E - Knjiga - Sigurnost I Revizija Is-A U Okruzenju Digitalne Ekonomije

M.
Spremić: Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije

MARIO SPREMIĆ
SIGURNOST I REVIZIJA
INFORMACIJSKIH SUSTAVA
U OKRUŽENJU
DIGITALNE EKONOMIJE
ISBN 978-953-346-037-6
9 789533 460376 Zagreb, 2020.

UDŽBENICI SVEUČILIŠTA U ZAGREBU
MANUALIA UNIVERSITATIS STUDIORUM ZAGRABIENSIS
Prof. dr. sc. Mario Spremić

Sigurnost i revizija informacijskih sustava
u okruženju digitalne ekonomije
Ovoj knjizi odobren je naziv Udžbenik Sveučilišta u Zagrebu / Manualia
universitatis studiorum Zagrabiensis odlukom Senata Sveučilišta u Zagrebu
Klasa: 032-01/16-01/42, Ur. broj: 380-061/252-16-5 od 13. prosinca 2016.

SIGURNOST I REVIZIJA INFORMACIJSKIH SUSTAVA
U OKRUŽENJU DIGITALNE EKONOMIJE
Nakladnik:
Ekonomski fakultet - Zagreb
Za nakladnika:
prof. dr. sc. Lajoš Žager
Glavni urednik:
doc. dr. sc. Tomislav Gelo
Recenzenti:
prof. dr. sc. Nikola Hadjina
prof. dr. sc. Nijaz Bajgorić
prof. dr. sc. Aleš Groznik
Lektura i korektura:
Damir Maligec
Grafička priprema:
Gordana Vinter, Sveučilišna tiskara d.o.o.
Tisak:
Sveučilišna tiskara d.o.o., Zagreb
Trg m. Tita 14
ISBN 978-953-346-104-5
U OKRUŽENJU
DIGITALNE EKONOMIJE
Zagreb, 2020.
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
IV
Sadržaj
Sadržaj
Predgovor ................................................................................................................. XI
1. Trendovi u digitalnoj ekonomiji .................................................................. 1

1.1. Pojam digitalne ekonomije i digitalnih tehnologija ................................. 6
1.2. Primjeri digitalizacije poslovanja i stvaranje disruptivnih
poslovnih modela koji proizlaze iz sinergije primjene različitih
digitalnih tehnologija i novih poslovnih koncepcija ................................ 17
1.3. Što predstavlja digitalna transformacija poslovanja i zašto
su nam važne digitalne poslovne platforme?........................................... 23
1.4. Disruptivne inovacije koje proizlaze digitalizacijom poslovanja .......... 26
1.5. Najvažniji trendovi digitalne ekonomije ..................................................... 34
2. Osnovna obilježja informacijske sigurnosti i cyber

sigurnosti ................................................................................................................. 37
2.1. Objašnjenje pojmova cyber sigurnost, informacijska
sigurnost i sigurnost informacijskih sustava ............................................ 40
2.2. Zaštitne mjere informacijske sigurnosti .................................................... 56
3. Upravljanje rizicima primjene informacijske tehnologije

u poslovanju ........................................................................................................... 61
3.1. Objašnjenje pojma cyber rizika (informatičkih rizika),
najvažnije vrste i obilježja ............................................................................... 61
3.2. Plan upravljanja informatičkim rizicima ...................................................... 70
3.2.1. Identifikacija (određivanje) i razvrstavanje (klasifikacija)
informatičkih rizika ............................................................................ 72
3.2.2. Procjena ‘težine’ informatičkih rizika i određivanje
prioriteta................................................................................................ 73
3.2.3. Određivanje protumjera (scenariji upravljanja rizicima) ........... 79
V
3.2.4. Dodjela odgovornosti i praćenje provedbe ................................. 80

3.3. Primjer izračuna vrijednosti informatičkoga rizika ................................... 82
4. Kontrole rada informacijskoga sustava .................................................. 87

4.1. Korporativne (strateške) informatičke kontrole ...................................... 93
4.2. Upravljačke i opće informatičke kontrole ................................................. 98
4.3. Operativne i aplikacijske informatičke kontrole ................................................... 115
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj

sigurnosti ................................................................................................................ 123
5.1. Kontrole pristupa informacijama i informacijskim sustavima ............... 129
5.2. Protokoli i pravila prijenosa sadržaja u računalnim mrežama.............. 137
5.2.1. Računalne mreže i njihov značaj u poslovanju............................ 137
5.2.2. Protokoli prijenosa sadržaja mrežom ............................................ 144
5.2.3. Komponente računalnih mreža ..................................................... 145
5.2.4. OSI referentni model ......................................................................... 151
5.2.5. Pregled obilježja nekih protokola sigurnog prijenosa
sadržaja ................................................................................................. 156
5.2.6. Segmentiranje računalne mreže i digitalni potpis ...................... 160
5.3. Napadi zlonamjernim računalnim programima ...................................... 162
5.3.1. Vrste zlonamjernih računalnih programa ................................... 166
5.3.2. Računalni virusi na mobilnim telefonima ..................................... 171
5.3.3. Najvažnije zaštitne kontrolne mjere koje proizlaze iz studija
slučajeva krađe podataka (Target, Ryanair, Sony i ostali) ......... 176
5.4. Upravljanje kontinuitetom poslovanja ....................................................... 178
6. Revizija informacijskih sustava .................................................................. 189

6.1. Mjerenje učinka i kvaliteta informacijskih sustava ................................... 192
6.2. Objašnjenje pojma revizije informacijskih sustava .................................. 195
6.3. Standardi i smjernice za korporativno upravljanje informatikom
i reviziju informacijskih sustava .................................................................... 198
VI
Sadržaj
6.3.1. Krovni i izvedeni standardi korporativnoga upravljanja

informatikom i revizije informacijskih sustava ............................ 199
6.3.2. CobIT – krovni standard korporativnoga upravljanja
informatikom i revizije informacijskih sustava kao
njegove analitičke komponente ..................................................... 201
6.3.3. ITIL ........................................................................................................... 210
6.3.4. Obitelj ISO 27000 normi ................................................................... 211
6.4. Postupak provedbe revizije informacijskih sustava
testiranjem učinkovitosti kontrola ............................................................... 212
6.5. Planovi i programi provedbe revizije učinkovitosti kontrola
sigurnosti informacijskoga sustava.............................................................. 218
6.5.1. Plan revizije strateške primjene informatike u poslovanju ...... 218
6.5.2. Plan revizije pristupa informacijskome sustavu ........................ 224
6.5.3. Plan revizije pohranjenih podataka i sigurnosti podataka
u prijenosu ........................................................................................... 228
6.5.4. Plan revizije kontinuiteta poslovanja.............................................. 231
6.5.5. Plan revizije sigurnosti fizičkoga pristupa ..................................... 234
6.5.6. Plan revizije promjene softvera....................................................... 234
6.5.7. Plan revizije provedbe transakcija .................................................. 235
7. Zaključak ................................................................................................................. 243
Literatura ....................................................................................................................... 247

Kazalo .............................................................................................................................. 251
Popis tablica ................................................................................................................. 255
Popis slika ...................................................................................................................... 257
Popis studija slučajeva ........................................................................................... 259
Životopis autora ......................................................................................................... 261
VII
VIII
Sadržaj
Fioni i Ani
IX
Zahvale
Zahvaljujem recenzentima knjige (prof. dr. sc. Nikola Hadjina, Fakultet elektroteh-
nike i računarstva Sveučilišta u Zagrebu, prof. dr. sc. Nijazu Bajgoriću, Ekonomski
fakultet Univerziteta u Sarajevu i prof. dr. sc. Alešu Grozniku, Ekonomski fakultet
Sveučilišta u Ljubljani) na iznimno korisnim savjetima i podršci koji su knjigu učinili
još boljom.
Posebno se zahvaljujem svojim curama Fioni i Ani koje su nepresušan izvor moje
inspiracije i života.
X
Sadržaj
Predgovor
Knjige koje se, barem djelomice, dotiču područja informacijskih sustava i infor-
macijskih tehnologija vrlo je nezahvalno, a toliko potrebno pisati. Nezahvalno, jer,
kao rijetko koja grana znanosti, ali i kao rijetko koja djelatnost, informatika je vrlo
propulzivna, a ritam promjena ili inovacija termina, područja ili tema gotovo sva-
kodnevan. Osim toga, najčešće iz neznanja i neupućenosti informatika se često
smatra samo ‘tehničkom’, pozadinskom strukom, bez izravna utjecaja i potpore su-
vremenom poslovanju, pa se, u takvim prilikama i od strane zagovornika takvoga
stajališta, smatra da bi ‘informatičke knjige’ trebale biti isključivo usmjerene opisu
pojedinih alata, tehnologija, softvera.
Potrebno, jer se kvalitetnim tekstovima može ukazati na primjenu informatike u
poslovanju i neispravnost njezina poistovjećivanja samo s tehnologijom te lakše
pratiti ‘stalna mijena’ informatike kao struke, djelatnosti i znanosti, a multidisci-
plinarnom pristupu i sistematizacijom iznošenja sadržaja pomoći čitateljima pri
širem sagledavanju teme i lakšemu svladavanju gradiva. Čini se da se situacija do-
datno komplicira kada se tema knjige odnosi na sigurnost i reviziju informacijskih
sustava u okruženju digitalne ekonomije. Kako ne postoje dva jednaka i istovjetna
informacijska sustava, a obzirom da se najveća dodana vrijednost u sigurnosti in-
formacijskih sustava krije u osmišljavanju suptilnih zaštitnih mjera koje su proiz-
vod ljudske pameti, a ne rutinske tehnologije (često organizacijskih mjera koje su
vrlo specifične za određeno poslovno okruženje i ne mogu se samo ‘preslikati’ na
neko drugo, čak i vrlo slično), svakako možemo zaključiti da ne postoje niti dva
jednaka sustava sigurnosti informacijskih sustava. Također, već je odavno dobro
poznato da ne postoje, niti će ikada postojati potpuno sigurni informacijski sustavi,
pa je važno napore (i razmišljanja i ulaganja) usmjeravati osmišljavanju holistič-
kog modela upravljanja sigurnosti informacijskog sustava koji će koristiti sinergiju
tehnoloških, organizacijskih, fizičkih, društvenih i ostalih kontrola koje čine održiv,
ekonomski opravdan i poslovno učinkovit sustav zaštitnih mjera.
Prvo poglavlje knjige se u potpunosti odnosi na vizionarske i moguće inspirativne
scenarije primjene digitalnih tehnologija i upućuje na razmišljanja o poslovnom
okruženju digitalne ekonomije u kojoj živimo i radimo. Iako smo već prilično okru-
ženi brojnim suvremenim tehnologijama bez kojih ne možemo zamisliti poslovnu i
privatnu svakodnevicu, jedan od važnih ciljeva prvog poglavlja je ukazati na činjeni-
XI
cu kako nam tek predstoji iznimno intenzivno i sveobuhvatno korištenje potpuno

novih – digitalnih tehnologija koje će (zauvijek) promijeniti naše životne i poslovne
navike, ali nas izložiti i brojnim novim rizicima – cyber rizicima. Uvodne vizionarske
i inspirativne scenarije primjene digitalnih tehnologija u poslovanju ćemo ‘spustiti
na zemlju’ razmatranjem pitanja njihove sigurnosti (drugo poglavlje), objašnjenjem
modela upravljanja cyber rizicima (treće poglavlje), pregledom informatičkih kon-
trola (četvrto i peto poglavlje) i naposljetku prikazom metoda provedbe revizije
(sigurnosti) informacijskih sustava (poglavlje šest), odnosno metoda otkrivanja i
sprječavanja prijevara u cyber okruženju.
Knjiga je prije svega namijenjena studentima Ekonomskog fakulteta Sveučilišta u
Zagrebu koji na preddiplomskim, diplomskim i poslijediplomskim studijima (osobito
SPDS Informatički menadžment) proučavaju teme iz kolegija „Sigurnost informacijskih
sustava“ i „Revizija informacijskih sustava“. Knjiga u potpunosti prati studijske progra-
me, ishode učenja i silabuse navedenih kolegija i pruža metodičku i pedagošku pomoć
učenju, a sistematiziranje područja, studije slučajeva, objašnjavanje širega konteksta i
pregled brojnih primjera omogućuje učinkovitije svladavanje gradiva. Svako poglavlje
počinje pregledom ciljeva učenja, koji se razrađuje objašnjenjem najvažnijih pojmova
i tema i analizom njihove primjene u poslovnom okruženju. Knjiga ima cilj prikazati
praktičnu primjenu brojnih obilježja sigurnosti i revizije informacijskih sustava, a kon-
trolna pitanja na kraju svakoga poglavlja imaju cilj studentima pomoći u razumijevanju
gradiva. Metodički i pedagoški koncept ima cilj poboljšavati kompetencije studenata
u ovome području, gdje se najveći izazovi cyber sigurnosti odnose, ne na tehnološke
probleme, nego na manjak sposobnosti i kompetencija holističkoga (multidisciplinar-
noga) pogleda. Upravo iz tih razloga knjiga nije predviđena da bude tehnološki priruč-
nik iz područja sigurnosti i revizije informacijskih sustava, nego cilja pomoći čitateljima
razumijevati širi kontekst i kritički razmišljati uz multidisciplinarni pristup.
Knjiga je velikim dijelom namijenjena i izvedbi nastave na preddiplomskim, diplom-
skim i poslijediplomskim studijima na fakultetima i visokoškolskim institucijama iz
ostalih područja mimo poslovne ekonomije (posebice računalstva, informatike i
sličnih područja). Osim studentima, knjiga će zacijelo biti korisna i stručnjacima
iz prakse (jer i sam dolazim iz poslovne prakse i imam iskustvo provedbe više od
50 revizija informacijskih sustava i brojnih ostalih projekata), informatičarima, revi-
zorima informacijskih sustava, osobama koje upravljaju sigurnošću informacijskih
sustava, osobama koje vode poslovanje u uvjetima digitalne ekonomije i svim osta-
lim znatiželjnicima i korisnicima suvremenih informacijskih i digitalnih tehnologija.
Uvjereni smo da cyber sigurnost, sigurnost, kontrola i revizija informacijskih susta-
va ni u kojemu slučaju nije pomodni hit, nego budućnost koja je već počela.
Dubrovnik i Zagreb, srpanj – rujan 2016.
XII
1. Trendovi u digitalnoj ekonomiji

Ciljevi učenja u ovome poglavlju:
1. objasniti obilježja digitalne ekonomije i primjene digitalne tehnologije u poslo-
vanju
2. razumjeti obilježja digitalne transformacije poslovanja
3. prikazati važnost inovativnih poslovnih modela i digitalnih platformi
4. objasniti nužnost prilagodbe poslovanja inovativnim potencijalima digitalne
tehnologije
5. stvoriti kompetencije kritičkoga razmišljanja u okruženju digitalne ekonomije,
osobito sa stajališta mogućih rizika.
Riječ ‘game-changer’ se vrlo često koristi u kontekstu današnjega vremena i digital-

ne ekonomije u kojoj živimo. ‘Game-changers’ su vizionari, osobe koje misle daleko
ispred svoga vremena i koje su zaslužne za brojne inovacije kojima su zadužile
svijet, a koji je radi njihovih izuma ili progresivnoga razmišljanja postao puno bolje
mjesto za život. Sigurno ste se sjetili brojnih vizionara koji su jako promijenili sva-
kodnevicu i okruženje u kojemu živimo i radimo (recimo, Nikola Tesla, braća Wright,
Thomas Bell, a u novije vrijeme Bill Gates, Steve Jobs, Larry Page i Sergey Brin, Elon
Musk itd.).
No, ‘game-changers’ se mogu odnositi i na poslovno okruženje, pri čemu govori-
mo o ‘cool’ kompanijama s potpuno novim, dotad nepostojećim i vrlo inovativnim
poslovnim modelima. Takve kompanije sposobne su vrlo brzo mijenjati svoje po-
slovne strategije i stvarati potpuno nove modele poslovanja, nudeći proizvode ili
usluge kojih prije na tržištu nije bilo poboljšavajući kvalitetu života i čineći svijet bo-
ljim mjestom za život. ‘Game-changeri’ mijenjaju način na koji se posluje, razmišlja,
proizvodi i radi, stvarajući ‘disruptivne’ inovacije.
I dok su se kroz povijest ‘game-changeri’ odnosili na epohalna otkrića u raznim
granama ljudske djelatnosti, u današnje ih vrijeme sve više poistovjećujemo sa
suvremenim digitalnim tehnologijama. Promotrimo sljedeće činjenice vezane za
ulogu tehnologije u ‘game-changing’ scenarijima današnjice:
1
• u svijetu je danas preko 3,5 milijarde korisnika interneta koji kontroliraju više
od 90 % svjetskoga bogatstva
• na svijetu je više mobilnih uređaja nego ljudi, broj pametnih telefona je veći od
broja WC-a
• u svijetu trenutno postoji preko 25 milijardi uređaja s bežičnim pristupom
internetu, očekuje se da će ih 2020. godine biti 50 milijardi
• količina podataka kojima baratamo udvostručuje se svakih 20 mjeseci
• internetski promet udvostručuje se svake dvije godine, a opseg prenesenoga
sadržaja mobilnim internetom svake godine
• očekuje se da će se do 2018. godine promet mobilnih podataka povećati 12
puta, a podatkovni promet na pametnim telefonima 14 puta
• na svijetu je trenutno preko 20 milijardi međusobno povezanih uređaja, a
2020. godine bit će ih oko 50 milijardi
• iako je na svijetu prisutan veliki broj međusobno povezanih uređaja, trenut-
no pohranjujemo, analiziramo i koristimo samo mali broj podataka koje oni
pružaju (samo oko 1 % podataka koji se odnose na kontrolu rada, a ne na
optimizaciju i predviđanje)
• vrijednost mobilnih plaćanja u 2015. godini u svijetu je iznosila preko 1.000
milijardi USD, od čega se najveći broj i obujam transakcija odnosio na – Afriku
(mPesa usluga)
• na svijetu je preko 3 milijarde novih potrošača, korisnika i vlasnika mobilnih
telefona
• na svijetu je preko 1 milijun mobilnih aplikacija dostupno korisnicima na raz-
nim elektroničkim tržištima, s kojih je dosad bilo preko 100 milijardi ‘downlo-
ada’
• Candy Crash, dobro poznata računalna igra, godišnje zaradi oko 1,3 milijarde
USD od kupnje raznih digitalnih dobara ‘unutar aplikacije’
• internet i digitalna ekonomija čine 12 % BDP-a Velike Britanije i oko 3 % svjet-
skoga BDP-a.
Često primjećujemo kako je, najčešće pod utjecajem digitalnih tehnologija, da-
našnji svijet potpuno drugačiji nego prije par, a osobito prije desetak godina. Iako
smo svi svjesni činjenice da vrijeme prolazi vrlo brzo i da je životni i poslovni ritam
vrlo užurban, nerijetko se zateknemo u razmišljanju kako li će tek svijet izgledati
u bližoj, a osobito daljoj budućnosti. Što će se u budućnosti događati? Kako će
se napredak tehnologija, osobito digitalne tehnologije odraziti na naše poslovno
2
i privatno okruženje? Možemo li uopće predvidjeti razinu i intenzitet promjena u

sljedećih dvadesetak godina?
Možda nam mogu pomoći rezultati nedavnoga istraživanja1 u SAD-u provedenoga
na uzorku od 2088 ljudi o tome što ispitanici misle kako će svijet izgledati za 20
godina odnosno 2036. godine:
• svaki četvrti ispitanik misli da će na svijetu biti više robota nego ljudi
• dvije trećine ispitanih smatra da će gotov novac biti potpuno zamijenjen bez-
gotovinskim sredstvima plaćanja (digitalne valute, mobilni novčanici poput
Apple Pay, Google Vallet i slično)
• dvije trećine ljudi misli da će biti potpuno uobičajeno da pizzu dostavi dron ili
bespilotna letjelica koji će i u ostalim dostavama gotovo u potpunosti zamije-
niti dostavljače
• preko 60 % ispitanih smatra da će većina automobila biti autonomna od-
nosno da će njima upravljati računala, a ljudi se uključivati u vožnju samo u
iznimnim situacijama
• preko 50 % ljudi smatra da će se računalni čipovi ugrađivati u ljudsko tijelo,
čime će naše tijelo biti ‘komunikativno’ i potpuno umreženo s okruženjem.
Niti ostala predviđanja kako će svijet izgledati 2036. godine nisu ništa manje zani-
mljiva:
• 65 % ispitanika smatra da će klasične preglede kod doktora zamijeniti virtual-
na stvarnost
• 54 % smatra da će se 3D printeri koristiti i za printanje ljudskih organa, više
neće biti potrebe za listama čekanja za transplantacije organa koji će se prin-
tati po potrebi
• 58 % ispitanika smatra da će odjeća koju ćemo nositi biti spojena na internet
• 45 % smatra da će s aerodroma, pored uobičajenih letova, redovito polijetati
i komercijalni letovi u svemir, a
• 39 % ljudi koji su sudjelovali u istraživanju misli da će roboti ‘opremljeni’ umjet-
nom inteligencijom biti članovi upravnih odbora i izvršnog menadžmenta i
sudjelovati u donošenju odluka.
Intenzivna primjena digitalne tehnologije će donijeti i brojne promjene u poslovno-
me okruženju, s posebnim naglaskom na nužne promjene poslovnih modela i nji-
1
Robinson, M. (2016): How Americans thinks world will look like in 2036, http://www.businessinsid-
er.com/predictions-about-the-future-2016-6.
3
hovu prilagodbu digitalnome dobu. Da bi opstali na tržištu i da bi ostali konkuren-

tni, poslovni subjekti moraju digitalno transformirati svoje poslovanje, pri čemu
krilatica ‘digital or die’ na najbolji način oslikava promjene na poslovnoj sceni.
General Electric, jedna od najvećih kompanija na svijetu koja zapošljava više od
305.000 ljudi više nije samo proizvođač ključne infrastrukture, poput naftovoda,
cjevovoda, turbina, motora za zrakoplove itd., nego pružatelj širokoga spektra uslu-
ga vezanih za njihovo korištenje.
Njihov vodovod ili naftovod je opremljen pametnim senzorima koji dojavljuju sta-
nje u kojemu se nalazi infrastruktura, što kompaniji omogućuje pružanje usluga
dodane vrijednosti (daljinsko očitanje vodomjera, procjena kada bi moglo doći do
puknuća cijevi kako bi se spriječila šteta, gdje su puknuća i rupe, saniranje mjesta
na kojima dolazi do puknuća ili problema, što-ako analiza, poput što će se dogo-
diti ako povećamo tlak u jednom dijelu vodovoda itd., što u kombinaciji s korište-
njem ostalih digitalnih tehnologija – primjerice, građani putem aplikacije dojavljuju
probleme u infrastrukturi, omogućuje stvaranje nove poslovne vrijednosti). Samo
mreža raznih cjevovoda namijenjena prijenosu nafte i tekućeg plina u svijetu je du-
ljine veće od 3,5 milijuna kilometara. Kada toj brojci dodamo još barem dvostruko
toliko milijuna kilometara raznih vodovodnih cijevi, dolazimo do zaista impresivnih
brojki o infrastrukturi koju svaki dan koristimo, a da vrlo malo znamo o njezinim
performansama.2
General Electric (GE) je digitalnu transformaciju poslovanja započeo još 2012. go-
dine koristeći slogan ‘Digitalna kompanija je i industrijska kompanija’. Temelj digi-
talizacije poslovanja bilo je ulaganje od preko 1 milijarde USD u ugradnju senzora
(engl. Internet of Things) u industrijske strojeve, infrastrukturu, turbine, zrakoplov-
ne motore i sve ostale uređaje koje proizvode i prodaju diljem svijeta, pohranji-
vanjem podataka o radu svih tih uređaja pomoću tehnologije računalnih oblaka
(engl. cloud ) i njihove analize pomoću tehnologije napredne analitike velike količine
raznorodnih podataka (veliki podaci, engl. big data). GE stručnjaci su isprva samo
analizirali kako se svi ti strojevi ponašaju u radu pokušavajući pronaći načine za po-
boljšanje njihove efikasnosti, produktivnosti i učinkovitosti. U jesen 2015. godine
imali su oglašivačku kampanju kojom su htjeli zaposliti mlade i nadarene informa-
tičare, prije svega softverske inženjere. Taj su tim programera nazvali ‘Industrijski
internet developeri’, a infrastruktura koju su razvili sve više se naziva ‘industrijska
revolucija 4.0’ i sastoji se od mnoštva digitalno povezanih uređaja s ugrađenim
senzorima koji u svoje okružje šalju podatke koji se brzo i učinkovito analiziraju.
2
U SAD-u je većina cjevovoda izgrađena prije 1970. godine i ne postoji pouzdan i jedinstven način
praćenja njihova rada. Procjenjuje se da se u Zagrebu oko 40 % isporučene vode gubi u puknućima,
rupama u vodovodu i slično.
4
Takva industrijska digitalna platforma (nazvali su je Predix) omogućuje prikupljanje

podataka o 50 milijuna varijabli i to pomoću 100 milijuna senzora u vremenskim
serijama, što je višestruko više i prilično složenije i drugačije od podataka koje je
većina društvenih mreža i prodajnih stranica ikada generirala. Predix su počeli
razvijati još 2012. godine, i od početka je bila namijenjena pružanju informacija
inženjerima u stvarnome vremenu s ciljem boljega planiranja, održavanja i veće
efikasnosti rada strojeva, uz predviđanje kvarova i skraćivanje vremena u kojemu
ne rade, a danas je vodeća digitalna industrijska platforma pomoću koje se mogu
predvidjeti kvarovi i upravljati cjevovodima, naftovodima čineći ih pametnim, uz
velike koristi koje kompanije – korisnici imaju od pouzdanoga rada i informacija
o njihovu stanju. Do 2020. godine GE planira većinu poslovnih prihoda ostvariti
od softverskih proizvoda, osobito Predix globalne digitalne industrijske platfor-
me (platforme ‘industrijskog interneta’) čime predstavlja uspješne digitalizacije
poslovanja.
S druge strane, sjećate li se Kodaka? Kodak je 1998. godine imao 170.000 zaposle-
nika i diljem svijeta prodavao preko 85 % papira za izradu fotografija, bio neupitni
tržišni lider i sinonim za fotografiju. No, kompanija očito nije bila ‘dorasla’ vremenu
u kojemu je poslovala i nije bila spremna stalno mijenjati svoje poslovanje sukladno
tehnološkim promjenama, radi čega ju je u sljedećih nekoliko godina njezin po-
slovni model, koji je ignorirao digitalnu transformaciju poslovanja, doveo do ban-
krota. Iako je digitalna kamera izmišljena 1975. godine, svih 170.000 zaposlenika
Kodaka (osobito brojni izvršni menadžeri i visokopozicionirane osobe) je propustilo
ozbiljno razmotriti scenarij da od 1998. godine više nećemo snimati fotografije na
filmove i da je nužno mijenjati način i model poslovanja. Nesposobnost digitalne
transformacije poslovanja je Kodak, u samo par godina od neupitne vodeće pozici-
je na tržištu, dovelo do bankrota. Za razliku od Kodaka, Instagram je itekako znao
kako ‘brinuti’ o fotografijama u digitalnome dobu i od početka ‘gradio’ svoj digitalni
poslovni model, stvarajući digitalnu komunikacijsku platformu temeljenu na sadr-
žaju (fotografijama i opisima) koji korisnici sami stvaraju.
To što se dogodilo Kodaku dogodit će se brojnim industrijama u sljedećih desetak
godina, a brojne nove tehnologije koje zovemo zbirnim imenom digitalne tehno-
logije će utjecati na velike promjene u svim industrijama i područjima poslovanja.
Dobrodošli u digitalnu ekonomiju!
5
1.1. Pojam digitalne ekonomije i digitalnih

tehnologija
Pojam digitalne ekonomije služi kao krovni pojam za označavanje novih
modela poslovanja, proizvoda, usluga, tržišta i brzorastućih sektora eko-
nomije, posebice onih koji se temelje na digitalnim tehnologijama kao
osnovnoj infrastrukturi poslovanja. Digitalna ekonomija se često poistovjeću-
je i pojmovima industrijska revolucija 4.0, nova ekonomija ili internetska ekonomija,
a odnosi se na ekonomiju znanja, ekonomiju inovacija, ekonomiju informacija od-
nosno ekonomiju u kojoj ljudi rade koristeći svoj intelekt i umnu snagu, a ne više
samo snagu svojih mišića. Digitalna ekonomija se temelji na intenzivnoj pri-
mjeni digitalnih tehnologija (osobito informacijsko-komunikacijske tehnologije)
u neprekidnome procesu inovacije, kreativnosti i stvaranja nove vrijednosti.
Iako nastao još 1995. godine (kada je američki vizionar i znanstvenik Don Tapscott
objavio knjigu ‘The Digital Economy: Promise and Peril in the Age of Networked In-
telligence’), s konceptualnoga gledišta pojam digitalne ekonomije se temelji na in-
tenzivnoj primjeni digitalne odnosno informacijske i komunikacijske tehnologije u
poslovanju čime nastaju radikalne promjene u poimanju resursa poslovanja – od
fizičkih, opipljivih, prema digitalnima, elektroničkima odnosno neopipljivima. Inten-
zivna primjena elektroničkog načina poslovanja ipak se ne odnosi samo na tehno-
loška obilježja, nego i na sve ekonomske aktivnosti, procese, strukture, modele što
u konačnici znači da se radikalno mijenja i način stvaranja ekonomske vrijednosti.
Koncept digitalne ekonomije počiva na sljedećim ključnim načelima:
1. integraciji i istodobnoj primjeni neovisno razvijenih tehnologija i mo-
gućnosti koje one pružaju (informacijska i komunikacijska tehnologija prije
svega u obliku hardvera, softvera, računalnih mreža i podataka, ali i suvremena
digitalna tehnologija, kao njezin sastavni dio, u vidu mobilnih tehnologija, ra-
čunalstva u oblaku, društvenih mreža, tehnologije ‘velikih podataka’, ‘Interneta
stvari’, 3D printera, robotike, virtualne stvarnosti, nosivih tehnologija itd., ali i
aplikacija koje ‘obogaćuju’ uređaje i daju im novi smisao funkcioniranja)
2. integraciji progresivnih koncepcija poslovanja (korporativno poduzetniš-
tvo, ‘disruptivne’ inovacije, ‘design thinking’, agilno poslovanje, ‘ekonomija dije-
ljenja’ – ‘sharing economy’, ‘green economy’, samoorganizirajući sustavi, perso-
nalizacija, ‘gamifikacija’, prilagođavanje poslovanja željama i potrebama kupaca,
stvaranje novih potreba kod korisnika itd.)
3. korištenju digitalnih platformi poslovanja (međusobno povezani i digitali-
zirani poslovni procesi omogućavaju brzu, efikasnu i često inovativnu provedbu
poslovnih transakcija)
6
4. uspješnim i ‘neodoljivim’ digitalnim poslovnim modelima i

5. vođenju temeljenom na poduzetničkoj organizacijskoj kulturi, inova-
tivnosti i stvaranju nove vrijednosti (digitalno vođenje).
Digitalne tehnologije su vrlo važan infrastrukturni čimbenik digitalne ekonomije
i odnose se na upotrebu digitalnih resursa (tehnologije, alata, aplikacija i algorita-
ma) kojima se učinkovito pronalaze, analiziraju, stvaraju, prosljeđuju i koriste digi-
talna dobra u računalnome okruženju.
Primarne (temeljne, bazične) digitalne tehnologije su:
1. mobilne tehnologije (engl. mobile)
2. društvene mreže (engl. social)
3. računalstvo u oblacima (engl. cloud )
4. veliki podaci, odnosno, napredna podatkovna analitika i brzo otkriva-
nje znanja iz ogromne količine raznorodnih podataka (engl. big data)
5. senzori i Internet stvari (engl. Internet of Things, IoT).
Osim temeljnih, često se koriste i ostale – sekundarne digitalne tehnologije
poput 3D printera, robotike, dronova, nosive tehnologije, virtualne i pro-
širene stvarnosti, umjetne inteligencije i slično, koje omogućavaju brojne ino-
vativne usluge i primjene.
Promotrimo detaljnije najvažnije karakteristike temeljnih digitalnih teh-
nologija:
1. Mobilne tehnologije (engl. mobile) koje stvaraju tehnološke i infrastruk-
turne digitalne platforme - razvoj mobilnih tehnologija omogućuje da na
svijetu danas ima više mobilnih uređaja nego ljudi, stalno korištenje mobilnih
uređaja donosi korjenite promjene u svim industrijama i poslovnim procesima.
Primjerice, u 2015. godini vrijednost mobilnih plaćanja na svjetskoj razini iznosi-
la je preko 1.000 milijardi USD, pri čemu se najveći dio tih transakcija napravio u
Africi, najčešće putem mPesa usluge. mPesa je mobilna aplikacija koja ljudima
koji nikada nisu bili u banci niti imaju bankovni račun, omogućuje da prenose
novac putem pametnih telefona i provode plaćanja. mPesa (m – mobilno, Pesa
znači novac na swahili jeziku) je usluga prijenosa novca putem pametnoga tele-
fona, financiranja i mikrofinanciranja koju pruža telekomunikacijska kompanija
Vodafone za Safaricom i Vodacom, najveće operatere mobilne telefonije u Keniji
i Tanzaniji. Usluga je uvedena 2007. godine, danas je koristi preko 20 milijuna lju-
di u Africi i ostalim dijelovima svijeta, koji nemaju pristup bankovnim uslugama,
a neki među njima možda nikada nisu niti bili u banci, no, mogu na jednostavan,
siguran i jeftin način razmjenjivati novac i plaćati usluge koristeći se mobilnim
7
telefonom.3 Vrlo je popularna i korisna u zemljama gdje brojni radnici koji rade
u gradovima na taj način šalju novac svojim obiteljima koje žive u ruralnim kra-
jevima. Usluga se u 2014. i 2015. godini proširila i na zemlje poput Afganistana,
Južnoafričke Republike, Indije, Rumunjske i Albanije. Tijekom 2013. godine skoro
25 % BDP-a Kenije je ‘prošlo’ putem mPesa usluge.
I dok neke vrlo napredne, mahom skandinavske zemlje, razmatraju ukinuti gotov
novac kao sredstvo plaćanja (u Švedskoj je preko 95 % svih transakcija bezgotovin-
sko, rukovanje gotovim novcem samo stvara troškove i probleme, radi čega se u toj
zemlji ozbiljno razmatra ukidanje gotovog novca kao sredstva plaćanja, a u Danskoj
je od 1. 1. 2016. na snazi zakon prema kojemu trgovci nisu obvezni primiti gotovinu
kao sredstvo plaćanja), zanimljiv ‘game-changer’ je da se preko 50 % vrijednosti
mobilnih plaćanja u svijetu u 2015. godini odnosilo na transakcije u – Africi.
Number26 je banka koja nema fizičkih poslovnica, u kojoj za 8 minuta možete
otvoriti račun i postati klijent na način da ‘downloadate’ aplikaciju i pokrenete
uslugu. Nedavno je dobila dopuštenje regulatornih tijela da provodi uobičajene
bankovne usluge u cijeloj EU.4
PhotoMath je vrlo zanimljiva i besplatna aplikacija, proizvod hrvatske kompa-
nije Microblink, pomoću koje možete fotografirati zadatak iz matematike i dobiti
njegovo rješenje uz objašnjenje postupka rješavanja. Aplikacija je ‘skinuta’ pre-
ko milijun puta diljem svijeta, jako je popularna među učenicima i srednjoškol-
cima i, iako besplatna, predstavlja ‘izlog’ tehnologije koju proizvođač može po-
nuditi. Vrlo slična aplikacija PhotoPay se redovito koristi kao pomoć u provedbi
bankovnih transakcija.
Danas smatramo da poslovni model koji se ne može provoditi putem mobilno-
ga telefona nije vrijedan ozbiljnoga razmatranja.
2. Društvene mreže (engl. social) koje stvaraju komunikacijske i korisničke
digitalne platforme – društvene mreže više ne predstavljaju samo platformu
za zabavu i razbibrigu, nego ‘ozbiljne’ komunikacijske platforme koje se koriste
u poslovanju. Društvene mreže se koriste u sinergiji s mobilnim tehnologijama (i
svim ostalim digitalnim tehnologijama), stvarajući dodatne koristi koje proizlaze
iz istodobne primjene.
Preko 100 milijuna ljudi5, najčešće u dobi između 14 i 34 godine je svaki dan
koristilo Snapchat, društvenu mrežu kojom svaki dan razmijene preko 350 mi-
3
Why does Kenya lead the world in mobile money (2013): http://www.economist.com/blogs/econo-
mist-explains/2013/05/economist-explains-18.
4
Kepes, B. (2014): Is this banking 2.0? Number26 launches, http://www.forbes.com/sites/benke-
pes/2015/02/06/is-this-banking-2-0-number26-launches/#439eacb04f7d.
5
U trenutku pisanja teksta, srpanj 2016.
8
lijardi video i digitalnoga sadržaja, koji se briše nakon određenoga vremena. Već
sada postoji usluga Snapcash kojom 100 milijuna korisnika mreže mogu raz-
mjenjivati novac, a geofilteri i posebni ‘e-moji’ stvaraju brojne poslovne prilike.
Pizza AnyWare je projekt poznatoga (u SAD-u) lanca pizzerija Domino’s. Glad-
ni korisnici mogu naručiti svoju omiljenu pizzu koristeći Siri aplikaciju Do, ‘twee-
tanjem’ ili slanjem pizza e-moji (posebno razvijenih u suradnji s društvenim
mrežama kao što je Snapchat) ili vozeći se kući u pizza – kompatibilnom For-
du koji je opremljem digitalnim tehnologijama. Nakon narudžbe dolazak pizze
može se pratiti putem Domino’s aplikacije.
Wal-Mart, najveći svjetski trgovački lanac koji zapošljava preko 2 milijuna ljudi
snižava cijene nekih svojih proizvoda temeljem ‘lajkova’ na društvenim mreža-
ma, a Macy’s, dobro poznati lanac robnih kuća, koristi Facebook ‘lajkove’ kako
bi donio odluku koje boje korisnici preferiraju.
BeMyEyes je vrlo korisna aplikacija odnosno komunikacijska platforma, koja
okuplja zajednicu osoba koji žele pomagati slabovidnim ili slijepim osobama.
Aplikacija koristi mogućnosti koju kamera pametnoga telefona ima i slabovidnoj
ili slijepoj osobi nudi pomoć volontera ili korisnika zajednice koji ‘vide umjesto
njih’ i pomažu im ispuniti neki obrazac, kupiti neku namirnicu ili bilo što drugo,
što su uskraćeni radi svoga hendikepa.
Atos, poznati pružatelj informatičkih usluga ukinuo je interno korištenje elek-
troničke pošte i poboljšao produktivnost zaposlenika koji komuniciraju putem
kolaborativnih društvenih platformi.
U trenutku pisanja ove knjige (srpanj 2016.), Pokemon Go je bila računalna igra
s najvećim porastom broja korisnika: Facebooku je trebalo 10 mjeseci za prvih
milijun korisnika, čime je infrastruktura te društvene mreže bila temelj za šire-
nje usluga i poslovanja, Instagram je iskoristio infrastrukturu društvenih mreža
da prikupi prvih milijun dnevnih (stalnih) korisnika u manje od tri mjeseca, a
Pokemon GO je to uspio vjerojatno u prvih par sati korištenja (nakon tri dana je
imao 20 milijuna korisnika, a tek je krenuo njegov eksplozivni rast). U sljedećih
par dana je po broju dnevnih korisnika nadmašio Tinder, Twitter i sve ostale
poznate društvene mreže, uz gotovo nevjerojatne poslovne mogućnosti koje
takva grupa korisnika pruža. Ako se Facebook pokazao kao izvrsna digitalna
komunikacijska platforma, tek je za predviđati i pretpostaviti koje sve ‘game-
changing’ scenarije možemo očekivati od Pokemona GO kao dobitne kombina-
cije različitih digitalnih tehnologija.
3. Računalstvo u oblacima (engl. cloud ) koje stvaraju tehnološke i infrastruk-
turne digitalne platforme – radi se o efikasnome i sigurnome korištenju goto-
vo neograničenih digitalnih (hardverskih, podatkovnih i softverskih) kapaciteta,
9
prije svega za upravljanje podacima, njihovu pohranu i upotrebu, bez potrebe

za kapitalnim ulaganjima i uz načelo ‘plati koliko i što koristiš’. Računalstvo u
oblaku je mogućnost krajnjih korisnika da sukladno svojim potrebama koriste
masovne računalne resurse i da do njih mogu doći brzo i jednostavno. Ako i
kada korisnik želi koristiti usluge oblaka, može to učiniti bez ikakvih značajni-
jih formalnih i praktičnih ograničenja. Usprkos ogromnom porastu digitalnoga
sadržaja, zahvaljujući računalstvu u oblacima korisnici (kompanije i pojedinci)
više nemaju problema pohranjivati računalne i digitalne resurse, dok istodobno
mogu koristiti različite usluge koje se nad njima stvaraju (hardver kao usluga,
infrastruktura kao usluga, softver kao usluga, platforma kao usluga, kontinuitet
poslovanja kao usluga, sigurnost kao usluga odnosno – ‘sve kao usluga’). Mobil-
ne tehnologije i društvene mreže koriste se u sinergiji s računalstvom u obla-
cima (i svim ostalim digitalnim tehnologijama), stvarajući dodatne koristi koje
proizlaze iz istodobne primjene. Računalstvo u oblacima omogućuje efikasno
i sigurno korištenje gotovo neograničenih digitalnih kapaciteta, prije svega za
upravljanje podacima, njihovu pohranu i upotrebu, bez potrebe za kapitalnim
ulaganjima i uz načelo ‘plati koliko i što koristiš’.
Revlon, dobro poznati prizvođač kozmetike, koristi usluge privatnoga oblaka za
preko 500 svojih informatičkih aplikacija, što im je omogućilo uštedu od 70 mili-
juna USD u dvije godine. Osim uštede takav koncept donosi i veliku fleksibilnost
i sigurnost: kada im je cijela tvornica u Venecueli, uključujući i podatkovni cen-
tar, izgorjela u požaru, u roku dva sata su svoje cjelokupno poslovanje prebacili
na pričuvni podatkovni centar u New Jersey-u.
Netflix je u vrlo kratkome razdoblju prošao put od kompanije koja je posu-
đivala DVD-ove korisnicima u lokalnoj zajednici (lokalna videoteka koja koristi
‘fizički’ poslovni model) do najveće svjetske medijske kuće s preko 80 milijuna
korisnika u 200 zemalja odnosno do globalne digitalne medijske platforme koja
koristi digitalne tehnologije poput clouda – za pohranu cijeloga sadržaja kojega
nudi korisnicima (filmovi, serije iz vlastite produkcije, događaji, dokumentarci
itd.), internetske i mobilne tehnologije – streaming za prijenos video sadržaja
pretplatnicima na bilo koji uređaj, big data – tehnologija brze analize ogromne
količine raznorodnih podataka kojima kompanija iz svake transakcije uči o pre-
ferencijama kupaca. Netflix poslovni model je sposoban vrlo brzo i ovisno o
željama pretplatnika mijenjati ponudu i udovoljiti željama, pametno koristeći
fleksibilnu infrastrukturu i stalno inovirajući poslovanje. U srpnju 2016. godine
imali su preko 80 milijuna pretplatnika i nadmašili mnoge tradicionalne medij-
ske kuće. Netflix je svoj cjelokupni digitalni sadržaj kojega nudi svojim korisnici-
ma pohranio u računalnim oblacima, a tijekom vikenda koristi i proporcionalno
plaća gotovo tri puta više računalnih cloud resursa nego tijekom tjedna.
10
4. Veliki podaci, odnosno, napredna podatkovna analitika i brzo otkriva-

nje znanja iz ogromne količine raznorodnih podataka (engl. big data),
koja predstavlja analitičku digitalnu platformu. Big data predstavlja tehnologiju
predstavljenu s tri ključne riječi: opseg podataka (engl. volume), različite vrste
podataka (engl. variety) i brzina dosega, analitike i pohrane (engl. velocity) koja
omogućuje vrlo brzo stvaranje, pohranu i distribuciju novoga znanja nastaloga
iz napredne analitike ogromne količine raznorodnih podataka. Vrlo brzo stvara-
nje novoga znanja praćenjem preferencija potrošača i njegova brza distribucija
omogućuju izvrsne nove poslovne prilike.6
Netflix pohranjuje sav sadržaj na računalnim oblacima, koji se infrastruktur-
nim i mobilnim tehnologijama distribuira korisnicima, a napredni analitički algo-
ritmi stalno prate korisničke preferencije, sve transakcije i preporuča sljedeće
sadržaje. Preko 70 % digitalnoga sadržaja (serija, filmova, dokumentaraca itd.) s
kojima su korisnici bili jako zadovoljni preporučio je – Netflix-ov big data sustav,
proučavajući preferencije korisnika, njihovih poznanika, prijatelja, prateći što
korisnici vole, što ‘klikaju’, ‘lajkaju’ itd.
U rujnu 2015. godine švedske željeznice Stockholmstag uvele su uslugu
praćenja prometa koja koristi napredne algoritme temeljene na big data teh-
nologiji kojima je moguće predvidjeti kašnjenja par sati unaprijed. Usluga je
moguća jer su svi vlakovi opremljeni računalnim čipovima, čime je moguće
utvrditi njihovu lokaciju i pravodobno djelovati. Švedski matematičar Wilhelm
Landerholm je razvio Commuter Prognosis, algoritam koji upozorava na mo-
guća kašnjenja i daje priliku kontrolorima prometa da interveniraju i sprije-
če ‘domino’ učinke do kojih dolazi uslijed kašnjenja. Za to vrijeme aplikacija
upozorava korisnike o promjenama dolaska vlakova jer je dobro upoznata s
njihovom trenutnom pozicijom.
CongiToys je u ožujku 2015. godine na Kickstarteru, internetskoj platformi za
prikupljanje sredstava, prikupio četiri puta više ulagačkoga kapitala od predvi-
đenoga. Radi se o pametnim dječjim igračkama koje mogu komunicirati sa svo-
jim malim korisnicima jer u sebi imaju ugrađene značajke umjetne inteligencije
(IBM Watson računalo) koje razumiju izgovorena pitanja i daju odgovore koji su
primjereni dobu djeteta, mogu pričati priče i šale, pa čak i vremenom te igračke
razvijaju vlastitu ‘osobnost’ temeljenu na interakciji s djecom.
6
12 Definitions of big data: What’s yours? (Forbes) http://www.forbes.com/sites/gilpress/2014
/09/03/12-big-data-definitions-whats-yours/#534160cc21a9.
Big data – the next frontier for innovation, comptetition and productivity (McKinsey Quarterly) http://
www.mckinsey.com/business-functions/business-technology/our-insights/big-data-the-next-fron-
tier-for-innovation.
11
5. Senzori i Internet stvari (engl. Internet of Things, IoT) – povezivanje brojnih

uređaja opremljenih računalnim čipovima koji čine tehnološke i infrastrukturne
digitalne platforme. Internet stvari (u nastavku ćemo koristiti kraticu - IoT) se
odnosi na ugrađivanje brzih i učinkovitih senzora i računalnih čipova u razne
uređaje, čineći ih interaktivnim i ‘pametnim’. Često se koristi i kratica ‘Internet
of Everything’, a procjenjuje se da će do 2020. godine na svijetu biti preko 50
milijardi međusobno povezanih uređaja, što u digitalnoj ekonomiji predstavlja
veliki inovativni poslovni potencijal.7
Samsonite, najveći svjetski proizvođač prtljage, odlučio je stati na kraj izgu-
bljenoj prtljazi koja sigurno predstavlja problem brojnim putnicima i stvara ne-
očekivane neugodnosti.8 U 2014. godini u svijetu je tijekom letova ukupno bilo
izgubljeno 24,1 milijuna komada prtljage, od čega je 85 % pronađeno i vraćeno
vlasnicima u roku 48 sati, ali 5,5 % je bilo izgubljeno zauvijek. Navedene činjeni-
ce predstavljaju logističke probleme i izazove zrakoplovnim kompanijama i ope-
raterima zračnih luka koji moraju moći pratiti svaki komad prtljage. Samsonite
je odlučio digitalizirati svoje poslovanje na način da će do kraja 2016. godine,
u suradnji sa svojim digitalnim odjelom i partnerskim tehnološkim kompani-
jama In Your Pocket (mobilna aplikacija), Accent Systems (čipovi – beacons za
praćenje prtljage) i Google (računalni kod), osmisliti računalne čipove koji će se
ugrađivati u novije generacije njihove prtljage (moguće je istu stvar napraviti
i s ranije kupljenom prtljagom) i aktivirati uslugu praćenja prtljage. Putnici će
morati registrirati svoju prtljagu na aplikaciji Travlr by Samsonite, čime će moći
stalno pratiti gdje se ista nalazi. Algoritam i pozadinska digitalna tehnologija će
omogućiti korisnicima praćenje prtljage na udaljenosti od 68 metara, a u sluča-
ju da prtljaga ne dođe do putnika, pomoću aplikacije će biti jednostavno loci-
rati njezinu poziciju. U Samsonite-u se nadaju da će se zrakoplovne kompanije,
logističke kompanije, operateri zračnih luka i svi ostali zainteresirani prijaviti i
početi koristiti uslugu, što će im omogućiti ostvarenje krajnjega cilja – stvaranje
digitalne platforme za praćenje prtljage odnosno predmeta.
Kisha je hrvatski start-up (www.getkisha.com) koji koristi digitalnu tehnologiju
kako bi proizvod (kišobran) učinio interaktivnim i pametnim. U ručku kišobrana
je ugrađen računalni čip koji okružju i mobilnoj aplikaciji dojavljuje lokaciju ki-
šobrana (na taj se način kišobran ne može izgubiti), sposoban je komunicirati s
7
IoT (McKinsey Quarterly) http://www.mckinsey.com/business-functions/business-technology/
our-insights/an-executives-guide-to-the-internet-of-things.
Unlocking the potential of IoT (McKinsey Quarterly) http://www.mckinsey.com/business-functions/
business-technology/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world.
8
http://www.dailymail.co.uk/sciencetech/article-3540967/Now-lost-luggage-tell-Samsonite -set-in-
stall-tracking-beacons-new-cases-using-smartphone-app.html.
12
korisnikom (kakvo će biti vrijeme, kada će padati kiša itd.) i predstavlja zanimljiv
svakodnevni dodatak, osobito u područjima gdje je kiša česta pojava.
Geolux , mala kompanija iz Samobora u srpnju 2016. godine započela je u Kinu
izvoz senzora za mjerenje protoka vode koji su, po narudžbi kineskoga Ministar-
stva za upravljanje vodenim resursima ugrađeni u sustave za navodnjavanje i
služe za mjerenje brzine toka rijeka ili kanala za navodnjavanje. Njihovi senzori
ne trebaju biti uronjeni u vodu, što je velika prednost jer prljavštine iz vode i
slično loše utječu na njihov rad i sposobnost očitanja i slanja stanja. Geolux raz-
vija i proizvodi senzore temeljene na radarskoj tehnologiji koji se koriste u pro-
metnim sustavima (prebrza vožnja), pametnim kućama (upravljanje funkcijama
u kući), senzori - detektori pokreta (osiguranje od krađe), senzor za otkrivanje
snježnih lavina itd.
Nest je mala kompanija koja je izvorno proizvodila vrlo jednostavne termostate
koji su bili spojeni na bežičnu mrežu i omogućavali korisnicima daljinsko uprav-
ljanje i reguliranje temperature u stanu putem mobilne aplikacije. Google je još
2012. godine uvidio potencijal ove poslovne ideje i kompaniju platio 1 milijardu
USD. To sigurno nije bila cijena za posao kojega su tada imali. Bila je to cijena
koju je Google platio za cijeli poslovni model i korisnike čiji su se obrasci pona-
šanja mogli pratiti i iz njih stvarati nova poslovna vrijednost (pametne kuće i
pametne usluge).
Američka savezna država Missouri planira na legendarnu Route 66 postaviti
solarne panele kao visokotehnološku alternativu za beton i asfalt. Radi se o
solarnim pločama koje su sposobne skupljati sunčevu energiju i pretvarati je u
električnu. Paneli su opremljeni sofisticiranim senzorima i LED lampicama koji
omogućuju da je cesta interaktivna i da prikazuje informacije o ograničenju br-
zine, informacije o stanju na cestama itd. Cesta mijenja boje ovisno o vremenu,
noću svijetli i olakšava vozačima vožnju, a posjeduje i grijače za topljenje snijega
i leda, što će znatno smanjiti troškove održavanja. Slične ceste su već uobičaje-
ne u Kaliforniji i Nizozemskoj.
Osim temeljnih, često se koriste i ostale – sekundardne digitalne tehnologi-
je poput 3D printera, robotike, dronova, nosive tehnologije, virtualne i proširene
stvarnosti, umjetne inteligencije i slično, koje omogućavaju brojne inovativne us-
luge i primjene. Navedimo samo nekoliko primjera od kojih će se mnogi tijekom
knjige detaljnije obraditi:
• 3D printeri (primjena u proizvodnji, primjeri digitalizacije poslovanja: Adidas
Speedfactory, 3D Future Craft)
• nosive tehnologije (primjena u zdravstvu, plaćanju, trgovini, prodaji, spor-
tu, primjeri digitalizacije poslovanja: Nike+, NBA, BellaBeat, Teddy the Guar-
13
dian, Macy’s, Google Wallet, Apple Pay, Samsung Pay, Soundpays, Mastercard
i Coin koji su pokrenuli partnerstvo putem kojega će stvarati nosive uređaje
kojima ćemo obavljati plaćanje9)
• virtualna stvarnost i proširena stvarnost (primjena u proizvodnji, malo-
prodaji, marketingu, industriji zabave, primjeri digitalizacije poslovanja: Poke-
mon GO, Audi, BMW, Boeing , Macy’s)
• umjetna inteligencija (primjena u svim područjima ljudske djelatnosti, po-
sebice u zdravstvu, prodaji, marketingu, odlučivanju, primjeri digitalizacije po-
slovanja: IBM Watson, Acxiom)
• dronovi, robotika i slične tehnologije koje omogućavaju brojne inovativne
usluge i primjene (primjena u procesnoj industriji, proizvodnji, poljoprivre-
di, primjeri: Airbus planira početi koristiti specijalno programirane dronove
opremljene Intel RealSense kamerom koji će u 10 - 15 minuta obaviti osnovnu
provjeru zrakoplova i prenijeti fotografije na 3D model Airbusa A330 kako bi
inspektori mogli napraviti brz pregled, što je značajna ušteda u odnosu na
‘klasičan’ način koji traje skoro 3 sata i gdje zaposlenici koriste velike kranove;
Belje započinje žetvu tako da sofisticirani dron nadleti poljoprivrednu povr-
šinu i ‘snimi’ sve potrebne podatke o tlu, kako bi se svaki pojedini četvorni
metar obradive površine mogao personalizirano tretirati).
Najvažnija obilježja primjene digitalne tehnologije koja omogućuje stvaranje
inovativnih (disruptivnih) poslovnih modela su:
1. istodobna primjena svih (primarnih i sekundarnih) digitalnih tehnolo-
gija uz sinergiju usluga koje iz njih proizlaze (pohrana sadržaja, lokacijske
usluge, interaktivnost, prediktivna analitika, stvaranje zajednice korisnika koji
intenzivno komuniciraju i prenose i stvaraju digitalni sadržaj)
2. ugradnja u proizvode i uređaje, sposobnost izdvajanja digitalnog sadr-
žaja iz uređaja, njihova analiza i interakcija i sposobnost brze distribu-
cije digitalnog sadržaja (senzori u IoT) - GE ugrađuje senzore u infrastrukturu
kojom prati stanje naftovoda ili vodovoda, Pirelli i Michelin u svoje gume ugra-
đuju senzore koji ukazuju na istrošenost, pa guma pocrveni kada je nesigurna
za vožnju ili neprimjerena vremenskim ili ostalim uvjetima
3. vrlo intenzivna razmjena digitalnog sadržaja
4. sposobnost digitalizacije poslovanja, digitalne transformacije poslov-
nih modela i stvaranja digitalnih platformi.
9
Wearable payments: Mastercard and Coin http://newsroom.mastercard.com/press-releases/ma-
stercard-and-coin-sign-agreement-to-power-wearable-payments/.
14
Promotrimo detaljnije važna obilježja digitalne tehnologije.

