantifikovati, ali takođe obuhvataju takva razmatranja kao što
su izgubljeni prihodi, pogrešne poslovne odluke, troškovi oko rehabilitacije i rekonstrukcije
podataka, troškovi sporova i potencijalnih sudskih odluka (presuda), gubitak udela (učešća) na
tržištu, i povećanje premija ili odricanja od osiguranja. Po pravilu se analizom rizika rangiraju
rezultati na bazi odnosa između troškova i verovatnoće.
Dinamika analize rizika je važna i na nju u velikoj meri utiče tehnološka promena. U statičnom
okruženju poslovne i tehničke infrastrukture proces ocenjivanja bi mogao biti na godišnjem
nivou ili bi se mogao obavljati zajedno sa nekim značajnim implementacionim projektom.
9
2.3 Utvrđivanje prioriteta
Kada se menadžment upozna sa IT okruženjem organizacije i analizira rizik treba da rangira rizik
i utvrdi prioritete za reagovanje na njih. Verovatnoća nastajanja i stepen uticaja obezbeđuju
osnovu za smanjenje izloženosti rizku ili utvrđivanje kontrola za ublažavanje sa ciljem da se
obezbedi sigurno, zdravo i efikasno IT poslovanje koje odgovara složenosti organizacije. Ukupni
rezultati ocenjivanja rizika treba da predstavljaju važniji faktor u odlučivanju u većini oblasti
odgovornosti IT upravljanja uključujući:
2.4 Monitoring
Mnoge aktivnosti služe za praćenje efikasnosti upravljanja rizikom preduzeća u normalnom toku
poslovanja. Iz ovoga proističu aktivnosti upravljanja koje mogu da uključuju analizu odstupanja,
upoređivanje informacija iz različitih izvora, i da se bave neočekivanim događajima.
10
3. Glavni entiteti problema zaštite
Glavni entiteti problema zaštite u oblasti informacionih sistema su оbjekti, pretnje , posledice ,
mere i politika zaštite.
Objekti - Nalaženje odgovora na pitanje Šta štititi? je prvi ključni korak u izučavanju i
razrešavanju problema zaštite u informacionim sistemima. Jer, ukoliko je skup odgovora na
postavljeno pitanje prazan skup, otpada i svaka potreba preduzimanja bilo kakvih aktivnosti na
ovom planu. Međutim, kako je jedan od osnovnih kri-terijuma kod utvrđivanja objekata zaštite
njihova vrednost za onog kome pripada-ju, jasno je da taj skup sigurno neće biti prazan.
Naprotiv, u svakom informacio-nom sistemu postoji čitav niz objekata čije vrednosti
nedvosmisleno nameću pot-rebu njihove zaštite.
Pretnje - Na pitanje Od koga ili Od čega štititi? dobićemo odgovore koji sadrže sve klasične
rizike, kao što su vatra, voda, eksplozija, računarski kriminal, greške i druge, ali i specifične
pretnje, kao što je kompromitujuće elektromagnetno zračenje. Ovi specifični rizici najčešće
imaju nematerijalno poreklo, ili manifestaciju, što dokazivanje njihovog postojanja, kao i
procenu mogućih gubitaka, čini vrlo teškim. Određenu teškoću predstavlja i neograničen broj
pretnji koje mogu ugroziti informacioni sistem, pa ih je i nemoguće sve predvideti. Među
pojedinim pretnjama postoji određena međuzavisnost koja usložava uticaj na informacioni
sistem.
11
Pretnje koje su usmerene na ugrožavanje sigurnosti toka informacija u računarskim sistemima i
mrežama generalno se mogu klasifikovati u četiri osnovne kategorije.
Izvor: Šnajer, B. (2007). Primenjena kriptografija - prevod drugog izdanja. Beograd, Mikro
knjiga
12
Posledice - Odgovorom na pitanje Zbog čega štititi? utvrđuju se negativne posledice koje
identifikovane pretnje mogu da izazovu. Neke katrgorije ovih posledica su: delimično ili potpuno
oštećenje, otuđenje, modifikacija hardvera i softvera, otkrivanje podataka, prekid rada sistema, ...
Sve ovo utiče na povećanje gubitaka a treba smanjiti gubitke izazvane navedenim
pretnjama(Petrović (2001)).
Mere - Na pitanje Čime štititi? dobijamo identifikaciju svih mera koje stoje na raspolaganju u
izgradnji celovitog i pouzdanog sistema zaštite. Sve te mere, po svojim prirodnim svojstvima
koja ih karakterišu, mogu se razvrstati kao:
Politika - Glavno pitanje je Kako štititi? a to znači utvrđivanje strategije za upravljanje rizikom u
ambijentu informacionih sistema. Radi toga pristupa se procesu analize i procene rizika.
13
4. Strategije za smanjene rizika
Izbegavanje rizika – Napuštanje tehnologije koja doprinosi riziku. Moguće je rizik da bude
povezan sa upotrebom određene tehnologije, dobavljača ili proizvođača. Rizik se može
eliminisati zamenom sa drugom tehnologijom.
Smanjenje rizika – Preduzima se akcija da se smanji verovatnoća ili uticaj rizika, ili oba.