1. Istodobna primjena svih digitalnih tehnologija uz sinergiju usluga koje
iz njih proizlaze (pohrana sadržaja, lokacijske usluge, interaktivnost, prediktiv-
na analitika, stvaranje zajednice korisnika koji intenzivno komuniciraju i prenose
i stvaraju digitalni sadržaj).
Vrlo važna značajka poslovnih modela u digitalnoj ekonomiji jest stalna integra-
cija odnosno prožimanje ili istodobna primjena svih, primarnih i sekundarnih,
međusobno neovisno razvijanih, digitalnih tehnologija kojima je moguće stvo-
riti inovativne, dotad nepostojeće usluge, proizvode, tržišta i poslovne modele
(disruptivne inovacije). Svi dosad navedeni primjeri u ovoj knjizi istodobno koriste
sve navedene tehnologije i usluge koje iz njih proizlaze. Netflix pohranjuje sav sa-
držaj na računalne oblake, koristi gotovo sve vrste cloud usluga, koristi big data
tehnologiju kojom uči iz preferencija korisnika, kojima digitalnim kanalima isporu-
čuje na mobilne uređaje baš onaj sadržaj koji ih najviše zanima. Airbnb na sličnome
načelu pohranjuje informacije u cloudu i koristi njegovu fleksibilnu infrastrukturu i
usluge kako bi primjena mobilne tehnologije uz bezgotovinsko plaćanje bila učin-
kovitija, Pokemon GO na cloudu pohranjuje podatke, a pored lokacijskih usluga,
mobilne telefonije i prediktivne analitike, koristi i proširenu stvarnost.
2. Ugradnja u proizvode i uređaje, sposobnost izdvajanja digitalnog sadr-
žaja iz uređaja, njihova analiza i interakcija.
Digitalne tehnologije imaju sposobnost izdvajati informacije iz uređaja,
analizirati ih, obrađivati i povezivati određeni uređaj s okolinom, čineći ga
pametnim i digitalnim.
Uber istodobno koristi mobilne tehnologije, lokacijske usluge, društvene medije
i računalne oblake. Uber poslovni model pohranjuje podatke u cloudu, mobilnim
tehnologijama i lokacijskim uslugama otkriva poziciju vozača i putnika i koristi
naprednu analitiku podataka uz bezgotovinsko plaćanje. Temeljem ugrađenoga
hardvera i softvera, mobilni telefon dojavljuje lokaciju na kojoj se nalazi(mo), što
ostali povezivi i pametni uređaji i digitalni poslovni modeli koji se na njih oslanjaju
mogu iskoristiti za stvaranje nove vrijednosti. Dobro nam je poznato da se pokre-
tanjem Uber aplikacije automatski očitava lokacija mobitela, nakon čega pametni
i učinkoviti algoritam pronalazi najbližeg raspoloživog vozača – Uber partnera, što
predstavlja temelj da se tražitelj prijevoza i nuditelj prijevoza dogovore oko pruža-
nja usluge i bezgotovinskoga plaćanja. Tražitelj prijevoza putem pametne aplikacije
dobiva sve informacije o nuditelju prijevoza (lokaciju, vrstu automobila i registar-
sku oznaku, ime i prezime vozača, recenzije i iskustva drugih putnika s tim voza-
čem, procjenu cijene usluge itd., temeljem čega odlučuje želi li koristiti uslugu ili ne).
Big data tehnologija radi manje-više iste stvari (izdvaja informacije, analizira
15
ih i povezuje s drugim uređajima ili ih istima ustupa na korištenje), pri čemu koristi
strukturirane i nestrukturirane podatke. Senzori i računalni čipovi (Internet
of Things tehnologija) izdvajaju informacije o stanju uređaja i njihovoga okruže-
nja, agregiraju ih, prosljeđuju drugim uređajima, komuniciraju s drugim uređajima
i njihovim okruženjem i povezuju te senzore s drugim senzorima i svim ostalim
uređajima.
3. Intenzitet razmjene digitalnoga sadržaja i interaktivnost
‘Digitalno’ je pridjev koji opisuje intenzitet razmjene informacija i sveobuhvatnu
premreženost i interaktivnost raznih fizičkih uređaja i resursa. Fizički resursi kao
što su zgrade, postrojenja, automobili, stvari, ali i procesi, ljudi ili timovi posta-
ju digitalni primjenom tehnologija koje očitavaju informacije o njihovome stanju i
prosljeđuju te informacije drugim uređajima i svojem okružju. Primjerice, Krups je
digitalizirao svoje poslovanje tako da je u liftove koje proizvodi ugradio računalne
uređaje (senzore) koji dojavljuju njihova stanja i način rada, a pametni algoritmi
temeljem prikupljanja tih informacija mogu stvarati dodatne usluge koje predstav-
ljaju temelj poslovanja ove kompanije u digitalnoj ekonomiji (kupnjom lifta korisnik
putem posebne aplikacije dobiva i informacije o njegovu stanju, kada je predviđen
servis, koliko je izvjestan kvar, kada treba zamijeniti određeni dio itd.). Time kom-
panija nije više samo proizvođač uređaja (lifta), nego pružatelj usluga za njegovo
efikasno korištenje.
4. Sposobnost digitalizacije poslovanja
Digitalizirati poslovanje znači intenzivno koristiti, prije svega temeljne digitalne
tehnologije s ciljem inovacije poslovnoga modela i stvaranja novih i održivih izvora
prihoda. Digitalizacijom poslovanja stvaraju se učinkoviti digitalni poslovni
modeli.
U Hrvatskoj je u lipnju 2016. godine otvoren prvi hotel s digitalnim ključem.
Aplikacija Park Plaza Croatia uz korištenje ostalih digitalnih tehnologija omogu-
ćuje gostima pristup svim potrebnim informacijama vezanim za boravak putem
tableta i pametnih telefona, neposrednu komunikaciju s hotelom i ulaz u hotelske
sobe, bez potrebe za čekanjem na prijavu na recepciji.
Sagledajmo, termin digitalno ne odnosi se samo na skup neovisno razvijanih pri-
marnih i sekundarnih digitalnih tehnologija koje se istodobno i vrlo intenzivno
koriste, nego i na inovativne potencijale njihove primjene u poslovanju, naj-
češće kroz (mobilne) aplikacije koje se odnose na provedbu poslovnih procesa
i udovoljavanje potrebama korisnika. Pri tome, pojam aplikacije treba promatrati
široko, ne samo kao mobilne aplikacije koje imamo na pametnim telefonima, nego
i kao ekosustave digitalnih poslovnih modela koji omogućavaju provedbu različitih
usluga i procesa i na taj način materijalne resurse čine ‘pametnim’ i digitalnim.
16
Digitalne tehnologije imaju sposobnost izdvajati informacije iz uređaja, analizira-

ti ih, obrađivati i povezivati odnosne uređaje s okolinom, čineći i njih i okruženje
pametnim i digitalnim. Stoga, digitalizacija predstavlja proces razmjene in-
formacija među uređajima i njihovo međusobno i sveobuhvatno povezi-
vanje uz pomoć različitih (digitalnih) tehnologija. Digitalizacija omogućuje
da materijalni resursi postaju povezivi, informacijski intenzivni i pametni, čime se
stvara infrastrukturna podloga za stvaranje digitalnih poslovnih modela. Digitalne
tehnologije omogućuju transformaciju i unaprjeđenje poslovanja svim kompani-
jama koje pronalaze načine kako pomoću interaktivnih i integrativnih mogućnosti
suvremenih tehnologija unaprijediti poslovanje, stvoriti novu vrijednost i izvrsno
iskustvo korištenja. Promotrimo primjere sljedećih međunarodnih korporacija koje
su inovirale svoje poslovanje zanimljivom primjenom digitalnih tehnologija.
1.2. Primjeri digitalizacije poslovanja i stvaranje

disruptivnih poslovnih modela koji proizlaze
iz sinergije primjene različitih digitalnih
tehnologija i novih poslovnih koncepcija
Označavanje uređaja, pametni uređaji i proširena stvarnost
U Macy’s-u, poznatome lancu robnih kuća, na određenim su odjelima uvedene

‘pametne garderobe’10, koje na zidu imaju tablet uređaj putem kojega je moguće
provjeravati ima li pojedinog komada odjeće na zalihi, komunicirati s prodajnim
osobljem, naručiti da se u garderobu donese manji ili veći broj, druga boja i slično,
ali i pročitati recenzije kupaca i njihova iskustva nošenja odnosno korištenja te do-
biti savjet koji odjevni predmet se najbolje ‘slaže’ s odabranim. Svima nam je dobro
poznat osjećaj kada želimo probati neki odjevni predmet i u garderobi shvatimo da
smo uzeli manji ili veći broj. Često nam nije ugodno ‘polugoli’ izlaziti van i tražiti novi
broj ili kroj. U Macy’s i Bloomingsdale-e su prepoznali taj problem i pomoću digi-
talne tehnologije ga pokušavaju riješiti te na taj način obogatiti iskustvo korisnika.
Svoju posvećenost digitalnoj transformaciji poslovanja kompanija koja zapošlja-
va 172.500 zaposlenika iskazuje i pokretanjem internoga tehnološkog inkubatora
nazvanoga Idea Lab sa sjedištem u San Francisco-u. Interni tehnološki inkubator
omogućuje ovoj velikoj kompaniji razmatranje ‘disruptivnih’ digitalnih inovacija
među koje spadaju i sljedeće novije inicijative:11 isporuka isti dan pomoću Shopkick
10
http://fortune.com/2014/10/09/bloomingdales-smart-dressing-room/.
11
http://www.mobilecommercedaily.com/macys-tests-mobilized-fi tting-rooms-as-in-store-tran-
sformation-continues.
17
aplikacije i ShopBeacon tehnologije, označavanje proizvoda u prodavaonici (RFID12

tehnologija i elektroničke oznake – etags), in-store skeneri i čitači, personalizirane
ponude kupcima ovisno o njihovoj lokaciji i navikama kupnje, uvođenje bezgoto-
vinskih načina plaćanja (Apple Pay, Macy’s i Bloomingsdale’s Wallet), Macy’s Image
Search kojime je putem pametnoga telefona moguće fotografirati željeni ‘outfit’
i dobiti preporuku koji odjevni predmeti u Macy’s-u najviše odgovaraju željenoj
odjevnoj kombinaciji itd. Vrlo često takvu strategiju odnosa s korisnicima zovemo
‘omnichannel customer strategy’.13
Macy’s ozbiljno nastavlja s digitalnom transformacijom svojega poslovanja i tre-
nutno testiraju sljedeću zanimljivu uslugu: na određenim odabranim ili najboljim
prodajnim mjestima (flagship stores) instalirali su ‘pametna ogledala’ s kojima kupci
komuniciraju pokretima ruku (kao u igrama na računalnim konzolama poput Wii i
sličnih) i na taj način virtualno isprobavaju odjevne predmete. Možete li zamisliti
dame kako stoje ispred pametnoga ogledala i pljeskom, dizanjem ruku ili sličnim
pokretima probaju kako im stoji crna umjesto bijele košulje?
Vjerojatno najuspješniji primjer proširene stvarnosti, barem u trenutku pisa-
nja ove knjige (srpanj 2016.) jest računalna igra Pokemon GO, kojom je Nintendo
doslovno zaludio milijune ljudi diljem svijeta. Koristeći proširenu stvarnost, algori-
tam igre virtualno ostavlja pokemone po raznim fizičkim prostorima do kojih ko-
risnici trebaju doći i pokupiti ih, sinergijski koristeći sljedeće digitalne tehnologije:
mobilne tehnologije i lokacijske usluge, društvene zajednice, proširenu stvarnost,
cloud usluge. Osim ‘osnovne’ zaluđenosti računalnom igrom, najveća korist od Po-
kemon GO aplikacije može biti u hodanju, razgledavanju i stvaranju društvenih
zajednica. No, emocije koje ljudi unose u računalne igre mogu biti i opasne. Tako je
Hrvatska gorska služba spašavanja zamolila turiste i korisnike da ne traže pokemo-
ne po Velebitu, Biokovu i ostalim mjestima gdje je teško do njih doći. Osim što šeću
gradovima u potrazi za pokemonima, igrači ih traže u fizičkim prostorima (bolnice,
crkve, ustanove itd.), zaustavljaju promet izlažući se opasnosti, pa je u SAD-u na
mnogim prometnim autoputevima najčešća obavijest ‘Don’t pokemon and drive’.
Rezultat potpune zaluđenosti računalnom igrom jest porast vrijednosti dionice
Nintenda od 86 % (srpanj 2016.), uz izravnu poslovnu korist od oko 5 milijardi USD.
Osim toga, Pokemon GO proširena stvarnost stvara izvrsne poslovne mogućnosti.
Vlasnik jedne male pizzerije u Long Islandu (New York) je platio 10 USD kako bi u
njegovome lokalu bilo puno virtualnih pokemona, čime je preko vikenda povećao
12
RFID (engl. Radio Frequency Identification) predstavlja sitan računalni čip koji radijskom frekvencijom
može u okruženje periodički (primjerice, svakih 30 sekundi) slati podatke koji su na njemu pohranjeni
(to mogu biti razni podaci o proizvodu koji je opremljen takvim čipom poput matičnih podataka, stanja
zaliha, roka trajanja itd.).
13
http://www.businesswire.com/news/home/20140915005587/en/Macy%E2%80%99s-Outli-
nes-Developments-Omnichannel-Strategy-Technology.
18
svoj promet za preko 75 %. Možemo li zamisliti što će se sve događati kada proši-
rena stvarnost postane sasvim uobičajena i rutinska digitalna tehnologija?
Boeing , dobro poznati proizvodač zrakoplova, koristi neuspješnu Google Glass
tehnologiju (neuspješnu u smislu da nije postala masovni proizvod i tehnološki
gadget) u svojim internim poslovnim procesima kako bi poboljšali učinkovitost
rada. Kada veliki Boeing zrakoplov dođe na redoviti ili izvanredni pregled, ‘mali je
milijun’ vrlo sofisticiranih dijelova koje treba pregledati, zamijeniti ili provjeriti nji-
hovu ispravnost. Vrlo često su inženjeri ili serviseri pod velikim pritiskom jer servis
treba obaviti nepogrešivo točno, ali i vrlo brzo (svaka minuta koju veliki zrakoplov
provede na zemlji, a trebao bi biti u zraku kompaniju vrlo skupo košta). U Boeingu
su digitalizirali poslovanje na način da serviseri i inženjeri koji rade na održavanju
koriste Google Glass naočale koje u sebi imaju sofisticirane računalne čipove spo-
sobne na zaslon naočala projicirati sadržaj (internetski sadržaj, rezultat pretraži-
vanja i slično). Na taj način serviseri mogu u Google Glass pohraniti sve tehničke
upute kako servisirati veliki motor zrakoplova ili bilo koji drugi dio i pratiti na zaslo-
nu naočala (vizualne i grafičke) korake koje treba poduzeti za pregled svakoga, pa i
najmanjega detalja. Pri tome im, dok rade, digitalna tehnologija omogućuje pregled
baze znanja kako su njihovi kolege riješili isti problem na nekome drugom kraju svi-
jeta. Nakon što riješe problem Boeing serviseri su sitnim nagradama (‘gamification’)
motivirani opisati način rješavanja problema i pohraniti ga u bazu znanja odno-
sno bazu podataka otklanjanja problema za određene dijelove i tipove zrakoplova.
Gamification predstavlja primjenu prakse koja je koristi u računalnim igricama u
poslovne svrhe. U računalnim igricama radimo određene aktivnosti koje predstav-
ljaju logike igre i skupljamo bodove koji nam omogućuju prijelaz u višu ‘razinu’ igre.
Boeing primjenjuje gamification na način da su radnici motivirani podijeliti svoje
znanje, vještinu i iskustvo sa svojim kolegicama i kolegama, pri čemu kompanija
ima koristi od ‘kolektivne inteligencije’ koja nastaje agregriranjem i analitikom tih
znanja i iskustava rješavanja problema.
BMW, također dobro poznata multinacionalna kompanija, najpoznatija kao pro-
izvođač automobila, Google Glass tehnologiju koristi i u procesima završne kon-
trole kvalitete. Odlično uvježbani i obrazovani kontrolori kvalitete koriste Google
Glass pri završnoj provjeri svih detalja kvalitete BMW automobila, pri čemu ka-
mera snima sve njihove aktivnosti koje se automatski pohranjuju u bazi podata-
ka dokumentacije o provedenome postupku provjere kvalitete.14 Obzirom da je
kvaliteta vrlo važna stavka ovoga premium proizvođača automobila, kontrolori se
mogu potpuno posvetiti njihovoj detaljnoj provjeri, a ‘dosadne’ aktivnosti kao što
je naknadno sastavljanje izvještaja i pripremu pisane dokumentacije o provede-
14
http://www.gizmag.com/bmw-google-glass/34994/ ili http://www.manufacturingglobal.com/tech-
nology/250/BMW-uses-Google-Glass-on-its-vehicle-production-lines.
19
nim aktivnostima uvelike obavlja sama tehnologija. Osim toga, brojne kompanije u
automobilskoj industriji koriste te ili slične digitalne tehnologije kako bi poboljšale
svoje interne poslovne procese, ali i kako bi svojim kupcima ponudile što je mogu-
će bolje iskustvo kupnje ili korištenja. Česta je primjena naočala koje omogućuju
proširenu stvarnost, posebice kod kupnje i odabira automobila, ali i svakodnev-
noga korištenja (prometne informacije koje se prikazuju na naočalama, lokacijske
upute, navigacijske mape itd.15). Audi svojim potencijalnim kupcima omogućuje da
u prodajnome salonu, uz upotrebu tehnologije proširene stvarnosti, vide i opipaju
brojnu skupu dodatnu opremu, osjete svaki detalj kada konfiguriraju svoj budući
automobil, kao da zaista borave u njemu, pa čak i osjete miris kožnih sjedala koja
su odabrali.
Višekanalsko iskustvo (omni-channel retailing) i stvaranje

digitalnog brenda
Spajanje fizičkih i digitalnih iskustava korištenja nekoga proizvoda ili usluge i uop-
će ‘konzumiranja’ određenoga brenda možemo nazvati više-kanalskim iskustvom
(omni-channel experience). Jedan od predvodnika trenda povezivanja iskustava kori-
štenja proizvoda ili usluge iz fizičkih i digitalnih kanala prodaje i stvaranja digitalnoga
brenda je Burberry. Kada je Angela Ahrendts 2006. godine postala CEO Burberry-a
preuzela je dobro uhodan posao i odmah uvidjela ono što nitko drugi nije: da dobro
poznata (rekli bismo i tradicionalna) modna kuća može ponovno ‘otkriti sebe’ kao
vrhunski digitalni brend. Angela je osobno preuzela liderstvo, inicijativu i nadzor nad
nizom vrlo zanimljivih projekata i aktivnosti vezanih uz digitalizaciju poslovanja:
• web mjesto www.artofthetrench.com gdje su korisnici postali modeli koji pozi-
raju i ostavljaju svoje fotografije u dobro poznatome baloneru (‘trench coat’), za-
štitnome znaku modne marke, stvarajući zajednicu lojalnih korisnika odnosno
digitalnu komunikacijsku platformu za komentare, razgovore i rasprave
• robustan web shop (www.burberry.com) s velikim izborom svih proizvoda,
brzom dostavom u sve dijelove svijeta i izvrsnim iskustvom kupnje
• digitalizacija fizičkih prodajnih mjesta korištenjem tehnologija za označavanje
proizvoda (RFID tehnologijom su označeni svi proizvodi, radi čega ih je bilo
lako pratiti u dostavi, logistici, distribuciji i samoj prodaji)
• u londonskome Regent Street-u, legendarnoj Burberry prodavaonici (flagship
store) uvedena je nova usluga, Burberry World Live, integrirano iskustvo kup-
nje, koje se sastoji od velikih televizijskih zaslona, gotovo 500 nevidljivih zvuč-
15
http://europe.autonews.com/article/20150419/COPY/304199973/bmw-inspired-by-google-gla-
ss-tests-experimental-driving-goggles.
20
nika i hidraulične pozornice. Burberry World Live predstavlja neponovljivu

kombinaciju fizičkoga i digitalnoga iskustva kupnje u kojemu korisnici mogu
isprobavati određene odjevne predmete opremljene RFID čipovima i vidjeti
kako bi taj komad odjeće izgledao na modnoj reviji.
Uz angažiranje hrabrih mladih dizajnera, brojni projekti digitalizacije poslovanja su
jako podigli vrijednost kompaniji, povećali prihod za tri puta, stvorili vodeći digi-
talni brend, a Angeli Ahrendts omogućili poziciju izvršne direktorice za prodaju u
Apple-u.
Tehnološke kompanije se također trude prikloniti ovome trendu, pa je tako 2015.
godine Google otvorio svoju prvu fizičku prodavaonicu (London Tottenham Co-
urt Road), Amazon.com je isto učinio na 5. aveniji u New York-u, a dobro nam
je poznato da su Apple Stores prodavaonice s pomno promišljenim konceptom
prodaje odličnoga izgleda i uvijek na vrhunskim lokacijama, kako bi korisnici i kupci
proizvoda imali ugodno okruženje za druženje, razmjenu iskustava itd.
Audi, dobro poznati proizvodač premium automobila, mijenja koncept prodaje i
digitalizira svoje poslovanje na način da prodajni prostori više nisu na periferijama
gradova, nego u središtima zanimljivih gradova, gdje se obilato koriste digitalne
tehnologije kako bi se dočaralo iskustvo vožnje, korištenja ili kupnje automobila.
Prodaja se temelji na korištenju tehnologije proširene stvarnosti gdje kupac pri
kupnji svojega limenog ljubimca koristi specijalne naočale kojima može osjetiti
kako izgleda dodatna oprema koju naručuje, iskusiti kako izgleda sjediti u svome
novom automobilu (uz pomoć virtualne stvarnosti), čak i osjetiti miris kožnih sje-
dala koje razmatra kupiti.
Lanac hotela CitizenM omogućuje korištenje digitalnih tehnologija da bi se odabi-
rom opcije na tablet računalu mijenjao izgled sobe. Ovisno o raspoloženju možete
mijenjati sliku na zidu (digitalna je, okvir je fizički), soba ima nekoliko ‘modova’ (ro-
mantic, party, contemporary, pri čemu se odabirom opcije mijenjaju boje, intenzitet
osvjetljenja, programi na televiziji, glazba na radiju itd.). Iako su sobe jako malene i
uske, pamtljiva iskustva i ‘cool’ pristup im omogućavaju izvrsne recenzije korisnika.
Lee Jeans je u listopadu 2015. pokrenuo kampanju u 32 grada širom Kine s ciljem
promocije jeansa koji zadržava toplinu. Kupci su bili motivirani da, čak i po hladno-
me vremenu, što više šetaju i hodaju svojim gradovima dok se njihovi pokreti prate
na Warmth Tracker WeChat aplikaciji. Indeks topline se pohranjuje i povećava kada
korisnici skeniraju QR kod na označenim lokacijama. Sakupljajući bodove, korisnici
mogu dobiti Magma Fusion denim proizvode i nazočiti ekskluzivnim događajima.
Umjesto stvaranja sadržaja, vodeće kompanije u digitalnoj ekonomiji stvaraju plat-
forme pomoću kojih je moguće stvaranje sadržaja u suradnji s korisnicima, prije
svega pamtljivih trenutaka i inspirirajućih iskustava (experiential retail ).
21
Pamtljiva iskustva i inovativne ideje su moguće i u javnome prostoru. Već je uobi-

čajeno da se putem mobilne aplikacije prijavljuju komunalni problemi, da se može
fotografirati određena sumnjiva situacija i poslati je policiji na posebnu aplikaciju
koja predstavlja njihovu društvenu mrežu, no, u engleskome gradu Southendu su
otišli korak dalje i omogućili interaktivna digitalna iskustva u javnim parkovima.
NetPark u Southendu je javni park s besplatnim bežičnim internetom koji lokal-
nim umjetnicima i performerima omogućuje intervencije u prostoru, na način da
stabla mogu razgovarati, buseni trave prikazuju predmete, a prostorom odjekuju
inspirirajuće priče.
Promotrimo još par primjera u kojima digitalne tehnologije omogućuju ‘običnim’ i
‘prosječnim’ brendovima da iskoriste kreativne mogućnosti i stvore platforme koje
korisnicima pružaju bolje iskustvo:
• u svibnju 2015. godine Hotel Banks u Antwerpenu je u suradnji s francuskom
modnom markom Pimkie uveo novu uslugu – Mini Fashion Bar. Umjesto
mini bara punoga sokova i alkoholnih pića ovaj hotelski lanac korisnicima
nudi odjevne predmete i accessoriese koji odgovaraju lokalnim vremenskim
uvjetima i aktivnostima. Gosti hotela mogu koristiti takvu robu i kupiti je na
odlasku, koristeći usluge modnog concierge-a. Ako su korisnici na društvenim
mrežama (Instagram prije svega) ‘lajkali’ neki Pimkie odjevni predmet, narav-
no da će ih upravo taj komad dočekati u Mini Fashion Bar-u
• španjolska telekomunikacijska kompanija Telefonica je u rujnu 2015. uvela
uslugu kojom temeljem praćenja aktivnosti korisnika utvrđuje da je korisnici-
ma dosadno i šalje im ‘neki zanimljivi’ sadržaj
• odličan primjer višekanalske strategije je već spomenuti primjer Pizza
AnyWare projekt poznatoga (u SAD-u) lanca pizzerija Domino’s. Gladni ko-
risnici mogu naručiti svoju omiljenu pizzu koristeći Siri aplikaciju Do, ‘tweeta-
njem’ ili slanjem pizza e-moji-a (posebno razvijenih u suradnji s društvenim
mrežama kao što je SnapChat) ili vozeći se kući u pizza – kompatibilnome
Fordu koji je opremljen digitalnim tehnologijama. Nakon narudžbe dolazak
pizze se može pratiti putem Domino’s aplikacije.
Nosive tehnologije
Teddy the Guardian je inovativan koncept kojime je u plišani medvjedić, omiljenu

dječju igračku, ugrađen niz sofisticiranih senzora i računalnih čipova koji mogu oči-
tavati zdravstveno stanje djeteta nakon što prisloni medvjedića ili mu prisloni ruku
uz šapu (‘da mu pet’). Senzori će očitati tjelesnu temperaturu, zasićenost kisika u
krvi, broj otkucaja srca i tjelesni tlak i putem mobilne aplikacije o tome obavijestiti
roditelje ili zdravstvene radnike. Hrvatski start-up koji je pokrenut na Bachelor De-
22
gree in Business studiju na Ekonomskom fakultetu Zagreb proglašen je jednom od

100 najvažnijih tehnoloških inovacija, često se koristi u bolnicama i zdravstvenim
ustanovama (osobito NHS u UK, uz donacije hrvatskim bolnicama), a njihove osni-
vačice i inovatorice, Ana Burica i Josipa Majić, cijenjenim poduzetnicama u svjet-
skim razmjerima.
BellaBeat je hrvatsko-slovenski start-up (www.bellabeat.com) s trenutno najve-
ćom tržišnom kapitalizacijom od nekoliko stotina milijuna USD i sjedištima u Za-
grebu, Londonu, San Francisco-u i Hong Kongu. BellaBeat proizvodi pametni nakit
(tzv. nosive tehnologije) kojime uz pomoć senzora trudnice mogu pratiti otkucaje
srca djeteta, ali i svatko može pratiti svoje zdravstveno stanje i uočavati probleme,
odstupanja i slično.
Mastercard, dobro poznata kartičarska kuća, prihvaća činjenicu da se njihov kla-
sičan poslovni model polako približava svome kraju i da ga trebaju prilagoditi tren-
dovima digitalne ekonomije. Jedan od projekata kojime to pokušavaju napraviti jest
i partnerstvo s kompanijom Coin, specijaliziranom za nosive tehnologije, pomoću
koje se Mastercard želi pozicionirati kao važan čimbenik na tržištu plaćanja putem
različitih nosivih uređaja.
1.3. Što predstavlja digitalna transformacija

poslovanja i zašto su nam važne digitalne
poslovne platforme?
Digitalni poslovni modeli predstavljaju sve poslovne aktivnosti koje se odvija-
ju elektroničkim putem i uz pomoć digitalnih tehnologija, a kojima se intenzivnim
elektroničkim povezivanjem s okruženjem stvara nova vrijednost i koriste predno-
sti poslovanja u digitalnoj ekonomiji. Digitalni poslovni model predstavlja način
prilagodbe načina i modela poslovanja uvjetima digitalne ekonomije s ciljem pro-
nalaženja održivih izvora prihoda i dodane vrijednosti novoga modela poslovanja
koji intenzivno koristi digitalnu tehnologiju.
Jedno od najvažnijih obilježja digitalizacije jest mogućnost transformacije odno-
sno promjene načina poslovanja i stvaranje potpuno novih – digitalnih poslovnih
modela kojima se iz temelja mijenja način provedbe poslovnih procesa u nekoj in-
dustriji. Disruptivne inovacije upravo imaju takva obilježja i predstavljaju proces
radikalne promjene uobičajenih poslovnih modela i pravila odvijanja poslovanja
u nekoj industriji koje se događaju inovativnom primjenom digitalne tehnologije.
Digitalna transformacija poslovanja se odnosi na intenzivnu primjenu digital-
ne tehnologije i digitalnih resursa u svrhu stvaranja novih izvora prihoda, novih
poslovnih modela i, općenito, novih načina poslovanja. Kompanije koje uspješno
23
digitalno transformiraju svoje poslovanje uspjele su prilagoditi poslovni model i na-

čin funkcioniranja uvjetima digitalne ekonomije, što često ima za nagradu vodeću
poziciju na tržištima i konkurentskome okruženju. Takve kompanije jednostavno
rade one stvari koje drugi ne mogu ili ih rade na način koji stvara prednost nad
konkurencijom.
Digitalizacija poslovanja se ne odnosi samo na tehnološke kompanije kao što su
Facebook, Google, Apple, Amazon.com. Linkedin, Uber, Airbnb, Lyft i slični. Podsje-
timo se da su upravo Google i posebice Apple bile prve kompanije koje su digitali-
zirale svoje poslovanje. Apple je još prije desetak godina digitalizirao svoj poslov-
ni model na način da je transformirao svoje poslovanje od proizvodnje i prodaje
računala do vlasnika i operatera elektroničkih tržišta (iTunes, AppStore). Apple
je napravio revoluciju u glazbenoj industriji stvaranjem iTunes-a, a na AppStore
elektroničkome tržištu svaki je kreativni programer ili tehnološki zanesenjak mo-
gao napraviti mobilnu aplikaciju, postaviti je na tržište i dijeliti zaradu s vlasnikom
– operaterom tržišta (Apple). Ako ste imali vremena i znanja napraviti računalnu
igricu i postaviti je na AppStore i ako se pokazalo da je unatoč cijeni od 0,99 USD
ona toliko zanimljiva i neodoljiva da ju je milijun ljudi ‘skinulo’ na svoje pametne
telefone, tada ste u omjeru 70 : 30 dijelili svu zaradu s vlasnikom i operaterom toga
elektroničkog tržišta – kompanijom Apple. Upravo na taj način Apple je stvarao
najviše prihoda, što ga je prije desetak godina činilo pravim predvodnikom digi-
talne ekonomije koji je unio istinske digitalne disrupcije u brojne industrije (glaz-
ba, komunikacija, fotografija, mobilne aplikacije). Apple poslovni model je star već
desetak godina i od mnogih imitiran i kopiran, pa kao takav zahtijeva određena
poboljšanja, ili još bolje, novi ciklus disruptivne inovacije, kako bi ostala lider, a ne
‘prosječna’ kompanija u digitalnoj ekonomiji.
Na vrlo sličan način Google je napravio disruptivnu inovaciju u marketingu i ostalim
industrijama (Google AdWords, AdSense) i potpuno digitalizirao svoje poslovanje
nudeći korisnicima niz korisnih alata (Google ih ima par stotina koje svakodnevno
koriste milijuni ljudi diljem svijeta, ovom prigodom spomenimo samo neke: gmail,
maps, drive, docs, analytics itd.).
Po sličnom načelu danas funkcioniraju globalne digitalne poslovne platforme:
• digitalne platforme za rezervacije (Airbnb, Booking.com i slični)
• digitalne platforme za prijevoz (Uber, Lyft, Blablacar, DriveNow)
• digitalne industrijske platforme (General Electric)
• digitalne platforme za komunikacije (Facebook, Twiter, Instagram, Snap-
chat, LinkedIn)
• digitalne platforme za trgovinu (Amazon, eBay, Alibaba)
24
• digitalne platforme za plaćanje (mPesa, PayPal, Apple Pay, Stripe, Square,

Google Wallet, Oradian i brojni drugi)
• digitalne platforme za marketing (Google, Facebook, Instagram)
• digitalne platforme za obrazovanje (Coursera, edX, Udacity, Khan Aca-
demy)
• ili će tek u budućnosti funkcionirati neke nove poput digitalne platforme za
proizvodnju – Adidas 3D Future Craft i Adidas Speedfactory.
Za očekivati je da ćemo u budućnosti imati i digitalne platforme za poljoprivre-
du i proizvodnju hrane (po Farmeron modelu), zdravlje, javnu upravu (zami-
slite da kao aplikaciju možete ‘downloadati’ usluge javne uprave) itd.
Kao što je već bilo istaknuto, digitalizacija poslovanja nije samo obilježje suvre-
menih tehnoloških poslovanja. Svaka se vrsta poslovanja može digitalizirati,
jer primjenom digitalnih tehnologija i resursa poslovni subjekti mogu inovirati po-
slovni model i stvoriti i održati prednost nad konkurentima. Digitalno poslovanje
se ostvaruje digitalnom transformacijom, dakle, prilagodbom poslovnoga modela
uvjetima digitalne ekonomije.
Digitalno poslovanje (digitalna transformacija poslovanja) odnosi se na
stalnu primjenu digitalnih tehnologija usmjerenu osmišljavanju inovativnih poslov-
nih strategija i disruptivnih poslovnih modela, primjeni progresivnih koncepcija
poslovanja, novih načina vođenja i upravljanja (digitalni lideri), kako bi se kupcima
ponudili bolji proizvodi, usluge i posebice iskustva njihova korištenja. Pri tome se
intenzivno koriste digitalne tehnologije kako bi se stvorila nova vrijednost za kup-
ce, omogućilo nenadmašno iskustvo upotrebe poslovnoga modela, što bi trebalo
rezultirati boljim poslovnim prihodima i općenito boljim rezultatima poslovanja.
Kompanija može intenzivno koristiti digitalnu tehnologiju, a ne digitalno poslovati
odnosno ne biti u poziciji digitalno transformirati poslovanje. Tipičan primjer može
biti kompanija koja narudžbe kupaca ne prima putem mobilnoga telefona, nego
putem mrežne stranice. Možda se radi o učinkovitijem procesu koji ne koristi di-
gitalne, nego ‘klasične’ informacijsko-komunikacijske tehnologije, ali taj proces ne
treba nužno predstavljati ‘transformaciju’ poslovanja.
Digitalne tehnologije se prilično oslanjaju na koncept informacijsko-komuni-
kacijske tehnologije odnosno predstavljaju njihov podskup, ali i vrlo važan dio.
Informacijsko-komunikacijske tehnologije (ICT) predstavljaju zbirni pojam
kojime se određuje hardver, alati i algoritmi pomoću kojih informacijski sustavi po-
slovne transakcije provode na brži, efikasniji, često i inovativniji način. U tu kate-
goriju ubrajamo sve interaktivne uređaje koji su opremljeni računalnim čipovima i
sposobni komunicirati (mobilni telefoni, ‘pametni’ uređaji, ‘pametna’ infrastruktura,
25
računala, hardver itd.) i sve alate i algoritme koji ih čine ‘pametnim’ i interaktivnim
(mobilne aplikacije, sigurnosni protokoli, protokoli prijenosa digitalnoga sadržaja,
alati koji očitavaju stanje nekoga uređaja i algoritmi pomoću kojih se ti isti uređaji
kontroliraju i upravljaju itd.).
Digitalne tehnologije predstavljaju svojevrsnu nadogradnju, ali su i dalje
pod-pojam u odnosu na informacijsko-komunikacijske tehnologije, pri čemu ‘na-
sljeđuju’ sva njezina korisna svojstva, a mahom se odnose na najsuvremenije teh-
nologije današnjice koje omogućuju gotovo isključivo digitalni prijenos sadrža-
ja. I dok i danas imamo primjera ICT-e koja omogućuje i analogni prijenos sadržaja
i uopće ‘analogno funkcioniranje’, digitalne tehnologije se odnose na nove komuni-
kacijske uređaje i koncepte koji omogućuju isključivo digitalnu komunikaciju.
Brojni su primjeri inovativnih poslovnih modela koji intenzivno koriste digitalne
tehnologije s ciljem stvaranja nove vrijednosti za korisnike. Zaključimo ovo po-
glavlje analizom poslovnih modela kompanija koje vrlo intenzivno i sveobuhvatno
koriste gotovo sve primarne digitalne tehnologije (mobile, social, cloud, big data,
Internet of Things), ali i sekundarne poput umjetne inteligencije, 3D printanja, pro-
širene stvarnosti, iBeacon i lokacijskih usluga, nosivih tehnologija, gamification itd.,
što im je omogućilo digitalnu transformaciju poslovanja i disruptivne promjene u
industrijama u kojima se natječu.
1.4. Disruptivne inovacije koje proizlaze

digitalizacijom poslovanja
Softver će napraviti disruptivne promjene u brojnim industrijama
u sljedećih 5 - 10 godina
Putem Airbnb-a kao digitalne rezervacijske platforme više ljudi je rezerviralo smje-
štaj nego preko ‘fizičkih’ hotelskih lanaca. Na taj način Airbnb, kompaniju koja je
nastala 2009. godine, možemo smatrati najvećom ‘hotelskom kućom’ na svijetu,
a da nisu vlasnici niti jedne nekretnine u kojoj njihovi korisnici koriste smještaj, za
razliku od ‘fizičkih’ hotelskih lanaca koji su vlasnici stotina tisuća nekretnina. Slična
je situacija i s Uberom. Iako ne posjeduju niti jedan automobil, Uber je globalna
digitalna platforma za prijevoz, koja ih čini najvećim taxi prijevoznikom na svijetu.
Jesu li slične ‘disruptivne’ promjene moguće u bankarstvu, financijskoj industriji,
trgovini ili bilo kojoj drugoj industriji? Koristeći digitalne tehnologije (istodobno ko-
rištenje primarnih i sekundarnih digitalnih tehnologija, uz mogućnosti primjene i
ostalih) moguće je koristiti bankovne usluge, a ne ulaziti u banku. Možda je dovolj-
no ‘skinuti’ mobilnu aplikaciju koja predstavlja učinkovit digitalni poslovni model i
koristiti bankovne usluge?
26
Hoćemo li se u budućnosti u svim industrijama snažno oslanjati na softver (mo-

bilne aplikacije ili digitalne platforme za poslovanje), koji će biti temelj digitalnih
poslovnih modela?
Hoće li sve kompanije u budućnosti biti ‘IT kompanije’ specijalizirane za bankar-
stvo, osiguranje, prijevoz, proizvodnju, trgovinu ili neke druge djelatnosti? GE, kao
jedna od najvećih kompanija na svijetu svojom je uspješnom digitalnom transfor-
macijom pokazala da je to itekako moguć scenarij.
Autonomni automobili i prijevoz
Predviđa se da će se 2018. godine pojaviti prvi autonomni automobili, dakle, auto-

mobili kojima će upravljati računalo, a ne čovjek. Oko 2020. godine predviđa se da
će cijela industrija doživjeti disruptivne promjene odnosno da će pod utjecajem
digitalnih tehnologija doći do velikih promjena u preferencijama kupaca i nači-
nu korištenja usluga. Automobile više nećemo htjeti posjedovati, nego koristiti
kada su nam potrebni (‘car sharing’, ‘sharing economy’). Jednostavno ćemo kori-
stiti neku buduću digitalnu platformu za prijevoz kojom ćemo putem pametnoga
telefona pozvati automobil kojega želimo, koji će se sam dovesti do naše lokacije.
Dok nas automobil vozi možemo raditi, biti produktivni ili se zabavljati korište-
njem najnovijih tehnologija ugrađenih u automobil. Nećemo plaćati parking, nema
više troškova kupnje, servisiranja, održavanja, registracije, tehničkoga pregleda,
zamjene guma, goriva itd., aplikaciji putem koje smo naručili prijevoz ćemo plaća-
ti korištenje automobila po vremenu i prijeđenome kilometru (Spin City, Drive
Now, ...).
Vrlo je izvjesno da naša djeca ili njihova djeca neće nikada posjedovati automobil ili
imati vozačku dozvolu. To će jako promijeniti način života u gradovima, jer će nam
trebati 90 % manje automobila. Automobilska industrija će se morati prilagodi-
ti drastično smanjenoj potražnji, proizvodit će se mahom električni automobili
(Tesla), brojna parkirališta će se moći pretvoriti u parkove, brojni ljudski životi
će biti spašeni (godišnje oko 1,2 milijuna ljudi pogine u automobilskim nesreća-
ma, sa samovozećim automobilima koji međusobno interagiraju i komuniciraju
s prometnom i ostalom pametnom infrastrukturom, pretpostavlja se da će broj
nesreća biti drastično manji). Uostalom, poznata automobilska kompanija Volvo
ima cilj do 2020. godine proizvesti automobil koji će se ‘odbiti’ sudariti (jer će
biti opremljen IoT uređajima i sposoban komunicirati s okružjem s ciljem sprje-
čavanja sudara), ili ako se i sudari, putnici u njemu neće dobiti po život opasne
ozljede. Naposljetku, disrupcija koju donosi digitalna transformacija poslovanja
znači da trenutno zaista ne možemo biti sigurni hoće li 2020. godine Google i
Apple biti najveći svjetski proizvođači električnih automobila ili će biti najveće
svjetske banke.
27
Osiguranje
Osiguravajuća društva će morati mijenjati svoje poslovne modele jer ćemo imati
znatno manje automobilskih nesreća, rizici će biti manji, polica osiguranja će biti
100 puta jeftinija i ubrzo će nestati potreba za policama automobilskih i kasko
osiguranja.
Amodo je hrvatski start-up (www.amodo.eu) koji, uz dopuštenje korisnika, prati
njihove navike vožnje (IoT senzori), prikuplja i agregira informacije o stilu vožnje
(podaci se pohranjuju u računalnome oblaku i analiziraju) i agregirane podatke
šalje osiguravajućim kućama koje korisniku nude jeftiniju i personaliziranu policu
osiguranja.16 Automobil je opremljen senzorima i IoT uređajima koji prikupljaju i u
cloud okruženju pohranjuju sve podatke o vožnji, pridržavanju ili kršenju pravila,
analiziraju sve te podatke i agregirano znanje o vozačkim navikama šalju osigu-
ravajućoj kući koja temeljem toga korisniku koji pažljivo vozi i ne krši prometna
pravila daje velike popuste i personaliziranu policu osiguranja. Osim prikupljanja
podataka o navikama vožnje, ova digitalna platforma omogućuje povezivanje s
kućnim uređajima, a prikupljanje, analitika i praćenje takvih podataka kuću odno-
sno kućanstvo čini ‘pametnim’. Na sličan je način moguće prikupljati podatke o
zdravstvenome stanju, životnim navikama, navikama prehrane, tjelovježbe itd. i
učiniti svoj život ‘pametnijim’ ili barem ‘informiranijim’. Prosljeđivanje takvih anali-
tičkih podataka osiguravajućim kućama može olakšati poslovanje, približiti ih ko-
risnicima (‘customer intimacy ’), i osim odličnih temelja za digitalnu transformaciju
poslovanja, omogućiti stvaranje novih proizvoda i usluga (personalizirane police,
briga za korisnike) i naposljetku bolje poslovne rezultate.
Umjetna inteligencija i odlučivanje
Računala i sveprisutni računalni čipovi (IoT okruženje) će biti opremljeni sve sofisti-
ciranijim algoritmima (osobito ‘big data’ i ‘data mining’ algoritmima) kojima će dobiti
sposobnost vrlo brzoga učenja i obrade ogromne količine raznorodnih podataka.
Radi ograničenoga kapaciteta ljudskoga mozga i ipak smanjene mogućnosti pohra-
ne podataka, uređaji temeljeni na umjetnoj inteligenciji će postupno sve intenzivnije
biti uključeni u donošenje poslovnih odluka i postati ravnopravni ‘članovi uprave’.
IBM superračunalo Watson već sada daje pravne savjete i preporuke (zasad u ru-
tinskim područjima) s 90 %-tnom točnošću, u odnosu na 70-ak % pouzdane i točne
savjete koje daju ljudi - pravnici. Hoće li se u budućnosti pravnici usredotočiti samo
na specijalna područja, a rutinske odluke prepuštati tehnologiji? Hoćemo li se i u
ostalim područjima oslanjati na pouzdanu i ‘nepogrešivu’ umjetnu inteligenciju?
16
Detaljnije o poslovnome modelu Amodo: Špigel, Ivo (2016): Speedinvest’s first Croatian investment
is “insurtech” company Amodo, http://tech.eu/features/10483/speedinvest-amodo/.
28
IBM Watson već sada s četiri puta većom preciznošću i pouzdanošću može di-
jagnosticirati rak nego ljudi, radi čega se intenzivno koristi u brojnim klinikama u
svijetu. Facebook ima ugrađen softver koji ljudska lica prepoznaje bolje nego sami
ljudi. Smatra se da će do 2030. godine računala biti pametnija nego ljudi.
Zdravlje
Integracijom tehnologija koje su dosad bile opisane, moguće je proizvoditi uređaje

opremljene senzorima koji, zasad, očitavaju zdravstvene podatke i dodaju im vri-
jednost putem određene usluge (nosive tehnologije omogućuju očitavanje zdrav-
stvenih podataka, primjeri sličnih uređaja i start-up kompanija su BellaBeat, Teddy
the Guardian i slično). Ti su uređaji sposobni očitati ključne zdravstvene podatke,
pratiti tijek bolesti i upozoravati korisnike na simptome ili zdravstvene probleme.
Budući ‘digitalni’ medicinski uređaji će biti potpuno personalizirani, povezani s mo-
bilnim telefonima, a njihova napredna tehnologija će nas moći pregledati (‘retina
scan’ na naprednim medicinskim uređajima) i dati dijagnozu temeljem pretrage
krvi, uzorka daha i analize više od 50 biomarkera. Takvi, prije svega dijagnostički
uređaji će biti sveprisutni (kao danas mobilni telefoni), jeftini i svima će omogućiti
pristup vrhunskoj dijagnostici i zdravstvenoj skrbi.
3D printing, označavanje proizvoda i proizvodnja
U posljednjih desetak godina cijena 3D printera je pala s oko 18.000 USD na oko
400 USD, pri čemu su istodobno postali oko 100 puta brži i efikasniji. Brojne kom-
panije razmatraju velike promjene modela proizvodnje uz intenzivnu primjenu 3D
printanja (Adidas 3D Future Craft, Adidas Speedfactory17). Proizvođači sport-
ske opreme su u prošlosti inovirali ili digitalizirali svoje poslovne modele privla-
čeći kupce mobilnim aplikacijama koje su stvarale zajednicu korisnika. Digitaliza-
ciju poslovnoga modela je još 2006. godine započeo Nike s aplikacijom i linijom
proizvoda Nike+ i NikeID mogućnošću personalizacije proizvoda. Na mrežnom
mjestu www.nike.com korisnik odabire obuću koju može personalizirati i potpu-
no prilagoditi svojim potrebama birajući materijal, izgled, natpise i sve ostalo što
je potrebno da samostalno dizajnira unikatnu obuću, naruči je, plati putem digi-
talne platforme (15-ak % skuplje nego masovan proizvod koji se može kupiti na
bilo kojoj polici sportskih prodavaonica) uz dostavu na odabranu adresu. Osim
NikeID-a, Nike je već odavno digitalizirao svoj poslovni model i uz Nike+ aplikaciju i
liniju obuće i odjeće. U Nike+ proizvode moguće je ugraditi računalni čip koji prati
sportske rezultate, koji se nakon treninga jednostavno prebacuju na digitalnu plat-
formu Nike+ koja služi za razmjenu iskustava, komentare, komunikaciju korisnika i
17
Zaleski, A. (2015): Nike, Adidas and NB competes on 3D printing, http://fortune.com/2015/12/15/3d-
printed-shoe-race/.
29
stvaranje lojalne zajednice ‘ljubitelja’ robne marke i njezinih korisnika. Ta dva pro-
jekta digitalizacije poslovanja su bili važnim razlozima odličnih poslovnih rezultata
koje je Nike mogao zahvaliti drugačijemu i inovativnijemu (digitalnom) poslovnome
modelu. Konkurencija je ubrzo shvatila mogućnosti digitalizacije poslovanja, pa su
krenuli ne stvarati, nego kupovati i preuzimati fitnes aplikacije s velikim brojem
korisnika (Adidas i Runtastic, Asics i RunKeeper itd.18).
U novije vrijeme tehnološko nadmetanje proizvođača sportske obuće i odjeće se
nastavlja uz još intenzivniju upotrebu digitalnih tehnologija. Adidas je prihvatio
činjenicu da upravo digitalizacijom poslovanja može poboljšati svoje poslovne re-
zultate i konačno inovirati svoj poslovni model, pa do kraja 2016. godine planira u
potpunosti promijeniti model proizvodnje sportske obuće korištenjem robotike
i 3D printera (Adidas Speedfactory i Adidas 3D Future Craft). U 2015. godini
Adidasovih 1.100 tvornica mahom u Aziji s preko milijun zaposlenika je proizvelo
više od 301 milijun pari obuće. Da bi uspjeli povećati proizvodnju i omogućiti da se
obuća i odjeća proizvode bliže kupcima koji ih žele kupiti odmah, a ne radi logistič-
kih problema dostavu iz Azije čekati mjesecima, u Adidasu su odlučili kako moraju
povećati kapacitet proizvodnje za oko 30-ak milijuna godišnje i okrenuti se potpu-
no drugačijemu modelu proizvodnje – digitalnoj tehnologiji, prije svega robotima i
3D printerima. Pilot projekt se zove Adidas Speedfactory i odnosi se na visokoau-
tomatiziranu tvornicu u Ansbachu na jugu Njemačke u kojoj će raditi samo deset
ljudi, a sve ostalo će odrađivati roboti, za koje se smatra da će biti brži, efikasniji, ali
i jeftiniji od ionako jeftine radne snage u Aziji.19 Već krajem 2016. godine Speedfa-
ctory bi trebao proizvesti prvih 500 pari koje su šivali, bojili i pakirali roboti.
Krajnja vizija menadžmenta Adidasa je decentralizirana, fleksibilna manufakturna
proizvodnja koja će se moći prilagoditi lokalnim tržištima i gdje će se vrlo brzo i u
lokalnoj ‘robotiziranoj’ tvornici moći proizvesti ono što kupci žele. A kupci žele sve
sofisticiranije proizvode od naprednih materijala koje ljudi teško mogu proizvesti,
posebice brzo, jeftino i učinkovito. Adidasova boost cushioning tehnologija koja
olakšava trčanje će se ugrađivati u obuću čije će potplate proizvoditi 3D printeri,
personalizirano prema stopalu svakoga korisnika.
Trenutni poslovni model Adidasa funkcionira na sljedeći način: obuća, pose-
bice sportska se proizvodi u zemljama u kojima njezini kupci ne žive, a dok se
proizvod dostavi kupcu često prođe i nekoliko mjeseci. Takvi su proizvodi masovni,
s vrlo malo mogućnosti personalizacije. Digitalna tehnologija će inovirati poslovni
18
The Guardian (2016): Runkeeper bought by Asics in lattest sport brand app acquisition, http://
www.theguardian.com/technology/2016/feb/12/runkeeper-asics-sports-brand-app-acquisition.
19
Meyer, D. (2016): Why Adidas is turning to robots in Germany and US, http://fortune.com/2016
/05/25/adidas-robot-speedfactories/ ili http://www.fastcocreate.com/3054380/the-adidas-speed-
factory-aims-to-bring-local-customization-to-manufacturing.
30
model na način da će roboti utjecati na ukidanje troškova transporta jer će se obuća

proizvoditi u lokalnim tvornicama uz vrlo brzu dostavu, 3D printeri će omogućavati
potpunu personalizaciju potplata, a ostale dijelove obuće će korisnik moći sam dizaj-
nirati koristeći zanimljivu aplikaciju (po uzoru na NikeID). Sljedeći korak u digitalizaciji
je Hyperadapt i Flyknit tehnologija u kojoj će se tenisice samostalno vezivati ovisno o
potrebi pritiska i stegnutosti noge (ovisno o namjeni – primjerice, košarkaši će trebati
jako stegnutu tenisicu u području gležnja da bi možda izbjegli ozljede).
Ovakve disruptivne inovacije samo su dio tehnološkoga nadmetanja konkurenata
u industriji proizvodnje i korištenja sportske odjeće i obuće, posebice kompanija
Adidas i Nike. Više je nego izgledno da će se model proizvodnje u budućnosti jako
oslanjati na digitalne tehnologije, lokaliziranu i personaliziranu proizvodnju i da
ćemo vrlo skoro moći kupiti obuću ili odjeću na kojoj piše ‘Made by robots’.
Danas, a posebice u budućnosti, digitalna transformacija njihovoga poslovnog mo-
dela će se odnositi na intenzivno korištenje 3D printera prema sljedećemu sce-
nariju: ulazimo u lijepo uređenu prodavaonicu sportske opreme sa željom kup-
nje sportske obuće, kratko trčimo na traci, napredni algoritam preporuča vrstu
obuće obzirom na potrebu (planinarenje, košarka, nogomet, trčanje, hodanje, …)
i daje izravan nalog 3D printeru da isprinta ‘đon’ (potplat) obuće koju hoćemo ku-
piti. Nakon što dizajniramo i personaliziramo izgled ‘preostaloga’ dijela naše nove
košarkaške obuće (biramo materijale, dezene, dizajn, natpis kojime u potpunosti
personaliziramo izgled), robotizirana lokalna tvornica će dovršiti proizvodnju obu-
će i dostaviti je (dronom) na kućna vrata po cijeni koja je neznatno viša nego cijena
masovnoga proizvoda s bilo koje police.
Do kraja 2016. godine pojavit će se pametni telefoni koji će imati moguć-
nosti 3D skeniranja. Time ćemo moći ne samo fotografirati, nego 3D skenirati
svoje stopalo i printati svoju savršenu personaliziranu obuću kod kuće, a proizvo-
đači sportske opreme će nam omogućiti digitalnu platformu za to i time digitalno
transformirati svoje poslovanje. Zamislimo primjenu 3D skeniranja na pametnim
telefonima u svrhu identificiranja i zaštite privatnosti, u smislu povećanja sigurno-
sti itd. Što mislite o ‘selfijima’ pomoću 3D skeniranja?
Već je dobro poznato da se 3D printanje koristi u brojnim industrijama (rezervni
dijelovi za automobile, zrakoplove ili bilo koje druge uređaje, 3D printane kuće,
zgrade, ljudski organi, ključevi – KeyMe itd.). Do 2027. godine procjenjuje se da će
10 % svega što će se na svijetu proizvesti biti 3D printano.
Poljoprivreda i proizvodnja hrane
U Belju d.d. već nekoliko godina žetva započinje tako da bespilotna letjelica (skupi
dron s vrlo sofisticiranim softverom i GPS preciznom uslugom), detaljno snimi cije-
31
lo područje i da upute pametnome uređaju (vrlo skupome samovozećem traktoru)

kako treba obaviti sijanje površine (svaki četvorni metar površine dobiva ‘persona-
lizirani’ tretman – točno koliko treba vode, koliko duboko treba orati i slično, kako
bi prinos bio veći). Na vrlo sličan način se i žanje, pri čemu su uz pomoć digitalne
tehnologije prinosi puno veći nego klasičnim metodama.
Farmeron je hrvatski start-up (www.farmeron.com) kojime je, obzirom da su ži-
votinje označene interaktivnom tehnologijom, moguće pratiti njihovo kretanje na
farmi i personalizirano im pristupati. Podaci nužni za upravljanje farmom se pohra-
njuju koristeći računalstvo u oblaku, njihova analiza omogućuje pametnije odluke
i bolja rješenja. Farmeron je u vrlo kratkome roku prešao put od zanimljivoga rje-
šenja koji poboljšava obiteljsko gospodarstvo do nezaobilazne pomoći na nepre-
glednim farmama u Texasu.
U budućnosti će se pojaviti ‘poljoprivredni’ roboti koji će biti cijenom svima dostu-
pni i koji će brojnim novim naraštajima farmera omogućiti da upravljaju svojim far-
mama, a ne samo da po cijeli dan rade na njima. Farme i poljoprivredne površine
će biti pametne, premrežene digitalnim tehnologijama, a ciljana i personalizirana
proizvodnja hrane vrlo unosna i važna djelatnost.
Plaćanja
Velika većina platnih transakcija u današnjemu svijetu provodi se bezgotovinski,

pri čemu je najveći rast prisutan u mobilnim plaćanjima i korištenjima kriptovalu-
ta (Bitcoin i slične). Već je sada izvjesno da će budući pametni telefoni biti rutinski
opremljeni hardverom i softverom (aplikacije) koje će omogućiti mobilna plaćanja
(Apple Pay, Google Wallet, Samsung, ali i vrlo zanimljivi start-up-ovi poput kanad-
skoga SoundPays-a koji koristi Shazam tehnologiju prepoznavanja zvučnih zna-
kova kako bi autorizirao plaćanja). SoundPays je kanadska start-up kompanija
koja autorizira plaćanja putem mobilnoga telefona korištenjem tehnologije zvuč-
nih valova. Osnivači Shazam-a, dobro poznate aplikacije pomoću koje je moguće
putem pametnoga telefona i još pametnije aplikacije doznati koja pjesma upravo
svira na radiju, su odlučili iskoristiti zanimljivu tehnologiju prepoznavanja zvuka
pomoću zvučnih valova da bi omogućili autoriziranje plaćanja putem mobilnoga
telefona.
Time će postupno nestati potreba za gotovim novcem (brojne zemlje već ozbiljno
razmatraju ukidanje gotovoga novca jer se neznatan postotak transakcija plaća na
taj način, a rukovanje gotovim novcem samo stvara troškove i probleme). Uz takve
scenarije više nije toliko čudno promisliti hoće li Google i Apple biti najveće banke
na svijetu 2020. godine. A možda postanu najveći proizvođači automobila ili digi-
talna platforma za prijevoz ljudi?
32
Svakako, vrlo je izvjesno da ćemo u budućnosti više koristiti Bitcoin i slične načine
plaćanja, mobilna plaćanja će biti sveprisutna, a vjerojatno ćemo se približiti i nekoj
svjetskoj monetarnoj uniji (zamislite da na svijetu imamo samo jednu valutu – di-
gitalnu valutu!). Osim toga, blockchain tehnologija je možda i ‘game changer’ za
promjene u ostalim područjima života i rada20, jer osim što služi kao tehnološka
platforma za digitalne valute, ta tehnologija se u digitalnoj ekonomiji može koristiti
za praćenje ispravnosti i transparentnosti financijskih i poslovnih transakcija. Ako
želite uplatiti nekome novac kao društveno odgovorni dobrotvorni prilog ili pomoć,
pomoću blockchain tehnologije možete pratiti da taj novac uistinu i dođe na račun
onih kojima je namijenjen, ili na taj način možete pratiti sve poslovne transakcije
vezane za kupnju neke kuće ili građevinskoga zemljišta i provjeriti njihovu valjanost.
Oradian je kompanija osnovana 2014. u Zagrebu, s uredima u Londonu i Nigeriji
koja mikrofinancijskim institucijama u Africi i Aziji nudi softver za vođenje njihovoga
posla temeljen na cloud uslugama. U ožujku 2016. godine ugledni poslovni časopis
Forbes je Oradian proglasio jednim od pet najboljih fintech startupa u Europi. Ora-
dian je u srpnju 2016. godine premašio 500.000 krajnjih korisnika i 200 mikrofinan-
cijskih institucija. Prethodno je dogovorio suradnju s digitalnom valutom Stellar te
tako razvio alternativu SWIFT-u.21
Već sada postoji ‘Moodies’ aplikacija koja temeljem izgleda lica može otkriti kakvo-
ga smo raspoloženja. Do kraja 2020. godine smatra se da će primjena digitalne
tehnologije omogućiti aplikacije koje će rutinski otkrivati laže li netko dok govori
(zamislite političke kampanje uz takve pouzdane aplikacije), ali i je li netko sklon
kupiti neki proizvod i slično (zamislite kako će izgledati trgovački lanci opremljeni
takvim digitalnim tehnologijama, gdje će se cijene mijenjati ovisno o raspoloženju
kupaca žele li kupiti neki proizvod ili ne).
Modeli obrazovanja će također doživjeti disruptivne promjene, velika većina ljudi
na planeti će imati mobilni telefon i time pristup do besplatnoga vrhunskog ob-
razovanja (masivni otvoreni on-line tečajevi – engl. massive open online courses,
MOOC, poput Coursere, edX, Udacity, Khan Academy, …).
Trgovina i maloprodaja
Shop&Touch je usluga koja se može koristiti u Konzumu, najvećem domaćem tr-

govačkom lancu. Po dolasku na mjesto prodaje, korisnik ove usluge pohranjuje
svoje podatke na posebni uređaj koji se može dodati na uobičajena kolica kojima
20
Hern, A. (2016): Blochain: the answer to life, universe or everything, https://www.theguardian.
com/world/2016/jul/07/blockchain-answer-life-universe-everything-bitcoin-technology.
21
Intervju s Antoniom Šeparovićem, jednim od osnivača Oradiana, http://www.poslovni.hr/
startup-i-vase-price/u-hrvatskoj-zelimo-razviti-veliki-biznis-koji-ce-prezivjeti-nekoliko-desetlje-
ca-315796.
33
se obavlja kupnja. Na taj je način korisniku omogućena personalizirana kupnja,

uređaj pokazuje gdje se koja namirnica nalazi, kakvo je njezino stanje na skladi-
štu, koja je cijena, kolica sa zaslonom služe kao pokretna blagajna, a uz prethodnu
autorizaciju bezgotovinskoga plaćanja (kreditnom karticom, mobilno plaćanje itd.)
moguće je obaviti kupnju bez zaustavljanja na blagajni. U budućnosti bi se koncept
mogao dodatno poboljšati i digitalizirati na način da trgovački lanac uvede digital-
ne cijene (cijene koje se mijenjaju ovisno o ponudi i potražnji, promjena svih cijena
u ogromnome trgovačkom lancu trajala bi par sekundi, a ne par dana), da se RFID,
iBeacon ili sličnim tehnologijama označe artikli, čime bi nam se proizvodi ‘javljali’
kada prolazimo pokraj polica gdje se nalaze, a na zaslonu bi mogli gledati najnoviju
reklamu ili promocijsku akciju proizvoda pokraj kojega prolazimo, algoritam koji
nam pomaže u kupnji u digitalnome trgovačkom lancu mogao bi nam davati pre-
poruke za kupnju (što kuhati za ručak i prema tomu koje namirnice kupiti, kako se
hraniti zdravo i koje namirnice kupiti u tu svrhu itd.).
Tesco UK, jedan od većih trgovačkih lanaca u Velikoj Britaniji omogućuje kupcima
korištenje mobilne aplikacije za kupnju uz vrlo brzu dostavu ili preuzimanje kuplje-
noga u ‘kvartovskoj’ prodavaonici, a na određenim frekventnim mjestima, recimo
dok u podzemnoj željeznici (‘tube-u’) čekate vlak, moguće je koristiti dodirne za-
slone i obaviti kupnju i nakon toga za 45 minuta preuzeti kupljeno u ‘kvartovskoj’
prodavaonici uz obvezan ‘dobrosusjedski’ razgovor s osobljem, što je važan dio
strategije približavanja kupcima.
1.5. Najvažniji trendovi digitalne ekonomije

Zaključimo uvodno poglavlje sagledavajući najvažnija obilježja kompanija koje po-
sluju u digitalnoj ekonomiji, osobito onih koje su već digitalizirale svoje poslovne
modele i nametnule nove poslovne trendove:
• Maksimalno ubrzaj sve što radiš, ponudi svoje usluge korisnicima pu-
tem svih mogućih kanala i unaprijedi njihovo iskustvo korištenja po-
slovnoga modela (Airbnb, Adidas, Nike, Uber, Samsonite, Tesco, Burberry, Ho-
tel Banks i Pimkie, Shop&Touch, prijevoz u Stockholmu, Wal-Mart, Macy’s itd.)
• Poveži sve sa svime, iskoristi interaktivne uređaje i kontaktibilno
okruženje (Amodo, BellaBeat, Farmaron, Teddy the Guardian, Boeing , BMW,
General Electric, Samsonite, Michelin, Pirelli, Nike, ‘pametni gradovi’ itd.)
• “Pomiješaj” proizvod i uslugu, dodaj im informaciju i učini ih ‘pamet-
nim’ i digitalnim (Nike+, GE, Samsonite, Pirelli)
• Individualiziraj proizvod i uslugu (Netflix, NikeID, Adidas 3D Craft)
34
• Anticipiraj potrebe klijenta/korisnika, stvori novu potrebu (AppStore,

iTunes, Netflix, Uber, Airbnb)
• Oduševi kupca, budi inovativan (Uber, Airbnb, Burberry, Adidas Speedfactory)
• Izdvoji informaciju i pamet iz svake transakcije (IBM Watson, Netflix,
Uber, Airbnb, Instagram, Acxiom)
• Digitalno transformiraj poslovanje i postavi nova pravila (General Ele-
ctric, Adidas, Nike, Uber, Airbnb, Apple, Netflix, Burberry itd.)
• Stvori potpuno novi (digitalni) poslovni model (Uber, Airbnb, Netflix,
Snapchat)
• Nametni svoj digitalni poslovni model odnosno digitalnu platformu
poslovanja (Uber, Airbnb, Adidas, SnapChat itd.)
- digitalna platforme za rezervacije (Airbnb, Booking.com i slični)
- digitalne platforme za prijevoz (Uber, Lyft, Blablacar)
- digitalne platforme za komunikacije (Facebook, Instagram, Snapchat,
LinkedIn)
- digitalne platforme za trgovinu (Amazon, eBay, Alibaba)
- digitalne industrijske platforme (General Electric)
- digitalne platforme za plaćanje (mPesa, PayPal, Apple Pay, Stripe, Squa-
re, Google Wallet, Samsung Pay, Oradian, Blockchain i brojni drugi)
- digitalne platforme za marketing (Google)
- digitalne platforme za obrazovanje (Coursera, edX, Udacity, Khan Aca-
demy itd.)
- digitalne platforme za proizvodnju (Adidas 3D Future Craft i Speedfactory)
- digitalne platforme za poljoprivredu i proizvodnju hrane (po Farme-
ron modelu), zabavu (Pokemon GO?), zdravlje, javnu upravu
• Stvori digitalni brend i postani digitalni lider (Burberry, Apple, Nike,
Uber, Google)
• Istodobno koristi sve raspoložive digitalne tehnologije (svi primjeri)
• Fleksibilno koristi infrastrukturu (svi primjeri)
• Budi agilan, potiči start-up način razmišljanja u korporativnome
okruženju (svi primjeri, velike korporacije često traže inovacije u suradnji ili
partnerstvu sa start-up ili agilnim ‘malim’ kompanijama)
• Stvori drugačiju - digitalnu organizacijsku kulturu i postani digitalni
lider (potiči inovativnost i kreativnost, potpuno napusti autoritativno vođe-
nje, inspiriraj ljude, omogući im osobni i poslovni razvoj, osloni se na prirodne
autoritete itd.).
35
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
2. Osnovna obilježja informacijske

sigurnosti i cyber sigurnosti
1. razumjeti koncepte cyber sigurnosti i sigurnosti informacijskih sustava
2. steći osnovno razumijevanje informatičkih i cyber prijetnji usmjerenih na po-
jedince i kompanije
3. objasniti izazove okruženja cyber sigurnosti i sigurnosti informacijskih sustava
4. razviti analitičko i kritičko razmišljanje vezano za cyber sigurnost i sigurnost
informacijskoga sustava
‘Jedini informacijski sustav koji je zaista siguran je onaj koji je ugašen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, okružen
nervnim plinom i dobro plaćenim naoružanim čuvarima. Čak ni tada, ne bih se
baš kladio na njega.’
Eugene Spafford, director Computer Operations, Audit and Security Technology (COAST)
U uvodnome poglavlju objašnjena su osnovna obilježja digitalne ekonomije i pri-

kazan veliki broj primjera primjene digitalne tehnologije u poslovanju. Inovativni
poslovni modeli se gotovo u potpunosti oslanjanju na informacijsku i digitalnu
infrastrukturu, prije svega na funkcioniranje njihovih informacijskih sustava. In-
formacijski sustav predstavlja sustav sastavljen od niza komplementarnih kom-
ponenti (hardver, softver, podaci, korisnici, mreža, organizacija) koji koordiniranim
djelovanjem omogućuju prikupljanje, obradu, pohranjivanje i distribuciju informa-
cija za potrebe provedbe poslovanja i upravljanja nekim poslovnim subjektom.
Osnovne funkcije informacijskih sustava su:
• provoditi poslovne transakcije
• dokumentirati poslovne transakcije i pohranjivati podatke i
• izvještavati o stanju poslovanja.
Iako teorijski postoje ručni informacijski sustavi, u praksi doista vrlo rijetko naila-
zimo na njihovu primjenu. Suvremeni informacijski sustavi se u svome radu
37
posebno oslanjaju na informacijsku i digitalnu tehnologiju koja omoguću-

je bržu i efikasniju provedbu poslovnih transakcija. Time informacijska i digitalna
tehnologija postaju sastavnim dijelom suvremenih informacijskih sustava, koji kao
složeni sustavi sastavljeni od više cjelina (dijelova – hardware, software, dataware,
netware, orgware, lifeware) čine informacijsku infrastrukturu poslovanja.
No, kako svaka medalja ima dvije strane, pored velikih mogućnosti za stvaranje no-
vih poslovnih vrijednosti, intenzivna primjena informacijskih i digitalnih tehnologija
poslovanje i pojedince izlaže cyber rizicima. Cyber rizici su one vrste informatičkih
rizika koje se odnose na intenzivnu primjenu digitalnih tehnologija u poslovanju.
Što kompanije intenzivnije koriste suvremene informacijske i digitalne tehnologije,
više su izložene cyber i informatičkim rizicima. Ti rizici imaju dvojnu narav: nei-
zbježni su, stalno su prisutni i njihova pojava i intenzitet stvaraju probleme u poslo-
vanju, a njihovo bolje upravljanje čuva vrijednost informatičkih ulaganja.
Osim toga, sigurnost je jedna od kontroverznijih tema u suvremenom poslovnom
upravljanju. Bez obzira na činjenicu da su temeljeni na suvremenim informacijskim
i digitalnim tehnologijama, informacijski sustavi su i dalje proizvod ljudske pameti
i intelektualnih sposobnosti njihovih tvoraca, što znači da ne postoje, nikada nisu
postojali, niti će, bez obzira na razvoj tehnologije, ikada postojati u potpunosti si-
gurni informacijski sustavi. Obzirom da je osnovna svrha svakoga informacijskog
sustava ‘služiti’ poslovanju i prilagoditi se posebnostima poslovne organizacije,
lako je zaključiti da, čak i u istim djelatnostima, ne postoje dva jednaka informa-
cijska sustava. Razvitak i primjena mehanizama sigurnosti informacijskih sustava
također predstavlja unikatan proizvod, dapače, uniju različitih tehnoloških, orga-
nizacijskih i ostalih kontrolnih mjera, radi čega možemo zaključiti da ne postoje
dva jednaka sustava sigurnosti informacijskih sustava. Stoga, cilj mjera sigurnosti
informacijskoga sustava jest multidisciplinarnim pristupom koristiti tehnološke,
organizacijske i fizičke kontrole i stvoriti održiv, ekonomski opravdan i poslovno
učinkovit sustav zaštitnih mjera.
Osnovni cilj mjera sigurnosti informacijskoga sustava jest osmišljavanje i
primjena kontrolnih mehanizama kojima se, sukladno procjeni prihvatljivih razi-
na rizika, štite ulaganja u informatiku i omogućuje redovitu provedbu poslovnih
transakcija. Sigurnost informacijskih sustava ostvaruje se osmišljavanjem
i provedbom mjera zaštite (informatičkih kontrola) koje se ugrađuju u me-
hanizme funkcioniranja informacijskih sustava, omogućuju njegovo neometano
funkcioniranje i ublažavaju ili smanjuju informatičke rizike. Kontrole ugrađene
u rad informacijskoga sustava (informatičke kontrole) predstavljaju sustav
(skup) međusobno povezanih komponenti koje, djelujući jedinstveno i usklađe-
no, potpomažu ostvarivanje ciljeva informacijskoga sustava. Kontrole (mjere za-
štite) se usmjeravaju na neželjene događaje ili procese u informacijskome su-
38
stavu koji mogu nastati odnosno biti aktivirani iz različitih razloga koji se odnose
na unutarnje djelovanje informacijskoga sustava (neovlaštena uporaba, netočni
podaci, nedjelotvorni procesi, pogrešni algoritmi ili neučinkoviti ulazi u sustav
itd.) ili uzroke iz njegovog okruženja (napadi izvana, pogrešan prijenos podataka,
prirodne katastrofe itd.).
Svaki informacijski sustav, naravno, obiluje brojnim kontrolama koje su u njega
ugrađene (informatičke kontrole), a koje se primjenjuju kako bi se ostvarili ciljevi
njegova funkcioniranja i kako bi se njime učinkovito upravljalo. Što su te kon-
trole učinkovitije i bolje oblikovane, manje je vjerojatno da će informacijski
sustav biti izložen nekoj prijetnji i da će se neželjeni događaj ‘razviti’ u rizik za
poslovanje. Upravo revizijama informacijskih sustava, što je tema koja će se
detaljno obraditi na kraju ove knjige, provjeravamo postoji li neka informatička
kontrola i u kojoj je mjeri učinkovita. Time se revizijama testiraju razine učinkovi-
tosti informatičkih kontrola, prikupljaju argumenti i dokazi pomoću kojih je mo-
guće procijeniti rizike za poslovanje i dati preporuke za njihovo smanjenje, što na
kraju omogućuje bolje upravljanje informacijskim sustavom i poslovanjem. Revi-
zijama informacijskih sustava provjeravamo postoji li određena informatička
kontrola i u kojoj mjeri učinkovito štiti poslovanje od neželjenih događaja. Bez
provedenih vanjskih i unutarnjih revizija informacijskih sustava teško možemo
kvalitetno upravljati poslovanjem, što, posebice u okruženju digitalne ekonomije
predstavlja priličan rizik za poslovanje.
Iz dosadašnjih navoda izvjesno je da su revizije informacijskih sustava važan i ne-
zaobilazan čimbenik uspješnoga poslovanja u uvjetima digitalne ekonomije, pa je
posve očekivano da se njezina provedba ne može prepustiti slučaju, stihiji, ‘sna-
laženju’ ili ad-hoc pristupu. Revizije informacijskih sustava se provode primjenom
prokušanih i dokazano uspješnih, u svjetskim razmjerima jedinstvenim metodolo-
gijama, poput CobiT-a, obitelji ISO 27000 normi, ITIL, NIST, SANS ili PCI DSS prepo-
rukama koje će se detaljno obraditi u kasnijim poglavljima ove knjige.
Svi navedeni ključni termini (sigurnost informacijskih sustava, informatičke kon-
trole, informatički rizici i revizija informacijskih sustava) su međusobno povezani i
predstavljaju posebna poglavlja ove knjige. Dakle, sigurnost informacijskih sustava,
se ostvaruje osmišljavanjem i provedbom kontrola kojima se sprječavaju neželjeni
događaji. Što su informatičke kontrole učinkovitije, poslovanje je manje izloženo
informatičkim rizicima. Revizijama informacijskih sustava uz metodološku podrš-
ku dokazanih preporuka i okvira provjeravamo razinu učinkovitosti informatičkih
kontrola i procjenjujemo razinu informatičkih rizika. Na taj se način mjeri razina
sigurnosti informacijskih sustava, održava željena razina prihvatljivih informatičkih
rizika, što omogućuje ‘bezbrižno’ poslovanje u složenome i sigurnosno turbulent-
nome okruženju digitalne ekonomije.
39
Upravo je to slijed tema koje će se obrađivati u nastavku teksta. Uvodne vizionar-

ske i insipirativne scenarije primjene digitalnih tehnologija u poslovanju ćemo ‘spu-
stiti na zemlju’ razmatranjem pitanja njihove sigurnosti (drugo poglavlje), objašnje-
njem modela upravljanja cyber rizicima (treće poglavlje), pregledom informatičkih
kontrola (četvrto i peto poglavlje) i naposljetku prikazom metoda provedbe revizije
(sigurnosti) informacijskih sustava (poglavlje šest). Završno poglavlje rada će se
odnositi na temu računalne i digitalne forenzike, sve češće korištene metode otkri-
vanja i sprječavanja prijevara u cyber okruženju.
2.1. Objašnjenje pojmova cyber sigurnost,

informacijska sigurnost i sigurnost
informacijskih sustava
Intenzivna primjena informacijske i digitalne tehnologije kompanijama donosi broj-
ne poslovne koristi, ali ih istodobno izlaže i potpuno novim opasnostima i neželje-
nim posljedicama i mnoštvu novih rizika (informatičkih rizika, osobito cyber rizika).
Informatički rizici su rizici intenzivne primjene informacijske tehnologije
u obavljanju poslovnih aktivnosti. U današnje vrijeme evidentno je da su tim
vrstama rizika izloženi svi poslovni subjekti, osobito oni koji koriste suvremenu di-
gitalnu tehnologiju u ostvarenju svojih poslovnih ciljeva.
Rizici primjene informacijskih sustava (informatički rizici) nikako se ne smiju sma-
trati samo „tehnološkim“ rizicima odnosno problemima koji nisu od velike važnosti
za uspješnost poslovanja. Pogrešne procjene menadžmenta glede naravi tih rizika
mogu kompaniju izložiti velikom izravnom financijskome gubitku i neizravnoj nak-
nadnoj šteti. Promotrimo samo neke najčešće primjere eskalacije pogrešnih pro-
cjena menadžmenta koje poslovanje mogu izložiti sljedećim informatičkim rizicima:
• Rizik neisplativih ulaganja u informatiku – Prema istraživanju provedenome od
strane časopisa CFO22 u 2005. godini samo 40 % direktora financija (engl.
Chief Financial Officer, CFO) smatralo je da ulaganja u informatiku daju očeki-
vane rezultate.
• Rizik neuspješne provedbe informatičkih projekata – Samo 30-ak posto informa-
tičkih projekata može se smatrati uspješnima, a prema Gartnerovom istraži-
vanju23 provedenome na uzorku ponajboljih američkih kompanija, 20 % infor-
matičkih troškova su nepotrebni, rasipni.
22
CFO Research Services (2005): Risk Denial from the Top?, CFO Publishing Corp. i PriceWaterhouse-
Coopers.
23
Gartner (2002): ‘The Elusive Business Value of IT’, August 2002.
40
• Rizik prekida ili otežanoga odvijanja rada informacijskoga sustava koji uzrokuje
prekid odvijanja poslovnih procesa – prema istraživanjima Disaster Recovery
Instituta, 93 % kompanija koje dožive iznenadni neželjeni prekid poslovanja, a
nemaju plan njegova kontinuiteta, prestanu poslovati nakon pet godina. 50 %
kompanija koje izgube kritične poslovne funkcije na više od deset dana nika-
da se ne oporave. Za kompanije iz Fortune 500 liste vrijeme zastoja poslovanja
stoji u prosjeku 96.000 USD po minuti.24
• Rizik sigurnosti informacijskoga sustava – prema istraživanjima koja su nedavno
proveli ISACA (2012)25 i E&Y (2011)26 troškovi informatičkoga kriminaliteta bili
su procijenjeni na 1 milijardu USD godišnje, prosječan trošak prekida rada
informacijskoga sustava bio je otprilike 5.000 USD po minuti, a ukupan trošak
povezan sa zloporabama podataka je porastao na 7,2 milijuna USD (204 USD
po incidentu, u odnosu na 138 USD u 2005. godini).
U gotovo svim industrijama primjena digitalne i informacijske tehnologije može
imati vrlo pozitivan učinak na poslovanje, radi čega gotovo svi poslovni subjekti ne-
izostavno ulažu u informatiku. No, kako svaka ‘medalja ima dva lica’, tako i povećani
pritisak za stalnom primjenom digitalne i informacijske tehnologije u poslovanju sa
sobom nosi i brojne nove rizike kojima brojni menadžeri nisu dorasli, čiju narav ne
razumiju i kojima slabo upravljaju. Brojni su primjeri pogrešnoga ili lošega vođenja
informatike koji su za posljedicu imali velike izravne i neizravne gubitke i štete u
poslovanju. U tablici 2.1. je prikazano nekoliko primjera koji su prikazivali obilježja
informatičkih rizika u razdobljima prije intenzivne digitalizacije poslovanja (otprilike
do 2010. godine), no obzirom na rastuću složenost informacijskih sustava i njihovu
gotovo neizostavnu primjenu u poslovanju, možemo zaključiti da će u budućnosti
razmjeri takvih problema biti još izraženiji.
24
Kenneth L. Fulmer: ‘Business Continuity Planning - A Step-by-Step Guide with Planning Forms‘, Third
Edition, The Rothstein Catalog On Disaster Recovery, Brookfield, Connecticut, 2005., str. 7.
25
ISACA (2012): Extracting Value from Information Chaos: Why Good Governance Makes Good
Sense, CobiT. 5, ISACA, Rolling Meadows, Illinois, USA.
26
Ernst & Young (2011): Into the cloud, out for of the fog, Global Information Security Survey 2011,
Ernst & Young, USA.
41
Tablica 2.1. Primjeri informatičkih incidenata
NEKI OD POZNATIH SIGURNOSNIH INCIDENATA

Godina Organizacija Opis incidenta
2007. TJX Companies Zbog nezaštićene bežične mreže ukradeni podaci
94 milijuna kreditnih i debitnih kartica.
2007. HM Revenue & Izgubljena dva diska s osobnim podacima 25
Customs milijuna obitelji u Velikoj Britaniji.
2007. HSBC Bank Kazna od 3,2 milijuna funti zbog gubitka
podataka životnog osiguranja od 180.000
klijenata. Uzrok je izgubljeni disk u pošti na
kojemu podaci nisu bili kriptirani.
2008. Bank of New York Ukradene trake s pričuvnom pohranom
Mellon podataka iz sistemske sobe. Disk je sadržavao
osobne podatke 12,5 milijuna klijenata.
2009. Heartland Payment Izgubljeno oko 130 milijuna podataka o
System transakcijama zbog infekcije informacijskoga
sustava zloćudnim kodom.
2011. Sony Playstation Ukradeno oko 24 milijuna osobnih podataka,
Network transakcija, zaporki i sl. korisnika Sony Playstation
mreže. Gubitak se procjenjuje na 171 milijun
dolara.
2001. Dio Hrvatskog Poznati DDoS napadi na hrvatske internetske
telekoma poslužitelje, što je imalo za posljedicu
nemogućnost pristupa internetu na neko
vrijeme.
2002. Riječka banka Nestalo je oko 75 milijuna eura putem transakcija
koje je godinama vodio trgovac devizama
Riječke banke. Zakazao je cijeli sustav unutarnjih
kontrola.
No, i sama narav informatičkih rizika se prilično mijenja pa se posljedice pogrešaka
današnjih informacijskih sustava sve više odnose na cyber rizike i imaju sljedeća
globalna obilježja:27
• ukupne štete od krađe banaka u SAD-u 100 milijuna USD godišnje – oko
600 milijuna USD se potroši na sprječavanje tih događaja (Italija u 2006. –
65 milijuna USD troškovi krađe banaka, 649 milijuna USD sprječavanje)
• trošak cyber kriminala 1.000 milijardi USD (0,2 - 0,4 % svjetskoga GDP-a,
7 % GDP-a SAD-a)
• trošak zaštitnih mjera od cyber kriminala – 67 milijardi USD (štete oko 200
milijardi USD)
27
ISACA (2015): Global Cyber Security Status Report, ISACA, Rolling Meadows, Illinois, USA.
42
• 97 % cyber napada se moglo izbjeći da su kompanije imale učinkovite su-

stave zaštite
• 95 % kompromitiranih resursa sadržavalo je povjerljive podatke
• šteta od krađa podataka - 174 milijuna USD, 1 krađa podataka košta 5,5
milijuna USD; razlozi krađe – 58 % ‘haktivisti’, 39 % nemar zaposlenih
• 100 milijardi spam poruka svaki dan
• ‘većina ljudi bi otkrila svoju lozinku u zamjenu za čokoladu’
• informatičke pogreške u kritičnoj nacionalnoj infrastrukturi mogu uzrokovati
velike katastrofe (računalni virus Stuxnet kojime je napadnuta nuklearna elek-
trana u Iranu)
• sve su češće hakerske pljačke bankomata, DARPA je uspješno hakirala auto-
mobil i preuzela nad njim kontrolu
• SAD je cyberprostor proglasila 5. vojnom domenom, pored kopna, mora, zra-
ka i svemira
• Cyberkriminal na razini pojedinaca se odnosi na sve češće prisutne krađe po-
dataka, ugrožavanje privatnosti i gubitak digitalnoga identiteta, a kibernetičko
(računalno) ratovanje je postalo realnost.
Sigurnosni incidenti imaju sve veći utjecaj na poslovanje. Iako se mnogi među nji-
ma zataškavaju ili ne prijavljuju, istraživanje iz 2004. godine pokazalo je da su kom-
panije koje su iskusile sigurnosne informatičke incidente izgubile prosječno 2,1 %
svoje vrijednosti uz prosječan gubitak od preko 1,6 milijardi USD po incidentu.28
Preko 60 % financijskih institucija je doživjelo napad iz područja cyber sigurnosti.29
Pogreške ili propusti u informacijskoj sigurnosti ili privatnosti mogu imati vrlo
negativne posljedice na organizacije, uzrokujući izravne financijske i ostale štete
(prekid rada, nemogućnost provedbe poslovnih procesa, krađa podataka i slično)
i neizravne negativne učinke (pravne obveze, regulatorni propusti i kazne, gubitak
ugleda i često nepovratno narušavanje imidža kod korisnika). Promotrimo jedan
takav primjer koji se 2014. godine dogodio u Targetu, drugome najvećem malopro-
dajnome lancu na svijetu.
28
Cavusoglu, H., Mishra, B., Raghunathan, S. (2004, Fall): The effect of Internet security breach an-
nouncements on market value: Capital market reaction for breached firms and Internet security de-
velopers, International Journal of Electronic Commerce, 9(1), 69-104.
29
Piccoli, G., Pigni, F. (2016): Information Systems for Managers, edition 3.0, Prospect Press, USA, str.
345.
43
Studija slučaja 2.1.: Krađa podataka u maloprodajnome lancu Target

Target je jedan od najvećih američkih trgovačkih lanaca osnovan 1902. godine
u Minneapolisu. Nakon što su zatvorili stotinjak prodajnih mjesta u Kanadi, od
travnja 2015. g. posluju samo u SAD-u gdje imaju 1.800 prodajnih mjesta i oko
350.000 zaposlenika, što ih svrstava na šesto mjesto po broju zaposlenih u
SAD-u, dok im je ukupni prihod u 2014. g. iznosio 72 milijarde USD.
Obzirom na veličinu i razmjere poslovanja, bilo je očekivano da će tako važ-
na kompanija imati vrhunski zaštićen informacijski sustav i provoditi njegove
redovite provjere (revizije), no to nije bio slučaj. Naime, u prosincu 2013. g.
provaljeno je u Targetov informacijski sustav pri čemu je ukradeno 40 milijuna
brojeva kreditnih kartica njihovih kupaca te preko 70 milijuna adresa, brojeva
telefona i ostalih osobnih informacija. Target je shvatio da je napadnut nakon
18 dana krađe i to tek nakon što ih je o tome obavijestilo Američko ministar-
stvo pravosuđa.
Napadači su dobili pristup informacijskome sustavu tako što su hakirali Fazio
Mechanical, kompaniju koja održava rashladne sustave u Targetovim prodavao-
nicama. Naime, Fazio Mechanical je imao pristup Targetovom sustavu kako bi
mogao vršiti online nadzor temperature u poslovnicama. Kako je Target imao
loše odvojene informacijske sustave, loš sustav autorizacije i zastarjele softvere,
hakeri su se bez problema probili do POS terminala, gdje su instalirali malware
(zloćudni software) koji im je omogućio čitanje i krađu podataka s magnetnih
traka kreditnih kartica. Prvih nekoliko dana su testirali malware i kada su shvatili
da dobro funkcionira, instalirali su ga u većinu preostalih prodajnih mjesta preko
redovite nadogradnje POS terminala s namjerom krađe podataka.
Krađa je trajala 18 dana bez da je itko shvatio što se događa. Tvrtka FireEye, koja
je instalirala anti-malware software, jedina je primijetila da se nešto neobično
događa u Targetovom informacijskome sustavu, pravodobno ih je obavijestila,
no, oni iz nepoznatih razloga nisu ništa poduzeli. S obzirom na veličinu kompa-
nije i njezinu ovisnost o IT-u, zabrinjavajući je izostanak svijesti o informatičkoj
sigurnosti. Previše povjerljivih podataka izloženo prevelikom broju ljudi koji ima-
ju neovlašten pristup i slabe ili neučinkovite IT kontrole neminovno su uzrokovali
veliki incident. Uz Targetova stajališta po pitanju informacijske sigurnosti, bilo je
samo pitanje vremena kada će kriminalci to iskoristiti.
Ova krađa podataka rezultirala je padom Targetova profita za 46 % i troškovima
za sanaciju štete od preko 300 milijuna USD. Ipak, ukupni godišnji promet je po-
rastao za 0,9 % u odnosu na prethodnu godinu zahvaljujući odličnom rezultatu
prije incidenta.
44
Uslijed pada vrijednosti dionica, dioničari su izgubili oko 15 USD po dionici, a

računalni kriminalci su prodali podatke oko 3 milijuna kreditnih kartica po cijeni
između 18 i 35 USD. Target je u početku pokušao zataškati situaciju, ali pošto je
incident ubrzo otkriven, priznali su napad te upozorili oštećene kupce i ostale
stakeholdere. Zbog transparentnosti im nije previše narušen ugled i već 2015. g.
bilježe rast prometa te im je vrijednost dionica na razini one prije incidenta.
Nakon incidenta, Target je sanirao štetu tako što je konačno zaposlio direktora
službe informatičke sigurnosti (CISO) i promijenio POS terminale (trošak od 200
mil. USD). Uveli su TargetRed Card, kartice s čipom i PIN-om, koje znatno oteža-
vaju krađu podataka i ograničili su pristup IS-u manjem broju ljudi.
Tijekom naknadne revizije informacijskoga sustava Targeta, otkriveni su sljedeći
propusti: vrlo loše lozinke (uspješno provaljeno 86 %), zastarjeli softveri, nedo-
voljno odvojeni sustavi (VLAN), previše osoba s pristupom u sustav, loša enkrip-
cija podataka na POS terminalima, lako dostupni podaci o sigurnosti Targetovog
sustava običnim pretraživanjem.
Zanimljiv je i podatak da su revizori uspjeli pristupiti POS terminalu hakiranjem
digitalne vage u drugoj prodavaonici. Obzirom na Targetovu veličinu, broj za-
poslenih i broj svakodnevnih transakcija zabrinjavajuće je koliko je kompanija
posvećivala malo pozornosti funkcioniranju informacijskoga sustava i sigurnosti
u njemu pohranjenih podataka. Target se danas uspio izvući iz krize, poboljšati
sigurnost informacijskih sustava i vratiti povjerenje kupaca. Nadamo se da su
sada svjesni važnosti informacijskoga sustava u njihovu poslovanju, nužnosti
provedbe metoda zaštite i stalnih provjera (revizija) njihova rada.
Pitanja za raspravu:
Objasnite razloge radi kojih je došlo do krađe podataka?
Na koji se način taj incident mogao spriječiti?
Kakav je utjecaj ovaj sigurnosni incident imao na poslovanje?
Koje kontrolne mjere biste predložili kako bi se slični incidenti u budućnosti spri-
ječili?
Okruženje digitalne ekonomije zahtijeva stalnu i intenzivnu primjenu digitalnih teh-

nologija u provedbi poslovnih transakcija. Intenzivna primjena digitalnih tehnologi-
ja donosi brojne koristi poslovanju, ali ako se istima ne upravlja primjereno, može
imati i drugu stranu, često u vidu sigurnosnih incidenata koji ugrožavaju poslova-
45
nje i stvaraju štete. U srpnju 2015. g. hakeri Chris Valasek i Charlie Müller su daljin-
skim putem hakirali automobil Jeep Cherokee dok se vozio po autocesti. Ranjivosti
i propusti u info-entertainment sustavu, koji je sastavni dio svakoga automobila
današnjice, su hakerima omogućili da s udaljenosti od preko 15 km preuzmu kon-
trolu nad vozilom i njegovim ključnim funkcijama. To je bilo prvi put da su hakeri
doslovno iz udobnosti kauča preuzeli kontrolu nad vozilom i uzrokovali kompaniji
velike štete i probleme (opoziv 1,4 milijuna vozila, popravljanje štete, promjenu in-
dustrijskih i regulatornih pravila itd.).
Broj i opseg sigurnosnih incidenata stalno raste: istraživanja pokazuju da je 2009.
g. bilo otkrivenih 3,4 milijuna sigurnosnih incidenata, čiji se broj 2014. g. već po-
peo na 43 milijuna.30 Imajući u vidu eksplozivan razvoj digitalne ekonomije, u bu-
dućnosti možemo samo očekivati još veći broj i razmjere sigurnosnih incidenata,
radi čega već sada možemo tvrditi da sigurnosni incidenti nisu samo informatički
problem koji možda spada u tehničke, operativne i pozadinske rizike, nego se radi
o strateškim poslovnim rizicima koji mogu preko noći promijeniti konkurentsku
poziciju kompanije.
Ulaganje u informacijsku sigurnost nikada prije se nije činilo potrebnijim i poslovno
opravdanijim. Ipak, ulaganje u zaštitne (kontrolne) mjere kojima se informacijska
sigurnost ‘drži’ na prihvatljivoj razini mnogi menadžeri smatraju nepotrebnim ‘ba-
canjem novca’ nadajući se da ‘nećemo valjda imati toliku nesreću da se to dogodi
nama’. Ne radi se, naravno, ni o kakvoj ‘nesreći’ niti ‘zloj sudbini’, nego o slabome
upravljanju poslovanjem i nedovoljnim znanjima iz područja cyber sigurnosti. Ula-
ganje u sigurnosne zaštitne mehanizme možda neće izravno doprinijeti produktiv-
nijim i učinkovitijim poslovanjem, pa je stopu povrata na te vrste ulaganja poneka-
da zaista teško opravdati, radi čega se brojni menadžeri ‘kockaju’ s vjerojatnostima
nastanka neželjenih događaja.
No, sama narav informatičkih rizika se znatno promijenila (što sugerira i slika 2.1.)
i više se ne rabi pojam ako se dogodi neki neželjeni događaj, nego kada će se
isti dogoditi. U tome slučaju, ako stopu povrata na ulaganje u sigurnosne zaštitne
(kontrolne) mjere računamo uobičajenim tehnikama (analiza troškova i koristi) i
ako se neželjeni događaj nije dogodio u prvoj godini, vjerojatnost njegove pojave
u sljedećoj prilično raste jer je više nego izvjesno da će se u budućemu razdoblju
dogoditi (financijske i ostale izračune rizika moramo prilagoditi naravi tih rizika
jer više ne rabimo pojam ‘ako’ nastupi neželjeni događaj, nego ‘kada’ će se to
dogoditi).
30
Ibid.
46
Slika 2.1. Promjene naravi i utjecaja informatičkih rizika kroz vrijeme
Promotrimo najvažnija predviđanja vezana za cyber sigurnost za 2016. godinu na-

stala kao rezultat intenzivne primjene digitalne tehnologije:31
• ucjene vezane za korištenje senzora i Interneta stvari (engl. IoT for
ransom) – intenzivna uporaba računalnih senzora i Interneta stvari učinit će
brojne uređaje ‘pametnima’, što će dovesti do povećanoga broja ucjena (ran-
somware) vezanih za različite pametne uređaje poput nosivih uređaja, uređaja
koji prate zdravlje, medicinskih uređaja, hladnjaka, ali i moguće probleme po-
put preuzimanja kontrole nad autonomnim automobilima, pametnim kuća-
ma, zloporaba infrastrukture (blokiranje medicinskih uređaja ili vodovoda dok
se ne plati računalna ucjena) itd.
• Vaša kreditna kartica je možda sigurna, ali vi kao korisnici više niste.
• Lozinke više nisu dovoljne mjere zaštite (primjerenije je koristiti passphra-
se, biometrijske mjere zaštite, geolokacijske mjere zaštite).
• Incidenti iz područja cyber sigurnosti mogu nanijeti ozbiljnu ne više
samo materijalnu, nego i fizičku štetu (napadi na kritičnu nacionalnu
infrastrukturu poput nuklearnih elektrana, vodovoda i slično, cyber napadi,
osim financijske i reputacijske, nažalost, mogu uzrokovati i ljudske žrtve i veli-
ke katastrofe).
• Nitko više nije izuzet od napada iz područja cyber sigurnosti (napadi-
ma iz područja cyber sigurnosti nisu više izložene samo velike kompanije ili
31
Armerding, T. (2015): Top 15 security prediction for 2016, http://www.infoworld.com/article
/3015953/security/top-15-security-predictions-for-2016.html.
47
korporacije, nego male i srednje kompanije, pojedinci i svi korisnici digitalnih

tehnologija).
• Temelj cyber sigurnosti više nije otkrivanje problema nego njihovo
predviđanje odnosno korištenje tehnologija, organizacijskih metoda i pravi-
la da bi se neželjeni događaj uopće spriječio.
Iz navedenih primjera možemo zaključiti da se u današnje vrijeme glavne prijetnje
na internetu odnose na:
1. Cyber kriminal (ili kibernetički kriminal) na razini pojedinaca i organiziranih kri-
minalnih skupina – krađe i kloniranja podataka s kreditnih kartica, gubitak digi-
talnog identiteta, phishing napadi, društveni inženjering , zlonamjerni računalni
programi, računalni virusi, digitalne ucjene – scareware i ransomware.
2. Cyber (kibernetička) industrijska špijunaža (Stuxnet, wikileaks, ...) – napadi na ra-
čunalnu infrastrukturu usmjereni na korporacije i institucije s ciljem počinjenja
štete.
3. Cyber (kibernetičko) ratovanje – obrambeno i napadačko kibernetičko oruž-
je osmišljeno od strane države, primjeri mogu biti Stuxnet računalni virus ,
kibernetički napad na Estoniju, prodori u kritičnu nacionalnu infrastrukturu
poput energetske ili vodoopskrbne mreže, napadi na nuklearne elektrane,
krađa povjerljivih obavještajnih podataka, korištenje digitalne tehnologije za
ratovanje.
Najčešće vrste i tehnike cyber napada na kompanije u 2014. godini su se odnosile
mahom na prijetnje izvana, konkretnije na:32
• phishing (68,32 %)
• malware (66,48 %)
• pokušaji hakiranja (50,14 %)
• društveni inženjering (46,45 %)
• gubitak mobilnih uređaja (43,89 %)
• napadi od strane zaposlenika (25,28 %)
• SQL injection napadi (21,88 %)
• ‘man-in-the-middle’ napadi (11,08 %).
32
ISACA (2015): Global Cyber Security Status Report, ISACA, Rolling Meadows, Illinois, USA.
48
Iako će u nastavku knjige na više mjesta biti detaljnije obrađeni načini provedbe tih
napada i osobito zaštitne mjere koje ih sprječavaju ili ublažavaju učinak, promotri-
mo najvažnija obilježja tih prijetnji i napada na podatke, opremu i aplikacije. Najče-
šće se radi se o napadima koji su usmjereni na krađu identiteta korisnika
(phishing , skimming, društveni inženjering , keystroke loggers, lažno predstavljanje
i slično) i napadima osmišljenima s ciljem krađe podataka i izmjene sadrža-
ja (prisluškivanje, nasilni i neovlašteni upadi u računalne mreže, presretanje poru-
ka i izmjena sadržaja, zlonamjerni računalni kod).
Phishing je vrsta računalne prijevare s ciljem krađe identiteta. Phishing se odnosi
na aktivnosti kojima prevaranti i računalni kriminalci slanjem lažnih elektroničkih
poruka, koje izgledaju kao da su ih poslale izvorne institucije, dobiju pristup povjer-
ljivim korisničkim podacima (primjerice, pristupnih podataka, brojeva i autorizacij-
skih šifri kreditnih kartica i bankovnih računa).
Društveni inženjering (engl. social engineering) se odnosi na navođenje ili mani-
puliranje osobama kako bi otkrili što je moguće više podataka o sebi. Tako priku-
pljeni podaci (ime djece, osobne preferencije i slično) se koriste u svrhu krađe on-li-
ne identiteta tih osoba i počinjenje različitih zloporaba (kupnja proizvoda i usluga,
lažni statusi na društvenim mrežama, lažno predstavljanje i slično).
Keylogers predstavljaju uređaje kojima se bilježi svaki udarac na tipkovnici. Ne-
vidljivi su za korisnika, prate i bilježe sve što korisnici upisuju preko tipkovnice, a
napredni algoritmi izdvajaju i sumiraju tako prikupljene podatke i šalju ih kriminal-
cima. Ti su uređaji, često u kombinaciji s zloćudnim programima, sposobni brzo
prenositi ‘uočeno’, čime prevaranti i kriminalci mogu krasti lozinke, brojeve kartica i
računa i dolaziti do ostalih povjerljivih podataka čime, nažalost, predstavljaju jedan
od najzastupljenijih načina ugrožavanja privatnosti.
Zlonamjerni računalni programi (engl. malware) su računalni virusi i ostali
zlonamjerni računalni kodovi napisani i distribuirani s namjerom da naprave štetu
nad računalnim i ostalim resursima. Postoji veliki broj različitih vrsta zlonamjer-
noga računalnog koda, a među često prisutnima u novije vrijeme su zlonamjerni
oglašivački program (adware) i računalna ucjena (ransomware) kojom se nakon ne-
ovlaštenoga upada u računalo, najčešće djelovanjem računalnoga virusa kojega
je pokrenuo neoprezni korisnik, šifriraju podaci koji su u njemu pohranjeni, a koji
su neophodni za nastavak rada ili poslovanja, pri čemu računalni kriminalci traže
odštetu (najčešće u bitcoinima) za njihovo dešifriranje.
49
EUROPOL UPOZORIO: IZNIMNA OPASNOST VREBA KORISNIKE

BANKOMATA DILJEM SVIJETA
Index, http://www.index.hr/mobile/clanak.aspx?category=vijesti&id=887287
EUROPOL je u svojemu posljednjem izvješću upozorio na porast malicioznih
programa koji kolaju sustavom bankomata te tvrdi - u opasnosti su svi koji ih
koriste. Budući da u svijetu postoji više od tri milijuna bankomata na kojima se
godišnje podigne otprilike 8,6 milijardi eura, mreža bankomata postala je vrlo
zanimljiva cyberkriminalcima. Hakeri su izradili posebne programe kojima pro-
valjuju u bankomate, zbog kojih više ne moraju koristiti tradicionalne metode
provale u njihove sefove.
Na izvješću su radili Europol i Trend Micro, tvrtka koja se već godinama nalazi u
vrhu tvrtki koje se bave takozvanom dubinskom sigurnosti odnosno sigurnosti
samih servera. U njemu je opisano na koji način cyber napadi na bankomate
postaju sve sofisticiraniji, pomno planirani i orkestrirani, i to uz korištenje novih
metoda i tehnika, ali i već poznatih vektora napada.
Prijetnja koja se vrlo brzo razvija

“Napadi na softverski dio bankomata sada predstavljaju prijetnju koja se izni-
mno brzo razvija, te ju kao takvu prepoznaju i industrija i istražitelji. Europolov
centar za računalni kriminal već je sudjelovao u nekoliko istraga zajedno s na-
cionalnim policijama”, objasnio je čelni čovjek Europolovog centra pod imenom
EC3 Steven Wilson.
Man-in-the-middle napad nastaje kada se napadač koji se nalazi na kanalu između

tražitelja resursa i resursa iskorištava ranjivosti mreže i zaobilazi komunikacijske pro-
tokole, čime mu je omogućeno nadgledati sadržaj, pohranjivati datoteke i mijenjati
sadržaj komunikacije. U ovome se napadu između legitimnoga poslužitelja i koris-
ničkoga uređaja (klijenta) neprimjetno postavlja odgovarajući zlonamjerni računalni
program koji zaobilazi zaštitne kontrolne mjere, presreće pristupne i ostale povjerlji-
ve podatke i šalje ih poslužitelju. ‘Ništa ne sumnjajući’, poslužitelj ih prihvaća, uvjeren
da razmjenjuje sadržaj s legitimnim korisničkim uređajem (klijentom).
Napadi usmjereni na onemogućavanje rada su napadi uskraćivanjem usluge
(engl. Denial of Service - DoS ), odnosi se na nedopuštene aktivnosti sprječavanja ili
onemogućavanja ovlaštene uporabe računalne mreže, sustava ili programa isko-
rištavanjem njihovih resursa (procesor, memorija, propusnost mreže, prostor za
smještaj podataka) i raspodijeljeni napad uskraćivanjem usluge (engl. Distri-
buted Denial of Service - DDoS ) kojime se koordinirano, upotrebom više računala,
50
ponekada i botneta, napadaju određeni resursi sustava s ciljem onemogućavanja

njihova rada.
Botnets se odnose na mrežu tisuća ili milijuna računala (uređaja) pod kontrolom
napadača koja se, mimo znanja korisnika, koriste kao sredstvo zloporabe i meto-
da napada na ciljane i pomno odabrane računalne resurse (slanje neželjenih po-
ruka elektroničke pošte - spam poruka, online oglašivačke zloporabe, pokretanje
i izvođenje DoS napada, podržavanje phishing napada, anonimiziranje mrežnoga
prometa napadača itd.). Najteži primjer uporabe botnet uređaja bio je Reactor Ma-
iler botnet koji je 2009. godine zarazio i imao pod kontrolom 220.000 računala
koja su slala 180 milijardi neželjenih (spam) poruka dnevno. Ovaj virus i botnet je
2009. godine bio odgovoran za 60 % neželjenih poruka u svijetu. Zeus botnet je bio
keylogger softver koji je krao pristupne podatke s 3,6 milijuna računala.
Ovi i brojni ostali napadi usmjereni su krađi identiteta korisnika i prodaji tako pri-
kupljenih podataka na crnome tržištu. Vrijednost ukradenih podataka na crnome
tržištu iznosi od 0,40 - 20 USD za brojeve kartica i 10 - 100 USD za brojeve računa.33
S druge strane preko 80 % predsjednika uprava cyber sigurnost smatra velikim
problemom i prilično je zabrinuto oko toga, osobito jer čak 72 % njih smatra da naj-
veći problem proizlazi iz činjenice da su sigurnosni stručnjaci previše usredotočeni
samo na tehnologiju, a nedostaje im poslovnih kompetencija i znanja, posebice
onih vezanih za razumijevanje poslovanja.34
Iz navedenih primjera vrlo je lako zaključiti da upravljanje informatičkim rizicima
nije više samo tehnološko ili drugorazredno pitanje, nego često predstavlja vitalni
poslovni imperativ kojime treba ovladati najviša razina menadžmenta. Upravo je
to razlog radi čega je upravljanje informatičkim rizicima važna sastavnica korpora-
tivnog upravljanja informatikom odnosno radi čega je nužno ustrojiti mehanizme
korporativnoga upravljanja informatičkim rizicima. Model korporativnoga
upravljanja informatičkim rizicima omogućuje da se na primjereni način procijeni
mogući štetni učinak neželjenih događaja i odrede zaštitne kontrolne mjere kojima
će se spriječiti njihov nastanak ili smanjiti ili ublažiti učinak. Na taj način se učinko-
vito upravlja informacijskim i cyber rizicima.
Pokušajmo sažeti dosadašnja razmatranja vezana za izazove okruženja cyber si-
gurnosti odnosno probleme sigurnosti u digitalnoj ekonomiji:
• Polako, ali sigurno, kompanije napuštaju tradicionalno, središnje kontroli-
rano i upravljano informatičko okruženje (klasični informacijski sustavi) i ko-
33
Detalji o svim ovim metodama mogu se pronaći na sljedećim mrežnim stranicama: http://www.
sigurnostnainternetu.hr ili http://www.bankinfosecurity.com/articles.php?art_id=1732.
34
Piccoli, G., Pigni, F. (2016): Information Systems for Managers, edition 3.0, Prospect Press, USA, str.
340.
51
riste brojne nove digitalne tehnologije (digitalni informacijski susta-

vi) odnosno otvoreno informatičko okruženje koje nameće uporabu
mnogostrukih (mobilnih, pametnih, digitalnih) uređaja. Korištenje vlastitih
uređaja (BYOD koncept - engl. Bring Your Own Device) i pametni, digitalnom
tehnologijom opremljeni uređaji, nameću nova sigurnosna pravila koje više
nije moguće provoditi ustrajanjem na klasičnim metodama.
• Priroda sigurnosnih incidenata se promijenila – od izdvojenih napada od
strane pojedinaca do ciljanih, organiziranih kriminalnih aktivnosti, če-
sto i na nacionalnim razinama.
• Najveći problem vezan za cyber sigurnost se odnosi na manjak kompetencija
– pretjerano oslanjanje samo na tehnološke kompetencije, nedostatak kom-
petencija iz područja cyber sigurnosti vezanih za razumijevanje poslovanja
(‘Cybersecurity is faced with a skills crisis’ 35).
• Ljudi su najčešća meta cyber napada (krađa identiteta, zlonamjerni raču-
nalni kod, phishing , hakiranje, lažno predstavljanje, društveni inženjering , …).
• Najveća prijetnja cyber-sigurnosti je izostanak svijesti i vještina obrane.
• Nitko nije izuzet od napada i zloporaba (mali i srednji poduzetnici, ‘nea-
traktivne’ djelatnosti i slično više nisu izuzeti od cyber napada, cyber prijetnje
se odnose baš na svaku vrstu poslovanja, ali i na svakoga pojedinca koji koristi
suvremenu tehnologiju).
• Modeli procjene rizika više ne vladaju s pojmom ‘vjerojatnost da prijetnja
iskoristi ranjivost i …’. Ti su događaji ‘izvjesni’ odnosno ‘neizbježni’ (KADA
se dogode, a ne AKO se dogode).
U nastavku ovoga poglavlja definirat će se pojmovi informacijske i cyber sigurnosti,
objasniti njihove sličnosti i razlike i izložiti koncepti i okviri upravljanja sigurnošću
informacijskih sustava, prije svega putem objašnjenja informatičkih kontrola, mo-
dela upravljanja informatičkim rizicima i provedbama revizije sigurnosti informacij-
skih sustava.
Pojam cyber-sigurnost se odnosi na holistički model ovladavanja, upravljanja
i osiguravanja funkcioniranja suvremenoga informatičkog okruženja koji uključuje
tehnološke, organizacijske, društvene i ostale aspekte, u odnosu na klasične
procedure informacijske sigurnosti koje su mahom tehnološki usmjerene. Cy-
ber-sigurnost je pojam koji se usredotočuje na specifične, visokosofisticirane metode
napada i pokriva organizacijske, tehnološke i socijalne društvene aspekte napada.
35
PricewaterhouseCoopers (2015): Global State of Information Security, http://www.pwc.com/gx/
en/issues/cyber-security/information-security-survey/key-findings.html (15. 2. 2016.).
52
ISACA 36 (engl. Information System Audit and Control Association, jedna od najvažni-
jih strukovnih organizacija u svjetskim razmjerima u ovome području) cyber si-
gurnost definira kao zaštitu informacijskih resursa utvrđivanjem prijetnji
informacijama koje se obrađuju, pohranjuju i prenose međusobno povezanim in-
formacijskim sustavima. Cyber-sigurnost predstavlja sve mjere kontrole i za-
štite koje pojedince i kompanije štite od namjernih, sofisticiranih i ciljanih
informatičkih napada, krađe podataka i incidenata koje je teško otkriti ili
spriječiti. Osnovni cilj kontrolnih mjera cyber sigurnosti jest sprječavanje pojave
ili ublažavanje posljedica koje stalne (neodgodive) prijetnje, cyber ratovi i cyber
napadi mogu imati na pojedince i kompanije.
Sigurnost informacija i sigurnost informacijskih sustava je skup metoda
i zaštitnih mjera (kontrola) kojima se informacije i informacijski sustavi
štite od neovlaštenoga pristupa, uporabe, otkrivanja, prekida rada, pro-
mjena ili uništenja.
Tri su temeljna parametra informacijske sigurnosti:
• Povjerljivost (engl. confidentiality) – siguran pristup informaciji i informa-
cijskome sustavu isključivo za to ovlaštenoj osobi.
• Integritet ili cjelovitost (engl. integrity) – zaštita ispravnosti i cjelovitosti
podataka i informacija.
• Raspoloživost ili dostupnost (engl. availability) – ovlaštenoj osobi omo-
gućiti pravodoban i stalan pristup informacijama i informacijskim sustavima.
Tri ključna svojstva informacija čije narušavanje predstavlja rizik za poslovanje su:
1. Povjerljivost je svojstvo informacije da je raspoloživa isključivo osobama i su-
stavima koje za to imaju valjano ovlaštenje. Primjeri posljedica narušavanja
povjerljivosti informacija: gubitak konkurentske prednosti (otkrivanje infor-
macija o osobinama novoga proizvoda konkurenciji), gubitak povjerenja klijena-
ta (curenjem osobnih podataka klijenata u javnost), nepoštivanje mjerodavnih
propisa (curenje osobnih podataka klijenata može predstavljati kršenje regu-
lative u području zaštite osobnih podataka), financijski gubici (curenje osobnih
podataka može pokrenuti tužbe klijenata i rezultirati isplatom novčanih sred-
stava u svrhu pokrivanja odštetnih zahtjeva).
2. Cjelovitost je svojstvo informacije da postoji razumno uvjerenje u njezinu toč-
nost odnosno da slučajnim ili namjernim djelovanjem nije neovlašteno ili ne-
predviđeno izmijenjena, što podrazumijeva i naknadno dodavanje, izmjenu ili
brisanje informacija bez traga o provedenim aktivnostima koji se može slijediti.
36
Ibid.
53
Primjeri posljedica narušavanja cjelovitosti informacija mogu biti: dono-

šenje pogrešnih poslovnih odluka, gubitak povjerenja klijenata (zbog pogrešno
izračunate i naplaćene cijene usluge ili proizvoda), nepoštivanje mjerodavnih
propisa.
3. Dostupnost je svojstvo informacije da po potrebi i u prihvatljivome roku bude
dostupna ovlaštenim osobama i sustavima. Primjeri posljedica narušavanja
dostupnosti informacija mogu biti: nemogućnost isporuke proizvoda i usluga
klijentima (zbog nedostupnosti informacija o ugovornim odnosima s klijentima),
nepoštivanje mjerodavnih propisa, nemogućnost ispunjavanja ugovornih obveza.
Najčešće mjere zaštite kojima se štite tri ključna parametra informacijske sigurno-
sti, a koje će se detaljnije objašnjavati u nastavku teksta, posebice u poglavlju 5., su:
• Povjerljivost se ostvaruje primjenom zaštitnih kontrolnih mjera pristu-
pa informacijskome sustavu korištenjem kontrolnih mjera identifikacije i
autorizacija korisnika (metode logičke, fizičke i biometrijske mjere zaštite,
geolokacijske mjere zaštite, dodjele ovlasti)
• Integritet se ostvaruje zaštitom podataka pri prijenosu (dinamički poda-
ci) i zaštitom podataka u mirovanju (statički podaci) uz primjenu metoda,
kao što su šifriranje podataka, sigurnosni protokoli prijenosa podataka, kao
što su https, ssl, end-to-end enkripcija i slični, e-potpis, zaštita pristupa raču-
nalnoj mreži itd.
• Dostupnost (raspoloživost) se ostvaruje primjenom kontrola vezanih za
upravljanje kontinuitetom poslovanja, dostupnosti sustava i njegovih resursa
i metodama oporavka poslovanja nakon neželjenoga događaja.
HAKERI POKUŠALI UKRASTI MILIJARDU DOLARA IZ SREDIŠNJE BANKE,

ULOVLJENI ZBOG TIPFELERA
Index, 12. 3. 2016., http://www.index.hr/mobile/clanak.
aspx?category=vijesti&id=880624
PRAVOPISNA pogreška u online bankovnome transferu spriječila je krađu od
skoro milijardu dolara prošloga mjeseca, piše Reuters.
Bankarski službenici otkrili su kako su hakeri, koji su upali u sustav središnje
banke Bangladeša, ukrali odobrenja za odobravanje isplata. Nakon toga su od
banke Federalne rezerve New Yorka putem četrdesetak zahtjeva za prebaciva-
nje novca pokušali prebaciti sredstva iz središnje banke Bangladeša na račune
na Filipinima i u Šri Lanci, otkrili su službenici.
54
Usprkos tome što je velika pljačka spriječena, hakeri su ipak uspjeli ukrasti 80
milijuna dolara, što znači kako se ipak radi o jednoj od najvećih pljački banaka u
povijesti.
Četiri zahtjeva za prebacivanje oko 81 milijun dolara na Filipine su provedeni, no
peti, koji je iznosio oko 20 milijuna dolara i koji je bio naslovljen na jedan NVO,
nije prošao jer su hakeri krivo napisali ime NVO-a, Shalika foundationa.
Hakeri su umjesto “foundation” napisali “fandation”, zbog čega je Deutsche Bank
zatražio provjeru od središnje banke Bangladeša te je transakcija zaustavljena.
Potom su zaustavljene i isplate koje su ukupno iznosile između 850 i 870 miliju-
na dolara.
Središnja banka Bangladeša objavila je kako je vratila dio ukradenoga novca te
kako radi s tijelima za borbu protiv pranja novca na Filipinima kako bi pokušala
vratiti i ostatak.
CENTRALNA BANKA U BANGLADEŠU KOJU SU OPLJAČKALI HAKERI NIJE

IMALA NIKAKVU ZAŠTITU
Ira Kralj, Telegram, 12. 4. 2016., http://www.telegram.hr/biznis-tech/policija-ka-
ze-da-centralna-banka-u-bangladesu-koju-su-opljackali-hakeri-nije-imala-nika-
kvu-zastitu/
“Centralna banka u Bangladešu je bila izložena napadu hakera jer nije koristila
nikakav sigurnosni sustav za zaštitu svoje mreže, a uz to, za povezivanje računa-
la spojenih na globalnu platformu za financijske transakcije SWIFT (Society for
Worldwide Interbank Financial Telecommunications) koristili su second
hand rutere za 10 dolara.” - izjavio je za Reuters jedan od istražitelja jedne od
najvećih hakerskih pljački na svijetu.
Ti propusti znatno su pojednostavili posao hakerima koji su ranije ove godine
ušli u sustav i pokušali izvući milijardu dolara korištenjem ukradenih ovlaštenja,
objasnio je Mohammad Shah Alam iz odjela za kriminalističke istrage policije
u Bangladešu.
Podsjetimo, hakeri su preko ukradenih ovlaštenja iz centralne banke u Bangla-
dešu napravili naloge za novčane transfere s računa banke otvorenoga u ame-
ričkim Federalnim rezervama. Iako je većina transfera blokirana, ipak su uspjeli
izvući oko 81 milijun dolara prebačenih na račune na Filipinima. Spriječeni su
zbog pravopisne greške na jednom od naloga za plaćanje, a policija nije uspjela
ući u trag većini ukradenoga novca.
55
Hakerima bi bilo daleko teže provaliti u sustav da je banka koristila sigurnosnu

zaštitu, a zbog toga što nisu koristili ni sofisticirane rutere za povezivanje raču-
nala, koji mogu stajati više od nekoliko stotina dolara, istražiteljima je mnogo
teže ustanoviti što su točno hakeri učinili i gdje su bili locirani.
Policija u Bangladešu smatra da su za propust zajednički krivi središnja banka i
SWIFT, dodajući kako je na SWIFT-u odgovornost da ukaže na manjkavosti infor-
matičke infrastrukture banke, te kazao da nisu našli nijedan dokaz koji bi upu-
ćivao na to da je netko iz SWIFT-a savjetovao banku oko podizanja sigurnosnih
standarda.
Iz SWIFT-a su već ranije tijekom istrage rekli da je hakerski napad povezan s in-
ternim operativnim problemima Banke u Bangladešu i da njihova platforma nije
kompromitirana. “Moguće da je bilo manjkavosti u sustavu”, izjavio je glasno-
govornik Subhankar Saha, koji je potvrdio da je informatička oprema u banci
zastarjela i kako ju je trebalo zamijeniti. Nakon pljačke, inženjeri SWIFT-a su po-
sjetili banku i savjetovali ih da učine nužne preinake na sustavu.
Policija je početkom tjedna identificirala 20 stranaca upletenih u pljačku, no riječ
je o ljudima koji su primili određene uplate ukradenoga novca, a ne onih koji su
izveli pljačku.
2.2. Zaštitne mjere informacijske sigurnosti

Iznimno je važno uspostaviti, održavati i stalno poboljšavati različite zaštitne me-
hanizme koji omogućuju sigurnost informacijskih sustava. Sigurnost informacijskih
sustava usmjerena je na očuvanje fizičkog integriteta podataka i informacija od-
nosno sprječavanje njihova otuđenja, uništenja, oštećenja i neovlaštene uporabe.
Mogući izvori opasnosti i rizika u informacijskome sustavu mogu biti ljudski ili pri-
rodni, kao što prikazuje sljedeća tablica:
Tablica 2.2. Izvori opasnosti i rizika u informacijskome sustavu37
PRIRODNI LJUDSKI – namjerni LJUDSKI – pogreška