Pod ovom tehnikom se podrazumeva osmišljavanje i implementacija kontrolnih aktivnosti
čime se minimiziraju efekti na rizik.
Podela odgovornosti za rizik – Smanjenje verovatnoće ili uticaja rizika prenošenjem dela
rizika ili podelom odgovornosti za rizik sa partnerima i provajderima. Uobičajene tehnike
obuhvataju kupovinu proizvoda osiguranja, angažovanjem u transakcijama hedžinga, ili
angažovanjem spoljnih izvora za neku aktivnost. Dobar primer je outsourcing upravljanja
infrastrukturom. U tom slučaju, partner ublažava rizike povezane sa upravljanjem IT
infrastrukturom time što je partner sposobniji i ima više visoko stručnog kadra nego primarna
organizacija. Rizik se može ublažiti i prenošenjem troškova ostvarenog rizika na neko
osiguravajuće društvo.
Prihvatanje rizika – Ne preduzimaju se akcije (mere) za uticanje na verovatnoću ili uticaj
rizika. Neki rizici su mali, jer je njihov uticaj i verovatnoća pojave je niska. U ovom slučaju,
svesno se prihvata rizik kao trošak poslovanja kada je to odgovarajuće. Takav rizik se
periodično razmatra, kako bi se osiguralo da njegov uticaj i dalje ostane mali.
Prilikom utvrđivanja reagovanja na rizik menadžment treba da razmotri stvari kao što su:
Za značajne rizike entitet po pravilu razmatra potencijalne odgovore iz niza opcija odgovora. Na
ovaj način se doprinosi da izbor odgovora bude temeljan i stvaraju se izazovi za status quo.
14
5. Gotova softverska izdvojena rešenja za merenje rizika
Na tržištu postoji jako velili broj posebnih softver-a koji se koriste za izračunavanje rizika. U
ovom delu će biti prikazana neka od njih, uključujući i dodatke za MS Excel, koji je jako
popularan posebno kod aktuara. MS Excel je program iz MS Office paketa za tabelarna
proračunavanja, kojij je vrlo prilagodljiv i u koji je lako moguće uvoziti podatke kreirane u
drugim programima.
5.1. @RISK
@RISK je programski (add-in) za Excel izrađen od strane kompanije Palisad. @RISK vrši
analizu rizika koristeći Monte Karlo simulaciju da bi u Excel tabeli, pokazao puno mogućih
ishoda - i kolika je verovatnoća da se dese. Ovo znači da se na osnovu ove analize može
presuditi koji su rizici prihvatljivi, a koje treba izbegavati, omogućujući donošenje najbolje
odluke u uslovima neizvesnosti.
Analize rizika mogu biti rađene kvalitativno i kvantitativno. Kvalitativne analize daju opisne
rezultate, dok kvantitativne analize dodaju numeričku vrednost riziku, korišćenjem empirijskih
vrednosti ili uz vrednovanje kvalitativnih procena. Program postoji i u verziji za MS Project gde
se može koristiti za procenu rizika vremenskih okvira i budžeta projekata.
15
5.2. SAS (Statistical Analysis System-eng.)
Izvor: https://www.sas.com/en_us/software/credit-scoring.html#m=credit-scoringmodel-
comparison-screenshot
16
5.3 Matlab
17
5.4 Crystal Ball
Program Crystal Ball firme Oracle je je „Add-in“ program za MS Excel tj. „tabelarna
proračunavanja za intuitivno modeliranje (proces u kome se koriste intuitivne analize za
kreiranje statističkih modela budućeg ponašanja), predviđanje, simulaciju i optimizaciju.
On daje uvid u kritične faktore koj utiču na rizik. Po rečima proizvođača softvera korišćenjem
ovog programa, može se doći do taktičkih odluka za ostvarenje ciljeva i ostvariti konkurentska
prednost čak i u neizvesnim tržišnim uslovima.
Izvor: http://www.oracle.com/technetwork/middleware/crystalball/overview/crystalball-
131398.pdf
Sam način rada sa MS Excel-om podrazumeva deterministički pristup, što znači da su vrednosti
u ćelijama fiksirane tako da je u jednom trenutku je moguće analizirati samo jedno rešenje.
Ukoliko želimo da testiramo neko drugo rešenje, moramo ručno da promenimo ulazne vrednosti.
Korišćenjem simulacije uz pomoć Crystal Ball-a moguće je brzo i lako primeniti analizu na veći
broj ulaznih parametara, i shodno tome dobiti adekavatan broj analiza .
18
Zaključak
Za IT stručnjake to nije atraktivan posao, što dakazuje neznatan broj profesionalnih sertifakata za
upravljanje IT rizicima i CISA revizora.
Proces upravljanja rizikom je stalni iterativni proces. Mora se neograničeno ponavljati. Poslovno
okruženje se stalno menja i nove opasnosti i osetljivosti se dešavaju svakog dana. Mogućnost
ublažavanja rizika u oblasti IT zavisi od ocenjivanja rizika. Viši menadžment treba da
identifikuje, oceni, kontroliše i prati tehnologiju da bi izbegao rizike koji predstavljaju opasnost
(ugrožavaju) bezbednost i pouzdanost određene organizacije.
19
Literatura
20