Požar Računalni kriminalci Brisanje podataka
Poplava Nezadovoljni djelatnici Nepravilno rukovanje opremom
Jaka i izravna svjetlost Hakeri Nestručnost
Prljavština i prašina Teroristi Nepažnja, nemar, neznanje
37
Prema: Srića, V. i suradnici, Menedžerska informatika, MEP Consult, Zagreb, 1999.
56
Osim zaštite od fizičke ili izravne opasnosti, informacijske sustave, a posebice po-
hranjene podatke i informacije treba zaštititi od neovlaštene uporabe, neovlašte-
noga pristupa i naročito osigurati njihovu povjerljivost i tajnost. Sigurnost infor-
macijskih sustava zasniva se na ispunjavanju triju osnovnih sigurnosnih zahtjeva:
• povjerljivost i sigurnost podataka i informacija (zahtjev sigurnosti)
• dostupnost podataka i informacija samo ovlaštenim korisnicima (za-
htjev raspoloživosti)
• tajnost (zahtjev tajnosti).
Zahtjev sigurnosti znači uspostavljanje uvjeta za neometano i stalno odvijanje
svih funkcija informacijskoga sustava. Izgradnjom sustava treba osigurati stalan i
pouzdan proces prikupljanja podataka, pohranjivanja podataka na odgovarajuće
elektroničke medije, obradu podataka u informacije, pohranjivanje rezultata obra-
de te njihovo dostavljanje korisnicima. Kao što je vidljivo iz tablice 2.2., tipični načini
ugroze sigurnosti informacijskih sustava su nepažnja, nemar, neznanje, nestruč-
nost, odnosno, požar, prašina, prljavština, neprimjereno održavanje strojnih kom-
ponenti, oštećenje dijelova opreme (primjerice, oštećenje magnetskog diska na
kojemu su pohranjeni svi podaci), nestanak električne energije za vrijeme obrade,
neovlaštene transakcije, krađa (‘curenje’) podataka, brisanje podataka, iskrivljava-
nje podataka itd. Protumjere su organizacija mjera fizičke sigurnosti, angažiranje
čuvarske službe, kontrola fizičkoga pristupa opremi, redovita izrada sigurnosnih
kopija (‘back-up’) i neke organizacijske mjere.
Zahtjev raspoloživosti (dostupnosti) nalaže da pristup podacima, informaci-
jama i obradama u sustavu mora biti omogućen svim osposobljenim korisnicima,
ali prema precizno utvrđenim ovlaštenjima. Oblikovanjem sustava nužno je točno
i nedvosmisleno utvrditi koje osobe smiju obavljati transakcije, tko ima pristup i
samo uvid u pojedine podatke, tko je odgovoran za održavanje podataka (brisanje,
mijenjanje, kopiranje). Da bi informacijski sustav bio siguran i pouzdan potrebno je
znati tko ima kakve ovlasti nad pojedinim dijelovima sustava. Na taj je način vrlo
jednostavno utvrditi tko što radi i tko je za koji dio posla odgovoran. Najveći dio
opisanih procedura obavljat će se automatski (tzv. ‘job log’ daje pregled svih aktiv-
nosti na sustavu i točnu identifikaciju korisnika sustava). Administrator sustava je
profesionalni informatičar koji je odgovoran za davanje ovlaštenja korisnicima, no,
potpuno je jasno da interni revizori i stručnjaci iz područja informacijske sigurnosti
moraju biti uključeni u planiranje i razradu takvih postupaka.
Zahtjev tajnosti se odnosi na pojedinačne i privatne podatke koji smiju biti do-
stupni isključivo ovlaštenim korisnicima. Pri tome treba razlikovati tajne, povjerljive
podatke od privatnih. Podaci i informacije koje se smatraju tajnima i povjerljivima
treba podvrgnuti posebnome režimu zaštite i staviti na raspolaganje samo usko-
57
me krugu korisnika. To su recimo recepture proizvoda, opisi poslovnih procesa,

opisi izrade proizvoda, cijene proizvoda, marže i slično. Zaposlenici koji imaju privi-
legiju pristupa i uvida takvim podacima obično potpisuju posebne ugovore kojima
se obvezuju na čuvanje poslovne tajne. Privatne informacije i osobne podatke valja
također zaštititi od neovlaštena pristupa. To su recimo podaci o zdravstvenome
stanju, imovini, plaći i neke druge činjenice koje se smatraju privatnima i mogu biti
dostupne samo u onome opsegu koliko to traži poslovni sustav i samo ovlaštenim
osobama. Tajnost i privatnost podataka često je zaštićena i uređena zakonom.
Iako su pojmovi sigurnosti informacijskih sustava i cyber sigurnosti vrlo
slični i oba se odnose na osmišljavanje i provedbu zaštitnih kontrolnih mjera koje
će pojedince i kompanije štititi od informatičkih napada, krađe podataka i incide-
nata, cyber sigurnost se ipak odnosi na specifične, visokosofisticirane metode
napada, fokusirajući se zaštitnim mjerama ne samo na kompanije, nego gotovo
podjednako i na ljude-pojedince i pokrivajući pri tome organizacijske, tehnološke i
društvene aspekte napada i zaštite. Osnovni cilj kontrolnih mjera cyber sigur-
nosti jest sprječavanje pojave ili ublažavanje posljedica koje stalne (neodgodive)
prijetnje, cyber ratovi i cyber napadi mogu imati na pojedince i kompanije.
Slika 2.2. prikazuje razliku među pojmovima informacijska sigurnost i cyber si-
gurnost.
Kompanije trebaju razlikovati rutinske (standardne), mahom tehnološke mjere

informacijske sigurnosti koje pružaju nižu razinu zrelosti upravljanja od holi-
58
stičkih modela cyber-sigurnosti koji omogućuju cjelovit i multidisciplinaran pri-

stup ovladavanju, upravljanju i osiguravanju funkcioniranja suvremenog informa-
tičkog okruženja. Razlika je u djelokrugu, motivima, prilikama i metodama napada.
Organizacije trebaju prioritetno prevladati razlike pojmovima informacijska sigur-
nost i cyber-sigurnost: upravljanje prvim pojmom najčešće ovisi o budžetu, procje-
nama i raznim ograničenjima, dok se drugi pojam suočava ne s procijenjenim, ne s
vjerojatnim, nego sa stvarnim prijetnjama vrlo inteligentnih napadača koji imaju
alate, vrhunske tehnološke i ostale vještine, ali i motive i prilike napadati informa-
tičku infrastrukturu suvremenog poslovanja s ciljem počinjenja zloporaba.
Razlikujemo nekoliko pristupa upravljanju cyber sigurnosti:
• ‘Inženjerski pristup’ – maksimalnu sigurnost na internetu moguće je doseg-
nuti putem robusnijeg softvera, više kriptiranja, boljih provjera cjelovitosti
podataka i boljih tehničkih standarda. Tehnički standardi i inovacije su ključ
ovoga pristupa, troškovi su manje važni.
• ‘Nacionalni (‘homeland security’) pristup’ – otkrivanje ilegalnih domaćih
i inozemnih aktivnosti i napada na vitalne nacionalne interese, pojedince i
kompanije/institucije. Ključ ovoga pristupa su nacionalne granice i državni in-
tervencionizam.
• ‘Ekonomsko-tržišni pristup’ – stvaranje učinkovitih i održivih ekonomskih
i tržišnih mehanizama kojima će se propisati regulatorna, cjenovna i ostala
tržišno usmjerena pravila kojih će se morati pridržavati svi ‘igrači’. Primjeri tih
mehanizama su: regulatorna pravila (objava informacija, preuzimanje odgo-
vornosti), porezna politika koja će poticati ulaganje u cyber sigurnost, obveza
dojave i analize sigurnosnih incidenata, pozitivne mrežne eksternalije, agregi-
rani izvještaji o sigurnosti, cyber osiguranje itd. Ključni elementi ovoga pristu-
pa su troškovi, koristi, održivost, fleksibilnost decentraliziranog odlučivanja.
Rezultati istraživanja prikazani u ranijim dijelovima ovoga poglavlja sugeriraju da
se pri upravljanju informacijskom sigurnosti najviše sredstava ulaže u tehnologiju,
a najmanje u organizacijska pitanja, ljude i istraživanje razloga i motiva hakiranja i
napada. Rauol Chiesa i suradnici su došli do zanimljivih rezultata istražujući profil
hakera:38 u 95 % radi se o muškarcima, kod blizu 100 % njih zastupljene su napred-
ne sposobnosti za prirodne znanosti poput matematike i fizike, a niska sposobnost
u društvenim znanostima, obično s hakiranjem počinju kao adolescenti, teško us-
postavljaju kontakt u fizičkome svijetu, a vrlo lako u virtualnome, navode proble-
me u komunikaciji s obitelji, prije svega roditeljima, a preko 90 % izražava želju za
38
Chiesa, R., Ducci, S, Chiappi, S. (2004): Hacker Profiling Project, http://www.infosectoday.com/Artic-
les/Hackers_Profiling_Project.htm.
59
radom u zakonitoj sigurnosnoj industriji. Stoga, imajući u vidu sve navedene pri-
stupe predlažemo razradu holističkoga modela upravljanja informacijskom
i cyber sigurnosti u kojemu je i riječ u ovoj knjizi.
Kontrolna pitanja:
1. Objasnite pojam informacijskoga sustava i njegove najvažnije sastavnice.
2. Navedite nekoliko primjera upotrebe informacijske i digitalne tehnologije u funkcio-
niranju informacijskih sustava.
3. Navedite i primjerima objasnite osnovne funkcije informacijskoga sustava.
4. Objasnite odnos pojmova sigurnost informacijskih sustava, informatičke kontrole,
informatički rizici i revizija informacijskih sustava. Navedite nekoliko primjera.
5. Objasnite obilježja rizika primjene digitalne tehnologije.
6. Navedite nekoliko primjera negativnih utjecaja sigurnosnih incidenata na poslova-
nje.
7. Koje su najvažnije cyber prijetnje danas? Objasnite izazove okruženja cyber sigurno-
sti i navedite nekoliko primjera.
8. Objasnite pojam sigurnosti informacijskih sustava.
9. Objasnite pojam cyber sigurnosti.
10. Koji su najvažniji parametri sigurnosti informacijskoga sustava? Objasnite i navedite
primjere.
11. Objasnite zašto je važno osmišljavati zaštitne kontrolne mjere u području sigurnosti
informacijskih sustava. Navedite nekoliko primjera.
60
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
3. Upravljanje rizicima primjene

informacijske tehnologije u poslovanju
1. razumjeti definiciju informatičkih rizika, razlikovati i prepoznati njihove najvaž-
nije vrste i obilježja
2. znati primjerima objasniti djelovanje informatičkih rizika i najvažnije varijable
koje utječu na njegovu razinu
3. ovladati planom upravljanja informatičkim rizicima
4. steći osnovne kompetencije procjene razine informatičkih rizika i osmisliti od-
govarajuće kontrolne protumjere
5. razviti analitičko i kritičko razmišljanje vezano za informatičke rizike i njihov
utjecaj na poslovanje u okruženju digitalne ekonomije.
3.1. Objašnjenje pojma cyber rizika (informatičkih

rizika), najvažnije vrste i obilježja
Rizik predstavlja opasnost ili vjerojatnost da će odgovarajući izvor prijetnje u
određenim okolnostima iskoristiti ranjivost (slabost) sustava, čime se, posljedič-
no, može počiniti neka šteta imovini organizacije.
Cyber rizici (informatički rizici, IT rizici) su poslovni rizici koji proizlaze iz inten-
zivne uporabe informacijskih sustava i tehnologije u okruženju digitalne
ekonomije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i po-
slovanja uopće.
Ti se rizici odnose na opasnosti i prijetnje da intenzivna primjena informa-
cijskih sustava može uzrokovati neželjene ili neočekivane posljedice i može-
bitne financijske i druge štete unutar organizacije, ali i njezinoga neposrednog i
šireg okruženja. Ta se šteta može ogledati u materijalnome i financijskome smislu,
a može biti izravna ili neizravna.
RIZIK = f (imovina, prijetnja, ranjivost)
61
Informatički rizici mogu se predočiti funkcijom koja predstavlja međudje-

lovanje varijabla poput imovine organizacije (materijalna, financijska), pri-
jetnji (incidenti, neželjeni događaji) i ranjivosti (slabost sustava, koja predstavlja
razinu učinkovitosti implementiranih kontrola čiji je cilj spriječiti pojavu neželjenih
događaja). Što kompanija ima više učinkovitih kontrola koje sprječavaju nastanak
ili učinak neželjenih događaja, vrlo je vjerojatno da će manje biti izložena informa-
tičkim rizicima (rizici se neće niti dogoditi) ili će biti izložena informatičkim rizicima
nižega intenziteta (ako rizici nastupe, njihov učinak će biti slabiji radi djelovanja
informatičkih kontrola). Upravo iz toga razloga iznimno je važno stalno provjeravati
učinkovitost informatičkih kontrola kako bi se bolje moglo upravljati informatičkim
rizicima.
Cyber rizici (informatički rizici, IT rizici, engl. IT risks) su poslovni rizici vezani za
stratešku primjenu, operativno korištenje, vlasništvo, upravljanje, primjenu i utje-
caj digitalne i informacijske tehnologije na poslovanje. Ti se rizici odnose na do-
gađaje koji mogu utjecati na poslovanje, a u kojima se koristi informatika
(prije svega informacijski sustavi temeljeni na digitalnim i informacijskim tehnologi-
jama). U uvjetima digitalne ekonomije i intenzivne primjene digitalnih tehnologija u
poslovanju, svi informatički rizici su ujedno i cyber rizici. Iako su podskup informa-
tičkih rizika, vrijedi istaknuti da cyber rizici predstavljaju rizike primjene digitalne
tehnologije u osmišljavanju, provedbi, nadzoru i upravljanju digitalnim poslovnim
modelima.
Informatički rizici imaju sljedeće dvije važne značajke:
1. uvijek su prisutni i
2. imaju dualnu narav.
Informatički rizici su uvijek prisutni, bez obzira je li ih kompanija svojim me-
hanizmima korporativnog upravljanja informatikom otkrila i prihvatila ili nije, a
ovladavanje tim rizicima predstavlja prilične izazove u dostizanju strateških ciljeva
poslovanja.
Informatički rizici imaju i dualnu narav:
1. dobro vođene informatičke inicijative stvaraju novu vrijednost, nove poslovne
prilike i održivu konkurentsku prednost
2. loše vođene informatičke inicijative uništavaju poslovanje, ne stvaraju novu vri-
jednost, a troše resurse poslovanja, stvaraju gubitke i frustracije zaposlenika,
stvaraju štete i probleme.
Najvažniji čimbenici upravljanja informatičkim rizicima se odnose na učestalost
(frekvenciju) pojave i utjecaj na poslovanje (težinu).
62
Informatički i cyber rizici proizlaze iz djelovanja prijetnji. Prijetnje se obično dije-

le, s obzirom na mjesto nastanka, na unutrašnje (interna prijevara, neovlašteni
pristup informacijama iznutra, krađa resursa informacijskoga sustava, greške u
unosu podataka u aplikacije, nesvjesno odavanje povjerljivih informacija) i vanj-
ske (hakerski napadi, zlonamjerni računalni kod, društveni inženjering , epidemije
bolesti, elementarne) nepogode.
Identificirane prijetnje potrebno je staviti u kontekst ranjivosti resursa informa-
cijskoga sustava, koje pojedine prijetnje mogu iskoristiti te na taj način izazvati
štetni učinak. Neki od primjera ranjivosti: nepostojanje zaštite od maliciozno-
ga koda, neprimjerena konfiguracija vatrozida, pristup poslovnim aplikacijama nije
kontroliran potvrdom identiteta korisnika, zaposlenici imaju nisku razinu svijesti o
sigurnosti informacijskoga sustava, nepostojanje sustava za besprekidnu opskrbu
električnom energijom itd.
Poznavanjem ranjivosti, prijetnji i njihovih štetnih učinaka na poslovanje
mogu se procijeniti rizici informacijskoga sustava kroz dva njihova temeljna svojstva:
• vjerojatnost da će prijetnja iskoristiti ranjivost resursa informacijskoga susta-
va te
• razina štetnog učinka ako prijetnja uspješno iskoristi ranjivost.
Obzirom na specifična područja na koje se odnose, razlikuju se sljedeće vrste in-
formatičkih rizika:
1. Strateški (korporativni) informatički rizici
2. Rizici provedbe informatičkih programa i projekata
3. Rizici provedbe poslovnih procesa (operativni ili transakcijski informa-
tički rizici) i
4. Infrastrukturni informatički rizici.
Strateški (korporativni) informatički rizici se odnose na rizike neusklađeno-
sti poslovanja i informatike odnosno sve one rizike kojima se ugrožavaju strateški
poslovni interesi radi pogrešnih odluka (ili radi njihova ne-donošenja) vezanih za
pozitivne učinke primjene digitalne i informacijske tehnologije u inovaciji poslov-
nog modela i ostvarenju poslovnih ciljeva. To su informatički rizici na najvišoj razini
upravljanja koji kompaniji mogu izazvati prije svega financijsku štetu i nenadokna-
dive gubitke. Ti se rizici često odnose i na propuštene prilike korištenja digitalne i
informacijske tehnologije koje su mogle rezultirati povećanjem poslovne učinkovi-
tosti ili novim strateškim inicijativama. Tu se radi o svim onim informatičkim rizici-
ma koji su nastali propustima menadžmenta radi kojih kompanija nije spremna (p)
ostati konkurentna i pratiti trendove digitalne ekonomije.
63
Primjeri strateških informatičkih rizika su:

• rizik pogrešne strategije informatike i rizik ne-donošenja iste
• rizik nekompetencija menadžmenta iz područja digitalne transformacije po-
slovanja
• rizik nespremnosti organizacije na promjene, posebice na disrupciju poslov-
nog modela
• rizik nespremnosti kompanije na digitalnu transformaciju poslovanja
• rizik neprimjerene organizacijske kulture uvjetima digitalne ekonomije
• rizik tržišnog natjecanja
• rizik promjena u okruženju i tehnologiji
• rizik otežanog rada radi spajanja i/ili partnerstva
• rizik infrastrukturne ili tehnološke nespremnosti na promjene poslovnih mo-
dela
• rizik da menadžment nije kompetentan voditi kompaniju u uvjetima digitalne
ekonomije
• rizik da menadžment nema znanja i kompetencija iz područja korporativnog
upravljanja informatikom
• rizik da menadžment ne razumije ulogu informatike u suvremenom poslova-
nju
• rizik implementacije informacijskih sustava pri spajanjima i akvizicijama
• rizik propasti informatičkih projekata ili kapitalnih ulaganja
• rizik pogrešnih ulaganja u informatiku
• rizik nepoštivanja zakonskih obveza iz područja informatike itd.
Rizici provedbe informatičkih programa i projekata su rizici da ulaganja u
informatiku neće biti ispravno vođena, kao i rizici da provedba tih ulaganja kroz
informatičke programe i projekte neće biti učinkovita ili neće doprinijeti stvaranju
nove vrijednosti.
Rizici provedbe poslovnih procesa (operativni ili transakcijski informa-
tički rizici) su svi rizici primjene informacijske tehnologije u redovitoj provedbi
poslovnih procesa. U ovu kategoriju možemo nabrojati sve operativne informa-
tičke rizike na koje treba obratiti pozornost kako bi se poslovni procesi mogli
izvoditi na neometan, siguran i pouzdan način. Tipični primjeri ove vrste infor-
matičkih rizika su:
64
• sigurnosni informatički rizici, rizik fizičke i logičke sigurnosti sustava

• rizici neprekidnosti poslovanja
• rizici provedbe informatičkih usluga
• rizik provedbe poslovnih transakcija (jesu li transakcije točne, potpune, cjelo-
vite, je li ustrojena učinkovita podjela dužnosti i kontrola, kako su dodijeljene
ovlasti rada itd.)
• rizik ometanja provedbe poslovnih transakcija ili prekida
• rizik promjene softvera, rizik pogrešne provedbe (implementacije) softvera
• rizik neovlaštenog pristupa programima i podacima ili njihove promjene pri
prijenosu
• rizik integriteta (cjelovitosti) podataka, točnosti aplikacija, pouzdanosti,
dostupnosti sustava ili servisa
• rizik neovlaštenog ubacivanja podataka u sustav, rizici pogrešnog unosa radi
nedostatnih ulaznih kontrola
• rizik nedostupnosti informacijskoga sustava
• rizik oporavka nakon neželjenoga događaja
• rizik nedostupnosti podataka, rizik nečitljivosti ili neupotrebljivosti podataka
nakon prekida ili neželjenoga događaja itd.
Računalna pogreška, dvostruka naplata

Nedavno ste kupovali u IKEA-i? Provjerite račun za karticu
Net.hr, 28. 7. 2016., http://net.hr/danas/novac/biznis/dvostruka-naplata-nedav-
no-ste-kupovali-u-ikea-i-dobro-provjerite-racun-za-karticu/
Svi koji su kupovali u IKEA-i u posljednjih tjedan dana trebali bi provjeriti svoje
bankovne ili kartične račune nakon što je ovaj trgovački div javno priznao kako je
jednom broju kupaca dvaput naplatio istu kupnju, piše Daily Mail.
Razlog je računalna pogreška. “Aktivno surađujemo s pružateljem usluga plaća-
nja kako bismo ispravili te transakcije što je brže moguće kako bi osobe kojima je
naplaćeno dvostruko dobile svoj novac natrag”, izjavila je Donna Moore, iz IKEA
UK. Problem se dogodio u svim britanskim trgovinama IKEA-e i u 102 slučaja
kupcima je naplaćeno dvaput. “Ispričavamo se za probleme koje je to prouzročilo
i ako je bilo koja mušterija još uvijek zabrinuta slobodno nas mogu kontaktirati
kako bismo raspravili problem”, rekla je Moore.
65
Infrastrukturni informatički rizici su rizici rada informatičke infrastrukture i

opreme i svi ostali rizici koji se odnose na redovito funkcioniranje informatičke infra-
strukture. To su rizici koji se odnose i na dostupnost i funkcionalnost računalne mre-
že, infrastrukturne podrške podatkovne osnovice, komunikacijske infrastrukture,
servisa elektroničke pošte i svih ostalih informatičkih servisa koje kompanija pruža.
Studija slučaja 3.1.: Zrakoplovna kompanija ComAir

Kategorija rizika: prekid rada informacijskoga sustava
Za vrijeme božićnih blagdana 2004. godine, u jeku najveće ‘putničke groznice’
američkoj zrakoplovnoj kompaniji ComAir otkazao je transakcijski rezervacijski
sustav. Taj se sustav sastojao od prastarih IBM-ovih AIX poslužitelja. Sustav nije
otkazao zbog starosti poslužitelja nego zbog pogreške u jednoj od aplikacija,
koja nije bila predviđena za više od 32.000 odgoda letova, koliko ih je baš toga
mjeseca bilo zbog brojnih oluja. Dakle, u ovome slučaju transakcijski sustav ove
kompanije je vjerojatno godinama ‘opsluživao’ poslovanje i radio kako treba, a
da nitko nikada nije napravio njegovu detaljnu provjeru (reviziju). Transakcijski
sustav je imao logičku pogrešku za koju nitko nije znao, a koja se aktivirala, u
naravno, najnezgodnijem trenutku. Osim toga, zanimljivo je primijetiti da me-
nadžment kompanije nije vodio računa o upravljanju rizicima informacijskih su-
stava, pa nisu niti imali plan kontinuiteta poslovanja odnosno plan oporavka
sustava u takvim prilikama, što je znatno utjecalo na veličinu štete. Problemi koji
su nastali: tisuće putnika božićne je blagdane provelo čekajući u zračnim luka-
ma, dok se kompanija ‘snašla’ zrakoplovi nisu mogli poletjeti, izravna financijska
šteta iznosila je 40 milijuna USD, neizravna mnogostruko više, tužbe, narušen
ugled, što je konačno rezultiralo prodajom kompanije, gubitkom pravne osob-
nosti i nenadoknadivim poslovnim neuspjehom dotad uspješne kompanije.
Zašto je došlo do prekida rada informacijskoga sustava?
Kako se prekid mogao spriječiti?
Zašto je ovaj informatički incident negativno utjecao na poslovanje?
Kako su se mogle ublažiti njegove posljedice?
Koje kontrolne mjere bi predložili upravi ove kompanije?
Kao što je to nažalost uobičajeno, i u ovoj studiji slučaja imamo primjer lošega
upravljanja različitim vrstama informatičkih rizika. ComAir nije imao razvijen sustav
66
korporativnog upravljanja strateškim informatičkim rizicima (menadžment uopće

nije imao kompetencija iz područja upravljanja informatikom, niti im je bio poznat
utjecaj informacijskoga sustava na poslovanje), prema informatičkim projektima
su se odnosili nemarno (projekt zamjene i dorade transakcijskog sustava je dugo
čekao ‘dozvolu’), rizicima provedbe poslovnih transakcija nitko nije upravljao (nije
bilo dodijeljeno ‘vlasništvo’ nad rizicima, nije postojao plan kontinuiteta poslova-
nja), nisu se radile revizije funkcioniranja informacijskoga sustava kako bi se mogle
pronaći pogreške i spriječiti problemi itd. Svi ti čimbenici su utjecali da je kompanija
ComAir potpuno nespremno dočekala problem vezan za funkcioniranje informacij-
skoga sustava, menadžment uopće nije bio svjestan problema i rizika za poslova-
nje, što je imalo za posljedicu da je kompanija doživjela poslovnu katastrofu s ve-
likim izravnim i neizravnim financijskim i reputacijskim štetama, od koje se nikada
nije oporavila, nego je po vrlo jeftinoj cijeni prodana drugoj zrakoplovnoj kompaniji
i više ne postoji kao pravni subjekt. Stoga, nije naodmet detaljnije objasniti pojam
rizika kontinuiteta poslovanja i oporavka od neželjenoga događaja.
Proces upravljanja kontinuitetom poslovanja (engl. business continuity) pred-
stavlja skup aktivnosti, radnih procedura i pravila prema kojima se preventivnim
mjerama sprječava pojava neželjenih štetnih događaja, ali i skup reaktivnih mjera
prema kojima se postupa u slučaju njihova nastanka. Tim se procesom angažiraju
razni poslovni resursi (ljudski, materijalni) kako bi se omogućila neprekidnost po-
slovanja i smanjio operativni rizik koji proizlazi iz neočekivanih prekida kritičnih po-
slovnih funkcija i procesa ili njihova otežanog funkcioniranja. Osnovna svrha i cilj
procesa upravljanja kontinuitetom poslovanja jest omogućiti neometan na-
stavak poslovanja u slučaju bilo kakvog štetnog događaja, ispada ili otežanog rada
informacijskoga sustava. Drugi važan cilj procesa upravljanja kontinuitetom poslo-
vanja jest omogućiti brz i efikasan oporavak i ponovno pokretanje poslovanja
nakon štetnoga događaja (engl. disaster recovery). Osim reaktivnih mjera prema
kojima se postupa u slučaju nastanka neželjenoga štetnog događaja, osnovni smi-
sao procesa upravljanja kontinuitetom poslovanja jest ustrojiti i preventivne mjere
kojima će se spriječiti njihov nastanak ili smanjiti vjerojatnost takvoga ishoda.
Rizik prekida kontinuiteta poslovanja spada među vrlo važne poslovne rizike
kojima su izložene gotovo sve kompanije koje za odvijanje poslovnih procesa kori-
ste informacijske sustave. Obveza je najviših tijela upravljanja kompanijom ustrojiti
mehanizme upravljanja kontinuitetom poslovanja, utvrditi potencijalne štetne i ne-
željene događaje koji mogu uzrokovati prekide poslovnih procesa ili njihovo ote-
žano odvijanje i odrediti protumjere (kontrole, organizacijske mjere, korporacijska
pravila) kako bi se njihov utjecaj smanjio ili ublažio.
67
Studija slučaja 3.2.: Sony Entertainment Company – krađa korisničkih

podataka
Kategorija rizika: operativni i infrastrukturni informatički rizici
24. studenoga 2014. godine Sony Entertainment Company je doživjela veliki
cyber napad i krađu povjerljivih podataka iz njihovoga informacijskog sustava.
Grupa hakera je ukrala 100 terabajta osjetljivih podataka poput pristupnih šifri
(korisnička imena i lozinke), brojne povjerljive dokumente s povjerljivim informa-
cijama o zaposlenicima (uključujući u SAD-u ‘svemogući’ social security number,
koji može predstavljati određenu verziju OIB-a, povjerljivoga podatka kojime je
omogućen pristup svim elektroničkim evidencijama), ali i podatke poput broja
putovnica i viza za holivudske glumačke zvijezde, zdravstvene kartone zaposle-
nika i brojnih suradnika i brojne povjerljive podatke o serijama i filmovima koji
su se tek trebali početi emitirati. Sony je objavio da je izravna financijska šte-
ta iznosila 15 milijuna USD koja se uopće nije odnosila na troškove vezane za
partnere i korisničke podatke nego samo na troškove istraživanja i utvrđivanja
činjenica. Reputacijski rizici poput gubitka povjerenja partnera i korisnika, objav-
ljeni povjerljivi ugovori i poslovni odnosi i ostale neizravne štete bili su gotovo
nemjerljivi.
Zašto je došlo do krađe podataka i povjerljivoga sadržaja?
Koju poslovnu štetu je kompanija pretrpjela?
Koga smatrate odgovornim za incident i nastalu štetu?
Koje disciplinske mjere bi trebalo poduzeti u ovoj situaciji?
Što bi trebalo učiniti da se ovakav ili sličan incident ne dogodi ili da njegov učinak
bude blaži?
Okruženje digitalne ekonomije zahtijeva stalnu i intenzivnu primjenu digitalnih teh-

nologija u provedbi poslovnih transakcija. Intenzivna primjena digitalnih tehnologi-
ja donosi brojne koristi poslovanju, ali ako se istima ne upravlja primjereno, može
imati i drugu stranu, često u vidu sigurnosnih incidenata koji ugrožavaju poslova-
nje i stvaraju štete itd.).
68
Studija slučaja 3.3.: Chrysler automobili – hakiranje automobila i

preuzimanje daljinske kontrole
Kategorija rizika: cyber rizici
U srpnju 2015. godine hakeri Chris Valasek i Charlie Müller su daljinskim pu-
tem hakirali automobil Jeep Cherokee dok se vozio po autocesti. Ranjivosti i
propusti u info-entertainment sustavu, koji je sastavni dio svakoga automobila
današnjice, su hakerima omogućili da s udaljenosti od preko 15 km preuzmu
kontrolu nad vozilom i njegovim ključnim funkcijama. To je bilo prvi put da su
hakeri doslovno iz udobnosti kauča preuzeli kontrolu nad vozilom i uzrokovali
kompaniji velike štete i probleme (opoziv 1,4 milijuna vozila, popravljanje štete,
promjenu industrijskih i regulatornih pravila).
Što je bilo uzrokom ovoga sigurnosnog incidenta?
Navedite još nekoliko primjera sličnih sigurnosnih incidenata u kojima se koristi
suvremena tehnologija?
Koje kontrolne mjere biste predložili za njihovo sprječavanje ili ublažavanje po-
sljedica?
Čak i površna analiza slučajeva 3.2. i 3.3., ali i ranijih primjera cyber napada (Tar-
get, Nacionalna banka Bangladeša i ostali) ukazuju da su cyber prijetnje najčešće
pomno planirane i usmjerene ostvarenju točno određenog cilja odnosno da imaju
pomno planiran ‘životni ciklus’ koji se sastoji od sljedećih faza:
• ‘njuškanje’, ‘izviđanje’, analiza ranjivosti
• istraživanja uočene ranjivosti i priprema probnog napada
• probni cyber napad
• analiza učinka napada, ‘učenje’ o kontrolama koje ga trebaju otkriti i spriječiti
• ‘dorada’ cyber napada
• sljedeći probni napadi
• veći napadi usmjereni na počinjenje štete.
Često se informatički dio poslovanja neopravdano smatra odvojenom poslovnom
funkcijom, pa samim time i samostalnim kontrolnim okruženjem. Pitanje upravlja-
nja cyber (informatičkim) rizicima nije samo ‘tehnološki’ problem, ili problem ko-
69
jega treba samostalno rješavati organizacijska jedinica zadužena za informatiku,

nego ‘poslovni’ problem kojega treba prepoznati na korporativnoj razini i njime
učinkovito upravljati. Dakle, nužno je ustrojiti model korporativnog upravljanja
informatičkim rizicima koji će obuhvatiti ljude, infrastrukturu, podatke, politike
i poslovne procese.
3.2. Plan upravljanja informatičkim rizicima

Upravljanje rizicima predstavlja sistematičan analitički proces kojime organiza-
cija otkriva (pronalazi), prepoznaje (identificira), umanjuje (reducira) i nadzire (kon-
trolira) potencijalne rizike i gubitke kojima je izložena.39 Osnovni cilj toga procesa
jest otkriti i identificirati slabosti u organizaciji ili sustavu, procijeniti razinu opasno-
sti kojom su izloženi poslovni resursi i ponuditi racionalan, izvediv i troškovno učin-
kovit način smanjivanja njihova intenziteta. Taj proces omogućuje organizacijama
utvrđivanje veličine (ozbiljnosti, težine, razmjera) i učinaka potencijalnih gubitaka,
vjerojatnosti da će se takav gubitak eventualno i dogoditi te protumjera koje mogu
djelovati na smanjenje vjerojatnosti ili veličine gubitka.
Osnovni zadatak procesa upravljanja rizicima jest sustavnim metodama i mjerama
održavati poželjnu razinu sigurnosti poslovanja odnosno održavati prihvatljivom
razine raznih rizika kojima je poslovanje izloženo.
Prihvatljiva razina rizika se odnosi na onaj intenzitet rizika koji još uvijek
ne ugrožava odvijanje važnih poslovnih funkcija i procesa odnosno ostva-
renje zacrtanih poslovnih ciljeva.
Vrlo je važno napomenuti da u okolnostima suvremenog poslovanja koje je pove-
zano informacijskim sustavima često ne možemo postaviti čvrstu granicu među
organizacijama, pa se tako pitanja informatičkih rizika protežu i na dobavljače,
partnere, kupce itd. Važan je i obratan smjer, jer ranjivost informacijskoga sustava
dobavljača u potpuno povezanome digitalnom poslovanju, primjerice, riziku može
izložiti i informacijski sustav matične kompanije. Stoga, podizanje svijesti i razine
znanja o sustavnome praćenju informatičkih rizika nužno je u gotovo svim kompa-
nijama koje na bilo koji način u svojemu poslovanju koriste poslovne informacijske
sustave.
39
Panian, Ž., Spremić, M. (2007.): Korporativno upravljanje i revizija informacijskih sustava, Zgombić i
partneri, Zagreb.
70
Plan upravljanja informatičkim rizicima predstavlja sustavan proces koji sa-

drži sljedeće korake:
1. utvrđivanja (identifikacija) svih informatičkih rizika
2. određivanje razine (intenziteta) informatičkih rizika procjenom njihove ‘težine’
(utjecaja na poslovanje i imovinu) i učestalosti pojavljivanja
Slika 3.1. Koraci i faze procesa upravljanja informatičkim rizicima
Formalan popis svih informatičkih rizika, pregled prijetnji,

Analiza stanja i ranjivosti (slabosti) sustava, procjena očekivanih negativnih
identifikacija svih učinaka, klasifikacija rizika prema unaprijed utvrđenim
kompanijskim standardima, kategorizacija uzroka i 'okidača'
rizika
događajima, određivanje vjerojatnosti nastanka i dodjela
odgovornosti za svaki rizik ('vlasnik rizika')
Temeljem vjerojatnosti, učestalosti nastanka i procjene

Procjena 'težine' i utjecaja rizika na poslovanje (engl. Business impact
učestalosti pojave analysis – BIA) određuju se prioriteti i utvrđuje način
rizika, određivanje upravljanja rizicima
prioriteta Kvantifikacija težine i frekvencije rizika
Kvalitativno određivanje težine i frekvencije rizika
Određivanje strategije upravljanja rizicima:

Određivanje - prihvaćanje i praćenje razine rizika
optimalnih - smanjenje 'težine' ili vjerojatnosti nastanka rizika -
određivanje učinkovitih informatičkih kontrola
protumjera – odabir
- izbjegavanje rizika ('prebacivanje' rizika)
kontrola i dodjela - podjela, djelomično 'pokrivanje' rizika
odgovornosti za Izbor najboljih protumjera, dodjela odgovornosti za provedbu
provedbu (budžet, ciljevi, vremenski rokovi, plan provedbe, vlasništvo
nad rizicima)
Provedba kontrolnih Da bi se utvrdilo jesu li IT kontrole koje smo implementirali

protumjera, utjecale na smanjenje ključnih rizika i u kojoj mjeri su one
djelotvorne i učinkovite, provodi se postupak revizije
testiranje
informacijskih sustava prema poznatim okvirima (CobiT,
učinkovitosti i ISO 27000, PCI DSS, NIST)
djelotvornosti Otklanjanje šteta i procjena preostalog (rezidualnog) rizika
kontrola – rizika nakon provedbe kontrolnih protumjera
'Portfolio' pristup Povezivanje i usklađenje rizika sa strategijom poslovanja,

stalni nadzor i ažuriranje plana upravljanja informatičkim
rizicima i usklađenje
rizicima
sa strategijom Postimplementacijska analiza
poslovanja Nadzor, revizija i prilagodba plana upravljanja informatičkim
rizicima
71
3. određivanje optimalnih protumjera utvrđenim rizicima postavljanjem infor-

matičkih kontrola
4. dodjela odgovornosti i provedba i dokumentiranje informatičkih kontrola i
5. stalan nadzor, revizija plana upravljanja informatičkim rizicima i usklađenje sa
strategijom poslovanja.
Osnovni postupci pri upravljanju informatičkim rizicima prikazani su slikom 3.1.
U nastavku detaljnije promotrimo neke važnije korake plana upravljanja informa-
tičkim rizicima.
3.2.1. Identifikacija (određivanje) i razvrstavanje (klasifikacija)

informatičkih rizika
Početni, ponekad i najteži dio plana upravljanja informatičkim rizicima jest njihova
identifikacija i klasifikacija. Ta se aktivnost ne odnosi samo na formalan popis svih
informatičkih rizika, nego i pregled prijetnji, slabosti sustava, očekivanih negativnih
učinaka, klasifikaciju prema unaprijed utvrđenim korporativnim pravilima, katego-
rizaciju uzroka i okidača događajima, određivanje vjerojatnosti nastanka i dodjelu
odgovornosti za rizik (‘vlasnik rizika’).
Osnovni cilj identifikacije svih informatičkih rizika jest procjena njihova utjecaja na
poslovanje i klasifikacija prema kritičnosti i vjerojatnosti nastanka odnosno uče-
stalosti (frekvencije) pojavljivanja. Stoga, većina tih rizika spada među poslovne od-
nosno upravljačke rizike koji „pogađaju“ različite razine hijerarhije poslovanja. Da
bi se rizicima kvalitetno upravljalo, nužno je razviti mehanizme stalnoga praćenja
izloženosti poslovanja svim vrstama rizika i njihove ključne pokazatelje. U tome
slučaju, ako se nekim nominalno operativnim rizicima ili rizicima nižega prioriteta i
razine kritičnosti neprimjereno upravlja, oni vrlo brzo mogu „preskočiti“ hijerarhij-
ske stepenice i uzrokovati štete i gubitke.
Proces određivanja informatičkih rizika započinje s definiranjem njihova djelokru-
ga odnosno granica i dijelova informacijskoga sustava. U tome je koraku važno
prikupiti što više podataka o informacijskome sustavu čije bi rizike korištenja tre-
bali odrediti. Sukladno tome potrebno je prikupiti razne rutinske (hardver, softver,
podaci, mreža, povezanost dijelova sustava, zaposlenici koji koriste i održavaju
sustav, misija, vizija sustava, strateška važnost sustava za organizaciju, korisnici)
ili dodatne (koje funkcije i razine funkcionalnosti sustav treba omogućiti, sigurno-
sna arhitektura sustava, tijek informacija, način obrade podataka, menadžerske
kontrole, ručne i automatizirane kontrole, fizička i logička sigurnost itd.) podatke o
cjelokupnome informatičkom okruženju. Tehnike kojima se stručnjaci (obično revi-
72
zori informacijskoga sustava) pri tome služe najčešće su ankete, upitnici, razgovori
s ključnim korisnicima i menadžmentom, pregled dokumentacije i opažanje rada
sustava.
3.2.2. Procjena ‘težine’ informatičkih rizika i određivanje

prioriteta
Nakon što smo stekli dobar uvid u način rada sustava, njegove granice i zahtjeve
koji se pred njega postavljaju, potrebno je odrediti ključne varijable funkcije rizika
(imovina, prijetnje, ranjivosti).
Imovina je sve što tvrtka posjeduje i što za nju ima neku poslovnu vrijednost. Imo-
vina poslovnog informacijskog sustava predstavlja poslovnu vrijednost njegovih
sastavnih dijelova, a može biti opipljiva i neopipljiva. Za neke od njih (primjerice,
hardver) lako je odrediti uporabnu i poslovnu vrijednost, dok je za ostalu, osobito
„neopipljivu“ imovinu poput softvera ili podataka teže procijeniti stvarnu vrijed-
nost odnosno potencijalni gubitak ili štetu.
Prijetnju se definira kao mogućnost ili namjeru neke osobe da poduzme akcije
koje nisu u skladu s ciljevima organizacije. Izvori prijetnji mogu biti:
• prirodni (prirodne katastrofe, potresi, poplave i slično)
• ljudske pogreške odnosno čimbenici unutar poslovne organizacije (pri-
jetnje koje nastaju namjernim ili slučajnim pogreškama koje rade ljudi, naj-
češće nezadovoljni zaposlenici organizacije. Tipični primjeri su neovlaštena
uporaba resursa poslovnih informacijskih sustava, ali i zaraza računalnim vi-
rusima ili slučajno brisanje važnih podataka)
• slučajan događaj ili nenamjerna aktivnost predstavlja aktivnost kojom
su se slučajno ‘pokrenuli’ događaji koji mogu uzrokovati slabost sustava. To
može biti bilo kakva nehotična aktivnost korisnika (primjerice, brisanje važnih
podataka, promjena svojstava sustava, pogreške u radu, upadi u sustav bez
namjere počinjenja šteta, nepridržavanje obveza itd.). Iako se radi o nena-
mjernim, slučajnim ili nehotičnim pogreškama one mogu znatno ugroziti rad
sustava i izložiti ga riziku. U ovu kategoriju spadaju i razne prirodne katastrofe
(požari, poplave, oluje i slično) na koje nemamo previše utjecaja, ali barem
možemo predvidjeti njihove štete i poduzeti odgovarajuće mjere koje će ih
spriječiti
• namjerno počinjenje štete ili ugroza rada informacijskoga sustava –
namjerni napadi na imovinu sustava, napadi računalnim virusima s ciljem po-
činjenja izravne štete ili zastoja rada, napadi s ciljem neovlaštenoga upada u
73
sustav i počinjenja štete (primjerice, promjene podataka, promjena program-

skog koda itd.)
• čimbenici iz okruženja poslovne organizacije (nestanak struje, terori-
zam, poslovni konkurenti, špijuni, kriminalci, računalni hakeri i slično).
Nakon što je organizacija postala svjesna svih prijetnji i potencijalnih događaja
koji mogu ugroziti neometan rada sustava, nužno je odrediti slabosti odnosno
ranjivosti sustava. Ranjivost predstavlja svaku slabost bilo kojega dijela imovi-
ne poslovne organizacije ili slabost neke njezine zaštitne mjere. Ranjivost pred-
stavlja relativnu mjeru kojom se procjenjuje razina učinkovitosti kontrola unutar
pojedinih dijelova poslovnog informacijskog sustava. Dakle, ranjivost se odnosi
na nedostatak ili slabost sustava, njegovih ključnih dijelova (procedure i politi-
ka sigurnosti, dizajna, algoritma, ključnih aplikacija itd.), ili internih kontrola koji
namjernim ili nenamjernim djelovanjem mogu uzrokovati sigurnosni incident ili
povredu sigurnosne politike.
Tipični primjeri slabosti (ranjivosti) mogu biti nedostatne logičke i fizičke kontrole
poslovnog informacijskog sustava, neprimjerena ili neučinkovita poslovna praksa,
nepovoljni poslovni ugovori itd. Što su implementirane automatske ili ručne kon-
trole učinkovitije, razina ranjivosti je niža. U tome slučaju kontrole koje su ugrađe-
ne u informacijski sustav sprječavaju da se neka prijetnja uopće dogodi ili, ako se
dogodi, da je njezin utjecaj na poslovanje slabiji. Time se izravno smanjuje vjerojat-
nost (mogućnost) nastanka prijetnji odnosno njihov negativan učinak na imovinu.
S druge strane, implementacija kontrolnih mehanizama zahtijeva određena finan-
cijska sredstva, pa je nužno prije takvih odluka provesti odgovarajuću procjenu
razine rizika i utvrditi njihovu financijsku vrijednost.
Informatički rizici, stoga, predstavljaju vjerojatnost nastanka nekoga ne-
željenog događaja (prijetnje) koja u danim okolnostima može uzrokovati štetu,
zastoj ili umanjeni intenzitet rada informacijskoga sustava ili pak štetu nad
informacijama koje su u njemu pohranjene. Primjer takvoga neželjenog do-
gađaja (prijetnje) koji predstavlja informatički rizik može biti napad računalnim
virusima. Takva prijetnja realno neprekidno postoji i može se dogoditi u svako-
me trenutku. No, ako je neka poslovna organizacija implementirala odgovaraju-
će kontrolne protumjere (primjerice, koristi uvijek ažurne inačice licenciranoga
antivirusnog softvera i ima propisane odgovarajuće organizacijske procedure
odnosno pravilnike o antivirusnoj zaštiti), tada je ranjivost na nekoj nižoj procije-
njenoj razini nego u slučaju da se te kontrolne protumjere ne provode ili da nisu
učinkovite. Tada, iako prijetnja realno stalno postoji, njezin negativan učinak na
imovinu sustava (primjerice, podatke) neće biti toliko izražen, pa ovoj „kombina-
ciji“ imovine, prijetnji i ranjivosti koja čini rizik virusnog napada možda možemo
pridružiti nižu razinu.
74
Utjecaj koji takav događaj može imati na poslovanje kompanije mjeri se „veličinom“
štete koja se može dogoditi, pa je vrlo važno odrediti „težinu“ i učestalost (fre-
kvenciju) pojavljivanja informatičkih rizika. Da bi se utvrdila vjerojatnost po-
jave takvog mogućeg neželjenog događaja, potrebno je sustavno analizirati sve pri-
jetnje koje proizlaze iz korištenja informacijskih sustava i informacijske tehnologije
(ukupni rizik), dovesti ih u vezu s potencijalnim ranjivostima (slabostima) sustava,
odrediti u kojoj se mjeri taj rizik može tolerirati te odrediti kontrole kojima će se
takve slabosti ublažiti ili svesti na prihvatljivu razinu.
Delti Air Lines urušio se informatički sustav, a zatim i cijena dionice
LiderPress, 8. 8. 2016., http://lider.media/aktualno/biznis-i-politika/svijet/del-

ti-air-lines-urusio-se-informaticki-sustav-zatim-cijena-dionice/
Američki zrakoplovni prijevoznik Delta Air Lines izvijestio je u ponedjeljak o uru-
šavanju informatičkoga sustava, koje je prouzročilo kašnjenje letova širom svijeta.
“Delta je zabilježila pad informatičkoga sustava koji je utjecao na letove pred-
viđene za ovo jutro”, priopćeno je danas iz drugog zrakoplovnog prijevoznika u
svijetu po broju putničkih kilometara.
Delta ima 500 letova dnevno i član je udruženja SkyTeam, kao i Air France-KLM
i još 18 prijevoznika. U prekoatlantskim letovima partner im je Virgin Atlantic, iz
kojega su priopćili da se njihovi letovi odvijaju prema rasporedu. Upozorili su
ipak putnike da na kartama provjere ime prijevoznika budući da su s Deltom
sklopili sporazum o podjeli letova.
Reuters napominje da su američki prijevoznici proteklih mjeseci u nekoliko na-
vrata bilježili probleme s informatičkim sustavima. Tako je niskotarifni prijevoz-
nik Southwest Airlines u srpnju zbog tehničkih razloga obustavio letove dok je
American Airlines iz istoga razloga bio prisiljen obustaviti letove iz tri zračne luke.
Stručnjaci ističu da se prijevoznici suočavaju sa sve većim rizikom problema s
informatičkim sustavima zbog pojačane automatizacije poslovanja, distribucije
kupona za ukrcaj putem pametnih telefona i opremanja zrakoplova wi-fi-jem.
Pri procjeni razine (intenziteta) informatičkih rizika služimo se kvantitativnim

i kvalitativnim mjerama (metrikama). Cilj uporabe kvantitativnih metrika
jest procjena možebitnih izravnih financijskih gubitaka nastalih djelovanjem odre-
đenog informatičkoga rizika. Pri tome se radi o subjektivnoj procjeni koja može biti
više ili manje realna odnosno više ili manje utemeljena na stvarnim događajima
(prijetnjama, ranjivostima i potencijalnim posljedicama). U svakome slučaju, pro-
cjena razine informatičkih rizika vrlo je složen i zahtjevan zadatak kojega najčešće
75
obavlja radna skupina sastavljena od analitičara rizika uz podršku izvršnog me-

nadžmenta. Stoga je prilično korisna poslovna praksa odrediti mehanizme ili odre-
đena pravila kojima se provode takve procjene (primjerice, metodologija upravlja-
nja rizicima ili pravilnik za procjenu razine rizika) i u te aktivnosti obvezno uključiti
stručne suradnike i zaposlenike.
Tablica 3.1. Primjer procjene razine informatičkih rizika i utvrđivanja strategija

odgovora na rizike (matrica analize prijetnje i vjerojatnost njihova na-
stanka)
Utjecaj - razina Vjerojatnost nastanka neželjenoga događaja

‘ozbiljnosti’ (ranjivost sustava)
neželjenoga A - vrlo B- C- D- E - gotovo
događaja moguć moguć povremeno rijetko nikada
I (visoka)
II
III
IV (niska)
Rizik 1 - neprihvatljiv, kritičan, vrlo moguć i zahtijeva trenutnu reakciju najviših

razina menadžmenta
Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno uključivanje (višeg)
menadžmenta
Rizik 3 - prihvatljiv uz praćenje i izvještavanje menadžmentu
Rizik 4 - prihvatljiv bez ‘uplitanja’ menadžmenta
Kvantitativne metode procjene informatičkih rizika najčešće se odnose na

utvrđivanje brojčanih iznosa koji odgovaraju obilježjima rizika i uglavnom se teme-
lje na procjeni iznosa izravne i neizravne štete (financijske, materijalne, reputacijske
itd.), koja može nastati nastupom neželjenoga događaja. Primjerice, ako je raspon
kvantitativnih mjera od 1 do 5, iznos 1 može značiti malu mjeru rizika čiji nastup
neće ugroziti poslovanje i može nanijeti malu financijsku i ostalu štetu za poslova-
nje (recimo, štetu do 1.000 kn), dok kvantitativni iznos 5 može označavati kritičnu
razinu rizika za poslovanje odnosno rizika koji je vrlo vjerojatan da će se dogoditi
(jer ne postoje kontrole koje će ga spriječiti ili ublažiti učinak) i kada nastupi može
uzrokovati veliku financijsku i ostalu štetu (recimo 1.000.000 kn ili nekakav postotak
od ukupnoga prihoda, prometa ili slično). U tim okolnostima menadžment kompa-
nije, u suradnji s menadžmentom informatike, odgovoran je odrediti primjerene
kvantitativne mjere procjene rizika, pravila njihove procjene i plan obrade rizika.
76
Tipičan primjer kvalitativnih mjera mogu biti kritična, visoka, srednja i niska
razina rizika. Ako je primjerice, informatički rizik procijenjen na kritičnu razinu,
to znači da je neželjeni događaj vrlo vjerojatan (odnosno da je ranjivost sustava
prilično velika jer ne postoje kontrole koje bi spriječile njegov nastanak ili ublažile
razmjere štete) i da može iznimno negativno utjecati na poslovanje (mogući velik iz-
ravan financijski gubitak). U tome slučaju organizacijskim bi mjerama trebalo propi-
sati obvezu upravljanja tim rizicima od strane najvišega menadžmenta kompanije.
Nakon utvrđivanja izvora prijetnji, slijedi procjena vjerojatnosti nastanka i
izračunavanje ‘ozbiljnosti’ neželjenih događaja (procjena potencijalnoga gu-
bitka u slučaju nastanka neželjenoga događaja) i razrada scenarija informatičkih
rizika, koji je prikazan tablicom 3.2. Temeljem vjerojatnosti, učestalosti nastanka i
procjene utjecaja rizika na poslovanje (engl. Business impact analysis – BIA) odre-
đuju se prioriteti i utvrđuje način upravljanja rizicima.
Tablica 3.2. Primjer razrade scenarija informatičkih rizika
Primjer
Potencijalni ‘Ozbiljnost’
scenarija Objašnjenje potencijalne
gubitak neželjenoga
informatičkoga štete
(BIA) događaja
rizika
Ovlašteni Korisnici imaju pristup
korisnici izvode podacima, mogu pregledavati
100.000 kn I
nedopuštene i i mijenjati važne podatke,
štetne aktivnosti manipulirati radom sustava
Prekid rada sustava može
nastati radi pogrešne opreme,
pogrešaka u aplikacijama ili
Prekid rada
podacima, a može uzrokovati 500.000 kn I
sustava i servisa
prekid obavljanja kritičnih
poslovnih procesa i gubitak
važnih podataka
Neotkrivena pogrešna ili
Nepotpuna nepotpuna obrada poslovnih
obrada poslovnih transakcija može utjecati na 130.000 kn I
transakcija financijske izvještaje i smanjiti
kvalitetu odlučivanja
Projekti nisu dovršeni na
Neuspješna
vrijeme, unutar predviđenoga
provedba 300.000 kn I
budžeta i nemaju sve unaprijed
projekata
dogovorene funkcionalnosti
Krađa računala i opreme na koji-
Krađa osjetljive ili
ma se nalaze povjerljivi i osjetljivi 25.000 kn II
kritične imovine
podaci
77
U nastavku, promotrimo tipičan primjer kvantitativne procjene informatičkih rizika.
Studija slučaja 3.4.: Procjena rizika primjene informacijskih sustava

Poslovna organizacija je uvela mogućnost prodaje artikala putem interneta. U tu
je svrhu razvila i implementirala informacijski sustav putem kojega se provode po-
slovni procesi u prodaji i svim ostalim vezanim poslovnim funkcijama (zalihe, na-
bava, fakturiranje, isporuka, aktivnosti poslije prodaje). Taj se informacijski sustav
sastoji od niza uobičajenih komponenata (hardver – razni poslužitelji na kojima je
pohranjen sustav, podatci i sistemska oprema, softver – transakcijski sustav, web
sučelje, podatci – matične baze podataka sadrže podatke o artiklima koji su pred-
metom prodaje, podatke o cijenama, ugovorima itd., mrežna komponenta susta-
va – razni mrežni uređaji i pripadni softver pomoću kojih se pouzdano i sigurno
podatci prenose između pojedinih dijelova sustava, ali i prema okružju, osobito
korisnicima, organizacijske procedure – praksa upravljanja sustavom, pravilnici i
procedure rada, način organiziranja sustava i korisnici sustava).
U prvoj je godini poslužitelj na kojemu je instalirana internetska prodavaonica
bio napadnut tri puta, što je dovelo do uskraćivanja pružanja usluge kupcima.
Temeljem praćenja poslovanja menadžment je izračunao da je svaki gubitak do-
stupnosti kompaniju stajao 24.000 kn. Ipak, dio propuštene prodaje kompanije
(recimo jednu trećinu) nadoknadila je nakon što je poslovni model ponovno po-
stao funkcionalan. Stoga, za potrebe ovoga primjera pretpostavimo da je svaki
gubitak dostupnosti ili funkcionalnosti rada poslovnog informacijskoga sustava
kompaniju stajao 16.000 kuna.
Kvantitativna procjena izravne financijske štete koja je nastala ovim incidentom
(rizikom) može se izvesti izračunom ukupne godišnje procjene štete (engl. Annual
Loss Expectation, ALE) i iznosa pojedine štete (engl. Single Loss Expectation, SLE) na
sljedeći način:
ALE = SLE x broj ponavljanja neželjenoga događaja
U našemu slučaju to bi značilo:
ALE = 16.000 kn x 3
ALE = 48.000 kn
Smatrate li iskazani gubitak realnim?
Bi li rezultat procjene bio isti (sličan) da su se koristile kvalitativne mjere procjene?
Predložite neku drugu kvantitativnu metodu procjene štete? Kako biste upravi
objasnili da je ta metoda bolja (lošija)?
78
3.2.3. Određivanje protumjera (scenariji upravljanja rizicima)
Tablicom 3.1. prikazan je primjer procjene razine informatičkih rizika s ciljem utvr-
đivanja strategija odgovora na njihovo djelovanje. Tipični scenariji upravljanja
informatičkim rizicima (strategije odgovora) su:
• prihvaćanje rizika – organizacija je upoznata s intenzitetom rizika, stalno
ga nadzire i, u skladu s korporativnim pravilima (prije ključnim pokazatelji-
ma rizika), procjenjuje njegov utjecaj na poslovanje i poslovne procese. Kada,
prema korporativnim pravilima, razina utjecaja rizika na poslovanje postane
neprihvatljiva, poduzimaju se mjere smanjenja rizika
• smanjivanje intenziteta rizika – organizacija poduzima odgovarajuće ak-
tivnosti kojima se smanjuje utjecaj rizika na poslovanje (‘ozbiljnost’ rizika) ili
se smanjuje vjerojatnost njegova nastanka (ranjivost sustava). U oba slučaja
ključno je implementirati ciljane kontrole kako bi se intenzitet rizika smanjio
• izbjegavanje rizika – u skladu s korporativnim pravilima, organizacija potpu-
no ili djelomično izbjegava rizik
• podjela rizika – organizacija preusmjerava (transferira) rizik na neku drugu
ili treću stranu (primjerice, kupuje policu osiguranja, upravljanje rizikom pod
komercijalnim uvjetima unajmljuje od specijalizirane kompanije, stvara part-
nerstva s drugim kompanijama, što je osobito čest slučaj kod upravljanja kon-
tinuitetom poslovanja).
Ovisno o rezultatima procjene utjecaja na poslovanje, razvijaju se scenariji uprav-
ljanja rizicima. Primjerice, rizik koji je vrlo vjerojatan (jer učinkovite kontrole ne po-
stoje), a potencijalno kritično utječe na poslovanje zahtijeva promptnu reakciju naj-
viših razina menadžmenta (strategija smanjivanja intenziteta rizika), dok u slučaju
rizika za kojega znamo, kojega smo odredili (identificirali) i pratimo njegov utjecaj
na poslovanje, nikakva akcija nije potrebna, nego samo korporativna procedura
kojom se određuje tko je izravno odgovoran za stalno praćenje pokazatelja toga
rizika i izvještavanje viših razina menadžmenta (strategija prihvaćanja rizika i stal-
noga praćenja njegove razine).
Scenariji upravljanja rizicima mahom se odnose na određivanje odgovarajućih vr-
sta informatičkih kontrola odnosno ručnih, automatskih ili poluautomatskih kon-
trola informacijskoga sustava. Slika 3.2. prikazuje podjelu kontrola obzirom na
objekt kontrole (opće kontrole i aplikacijske kontrole), način djelovanja (preventiv-
ne, detektivne i korektivne) i hijerarhijsku poziciju na koju se odnosi (korporativ-
ne kontrole, upravljačke kontrole i operativne kontrole). Informatičke kontrole su,
naravno, vrlo važna tema u području upravljanja informatičkim rizicima i detaljno
će se obraditi u sljedećem poglavlju knjige.
79
Slika 3.2. Podjela informatičkih kontrola

e
IT jsk
će l i k aci le
Op trole Ap ontro
kon k
Korporativne
Korektivne
kontrole
Detektivne
kontrole
kontrole
Preventivne
kontrole
Upravljačke
kontrole
Operativne
kontrole
Menadžment kompanije u suradnji s menadžmentom informacijskoga sustava izrav-

no je odgovoran za oblikovanje, provedbu i ocjenu efikasnosti sustava unutarnjih (in-
ternih) kontrola informacijskoga sustava, dok je zadatak korporativne razine uprav-
ljanja odrediti ‘pravila’ igre i poželjnu (obveznu) praksu. U svjetskim razmjerima već
su prisutne koordinirane inicijative koje vode prema standardizaciji okvira unutarnjih
(internih) kontrola, pri čemu je razvidno da učinkovita kontrola poslovanja nikako nije
moguća bez učinkovitoga sustava internih kontrola informacijskoga sustava (primje-
ri tih okvira su CobiT, ITIL, ISO 27000 norme, PCI DSS, NIST, SANS i slične preporuke).
3.2.4. Dodjela odgovornosti i praćenje provedbe
Nakon provedene analize utjecaja informatičkih rizika na poslovanje, utvrđivanja

scenarija upravljanja, strategija odgovora i dodjele kontrola, slijedi sveobuhvatan
uvid u aktivnosti upravljanja informatičkim rizicima. Tablicom 3. prikazan je primjer
pregleda rezultata plana upravljanja informatičkim rizicima i oblika izvještavanja
primjerenim razinama upravljanja.
Tablica 3.3. Pregled rezultata plana upravljanja informatičkim rizicima
Potenc.
Uzrok / Opis Utjecaj - Vjeroj. Strat. Odgov.
Rizik gubitak Kontrola
rizika ozbiljnost nast. odgovora osoba
(BIA)
Može nastati
I – kritičan, Trenutna - CobiT
radi raznih
Prekid prekid akcija DS4
vanjskih utje- 12 – 17 500.000
rada poslovanja, – sma- - ITIL BCM XY
caja, pogreša- % kn
sustava gubitak njivanje - ISO
ka u aplikacija-
podataka intenziteta 27001
ma i/ili opremi
80
Primjer modela korporativnog upravljanja informatičkim

rizicima
Povezani strateški dokumenti: Metodologija upravljanja informatičkim rizici-

ma, Registar informacijske imovine (u elektroničkome obliku).
Odlukom Uprave i na temelju Metodologije upravljanja informatičkim rizicima
odlučeno je da se vrijednost rizika računa kao umnožak razine štete koja na imo-
vini može nastati (raspon 1 - 5), razine prijetnje (raspon 1 - 5) i razine ranjivosti
(učinkovitost kontrolnih protumjera se procjenjuje rasponom od 1 - 5).
R = f (imovina, prijetnje, ranjivost), Vrijednost rizika = Imovina x Prijetnje x Ranjivost
Moguće posljedice rizika i utjecaj na imovinu informacijskoga sustava
(skala 1 – 5)
1. Šteta koja može nastati je u rasponu od 0 – 2.000 kn
2. Šteta koja može nastati je u rasponu od 2.000 – 10.000 kn
5. Šteta koja može nastati je > 100.000 kn
Vjerojatnost nastanka (koliko je prijetnja realna) (skala 1 - 5)
1. Vjerojatnost nastanka je od 0 do 10 %
5. Vjerojatnost nastanka je > 80%
Ranjivost - učinkovitost kontrolnih mjera koje bi trebale djelovati

na rizike (skala 1 – 5)
1. Kontrole su vrlo učinkovite (mahom preventivne, detektivne) i uspješno testi-

rane
2. Kontrole su učinkovite (preventivne, detektivne) i uspješno testirane
3. Kontrole su relativno učinkovite (detektivne i korektivne)
4. Nije poznata učinkovitost kontrola (detektivnih i korektivnih)
5. Kontrole nisu implementirane ili su neučinkovite
81
Temeljem tako izračunane razine rizika, rizici se rangiraju na sljedeći

način:
Kritičan rizik > 100
Visok rizik u rasponu 60 – 99
Srednje visok rizik raspon 40 – 59
Nizak rizik raspon 20 – 39
Iznimno nizak rizik < 20
Odlukom Uprave neprihvatljiva razina rizika je svaka ona koja je prema ovome
izračunu veća od 100. Uprava je Metodologijom propisala strategije odgovora
na sve vrste rizika kontrolne protumjere, odgovornosti njihove provedbe, vlasni-
ke rizika, odredila vrijeme nužno za provedbu kontrolnih protumjera, budžet koji
se za tu prigodu može izdvojiti bez posebnih dodatnih odluka, kao i disciplinske
mjere uslijed nepridržavanja.
Kako biste pomoću ovoga modela izračunali razinu nekoga rizika?
Da li bi razina rizika bila veća / manja da se koristio neki drugi model i način
izračuna?
Komentirajte sljedeće nužne korake nakon što se procijenila razina rizika.
3.3. Primjer izračuna vrijednosti informatičkoga

rizika
Metodologija upravljanja informatičkim rizicima trebala bi se temeljiti na registru
informacijske imovine u kojemu se pojedina imovina vrednuje pomoću tri uobi-
čajena kriterija (povjerljivost, cjelovitost, raspoloživost). Registar informacijske
imovine (popis prijetnji, ranjivosti) trebao bi biti u elektroničkome (tabličnome ili
sličnome) obliku.
Vrijednost rizika procjenjuje se (izračunava) množenjem vrijednosti imovine (1 do
4), vjerojatnosti ostvarenja prijetnje (1 do 10) i veličine ranjivosti (1 do 10). Maksi-
malna vrijednost rizika je 400, pri čemu se metodologijom propisuju kategorije rizi-
ka. Korištenje širokih ‘raspona’ za procjenu rizika ima za opasnost moguću pogreš-
nu razinu i svrstavanje u pogrešnu kategoriju. Prihvatljiva razina rizika odobrena
od strane Uprave je manja ili jednaka 150, pri čemu se Uprava redovito izvještava
o rizicima viših razina (‘Izvještaj o analizi operativnih rizika vezanih za informacij-
ske i srodne tehnologije’). Uz izvještaje daje se i prijedlog kontrola (protumjera), s
82
operativnim i konkretnim kontrolama, odgovornosti provedbe i vremenskih rokova

implementacije. Odlukama Uprave, Sektor informatike se zadužuje za provedbu
kontrola.
Odgovarajućom organizacijskom i strateškom kontrolom (primjerice, Procedura
upravljanja rizikom informacijskoga sustava) potrebno je propisati okvir upravlja-
nja rizikom informacijskoga sustava kojime bi trebale biti propisane odgovornosti,
opisan postupak identifikacije i procjene rizika i određen okvir stalnoga nadzora i
upravljanja ovim područjem u skladu sa sigurnosnim i poslovnim zahtjevima.
Sastavni dio tog krovnog internog akta trebala bi biti Metodologija upravljanja ri-
zikom informacijskoga sustava, kojom bi se detaljno i jasno trebale odrediti sve
vrste informacijskih resursa koji su obuhvaćeni procjenom rizika informacijskoga
sustava te sam postupak identifikacije i izračuna rizika informacijskoga sustava.
Procedurom bi se trebali odrediti koraci i faze upravljanja rizikom informacijskih
sustava uz uloge i odgovornosti pojedinih zaposlenika, način i periodika izvješta-
vanja. Tim internim aktima trebalo bi odrediti model izračuna razine rizika (primje-
rice, prijetnje, ranjivosti i utjecaj na imovinu, raspon rizika i objašnjenje utjecaja
na poslovanje, odluka o neprihvatljivoj razini rizika prema utjecaju na poslovanje)
i obvezu izrade procjene razine informacijskih rizika uz određivanje vlasnika rizika,
njihovih obveza i odgovornosti i pravila postupanja s rizicima neprihvatljivih razina.
Bilo bi vrlo korisno razraditi registar informacijskih rizika u kojemu bi za sva pod-
ručja funkcioniranja informacijskoga sustava i brojne aktivnosti i procese trebale
biti napravljene analize mogućega iskorištavanja slabosti kontrolnoga okruženja i
utjecaja neželjenih događaja na imovinu (koja bi trebala biti klasificirana i dodijeljeni
joj vlasnici), čime bi se mogla izračunavati mjera rizika za svaki pojedini mogući inci-
dent. Vrijednost rizika bi se mogla dodjeljivati svakoj pojedinoj ‘stavci’ informacijske
imovine (uređaji, podaci, softver, servisi, događaji itd.) na način da su popisana
sredstva i određen im je vlasnik, svakoj stavci informacijske imovine je procijenjena
vrijednost (u rasponu značajna, velika, srednja, mala) temeljem procjene u područ-
ju povjerljivosti, dostupnosti i cjelovitosti kao osnovnih parametara informacijske
sigurnosti. Za svaku stavku informacijske imovine mogla bi biti napravljena i detalj-
na procjena rizika sa sljedećim parametrima:
• popis prijetnji
• objašnjenje ranjivosti
• pregled kontrola koje sprječavaju neželjeni događaj
• procjena vjerojatnosti da prijetnja iskoristi ranjivosti (u rasponu zanemariva,
mala, srednja i velika)
• procjena utjecaja događaja na imovinu (raspon: ne utječe, mali, srednji, veliki)
83
• učinak rizika i razina rizika i

• mjere obrade rizika (postupanje s rizikom).
Učinak neželjenoga događaja na poslovanje mogao bi se procjenjivati rasponom
mali, srednji, visok i kritičan, uz određivanje parametara za sve kategorije (primjerice,
učinak je kritičan ako je vrijednost imovine kritična, a utjecaj događaja na imovinu
visok). Razina rizika koja se pridjeljuje svakoj stavci informacijske imovine može biti
određena rasponom mala, srednja, visoka i kritična razina, a procjena se može pro-
voditi povezanom analizom utjecaja na poslovanje i vjerojatnosti da prijetnja iskoristi
slabosti. Sve razine rizika mogu se tablično ili elektronički prikazati uz objašnjenja
i određene mjere za postupanje s rizikom. Rizik se može tretirati na način da se
prihvaćaju svi rizici male i srednje razine, za rizike visoke razine se planira obrada
rizika, a kritična razina rizika je neprihvatljiva uz nužnu hitnu provedbu kontrolnih
protumjera. Pri tome je važno propisati vlasništvo nad rizikom i uspostaviti mehaniz-
me kojima bi bilo nedvosmisleno jasno tko je nositelj aktivnosti provedbe kontrolnih
protumjera, što bi za kritične i visoke rizike svakako trebalo napraviti.
Temeljem takvoga ili sličnoga organizacijskog i metodološkog okvira upravljanja
informatičkih rizika (pri čemu nema nekoga univerzalnog ‘recepta’, svaka kompa-
nija ga određuje ovisno o svojim specifičnim uvjetima poslovanja), treba redovito
provoditi procjene rizika i o tome sastavljati formalne izvještaje i njihove nalaze
raspravljati s Upravom. Rezultat tih nalaza, recimo, može biti zbirni prikaz da je
tijekom 2015. godine utvrđeno 22 rizika visoke razine i 8 rizika kritične razine, za
koje su zbirno prikazani svi pokazatelji, određeni vlasnici (skrbnici) i određen plan
postupanja, bez formalno dodijeljenih obveza i vremenskoga roka provedbe. Ko-
risno bi bilo sastaviti formalne izvještaje Upravi o rizicima neprihvatljive razine i
načina postupanja s njima, kao i formalno propisati kriterije vrednovanja pojedi-
nih parametara procjene rizika (primjerice, malo vjerojatan scenarij možda može
značiti da se takav događaj može dogoditi jednom u određeno vrijeme, učinak na
poslovanje se može mjeriti i određenim financijskim pokazateljima ili monetarnim
vrijednostima itd.).
Na taj način se revizijama informacijskih sustava može zaključiti da kompanija pri-
mjereno prati informacijske rizike, određuje njihovu razinu i propisuje nužne kon-
trolne mjere, pri čemu je prilično važno da se preporučene kontrolne mjere, po-
sebice za rizike kritične i visoke razine, provode u djelo uz određivanje odgovornih
osoba, vremenskoga roka provedbe i naknadnu provjeru jesu li te aktivnosti zaista
provedene odnosno je li razina rizika smanjena. To bi značilo da se plan obrade
rizika formalno provodi, a kompanija vrlo zrelo upravljala informacijskim rizicima.
Vodstvo informatike i Uprava se periodički trebaju formalno izvještavati o postu-
panju s rizicima odnosno s provedbom kontrolnih protumjera, osobito za kritične
i visoke informacijske rizike.
84
Osnovni i jedini smisao procesa upravljanja informacijskim rizicima jest da se pro-

vedbom kontrolnih protumjera smanje ciljane (neprihvatljive) razine rizika, a du-
goročan ishod tih aktivnosti bi trebao biti da se fokus kontrolnih mjera prebaci
s korektivnih (koje u ovome trenutku prevladavaju), na sofisticiranije detektivne i
osobito preventivne mjere što bi jasno ukazivalo na poboljšanje zrelosti u ovome
području.
Kontrolna pitanja:
1. Objasnite pojam rizika. Objasnite što su informatički rizici i navedite barem dva
primjera. Objasnite zašto te scenarije smatrate rizičnima po poslovanje.
2. Objasnite koje varijable utječu na razinu rizika.
3. Što je upravljanje rizicima? Objasnite i komentirajte.
4. Objasnite pojam prihvatljive razine rizika i navedite nekoliko primjera.
5. Što je plan upravljanja informatičkim rizicima?
6. Navedite i primjerom objasnite vrste informatičkih rizika.
7. Što je imovina informacijskih sustava? Navedite nekoliko primjera.
8. Što su prijetnje informacijskim sustavima? Navedite nekoliko primjera i objasnite
radi čega ih smatramo rizičnim.
9. Objasnite pojam ranjivosti informacijskih sustava i uz nekoliko primjera objasnite
kako oni utječu na razinu informatičkih rizika.
10. Objasnite na koji se način upravlja informatičkim rizicima. Što je to procjena razine
informatičkih rizika? Navedite nekoliko primjera takve procjene.
11. Kojim metodama se služimo pri procjeni razine (intenziteta) informatičkih rizika?
Navedite nekoliko primjera i objasnite ih.
12. Koje su najčešće strategije odgovora na rizike? Objasnite ih na nekoliko primjera.
13. Komentirajte prikazani model korporativnog upravljanja informatičkim rizicima.
85
4. Kontrole rada informacijskoga sustava

1. razumjeti definiciju informatičkih kontrola, razlikovati različite vrste i prepozna-
ti njihova najvažnija obilježja
2. razumjeti povezanost informatičkih rizika, informatičkih kontrola i revizije in-
formacijskih sustava
3. znati objasniti učinak informatičkih kontrola, biti u mogućnosti na primjerima
iz prakse objasniti njihovu uporabu
4. razviti analitičko i kritičko razmišljanje vezano za informatičke kontrole i njiho-
vu ulogu u upravljanju sigurnošću informacijskih sustava.
Kao što je bilo navedeno u ranijim poglavljima, sigurnost informacijskih sustava

ostvaruje se osmišljavanjem i provedbom mjera zaštite (informatičkih kontrola)
koje se ugrađuju u mehanizme funkcioniranja informacijskih sustava, omogućuju
njegovo neometano funkcioniranje i ublažavaju ili smanjuju informatičke rizike.
Informatičke kontrole su kontrole ugrađene u rad informacijskoga sustava koje
predstavljaju sustav (skup) međusobno povezanih komponenti koje, dje-
lujući jedinstveno i usklađeno, potpomažu ostvarivanje ciljeva informacij-
skoga sustava. Kontrole (mjere zaštite) se usmjeravaju na neželjene događaje
ili procese u informacijskome sustavu koji mogu nastati odnosno biti aktivirani iz
različitih razloga koji se odnose na unutarnje djelovanje informacijskoga sustava
(neovlaštena uporaba, netočni podaci, nedjelotvorni procesi, pogrešni algoritmi ili
neučinkoviti ulazi u sustav itd.) ili uzroke iz njegova okruženja (napadi izvana, po-
grešan prijenos podataka, prirodne katastrofe itd.).
Kontrole se primjenjuju zato da bi se spriječili (prevenirali), otkrili (detektirali) ili
ispravili (korigirali) neželjeni događaji i/ili procesi.
Opća je svrha informatičkih kontrola smanjenje vjerojatnosti (mogućnosti)
nastupa neželjenoga događaja i smanjenje očekivanih gubitaka do kojih
bi došlo kod pojave neželjenih događaja ili ostvarenja neželjenih procesa u su-
stavu.
87
Informatičke kontrole djeluju na dva načina:

• Preventivnom se kontrolom smanjuje vjerojatnost neželjenih događaja i/ili
procesa
• Detektivnim i korektivnim kontrolama smanjuje se veličina (iznos) gubitka
koji bi nastao zbog neželjenih događaja i/ili procesa.
Svaki informacijski sustav, naravno, obiluje brojnim kontrolama koje su u njega
ugrađene, a koje se primjenjuju kako bi se ostvarili ciljevi njegova funkcioniranja i
kako bi se njime učinkovito upravljalo. Što su kontrole učinkovitije i bolje obli-
kovane, manje je vjerojatno da će informacijski sustav biti izložen nekoj prijetnji
i da će se neželjeni događaj ‘razviti’ u rizik za poslovanje. Upravo revizijama
informacijskih sustava, što je tema koja će se detaljno obraditi na kraju ove
knjige, provjeravamo postoji li neka informatička kontrola i u kojoj je mjeri
učinkovita. Revizijama informacijskih sustava se, prema utvrđenim smjernicama
upravljanja informatičkim rizicima, testiraju razine učinkovitosti informatič-
kih kontrola, prikupljaju argumenti i dokazi pomoću kojih je moguće procijeniti
rizike za poslovanje i dati preporuke za njihovo smanjenje, što na kraju omogu-
ćuje bolje upravljanje informacijskim sustavom i poslovanjem.
Informatičke kontrole razvrstavamo prema sljedećim kriterijima:
• obzirom na način primjene razlikujemo:
- automatske kontrole
- ručne kontrole
• obzirom na svrhu zbog koje se poduzimaju razlikujemo:
- preventivne kontrole
- detektivne kontrole
- korektivne kontrole
• obzirom na hijerarhijsku razinu njihova djelovanja razlikujemo:
- korporativne kontrole
- upravljačke kontrole i funkcijske (procesne) kontrole
- operativne kontrole
• obzirom na način funkcioniranja razlikujemo:
- organizacijske kontrole
- tehnološke kontrole i
- fizičke kontrole.
Za svaku navedenu vrstu kontrola možemo navesti brojne primjere i objasniti obi-
lježja njihova funkcioniranja. Pri tome ćemo neke kontrole, ako ne i većinu, moći
istodobno svrstati u više različitih kategorija. Ovom prigodom objasnit ćemo os-
novna obilježja nekoliko kategorija kontrola i navesti temeljne primjere.
88
Automatske kontrole predstavljaju zaštitne mehanizme poslovnih procesa,

omogućuju njihovo ispravno i točno izvođenje i najčešće su ugrađene u automa-
tizam funkcioniranja informacijskih sustava. Primjerice, korisnik bankovnih usluga
ne može na bankomatu ili šalteru banke podići novac ako ne raspolaže dovoljnim
iznosom na računu jer ga odgovarajuća automatska kontrola u tomu sprječava.
Automatske kontrole u kartičarskom poslovanju stalno prate navike trošenja koris-
nika i prema unaprijed određenim algoritmima mogu predvidjeti radi li se o sum-
njivoj transakciji i zatražiti od korisnika dodatnu provjeru, čime se štiti poslovanje
i omogućuje korisniku sigurna usluga. Ako dođe do krađe platne kartice i intenziv-
noga trošenja sredstava u kratkome vremenu ili serije transakcija neuobičajenih za
korisnikove navike, automatska kontrola ugrađena u rad informacijskoga sustava
kartičarske kompanije će takve transakcije odbiti i spriječiti moguću zloporabu.
Automatske kontrole u ostalim poslovnim područjima se mogu odnositi na provje-
ru dvostrukih transakcija, provjeru ispravnosti prijenosa sadržaja među različitim
aplikacijama, provjeru knjiženja i računovodstvenih evidencija i slične kontrole bez
kojih ne možemo zamisliti učinkovito odvijanje poslovanja. Automatskim kontro-
lama se kontrolne procedure ugrađuju u redovito funkcioniranje informacijskoga
sustava, a takvi softverski dodaci predstavljaju veliku vrijednost za poslovanje.
Ručne kontrole se odnose na ručne provjere funkcioniranja poslovnih procesa.
Tipični primjeri mogu biti inventura stanja, ručno prebrojavanje zaliha, vizualni pre-
gled opreme i slično.
Obzirom na svrhu (cilj) djelovanja razlikujemo sljedeće vrste informatičkih kon-
trola:
• preventivne kontrole (prethodne i procesne) čiji je osnovni zadatak ot-
kriti probleme ili neželjene događaje prije nego što se pojave, predvidjeti ih,
prevencijom pokušati spriječiti propuste i, konačno, stalno pratiti aktivnosti
informacijskoga sustava, najvažnije operacije, procese, ulaze, izlaze i uočava-
ti anomalije. Tipični primjeri preventivnih kontrola su zapošljavanje obrazo-
vanih, kvalificiranih zaposlenika, određivanje organizacijskih tijela kojima se
nadzire rad informacijskoga sustava (upravljački odbor za informatiku), ustro-
javanje odjela za unutarnju reviziju informacijskoga sustava, podizanje razine
svijesti o potrebi provedbe kontrole i revizije informacijskih sustava, podjela
dužnosti i odgovornosti, logičke i fizičke kontrole pristupa informacijskome
sustavu, donošenje pravilnika o sigurnosnoj politici informacijskoga sustava
itd.
• detektivne kontrole predstavljaju kontrole koje otkrivaju pogrešku, propust
ili ugrozu bilo kojega dijela informacijskih sustava, a tipični primjeri su razne
opće informatičke kontrole, kontrole unosa podataka, autorizacijske kontro-
le, fizičke i logičke kontrole pristupa sustavu i podacima, procedure stalnoga
89
nadzora mrežnoga prometa i svih događaja u informacijskome sustavu, pro-

cedure kojima se iz zapisa rada sustava (‘logovi’) izdvajaju sigurnosno zani-
mljivi događaji koji se posebno provjeravaju i tretiraju, provjera ovlasti za rad
na sustavu, kontrole točnosti rada aplikacija, procesne kontrole, kontrole nad
podacima itd.
• korektivne kontrole koje imaju za cilj minimizirati učinak prijetnje ili ugro-
ze informacijskome sustavu, pri čemu one utvrđuju uzrok problema te auto-
matski izvršavaju posebne instrukcije kako bi se uočene pogreške ispravile
(procedure kopiranja i arhiviranja podataka, kontrole prijenosa podataka,
procedure ponovnog uspostavljanja funkcija sustava, kontrole nad ključnom
opremom itd.
Organizacijske kontrole se najčešće odnose na interne akte kojima se propisuju
poželjna ponašanja pri korištenju svih sastavnica informacijskoga sustava. Inter-
nim aktima se određuju pravila uporabe informacijskoga sustava i pripadajućih
uređaja i tehnologije, a njihova topologija pokriva sva hijerarhijska područja. Tako
se na strateškoj razini upravljanja interni akti najčešće odnose na politike,
strategije i metodologije (tipični primjeri su Politika informacijske sigurnosti, Po-
litika ulaganja u informatiku, Strategija informacijskoga sustava, Strategija upravlja-
nja kontinuitetom poslovanja, Metodologija upravljanja informatičkim rizicima itd.).
Pravilnici, standardi i planovi su interni akti koji proizlaze iz politika, strategija
i metodologija i odnose se na upravljanje informacijskim sustavom na taktičkoj
razini. Tipični primjeri su: Pravilnik o korištenju informacijskoga sustava, Pravilnik o
ovlastima pristupa, Pravilnik o upravljanju lozinkama, Pravilnik o pohrani podataka,
Pravilnik o stalnome nadzoru mrežnih događaja, o provjeri čitljivosti podataka itd.
Tim se internim aktima detaljnije propisuju poželjni načini uporabe informacijsko-
ga sustava čija su načela propisana internim aktima višega reda (politike, strategije
i metodologije).
Na jednak način, na operativnoj razini upravljanja postoje procedure i radne
upute koje predstavljaju interne akte kojima su detaljno propisani organizacijski,
tehnološki i ostali detalji provedbe neke kontrolne mjere (primjeri mogu biti: Proce-
dura oporavka podataka, Radne upute za nadzor ključnih uređaja itd.).
Primjerice, Metodologijom za upravljanje informatičkim projektima se određuju
odgovornosti i obveze pojedinih zaposlenika, detalji organiziranja, izvođenja i pri-
hvaćanja projekta. Metodologijom se projekti često razvrstavaju po stupnju slože-
nosti (mali, srednji i veliki projekti, uz navođenje kriterija podjele – iznos ulaganja,
složenost rješenja, trajanje/složenost realizacije, zauzetost osoblja, izračunati rizici
na početku projekta, utjecaj na poslovanje, utjecaj okruženja) i elementima uprav-
ljanja projekta (doseg, vremenski plan i rokovi, financije, kvaliteta, ljudski resursi,
90
komunikacija i praćenje, rizici i nabava dobara i usluga). U izvedbi projekta (Pravil-

nik o provedbi projekata) može se odrediti koje sve stavke treba imati zahtjev za
projektom, prijedlog projekta, projektni plan, a poželjno je da je i propisan okvir
procjene izvedivosti (koja nužno treba biti višedimenzionalna i ponderirano pokri-
vati barem sljedeća područja: financijska izvedivost, tehnološka izvedivost, resur-
sna izvedivost, organizacijska izvedivost i slično).
Osim internih akata organizacijske se kontrole odnose i na ručne ili automatske
kontrole (kontrole ugrađene u informacijski sustav) kojima se nadzire provedba
poslovnih transakcija i procesa. Radi se o nizu kontrola u svim poslovnim proce-
sima kojima se onemogućuju neželjeni događaji (primjerice, nije moguće prodati
proizvod koji nije ‘zaveden’ na skladištu), otkrivaju neželjeni događaji (primjerice,
pregled svih transakcija vrijednosti veće od 1.000.000 kuna, pregled duplih fak-
tura itd.) i otklanjaju štete. Pri tome se radi o tzv. sigurnosnim okidačima koje
ugrađujemo u logiku funkcioniranja poslovnih procesa i pomoću kojih otkrivamo
neželjene događaje i moguće ih automatski sprječavamo (onemogućavamo).
Fizičke kontrole su kontrole kojima se neovlaštenim osobama sprječava pristup
uredima, radnim prostorima, postrojenjima, ali i podacima, važnoj informatičkoj
opremi, uređajima ili infrastrukturi. Fizičkim kontrolama se štite svi oni informatički
i ostali poslovni resursi koji se mogu vidjeti, dodirnuti ili ukrasti.
Fizičke kontrole se najčešće provode na sljedeći način:
• ograničavanjem pristupa do ureda, prostorija i mjesta gdje su pohranjeni važ-
ni informatički resursi (uređaji, oprema, infrastruktura, podaci). Tipični primje-
ri su čuvarska služba, fizička identifikacija pri ulazu, zaštitna vrata kojima se
pristupa unosom šifre ili elektroničkom identifikacijom (kartica koja se prislo-
ni uz vrata), elektronički sustavi itd.
• uništavanjem dokumenata koji se više ne koriste
• instalacijom sigurnosnih nadzornih sustava, sustava otkrivanja počinitelja
(alarmi) i postavljanjem odgovarajućih fizičkih i elektroničkih zapreka
• uporabom sigurne opreme i uređaja, instalacijom sigurnosnih sustava u ku-
pljenu opremu i uređaje
• oporavak kompanije nakon krađe ili gubitka podataka i sustava.
Fizičke mjere osiguranja uključuju fizičko osiguranje uređaja i nositelja podata-
ka, plan aktivnosti u iznimnim okolnostima, instalaciju pričuvne opreme, arhivira-
nje podataka i posebne organizacijske zaštitne mjere. Struktura zaštite računalnih
mreža sastoji se od fizičke zaštite mrežnih i računalnih resursa, obrazovanja autori-
ziranih korisnika, kreiranja jasne i učinkovite sigurnosne politike, zaštite od vanjskih
utjecaja, unutarnjih zaštitnih mehanizama, komunikacijskih zaštitnih mehanizama.
91
Pri tome se upotrebljavaju različiti alati koji služe za kriptiranje podataka, autenti-
fikaciju korisnika, detekciju napada, ispitivanje stabilnosti i sigurnosti računalnih
sustava i mreža, zaštitu od virusa, zaštitu prijenosa podataka, zaštitna pravila za
pravo pristupa podacima i resursima.
Tehnološke kontrole predstavljaju kontrole mrežne infrastrukture, podataka i
opreme, alata i algoritama koje su, najčešće u vidu automatskih kontrola, ugrađene
u pojedine sastavnice informacijskoga sustava s ciljem nadzora njihova rada.
Obzirom na razine upravljanja razlikujemo sljedeće vrste informatičkih kontrola:
• Korporativne (strateške) kontrole – informatičke kontrole na najvišoj
razini upravljanja koje čine sastavni dio sustava internih kontrola poslova-
nja, a odnose se na kontrole provedbe strategije informacijskoga sustava,
kontrole upravljanja informatikom, kontrole prekida ili otežanog odvijanja
kritičnih poslovnih procesa, kontrole procesa financijskoga izvještavanja,
kontrole provedbe sigurnosne politike informacijskih sustava, kontrole vo-
đenja informatičkih projekata, kontrole procesa upravljanja rizicima inten-
zivne primjene informacijskih sustava, kontrole planova ulaganja u infor-
matiku, ustrojavanje i funkcioniranje ključnih tijela zaduženih za upravljanje
informatikom (Odbor za informatiku, engl. IT Steering Committee), kontrole
kvalitete informacijskih sustava i aktivnosti sustavnog provođenja interne
kontrole i revizije informacijskih sustava, kontrole poštivanja zakonskih ob-
veza iz područja informatike itd.
• Upravljačke i procesne (opće) kontrole – kontrole koje se odnose na raz-
voj i kupnju poslovnih aplikacija, kontrole instalacije aplikacija, kontrole nad
podacima koje te aplikacije i pripadajući poslovni procesi koriste, kontrole
promjena softvera, kontrole testiranja softvera, kontrole pristupa programi-
ma i podacima, sigurnosne kontrole, kontrole kontinuiteta poslovanja (engl.
business continuity), kontrole oporavka nakon prekida rada (engl. disaster re-
covery), automatske ili ručne kontrole koje su ‘ugrađene’ u poslovne procese
i koje omogućuju njihovu točnu, pouzdanu i neometanu provedbu, kontrole
koje omogućuju učinkovito i korektno funkcioniranje poslovanja u informatič-
kome okruženju, kontrole ispravnosti transakcija, kontrole prijenosa podata-
ka, kontrole kvalitete podataka, kontrole ključne opreme i sve ostale kontrole
koje podržavaju učinkovite kontrole nad aplikacijama koje su temelj odvijanja
poslovnih procesa.
• Aplikacijske kontrole i operativne kontrole informatičkih servisa
(usluga) – odnose se na razne kontrole rada poslovnih aplikacija, kontrole pro-
vedbe informatičkih aktivnosti i operacija (jesu li transakcije točne, potpune,
cjelovite, podjela dužnosti i kontrola, autorizacija itd.) i kontrole informatičkih
92
servisa (dostupnost i funkcionalnost mreže, infrastrukture, podataka, opre-

me itd.). U ovu kategoriju spadaju i brojne kontrole samog poslovnog soft-
vera, poput kontrole operacijskoga sustava, kontrole instalacije i održavanja
softvera, kontrole softvera za prijenos podataka, kontrole sigurnosnoga
softvera, kontrole opreme nad kojom sustav radi, kontrole funkcioniranja
sustava otkrivanja pogrešaka, kontrole otkrivanja uzroka informatičkih inci-
denata, kontrole konfiguracije opreme, kontrole praćenja rada sistemskoga
softvera i cjelokupnoga informatičkog okruženja, kontrole neovlaštenoga
‘upada’ u sustav, kontrole isporuke informatičke usluge, kontrole funkcio-
nalnosti aplikacija i informatičkih usluga (to se posebno odnosi na ugovor o
razini kvalitete usluge, engl. service level agreement, SLA), kontrole dostupno-
sti sustava (mreže, opreme itd.), kontrole nad uslugama koje pružaju druge
kompanije (‘outsourcing’ kontrole) i sve ostale operativne, dnevne aktivno-
sti kojima se kontrolira funkcioniranje cjelokupne informacijske infrastruk-
ture poslovanja.
U nastavku promotrimo detaljnije razne vrste informatičkih kontrola koje se pri-
mjenjuju na različitim razinama organizacijske hijerarhije.
4.1. Korporativne (strateške) informatičke

kontrole
Svaki informacijski sustav obiluje brojnim informatičkim kontrolama, čija je učin-
kovitost važan čimbenik njegova uspješnog upravljanja i, naposljetku, ostvarenja
poslovnih ciljeva. Prisjetimo se da brojne suvremene (digitalne) kompanije uspjeh
svojih superiornih (digitalnih) poslovnih modela uvelike mogu zahvaliti učinko-
vitim, ali i sigurnim i pouzdanim informacijskim sustavima. Ti sustavi vrlo inten-
zivno koriste brojne digitalne tehnologije i svakako su itekako izloženi različitim
cyber prijetnjama, pa je funkcioniranje informatičkih kontrola preduvjet njihove
poslovne uspješnosti. U prethodnome poglavlju prikazane su brojne vrste in-
formatičkih kontrola, razvrstane po različitim kriterijima i načelima podjele. Cilj
takve klasifikacije bio je ukazati na ‘bogatstvo’ informatičkih kontrola, potrebu nji-
hove sveprisutnosti i sveobuhvatnosti. U ovome poglavlju ćemo ipak malo kon-
kretnije obraditi neke informatičke kontrole i objasniti određene detalje. Svaka
informatička kontrola može pripadati većem broju klasa, pa će i detaljnija razrada
koja slijedi biti prilika dodatno ponoviti sve najvažnije vrste (primjerice, gotovo
sve strateške informatičke kontrole su mahom organizacijske, preventivne ili de-
tektivne).
93
Slika 4.1. Vrste informatičkih kontrola obzirom na hijerarhijsku razinu njihova dje-
lovanja
Korporativno upravljanje (engl.

Governance)
Politike i
pravila
Standardi i
praksa Upravljanje na
Upravljačke IT organizacijskoj ili
kontrole funkcijskoj razini (engl.
Management)
Procesne kontrole i
kontrole IT okruženja
Aplikativne kontrole,
kontrole pristupa
Kontrole ključne IT opreme, Operativne

kontrole sistemskog softvera aktivnosti
Kontrole promjena aplikacija, kontrole cjelovitosti
podataka, logičke kontrole pristupa, sigurnosne
kontrole, itd.
Slika 4.1. prikazuje informatičke kontrole prema hijerarhijskoj podjeli. Na vrhu orga-
nizacijske piramide očekivano se nalaze informatičke kontrole na korporativnoj
(strateškoj) razini koje se odnose na najvažnije politike, pravila i metodologije koje
pomažu u vođenju poslovanja i konkurentskom nadmetanju. Informatičke kontro-
le na najvišoj razini upravljanja mahom su organizacijske, preventivne ili detektivne
kontrole koje imaju za cilj stvoriti kontrolni okvir (pravila, politike, metodologije) koji
će otkriti i spriječiti neželjene događaje. To se postiže razradom različitih organiza-
cijskih zaštitnih mjera koje će se obvezno primjenjivati diljem kompanije i koje će
operativno rezultirati određenim tehnološkim (unos sigurnosnih postavki na raznim
objektima sustava), fizičkim kontrolama (fizičke zapreke pristupa), automatskim
(‘ugradnja’ organizacijskih pravila i politika u automatizam rada aplikacija i ostaloga
softvera), aplikacijskim, općim i svim ostalim informatičkim kontrolama.
Tipični primjeri kontrola na korporativnoj (strateškoj) razini su:
• kontrole vezane za korporativno upravljanje informatikom (politike,
pravila i metodologije vezane za planiranje, organiziranje, vođenje i kontro-
94
lu informacijskoga sustava, mjerenje učinka informacijskoga sustava na po-

slovanje, kvalitetu strateškoga plana informatike, primjeren položaj uloge
informatike u poslovanju, način i dinamiku izvještavanja Uprave o pitanjima
iz područja informatike, uključenost Uprave u donošenje odluka koje se tiču
informatike, dinamika sastanaka Uprave na kojima se raspravlja o informati-
ci, hijerarhijski položaj CIO -a i odnos s Upravom, sposobnost kompanije za
digitalnu transformaciju poslovanja, politike, pravila i metodologije ulaganja
u informatiku, metodologije procjene izvedivosti informatičkoga projekta i
njegova utjecaja na ostvarenje poslovnih ciljeva, vođenja i upravljanja informa-
tičkim programima i projektima, dodjela odgovornosti za provedbu informatič-
kih projekata, način donošenja odluka o prioritetnim projektima i pokretanju
informatičkih projekata, kontrole provedbe sigurnosne politike informacijskih
sustava, kontrole vođenja informatičkih projekata, kontrole procesa upravlja-
nja rizicima primjene informacijskih sustava, kontrole planova ulaganja u in-
formatiku, ustrojavanje i funkcioniranje ključnih tijela zaduženih za upravljanje
informatikom (Odbor za informatiku, engl. IT Steering Committee), znanja i kom-
petencije izvršnog menadžmenta i Uprave iz područja korporativnoga uprav-
ljanja informatikom, kontrole provedbe strateškoga plana informatike i ostale
kontrole koje su dijelom sustava strateških internih kontrola poslovanja)
• strateške kontrole rada informacijskoga sustava (kontrole životnoga
ciklusa informacijskoga sustava, dokumentacijski standardi, odabir meto-
dologije razvoja informacijskoga sustava, standardi učinaka informacijskoga
sustava, dodjela ovlasti i odgovornosti uporabe informacijskoga sustava, ras-
podjela dužnosti, kontrole prekida ili otežanog odvijanja kritičnih poslovnih
procesa uz dodjele odgovornosti, kontrole procesa financijskoga izvještava-
nja itd.)
• kontrole provedbe sigurnosne informacijske politike.
Sigurnosna informacijska politika predstavlja strateški kontrolni okvir kojime or-
ganizacije sistematiziraju zaštitne kontrolne mjere, određuju djelokrug njihove
primjene, dodjeljuju odgovornosti provedbe i nadziru njihove učinke. Sigurnosna
informacijska politika je odraz svijesti i volje organizacije za zaštitom informacijskih
sadržaja i resursa od njihova uništenja, degradacije i/ili zloporabe. To se u praksi
prevodi u skup organizacijskih pravila i postupaka što u svojoj ukupnosti čine nor-
mativni okvir sigurnosne informacijske politike u organizaciji.
Ta politika predstavlja opsežan i vrlo važan dokument kojime se propisuju svi as-
pekti upravljanja sigurnošću informacijskoga sustava. Sigurnosna informacijska
politika (ponegdje taj okvir ima i naziv Politika sigurnosti informacijskoga sustava
ili slično) predstavlja formalni dokument kojime su vrlo detaljno definirana pravila i
načelne procedure kao izraz svijesti i volje organizacije za poduzimanjem zaštitnih
95
kontrolnih mjera, a dodatnim pravilnicima koji su sastavni dio politike i formalne

operativne aktivnosti postupanja raznih korisnika informacijskoga sustava u broj-
nim područjima važnima za sigurnost.
Pravila i procedure koje se propisuju sigurnosnom informacijskom politikom od-
nose se na:
• ovlasti, zaduženja i odgovornosti
• organizaciju poslova informacijske sigurnosti – odbori, odjeli
• autorizaciju informacijskih procesa, prava i sustava
• popis imovine informacijskoga sustava i klasifikacija informacija
• pravila vezana za fizičku sigurnost
• upravljanje sigurnošću mreža, komunikacija i sustava
• kontrola pristupa informacijskome sustavu
• razvoj, nabava i održavanje informacijskoga sustava
• upravljanje kontinuitetom poslovanja.
Direktor-ica Odjela sigurnosti informacijskoga sustava (CISO) odgovoran-a je za
uspostavu sustava upravljanja sigurnošću informacija, te periodično izvještavanje
Uprave o tome (recimo, najmanje jednom kvartalno, najviše jednom mjesečno). Pro-
ces nadzora provedbe politike sigurnosti informacijskoga sustava mora biti učinkovit
i formalan, što znači da se stalno trebaju provoditi kontrolne aktivnosti, o tome pe-
riodično sastavljati cjelovite izvještaje o stanju sigurnosti informacijskoga sustava,
a o njihovim nalazima i osobito preporukama za poboljšanje redovito raspravljati s
Upravom kompanije. Osnovni smisao svih kontrolnih aktivnosti jest održavati pri-
hvatljivom razinu sigurnosnih i ostalih informatičkih rizika, pri čemu unutarnji i vanj-
ski izvještaji o informacijskoj sigurnosti predstavljaju odličnu podlogu za provedbu
dodatnih kontrolnih zaštitnih mjera i ocjenu uspješnosti postojećih.
Prisjetimo se hijerarhije organizacijskih kontrolnih mjera kojima se propisuju svi
detalji upravljanja informacijskom sigurnosti. Na strateškoj razini upravljanja
interni akti se najčešće odnose na politike, strategije i metodologije (tipični pri-
mjeri su Politika informacijske sigurnosti, Politika ulaganja u informatiku, Strategija
informacijskoga sustava, Strategija upravljanja kontinuitetom poslovanja, Metodo-
logija upravljanja informatičkim rizicima itd.).
Pravilnici, standardi i planovi su interni akti koji proizlaze iz politika, strategija
i metodologija i odnose se na upravljanje informacijskim sustavom na taktičkoj
razini. Tipični primjeri su: Pravilnik o korištenju informacijskoga sustava, Pravilnik o
ovlastima pristupa, Pravilnik o upravljanju lozinkama, Pravilnik o pohrani podataka,
96
Pravilnik o stalnome nadzoru mrežnih događaja, o provjeri čitljivosti podataka itd.

Tim se internim aktima detaljnije propisuju poželjni načini uporabe informacijsko-
ga sustava čija su načela propisana internim aktima višega reda (politike, strategije
i metodologije).
Na jednak način, na operativnoj razini upravljanja postoje procedure i radne
upute koje predstavljaju interne akte kojima su detaljno propisani organizacijski,
tehnološki i ostali detalji provedbe neke kontrolne mjere (primjeri mogu biti: Proce-
dura oporavka podataka, Radne upute za nadzor ključnih uređaja itd.).
Osnovna pitanja koja treba urediti sigurnosnom informacijskom politikom su:
• Tko ima dozvolu za korištenje informacijskih resursa?
• Tko ima ovlasti za administriranje sustava?
• Koja su prava i obveze administratora sustava?
• Tko dodjeljuje ovlaštenja za korištenje resursa informacijskoga sustava?
• Koji su dopušteni načini korištenja resursa informacijskoga sustava?
• Koja su prava i odgovornosti korisnika sustava?
• Tko ima pravo prenošenja ovlaštenja?
• Kako se postupa s osjetljivim informacijama?
Pravilnikom o sigurnosnoj informacijskoj politici trebala bi biti uređena slje-
deća pitanja:
• Koje upute treba primjenjivati prilikom korištenja informacijskih resursa?
• Što je korisniku zabranjeno u svezi s uporabom informacijskih resursa?
• Kako se dodjeljuju posebna znanja odnosno ovlaštenja (zaporke i ostale iden-
tifikacije) za korištenje informacijskih resursa?
• Na koji način i kojom dinamikom će se mijenjati korisnička ovlaštenja?
• Smije li ih i s kime korisnik dijeliti odnosno kome smije ustupati svoja ovlašte-
nja?
• Kako će se postupiti otkrije li se da je korisnik zloporabio svoja ovlaštenja ili ih
neovlašteno podijelio ili ustupio nekome drugome?
• U kojoj se mjeri elektronička pošta smatra privatnim pravom korisnika?
• Ima li bilo tko pravo nadzirati ulazni i izlazni promet službene elektroničke
pošte, i ako da, tko je to?
• Što se smatra zloporabom službene elektroničke pošte?
97
• Koje su obveze tvrtke u svezi s privatnošću poslovnih partnera, dobavljača i

klijenata s kojima komunicira?
Istaknimo još jednom da sigurnosna politika definira što treba štititi, klasificira
(rangira) informacije prema njihovoj važnosti za tvrtku, utvrđuje prioritete i suge-
rira pristup koji treba koristiti za rješavanje sigurnosnih problema. U taktičkome
smislu, ona ne govori o tome kako će se provoditi određene sigurnosne procedu-
re, već što tim procedurama valja ostvariti i tko ih mora poduzimati.
Definicija procedura za prevenciju sigurnosnih problema polazi od analize ri-
zika kojima sustav može biti izložen i mogućih manjkavosti sustava. Za svaku klasu
utvrđenih rizika utvrđuje se odgovarajuća klasa preventivnih sigurnosnih pro-
cedura.
Procedure za prepoznavanje nedopuštenih aktivnosti su:
• primjenjuje se nekoliko jednostavnih procedura, a izvršava ih administrator
sigurnosti ili pak odgovarajući računalni program
• nadzor mora biti trajan, kako bi se u slučaju otkrivanja nedopuštenih aktiv-
nosti moglo pravodobno reagirati
• jedan od osnovnih načina praćenja pokušaja neovlaštenoga pristupa informacij-
skim resursima sustava je nadzor nad prijavljivanjem u sustav (engl. Log in)
• prijave korisnika sustavu se bilježe u odgovarajućim datotekama, a programi
analiziraju koliko je – ako je – bilo neuspjelih pokušaja prijavljivanja, odakle su
izvršeni, u koje vrijeme (u radno vrijeme ili izvan njega), kojom učestalošću itd.
• obavlja se i detekcija pokušaja korištenja nedopuštenih programa ili
podataka od strane inače ovlaštenih korisnika, te možebitnog postojanja
programa koji uopće ne bi trebali postojati u sustavu (tzv. trojanski konji).
4.2. Upravljačke i opće informatičke kontrole

Upravljačke i opće informatičke kontrole se odnose mahom na organizacijske kon-
trole taktičkoga dosega, ali i razne tehnološke, fizičke, automatske, preventivne,
detektivne i ostale kontrole kojima se provode u djelo zamisli i ciljevi koji proizlaze
iz strateških kontrola.
Svrha je općih informatičkih kontrola40 utvrditi posjeduje li informacijski sustav
kompanije one osobine i sposobnosti koje se od njega očekuju. Ako ih posjeduje,
40
Određeni dijelovi teksta preuzeti su ili prerađeni prema Panian, Ž., Spremić, M. (2007.): Korporativ-
no upravljanje i revizija informacijskih sustava, Zgombić i partneri, Zagreb.
98
kontrolama će se to i potvrditi, a ako ne, kontrole će pomoći otkrivanju razloga

zbog kojih sustav nije u mogućnosti pružiti menadžmentu i zaposlenicima tvrtke
ono zbog čega je razvijen i uspostavljen, tj. zbog čega uopće i postoji.
Promotrimo obilježja najvažnijih općih informatičkih kontrola.
Kontrole funkcionalnosti poduzimaju se zato da bi se utvrdilo može li infor-
macijski sustav uopće izvršavati informacijske procese za koje se očekuje da bi ih
trebao obavljati, može li to činiti pouzdano, u različitim okolnostima, uz različitu
infrastrukturnu podršku i u različitim okruženjima rada, može li osigurati primje-
ren stupanj zaštite informacija i informacijskih procesa od zloporaba od strane
vanjskih ili unutarnjih subjekata, može li obavljati svoje zadaće tako da time ne
nanosi štetu drugim individualnim ili kolektivnim subjektima, može li u slučaju pre-
kida rada, iz bilo kojega razloga, nakon određenih intervencija nastaviti s radom na
zadovoljavajući način te time jamčiti kontinuitet poslovanja te može li sve to činiti
na potpuno regularan, legitiman i zakonit način.
Kontrole automatizacije imaju za cilj otkriti može li informacijski sustav sve ili
barem sve ključne informacijske procese obavljati bez izravne intervencije ljudi, a
ako ne može, zašto ne može, postoje li tehnološka rješenja koja u informacijskome
sustavu nisu primijenjena, a imalo bi smisla i potrebe primijeniti ih, može li sustav u
slučaju onih procesa koji se djelomice ili u cijelosti moraju izvršavati ručno podržati
i takve procese i kombinirati ih s potpuno automatiziranim procesima, ostvaruje
li se automatizacija svih informacijskih procesa primjenom jednoobraznih (unifici-
ranih i standardiziranih) tehnoloških rješenja ili pak raznorodnih, ali kompatibilnih
rješenja, ne nanosi li automatizacija informacijskih procesa određene kolateralne
štete (primjerice, ugrožavanjem privatnosti pojedinaca) i, konačno, kakve su mo-
gućnosti i perspektive ostvarivanja još višega stupnja automatizacije informacij-
skih procesa u poduzeću.
Kontrole ekonomičnosti provode se da bi se provjerilo i utvrdilo kakve i kolike
troškove informacijski sustav uzrokuje svojim radom i djelovanjem, koliki su ukupni
troškovi vlasništva (engl. Total Cost of Ownership, TCO) nad tim sustavom, potom da
bi se procijenilo kakve i kolike izravne („opipljive“) i neizravne („neopipljive“) koristi
sustav donosi tvrtki, da bi se utvrdio odnos troškova i koristi od informacijskoga
sustava što će poslužiti u daljnjoj analizi (engl. Cost/Benefit Analysis, CBA) kao eko-
nomsko mjerilo njegove kvalitete i doprinosa ostvarenju poslovnih ciljeva i rezul-
tata tvrtke, da bi se izračunao povrat ulaganja (engl. Return on Investment, ROI) u
taj sustav radi stjecanja uvida u opravdanost ulaganja te da bi se izveli svi daljnji
„klasični“ ekonomski pokazatelji poput učinkovitosti, djelotvornosti, produktivno-
sti, ekonomičnosti itd., a sve s ciljem utvrđivanja može li se informacijski sustav
smatrati ekonomski prihvatljivim ili pak treba poduzeti određene korake u smislu
povećanja njegove prihvatljivosti.
99
Kontrole sposobnosti trajnog pohranjivanja i dokumentiranja sadržaja,

prije svega različitih podataka i informacija o poslovnim događajima, transakcija-
ma i procesima koji su se zbili u prošlosti, nužne su na svim razinama upravljanja
tvrtkom kako bi se utvrdilo može li informacijski sustav pohranjivati različite vrste
podataka (strukturirane i nestrukturirane, podatke iz ‘digitalne’ okoline i slično), u
kojoj mjeri sve pohranjene (vanjske i unutarnje) podatke može brzo i učinkovito
obrađivati i u kojoj mjeri može podržati prediktivne analize i donošenje poslovnih
odluka. Naime, većina danas korištenih metoda predviđanja i prognoziranja po-
slovnih procesa i situacija zasniva se upravo na analizama različitih vrsti podataka,
ali i podataka koji se u realnome vremenu prikupljaju s brojnih uređaja te primje-
nom odgovarajućih računsko/logičkih postupaka predviđaju buduće događaje i
pokreću razne automatizirane aktivnosti. Informacijski sustav, dakle, treba imati
kontrole koje će stvarati i održavati dobro organizirane datoteke, baze i skladišta
podataka i kontrole primjene tehnologije velikih podataka (napredne prediktivne
analitike velike količine raznorodnih podataka).
Kontrole analitike i inteligencije informacijskoga sustava se odnose na spo-
sobnost sustava da temeljem već akumuliranih znanja, ali i novih znanja prikuplje-
nih iz poslovnog okruženja (senzori, uređaji, procesi) poduzima akcije koje će uvijek
davati optimalne rezultate, ili barem rezultate koji se približavaju optimumu, čak i
u ranije nepoznatim, dakle potpuno novim situacijama. Dakako, „apsolutno“ inteli-
gentni sustav je pritom samo ideal koji je u praksi neostvariv, ali kojemu treba težiti.
Inteligencija informacijskoga sustava podrazumijeva visok stupanj njegove auto-
matizacije pa će osnovne kontrole prema ovome obilježju biti zapravo kontrole
automatizacije razmotrene ranije u ovome odjeljku. No, to su tek bazične kontrole
koje će trebati nadopuniti i kontrolama ponašanja sustava u uvjetima neizvjesno-
sti (primjerice, metodom simulacije), kontrolama primijenjenih metoda otkrivanja
novih znanja iz raspoloživih repozitorija povijesnih podataka (primjerice, rudarenja
podataka), kontrolama metoda primjerenoga prikazivanja zakonitosti otkrivenih
temeljem povijesnih podataka (primjerice, metoda vizualizacije), kontrolama pouz-
danosti predviđanja (primjerice, metodom Markovljevih lanaca) itd.
Kontrole sukladnosti informacijskih procesa i sustava s pozitivnom zakonskom
regulativom također su nešto o čemu se u stručnim krugovima počelo raspravljati
razmjerno nedavno, pa stoga, vjerojatno, još ima puno aspekata ovoga problema
koji iziskuju i zaslužuju daljnje istraživanje. Osnovni poticaji koji kontrole sukladno-
sti stavljaju u središte zanimanja stručnjaka i znanstvenika jesu fenomeni digitalne
transformacije i elektroničkoga poslovanja. Naime, u okruženju digitalne ekonomi-
je i intenzivne uporabe raznih digitalnih tehnologija poslovnim se subjektima veli-
kom brzinom otvaraju brojna nova tržišta i poslovne prilike o kojima znaju malo ili
ništa. U takvim situacijama raste rizik od nenamjernoga kršenja pravne regulative
u sredinama u kojima se tvrtka pojavljuje (zbog neupućenosti, neinfomiranosti, ne-
100
znanja, iz nemara) što, dakako, može imati ozbiljnih negativnih posljedica po tvrtku.
Osim toga, sama primjena novih tehnologija stvara nove vrste rizika poput kršenja
ljudskih prava, privatnosti pojedinaca i društvenih skupina i moralnih normi te tzv.
kibernetičkoga terorizma, što sve navodi na potrebu brzoga prilagođavanja nacio-
nalne i, posebice, međunarodne pravne regulative kako bi se ti rizici sankcionirali i
regulirali. Tvrtke se takvim promjenama moraju brzo prilagođavati, zbog čega kon-
trole sukladnosti informacijskih procesa i sustava dobivaju na važnosti, ali istodob-
no postaju i sve delikatnijima i složenijima.
Kontrola rada svih dijelova informacijskoga sustava (posebice hardvera i
sistemskog softvera); učinkovitost hardvera ipak se ne bi trebala izravno provje-
ravati, nego osloniti na jamstva, ugled proizvođača i mjerljive parametre kvalitete
(broj kvarova u jedinici vremena, opća pouzdanost, statistika pogrešaka i mogućih
ispada, mogućnost da uređaji sami prepoznaju pogrešku i spriječe kvar i slično). Si-
stemski softver je osnovni dio svakoga velikog računala i pri njegovoj kupovini tre-
ba obratiti pozornost posjeduje li odgovarajuće certifikate o kvaliteti i pouzdanosti.
Operacijski sustavi su osnova svakoga računala i bez njih je rad na računalu nemo-
guć. Osim toga, treba provjeriti kompatibilnost aplikativnoga, komunikacijskoga i
sistemskoga softvera. Ove aktivnosti spadaju pod dužnosti informatičkoga oso-
blja, a revizori informacijskih sustava ih trebaju nadzirati i uključiti se po potrebi.
Kontrola zaštite i pristupa: Ova se opća kontrola odnosi na fizičku zaštitu opre-
me, softvera i podataka i otuđenje imovine ili podataka. Ovo su tehnički vrlo jed-
nostavne kontrole, pa ćemo recimo znatno podići razinu sigurnosti sustava tako
da za računalni hardver izdvojimo posebnu prostoriju (klimatiziranu, zaštićenu od
prašine, poplave, krađe i slično) u koju mogu ući samo ovlašteni djelatnici.
Kontrola rada i podataka: Opća kontrola koja omogućuje da sustav radi nesme-
tano i pouzdano. Kod kontrole softvera konceptualno razlikujemo ove pojmove:
logičke pogreške i sintaksne (fizičke) pogreške. Pri programiranju sintaksne
se pogreške vrlo jednostavno otklanjaju jer ih otkrivaju programi prevoditelji čiji je
zadatak prevesti kodirani sadržaj u strojno čitljiv oblik. Logičke su pogreške sintak-
sno ispravne, međutim, došlo je do pogreške pri projektiranju sustava, pogreške u
algoritmu programa ili se jednostavno zanemarila ili zaboravila neka važna činjeni-
ca. Tipična logička pogreška jest slučaj programa koji sami prodaju portfelj dionica
kada im vrijednost padne za 5 %. Takve je pogreške vrlo teško otkriti, potrebna je
duboka analiza algoritma i dobra prevencija. Ipak, ovakve se pogreške vrlo često
otkrivaju tek u praksi odnosno produkciji, kada može nastati ogromna šteta.
Kontrola rada softvera metodološki se sastoji od sljedećih skupina:
1. kontrola obuhvata podataka
2. kontrola valjanosti podataka
101
3. kontrola obrade
4. kontrola outputa
5. kontrola pogrešaka.
Kontrola obuhvata podataka mora osigurati da su svi poslovni događaji
proknjiženi u sustavu, da se poslovni događaji proknjiže samo jedanput i da
su svi neproknjiženi poslovni događaji identificirani, prekontrolirani, ispravljeni
i ponovno uneseni u sustav. Ova kontrola se prije svega odnosi na pojedine
ciljeve interne kontrole (valjanost, potpunost i ocjena). Pri tome, revizorima su
na raspologanju kvantitativne statističke metode kontrole ili tehnike upravlja-
nja iznimkama. Svaki informacijski sustav treba imati odgovarajući repozitorij ili
dnevnik poslovnih događaja u kojemu se nalazi detaljna evidencija o svakome
poslovnom događaju.
Kontrola valjanosti podataka odnosi se prije svega na procjenu kao cilj interne
kontrole. Uobičajene kontrole valjanosti podataka su test ograničenja (prelazi li
upisani broj neku unaprijed određenu vrijednost), test raspona valjanosti, test re-
doslijeda sadržaja, test sadržaja polja, test valjanosti, test predznaka itd. Obično se
operativno provode pisanjem posebnih potprograma koji vrše nabrojene vrste te-
stova i provjera i, naravno, propuštaju samo određenu vrijednost. Primjerice, kom-
panija Giant Food trebala je dioničarima isplatiti dividendu od 25 centi. Operater
je umjesto tog iznosa unio vrijednost od 2,50 USD pa je time kompanija pretrpjela
štetu od više od 11 milijuna USD. A, samo je trebalo postaviti bolju kontrolu unosa
podataka u informacijski sustav, odnosno dovoljno je bilo napisati vrlo jednosta-
van, trivijalan program koji bi provjerio broj koji je upisao operater unosa podataka
i ‘propustio’ dalje samo traženih 25 centi.
Kontrola obrade osigurava točnost obrade podataka i uglavnom se oslanja na
već opisane opće kontrole. Kontrola izlaznih vrijednosti temelji se prije svega
na prevenciji prikaza pojedinih rezultata obrade neovlaštenim osobama i u sugla-
sju je s kontrolama zaštite i pristupa podacima ili rezultatima obrade. Kontrole
pogrešaka su nužne jer pogreške mogu nastati u bilo kojemu dijelu informacijsko-
ga sustava, pa ih je vrlo važno otkriti nekim već opisanim kontrolama ili metodama.
Nakon identifikacije pogreške najvažnije je naravno njeno ispravljanje, sanacija na-
stale štete i popravak mehanizama kontrole.
Upravljačke informatičke kontrole se odnose na:
• kontrole u postupku razvoja, uspostavljanja i održavanja informacij-
skoga sustava (kontrole metodologije razvoja softvera, kontrole funkcioni-
ranja informacijskoga sustava, kontrole promjena aplikacija, kontrole isporu-
ke aplikacija)
102
• kontrole vezane za podatke (pristup bazama podataka, konverzija, zaštita

podataka u prijenosu i mirovanju, pristup operacijskome sustavu, računalnoj
mreži i informatičkoj infrastrukturi) i
• sigurnosne upravljačke kontrole.
Detaljnije, tu se radi o kontrolama koje se odnose na provjeru učinkovitosti pro-
vedbe sigurnosne informacijske politike, procjene učinkovitosti sustava internih
kontrola, kontrole koje se odnose na razvoj i kupnju poslovnih aplikacija, kontrole
instalacije aplikacija, kontrole nad podacima koje te aplikacije i pripadajući po-
slovni procesi koriste, kontrole promjena softvera, kontrole testiranja softvera,
kontrole pristupa programima i podacima, sigurnosne kontrole, kontrole konti-
nuiteta poslovanja (engl. business continuity), kontrole oporavka nakon prekida
rada (engl. disaster recovery), automatske ili ručne kontrole koje su ‘ugrađene’ u
poslovne procese i koje omogućuju njihovu točnu, pouzdanu i neometanu pro-
vedbu, kontrole koje omogućuju učinkovito i korektno funkcioniranje poslovanja
u informatičkome okruženju, kontrole ispravnosti transakcija, kontrole prijenosa
podataka, kontrole kvalitete podataka, kontrole ključne opreme i sve ostale kon-
trole koje podržavaju učinkovite kontrole nad aplikacijama koje su temelj odvija-
nja poslovnih procesa.
Kontrola svih faza izgradnje informacijskoga sustava: Kompanija mora imati
razrađene sustave nadzora i jake kontrole svake od faza izgradnje informacijskoga
sustava. To se posebice odnosi na pojedine vrlo osjetljive faze razvoja, kao što su
studija izvodivosti, analiza troškova i koristi, analiza potreba, nadzor razvoja no-
voga sustava, ali i kontrole definicije problema, upravljanja procesom promjena,
analize postojećega informacijskog sustava, formulacije zahtjeva, oblikovanje in-
formacijskoga sustava i njegovih ključnih dijelova (podaci, softver), testiranje pri-
hvatljivosti novoga informacijskog sustava (sistemski test, korisnički test, testiranje
pojedinih modula, testiranje cjelokupnoga sustava, tehnološki test itd.) Kontrole u
postupku razvoja, uspostavljanja i održavanja informacijskoga sustava prikazane
su u tablici 4.1.
103
Tablica 4.1. Faze razvoja, uspostavljanja i održavanja informacijskoga sustava i

pripadajuće izvršne upravljačke kontrole41
Razvojna faza Izvršne upravljačke kontrole

1. Definicija · definicije bitnih elemenata problema
problema i novih · opsega problema
mogućnosti · identifikacije novih mogućnosti
· procjena ostvarivosti novih mogućnosti
2. Upravljanje · identifikacije potrebnih promjena
procesom · definicije potrebnih promjena
provedbe · opsega potrebnih promjena
promjena · dinamike uvođenja promjena
· učinaka uvedenih promjena
3. Utvrđivanje · odabira razvojnog modela
polaznih osnova · cjelovitosti polaznih osnova
izgradnje novoga · logičke dosljednosti polaznih osnova
informacijskog
sustava
4. Analiza · metodike analize
postojećega · predmeta analize
informacijskog · obuhvata analize
sustava · dinamike analize
· cjelovitosti rezultata analize
5. Formulacija · sukladnosti zahtjeva s utvrđenom korporativnom poslovnom
strateških zahtjeva strategijom
· obuhvaćenosti svih iskazanih zahtjeva
· analize opravdanosti zahtjeva
· logičke dosljednosti zahtjeva
6. Oblikovanje · temeljnih postavki organizacije rada
organizacije rada · identifikacije pojedinačnih poslova
i pojedinačnih · identifikacije izvršitelja poslova
poslova · pridijeljenosti (asignacije) pojedinačnih poslova izvršiteljima
· definicije obveza izvršitelja poslova
· definicije odgovornosti izvršitelja za pridijeljene im pojedinačne
poslove
· funkcionalne usklađenosti (koordinacije) pojedinačnih poslova i
njihovih izvršitelja
· vremenske usklađenosti (sinkronizacije) pojedinačnih poslova i
njihovih izvršitelja
41
Preuzeto iz Panian, Spremić (2007.): Korporativno upravljanje i revizija informacijskih sustava,
Zgombić i partneri, Zagreb.
104
Razvojna faza Izvršne upravljačke kontrole

7. Oblikovanje · jednoznačnosti i „čistoće“ dizajna sustava za obradu informacija
sustava za obradu · obuhvaćenosti svih potrebnih elemenata sustava za obradu
informacija informacija
· načina međusobnoga povezivanja (integracije) elemenata sustava za
obradu informacija
· načina povezivanja (integracije) elemenata sustava za obradu
informacija s ostalim komponentama informacijskoga sustava
8. Pribavljanje · prikupljenih ponuda dobavljača aplikacijskoga softvera
i razvoj · postupka izbora najpovoljnije ponude
aplikacijskoga · ugovornih uvjeta s dobavljačem aplikacijskoga softvera
softvera · rada na razvoju vlastitih softverskih rješenja
· rezultata testova vlastitih softverskih rješenja
9. Pribavljanje · prikupljenih ponuda dobavljača hardvera
hardvera · prikupljenih ponuda dobavljača sistemskoga softvera
i sistemskoga · postupka izbora hardvera i sistemskoga softvera
softvera · ugovornih uvjeta s dobavljačem hardvera
· ugovornih uvjeta s dobavljačem sistemskoga softvera
· instalacije nabavljenoga hardvera i sistemskoga softvera
· rezultata testiranja nabavljenoga hardvera i sistemskoga softvera
10. Utvrđivanje · sukladnosti procedura vanjskoj pravnoj (zakonskoj) regulativi
procedura · sukladnosti procedura relevantnim općim i posebnim standardima
· prilagođenosti procedura unutarnjoj organizaciji rada i poslovanja
· potpunosti obuhvata procedura
· provedivosti procedura
· smjernica za primjenu procedura
11. Testiranje · rezultata testiranja segmenata (modula) sustava
prihvatljivosti · rezultata testiranja cjelokupnoga sustava
informacijskoga
sustava
12. Implementacija · provedbe utvrđenoga postupka implementacije ili konverzije sustava
ili konverzija · poštivanja rokova i dinamike implementacije ili konverzije sustava
informacijskoga · nedostataka sustava koji su možebitno uočeni tijekom
sustava implementacije ili konverzije sustava
13. Rad · funkcionalnosti sustava u eksploataciji
(eksploatacija) · sigurnosti/pouzdanosti sustava
i održavanje · kvalitete usluga pruženih korisnicima
informacijskoga · djelotvornosti sustava
sustava · učinkovitosti sustava
· poštivanja rokova redovitoga i preventivnoga održavanja sustava
· rezultata analize potreba za nadogradnjom, proširenjem i/ili
prilagodbom sustava novonastalim uvjetima ili potrebama korisnika
105
Kontrole podataka42
U informacijskim sustavima, posebice onima većima i složenijima, briga o poda-

cima treba biti prvorazredni zadatak jer podaci predstavljaju iznimno vrijedan
poslovni resurs i element (nematerijalne) imovine poduzeća. Zato se taj zadatak
obično pridjeljuje posebno obrazovanome i kvalificiranome stručnjaku čija funkcija
(radno mjesto) obično nosi naziv administrator podataka ili administrator baze po-
dataka. Poput administratora sustava (sistemskog administratora), administrator
podataka odnosno baze podataka ima iznimno velike ovlasti za korištenje određe-
nih informatičkih resursa, daleko veće od ovlasti „običnih“ korisnika. Zbog toga je
njegova pozicija vrlo delikatna pa i njegov rad treba biti pomno kontroliran. Osnov-
na svrha takvih kontrola zapravo nije nadzirati postupke i rad samoga administra-
tora, već osigurati potrebnu razinu kvalitete podataka koja je u izravnoj ovisnosti o
stručnosti, predanosti, dobronamjernosti i odgovornosti administratora.
Stoga upravljačke kontrole podataka u praksi neće biti usmjerene izravno na po-
datke, već prije svega na pristup poslu, način izvršenja zadataka i rezultate osobe
zadužene za brigu o njima, tj. administratora podataka odnosno baze podataka.
Dakle, izvršnim upravljačkim kontrolama podaci se podvrgavaju indirektno, kontro-
liranjem rezultata rada stručnjaka zaduženoga za upravljanje podacima poduzeća.
Među zadacima administratora podataka i administratora baze podataka posto-
je određene razlike, koje možda laicima i nisu sasvim vidljive. No, gledajući s gle-
dišta informatičke struke, administrator podataka je zadužen za izvršavanje po-
slovno-političkih i upravljačkih, a administrator baze podataka pretežito tehničkih
zadataka upravljanja podacima u informacijskome sustavu. Menadžeri zaduženi
za provedbu izvršnih upravljačkih kontrola informacijskoga sustava moraju dobro
poznavati i razumjeti i funkcije administratora podataka i administratora baze po-
dataka, i to iz najmanje tri razloga:43
1. Ne izvršavaju li administrator podataka i administrator baze podataka svoje
zadatke na odgovarajući način, kvaliteta rada cjelokupnoga informacijskog su-
stava bit će dovedena u pitanje.
2. Administrator podataka i administrator baze podataka su vrijedni izvori infor-
macija o snazi i mogućim manjkavostima okruženja baze podataka, tj. „ostatka“
informacijskoga sustava, jer je u samome središtu njihova profesionalnoga in-
teresa i pozornosti komunikacija što se ostvaruje među korisnicima baze poda-
taka.
42
Ibid.
43
Moore, Fred:. “Building Practical Data Protection Strategies”. http://www.horison.com, 08/2006.
106
3. Administrator podataka i administrator baze podataka mogu pružiti dragocje-

ne administrativne i tehničke informacije potrebne za provedbu izvršnih uprav-
ljačkih kontrola. Tako, primjerice, administrator podataka može ukazati na to
koji se sve podaci mogu naći u bazi podataka i kakvo je njihovo značenje sa
stajališta poslovanja tvrtke, dok će administrator baze podataka znati kako do
tih podataka doći i na koji ih način obrađivati.
Cjelokupan kompleks zadataka administratora podataka i administratora baze po-
dataka može se razvrstati u četiri skupine srodnih zadataka, i to:
• definiranje, kreiranje, redefiniranje i arhiviranje podataka
• omogućavanje uporabe baze podataka, informiranje i pružanje usluga koris-
nicima
• održavanje cjelovitosti (integriteta) baze podataka
• briga o ispravnosti sadržaja i funkcioniranju sustava baze podataka.
Najvažnije izvršne upravljačke kontrole kojima se nadziru i provjeravaju rezultati
rada i izvršenje radnih zadataka administratora podataka i administratora baze
podataka, a time, posredno, i kontrole podataka sažeto su prikazane u tablici 4.2.
Tablica 4.2. Upravljačke kontrole podataka
Zadaci
administratora
podataka i Izvršne upravljačke kontrole
administratora
baze podataka
Definiranje, · prikladnosti primijenjenoga modela (sheme) podataka
kreiranje, · utvrđenih prioriteta pristupa pojedinačnih ili skupina
redefiniranje korisnika podacima
i arhiviranje · ispravnosti definicije podataka
podataka · uvjeta u kojima treba izvršiti redefiniciju podataka i/ili
modela podataka
· postupaka trajnog pohranjivanja odnosno arhiviranja
podataka
· cjelokupnoga životnog ciklusa podataka
Omogućavanje · izvršenog izbora softverskih alata za rad s bazom podataka
uporabe baze · kvalitete i pravodobnosti informiranja korisnika o mogućim
podataka, promjenama načinima uporabe baze podataka
informiranje i · kvalitete usluga pružanih korisnicima prije, za vrijeme i
pružanje usluga nakon korištenja baze podataka
korisnicima
107
Zadaci
administratora
podataka i Izvršne upravljačke kontrole
administratora
baze podataka
Održavanje · primjerenosti definicije baze podataka
cjelovitosti · postojanja baze podataka (materijalna kontrola)
(integriteta) baze · sheme ovlaštenja za pristup bazi podataka
podataka · postupaka osvježavanja (ažuriranja) sadržaja baze podataka
· načina razrješavanja potencijalnih i stvarnih prijepora u
korisničkim zahtjevima za pristup bazi podataka
· kvalitete sadržaja baze podataka
Briga o isprav- · poduzimanih postupaka i mjera ispravnosti sadržaja baze
nosti (vjero- podataka
dostojnosti) · postojanja/nepostojanja i primjerenosti nadzora nad
sadržaja i funkci- okruženjem baze podataka
oniranju sustava · pridržavanja discipline (ovlaštenja, prioriteta, učestalosti)
baze podataka
pristupa bazi podataka
· postojanja i kvalitete evidencije korištenja baze podataka
· postojanja i kvalitete radne dokumentacije potrebne pri
korištenju baze podataka
· postojanje statističke dokumentacije o raspoloživosti i
korištenju baze podataka
U svome radu administratori podataka i administratori baze podataka izloženi su

brojnim i raznovrsnim iskušenjima, posebice onima vezanima uz tajnost određenih
poslovnih podataka i privatnost osoba na koje se ti podaci odnose. Praktički neo-
graničen pristup svim informacijama – barem onima što se prikupljaju, obrađuju
i stvaraju računalom – i to u svim fazama njihova životnog ciklusa, daje admini-
stratoru podataka i administratoru baze podataka veliku stratešku prednost pred
ostalim korisnicima odnosno zaposlenicima. Tu svoju povlaštenu poziciju admini-
stratori mogu – i trebali bi – koristiti na dobrobit tvrtke i svih njenih zaposlenika, ali
ipak treba pretpostaviti da to možda neće uvijek biti tako. Zato je nužno uspostaviti
primjeren sustav upravljačkih kontrola transparentnosti rada administratora po-
dataka i administratora baze podataka kako bi se minimalizirali rizici od zloporabe
njihovih ovlaštenja i povlastica koje uživaju.
Sigurnosne upravljačke kontrole
Informacijski sustavi današnjice, osobito oni temeljeni na digitalnim tehnologijama,

su dinamični i stalno podložni promjenama, pa se ne može niti očekivati da će
jednom uspostavljen sustav njihove sigurnosti moći zadovoljavati potrebe i ispu-
108
njavati ciljeve u dužem vremenskom roku. Dosadašnja razmatranja predočila su

niz argumenata da je sigurnosne mjere potrebno stalno mijenjati, nadopunjavati
i unaprjeđivati kako bi se informatički i osobito cyber rizici mogli zadržavati na
prihvatljivim razinama, a informacijski sustavi ispunjavati svoje ciljeve. Upravo iz
navedenih razloga nužno je stalno primjenjivati odgovarajuće sigurnosne uprav-
ljačke kontrole. Kako bi se izbjegle improvizacije s neizvjesnim ishodom, ‘snalaže-
nje’, neracionalno trošenje resursa i nepotrebno povećanje rizika, u informatičkim
se krugovima intenzivno radi na utvrđivanju, isprva, najboljih sigurnosnih praksi, a
potom i formaliziranih sigurnosnih standarda, čak i na međunarodnoj razini. Zato
se mirne duše može ustvrditi kako je područje informacijske sigurnosti, ma koliko
ono bilo delikatno, dinamično i složeno, možda i najbolje „obrađeno“ područje u
cjelokupnome kontekstu informatičke prakse.
U ovoj će knjizi biti prikazano nekoliko općeprihvaćenih standarda i normi koji se
najčešće koriste u reviziji sigurnosti informacijskih sustava (CobiT, NIST, ISO 27001 i
SANS), koji pokrivaju različita problemska područja i aspekte primjene informatike
u poslovnoj praksi, ali najčešće, osobito posljednja tri se koriste za utvrđivanje i
implementaciju sigurnosnih upravljačkih kontrola.
Najčešće korišteni okviri upravljanja informacijskom i cyber sigurnosti su:
1. CobiT 5 (37 sigurnosnih upravljačkih kontrola i preko 300 sigurnosnih kontrol-
nih mjera)
2. ISO 27001:2013 (Annex A, 14 sigurnosnih upravljačkih kontrola, 35 sigurnosnih
kontrolnih ciljeva i 133 sigurnosnih kontrolnih mjera)
3. PCI DSS (Payment Card Industry Data Security Standard) (6 sigurnosnih
upravljačkih kontrola, 12 sigurnosnih zahtjeva – ciljeva)
4. US National Institute of Standards and Technology (NIST ) Cybersecurity
Framework (5 sigurnosnih upravljačkih kontrola, 25 sigurnosnih kontrolnih cilje-
va) http://www.nist.gov/cyberframework/
5. SANS Institute Critical Controls (4 sigurnosne upravljačke kontrole, 20 sigur-
nosnih kontrolnih ciljeva) (http://www.sans.org/critical-security-controls.
CobiT44 (engl. Control Objectives for Information and Related Technologies) je krov-
ni standard korporativnoga upravljanja informatikom unutar kojega se propisuju
područja, procesi i pojedinačne kontrole za korporativno i operativno upravljanje
informatikom. Autor CobiT okvira je ISACA (Information System Audit and Control
Association, www.isaca.org).
44
ITGI (2007), CobiT 4.1 – Framework, Control Objectives, Management Guidlines and Maturiy Mo-
dels, IT Governance Institute, Rolling Meadows, SAD.
109
Izvorno (CobiT v1 iz 1996.) nastao kao alat za podršku provedbe revizije financijskih
izvještaja, CobiT se vrlo brzo razvijao i pratio razvoj uloge informatike u poslovanju
(CobiT v2 iz 2000. već je u svjetskim razmjerima postao najkorišteniji okvir kontrole
informacijskih sustava, verzija 3 iz 2004. godine je predstavljala integralni okvir
upravljanja informatikom, a trenutno važeća verzija – CobiT 5 predstavlja najvažniji
okvir provedbe koncepta korporativnoga upravljanja informatikom), koja uključuje
i neke ranije izvedene standarde (Val IT i Risk IT, slika 4.2.).
Slika 4.2.45 prikazuje razvoj CobiT-a kao svjetski prihvaćene krovne metodologije
korporativnoga upravljanja informatikom koja u trenutno važećoj verziji 5 uključuje
i neke ranije izvedene standarde (Val IT, Risk IT).
Slika 4.2. Razvoj CobiT okvira
Time trenutno važeća CobiT 5 verzija iz 2012. godine služi kao nezaobilazan okvir
za upravljanje informatikom na korporativnoj razini i svjetski prihvaćena metodo-
logija kojom se propisuju procesi (zahtjevi) putem kojih se informacijski sustavi
strateški povezuju s prioritetima poslovanja. Procesno je usmjeren i obuhvaća sve
komponente (područja) korporativnoga upravljanja informatikom, a osnovna mu
je funkcija ponuditi preporuke za usklađenje ciljeva poslovanja s ciljevima rada in-
formatike.
Promotrimo najvažnije značajke CobiT-a:
• CobiT je u svjetskim razmjerima najvažnija, krovna metodologija korporativ-
noga upravljanja informatikom
45
Prema ISACA (2012), COBIT 5 Implementation, an ISACA Framework, ISACA - Information System
Audit and Control Association, Rolling Meadows, IL 60008 USA.
110
• CobiT je najčešće korišteni alat provedbe kontrole i revizije informacijskih su-

stava
• CobiT predstavlja smjernice za analizu, mjerenje i kontrolu primjene informa-
cijskih sustava i pripadne tehnologije u poslovanju
• CobiT sadrži 37 IT procesa (cilja kontrole ili vođenja IT), odnosno 37 ciljeva
kontrole i preko 300 vrlo preciznih i detaljnih informatičkih kontrola i uputa
za njihovu primjenu.
CobiT poslovnu informatiku ‘dijeli’ u 2 kategorije (korporativno i operativno uprav-
ljanje informatikom) 4 područja, 37 ključna poslovna procesa (cilja kontrole) i za
svaki opisuje model zrelosti. Upućenom menadžmentu i korporativnim struktu-
rama lako je pomoću CobiT metode utvrditi koji su od tih procesa i u kojoj mjeri
važni. Sa stajališta kontrole i revizije informacijskih sustava CobiT je nezaobilazni
okvir provedbe.
CobIT 5 sadrži dvije razine preporuka (skup preporuka za korporativno
upravljanje informatikom – engl. IT governance i skup preporuka za operativ-
no upravljanje informatikom – engl. IT management), koji zajedno sadrže 37
informatičkih procesa odnosno ciljeva kontrole i funkcioniranja informacijskih
sustava i preko 300 detaljnih kontrola podijeljenih u ove četiri kategorije:
• Procjena, smjernice i nadzor (engl. Evaluate, Direct and Monitor, EDM)
• Usklađivanje, planiranje i organizacija informatike (engl. Align, Plan and Organi-
ze, APO)
• Izgradnja, akvizija (nabava) i implementacija informacijskoga sustava (engl. Bu-
ild, Aquire and Implement, BAI)
• Isporuka, usluge i potpora radu (uporaba) informacijskoga sustava, (engl. De-
liver, Service and Support, DSS).
Najvažnije kategorije CobiT preporuka su:
1. Korporativno upravljanje informatikom (Governance of enterprise IT):
• procjena, usmjeravanje, nadzor (engl. Evaluating, Direction, Monitoring, EDM)
2. Operativno upravljanje informatikom (IT management) u poslovanju:
• Usklađivanje, planiranje i organiziranje (engl. Align, Plan and Organize, APO)
• Nadzor, provjera i procjena (engl. Monitor, Evaluate and Assess, MEA)
• Isporuka, usluga i podrška (engl. Delivery, Service and Support, DSS)
• Izgradnja, stjecanje i primjenjivanje (engl. Build, Acquire and Implement, BAI).
111
Obitelj ISO 27000 normi
Međunarodna organizacija za standardizaciju (engl. International Standard Organi-

zation – ISO) propisala je skup gotovo nezaobilaznih preporuka i sigurnosnih uprav-
ljačkih kontrola koje predstavljaju de facto standard na svjetskoj razini u području
upravljanja informacijskom sigurnošću. Trenutno posljednja verzija standarda ISO
27001:2013 (Annex A) sadrži 14 sigurnosnih upravljačkih kontrola, 35 si-
gurnosnih kontrolnih ciljeva (KC) i 133 sigurnosne kontrolne mjere (SKM):
1. Politike informacijske sigurnosti (Smjernice i podrška Uprave za informa-
cijskom sigurnosti - 1 kontrolni cilj KC, 2 sigurnosne kontrolne mjere SKM)
2. Organizacija informacijske sigurnosti (Uspostava upravljačkog okvira in-
formacijske sigurnosti, 2 KC, 7 SKM)
3. Sigurnost ljudskih resursa (Osigurati da su zaposlenici i ugovorne strane
svjesne odgovornosti, 3 KC, 6 SKM)
4. Upravljanje imovinom (Klasifikacija i kontrola informacijskih resursa i njiho-
ve zaštite, 3KC, 10 SKM)
5. Kontrola pristupa (Kontrola pristupa informacijama i resursima, 4KC, 14
SKM)
6. Kriptografija (Osigurati učinkovito korištenje kriptografije za zaštitu, 1 KC, 2
SKM)
7. Fizička sigurnost i zaštita od utjecaja okoline (2 KC, 15 SKM)
8. Sigurnost informatičkih resursa i poslovnih operacija (Osiguravanje si-
gurnog i učinkovitog rada uređaja za obradu informacija, 7 KC, 14 SKM)
9. Sigurnost komunikacijske infrastrukture (Zaštita informacija u računal-
nim mrežama i pri prijenosu unutar ili izvan organizacije, 2 KC, 7 SKM)
10. Razvoj sustava i održavanje (Osiguravanje da je informacijska sigurnost sa-
stavni dio IS-a kroz cijeli životni ciklus, 3 KC, 13 SKM)
11. Upravljanje odnosom s dobavljačima (2 KC, 5 SKM)
12. Upravljanje incidentima informacijske sigurnosti (1 KC, 7 SKM)
13. Upravljanje kontinuitetom poslovanja (2 KC, 4 SKM)
14. Sukladnost sa zakonskim i ugovornim zahtjevima i revizija informacij-
skih sustava (2 KC, 6 SKM).
PCI DSS (Payment Card Industry Data Security Standard) predstavlja skup
sigurnosnih kontrola koje je propisalo tijelo Payment Card Industry Security Co-
112
uncil, sastavljeno od predstavnika kartičarskih kuća (Visa, Mastercard, American

Express i ostali) i ostalih institucija koje se kreditnim karticama koriste pri plaća-
nju proizvoda i usluga. Trenutno važeća verzija PCI DSS 3.246 predstavlja skup ob-
veznih sigurnosnih upravljačkih kontrola vezanih za zaštitu privatnosti podataka
kojima moraju udovoljiti trgovački lanci ili bilo koje druge organizacije koje svojim
korisnicima nude plaćanje proizvoda i usluga kreditnim karticama.
Tablica 4.3. Pregled PCI DSS sigurnosnih upravljačkih kontrola
Ciljevi PCI DSS zahtjevi

1. Izgradnja 1. Instalirati i održavati konfigurirani vatrozid za zaštitu
i održavanje kartičnih podataka
sigurne mrežne 2. Ne koristiti predefinirane i zadane sustavske lozinke i
infrastrukture druge sigurnosne parametre
2. Zaštita kartičnih 3 Zaštititi pohranjene kartične podatke
(korisničkih) 4. Kriptirati prijenos kartičnih podataka preko otvorene,
podataka javne mreže
3. Održavanje 5. Koristiti i redovito nadograđivati antivirusni softver ili
programa za program
upravljanje
ranjivostima 6. Razviti i održavati sigurne sustave i aplikacije
7. Ograničiti pristup kartičnim podacima politikom “Što je
4. Implementacija potrebno znati”
jakih mjera 8. Stvoriti jedinstveni ID za svaku osobu koja ima pristup
kontrole pristupa računalima
9. Ograničiti fizički pristup kartičnim podacima
5. Redoviti nadzor i 10. Praćenje i snimanje svih pristupa mrežnim resursima i
ispitivanje mrežne kartičnim podacima
infrastrukture 11. Redovito testiranje sigurnosnih sistema i procesa
12. Održavanje politike koja osigurava sigurnost informacija
6. Održavanje za zaposlenike
sigurnosne politike
Dodatni PCI DSS zahtjevi za pružatelje usluga
Preostala dva standarda (NIST i SANS) su u potpunosti prilagođeni cyber sigurno-

sti i iako imaju nominalno manji broj sigurnosnih upravljačkih kontrola, usredoto-
čeni su gotovo isključivo na cyber rizike, pa u današnje vrijeme trebaju predstavljati
vrijedne okvire najbolje prakse upravljanja cyber sigurnosti.
46
Posljednja verzija PCI DSS standarda, kao i brojne ostale informacije i publikacije dostupni su na
mrežnom mjestu PCI Security Council-a: https://www.pcisecuritystandards.org/documents/PCI_PIN_
Security_Requirements.pdf.
113
US National Institute of Standards and Technology (NIST ) je propisao Cyber-

security Framework koji sadrži 5 sigurnosnih upravljačkih kontrola i 25 sigurnosnih
kontrolnih ciljeva:
1. Određivanje (utvrđivanje) resursa (sigurnosni kontrolni ciljevi su: upravljan-
je imovinom, poslovno okruženje, metode korporativnog upravljanja, procjena
rizika i proces upravljanja rizikom).
2. Zaštita resursa (kontrole pristupa, podizanje svijesti korisnika o cyber sigur-
nosti i trening osoblja, sigurnost podataka, procesi i procedure zaštite informa-
cija, održavanje, tehnologija koja se koristi u zaštitnim mjerama).
3. Otkrivanje prijetnji i neželjenih aktivnosti (anomalije i neželjeni događaji,
procedure stalnoga nadzora sigurnosti, procesi otkrivanja problema).
4. Odgovori na prijetnje i neželjene aktivnosti (planiranje odgovora, komuni-
ciranje, analiza, zaštitne mjere, unaprjeđenja) i
5. Oporavak (planiranje oporavka, unaprjeđenja i komuniciranje).
Cyber sigurnosne upravljačke kontrole (cybersecurity controls – CSC) pre-

ma SANS metodologiji su:
CSC 1: Popis sigurnosno autoriziranih i neautoriziranih uređaja – registar svih infor-
matičkih uređaja (engl. Inventory of Authorized and Unauthorized Devices)
CSC 2: Popis sigurnosno autoriziranoga i neautoriziranoga softvera – registar soft-
vera (engl. Inventory of Authorized and Unauthorized Software)
CSC 3: Sigurne konfiguracije hardvera i softvera na mobilnim uređajima, prijenos-
nim računalima, radnim stanicama i poslužiteljima (engl. Secure Configurations for
Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers)
CSC 4: Stalna procjena ranjivosti (engl. Continuous Vulnerability Assessment and Re-
mediation)
CSC 5: Kontrolirana i iznimna upotreba administratorskih ovlasti (engl. Controlled
Use of Administrative Privileges)
CSC 6: Održavanje, nadzor i stalna analiza zapisa rada sustava (engl. Maintenance,
Monitoring, and Analysis of Audit Logs)
CSC 7: Zaštita web preglednika i e-pošte (engl. Email and Web Browser Protections)
CSC 8: Zaštita od zlonamjernoga računalnog koda (engl. Malware Defenses)
CSC 9: Ograničena upotreba i kontrola mrežnih portova, protokola i usluga (engl.
Limitation and Control of Network Ports, Protocols, and Services)
114
CSC 10: Sposobnost povrata podataka – čitljivost pohranjenih podataka (engl. Data
Recovery Capability)
CSC 11: Sigurne konfiguracije mrežnih uređaja poput obrambenih zidova, usmjer-
nika i sličnih (engl. Secure Configurations for Network Devices such as Firewalls, Rou-
ters, and Switches)
CSC 12: Zaštita vanjskih dijelova mreže (engl. Boundary Defense)
CSC 13: Zaštita podataka (engl. Data Protection)
CSC 14: Kontrolirani pristup sustavu uz najmanje potrebne ovlasti (engl. Controlled
Access Based on the Need to Know)
CSC 15: Kontrole bežičnog pristupa (engl. Wireless Access Control)
CSC 16: Nadzor i kontrola korisničkih računa (engl. Account Monitoring and Control)
CSC 17: Procjena sigurnosnih vještina osoblja i program edukacije (engl. Security
Skills Assessment and Appropriate Training to Fill Gaps)
CSC 18: Sigurnost aplikativnog softvera (engl. Application Software Security)
CSC 19: Upravljanje sigurnosnim incidentima (engl. Incident Response and Management)
CSC 20: Penetracijski testovi i uvježbavanje izvanrednih situacija (engl. Penetration
Tests and Red Team Exercises).
4.3. Operativne i aplikacijske informatičke kontrole47

Sukladno načelima organizacijske i upravljačke hijerarhije, na operativnoj će se ra-
zini upravljanja donositi odluke i provoditi ostale upravljačke aktivnosti koje izravno
proizlaze iz odluka i upravljačkih aktivnosti poduzetih na višim razinama – korpora-
tivnoj i izvršnoj upravljačkoj. Budući da je kontrola bitna sastavnica upravljanja, taj
princip vrijedi i za kontrole. Dakle, kontrole na operativnoj razini upravljanja
detaljiziraju i operacionaliziraju kontrole potrebne i poduzimane na izvrš-
noj upravljačkoj razini.
Osnovni cilj operativnih i aplikativnih kontrola jest omogućiti neometano odvijanje
poslovnih transakcija, informatičke opreme, resursa, objekata i usluga. Ove se vr-
ste kontrola provode u djelo kako bi se otkrile i spriječile neautorizirane transakcije
i osigurala njihova potpunost, točnost i ispravnost odnosno kako bi informatička
oprema mogla neometano i ispravno opsluživati njihov rad. Tipični primjeri ovih
vrsta kontrola su autorizacija, provjera identiteta, dodjela korisnicima ovlasti rada
47
Ibid.
115
nad resursima sustava, podjela posla, kontrole obrade podataka, ulazne i izlazne
kontrole, kontrole u prijenosu sadržaja itd.
Iz navoda u prethodnome poglavlju može se vidjeti da je izvršnih upravljačkih
kontrola popriličan broj pa će ih onda, prirodno, na operativnoj razini biti još i –
geometrijskom progresijom – mnogo više. Osim toga, kontrole što se poduzimaju
na operativnoj razini usko su povezane i ovisne o svim specifičnim izvedbama,
rješenjima i procesima što se ostvaruju u svakom konkretnom informacijskome
sustavu, tako da će one u velikoj mjeri po svojoj naravi, brojnosti i načinu provedbe
varirati od sustava do sustava. Drugim riječima, neke operativne kontrole provodit
će se u svim, a neke samo u nekim informacijskim sustavima.
Iz navedenih razloga na ovome mjestu nećemo se upuštati u obrazlaganje svih
mogućih i potrebnih operativnih kontrola u svim izvedbama informacijskih susta-
va jer to, ustvari, i nije moguće. Umjesto toga, navest ćemo samo ključne skupine
operativnih kontrola nužnih u svim informacijskim sustavima, neovisno o njihovim
posebnostima. Te se skupine kontrola vezuju uz osnovne komponente svakoga
informacijskog sustava i sintetizirano su prikazane u tablici 4.4.
Tablica 4.4. Skupine kontrola na operativnoj razini upravljanja informacijskim su-

stavima
Komponenta
informacijskoga Operativne kontrole
sustava
· postupaka nabave, ispitivanja (testiranja), instalacije i puštanja u rad novih
strojeva, uređaja i opreme
· ispravnosti, djelotvornosti i učinkovitosti rada središnjih računala
(poslužiteljskih i drugih)
· ispravnosti, djelotvornosti i učinkovitosti rada središnjih uređaja za
pohranu podataka
· ispravnosti, djelotvornosti i učinkovitosti rada korisničkih uređaja i
opreme (stacionarnih i mobilnih terminala i ostale periferne opreme
Strojevi, uređaji i poput pisača, skenera, perifernih uređaja za pohranu podataka itd.)
oprema · ispravnosti rada ostale opreme za obradu informacija (rezači papira,
video oprema, uređaji za umnožavanje i reprodukciju itd.)
· fizičke zaštite strojeva, uređaja i opreme i prostora u kojima su instalirani
· poduzimanih mjera osiguranja strojeva, uređaja i opreme instalirane
izvan radnih prostora tvrtke
· aktivnosti vezanih uz ostvarenje plana održavanja strojeva, uređaja i opreme
· korištenja uređaja za dijagnostiku i konfiguriranje sustava
· rada opreme bez nadzora korisnika
· postupaka izolacije osjetljivih sustava
116
Komponenta
sustava
· postupaka nabave, ispitivanja (testiranja) i instalacije sistemskih programa
(operacijskih sustava, uslužnih i ostalih sistemskih programa (softvera)
· poštivanja odredbi licenčnih ugovora o korištenju licenciranih programa
(softvera) svih vrsta
· postupaka nabave, ispitivanja aplikacijskoga softvera (testiranja) i
instalacije aplikacijskoga softvera (programa)
Programi (softver) · postupaka razvoja aplikacijskih programa (softvera) u vlastitoj režiji
· postupaka otkrivanja možebitnih pogrešaka u razvijenim aplikacijskim
programima te njihove evidencije, analize i ispravljanja
· izdavanja dozvola za korištenje aplikacijskih programa
· pridržavanja ovlaštenja korisnika za korištenje aplikacijskih programa
· provedbe mjera zaštite od neovlaštenoga kopiranja, umnožavanja i
distribucije licenciranoga softvera
· poduzimanih mjera zaštite integriteta (cjelovitosti) podataka odnosno
informacija
· poduzimanih mjera zaštite tajnosti određenih poslovnih podataka
odnosno informacija, sukladno odredbama sigurnosne informacijske
politike
· poduzimanih mjera privatnosti podataka odnosno informacija o osobama
Podaci/ · poduzimanih mjera zaštite podataka odnosno informacija od gubitka,
informacije krađe, oštećenja ili uništenja
· provedbe postupaka klasifikacije informacija
· poduzimanih postupaka dodjele ovlaštenja za pristup pojedinim klasama
informacija
· postupaka stvaranja sigurnosnih/pričuvnih kopija podataka odnosno
informacija
· poduzimanih mjera nadzora nad okruženjem baze podataka
· poduzimanih mjera utvrđivanja i praćenja kvalitete komunikacijskih
usluga koje pruža treća strana
· uporabe informatičkih resursa i iskorištenja njihova kapaciteta
· sredstava i mjera poduzimanih radi otkrivanja, sprječavanja i oporavka od
djelovanja zloćudnoga koda te procedura upozoravanja korisnika
· pridržavanja i provedbe procedura upravljanja komunikacijskim mrežama
Komunikacije
· pridržavanja i provedbe procedura upravljanja prenosivim i uklonjivim
medijima za pohranu podataka
· pridržavanja i provedbe procedura brisanja odbacivanja i uništavanja
nepotrebnih medija za pohranu podataka odnosno informacija
· primjene postupaka zaštite sistemske dokumentacije od neovlaštenoga
pristupa
117
Komponenta
sustava
· pridržavanja i provedbe procedura zaštite fizičkih medija za pohranu
podataka tijekom njihova prijevoza izvan granica tvrtke
· primijenjenih sredstava i postupaka zaštite informacija sadržanih u
elektroničkim porukama
· primjene i provedbe procedura zaštite informacija u svim on-line
transakcijama od sprječavanja nekompletnoga prijenosa, pogrešnoga
usmjeravanja, neovlaštenoga otkrivanja i promjene te neovlaštenoga
umnožavanja i reprodukcije
Komunikacije · primjene i provedbe postupaka zaštite cjelovitosti informacija dostupnih
putem javnih sustava radi sprječavanja njihove neovlaštene promjene
· primjene i provedbe postupaka vođenja i čuvanja revizijskih zapisa
korisničkih aktivnosti, izuzetaka i sigurnosnih događaja radi možebitne
buduće istrage
· primjene i provedbe procedura zaštite opreme, revizijskih zapisa i
informacija od neovlaštenoga pristupa
· primjene i provedbe procedura bilježenja i analize zastoja i akcija
poduzetih radi ponovnoga pokretanja sustava odnosno aplikacija
· primjene postupaka pridjeljivanja ovlaštenja za korištenje informatičkih
resursa tvrtke
· aktivnosti korisnika koji nalažu ili bi mogli nalagati pokretanje postupka
utvrđivanja njihove disciplinske (stegovne) odgovornosti
· osposobljenosti korisnika za uporabu informatičkih resursa
· provedbe tečajeva osposobljavanja i uvježbavanja novih zaposlenika za
uporabu informatičke opreme i softvera tvrtke
· provedbe tečajeva osposobljavanja i uvježbavanja svih tangiranih
zaposlenika za uporabu novonabavljene informatičke opreme i softvera
Ljudski potencijali · pridržavanja/nepridržavanja odgovornosti korisnika prilikom prekida ili
promjene zaposlenja
· količine, vrste i funkcionalnosti imovine organizacije koju korisnici
vraćaju nakon prekida radnog odnosa te ugovora o suradnji s vanjskim
suradnicima i trećim stranama
· provedbe postupaka ukidanja prava pristupa zaposlenika, ugovornih
suradnika i korisnika treće strane nakon prekida radnog odnosa odnosno
ugovora o suradnji
· kvalitete usluga pružanih korisnicima
· aktivnosti jedinice korisničke podrške
118
Komponenta
sustava
· pridržavanja organizacijskih jedinica i pojedinaca njihovih prava i obveza
glede korištenja informatičkih resursa tvrtke
· poduzimanih mjera čiji je cilj osiguranje funkcionalne usklađenosti
(koordinacije) aktivnosti na području informacijske sigurnosti u različitim
dijelovima organizacije
· primjene i provedbe procesa ovlaštenja za rukovanje novom opremom
za obradu podataka
· pridržavanja i provedbe odradbi sporazuma o povjerljivosti ili tajnosti koji
sadržavaju organizacijske potrebe za zaštitom informacija
· pridržavanja sigurnosnih zahtjeva koji se odnose na vanjske suradnike
· provedbe sporazuma s trećim stranama o pristupu, obradi, prijenosu
ili upravljanju informacijama tvrtke ili opremi za obradu informacija,
Organizacija
dodavanju proizvoda opremi ili pružanju usluga
· provedbe mjera osiguravanja usklađenosti (sukladnosti) svih aktivnosti
informacijskoga sustava s pozitivnom zakonskom regulativom
· provedbe procedura i mjera zaštite intelektualnoga vlasništva, u
suglasnosti s pozitivnom zakonskom regulativom
· provedbe postupaka zaštite važnih organizacijskih zapisa od gubitka,
uništenja i krivotvorenja u skladu s pozitivnom zakonskom regulativom i
unutarnjim organizacijskim propisima
· provedbe mjera osiguranja sukladnosti informacijskih sustava s općim
sigurnosnim standardima
· provedbe postupaka zaštite alata za reviziju informacijskih sustava radi
sprječavanja zloporabe ili ugrožavanja
Kao što je u uvodu ovoga odjeljka spomenuto, popis kontrola navedenih u tablici
4.4. nije ni izdaleka potpun i konačan, iz razloga koji su također prethodno obrazlo-
ženi. Zato taj popis treba smatrati tek kao prikaz inicijalnoga odnosno minimalnoga
skupa kontrola koje bi svaka tvrtka trebala implementirati i provoditi na operativ-
noj razini upravljanja njenim informacijskim sustavom.
Osim toga, informatičke kontrole mogu se razvrstati i prema specifičnim područjima
koje ‘pokrivaju’ (sigurnosne kontrole, informacijske (podatkovne) kontrole,
kontrole kontinuiteta poslovanja itd.).
Također, informatičke kontrole možemo razvrstati i prema okvirima ili normama koje
se koriste pri procjeni njihove učinkovitosti i efikasnosti. Tu se već radi o specifičnim
pogledima na kontrolne mehanizme informacijskih sustava, a okviri i norme koje se
u svjetskim razmjerima najčešće pri tome koriste su CobiT, ITIL i ISO 27000 norme.
119
Menadžment kompanije u suradnji s menadžmentom informacijskoga sustava

izravno je odgovoran za oblikovanje, provedbu i ocjenu efikasnosti sustava unu-
tarnjih (internih) kontrola informacijskoga sustava. U svjetskim razmjerima već su
prisutne koordinirane inicijative koje vode prema standardizaciji okvira unutarnjih
(internih) kontrola, pri čemu je razvidno da učinkovita kontrola poslovanja nikako
nije moguća bez učinkovitoga sustava internih kontrola informacijskoga sustava
Kontrolna pitanja:
1. Objasnite pojam informatičkih kontrola i navedite i objasnite nekoliko primjera.
2. Objasnite povezanost pojmova informatičke kontrole, informatički rizici, sigurnost i
revizija informacijskih sustava.
3. Zašto informatičke kontrole smatramo sustavom međusobno povezanih kompo-
nenti? Objasnite na par primjera.
4. Što je osnovna svrha informatičkih kontrola?
5. Objasnite pojam i navedite nekoliko primjera automatskih kontrola.
6. Objasnite pojmove i navedite nekoliko primjera preventivnih, detektivnih i korektiv-
nih kontrola.
7. Objasnite pojmove i navedite nekoliko primjera korporativnih, upravljački – proces-
nih i operativnih – aplikacijskih kontrola.
8. Što je sigurnosna informacijska politika i čemu služi?
9. Objasnite pojam i navedite nekoliko primjera korporativnih kontrola.
10. Objasnite pojam i navedite nekoliko primjera kontrola softvera.
11. Objasnite pojam i navedite nekoliko primjera općih informatičkih kontrola.
12. Objasnite pojam i navedite nekoliko primjera upravljačkih informatičkih kontrola.
13. Zašto je važno implementirati kontrole izgradnje i održavanja informacijskoga su-
stava?
14. Objasnite pojam i navedite nekoliko primjera kontrola podataka.
15. Što su to sigurnosne upravljačke kontrole? Navedite nekoliko okvira koji se pri tome
koriste.
16. Objasnite CobiT, ISO 27000, PCI DSS, NIST i SANS okvir sigurnosnih upravljačkih
kontrola.
17. Što su sličnosti, a što razlike među tim okvirima?
120
Dodatni materijali za učenje:

Proučite dodatne materijale koji se odnose na sigurnosne upravljačke kontrole:
Brojni CobiT materijali, članci, istraživanja i metodologije su dostupni na www.isa-
ca.org/cobit.
Brojne PCI DSS publikacije, istraživanja i popis kontrola je dostupan na https://
www.pcisecuritystandards.org/.
US National Institute of Standards and Technology (NIST ) Cybersecurity Framework
uz popis kontrolnih ciljeva dostupan je na http://www.nist.gov/cyberframework/.
Dodatni materijali i opis metodologije SANS Institute Critical Controls su dostupne
na http://www.sans.org/critical-security-controls.
121
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
5. Najvažnije kontrole (zaštitne mjere) u

informacijskoj sigurnosti
1. steći osnovno razumijevanje najčešćih vrsta i tehnika cyber napada, moći pre-
poznati napade usmjerene na krađu identiteta, napade usmjerene krađi podata-
ka i izmjeni sadržaja i ostale vrste napada i znati primijeniti osnovne mjere zaštite
2. steći osnovno i napredno razumijevanje najvažnijih informatičkih kontrola ko-
jima se sprječavaju neželjeni događaji (kontrole pristupa, kontrole zaštite sa-
držaja u računalnim mrežama, kontrole prijenosa sadržaja mrežom, zaštita od
zlonamjernoga koda, kontrole kontinuiteta poslovanja)
3. razumjeti način funkcioniranja računalnih mreža i prijenosa sadržaja u njima
4. znati odabrati optimalne informatičke kontrole, biti u mogućnosti na primjeri-
ma iz prakse objasniti njihovu uporabu
5. razviti analitičko i kritičko razmišljanje vezano za stalnu primjenu informatičkih
kontrola.
U ovome poglavlju detaljnije će se prikazati najvažnije zaštitne kontrolne mjere

kojima se pojedinci i kompanije štite od napada i prijetnji. Prisjetimo se da su se
najčešće vrste i tehnike cyber napada na kompanije u 2014. godini mahom odno-
sile na prijetnje izvana, konkretnije na:
• phishing (68,32 %)
• malware (66,48 %)
• pokušaji hakiranja (50,14 %)
• društveni inženjering (46,45 %)
• gubitak mobilnih uređaja (43,89 %)
• napadi od strane zaposlenika (25,28 %)
• SQL injection napadi (21,88 %)
• ‘man-in-the-middle’ napadi (11,08 %).
123
Najčešće se radi o napadima koji su usmjereni na krađu identiteta korisni-

ka (phishing , skimming, društveni inženjering , keystroke loggers, lažno predstav-
ljanje i slično) i napadima osmišljenima s ciljem krađe podataka i izmjene
sadržaja (prisluškivanje, nasilni i neovlašteni upadi u računalne mreže, presreta-
nje poruka i izmjena sadržaja, zlonamjerni računalni kod). Ovi i brojni ostali napadi
usmjereni su krađi identiteta korisnika i prodaji tako prikupljenih podataka na cr-
nome tržištu. Vrijednost ukradenih podataka na crnome tržištu iznosi od 0,40 - 20
USD za brojeve kartica i 10 - 100 USD za brojeve računa.48
Promotrimo detaljnije kako se ti napadi provode i koje kontrolne (zaštitne mjere)
su na raspolaganju za njihovo sprječavanje.
Zlonamjerni računalni programi (engl. malware) su računalni virusi i osta-
li programi napisani i distribuirani s namjerom izazivanja štete nad računalnim i
ostalim resursima. Najčešći primjeri zlonamjernih računalnih programa su:
• makro-virusi – zlonamjerni programi kreirani pomoću makro jezika (VBA ili
slični) s ciljem provedbe specifičnih zloporaba u datotekama često korištenih
uredskih softverskih paketa (primjerice, promjene Word, Excel i sličnih dato-
teka), slanja nedopuštenih e-poruka i slično
• trojanski konji – destruktivni program koji prikriva svoju pravu aktivnost pred-
stavljajući se kao normalni program, a širi se u privitcima poruka elektroničke
pošte ili unutar nekoga drugog programa
• logičke bombe – zlonamjerni programi slične ‘naravi’ kao trojanski konji koji se
aktiviraju ispunjenjem nekoga uvjeta (provedba neke poslovne transakcije, ispu-
njenje nekoga vremenskog ili bilo kojega drugog, lako programabilnoga, uvjeta)
• crvi – zlonamjerni programi sastavljeni od samokopirajućega koda koji omo-
gućava razmnožavanje i širenje crva i tereta i koji skenira mrežu tražeći raču-
nalo s odgovarajućim propustom na kojega se može kopirati i replicirati. Ovi
virusi su sposobni vrlo brzo usporiti ili srušiti računalnu mrežu ili onemogućiti
i usporiti mrežne usluge
• rogue adware – zlonamjerni oglašavački program
• ransomware – računalna ucjena kojom se nakon neovlaštenoga upada u
računalo, najčešće djelovanjem računalnoga virusa kojega je pokrenuo ne-
oprezni korisnik, kriptiraju podaci koji su u njemu pohranjeni, a koji su nužni
za nastavak rada ili poslovanja, pri čemu računalni kriminalci traže odštetu
(najčešće u bitcoinima) za njihovo dekriptiranje
48
Detalji o svim ovim metodama mogu se pronaći na sljedećim mrežnim stranicama: http://www.
sigurnostnainternetu.hr ili http://www.bankinfosecurity.com/articles.php?art_id=1732.
124
• ‘off-the-shelf’ malware – stvaranje računalnih virusa, trojanaca i crva ‘po na-

rudžbi’ u smislu počinjenja specifičnih i ciljanih napada (primjerice, ‘pražnje-
nje’ bankomata, virusi koji napadaju financijske institucije, iznajmljivanje bot-
net računala za počinjenje napada na računalne mreže (DDoS napadi).
Botnets se odnose na mrežu tisuća ili milijuna računala (uređaja) pod kontrolom
napadača koja se, mimo znanja korisnika, koriste kao sredstvo zloporabe i meto-
da napada na ciljane i pomno odabrane računalne resurse (slanje neželjenih po-
ruka elektroničke pošte - spam poruka, online oglašavačke zloporabe, pokretanje
i izvođenje DoS napada, podržavanje phishing napada, anonimiziranje mrežnoga
prometa napadača itd.).
Najteži primjeri uporabe botnet ureađaja su bili Reactor Mailer botnet koji je 2009.
godine zarazio i imao pod kontrolom 220.000 računala koja su slala 180 milijardi
neželjenih (spam) poruka dnevno. Ovaj virus i botnet je 2009. godine bio odgovo-
ran za 60 % neželjenih poruka u svijetu. Zeus botnet je bio keylogger softver koji je
krao pristupne podatke s 3,6 milijuna računala.
Phishing je vrsta računalne prijevare s ciljem krađe identiteta. Phishing se odnosi
na aktivnosti kojima prevaranti i računalni kriminalci slanjem lažnih elektroničkih
poruka, koje izgledaju kao da su ih poslale izvorne institucije, dobiju pristup povjer-
ljivim korisničkim podacima (primjerice, pristupnih podataka, brojeva i autorizacij-
skih šifri kreditnih kartica i bankovnih računa). Prevarantske poruke izgledaju vrlo
slično porukama legitimnih organizacija (banaka, popularnih kompanija, društvenih
mreža), imitiraju njihove usluge dovodeći korisnika u zabludu i traže od korisnika
unos povjerljivih podataka. Često se događa da prevarantske poruke dolaze i od
kompanija s kojima je korisnik već imao doticaja i uspješno surađivao. Sve te lažne
poruke prilično vjerno pokušavaju ‘glumiti’ ‘pravu’ kompaniju, oponašajući elemen-
te izgleda ili načina funkcioniranja (vrlo slične web stranice, poruke e-pošte s potpi-
sima i uvjerljivim tekstom i slično). Osnovni cilj phishing napada je dovesti korisnika
u zabludu i navesti ga da putem internetske mreže pošalje svoje povjerljive podatke
(broj računa i pristupnu šifru, broj kreditne kartice i autorizacijsku šifru i slično). To
se najčešće radi putem raznih skočnih prozora (pop-up) ili internetskih stranica na
koje upućuju poveznice iz poruka e-pošte, kojima se korisnički podaci prosljeđuju
nekome prevarantu ili računalnome kriminalcu, a ne instituciji s kojom korisnik misli
da komunicira (banka, osiguravajuća kompanija, internetska trgovina).
Privitci iz lažnih poruka e-pošte mogu sadržavati zlonamjerni računalni program
(malware ili ransomware) kojime se šifriraju korisnikovi podaci i traži otkupnina
kako bi ih korisnik opet mogao koristiti.
Vishing je dosta sličan phishingu, ali se odnosi na lažne telefonske pozive u kojima
se prevaranti predstavljaju kao zaposlenici banke, internetske trgovine ili neke dru-
125
ge organizacije s kojima korisnik čak može surađivati ili imati ugovorni odnos i čiji je
prevareni korisnik i pokušavaju doći do povjerljivih podataka (broj računa i slično)
ili navesti korisnika na prijenos novca.
Skimming predstavlja umetanje nezakonite opreme u utore bankomata koja čita
i pohranjuje magnetski zapis kartice. Ti dijelovi mogu očitati podatke s korisničke
kartice (broj računa), a u kombinaciji s nezakonito postavljenom kamerom ili pri-
mjenom neke druge metode (društveni inženjering , gledanje preko ramena) pre-
varant i kriminalac može doći do pristupnih podataka (PIN, osobni identifikacijski
broj), čime mu je omogućen pristup sredstvima s računa.
Banke koje postavljaju bankomate trude se razvijati sve naprednije uređaje na koje
je sve teže provoditi ovu tehniku ili detekcijskim mjerama otkrivati zloporabe.
Društveni inženjering (engl. social engineering) se odnosi na navođenje ili mani-
puliranje osobama kako bi otkrili što je moguće više podataka o sebi. Tako priku-
pljeni podaci (ime djece, osobne preferencije i slično) se koriste u svrhu krađe on-li-
ne identiteta tih osoba i počinjenje različitih zloporaba (kupnja proizvoda i usluga,
lažni statusi na društvenim mrežama, lažno predstavljanje i slično).
Keylogers predstavljaju uređaje kojima se bilježi svaki udarac na tipkovnici. Ne-
vidljivi su za korisnika, prate i bilježe sve što korisnici upisuju preko tipkovnice, a
napredni algoritmi izdvajaju i objedinjuju tako prikupljene podatke i šalju ih krimi-
nalcima. Ti su uređaji, često u kombinaciji s zloćudnim programima, sposobni brzo
prenositi ‘uočeno’, čime prevaranti i kriminalci mogu krasti lozinke, brojeve kartica i
računa i dolaziti do ostalih povjerljivih podataka čime, nažalost, predstavljaju jedan
od najzastupljenijih načina ugrožavanja privatnosti.
Sigurno je svatko od nas barem jednom primio poruku e-pošte iz Nigerije o ‘vrlo
jednostavnom’ i ‘rutinskom’ poslu vezanom za transfer velike količine novca. ‘Je-
dino’ što je potrebno napraviti je poslati broj računa i pristupne šifre kako bi se
provela financijska transakcija. Naravno, radi se o lažnoj poruci usmjerenoj krađi
povjerljivih podataka i ‘čišćenju’ sredstava s računa. Ponekada se zna dogoditi da u
sličnim porukama prevaranti traže da naivni korisnik unaprijed plati određeni iznos
novca koji će se, tobože, refundirati po dovršetku transakcije. Opet se, naravno,
radi o lažnoj poruci s ciljem počinjenja zloporabe i krađe financijskih sredstava.
Ove se metode napada zovu i 419 Nigerian scam, jer 419. članak nigerijskoga zako-
na o cyber kriminalu upravo opisuje ovakve situacije.
126
Ako primite ovaj mail, budite na oprezu: riječ je o drskoj prijevari!

Slobodna Dalmacija 14. 8. 2016. http://www.slobodnadalmacija.hr/novosti/
crna-kronika/clanak/id/323161/ako-primite-ovaj-mail-budite-na-oprezu-ri-
jec-je-o-drskoj-prijevari
Nigerija je jedna od najsiromašnijih i najnerazvijenih zemalja svijeta. No, u jed-
nom su prvi u svijetu. Naime, ta je zemlja središte internetskih prijevara poput
slanja lažnih lutrijskih dobitaka, lažnih potvrda o nasljedstvu i sličnog.
Nedavno je u toj zemlji uhićen čovjek po imenu Mike, koji je s desetak suučes-
nika u Nigeriji, Maleziji i Južnoafričkoj Republici stvorio prevarantsku mrežu na
internetu. Njihove su žrtve prije svega mala i srednja poduzeća u Europi, SAD-u,
Australiji, Kanadi, Indiji i Tajlandu. To su tvrtke kojima je potreban internet za
globalne poslove kojima se bave.
Mike i njegovi ljudi hakirali su elektroničke adrese i s njih slali račune koji su
izgledali kao pravi, pri čemu su dolazili i do brojeva bankovnih računa. Razvili
su inteligentne računalne viruse, blokirali računala i praznili tekuće račune - u
jednome slučaju čak 14 milijuna dolara odjednom. Banda je tako uspjela ukrasti
ukupno 54 milijuna eura.
Pomagači u SAD-u, Kini i Europi zaduženi su za pranje novca. Sve se to sada
polako otkriva. Omar Mainasara, jedan od vodećih odvjetnika u Nigeriji, kaže
da je “cyber-kriminal dosegnuo alarmantne razmjere”. “Ovi zločini prelaze našu
sposobnost poimanja. Ovdje se vara nekažnjeno. Upravo je nevjerojatno što se
događa u Nigeriji.”
Mike je umiješan u cijeli niz kriminalnih aktivnosti po kojima je Nigerija postala
poznata, prije svega u prijevare s portalima za nalaženje partnera ili u prijevare
s traženjem predujma koji će tobože onom tko plati omogućiti stjecanje velike
svote novca. Ova potonja se u nigerijskome pravosuđu zove “prijevara 419”, po
članku tamošnjega kaznenog zakona. Da bi netko došao do navodne milijunske
svote na ime nasljedstva, potrebno je doznačiti svotu od oko 100 - 200 dolara
za “uklanjanje posljednjih pravnih prepreka” i “sređivanje odgovarajućih formal-
nosti”.
Koliko god to izgledalo nevjerojatno, uvijek se nađu ljudi koji nasjedaju na takve
poruke, upozorava Deutche Welle. Opravdano se nagađa da je Mike imao i svoje
žrtve u Hrvatskoj. Naime, naša je policija u više navrata upozoravala građane da
ne nasjedaju na takve mailove u kojima se nudi laki dobitak ili lutrijska nagrada,
iako nikada prije niste uplatili listić. No, i dio naših lakovjernih sugrađana nasjeo
je na Mikeovu ili prijevaru nekog njegova sunarodnjaka.
127
“Nisam iznenađen time”, kaže Mainasara, “internetski kriminal ne zaustavlja se

na državnoj granici”. On dodaje kako je žalosno što Nigerija još uvijek nema me-
hanizme koji mogu spriječiti te ilegalne aktivnosti. Doduše, ti mehanizmi postoje
- predsjednik Muhamadu Buhari posvetio je posebnu pozornost borbi protiv
ove vrste kriminala, u izradi je i novi zakon koji bi policiji trebao olakšati nadzor
komunikacije na internetu, a dokumenti s interneta na sudovima će biti prizna-
vani kao dokazi.
Vlada strahuje da je slučaj Mikea samo vrh ledenoga brijega. Već dugo opada
broj stranih ulagača koji žele investirati u Nigeriji - uz ostalo i zbog internetskoga
kriminala. Doduše, Nigerija, koja je ujedno opsegom najveće afričko gospodar-
stvo, profitira od buma digitalne infrastrukture, ali taj bum donio je i prevarante.
Prema službenim podacima vlade, Nigerija svake godine gubi oko 390 milijuna
eura zbog prijevara na internetu, navodi DW. To je gotovo jedan posto bruto
društvenoga proizvoda.
Main-in-the-middle napad nastaje kada se napadač koji se nalazi na kanalu iz-

među tražitelja resursa i resursa iskorištava ranjivosti mreže i zaobilazi komunika-
cijske protokole, čime mu je omogućeno nadgledati sadržaj, pohranjivati datoteke
i mijenjati sadržaj komunikacije. U ovome se napadu između legitimnoga posluži-
telja i korisničkoga uređaja (klijenta) neprimjetno postavlja odgovarajući zlonamjer-
ni računalni program koji zaobilazi zaštitne kontrolne mjere, presreće pristupne i
ostale povjerljive podatke i šalje ih poslužitelju. ‘Ništa ne sumnjajući’, poslužitelj ih
prihvaća, uvjeren da razmjenjuje sadržaj s legitimnim korisničkim uređajem (klijen-
tom). Ubačeni (man-in-the-middle) softver prati i pohranjuje prikupljene podatke,
mijenja ih ili na bilo koji drugi način ugrožava sigurnost komunikacije.
Srž napada lažnim predstavljanjem (engl. spoofing) je pokušaj lažnoga predstav-
ljanja računalnoj mreži, najčešće ‘podmetanjem’ lažnoga programa za prijavu ili
lažne internetske adrese kako bi se korisnika dovelo u zabludu da povjerljive pri-
stupne podatke dostavi napadačima.
Backdoor napad se odnosi na zlonamjerne napade neovlaštenoga pristupa mre-
ži ubacivanjem programa ili rutine koja stvara ulaz za daljnje napade. Time se na-
padom ‘podmeće’ program koji onemogućuje ili zaobilazi zaštitne kontrolne mjere
pristupa mreži i napadaču omogućuje neovlašteni pristup mreži. Ova vrsta napa-
da se koristi kao pristupni napad kojime se daljinskim putem ostvaruje kontrola
nad mrežom, instaliraju daljnji zlonamjerni softveri i kradu ili mijenjaju podaci (slika
5.1.).
128
Slika 5.1. Grafički prikaz ‘man-in-the-middle’ napada
Prisluškivači mreže (engl. sniffers) su aplikacije ili dio hardvera koji iskorištava-
ju sigurnosne propuste u računalnoj mreži i omogućuju nadgledanje, kopiranje i
promjenu sadržaja koji se prenosi. Ti uređaji ili softveri imaju različite nazive, pac-
ket analyzer, network analyzer, protocol analyzer, wireless sniffer itd., a napadaču
omogućuju praćenje mrežnoga prometa, prikupljanje informacija o radu mrežnih
servisa, promjenu sadržaja komunikacije i slične zloporabe. Napadi pogađanjem
lozinki se odnose na uzastopno slanje velikog broja mogućih lozinki u svrhu ne-
ovlaštenoga pristupa mreži i mrežnim uslugama. Napadi grubom silom (engl.
brute force attack) nasumice isprobavaju različite lozinke, sve dok ne pronađu pra-
vu, a napad pomoću rječnika (engl. dictionary attack) za neovlašteni ulaz koristi
algoritam rječnika često korištenih izraza.
Napadi usmjereni na onemogućavanje rada su napadi uskraćivanjem usluge
(engl. Denial of Service - DoS ) se odnosi na nedopuštene aktivnosti sprječavanja ili
onemogućavanja ovlaštene uporabe računalne mreže, sustava ili programa iskori-
štavanjem njihovih resursa (procesor, memorija, propusnost mreže, prostor za smje-
štaj podataka) i raspodijeljeni napad uskraćivanjem usluge (engl. Distributed De-
nial of Service - DDoS ) kojime se koordinirano, upotrebom više računala, ponekada i
botneta, napadaju određeni resursi sustava s ciljem onemogućavanja njihova rada.
5.1. Kontrole pristupa informacijama i

informacijskim sustavima
Kontrole pristupa spadaju među najvažnije zaštitne mehanizme jer ograničavaju i
kontroliraju pristup svim resursima informacijskoga sustava (podaci, aplikacije, po-
slovni procesi, oprema i infrastruktura), sprječavajući njihovu neovlaštenu uporabu.
129
Informatičke kontrole koje sprječavaju neovlašteni pristup informacijskome su-

stavu su:
• metode identifikacije
• metode provjere ovlaštenja
• metode zaštite u prijenosu
• kriptografske metode zaštite.
Identifikacija se odnosi na postupak prijave korisnika na informacijski sustav ko-
rištenjem fizičkih, logičkih ili biometrijskih identifikacijskih oznaka i provjere njihove
vjerodostojnosti. Tim se postupkom korisnici predstavljaju (identificiraju) infor-
macijskome sustavu unošenjem određenih identifikacijskih oznaka, a informacijski
sustav provjerava radi li se zaista o onoj osobi koja se predstavlja računalu (infor-
macijskome sustavu).
Cilj metoda identifikacije jest spriječiti neovlašteni pristup nekome dijelu in-
formacijskoga sustava. Svaki se korisnik prije nego što obavi neku transakciju ili
ubilježi neki poslovni događaj mora fizički ili logički identificirati.
Identifikacija se može ostvariti na dva načina:
• fizičkom identifikacijom korisnika (posjeduje li korisnik neki predmet i
ima li neku biološku osobinu) i
• logičkom identifikacijom korisnika (zna li korisnik neki pojam).
Fizička identifikacija pretpostavlja da korisnik:
• posjeduje neki predmet (npr., identifikacijsku karticu s kodiranim podacima
potrebnima za provjeru identiteta, neki oblik materijalnoga ključa za aktivira-
nje određenoga uređaja itd.) ili
• ima neku biološku osobinu (primjerice, otisak prsta, glas, sliku očne šareni-
ce, DNK značajku) što ga jednoznačno razlikuje od svih ostalih potencijalnih
korisnika.
U svrhu fizičke identifikacije korisnika primjenjuju se razni uređaji ili predmeti
(osobna karta, pametna kartica, token i slično), ali sve se češće i biometrijske me-
tode i uređaji (uređaj za skeniranje otiska prsta ili rožnice oka). Fizička identifi -
kacija obavlja pomoću nekoga predmeta (ključa, identifikacijske kartice i slično),
iako se u novije doba sve više razvijaju biometrijske tehnike (otisak prsta, boja
glasa, rožnica oka, digitalni potpis) koje su vrlo pouzdane. Također, upravo zbog
velike pouzdanosti navedenih tehnika, očekuje se da ćemo pomoću njih u skoroj
budućnosti pokretati strojeve, inicirati poslovne procese i daljinski upravljati su-
stavima.
130
Logička identifikacija se temelji na provjeri zna li korisnik nešto što bi trebao

znati odnosno može saznati bez činjenja prekršaja. Podatak kojega bi korisnik
trebao znati naziva se općenito lozinkom ili zaporkom (engl. Password), a u nekim
slučajevima rabe se i nazivi kao što su ključ (engl. Key), identifikacijski ključ (engl.
Identification Key, ID, User ID), osobni identifikacijski broj (engl. Personal Identificati-
on Number, PIN), korisničko ime (engl. User Name), ključna riječ (engl. Keyword) itd.
Logička identifikacija temelji se na onome što korisnici pamte kao pojam svoj-
stven njima i njihovim iskustvima, poput lozinki, osobnih identifikacijskih broje-
va (PIN), fraza (passphrase) i sličnih zaštitnih mjera. Lozinke ili ‘passwordi’ još
su uvijek temeljno sredstvo raspoznavanja korisnika. Svaki korisnik sustava ima
svoje korisničko ime i lozinku čime se logički predstavlja sustavu. Nakon upisa
lozinke, računalo uspoređuje upisane podatke s podacima u bazama korisnika.
Svakako valja izbjegavati trivijalne lozinke kao što su inicijali, imena djece, neko-
ga člana obitelji, imena kompanije ili slične trivijalne i lozinke koje se lako mogu
pogoditi.
Slika 5.2. Najgore lozinke u 2015.
Pravila za pravilno postavljanje lozinki su:

• lozinka treba biti što dulja, a minimalno se sastojati od osam znakova
• lozinka treba biti kombinacija velikih i malih slova, brojeva, simbola
131
• lozinka ne smije sadržavati osobne podatke i

• lozinka ne smije biti neka riječ iz rječnika.
Korisničko ime zajedno s lozinkom čini identitet korisnika. Korisničko ime je javno, a
lozinka je tajna, radi čega se lozinke ne smiju otkrivati ili priopćavati drugim korisni-
cima, trebaju biti što sigurnije, ne smiju se zapisivati na mjesta do kojih mogu doći
drugi korisnici i povremeno se trebaju mijenjati.
Najčešće kontrolne mjere logičkoga pristupa informacijskome sustavu su (može-
mo ih smatrati dijelom programa i plana revizije logičkoga pristupa informacijsko-
me sustavu, detalji će biti objašnjeni u poglavlju 6.):
• osigurati postojanje primjerenih logičkih kontrola pristupa
• provjeriti pravila identifikacije i autorizacije korisnika
• osigurati logičke kontrole pristupa informatičkoj opremi koja je privremeno
bez nadzora
• provjeriti pravila vezana za dodjelu, izmjenu i ukidanje korisničkih računa, provje-
riti provode li se prava pristupa na temelju dokumentirane poslovne potrebe
• provjeriti provodi li se dodjela korisničkih računa i prava pristupa temeljem
minimalnih potrebnih prava za obavljanje radnih zadataka
• periodička provjera usklađenosti dodijeljenih korisničkih računa i prava pri-
stupa s poslovnim potrebama
• provjeriti je li svakome korisniku informacijskoga sustava dodijeljen poseban
korisnički račun i jesu li ukinuti generički računi
• odrediti i primijeniti minimalne standarde svojstava lozinki za pristup pojedi-
nim resursima informacijskoga sustava
• čuvati tajnost lozinke, lozinku bi trebala znati isključivo osoba koja njome po-
tvrđuje svoj identitet
• lozinke pamtiti, nikada ih zapisivati na papir, kriptirati lozinke pohranjene u
elektroničkim evidencijama (baze podataka, datoteke)
• izmijeniti lozinke na resursima informacijskoga sustava koje su inicijalno po-
stavljene od administratora sustava ili proizvođača opreme
• osigurati da su lozinke u sustavima pohranjene u nečitljivome obliku (šifrirane).
Promotrimo najčešće korištene metode kontrole pristupa.
Obvezna kontrola pristupa (MAC - engl. Mandatory Access Control) predstav-
lja statički model provedbe kontrole pristupa koji se temelji na unaprijed odre-
132
đenome skupu pravila pristupa datotekama, podacima i aplikacijama (funkcijama

informacijskoga sustava). Ti se parametri i određuju organizacijskim (strateškim i
taktičkim) pravilima i politikama, a u djelo ih provode sistemski administratori uno-
som tih prava u sigurnosne postavke pristupa za svaku grupu korisnika i svakoga
korisnika ponaosob.
MAC model koristi oznake (engl. labels) za određivanje razine ili osjetljivosti pristu-
pa koji se dodjeljuju raznim objektima. Dodjeljivanje oznaka je obvezno, a kada
korisnik želi pristupiti nekome objektu, provjerom te oznake sistemski softver od-
lučuje treba li dopustiti ili uskratiti pristup.
Proizvoljna kontrola pristupa (DAC - engl. Discretionary Access Control) počiva na
načelu da se odredi vlasnik resursa (podatka, funkcije, uređaja) za kojega se traži
pristup. Za razliku od MAC modela, oznake razine pristupa nisu obvezne, ali se
po potrebi mogu dodijeliti objektima. DAC model omogućuje dijeljenje datoteka,
objekata i resursa, na način da se uspostavi lista kontrole pristupa (ACL - Access
Control List) u kojoj su navedeni svi korisnici kojima je dopušten pristup resursu
(najčešće podatku ili objektu). Na taj način vlasnik podatka (ili općenito, vlasnik re-
sursa) može u skladu s potrebama i organizacijskim politikama i pravilima, dodijeliti
ili uskratiti pojedinačni ili skupni pristup do ‘svojih’ podataka.
Kontrola pristupa temeljena na ulogama (RBAC - engl. Role Based Access Con-
trol) unaprijed određuje prava pristupa temeljem radnog mjesta odnosno uloge
koju korisnik ima u organizaciji. Sistematizacija radnih mjesta odražava uloge koje
zaposlenici imaju, propisuje njihove radne zadatke, obveze, prava i odgovornosti.
Radni zadaci su najčešće grupirani oko nekih generičkih poslova, temeljem kojih
se zaposlenicima dodjeljuju uloge i prava pristupa resursima informacijskoga su-
stava. Primjerice, određenom broju zaposlenika mogu se dodijeliti uloge admini-
strator, programer, prodavač ili slično. Korisnik s takvom ulogom (kolokvijalno je
zovemo rolom) može pristupiti samo onim podacima, funkcijama i objektima koji
su pridruženi toj ulozi odnosno tome radnom mjestu. Korisnik s rolom prodavač
će podacima, funkcijama i resursima sustava moći pristupiti sa svih uređaja (uklju-
čivo po potrebi i udaljeni pristup) temeljem uloge koja mu je dodijeljena i moći će
vidjeti, mijenjati i raditi s podacima samo iz svojega područja odgovornosti (moći
će raditi samo s podacima o ‘svojim’ kupcima, neće moći pristupiti matičnim poda-
cima, neće moći mijenjati uvjete prodaje, popuste, uvjete plaćanja, moći će koristiti
aplikacije odnosno samo one funkcije sustava koje su minimalno potrebne za to
radno mjesto, recimo izvještaje o prodaji, salda-konti kartica za kupca itd.). S druge
strane, voditelj prodaje će imati sasvim drugačiju ovlast i moći će vidjeti podatke o
svim kupcima, svim prodavačima, ukupnu realizaciju, uz pristup brojnim funkcija-
ma sustava.
133
U nastavku teksta objasnit će se najčešće korištene metode identifikacije.
Korisničko ime i lozinka
Korisničko ime i lozinka je sveprisutni, gotovo nezaobilazni jedinstveni način iden-

tifikacije (potvrde identiteta) korisnika. Većina operacijskih sustava još uvijek koristi
ovaj način potvrde identiteta. Korisničko ime i lozinka se mogu internetskom i osta-
lim mrežama slati u otvorenome (tcp, pap ili slični protokoli) ili kriptiranome obliku
(scp i ostali protokoli koji uključuju kriptiranje sadržaja koji se prenosi).
Nakon upisa pristupnih podataka operativni sustav ih uspoređuje s pohranjenima
i odobrava ili uskraćuje pristup. Nakon odobravanja pristupa odnosno nakon po-
tvrde identiteta korisnika, aktiviraju se mehanizmi dodjele privilegija i ovlasti rada
na sustavu, što predstavlja autorizaciju, dakle, postupak kojime se korisnicima do-
djeljuju role odnosno ovlasti rada s podacima, funkcijama, objektima i ostalim re-
sursima informacijskoga sustava.
Password Authentication Protocol (PAP) je jedna od najjednostavnijih metoda
identifikacije kojom se pristupni podaci (korisničko ime i lozinka) u obliku otvoreno-
ga teksta šalju poslužitelju ili u cloud okruženje na provjeru. Danas se rjeđe koristi
upravo radi sigurnosnih propusta.
Certifikati predstavljaju uobičajen način identifikacije gdje se korisnici korište-
njem fizičkih uređaja poput pametnih kartica elektroničkim putem predstavljaju
sustavu. Te fizičke uređaje ili elektroničke sustave identifikacije izdaje posebno tije-
lo ili institucija (engl. certificate authority), ovlašteno za upravljanje cijelim životnim
ciklusom certifikata. U Hrvatskoj su te institucije FINA, Hrvatska gospodarska ko-
mora, banke i slično.
Ostale često korištene metode identifikacije su:
• sigurnosni tokeni koji su vrlo slični certifikatima i u sebi sadrže pristupne
podatke o korisniku. Sustav unutar tokena kreira jednokratne pristupne i au-
torizacijske podatke, radi čega se tokeni uobičajeno koriste ne samo za potvr-
du identiteta, nego i autorizaciju plaćanja (bankarstvo, platni promet). Tokeni
se korisnicima dodjeljuju temeljem ugovornoga odnosa (korisnici bankovnih
usluga dobivaju mogućnost korištenja fizičkih ili mobilnih tokena), što uvelike
doprinosi sigurnosti provedbe tih transakcija
• identifikacija temeljem povratne informacije sa sustava kojemu se želi
pristupiti. Upotrebom ove metode (Kerberos je bio jedan od prvih algoritama)
korisnik zahtijeva pristup usluzi koja se odvija na nekome drugom uređaju
(poslužitelju). Algoritam provjerava identitet korisnika i šalje mu pristupne po-
datke (ticket) za uspostavljanje veze s traženom uslugom
134
• pametne kartice su fizički uređaji s elektroničkim sklopovima u kojima su

pohranjeni korisnički pristupni podaci. Ubacivanjem pametne kartice u čitač
ili usmjeravanjem prema čitaču provjeravaju se korisnički pristupni podaci i
odobrava ili uskraćuje pristup. Prednost ove metode je što korisnici trebaju
imati fizički uređaj sa sobom
• biometrijski uređaji provode identifikaciju korisnika temeljem njihovih je-
dinstvenih fizičkih obilježja. To su fizički uređaji koji skeniraju prst, dlan, lice,
rožnicu oka, DNK strukturu, prate otkucaje srca, gustoću krvi u krvnim žila-
ma i sve ostale jedinstvene ljudske osobine kako bi se korisnici predstavili
informacijskim sustavima. Nakon što fizički uređaj očita korisničke pristupne
podatke, uspoređuje ih s pohranjenima u sustavu, a nakon čega odobrava ili
uskraćuje pristup
• višestruka identifikacija se odnosi na korištenje dvaju ili više metoda, što
svakako doprinosi sigurnijemu i pouzdanijemu postupku.
Podsjetimo se da informatičke kontrole predstavljaju skup različitih metoda i za-
štitnih mjera kojima se postiže željena razina sigurnosti.
U ovome slučaju to znači da, osim zaštite korisničkih pristupnih podataka pri upisu
i prijenosu, informatičke kontrole se trebaju implementirati i u području zaštite već
pohranjenih pristupnih podataka. Naime, sve metode identifikacije pretpostavljaju
da su korisnički pristupni podaci već pohranjeni u sustavu, pa i njih treba na odre-
đeni način zaštititi (zaštitom pristupa, kriptiranjem, zaštitnim mjerama stalnoga
nadzora mrežnoga prometa, pristupa servisima i pohranjenim podacima - ‘statič-
nim’ podacima).
Nakon identifikacije odnosno unosa korisničkih pristupnih oznaka, slijedi po-
stupak njihove provjere (verifikacije), čime se uneseni identifikacijski podaci
uspoređuju s ranije pohranjenima i potvrđuje identitet korisnika. Nakon što infor-
macijski sustav potvrdi da se radi o točno određenome korisniku, slijedi postu-
pak autorizacije odnosno dodjele ovlasti korisniku za rad s resursima infor-
macijskoga sustava (podacima, aplikacijama, pristupu opremi i uslugama, osobito
specifične ovlasti kojim bazama podataka može pristupiti, koje vrste obrade može
obavljati, koje podatke smije vidjeti, koje mijenjati, koje brisati, koje ovlasti prijeno-
sa podataka ima, koje funkcije može pokretati, koje izvještaje vidjeti itd.).
Autorizacijom se svakome pojedinom korisniku dodjeljuje određena ovlast rada
nad resursima informacijskoga sustava koja ovisi o potrebama posla, sistematiza-
ciji dužnosti i razini odgovornosti. Primjerice, u ISVU sustavu to znači da će student
imati pristup samo određenim dijelovima sustava svoje ispitne evidencije (samo
određenim podacima, aplikacijama i uslugama ISVU sustava). Konkretnije, moći će
pristupiti samo ‘svojim’ podacima (ocjenama), koje neće moći mijenjati nego samo
135
gledati, ali i uslugama koje se s tim podacima mogu raditi (prijava ili odjava ispita,
pregled položenih ispita, prosjek ocjena, ispis položenih kolegija, obavijesti kada su
ispiti, uvid u ispitne liste itd.). Bilo kakve pogrešno dodijeljene autorizacije mogle
bi prilično narušiti ispravno odvijanje poslovnih transakcija i ugroziti poslovanje
(zamislimo samo kakav bi kaos nastao kada bi studenti imali ovlast unositi ocjene ili
kada bi imali mogućnost vidjeti tuđe ocjene ili mijenjati svoje ili tuđe ocjene). U tim
slučajevima govorimo o neovlaštenoj uporabi resursa informacijskih sustava koje
za posljedicu mogu imati ozbiljnu ugrozu provedbe poslovnih procesa.
Profesori i administracija fakulteta imaju drugačije ovlasti rada u ISVU sustavu jer
mogu unositi ocjene, određivati ispitne termine, mijenjati ocjene (uz posebne do-
datne procedure kojima se obrazlaže razlog naknadne promjene ocjene), vidjeti
sve ocjene svih studenata koji su im dodijeljeni itd.
Na sličan se način u svakoj poslovnoj organizaciji moraju odrediti politike ovlasti
korisnika (organizacijska kontrola) i tehničkim kontrolama ih provesti u djelo. Pri-
mjer može biti da zaposlenik odgovoran za prodaju određene vrste proizvoda na
nekome području može dobiti pristup samo onim podacima koji se odnose na nje-
govu ili njezinu razinu odgovornosti, da zaposlenici iz radne jedinice za marketing
ne bi smjeli imati pristup podacima o plaćama zaposlenika, da bi samo određeni
zaposlenici trebali imati ovlast pokretati neke važnije obrade podataka, pratiti iz-
vještaje o poslovanju, imati mogućnost provedbe poslovnih transakcija, provjere
njihova funkcioniranja, uvida i promjene važnijih podataka itd.
Metode zaštite prijenosa podataka su vrlo važne metode i tehnike jer je prije-
nos podataka posebno osjetljivo i ‘ranjivo’ područje svakoga informacijskog susta-
va. Prijenosom podaci napuštaju zonu sigurnosti i privatnosti internoga sustava i
mogu biti dostupni na nekoj javnoj ili privatnoj mreži. Zaštita je učinkovita primje-
nom standardnih protokola komuniciranja koji imaju ugrađene mehanizme zaštite.
Ove metode često su sofisticirane i složene i zahtijevaju odvojeno promatranje, pa
će biti objašnjene u poglavljima koji slijede.
Kriptografske metode zaštite primjenjuju se za zaštitu tajnih i vrlo povjerljivih
podataka koje posjeduje svaka kompanija (recepture proizvoda, financijski rezulta-
ti, prodajni rezultati itd.). Sastoje se od postupka kriptiranja (pretvaranja izvornoga
sadržaja u tajni, primjenom odgovarajućega pravila ili algoritma) i dekriptiranja (ši-
frirana poruka se ponovno primjenom nekoga algoritma pretvara u izvorni oblik). I
ove će metode biti detaljnije objašnjene u nastavku.
136
5.2. Protokoli i pravila prijenosa sadržaja u

računalnim mrežama
5.2.1. Računalne mreže i njihov značaj u poslovanju
Računalne mreže su složeni sustavi međusobno povezanih računala i elektroničkih

uređaja koji primjenom standardnih komunikacijskih protokola mogu razmjenjivati
sadržaj, povezivati poslovanje i dijeliti i distribuirati resurse poslovanja. Računalne
mreže nastaju povezivanjem dva ili više elektronička uređaja u svrhu razmjene sa-
držaja. Brz razvoj informacijske tehnologije omogućio je da računalne mreže pred-
stavljaju jedan od najvažnijih dijelova poslovanja suvremenih kompanija. Umreža-
vanje i povezivanje elektroničkih uređaja omogućuje dijeljenje podataka, usluga i
mrežnih resursa, što donosi brojne koristi za poslovanje. Intenzivno umrežavanje
i dijeljenje resursa i usluga neovisno o zemljopisnoj udaljenosti omogućuje bolje
organiziranje poslovanja, radi čega gotovo i ne postoji poslovni subjekt koji ne ko-
risti računalne mreže.
Rezultati brojnih istraživanja podupiru ekonomsku i poslovnu korist primjene
računalnih mreža. Ovom prigodom razmotrimo samo neke najvažnije. Miles i
Snow (1978.) su pokazali da tržišta koja se oslanjaju na primjenu mreža i opće-
nito, pozitivni učinci primjene mreža (tzv. mrežne eksternalije) mogu doprinijeti
učinkovitosti tradicionalne organizacije i pojavi novih oblika organiziranja poslo-
vanja, što u konačnici omogućuje uštede u poslovanju i općenito unaprjeđenje
poslovnog sustava.49 Sve veća primjena mrežnih struktura unutar tradicionalne
organizacije vodi prema pojmu mrežne ili umrežene organizacije koja krajem
osamdesetih godina prošloga stoljeća postaje prevladavajući oblik organizacij-
skoga ustroja suvremenih kompanija. Kao što smo već spomenuli u 1. poglavlju,
računalne mreže postaju temeljnom infrastrukturom poslovanja i omogućuju
preobražaj organizacija iz statičkih, hijerarhijskih struktura u organske, mrež-
ne, modularne i digitalne organizacije koje svoje poslovanje temelje na nače-
lima suvremenog menadžmenta. Mreže su postale vrlo važnim mehanizmom
koji poboljšava konkurentsku poziciju kompanija sudionica (Snow et al., 1992.).50
U mrežnome okruženju dodavanje informacije ili znanja fizičkome proizvodu
u trenutku kupnje znatno povećava vrijednost, što vodi prema boljem konku-
rentskom položaju. Povezivanje i razvoj umreženih organizacija vodi smanjenju
trans akcijskih troškova među sudionicima mreže, pa intenzivna primjena raču-
49
Miles, R. E., Snow, C. C., Organizational Strategy, Structure and Process, London, McGraw-Hill,
1978.
50
Snow, C. C., Miles, R. E., Coleman, H. J., Managing the 21st Century Network Organization, Organi-
zational Dynamics, 21 (1), Winter 1992, pp. 5-20.
137
nalnih mreža partnerima omogućuje smanjivanje ukupnih troškova proizvoda ili

usluga (Powel, 1990.51).
Računalne mreže su se počele razvijati 1960-ih godina i dosad su bile primjetne
sljedeće četiri faze njihova razvoja:
• prostorno ograničena daljinska obrada podataka
• prostorno neograničena daljinska obrada podataka
• računalne mreže i
• multimedijalne globalne mreže.
Računalne se mreže mogu razvrstati prema višestrukim kriterijima, među kojima
su najznačajniji:52
• kriterij arhitekture (topologije) mreže
• kriterij zauzeća geografskog prostora
• kriterij vlasništva nad mrežom
• kriterij korištenja tehnike prijenosa.
Prema kriteriju arhitekture (topologije) mreže razlikujemo zvjezdaste, sabir-
ničke, prstenaste i hibridne računalne mreže. Zvjezdasta arhitektura (engl.
star architecture) se sastoji od jednoga glavnog, centralnog računala i niza ostalih
računala i uređaja koja su s njime spojena putem zasebnoga kabela. Svi ti ostali
uređaji su logički podređeni radu centralnoga računala kroz kojega prolaze sve
poruke i sva komunikacija. Centralno računalo upravlja mrežom, određuje priori-
tetne mrežne aktivnosti, dodjeljuje resurse uređajima i servisima i nadzire rad svih
mrežnih usluga. U ovoj topologiji mreže prisutna je visoka razina centraliziranosti,
što ima svoje prednosti i nedostatke. Prednosti mogu biti lakše upravljanje i nad-
zor mreže čime je ova mreža pogodna za provedbu određenih poslovnih procesa
(šaltersko poslovanje, blagajničko poslovanje i slično), a nedostaci se odnose na
situaciju da ispad centralnoga računala dovodi do pada cijele mreže i svih mrežnih
usluga.
Sabirnička arhitektura (engl. bus) nastaje kada ulogu centralnoga računala pre-
uzima sabirnica odnosno „inteligentni“ komunikacijski kanal na kojega su priklju-
čeni različiti ravnopravni uređaji. Sabirnice se obično mogu nadograditi dodatnim
softverom koji ima mogućnost upravljanja prometom podataka i održavanja stanja
51
Powell, W. W., Neither Market nor Hierarchy: Network Forms of Organization, Research in Organi-
zational Behavior, 12, 1990, pp. 295-336.
52
Panian, Ž., Poslovna informatika: koncepti, metode i tehnologija, 2. izmijenjeno i dopunjeno izda-
nje, Potecon, 2000., str. 225-226.
138
mreže. Sabirnice su inteligentni komunikacijski vodovi, što znači da se njihov rad, a

time i funkcioniranje cijele mreže može unaprijediti uporabom dodatnih protoko-
la. Na taj se način rješavaju i mogući problemi u radu ove vrste mreže, primjerice
problem tajnosti poruka zbog moguće kolizije poruka koje se šalju kroz sabirnicu.
Prstenasta arhitektura (engl. ring) nastaje povezivanjem nekoliko uređaja po-
vezanih u krug (prsten). Podaci se kreću u krug od jednoga do drugoga računala,
prema unaprijed određenome smjeru kretanja. Ovim mrežama je obično jedno-
stavno upravljati, njihova konfiguracija im omogućuje dobra ergonomska rješenja
(umrežavanje na razini jednoga kata zgrade ili slično), obično imaju manje troškove
implementacije, a može se javiti problem tajnosti poruka.
Ipak, najčešća arhitektura računalnih mreža jest hibridna arhitektura, koja na-
staje povezivanjem računalnih mreža različitih topologija u jednu mrežu, čime
se način funkcioniranja mreže i metode prijenosa podataka mogu u potpunosti
prilagoditi potrebama poslovanja. Tako će, primjerice, jedna banka zvjezdastom
arhitekturom ‘pokriti’ šaltersko poslovanje, sabirničkom i prstenastom uredsko
poslovanje i ostale pojedine funkcije, a sve zajedno će činiti jednu veliku, hibrid-
nu računalnu mrežu. Internet, najveća globalna, javna računalna mreža je također
hibridne arhitekture i sastoji se od ogromnoga broja računalnih mreža različitih
topologija koje su međusobno povezane različitim uređajima i protokolima koji
omogućuju prijenos sadržaja.
Obzirom na način stvaranja, povezivanja, financiranja izgradnje mreže, njena
upravljanja, održavanja i vlasništva nakon dovršene izgradnje, razlikujemo javne i
privatne računalne mreže. Privatne mreže grade, koriste, održavaju i njima uprav-
ljaju privatne kompanije za svoje potrebe poslovanja. Gotovo svaka poslovna orga-
nizacija posjeduje vlastitu lokalnu mrežu, no nisu rijetki primjeri rasprostranjenih
mreža u privatnome vlasništvu. Privatnim mrežama mogu pristupiti samo oni koris-
nici kojima vlasnik mreže to dopusti. Prednosti privatnih mreža svakako su pouzda-
nost, sigurnost, kontrola i kvaliteta prijenosa podataka, a nedostaci su visoka cijena
izgradnje, korištenja i upravljanja, što je često bilo razlogom da su takva rješenja bila
isplativa samo kod velikih organizacija i pri vrlo velikoj uporabi odnosno opsegu pro-
meta. Javne mreže grade državna tijela ili agencije i one su, uz određenu naknadu,
javno dostupne. Internet kao, zasad, jedina javna globalna računalna mreža, progla-
šen je općim dobrom čovječanstva, pa predstavlja mrežu bez formalnoga vlasnika.
Prema kriteriju zauzeća geografskog prostora računalne mreže dijelimo na
lokalne, rasprostranjene i globalne mreže. Lokalne mreže (engl. Local Area
Network, LAN) su najčešće korištene računalne mreže koje se prostiru na užemu
području, primjerice jednoga kata zgrade ili ostalim lokalnim prostorima (poslovna
zgrada, postrojenje, kat). Najznačajnije arhitekture lokalnih mreža su: zvjezdasta,
sabirnička, prstenasta i hibridna.
139
Rasprostranjene mreže (engl. Wide Area Network, WAN), kao što i sam naziv su-
gerira, povezuju fizički vrlo udaljene lokacije i velika geografska područja, a najviše
se koriste za povezivanje više udaljenih lokalnih mreža u jednu cjelinu. Globalna
mreža je mreža svjetskih razmjera kojoj se može pristupiti iz praktički svakoga
dijela svijeta gdje postoji bilo kakva telefonska veza. Radi se, dakako, o internetu,
zasad jedinoj globalnoj računalnoj mreži, o kojoj ćemo detaljnije govoriti u nastav-
ku rada.
Lokalne računalne mreže su najčešća vrsta računalnih mreža čiji su čvorovi obično
povezani vrlo brzim komunikacijskim vezama (> 100 Mbps, u novije vrijeme osobito
optičkim kabelima, prstenaste ili slične arhitekture). Među-čvorovi lokalne mreže,
najčešće predstavljeni u obliku uređaja poput usmjernika (engl. routers), pristupni-
ka (engl. gateways) ili prespojnika (engl. switches) omogućavaju spajanje više lokal-
nih mreža. Detaljnija obilježja navedenih uređaja objasnit će se u nastavku ovoga
poglavlja. Slika 5.3. prikazuje uobičajenu izvedbu lokalne mreže.
Slika 5.3. Najčešća izvedba lokalne računalne mreže
Česta ‘izvedba’ lokalne mreže su bežične mreže. Bežične mreže (eng. WLAN, wi-
reless LAN) su računalne mreže koje se kao prijenosni medij koriste prostorom i
radiovalovima za prijenos podataka. Pravila rada i razmjene sadržaja određeni su
802.11 standardom, čiji je autor od 1999. godine IEEE (Institute of Electrical and
Electronics Engineers).
140
Osnovni elementi bežične računalne mreže su:

• čvor bežične mreže (eng. host) – krajnji uređaj na kojemu se izvršavaju apli-
kacije (stolna i prijenosna računala, mobilni uređaji i svi ostali elektronički ure-
đaji)
• bazna stanica – ključni element bežične mreže čija je zadaća predaja i prijam
podatkovnih paketa prema/od pojedinih računala unutar mreže, ali i koordini-
rana predaja podataka većemu broju uređaja koji su joj pridruženi
• bežične veze – komunikacijska veza pomoću koje se računala i uređaji pove-
zuju s baznom stanicom ili nekim drugim uređajima unutar mreže.
Ovisno o izvedbi i dometu rada, razlikujemo ad hoc i strukturirane bežične mreže.
Ad hoc mreže se uspostavljaju izravno između dva ili više uređaja (računala) koji
moraju biti u relativno malom prostoru radi male snage njihovih antena. Upravo
radi ovoga prostornog ograničenja ovakav tip mreža se vrlo rijetko koristi. U slu-
čaju strukturiranih bežičnih mreža korisnicima je putem pristupnih točaka (engl.
acces point) omogućen pristup mreži, što pruža veću fleksibilnost rada mreže, veće
dosege samoga signala i bolju kvalitetu. Osnovno područje rada pristupne točke je
prostor koji je pokriven signalom.
Ranjivost bežične mreže može se odnositi na ‘man-in-the-middle’ napad u kojemu
napadač prisluškuje komunikaciju klijenta i pristupne točke, čime može ‘uhvatiti’
tekst koji pristupna točka šalje klijentu te nakon toga i šifrirani tekst koji klijent šalje
pristupnoj točki. Došavši u posjed čistoga i nešifriranoga teksta, napadač može
dobiti pristup mreži.
Rasprostranjena računalna mreža (WAN mreža) nastaje kada se telekomunika-
cijska infrastruktura koristi za prijenos sadržaja na jako velike udaljenosti (recimo,
među kontinentima). Na taj način je računalnom mrežom moguće pokriti ogromne,
gotovo neograničene prostore i udaljenosti, što stvara izvrsne temelje za neome-
tano globalno poslovanje. Rasprostranjene topologije su moguće jer mrežna infra-
struktura ‘pokriva’ cijeli svijet (na dnu oceana se nalaze brojni komunikacijski vodo-
vi koji se na komercijalnim načelima koriste odnosno iznajmljuju u svrhu prijenosa
sadržaja na ogromne udaljenosti). Konfiguracije rasprostranjenih mreža zahtijeva-
ju uporabu različitih mrežnih uređaja kojima se upravlja radom mreže, omogućuju
siguran pristup i prijenos sadržaja. Skica jedne takve mreže je prikazana slikom
5.4., a načini rada svih uređaja će biti objašnjeni u nastavku teksta.
141
Slika 5.4. Najčešća izvedba rasprostranjene računalne mreže
Internet predstavlja javnu, globalnu računalnu mrežu hibridne arhitekture.

Najvažnija načela rada interneta su (sve teme će biti detaljnije obrađene u
nastavku teksta):
• koristi različita hardverska i softverska rješenja raznih proizvođača opreme,
pri čemu postoje specifični uređaji i protokoli (softveri) koji omogućavaju pri-
jenos sadržaja među njima
• upravljanje mrežom je distribuirano (iznimka je centralizirano upravljanje
imenima domena)
• koristi se jedinstvena struktura adresa za sve uređaje spojene na internet (IP
adrese)
• internet funkcionira temeljem korisničko-poslužiteljskoga načela, gdje su
korisnička računala uređaji manjega kapaciteta i moći obrade koji traže po-
datke i usluge koji su smješteni na jačim računalima – poslužiteljima
• u mreži se ne provjerava i ne interpretira sadržaj poruka koje putuju interne-
tom, čime je osiguran efikasan rad mreže (interpretacija podataka događa se
samo na krajevima mreže - kod pošiljatelja i primatelja)
• tehnologija mreže i mrežnih usluga su razdvojene, pa za izradu aplikacija i raz-
voj mrežnih usluga nije potrebno poznavanje detalja o konfiguraciji i načinu
rada mreže
• svako računalo, sustav računala ili uređaj u internetskoj mreži predstavlja je-
dan čvor (čvorovi mogu biti i lokalne mreže, velika računala i slično)
142
• internet je opće dobro čovječanstva, nijedna organizacija ne kontrolira cijeli

internet.
Intranet predstavlja bilo kakvu unutarnju (lokalnu, branjenu) mrežu računala
neke tvrtke koja funkcionira na način sličan ili kompatibilan internetu. To znači da ta
mreža funkcionira po načelima interneta i da u branjenome i sigurnome okruženju
može koristiti sve internetske usluge, komunikacijske i sigurnosne protokole. Time
se stvara sigurno i pouzdano lokalno (privatno) okruženje unutar kojega se upora-
bom generičkih internetskih servisa i uobičajenih komunikacijskih protokola mogu
zadovoljiti informacijske potrebe zaposlenika. Obrambeni zid ili vatrozid (engl. fi-
rewall ) predstavlja hardverski uređaj koji uz pomoć sigurnosnih softverskih meha-
nizama neovlaštenim korisnicima onemogućava pristup branjenom (unutarnjem)
dijelu mreže. Detalji funkcioniranja obrambenih zidova i sigurnosnih mehanizama
će biti objašnjeni u nastavku ovoga poglavlja.
Poslovne koristi primjene intraneta su:
• poboljšana razmjena informacija među zaposlenicima
• upravljanje poslovnom dokumentacijom
• stvaranje usluga kojima se poboljšavaju interne aktivnosti
• automatizacija internih poslovnih procesa i uredskoga poslovanja
• pogodnosti timskoga rada
• sudjelovanje zaposlenika u upravljanju, odlučivanju i kontroli
• edukacijske i ostale aktivnosti
• bolje upravljanje resursima i organizacijskim znanjem
• neformalna komunikacija i slično.
Ekstranet se odnosi na računalnu mrežu koja povezuje više razmjerno ne-
zavisnih privatnih mreža u sustav koji funkcionira prema načelima inter-
neta. Na taj je način moguće povezati više zasebnih intraneta i razvijati usluge
koje kompanijama omogućuju učinkovitije poslovanje i razvoj sustava elektroničke
razmjene dokumentacije. Koristi i prednost primjene ekstraneta su da se stvara
sigurno okruženje unutar kojega je povezano više zasebnih poslovnih sustava i
unutar kojega se mogu koristiti standardni (razmjena sadržaja, automatizacija po-
slovnih procesa), ali i dodatni internetski servisi (telekonferencija, zajednički servis
većega broja kompanija).
143
5.2.2. Protokoli prijenosa sadržaja mrežom
U računalnim mrežama sav sadržaj (tekstualni, multimedijalni i ostali podaci) putu-

je u “paketima”. Svaka poruka se dijeli u pakete i svaki paket podataka traži svoj put
do cilja. Pri tome se koristi tehnika prespajanja paketa, a mrežni promet se uređuje
protokolima. Protokoli predstavljaju softver (aplikacije) kojime su određena pravila
odvijanja prometa u mreži.
Osnovni internetski protokoli su:

TCP (engl. Transmission Control Protocol) protokol koji dijeli poruke u pakete i
IP (engl. Internet Protocol) protokol koji paketima dodjeljuje logičke adrese.
Svaki paket preuzima logičke adrese pošiljatelja i primatelja s poruke iz koje je na-
stao i dodjeljuje mu se redni broj paketa iz poruke iz koje je nastao. Kada paketi
stignu na cilj, rekonstruira se poruka prema rednom broju paketa. TCP protokol
poruke dijeli u pakete koji poprimaju oblik prikazan sljedećom tablicom:
Tablica 5.1. TCP paket sa zahtjevom za slanje web stranice s web poslužitelja
Izvorni port 1024 Odredišni port 80

Broj sekvence
Broj potvrde
Offset Rezervirano Zastavice Prozor
Kontrolni zbroj Pokazivač
Opcije Dopuna
Podaci GET (slanje podataka s poslužitelja)
Svakom mrežnom uređaju spojenom na internet dodijeljena je jedinstvena logička

IP adresa. Promotrimo najvažnija obilježja IP adresa i prometa u internetskoj mreži:
• IP adresa 192.168.101.115 – prefiks ili adresa mreže: network ID 192.168, sufiks
ili svaki čvor u mreži: host ID 101-115
• grupiranje čvorova u lokalnoj mreži: 101-110 može biti grupa čvorova mreže
koju koristi poslovna funkcija računovodstva, 110-115 poslovna funkcija infor-
matike itd.
• postoje javne (standardizirane, poznate) i privatne IP adrese
• TCP protokol dijeli poruke u pakete
• svaki paket dobiva redni broj dijela poruke i putuje neovisno, onim dijelom
mreže koji je trenutno najpropusniji
144
• TCP protokol provjerava prijenos, paketi koji sadrže pogreške se ponovno šalju
• TCP protokol sortira pakete na odredištu, spaja ih u cjelovitu poruku i provje-
rava je li odredišna poruka jednaka izvorišnoj.
Time TCP/IP protokol predstavlja temeljni internetski protokol zadužen za
dodjelu 32-bitnih adresa porukama (IP - Internet Protocol) i dijeljenje poruka
u pakete i njihovu distribuciju mrežom (TCP - Transmission Control Protocol).
Slika 5.5. prikazuje postupak razmjene sadržaja u internetskom okruženju primje-
nom TCP/IP protokola.
Slika 5.5. Postupak razmjene sadržaja u internetskome okruženju primjenom

TCP/IP protokola
5.2.3. Komponente računalnih mreža
Računalne mreže su vrlo složeni sustavi sastavljeni od brojnih hardverskih i soft-

verskih komponenti. Računalne mreže ne mogu učinkovito i pouzdano funkcionira-
ti bez podrške softvera (aplikacija), među kojima se posebno izdvajaju:
• sistemski softver ugrađen u automatizam funkcioniranja uređaja
• upravljački softver koji omogućuje nadzor rada uređaja, podešavanje sigur-
nosnih postavki i postavki načina njihova funkcioniranja
• protokoli (pravila) prijenosa sadržaja računalnim mrežama (komunikacijski
protokoli poput TCP/IP, HTTP, HTTPS, SSL, FTP, TLS, IPsec i slični koji će se u
nastavku knjige detaljno objasniti).
Hardverske komponente računalne mreže dijelimo na pasivnu i aktivnu mrež-
nu opremu.
145
U pasivnu mrežnu opremu spadaju ormari u kojima se nalazi oprema, patch

paneli, rackovi i ostala oprema koja se ne može konfigurirati, niti joj mijenjati svoj-
stva. U pasivnu opremu često svrstavamo i vezivne elemente kao što su kablovi
(koaksijalni, optički i slično), utičnice, utikači, kanalice i slični uređaji namijenjeni
povezivanju mreže i distribuiranju sadržaja.
Aktivne komponente računalne mreže predstavljaju oni uređaji kojima je mo-
guće softverski upravljati, mijenjati im sigurnosne i ostale postavke i na taj način
provoditi aktivnu politiku zaštite računalne mreže. Aktivne komponente raču-
nalne mreže su:
• računala
• mrežne kartice (engl. Network Adapter)
• mrežni koncentratori i uređaji koji pojačavaju mrežni signal
• svaka mreža ima više ulaznih priključaka ulaznih (engl. port) za spajanje koji-
ma se smanjuje kolizija velikoga broja mrežnih uređaja koncentriranih na jed-
nome mjestu
• pristupne točke (engl. access point) su uređaji koji omogućuju spajanje više
različitih uređaja u bežičnu mrežu usmjeravanjem komunikacije među njima
(računalima koja trebaju imati bežičnu karticu)
• paketni prespojnik (engl. paket switch) je uređaj koji ima više ulazno/izlaznih
priključaka
• ponavljači (engl. Repeater)
• mostovi (engl. Bridge)
• razdjelnici (engl. Hub) su uređaji koji onemogućavaju istodobnu komunikaciju
nekih drugih uređaja
• prespojnici (engl. Switch) su mostovi s više priključaka koji izoliraju komunika-
ciju samo onih uređaja na istome priključku (portu)
• usmjernici (engl. Router)
• pristupnici (engl. Gateway).
Uređaji za povezivanje mreža različitih arhitektura su:
• mostovi (engl. Bridge)
• usmjernici (engl. Router)
• pristupnici (engl. Gateway).
Most (engl. Bridge) je uređaj koji povezuje dva segmenta mreže koji koriste isti
komunikacijski medij, brine o izvorišnoj i odredišnoj adresi paketa podataka. To su
146
brzi uređaji koji filtriraju podatke po odredišnim adresama, ali ne obavljaju funkci-
je promjene formata. Mostovi obavljaju funkciju sloja veze u OSI modelu, brinu o
izvršnoj i odredišnoj adresi paketa podataka i temeljem adresa računala koji pri-
padaju njegovoj lokalnoj mreži, izdvaja (filtrira) i propušta samo određene pakete.
Razdjelnik (engl. Hub) je uređaj za povezivanje računala u zvjezdastu topologiju (ak-
tivni i pasivni hub). Pasivni razdjelnik (razvodnik) ni na koji način ne obrađuje podatak.
Aktivni razdjelnik obnavlja signal (repetitor) i održava potrebnu snagu signala. Neki
razvodnici također mogu preuzeti ulogu mrežnih mostova, usmjerivača ili skretnica.
Usmjernik (engl. Router) je uređaj koji povezuje dva udaljena segmenta mreže koji
mogu koristiti različite medije i protokole, a koristi se za međusobno povezivanje
mreža i usmjeravanje paketa podataka iz jedne mreže u drugu. Na internetu služi
za usmjeravanje “prometa”, tj. paketa podataka do njihovoga odredišta. Usmjernici
su posebni uređaji koji određuju sljedeću mrežnu adresu na koju se šalje paket
podataka (oni usmjeravaju pakete podataka mrežom), pa imaju sličnu ulogu kao
“klasični poštanski centri”. Oni poznaju samo protokole mreže čiji su sastavni dio, a
mogu služiti i kao obrambeni zidovi i obavljati razne funkcije zaštite računalne mre-
že. Za razliku od pristupnika ne mogu se povezivati na različite protokole. Usmjer-
nici se u lokalnim računalnim mrežama koriste radi dva važna razloga:
• filtriraju mrežni promet prema odgovarajućim sigurnosnim i ostalim pravilima
(provjeravaju pakete podataka, biraju smjer kojim će se sadržaj podataka pro-
sljeđivati)
• omogućuju komunikaciju među različitim mrežama.
Usmjernici su najčešće smješteni u sloju 3 OSI referentnog modela, koriste logičko
adresiranje sadržaja i pružaju ono što nazivamo prespajanjem paketa. Za razliku od
usmjernika, prespojnici (engl. Switch) se ne koriste za povezivanje mreža već pobolj-
šavaju funkcionalnost međusobno povezanih lokalnih mreža, optimizirajući njihove
performanse. Prespojnici ne prosljeđuju pakete podataka kao što to rade usmjernici,
nego samo usmjeravaju okvire s jedne priključne točke (porta) u drugu. Most je uređaj
vrlo sličan prespojniku s ciljem sprječavanja komunikacijskih šumova u lokalnoj mreži.
Pristupnik (engl. Gateway) je uređaj za spoj lokalne mreže (LAN) na rasprostra-
njenu mrežu (WAN). To je uređaj koji pretvara komunikacijske protokole raznih
računalnih mreža u internetski protokol i obrnuto. Pristupnici služe priključivanju
lokalnih mreža na rasprostranjenu mrežu jer pretvaraju pakete podataka formira-
ne prema protokolu lokalne mreže u pakete koji odgovaraju protokolu rasprostra-
njene mreže (taj se postupak najčešće naziva emulacija).
Dakle, računalne mreže su vrlo složene i sastavljene od opreme (hardvera) i različi-
tih protokola (softvera) koji omogućuju neometan i siguran prijenos sadržaja. Gra-
147
đa većine računalnih mreža je dosta slična i uključuje navedene uređaje i protokole

prijenosa koje ćemo obraditi u nastavku teksta. Osim rasprostranjenih računalnih
mreža koje korištenjem telekomunikacijskih i mrežnih protokola i uređaja pokri-
vaju velika zemljopisna područja, čime su sposobne prenositi sadržaj bez obzira
na velike udaljenosti, dobro nam je poznato da postoje i globalne mreže. Svakako
najpoznatija globalna računalna mreža je internet koja u mnogočemu funkcionira
slično mrežama čija su obilježja već opisana.
Internet je mreža svih mreža, nastala spajanjem velikoga broja lokalnih, rasprostra-
njenih i svih ostalih mreža, u jednu, globalnu, javnu mrežu. ‘Vezivno tkivo’ internet-
ske mreže su komunikacijski protokoli (osobito TCP/IP, glavni internetski protokol)
koji povezuju različite uređaje i omogućuju dijeljenje sadržaja među njima. Najvaž-
niji uređaji koji čine internet su:
• okosnica - temeljna mreža (backbone) velikog kapaciteta
• usmjernici (routers) – povezuju pojedinačne mreže s temeljnom mrežom;
usmjeruju pakete do njihova odredišta
• pristupnici (gateways) – računala koja pretvaraju protokole raznih računalnih
mreža u internetski protokol i obratno
• poslužitelji mreža spojenih na internet (servers) – sadrže aplikacije, baze poda-
taka itd., za pojedinačne mreže i
• radna računala u mrežama (hosts).
Obrambeni zid (vatrozid, engl. firewall ) je softverski ili hardverski bazirana zašti-
ta računalne mreže s primarnom ulogom kontrole dolaznoga i odlaznoga prometa
mreže. Obrambeni zid analizira podatkovne pakete koji pristižu prema mreži i pre-
ma unaprijed utvrđenim sigurnosnim pravilima provjerava smije li ili ne smije po-
datkovni paket ući u štićeni dio mreže, predstavljajući svojevrsnu ‘branu’ ili obram-
beni zid koji u unutarnji, branjeni dio mreže propušta samo sigurnosno ispravan
sadržaj. Obrambeni zid, kao što i sam naziv može sugerirati, funkcionira tako da
stvori „most“ između lokalne mreže za koju se smatra da je pouzdana i sigurna i
druge vanjske mreže (poput interneta) za koju se smatra da je nesigurna i nepo-
uzdana. Unutarnji ili branjeni dio računalne mreže se najčešće naziva i demilita-
rizirana zona (DMZ) koja predstavlja sigurne, branjene i pouzdane dijelove raču-
nalne mreže u koje se mogu pohraniti najvažniji dijelovi informacijskoga sustava
(transakcijska baza podataka, najvažnija oprema, poslužitelji – mrežni poslužitelji,
podatkovni poslužitelji, aplikacijski poslužitelji i slično, najvažnije usluge i slično).
Obrambeni zidovi su se počeli javljati u 80-im godinama prošloga stoljeća kada je
internet bio relativno nova tehnologija, a naziv je dobio po uređajima (firewall) za
suzbijanje požara odnosno sprječavanje potencijalne vatre.
148
Slika 5.6. Obrambeni zid logički i fizički razdvaja lokalnu i rasprostranjenu raču-
nalnu mrežu
Osnovni ciljevi postavljanja i upotrebe obrambenoga zida su:

• učiniti mrežu i njene sadržaje (podatke, aplikacije, usluge, subjekte) nedostup-
nima onima koji nemaju dozvolu pristupa ili određenu ovlast rada s resursima
sustava
• provjeravati sve pakete podataka koji ulaze ili izlaze iz mreže prema unaprijed
utvrđenim sigurnosnim pravilima (to su najčešće pravila određena sigurnos-
nim politikama na strateškoj razini, procedurama i pravilima na taktičkoj i
radnim uputama na operativnoj razini, koje se ovom prigodom ugrađuju kao
automatske kontrole rada uređaja)
• različitim kriterijima i pravilima i
• omogućiti sigurnosnu zaštitnu barijeru i biti spona između branjene (lokalne
mreže, demilitarizirane zone) i drugih neprovjerenih mreža (internet ili druga
lokalna mreža).
U osnovi, radi se o uređaju (hardveru) koji potpomognut sofisticiranim softverom
provjerava mrežne pakete i odlučuje o njihovome daljnjem prometu (propušta ih u
mrežu ili blokira njihov pristup). Naravno da su različiti oblici konfiguracije obram-
benoga zida koji ovise o značajkama mreže i sigurnosnim uvjetima. Obrambeni
zidovi predstavljaju “usko grlo” mrežnoga okruženja jer su na njima instalirane naj-
važnije sigurnosne rutine (identifikacijski i autorizacijski procesi, pravila pristupa i
razmjene sadržaja i sve ostale sigurnosne mjere) i predstavljaju prvu zapreku koju
napadač mora proći kako bi dospio do željenoga cilja, zaštićenih računala i njihova
sadržaja.
149
Načelno, obrambeni zidovi se postavljaju između dvije mrežne zone različitoga

stupnja povjerljivosti:
• između lokalne mreže i interneta
• između dviju međusobno nepovjerljivih lokalnih mreža
• između dviju lokalnih mreža s različitim stupnjevima povjerljivosti.
Svoju funkciju obavljaju statičkim i dinamičkim filtriranjem podatkovnih paketa.
Kod statičkoga filtriranja paketi se analiziraju pojedinačno bez mogućnosti utvrđi-
vanja pripadaju li nekoj postojećoj vezi ili se radi o početnim paketima. Dinamičkim
filtriranjem se provodi detaljna analiza paketa provjerom njihove međusobne po-
vezanosti. Tablicama stanja su najčešće određenim vezama pridružena određena
stanja.
Načini filtriranja su:
• filtriranje paketa zavisno o vrsti protokola
• filtriranje paketa zavisno o IP adresama odredišta/izvorišta
• filtriranje paketa zavisno o odredišnim/izvorišnim portovima i
• filtriranje paketa zavisno o ruti usmjeravanja paketa.
Filtracijski obrambeni zid (engl. Packet Filtering) je vrsta obrambenoga zida koji fil-
trira odnosno skenira podatkovne pakete bazirano na njihovim internetskim adre-
sama (IP adresama) i opcijama paketa. Circuit gateways rade na mrežnome trans-
portnom sloju, a paketi se prihvaćaju obzirom na internetsku adresu (IP adresu)
izvora. Kao i filtracijski, niti ovi zidovi ne mogu pratiti protok podataka između dvije
mreže iste ili slične konfiguracije, ali sprječavaju izravnu povezanost među mreža-
ma različitih konfiguracija (recimo, lokalne i vanjske).
Application gateways su temeljeni na proxyu (računalo - posrednik između klijent-
skog računala i poslužitelja) koji rade na aplikacijskome sloju i mogu ispitivati in-
formacije na sloju aplikacijskih podataka. Jednostavnije rečeno, ti uređaji ispituju
sadržaj paketa.
Mrežni obrambeni zidovi štite sadržaj mreže i njezine servise od neovlaštenih pri-
stupa i najčešće predstavljaju kombinaciju hardverskih i softverskih komponenti.
Obrambeni zidovi se postavljaju i konfiguriraju ovisno o potrebama poslovanja.
Ako vlasnik lokalne mreže ne pruža vanjskim korisnicima nikakve usluge, vatrozid je
dovoljno konfigurirati s minimalnim skupom sigurnosnih svojstava (primjerice, da
samo propušta pakete s lokalne zaštićene mreže na globalnu i povratne pakete,
uz instalaciju sigurnosnih pravila pristupa internetskim servisima i sadržajima iz
lokalne mreže). U tome slučaju, ako vanjski korisnik pokuša uspostaviti vezu s bilo
150
kojim lokalnim računalom, paketi podataka se automatski odbacuju i pristup nije

moguć (arhitektura je prikazana slikom 5.7.).
Slika 5.7. Obrambeni zid (vatrozid) štiti pristup branjenoj (unutarnjoj) računalnoj
mreži
Puno složenija situacija nastaje ako organizacija pruža određene usluge temeljene
na internetu i World Wide Webu. Tada je, osim povratnih paketa koje su inicirali ko-
risnici mreže, potrebno omogućiti dolazak i drugim paketima koji prvo trebaju pro-
ći određene provjere, pa arhitektura može izgledati kao ova prikazana na slici 5.8.
Slika 5.8. Skica izvedbe računalne mreže u slučaju pružanja usluga temeljenih na
e-poslovanju
5.2.4. OSI referentni model
Kada su računalne mreže nastale elektronički uređaji su obično bili sposobni ko-
municirati samo s uređajima istoga proizvođača. Česti su bili slučajevi upotrebe
elektroničkih uređaja koji su forsirali samo jednoga proizvođača (primjerice, IBM
kompatibilna računala i rješenja). Krajem sedamdesetih godina Međunarodna
151
organizacija za standardizaciju (International Standardization Organization - ISO)

je stvorila referentni model rada računalnih mreža, nazvan Open Systems Inter-
connection (OSI referentni model).
OSI model je bio namijenjen, prije svega, proizvođačima elektroničkih uređaja
kako bi mogli stvarati kompatibilne mrežne uređaje, usluge i softvere temeljene na
određenim standardima (protokolima) kako bi mreže različitih proizvođača mogle
međusobno komunicirati i dijeliti sadržaj.
OSI model je slojeviti arhitekturni model koji opisuje kako neki sadržaj ili
neka aplikacija na jednom računalu (uređaju u mreži) koristi odgovarajuće proto-
kole (standarde i pravila) i mrežne medije u svrhu prijenosa toga sadržaja nekoj
aplikaciji i usluzi na nekome drugom elektroničkome uređaju koristeći različite
slojeve.
OSI referentni model predstavlja konceptualnu skicu koja određuje pravila i
način prijenosa sadržaja u računalnoj mreži. Taj model predstavlja sve procese
potrebne za uspješnu razmjenu sadržaja u računalnoj mreži dijelivši ih na logičke
grupe koji se nazivaju slojevi. OSI referentni model je hijerarhijski model temeljen
na slojevima koji omogućuju mrežama i uređajima različitih proizvođača da rade
zajedno, razmjenjuju podatke, sadržaje i dijele usluge.
OSI referentni model ima 7 slojeva:
• sloj aplikacije (sloj 7)
• sloj prezentacije (sloj 6)
• sloj sesije (sloj 5)
• transportni sloj (sloj 4)
• sloj mreže (sloj 3)
• sloj povezivanja podataka (sloj 2) i
• fizički sloj (sloj 1).
Sedam slojeva OSI referentnog modela je podijeljeno u dvije grupe:
• gornji i
• donji slojevi.
3 gornja sloja (aplikacijski, prezentacijski i sloj sesije) određuju kako će apli-
kacije u krajnjim dijelovima mreže komunicirati jedne s drugima i s korisnicima.
Sloj aplikacije pruža korisnicima sučelje za interakciju s mrežnim uslugama, ali i
protokole za njihovu provedbu. Sloj prezentacije vodi brigu o obradi podataka, a
sloj sesije odvaja podatke različitih aplikacija.
152
Tablica 5.2. OSI referentni model, usluge i protokoli
OSI model Usluge Protokoli

Aplikacijski Prijenos datoteka, elektronička pošta, daljinski DNS, SSH,
sloj pristup mreži, upravljanje mrežom, korisničko- TLS/SSL, SFTP,
poslužiteljsko okruženje i povezane usluge, HTTP, HTTPS,
lokacija korisnika, komunikacija s korisnikom POP3, SMTP,
SSH
Prezentacijski Predstavlja podatke, prebacuje ih u standardni XML, JSON
sloj format (ASCII), komprimiranje i dekomprimiranje
podataka, šifriranje, opisivanje (metapodaci),
obrada, multimedijalne operacije
Sloj sesije Upravljanje sesijama među entitetima sloja SQL, AppleTalk
prezentacije, komunikacija između različitih
mrežnih uređaja ili čvorova, održava podatke
raznih aplikacija odvojenim od podataka drugih
aplikacija
Transportni Brine o ispravnosti isporuke sadržaja i TCP, UDP
sloj provjerava sadržaj prije slanja
Mrežni sloj Paketima podataka dodjeljuje logičke adrese i IP adrese, IP
usmjernicima (routerima) određuje put (IPv4, IPv6)
Sloj Priprema pakete podataka za prijenos, pruža MAC adrese
povezivanja pristup mrežnim medijima, otkriva pogreške u
podataka prijenosu
Fizički sloj Određuje napon i brzinu prijenosa podataka i Ethernet,
način rada fizičkih dijelova mreže Bluetooth,
Wireless
Donji slojevi određuju kako se sadržaj prenosi kroz fizičke dijelove mreže
(kabele), prespojnike i usmjernike i odnosi se na ova 4 sloja:
• transportni sloj
• sloj mreže
• sloj povezivanja podataka i
• fizički sloj.
Transportni sloj brine o ispravnosti isporuke sadržaja i provjerava sadržaj prije
slanja, a sloj mreže sadržaju dodjeljuje logičke adrese koje usmjernicima (routeri-
ma) služe da bi ga mogli prosljeđivati mrežom. Sloj povezivanja podataka pripre-
ma pakete podataka za prijenos, pruža pristup mrežnim medijima koristeći različite
adrese i otkriva pogreške u prijenosu, dok fizički sloj premješta bitove između ure-
đaja, određuje napon i brzinu prijenosa podataka i način rada fizičkih dijelova mreže.
153
Mrežni uređaji koji rade na svih 7 slojeva OSI modela su stanice za upravljanje
mrežom, web i aplikacijski serveri, mrežni prolazi (gateways) i mrežna računala.
Na različitim mrežnim slojevima koriste se različite usluge, što je prikazano tabli-
com 5.2.
U OSI referentnom modelu sloj aplikacije se odnosi na usluge uporabe datote-
ka, ispisa, razmjene sadržaja, uporabe baza podataka i aplikacija.
Najčešća upotreba sloja prezentacije su usluge šifriranja podataka, komprimira-
nja i prevođenja.
Sloj sesije se koristi za kontrolu prenesenoga sadržaja, a transportni sloj ih prenosi
među krajnjim točkama mreže. Sloj mreže omogućuje usmjeravanje poruka, sloj
povezivanja prijenos sadržaja, a fizički sloj pruža fizičku topologiju za prijenos.
U OSI referentnom modelu sloj aplikacije sadrži usluge kojima korisnici zaista
komuniciraju s elektroničkim uređajima, najčešće računalima. Taj se sloj koristi
samo kada je razvidno da će uskoro biti potreban pristup mreži. Najčešći primjeri
su prijenosi datoteka, elektronička pošta, daljinski pristup mreži, aktivnosti uprav-
ljanja mrežom, korisničko-poslužiteljsko okruženje i povezane usluge, određivanje
lokacije korisnika i slično. Najčešći primjeri mrežnih aplikacija i protokola na ovome
sloju su www, html, HTTP i HTTPS,TCP/IP, mrežni protokoli za e-poštu (SMTP, pop3,
x.400 protokol za prijenos sadržaja među različitim aplikacijama elektroničke po-
šte, EDI, pretraživački servisi poput Google-a i različiti servisi za financijske i ostale
poslovne transakcije).
Sloj prezentacije, kao što i sam naziv sugerira, sastoji se od protokola i usluga
kojima se podaci (sadržaj) prezentiraju sloju aplikacija, prikazuju se u ispravnom
formatu i po potrebi prevode. Taj sloj ustvari kodira, oblikuje i prevodi sadržaj u
različite formate zapisa kako bi ih protokoli sloja aplikacije mogli pročitati i koristiti.
Njegov osnovni zadatak je prebaciti podatke u standardni format (najčešće ASCII)
prije njihovoga prijenosa mrežom.
Važni primjeri usluga u ovome sloju su konverzija, komprimiranje i dekomprimi-
ranje podataka, njihovo šifriranje i opisivanje (metapodaci) i razne multimedijalne
operacije s podacima (ovaj sloj podržava brojne funkcije prijenosa grafike poput
PICT, TIFF, jpeg, MIDI, MPEG, rtf itd.).
Sloj sesije jedan zadužen za upravljanje sesijama među entitetima sloja prezenta-
cije. Taj sloj omogućava komunikaciju između različitih mrežnih uređaja ili čvorova
i održava podatke raznih aplikacija odvojenim od podataka drugih aplikacija. Naj-
češći primjeri protokola sloja sesije su: sql, rpc (remote procedure call), AppleTalk
session protokol, network file system itd.
154
Transportni sloj dijeli i ponovno sakuplja podatke u tok podataka. Protokoli smje-
šteni na transportnome sloju odvajaju i ponovno okupljaju podatke iz aplikacija
gornjih slojeva i omogućuju njihovu razmjenu (transport) odnosno logičko spajanje
među računalom (uređajem) koje šalje podatke s onime koji ih prima. Tipični pri-
mjeri su TCP i udp protokoli (udp je manje pouzdan protokol).
Sloj mreže upravlja adresiranjem uređaja, prati lokaciju uređaja u mreži i određuje
najbolji način za prijenos podataka među uređajima koji nisu lokalno povezani. Pri
tome najčešće se koriste ruteri koji usmjeravaju sadržaj prema odredištu.
Za razliku od OSI referentnog modela, slojevi TCP/IP arhitekture su naizgled
jednostavniji i čine ih:
• aplikativni sloj je najviši sloj u TCP/IP arhitekturi pomoću kojega aplikacije
pristupaju mrežnim servisima ili protokolima za razmjenu sadržaja, a sadrži
protokole kao što su HTTP, FTP, SMTP
• transportni sloj omogućuje aplikacijskome sloju servise sesije i komunikaci-
je i sadrži protokole kao što su TCP i UDP
• internet sloj je odgovoran za usmjeravanje, stvaranje i dodjeljivanje IP adre-
sa paketima podataka, a obuhvaća IP protokol i njemu slične (ARP, ICMP) i
• sloj mrežnog pristupa koji postavlja pakete na mrežu i uklanja ih s mreže.
Tablica 5.3. Razlike i sličnosti između TCP/IP i OSI referentnog modela
TCP/IP model OSI model Protokol

DNS, DHCP, TLS/SSL, FTP, HTTP, HTTPS,
Aplikacijski sloj NNTP, POP3, SMTP, SSH, Telnet, BitTorrent,
rlogin, RTP, …
Prezentacijski sloj XML, JSON
Aplikacijski sloj
Sloj sesije SQL, AppleTalk
Transportni sloj TCP, UDP, DCCP, SCTP, IL, …
Transportni Mrežni sloj IP (IPv4, IPv6), ICMP, ARP, RARP, ...
Sloj povezivanja Token ring, PPP, SLIP, FDDI, ATM, DTM, Frame
Internet sloj
podataka relay, SMDS, ...
Sloj pristupa
Fizički sloj Ethernet, Wi-Fi, Bluetooth
mreži
155
5.2.5. Pregled obilježja nekih protokola sigurnog prijenosa

sadržaja
Komunikacijski protokoli su softveri koji predstavljaju pravila prijenosa sa-

držaja računalnom mrežom i omogućuju pružanje različitih usluga poput:
• siguran prijenos sadržaja (najvažniji cilj komunikacijskih protokola)
• sigurna razmjena dinamičkih podataka (podataka u prijenosu)
• zaštita statičkih podataka (podaci u mirovanju)
• sprječavanje neovlaštenoga pristupa podacima
• provjera autentičnosti podrijetla podataka
• provjera cjelovitosti (integriteta) podataka
• provjera povjerljivosti podataka
• nadzor rada i upravljanje računalnom mrežom.
Gotovo nezaobilazni protokoli prijenosa sadržaja s različitim mrežnim uređa-
jima su FTP i SCP (FTP - engl. file transfer protokol i SCP – engl. secure copy proto-
col). SCP je bolje oblikovan za jednokratni prijenos sadržaja unutar iste mreže (SCP
omogućuje prijenos sadržaja unutar iste mreže uz kriptiranje), a FTP za uporabu
na udaljenim poslužiteljima (prijenos i upravljanje podacima se odvijaju uz bolju
kontrolu odredišta, ali bez kriptiranja sadržaja). Oba protokola prijenosa sadržaja
se podudaraju u brzini prijenosa, ali SCP je kudikamo sigurniji i svakako primjere-
niji rukovanju s povjerljivim sadržajem (unos i prijenos lozinki i ostalih povjerljivih
pristupnih podataka). Oba protokola funkcioniraju na aplikacijskome sloju OSI re-
ferentnog modela.
Protokoli koji omogućuju zaštitu dinamičkih (podaci koji se prenose mrežom) i sta-
tičkih podataka (podaci u mirovanju, podaci koji se odnose na ranije transakcije i
koji su pohranjeni u bazama podataka) su protokoli koji uključuju kriptiranje (šifri-
ranje) sadržaja.
Zaštita prijenosa sadržaja kriptiranjem (šifriranjem) se odnosi na onemogućava-
nje razumljivosti sadržaja, uz korištenje nekoga algoritma njegova šifriranja (krip-
tiranja). Te zaštitne mjere nisu usmjerene sprječavanju pristupa sadržaju, nego
onemogućavanju njegova razumijevanja. Dešifriranje (dekriptiranje) sadržaja je
moguće pomoću javnoga kriptografskog algoritma, logičkoga ključa, matematič-
ke formule ili njihovom kombinacijom. Najčešći kriptografski algoritmi su algoritmi
simetričnoga kriptiranja (DES, AES), asimetrični algoritmi (RSA, PKI), algoritmi sa-
žimanja (hashing - CRC32, MD5, SHA, MAC) i digitalni potpis i bit će objašnjeni u
nastavku teksta.
156
Neki od poznatih sigurnosnih protokola koji omogućuju zaštitu podataka u prije-

nosu i mirovanju su:
• Secure Socket Layer (SSL)
• Secure File Transfer Protocol (SFTP)
• Secure Hypertext Transfer Protocol (HTTPS)
• File Transfer Protocol (FTP)
• Ipsec.
SSL (engl. Security Socket Layer) je protokol koji šifriranjem štiti sadržaj pri prijenosu
mrežom. Algoritam rada ovoga protokola uključuje identifikaciju poslužitelja (ser-
vera), identifikaciju korisnikovoga uređaja (klijenta) i šifriranu razmjenu podataka
među njima. SSL ostvaruje zaseban komunikacijski sloj smješten na pouzdanom
transportnom sloju (TCP/IP). Način njegova rada je sljedeći:
• na aplikacijskoj razini prima poruku, rastavlja je, dodaje kontrolne brojeve,
šifrira svaku poruku, po potrebi komprimira poruku kako bi što brže putovala
mrežom i šalje poruku
• na korisničkoj (klijentskoj) razini prima dijelove, po potrebi dekomprimira, de-
šifrira (dekriptira), provjerava kontrolne brojeve, sastavlja poruku i predaje
aplikacijskoj razini.
Upotrebom SSL protokola prije primanja ili slanja poruke ostvaruje se zaštićena
veza prijenosa sadržaja kroz mrežu. Ta je zaštićena veza vidljiva oznakom lokota,
tekstualnom obavijesti i zelenim URL okvirom.
TLS (eng. Transport Layer Security) je nasljednik SSL protokola odnosno njegova una-
prijeđena verzija koja stvara tunel odnosno sigurnu VPN vezu između internetskoga
preglednika i mrežne stranice, šifrirajući povjerljiv sadržaj pri prijenosu. Ovaj proto-
kol je ativan na 5. i 6. sloju OSI referentnog modela (prezentacijski sloj i sloj sesije).
Slika 5.9. SSL i HTTPS protokol
157
Oba se protokola, ustvari, sastoje od dva, međusobno povezana protokola:

• SSL Handshake (rukovanje) protokol koji omogućuje korisničkome uređaju i
poslužitelju međusobnu identifikaciju i razmjenu parametara za prijenos (ši-
friranje, digitalni potpis) i
• SSL Record (zapis) koji je zadužen za šifriranje i prijenos podataka.
SET protokol (engl. Secure Electronic Transaction) je evolucijski nasljednik SSL pro-
tokola, a razvile su ga poznate kartičarske kuće Visa i Mastercard u suradnji s teh-
nološkim kompanijama kao što su Microsoft, IBM, VeriSign i ostale. SET je objavljen
1996. kao osnovni industrijski standard dizajniran za zaštitu plaćanja kreditnim
karticama na internetu. Njegovim razvojem upravlja posebno tijelo naziva SET Co
sastavljeno od predstavnika kompanija koje ga koriste za zaštitu transakcija (Visa,
Mastercard, American Express i JCB).
HTTP (engl. Hyper Text Transfer Protokol) je protokol koji omogućava razmjenu sa-
držaja između internetskog preglednika (engl. web browser) i web stranice. Ovaj
protokol omogućuje siguran prijenos i prikaz web sadržaja na zaslonu uređaja (ra-
čunala i mobilnih uređaja) i bez njega, doslovno, ne bi bili u mogućnosti vidjeti
sadržaj pohranjen na webu.
HTTPS (engl. Hyper Text Transfer Protocol Secure) je sigurna verzija HTTP protokola
preko kojega se sadržaj kriptira i šalje između preglednika i web stranice. HTTPS
Slika 5.10. HTTPS protokol
158
se često koristi za zaštitu vrlo povjerljivih online transakcija kao što su elektronič-
ko bankarstvo (internetsko i mobilno bankarstvo)i internetska trgovina, a obično
koristi jedan od dva sigurnosna protokola za kriptiranje komunikacije - SSL (Secure
Sockets Layer) ili TLS (Transport Layer Security). HTTP protokol se nalazi na aplika-
cijskome sloju OSI modela.
IPSec (engl. Internet Protocol Security) predstavlja skupinu novijih protokola (tre-
nutno je aktualna verzija IPsec v6) namijenjenih osiguranju internetske komuni-
kacije odnosno komunikacije temeljene na IP protokolu korištenjem autorizacije
i/ili šifriranjem kriptiranjem IP podatkovnih paketa. IPSec djeluje na mrežnom slo-
ju, trećem sloju OSI mrežnog modela, fleksibilan je jer omogućuje nepovredivost
podataka, autorizaciju, kriptiranje i sigurnost neovisnu o aplikaciji koja se koristi i
pruža zaštitu komunikacije prema protokolima 4. sloja (TCP i UDP).
Otvoreni portovi predstavljaju pojam koji se odnosi na pristupne točke putem
kojih je specifičnim podacima dopušten (ulaz i izlaz) iz usmjernika (routers) ili osta-
lih uređaja. Otvorene priključne točke su nužne za funkcioniranje određenih mrež-
nih usluga, ali i pružaju napadačima mogućnost neovlaštenoga pristupa. Tablica
5.4. prikazuje uobičajene priključne točke (tzv. portove) računalne mreže na kojima
su aktivni određeni prijenosni i komunikacijski protokoli i s njima povezane usluge.
Tablica 5.4. Pregled protokola i usluga na priključnim točkama mreže (open port
protocols)
Priključna točka Prijenosni protokol i usluga

20 FTP (kanali podataka)
21 FTP (kontrolni kanal)
22 SSH
23 Telnet
25 SMTP
53 UDP, TCP (DNS usluga)
80 TCP, HTTP usluga
110 POP3
143 IMAP
389 LDAP
443 HTTPS (za zaštićene web veze)
767 UDP (VoIP i video usluge)
Skeniranjem portova ili uporabom posebnih alata (poput CanYouSeeMe.org -

Open port check tool) može se otkriti koje su priključne točke mreže otvorene i je li
nad njima aktiviran određeni protokol koji pruža mogućnost neovlaštenoga pristu-
pa i moguće narušava sigurnost računalne mreže. Time se provjerava koji su TCP i
159
UDP portovi otvoreni, a jednom kada napadači pronađu dostupne poslužitelje, po-
kušavaju iskoristiti ranjivosti njihovih sigurnosnih konfiguracija i neovlašteno doći
do željenih podataka ili detaljno ‘snimiti’ način funkcioniranja računalne mreže i
time možda pripremiti još opsežniji i opasniji napad. Ove su aktivnosti sastavni dio
revizije informacijskih sustava, koja se odnosi na sustavnu provjeru funkcioniranja
i učinkovitosti kontrola koje su u njih ugrađene. Skeniranje portova će biti jedna
od važnih aktivnosti pri reviziji (provjeri) sigurnosti računalnih mreža, a cjelokupna
tema revizije informacijskih sustava će se detaljno obraditi u kasnijim poglavljima
ove knjige.
5.2.6. Segmentiranje računalne mreže i digitalni potpis
Velike računalne mreže često se iz sigurnosnih i poslovnih razloga razdvajaju (seg-

mentiraju) u manje podmreže. Razdvajanje velike računalne mreže na više malih
zove se segmentacija mreže, što se najčešće postiže upotrebom različitih spojnih
uređaja poput usmjernika (routera), prespojnika (switch) i mostova.
Segmentacija mreže predstavlja podjelu računalne mreže u logički i sigurnosno
odvojene cjeline (podmreže). Unutarnja struktura računalne mreže time nije vid-
ljiva izvana, računalna mreža je sigurnija, smanjuje se mogućnost zagušenja rada i
mreža radi bolje (smanjuje se lokalni promet), smanjuje se utjecaj lokalnih kvarova
na ostale dijelove mreže (ispad jednoga dijela mreže ne uzrokuje pad ili probleme
u drugima) i znatno se poboljšava sigurnost jer se uvodi kontrola pristupa nad
svakim dijelom mreže (ako neki napadač i prodre u određenu podmrežu, može
napraviti izoliranu i ograničenu štetu, za prilaz drugoj podmreži ponovno se traže
autorizacijski pristupni podaci).
Odvajanjem (segmentacijom) mreža se dijeli na više virtualnih, logički odvojenih i
izoliranih lokalnih mreža (VLAN – engl. virtual LAN) kojima se smanjuje mogućnost
napada i “njuškanja”, kojima bez obzira na lokaciju na kojoj se nalaze mogu pristu-
piti samo ovlašteni korisnici.
Digitalni potpis je zaštitna (kontrolna) metoda koja osigurava autentič-
nost i integritet podataka. Radi se o elektronički generiranome potpisu čija je
svrha jamčiti autentičnost sadržaja poruke (dokaz da poruka nije mijenjana na
putu od pošiljatelja do primatelja) i identitet pošiljatelja poruke (dodatno, pošiljatelj
ne može poricati da je poslao poruku).
Princip rada digitalnog potpisa je sljedeći:
• svaka strana u komunikaciji kreira par komplementarnih ključeva (tajni i javni)
• strane međusobno razmjenjuju javne ključeve
160
• strana A želi poslati poruku strani B, a strana B želi biti sigurna da je poruka
poslana upravo od strane A. U tome slučaju strana A potpisuje poruku kori-
steći svoj tajni ključ
• poruka pristiže do strane B
• strana B koristeći javni ključ strane A provjerava autentičnost poruke.
Princip potpisivanja poruke je:
• iz originalne poruke korištenjem hash funkcije kreira se sažetak poruke
• Hash funkcija - matematička funkcija koja se koristi za izračunavanje sažetka
poruke fiksne dužine, obično od 128 do 256 bita na temelju ulazne poruke
varijabilne duljine
• sažetak poruke kriptira se tajnim ključem potpisnika (strana A)
• rezultat je digitalni potpis trajno vezan uz poruku
• primatelj (strana B) prima poruku
• dekriptira digitalni potpis koristeći javni ključ pošiljatelja (strane A)
• dobiva izvorni sažetak poruke
• istodobno, primjenjujući hash funkciju na samu poruku kreira njen sažetak.
Ako sažetak odgovara izvornom sažetku iz digitalnog potpisa, potpis se
smatra ovjerenim odnosno poruka autentičnom.
Zakonska regulativa digitalnog potpisa neovisna je o tehnologiji i utvrđuje formal-

ne zahtjeve koje korištena tehnologija mora zadovoljiti:
• digitalni potpis mora biti jedinstven za osobu koja ga koristi (autentikacija po-
šiljatelja)
• mora postojati mogućnost provjere kome digitalni potpis stvarno pripada
161
• digitalni potpis mora osigurati i sebe i podatke koje potpisuje te postupkom

verifikacije osigurati mogućnost provjere autentičnosti poruke.
Zakon o elektroničkom potpisu u Hrvatskoj je stupio na snagu od 1. 4. 2002. Njime
je definiran pojam elektronički potpis koji znači skup podataka u elektroničkome
obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkome
obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elek-
troničkog dokumenta.
Napredan elektronički potpis – znači elektronički potpis koji pouzdano jamči
identitet potpisnika i koji udovoljava sljedećim zahtjevima:
1. povezan je isključivo s potpisnikom
2. nedvojbeno identificira potpisnika
3. nastaje korištenjem sredstava kojima potpisnik može samostalno upravljati i
koja su isključivo pod nadzorom potpisnika
4. sadržava izravnu povezanost s podacima na koje se odnosi i to na način koji
nedvojbeno omogućava uvid u bilo koju izmjenu izvornih podataka.
Također, Zakon određuje da certifikat znači potvrdu u elektroničkome obliku koja
povezuje podatke za verificiranje elektroničkoga potpisa s nekom osobom i potvr-
đuje identitet te osobe.
Digitalni certifikat je skup podataka u elektroničkome obliku koji predstavlja elek-
tronički identitet. U Hrvatskoj FINA je pružatelj usluga certificiranja i izdaje autenti-
fikacijski (normalizirani) certifikat koji osigurava autentičnost, cjelovitost, izvornost
i tajnost dokumenta ili elektroničke transakcije.
5.3. Napadi zlonamjernim računalnim programima

Virusi
“Pojavljuju se niotkuda, šire se poput požara i napadaju kako veće tako i manje kompju-
torske sustave, oštećuju datoteke čineći računala i mreže neuporabljivima. Provlače se
kroz e-mail, datoteke koje skidate s Interneta ili preko disketa. Ne postoje favoriti: vaše kuć-
no računalo ima podjednake šanse da bude zaraženo kao i mreža bilo koje kompanije.”
Michael Miller u knjizi “Apsolute PC Security and Privacy”
Zlonamjerni računalni programi (engl. malware, malicious software) su računalni

virusi i ostali zlonamjerni računalni kod koji se odnosi na širok krug softverskih pri-
jetnji usmjerenih na počinjenje šteta ugrožavanjem računalnih mreža, računalnih
i informacijskih sustava, ugrožavanjem ili krađom privatnih i povjerljivih podataka
162
i njihovom zloporabom. Te se prijetnje odnose na različite vrste virusa, ‘trojanaca’,

logičkih bombi, crva i ostalih malicioznih softvera. Radi se o računalnim programima
koji mogu “inficirati” druge programe tako da u njih unesu kopiju samoga sebe, koja
se kopiranjem može mijenjati. Virus se može proširiti računalnim sustavom ili mre-
žom koristeći se ovlastima korisnika koji su inficirani, na način da svaki program koji
je inficiran postaje virus, čime se zaraza (infekcija) širi i poprima sve veće razmjere.
Dakle, računalni virusi su programi koji su najčešće tajno (bez znanja korisnika ra-
čunala) ubačeni u sustav s namjerom ometanja ili počinjenja određene štete
odnosno s namjerom ugrožavanja povjerljivosti, integriteta ili dostupnosti podata-
ka, aplikacija, operacijskoga sustava ili nekoga drugog dijela računalnoga ili infor-
macijskoga sustava.
Računalni virusi se najčešće sastoje od nekoliko dijelova:
• Prvi dio - kôd koji omogućava razmnožavanje virusa – računalni program od-
nosno algoritam koji određuje uvjete i načine razmnožavanja virusa
• Drugi dio - ‘korisni’ teret (engl. payload) koji može biti bezopasan ili opasan –
algoritam koji se odnosi na samu srž zlonamjernoga programa, niz instrukcija
koji čini određenu štetu
• Treći dio - okidač (engl. trigger) - obično neka datoteka ili internetski link prima-
mljiva naziva kojima neoprezni korisnici pristupaju i time aktiviraju zlonamjer-
ni računalni program. No, ovisno o vrsti zlonamjernoga koda, okidači mogu
biti i određeni vremenom ili nekim drugim uvjetima (pokretanje malicioznoga
koda na točno određeni datum, temeljem određene aktivnosti korisnika, pri
provođenju određenih transakcija i slično).
Načini širenja (engl. propagation) i akcije koje virus provodi (engl. payloads) pred-
stavljaju njegove najopasnije dijelove, ali i temelj zaštitnih mjera osmišljavanjem
i primjenom antivirusnih programa koji sprječavaju nastanak i zarazu ili smanjuju
štetu koja njima može nastati.
Prvi računalni virusi nastali su u samim početcima korištenja računala i razvoja
informatike i računalnih znanosti. Von Neuman je još 1949. godine, bez, naravno,
ikakvih negativnih primisli, u svojoj knjizi “Teorija i organizacija složenih automa-
ta” iznio tezu da se računalni programi mogu samo-replicirati, a 1950. godine Bell
Lab stvara jednu od prvih, doduše primjenjivanu samo u laboratorijskim uvjetima,
računalnu igru “Core Wars” u kojoj se programi (“organizmi”) bore za prevlast nad
računalom.
Računalni virusi se u stvarnome svijetu počinju javljati 1980-ih godina pojavom
osobnih računala, kada sve veći broj ljudi počinje koristiti računalne resurse, često
bez znanja i kompetencija zaštite.
163
Tipični primjeri zlonamjernoga računalnog koda u to vrijeme su bili:

• 1981. g. Elk Cloner (Richard Skrenta 1982. g. Apple DOS 3.3, širio se preko dis-
keta)
• 1983. g. Len Adleman prvi eksperimentalni virus na računalu VAX 11/750
• 1992. g. Michelangelo, prvi virus raširen po cijelome svijetu koji je zarazio oko
20.000 računala, pokrenut 6. ožujka 1992. (na dan Michelangelovoga rođenja)
• 1996. g. prvi virus specijalno za Windows 95; makro virusi za Word i Excel
datoteke; prvi virus za Linux
• 1999. g. Melissa – kombinacija makro virusa i crva, proširio se na više milijuna
računala preko elektroničke pošte korisnika Outlook usluge i na par dana u
ožujku 1999. godine je srušio cijeli internet
• 2001. g. virus SirCam je zarazio 2,3 milijuna računala, a 2000. godine virus
LoveLetter samo u jednom danu 45 milijuna računala
• Computer Economics je procijenio da je virus Nimda nanio štetu u iznosu od
590 milijuna USD, a virusi CodRed i LoveLetter – 2,6 milijarde USD.
Današnji računalni virusi i zlonamjerni kodovi su kudikamo opasniji, i kao što je
bilo navedeno u ranijim poglavljima, osim računalne štete, mogu nanijeti velike
financijske, materijalne, fizičke štete, pa čak i potpune katastrofe s nesagledivim
posljedicama.
Studija slučaja 5.1.: Stuxnet računalni virus

Upravo je takva obilježja imao Stuxnet, najsofisticiraniji računalni virus dosad
koji je u lipnju 2010. zarazio 60.000 računala u Iranu s ciljem izravnoga napa-
da na računalne programe koji opslužuju iranski nuklearni program (nuklearna
elektrana u Bushenhru). Ne ulazeći u geopolitičke, geostrateške i ostale sigur-
nosne analize na svjetskoj razini, evidentno je da tvorci ovoga virusa nisu bili
znatiželjni hakeri ili pojedinci ili grupa pojedinaca željnih slave ili potvrde vlastitih
mogućnosti. Smatra se da je na stvaranje ovoga virusa bilo utrošeno na tisuće
sati rada vrlo kompetentnih programera i dobro uvježbanoga osoblja. Ako bi se
povodili tržišnim načelima, troškovi kodiranja (programiranja) bi nadmašili iznos
od 1,5 milijuna USD.
Stuxnet virus je ciljao napraviti sabotažu industrijskih postrojenja koje opslužuje
Siemens, osobito nuklearne elektrane u Bushenhru. Siemensov softver, naime,
kontrolira rad velikih industrijskih postrojenja i brojnih uređaja (naftovodi, elek-
trane, nuklearke), koji također trebaju biti primjereno zaštićeni.
164
Stuxnet je napisan tako da reprogramira softver za nadzor industrijskih postro-

jenja dajući nove instrukcije za upravljanje pojedinim aktivnostima, koje bi tre-
bale dovesti do njihova fizičkog uništenja, s nesagledivim posljedicama za cijelo
čovječanstvo.
Početak zaraze je bio uključivanjem USB uređaja u računalo (Windows), inficira-
nje toga računala i prikrivanje samoga zlonamjernog koda. Nadogradnja i širenje
je nastupalo u trenutku kada bi se zaraženo računalo spojilo na internet, zaraza
bi se širila na druga računala i sve diskove priključene u tome trenutku. Krajnja
meta je bilo računalo (dakle, zlonamjerni kod je ciljano tražio određeno računa-
lo) koje izvršava Korak 7 uz pomoć Siemensovog kontrolnog softvera (upravlja
centrifugom i ostalim mehaničkim procesima), zarazi kontrolni softver i sakrije
se. Nakon nekoliko dana počinje se širiti, usporava motore postrojenja kako bi ih
oštetio ili uništio. Šalje lažne signale kako bi sistem mislio da je sve u redu.
Brojne su, nažalost i svakodnevne zaraze računalnim virusima koje čine velike
štete, kojih korisnici često nisu niti svjesni, kao što najčešće niti ne znaju da su
bili metom takvih napada. U.S. Office of Personnel Management je 2014. i 2015.
godine bio napadnut od strane kineskih hakera koji su iskoristili slabosti infor-
matičkih kontrola i pristupili bazama podataka, datotekama i ostalim evidenci-
jama koje sadržavaju potpune i vrlo povjerljive podatke o vojnome i obavještaj-
nome osoblju (21,5 milijuna ljudi). Pri tome su ukradeni mnogi vrlo povjerljivi i
privatni podaci visokih dužnosnika poput, barem u SAD-u, ‘svemogućeg’ Social
Security Number, ime i prezime, adresa, boja očiju, financijska povijest, detalji o
povezanosti s drugim osobama (prijateljima i rodbini), otisci prsta, ostali pristu-
pni podaci itd.
Koja je bila namjera kod stvaranja ovoga računalnog virusa?
U kojoj mjeri smatrate da je infrastruktura zaštićena od ovakvih i sličnih napada?
Kako se šteta mogla spriječiti?
Koje kontrolne mjere predlažete da bi se ovakav događaj na vrijeme otkrio i da
moguća šteta bude što manja? Kako se štititi od računalnih virusa ove katego-
rije?
Hoće li u budućnosti biti manje ili više ovakvih incidenata? Što mislite o buduć-
nosti cyber rizika?
165
5.3.1. Vrste zlonamjernih računalnih programa
Iz dosadašnjih razmatranja jasno je da postoji veliki broj različitih vrsta i pojavnih

oblika zlonamjernih računalnih programa. Računalne viruse dijelimo prema sljede-
ćim obilježjima:
• prema načinu širenja (malware propagation types)
• prema akcijama koje provodi prilikom dostizanja mete (payloads).
Prema načinu širenja zaraze (malware propagation types) razlikujemo sljedeće vrste
računalnih virusa:
• virusi koji se šire kroz zaraženu datoteku (parazitski) ili ‘plasiranjem’ sa-
mostalne datoteke
• virusi koji se šire inficiranjem (modificiranjem) izvršnih datoteka, makro/
skriptnog koda (virusi), pri čemu inficirani program prvo izvršava zloćudni kod za
inficiranje drugih datoteka potom svoj payload te konačnu svrhu programa
• virusi koji se šire iskorištavanjem ranjivosti softvera (lokalno ili pre-
ko mreže – crvima ili drive-by-downloadima), kojima se ne inficiraju datoteke,
nego se radi o samostalnom zloćudnom programu koji se bez znanja korisni-
ka širi internetom, izvodeći svoj payload
• virusi koji se šire socijalnim inženjeringom pri čemu se zlonamjerni ko-
dovi aktiviraju ili instaliraju pokretanjem priloga koji sadrže malware u poru-
kama elektroničke pošte. Ovi virusi se mogu širiti i trojanskim konjima koji
su samostalni, naizgled korisni programi koji nakon korisnikova dopuštenja
instalacije izvršavaju payload.
Po akcijama koje malware provodi prilikom dostizanja sustava mete (payloads) ra-
zlikujemo sljedeće računalne viruse:
• virusi koji uzrokuju uništenje, pogrešan rad ili nemogućnost nastav-
ka korištenja računalnoga sustava i/ili sadržaja koji je u njemu po-
hranjen (prije svega podataka i datoteka). Tipični primjeri ove vrste virusa
su ransomware odnosno računalna ucjena kojom se nakon neovlaštenoga
upada na računalo šifriraju podaci koji su u njemu pohranjeni, a koji su nužni
za nastavak rada ili poslovanja, pri čemu računalni kriminalci traže odštetu
(najčešće u bitcoinima) za njihovo dešifriranje
• virusi kojima je cilj korištenje sistemskih resursa za ciljeve napadača,
pri čemu se napadnuto i računalnim virusom zaraženo računalo, mimo zna-
nja njegova korisnika, koristi kao sredstvo počinjenja drugih napada s ciljem
krađe povjerljivih podataka. Takva računala zovemo botnets i oni su radi djelo-
166
vanja zlonamjernoga koda pod potpunom kontrolom napadača i računalnih

kriminalaca
• virusi kojima je cilj krađa povjerljivih podataka. Tipični primjeri ovih vrsta
virusa su keyloggeri kojima se zaraženo računalo (botnet) koristi kako bi se mogli
pratiti i automatizmom kriminalcima slati povjerljivi podaci koji se unose tipkov-
nicom (na taj način napadači kradu pristupne podatk e-bankarstva pojedinaca
i kompanija, poput PIN-ova, autorizacijskih šifri za plaćanje i ostale povjerljive
podatke praćenjem unesenih podataka tipkovnicom). Po sličnome načelu funk-
cioniraju spyware računalni virusi koji nadziru gotovo sve aktivnosti korisnika na
zaraženome računalu. Također, poznati su primjeri i scareware virusa (program
za zastrašivanje) koji predstavlja zloćudni program koji stvara skočne prozore s
određenim porukama korisniku da mu je računalo zaraženo i da bi trebao na-
baviti novi antivirusni softver. U takvim situacijama problem uopće ne postoji,
a cilj zlonamjernoga softvera je zastrašiti korisnika i savjetovati mu kupnju soft-
verskoga rješenja koje će, tobože, riješiti problem. Upravo se kupnjom i instala-
cijom takvoga softvera pokreće računalni virus koji krade povjerljive podatke.
Slika 5.11. Ransomware zloćudni program
167
• virusi koji imaju za cilj neovlašteni pristup računalnim sustavima, naj-

češće mimo korisnikova znanja, uz sakrivanje od korisnika i izbjegavanje anti-
virusnoga softvera (stealthing). Backdoors predstavlja tajni ulaz u program bez
sigurnosnih procedura provjere, a rootkits omogućuje administratorski (root)
pristup računalu.
Slika 5.11. prikazuje sadržaj zaslona pod utjecajem cryptolocker-a odnosno ran-
somware zloćudnoga programa koji šifrira korisnikove podatke i traži otkupninu za
njihovo ponovno korištenje.
RANSOMWARE – TVRTKE NA UDARU UCJENJIVAČKOGA SOFTVERA

Liderpress, 18. 8. 2016.
Pravi je to scenarij iz noćne more za svakoga IT menadžera: primiti telefonski
poziv tijekom kojega ga obavještavaju da su stotine računala u tvrtki zaražena
ransomwareom, ucjenjivačkim softverom, zbog čega su kritični i za posao ključni
sustavi tvrtke sada nedostupni, a ugroženo je i cjelokupno poslovanje same or-
ganizacije. Upravo to dogodilo se jednoj velikoj tvrtki početkom ove godine. Ona
je postala žrtvom pozorno planiranoga i izvršenoga napada ransomwareom.
Istraga Symanteca utvrdila je kako se radilo o savršenome primjeru sve češćih
napada koji specifično ciljaju tvrtke. Istodobno dok većina kriminalnih grupa ran-
somwareom napada široke skupine korisnika, ne birajući ciljeve, dio ovih grupa
namjerno cilja pojedine organizacije kako bi onemogućili njihovo dnevno poslo-
vanje i kako bi bili u poziciji zahtijevati velike otkupnine. Mnogi ovi napadi koriste
istu razinu znanja i ekspertize koju vidimo kod cyberšpijunaže i s njom poveza-
nih napada te se u napadu koriste alati i sredstva koji zloupotrebljavaju sigur-
nosne propuste u softveru, kao što se koriste i legitimna softverska pomagala,
a sve s ciljem provaljivanja u mrežnu infrastrukturu organizacije. Napadači u
našemu primjeru nisu bili ništa drugačiji te su pristup tvrtkinoj mreži dobili kroz
zloupotrebu nezakrpane ranjivosti na jednome od njezinih servera. Korištenjem
javno dostupnih hakerskih alata, napadači su skenirali mrežu žrtve i zarazili što
je bilo moguće više računala s dotad nepoznatom varijantom ransomwarea.
Ovaj je napad prouzročio znatne probleme u poslovanju organizacije, ali stvari
su mogle biti još i puno gore. Na sreću, ključni sustavi ponovno su brzo osposo-
bljeni, a većina kriptiranih podataka koje je ransomware napao mogla se vratiti iz
sigurnosnih kopija.
Iako su ove vrste napada još uvijek rijetke, sada je kroz niz primjera dokazano
kako su itekako moguće te se pred kriminalnim skupinama koje ih provode sada
otvaraju posve nove potencijalne mogućnosti da od bogatih organizacija iznu-
168
de otkupnine, što bi ih moglo motivirati da u povećanoj mjeri nastave s ovom

vrstom napada.
Zabrinjavajući trendovi
Symantecov najnoviji izvještaj o ransomwareu otkriva kako se u slučaju ucjenji-
vačkoga zloćudnog softvera radi o jednoj od najvećih prijetnji s kojom se danas
suočavaju i tvrtke i pojedinci. Prošla, 2015. godina, bila je u ovome pogledu re-
kordna te je otkriveno više od 100 novih obitelji ransomwarea. Većina otkrive-
noga ransomwarea sada pripada skupini opasnijih vrsti ove prijetnje: radi se o
crypto-ransomwareu koji kriptira (zaključava) sve datoteke žrtve sa snažnom, u
pravilu neprobojnom enkripcijom.
Prosječan iznos ucjene sada je više nego dvostruko veći nego ranije i iznosi 679
američkih dolara, dok je krajem 2015. g. iznosio 294 dolara. Ove smo godine ta-
kođer zabilježili i novi rekord u pogledu visine otkupnine kada je prijetnja znana
pod imenom 7ev3n-HONE$T (Trojan.Cryptolocker.AD) tražila otkupninu u visini
od 13 bitcoina po zaraženome računalu (što je, po tečaju na datum otkrivanja u
siječnju 2016., iznosilo oko 5.083 dolara po računalu!).
Ostale vrste računalnih virusa su:

• Boot sektor virusi su virusi smješteni na dijelu diska koji se učitava u memo-
riju prilikom podizanja sustava, pa jednom učitan virus može zaraziti druge
dijelove diskova koje računalo koristi. Ovi su virusi bili posebno aktivni počet-
kom 1990-ih godina kada su se prenosili zaraženim disketama.
• Makro virusi su opsegom manji zlonamjerni računalni programi kreirani
pomoću makro jezika (VBA ili slični) s ciljem obavljanja specifičnih zloporaba
u aplikacijama povezanih s često korištenim uredskim softverskim paketima
(Word, Excel).
• Skriptni virusi se temelje na skriptnim jezicima koji se koriste za izradu
mrežnih stranica (JavaScript, ActiveX, Java applet), izvršavaju se automatski
pri posjeti mrežne stranice, otvaranju Word ili Excel aplikacije, a sve su opas-
niji radi neozabilazne primjene mrežnih servisa.
• Trojanski konji su destruktivni programi koji prikrivaju svoju pravu aktivnost
predstavljajući se kao normalni programi, a šire se u privitcima poruka elek-
troničke pošte ili unutar nekoga drugog programa.
• Logičke bombe su zlonamjerni programi slične ‘naravi’ kao trojanski konji koji se
aktiviraju ispunjenjem nekoga uvjeta (provedba neke poslovne transakcije, ispu-
njenje nekoga vremenskog ili bilo kojega drugog, lako programabilnoga, uvjeta).
169
• Crvi su zlonamjerni programi sastavljeni od samokopirajućega koda koji

omogućava razmnožavanje i širenje svoga malicioznog sadržaja na način da
najčešće skenira mrežu tražeći računalo s odgovarajućim propustom na ko-
jega se može kopirati i replicirati. Ovi virusi su sposobni vrlo brzo usporiti ili
srušiti računalnu mrežu ili onemogućiti i usporiti mrežne usluge.
• Zečići sami kopiraju svoj sadržaj stvarajući veliki broj istih kopija na jednome
disku, sve dok na njemu ne ponestane prostora, a bakterije se šire po svim
diskovima u sustavu, ali u samo jednoj kopiji.
• Rezidentni virusi ostaju u memoriji računala nakon aktiviranja koda viru-
sa. Ostaju aktivni u pozadini i zaraze nove “žrtve” čim im se pristupi putem
drugoga programa ili samoga operacijskog sustava, a nerezidentni virusi
automatski traže druge domaćine koji se mogu inficirati, inficiraju ih i predaju
kontrolu programu kojega su zarazili.
Iz ovoga prikaza vidljivo je da postoji veliki broj računalnih virusa različitoga načina
i ishoda djelovanja. Unatoč njihovoj raznovrsnosti i stalnim novim pojavnim obli-
cima, ipak postoje određeni najčešći vidljivi znakovi koji ukazuju na zarazu
zlonamjernim računalnim kodom:
• programi se završavaju ili zamrzavaju
• dokumenti i pohranjeni sadržaj postaje nedostupan
• računalo ili elektronički uređaj se zamrzava, neispravno se pokreće ili neuobi-
čajeno radi
• povećava se količina datoteka i pohranjenoga sadržaja
• na zaslonu se pojavljuju čudne poruke
• kolege vas obavještavaju da su primili e-mail, a ne sjećate se da ste ga uopće
poslali.
Posljedice djelovanja zlonamjernih računalnih programa mogu prilično varirati, pri
čemu razlikujemo sljedeće kategorije:
• Bezopasni oblici (ispisivanje poruka, sviranje melodija, “skakanje” znakova po
zaslonu i slično)
• Štetni oblici (usporavanje sustava, zamrzavanje sustava, neuobičajen rad)
• Opasni oblici (mijenjanje podataka, gubitak podataka, krađa povjerljivoga sa-
držaja) i
• Vrlo opasni oblici (napadi na kritičnu infrastrukturu, katastrofe s velikim ma-
terijalnim i moguće ljudskim žrtvama).
170
Najčešći načini širenja zaraze su:

• preko zaraženih medija (USB i slično)
• datotekama koje se šalju preko mreže
• datotekama preuzetim s interneta
• datotekama koje se prosljeđuju društvenim mrežama i ostalim komunikacij-
skim kanalima
• datotekama koje se nalaze u raznim zaraženim dokumentima
• datoteke u privitcima elektroničke pošte ili poveznice primamljivoga naziva
čijim aktiviranjem se počinje izvoditi zlonamjerni kod
• ažuriranjem verzija softvera
• preuzimanjem datoteka s nesigurnih mrežnih mjesta (preuzimanje glazbe ili
filmova s neprovjerenih izvora poput torrenta i slično)
• korištenje nelicenciranoga softvera.
Sigurno ponašanje kojime se sprječava zaraza je rad na samostalnome računalu i
korištenje isključivo komercijalnoga softvera.
Rizično ponašanje se odnosi na razmjenjivanje medija, preuzimanje datoteka, po-
sebice s nesigurnih mrežnih mjesta, korištenje freeware i shareware softvera, pre-
bacivanje datoteka, dijeljenje dokumenata, pokretanje e-mail privitka i prihvaćanje
datoteka za vrijeme korištenja društvenih i komunikacijskih mreža.
5.3.2. Računalni virusi na mobilnim telefonima
U posljednje je vrijeme prodano više pametnih mobilnih telefona nego osobnih

računala, pa, nažalost, uopće ne treba čuditi što se pojavljuje sve više računalnih
virusa posebno oblikovanih za napade na mobilne telefone. Ti virusi mogu napra-
viti različite štete o kojima je već bilo riječi u prethodnim odjeljcima, primjerice, blo-
kirati memorijske kartice, zaraziti privatne i povjerljive podatke (fotografije, osobne
datoteke), promijeniti raspored ikona i sistemskih aplikacija, instalirati “lažne” ili
fontove koji ne rade, aplikacije i maliciozne programe, krasti podatke i slati poruke
drugima osobama itd.
Obzirom da najveći broj mobilnih telefona koristi Android operacijske sustave (70-
ak %), ne iznenađuje da se najveći broj računalnih virusa stvara upravo za takve
sustave. Najčešći izvor virusa na Android operacijskim sustavima jesu različite apli-
kacije koje se mogu preuzeti na raznim elektroničkim tržištima i trgovinama apli-
kacija, posebice onima koji nemaju dostatne sigurnosne mehanizme i provjere. U
171
nekim zemljama određene trgovine aplikacijama nije moguće koristiti, što korisnike
‘vuče’ prema manje sigurnima i pouzdanima. Primjerice, korisnici iz Čilea ne mogu
prodavati i kupovati aplikacije na Google Play Store-u, nego su primorani koristiti
neke druge trgovine koje mogu sadržavati maliciozni kod.
Slika 5.12. prikazuje primjere trgovina s aplikacijama koje prenose maliciozni kod
(od trgovine s najvećim udjelom aplikacija s malicioznim kodom): 33 % Android 159,
8 % Baidu, angeeks, liqucn, 7 % eoeMarket, apkke.
Slika 5.12. Primjeri e-trgovina s aplikacijama koje mogu prenijeti zloćudni raču-
nalni kod
Niti ostali operacijski sustavi nisu imuni na probleme koje mogu prouzročiti raču-
nalni virusi. U 2014. godini jedan od najopasnijih virusa za Safari i iOS operacijske
sustave je bio „WireLurker” (otkriven 1. 7. 2014.). Taj se virus počeo širiti preko kine-
ske trgovine aplikacijama Mayada App Store putem zaraženih preuzetih aplikacija
i radi svoje sposobnosti brzoga širenja predstavljao je prvu ozbiljniju prijetnju iOS
operacijskome sustavu. Njegov način funkcioniranja je bio da otkriva iOS uređaje
priključene na Mac računalo i bez znanja korisnika instalira preuzete aplikacije ili
automatski generirane maliciozne aplikacije. Način širenja je bio putem neoriginal-
nih punjača i putem zaraženih ostalih dodataka za iOS uređaje.
172
Ostali iOS zlonamjerni računalni programi su se odnosili uglavnom na preinačene

(jailbroken) uređaje i svi su potekli iz Kine:
• AdThief inficira i zamjenjuje oglašavački ID 75.000 uređaja
• Unflod krade sav iTunes promet kako bi ukrao Apple ID-eve
• Mekie se ponaša kao spyware i krade korisnikove poruke e-pošte, SMS poruke
i zapise o IM komunikaciji
• AppBuyer krade Apple ID-eve i kupuje aplikacije u pozadini.
Iako su zloćudni računalni programi uzrokom brojnih cyber prijevara i napada i
iako postoji prilično velik broj različitih vrsta (novi se stalno pojavljuju), računalo i
ostale elektroničke uređaje nije teško zaštititi od njihova negativnog utjecaja.
Osnovne mjere zaštite od svih vrsta zlonamjernih računalnih programa su:
• instalirati i stalno ažurirati antivirusni program
• ne otvarati sumnjive privitke porukama e-pošte i ne pokretati poveznice u
sumnjivim elektroničkim porukama
• redovito ažurirati operacijski sustav i ostale sistemske i komunikacijske soft-
vere kojega koristi elektronički uređaj
173
• koristiti obrambeni zid ili vatrozid (engl. firewall ) odnosno različite hardver-
sko-softverske metode zaštite i stalnoga nadzora mrežnoga prometa uz do-
zvolu pristupa samo legitimnome i regularnome sadržaju
• stalno provjeravati podatke kojima se koristimo
• nadzirati sve prispjele poruke e-pošte
• ustrojiti mehanizme i kriterije filtriranja (selekcije) vanjskoga mrežnog sadrža-
ja koji može ‘ući’ u unutarnju računalnu mrežu
• propisati organizacijska pravila iz područja informacijske sigurnosti, pridr-
žavati se pravila opreznoga i razumnoga korištenja interneta i elektroničkih
uređaja (ne posjećivati odnosno zabraniti pristup sigurnosno upitnim web
mjestima, koristiti samo legalne aplikacije i softver, ne razmjenjivati i ne preu-
zimati datoteke na internetskim servisima za razmjenu itd.).
Antivirusni softver je softver koji pokušava pronaći, spriječiti i ukloniti računalne
viruse i ostali zlonamjerni računalni kod. Poznati komercijalni antivirusni softveri
su Sophos, NOD 32, Norton AntiVirus, F-Secure, AVAST, ESET itd.
Najčešće metode rada antivirusnog softvera su:
Skeneri su najpopularnije i najraširenije metode koje traže heksadecimalne znako-
ve prisutne u poznatim virusima. Kao i sve ostale, i ove antivirusne programe po-
trebno je stalno ažurirati (prepoznaju samo poznate viruse!), a mogu “popravljati”
zaražene objekte.
Checksummeri provjeravaju cjelovitost objekata (utvrđuju jesu li promijenjeni dje-
lovanjem zloćudnoga koda) izračunavajući sigurnosne brojeve (checksum) za izvrš-
ne objekte i pohranjujući ih u baze podataka. Periodično ponovno provjeravaju
objekte i uspoređuju sigurnosne brojeve. Ove metode ne sprječavaju zarazu, samo
je otkrivaju i prijavljuju.
Monitori su rezidentni programi koji otkrivaju da se neka datoteka djelovanjem
zloćudnoga koda treba promijeniti i sprječavaju tijek tih aktivnosti. Viruse otkrivaju
po ponašanju.
Studija slučaja 5.2.: Hakerski napadi na Ryanair

Ryanair je jedna od najvećih aviokompanija u Europi s preko 9.500 zaposlenika.
Sjedište joj je u Dublinu, a osnovana je 1985. g. Posjeduju flotu od 302 zrako-
plova. Vrijednost imovine im se procjenjuje na 12 milijardi USD, a ukupni prihod
2014. godine je 5,7 milijarde USD. Koriste strategiju niskih cijena te na taj način
ostvaruju uspjeh. Lufthansa, njihov najveći konkurent, ima preko 700 zrakoplo-
va i 118.000 zaposlenih. U ovako velikim kompanijama vrlo važan čimbenik kon-
174
kurentske prednosti je dobro vođen, siguran, učinkovit i inovativan informacijski

sustav (svake godine se preko 97 % od svih 80-ak milijuna rezervacijskih transak-
cija ostvaruje putem internetskoga informacijskog sustava).
Radi svih tih razloga za očekivati je da tako velika kompanija ima vrhunsku zašti-
tu informacijskoga sustava. No, 29. travnja 2015. godine kineski su hakeri lažirali
transakcije za plaćanje goriva u vrijednosti od otprilike 5 milijuna USD. Ryana-
ir-ove transakcije vezane za plaćanje goriva su se odvijale preko China bank koje
su hakeri pomoću malware-a Dyre Wolfa izveli napad. Napad je tekao na sljedeći
način: haker je poslao mail zaposleniku Ryanara u kojemu se nalazio malware
pod imenom Upatre koji se nakon otvaranja instalira na računalo žrtve. Napa-
dači su iskoristili neznanje zaposlenika i izostanak sigurnosnih mehanizama radi
kojih je zloćudni kod uopće instaliran na računalo (zaposlenik je otvorio prilog
e-mail poruke). Instalacijom toga softvera napadači su dobili pristup informacij-
skome sustavu i bili u mogućnosti instalirati dodatni virus (Dyre) koji je poseb-
no pisan kako bi pratio financijske transakcije i pogrešno naveo korisnike da se
obrate ‘lažnoj’ službi za korisnike, što su ustvari bili napadači. Upravo je na taj
način zaposlenik Ryanair-a priopćio ključne pristupne podatke pomoću kojih se
neovlašteno prebacivao novac u iznosu od 1,5 milijuna USD.
Uzrok uspjeha napada na Ryanair leži u tome što uprava nije bila svjesna razmje-
ra cyber rizika i mislila je da se ‘to neće dogoditi njima’. Nisu imali odgovarajuće
zaštitne protokole koji bi ih spasili od napada i nisu provodili interne i eksterne
revizije informacijskoga sustava kojima bi se otkrile ranjivosti. Ubrzo nakon na-
pada Uprava Ryanaira je obavijestila China bank koja je blokirala račune i na taj
način sačuvala većinu novca. Ryanair nikakve detalje o napadu nije davao u jav-
nost nego su samo priopćili da si takvo nešto neće više dopustiti. U rujnu 2015.
godine obavijestili su javnost da su ukradeni novac u potpunosti vratili. Pozitivna
reakcija s tržišta na tu vijest je da su isti dan dionice Ryanaira porasle za 10 %.
Što je bilo uzrokom zaraze zlonamjernim računalnim programom? Zašto je na-
pad uspio?
Kako se ovaj incident mogao spriječiti?
Koja šteta za poslovanje bi nastala da je napad u potpunosti uspio?
Tko je bio odgovoran za propuste?
Koje kontrolne mjere predlažete da se u budućnosti ovakvi i slični incidenti ne
bi dogodili?
175
5.3.3. Najvažnije zaštitne kontrolne mjere koje proizlaze iz

studija slučajeva krađe podataka (Target , Ryanair, Sony i
ostali)
1. Nikada nemojte podcjenjivati „uljeza”

U današnje vrijeme postoji sve više i više cyber kriminalaca koji su jako motivirani
u namjeri krađe velike svote novca od velikih kompanija. One ih nikako ne smiju
podcijeniti jer će im se takvi napadi događati sve češće i češće.53 Slika 5.13. prika-
zuje broj i razmjere incidenata krađe podataka (data breach) zaključno s travnjem
2015. godine. Jasno je vidljiva učestalost napada, najveće mete te vrsta podataka
na koju se ciljalo.
Slika 5.13. Pregled incidenata vezanih za krađu podataka
53
Follow the Data: Analyzing Breaches by Industry, Trend Micro, 2015.
176
2. Trenutno su cilj velike svote novca

Kriminalci napadaju tvrtke izravno, jer to je mjesto gdje je veliki novac. Nema u
potpunosti određenih tehničkih pojedinosti o cyber napadu na Ryanair ili o tome
kako je novac zapravo ukraden, što je i razumljivo jer je pri tome moguće iznošenje
poslovnih tajni. Ali temeljem dosadašnjega iskustva, lažni elektronički prijenos nov-
ca preko banke je realan scenarij. Cilj napada je prebačen s pojedinaca na podu-
zeća pa čak i cijele države. Dyre Wolf prosječno krade između 0,5 do 1,5 mil. USD.
U slučaju Targeta, napadom na poduzeće ukradeno je preko 40 milijuna brojeva
kreditnih kartica, što opet dovodi do toga da se hakerima ne isplati napadati poje-
dince već poduzeća.
3. Cyber kriminal se mijenja – potreba za dijeljenjem informacija

Cyber kriminal nije isto kao i tradicionalni kriminal. U ovome vidu kriminala poje-
dinac ili skupina pojedinaca preko računala krade velike svote novca puno sigur-
nije od pljačkaša banaka, jer kriminalci dobivaju ogromne naknade za minimalni
rizik. To pokazuje potrebu za obvezama izvješćivanja u slučaju cyber kriminala.
Ako ne dijelimo pojedinosti napada, kako onda može i sigurnosna industrija u
cjelini naučiti i razumjeti iste? Mnoge kompanije ne bi zataškavale fizičke pljačke,
no zašto to čine s cyber kriminalom? Ryanair u svome obraćanju javnosti nije
dao nikakve informacije o napadu, samo su spomenuli da se takvo nešto neće
ponoviti. Time nisu dali priliku ostalim poduzećima da se zaštite i nauče iz njihove
pogreške.
4. Uvođenje analize identiteta

Bitno je uvesti analizu identiteta kojom poduzeće može pratiti neobična zbivanja i
transakcije na pojedinim računima. Na taj način kada haker upadne u sustav može
brže biti identificiran i prijetnja brže može biti uklonjena. Također, posebnu po-
zornost treba obratiti na račune s kojih se često vrše velike transakcije. U slučaju
Targeta trebalo je više od 2 tjedna da shvate da je došlo do napada, naravno, već je
bilo prekasno te je šteta bila počinjena.
5. Korištenje sigurnosnih sustava temeljenih na velikim podacima

Veliki podaci predstavljaju tehnologiju pomoću koje je moguće prikupljati velike
skupove strukturiranih i nestrukturiranih podataka, brzo i učinkovito ih analizi-
rati, uočavati uzorke i određivati nova poslovna pravila. Zaštita u stvarnome vre-
menu korištenjem podatkovne analitike je dostupna, tako da se ovakvi slučajevi
hakerskih napada mogu spriječiti. Ipak, brojna poduzeća ne koriste taj sustav
oslanjajući se na jednostavnija rješenja čime postaju lakša meta za hakerski na-
pad.
177
6. Zaštita podataka što je prije moguće

Umjesto usmjeravanja na određene ranjive točke end-to-end enkripcija osigurava
podatke od trenutka ulaska u sustav osiguravajući da ostanu kriptirani sve do tre-
nutka kada stigne na željeno mjesto, u ovome slučaju sustava za plaćanje.
7. Educiranje zaposlenika
U zadnjih nekoliko godina česti su pokušaju prijevare preko lažnih e-mailova, pisa-
ma od banke i sl., koja nerijetko završavaju u korist hakera. Educiranje zaposlenika,
vježbe na primjerima te njihova mogućnost otkrivanja takvih napada uvelike utječe
na sigurnost cijele organizacije. I u slučaju Targeta i Ryanaira malware je došao pu-
tem e-maila kojega su otvorili zaposlenici koji nisu znali prepoznati prijetnju.
8. Sigurnost cijeloga lanca nabave

Iako poduzeće ima odličan sustav obrane od cyber napada bitno je voditi računa
o svim poduzećima s kojima posluje i koji su uključeni kao vanjski korisnici u funk-
cioniranje informacijskoga sustava. Iz tih poduzeća, tj. tih kanala, može doći do
indirektnih napada – „to je kao da zaključate vrata da vam provalnici ne mogu ući,
ali ostavite sve prozore širom otvorene.” Ryanair – novac oduzet preko banke, a
Target napad je došao putem Fazio Mechanical.
9. Osiguranje za slučajeve cyber napada

U 90 % slučajeva ukradeni novac se nikada ne vrati vlasnicima. Hakeri novac pro-
sljeđuju na razne bankovne račune po mnogim zemljama čime otežavaju ili čak
onemogućuju praćenje i povrat toga novca. Poduzeća koja ovise o ukradenoj svoti
zbog takvoga napada lako mogu propasti. Rješenje: osiguranje od napada – osigu-
ranje isplaćuje ukradeni novac te poduzeće nastavlja s poslovanjem.
5.4. Upravljanje kontinuitetom poslovanja

Planiranje (održavanje) kontinuiteta poslovanja predstavlja postupke povezane s
pokušajima nastavka pružanja usluga klijentima i suradnicima u slučaju nastanka
neželjenih događaja koji imaju značajne negativne utjecaje na poslovanje organiza-
cije. Osnovni ciljevi tih postupaka su:
• sprječavanje nastanka neželjenoga događaja (ako je to moguće)
• osmišljavanje procedura koje će omogućiti nastavak značajnih poslovnih pro-
cesa u slučaju pojave neželjenoga događaja, pa čak i ako su posljedice toga
događaja vrlo velike (primjerice, fizičko uništenje središta organizacije).
178
Upravljanje kontinuitetom poslovanja je skup aktivnosti, radnih procedura i pra-

vila prema kojima se preventivnim mjerama sprječava pojava neželjenih štetnih
događaja, ali i skup reaktivnih mjera prema kojima se postupa u slučaju njihova
nastanka. Osnovna svrha i cilj procesa upravljanja kontinuitetom poslovanja jest
omogućiti neometan nastavak poslovanja u slučaju bilo kakvoga štetnog događaja,
ispada ili otežanoga rada informacijskoga sustava. Drugi važan cilj procesa uprav-
ljanja kontinuitetom poslovanja jest omogućiti brz i efikasan oporavak i ponovno
pokretanje poslovanja nakon štetnoga događaja.
PAO SUSTAV: AVIONI NISU MOGLI SLETJETI U ZRAČNU LUKU SPLIT

Tina Jokić, 24 sata, 18. 7. 2016., http://m.24sata.hr/news/pao-je-sustav-avioni-
ne-mogu-sletjeti-u-zracnu-luku-split-483597
Zbog poteškoća u informatičkome sustavu za prihvat putnika u Zračnoj luci
Split, oko 13 sati došlo je do zastoja na šalterima za check-in putnika koji su se
trebali ukrcati na 10 zrakoplova. Riječ je o oko 350 putnika koji su sa zakašnje-
njem krenuli na svoje letove. Naime, informatičari su popravili kvar za oko 30
minuta, no kako tijekom dana kroz zračnu luku prođe oko 70 zrakoplova, i zbog
kratkoga zastoja nastala je neočekivana gužva. - Tijekom dana će kroz zračnu
luku proći oko 14.000 putnika, što prema Splitu, što prema drugim destinacija-
ma. Angažirali smo dodatne ljude na prihvatu putnika kako bi što prije svi otišli
na svoje letove. Napravili smo sve kako bi putnicima koji su se trebali “čekirati”
baš u vrijeme pada sustava olakšali čekanje, podijelili smo im vodu. Ovom pri-
likom ispričavam se svima zbog neugodnosti. Još ne znamo kada će se promet
potpuno normalizirati – kazao nam je tijekom popodneva Mate Melvan, voditelj
službe prihvata i otpreme Zračne luke Split. Zbog zadržavanja zrakoplova u
zračnoj luci, jedan zrakoplov koji je u trenutku zastoja trebao sletjeti kružio je
oko 10 minuta dok se nije oslobodila pista, no niti jedan zrakoplov nije preusmje-
ren na druge zračne luke.
U okruženju digitalne ekonomije informacijski sustavi uz pomoć informacijske i

digitalne tehnologije provode veliki broj poslovnih transakcija i omogućuju brzo
i učinkovito poslovanje. No, isto tako, bilo kakav ispad ili otežano funkcioniranje
informatičke infrastrukture može stvoriti velike poslovne probleme. Ranije studije
slučaja (ComAir osobito) su pokazale da prekid rada ili otežano funkcioniranje in-
formacijskoga sustava može stvoriti prilično velike probleme, izravne i neizravne
štete (studija slučaja Delta Airlines) ili pravu poslovnu katastrofu (ComAir). Šteta
koja pri tome može nastati može biti izravna i neizravna. Izravna šteta se odnosi
na financijske gubitke prekida poslovanja (nemogućnost prodaje proizvoda ili uslu-
179
ga), materijalne i financijske štete nastale prekidom, troškove istraživanja i revizije

incidenta, troškovi kupnje novoga ili preinake postojećega hardvera, softvera ili
ostalih dijelova sustava, troškovi sanacije i ponovne uspostave redovitoga rada,
mogući regulatorni troškovi, troškovi reklamacija kupcima, dobavljačima i partne-
rima, dodatni troškovi komuniciranja s javnošću i promicanja ‘poboljšanog’ poslo-
vanja, troškovi koji proizlaze iz obveza prema dobavljačima, poslovnim partnerima
i drugim kompanijama u poslovnome ekosustavu itd.
Neizravna šteta se odnosi na gubitak povjerenja kupaca, korisnika, partnera i
dobavljača, negativan odjek u javnosti, gubitak postojećih kupaca i korisnika, krat-
koročna ili dugoročna smanjena sposobnost privlačenja novih korisnika, ugrožen
ugled itd.
Koraci upravljanja kontinuitetom poslovanja su:
1. razumijevanje poslovnih procesa i određivanje prioriteta
2. analiza utjecaja na poslovanje i procjena rizika
3. razvoj strategije za održavanje kontinuiteta poslovanja
• izrada plana oporavka (DRP, engl. Disaster Recovery Plan)
• izrada plana kontinuiteta poslovanja (BCP, engl. Business Continuity Plan)
• izrada plana oporavka informacijskoga sustava
• izrada plana pričuvne pohrane podataka (engl. data recovery)
• izrada plana testiranja čitljivosti i upotrebljivosti podataka nakon povrata
4. implementacija i koordinacija planova, testiranje i uvježbavanje aktivnosti
5. održavanje planova i stalno uvježbavanje procedura kontinuiteta poslovanja i
oporavka nakon neželjenoga događaja.
Tijek aktivnosti upravljanja kontinuitetom poslovanja prikazani su slikom 5.14.
Analizom utjecaja na poslovanje (BIA, engl. Business impact analysis) procjenjuje
se utjecaj svih poslovnih procesa na poslovanje i određuju prioritetni i najvažniji.
Procjena se temelji na određenim financijskim i ostalim poslovnim okvirima, ali i na
metodologiji procjene rizika, uz razgovore s vlasnicima poslovnih procesa. Prove-
dena analiza utjecaja na poslovanje obično je temelj izrade i donošenja krovnih
organizacijskih korporativnih kontrola poput Strategije kontinuiteta poslo-
vanja ili Politike upravljanja kontinuitetom poslovanja, koji bi trebali predstavljati
krovni interni akt u ovome području kojime bi trebale biti propisane faze, koraci i
aktivnosti kontinuiteta procesa i servisa i na načelnoj razini riješiti temeljna pitanja
iz ovoga područja.
180
Slika 5.14. Tijek aktivnosti upravljanja kontinuitetom poslovanja
Strategijom ili politikom trebali bi biti propisani i interni akti niže razine (pravilnik,
plan, detaljne operativne procedure koje se trebaju odobriti), kao i nužne opera-
tivne aktivnosti koje se trebaju provesti u praksi kako bi zaživio sustav upravljanja
kontinuitetom poslovanja. Trebali bi se razraditi i planovi kontinuiteta za pojedine
funkcije. Svi tim dokumentima trebaju biti određeni ključni čimbenici upravljanja
kontinuiteta poslovanja: nositelji odgovornosti (Odbor za kontinuitet poslovanja
kojime predsjedava predsjednik Uprave, Krizni odbor, koordinator za kontinuitet
poslovanja – direktor Službe informatike), definicija prekida i neželjenoga događaja,
odrediti poslovno kritične funkcije i načine njihova oporavka, redoslijed oporavka
poslovno kritičnih funkcija s prihvatljivim (ciljanim) vremenima oporavka (RTO –engl.
recovery time objective, recimo 6 h) i ciljanim vremenima (količinama) oporavka poda-
taka (RPO – engl. recovery point objective).
Pri tome vrlo je korisno ako kompanija već ima uspostavljen repozitorij poslov-
nih procesa, s jasno određenim ciljevima poslovnih procesa, njihovim vlasnicima,
kontrolnim mjerama i metrikama učinkovitosti. Ako to nije slučaj, koristeći definira-
ne poslovne procese na radnim sastancima s vlasnicima procesa prikupljaju se in-
formacije potrebne za analizu utjecaja na poslovanje, popunjavaju se (elektronički)
obrasci, stvara se katalog poslovnih procesa, određuju vlasnici i popisuju osnovna
obilježja. Nakon toga obično se utvrđuju najvažniji informatički servisi koji podrža-
vaju provedbu poslovnih procesa (radi se katalog informatičkih servisa). Svim
važnim informatičkim servisima se određuju sljedeći parametri:
• ciljano vrijeme oporavka poslovnih procesa (RTO – engl. recovery time
objective) predstavlja maksimalno dopušteno vrijeme neraspoloživosti po-
slovnih procesa i čini osnovnu mjeru kritičnosti poslovnih procesa; uobičaje-
181
no je da je vrlo blizu nuli (RTO < 1 sekunde), što znači da poslovanje zahtijeva
da je informacijski sustav stalno dostupan odnosno da informacijski sustav
mora poslovanju osigurati stalnu dostupnost procesa, usluga, infrastrukture
i svih resursa
• ciljano vrijeme oporavka podataka (RPO – engl. recovery point objective)
predstavlja količinu podataka u jedinici vremena koje je organizacija spremna
izgubiti u slučaju pojave neželjenoga i nepredviđenoga događaja; najčešće se
odnosi na vrijeme proteklo od posljednjega arhiviranja podataka; u suvreme-
nom poslovnom okruženju uobičajeno je da je RPO vrlo blizu nuli (RPO < 1
sekunde), što znači da informacijski sustav mora poslovanju osigurati stalnu
dostupnost podataka
• ciljano vrijeme restauracije podataka i procesa
• vrijeme neraspoloživosti informacijskoga sustava
• razina funkcionalnosti ključnih aplikacija.
U sklopu Plana kontinuiteta poslovanja dokumentiraju se rezultati analize utjecaja
na poslovanje i određuju kritični resursi za sve poslovne procese (ljudski, pravni,
materijalni i podaci i poslovne aplikacije), nakon čega se utvrđuju najvažniji resursi
informacijskoga sustava (poslužiteljska, mrežna i telekomunikacijska infrastruk-
tura) uz procjenu rizika nastupa neželjenoga događaja za svaki pojedini od njih.
Planom kontinuiteta poslovanja utvrđuju se i neprihvatljivi rizici za poslovanje i
određuju zaštitne (kontrolne) mjere sprječavanja takvoga scenarija, obveze i odgo-
vornosti (vlasnici rizika). Konačno, definiraju se i akcijski planovi postupanja u situa-
cijama mogućega neželjenog događaja ili prekida odvijanja poslovnih aktivnosti
banke (uz određivanja obveza i odgovornosti).
Iako se temelje na subjektivnoj procjeni vlasnika poslovnih procesa i najviše razine
menadžmenta, svi ovi podaci se mogu ‘uravnotežiti’ korištenjem primjerene me-
todologije i iskustvom provoditelja. Rizici se obično procjenjuju primjenom meto-
dologije procjene rizika (detaljnije opisane u poglavlju 3.) ili temeljem regulatornih
odredbi. Pri tome korisno je iskazati i financijski učinak rizika (recimo, kao umnožak
potencijalne financijske štete uslijed potpunoga ostvarenja rizika i vjerojatnosti da
se rizik pojavi/ostvari uz 5 mogućih kategorija, kao što je bilo prikazano u jednome
takvom modelu u poglavlju 3.).
Analiza utjecaja na poslovanje obvezno uključuje i međusobno ovisne poslovne
procese, međuovisne informatičke servise, opremu i rizike koji im prijete. Početne
vrijednosti pri vrednovanju rizika najčešće mogu biti prethodne procjene i praćenje
informatičkih incidenata, kvarova opreme, ispada, otežanoga funkcioniranja ili ne-
željenih događaja. Za svaki poslovni proces je nužno procijeniti izravnu i neizravnu
182
štetu (izravna i neizravna, financijska i reputacijska), utvrditi resurse potrebne za

oporavak, ovisnost o trećim stranama, odrediti kritična razdoblja poslovanja (vrš-
no opterećenje poslovnih procesa), propisati ključne podatke i informacije, utvrditi
RTO i RPO parametre informatičkih servisa potrebnih za njihovo funkcioniranje,
ciljano vrijeme restauracije podataka, napraviti procjenu učinkovitosti postojećih
kontrolnih aktivnosti.
Strategijom (politikom) i planom kontinuiteta poslovanja utvrđena načela uprav-
ljanja, a internim aktima nižih razina propisani detalji odnosno određeni su kritični
informatički resursi, servisi i infrastrukturna podrška koja bi trebala omogućiti ne-
ometano odvijanje poslovanja u slučaju prekida ili neželjenoga događaja. Pravilni-
kom (planom) oporavka od neželjenoga događaja (DRP, engl. Disaster Receo-
very Plan) moraju biti obuhvaćeni svi dijelovi informacijskoga sustava:
• uređaji (sigurnosno konfigurirani ključni uređaji poput podatkovnih poslužite-
lja, obrambenih zidova, usmjernika, mrežne infrastrukture itd.)
• komunikacijski sustavi (LAN, WAN, internetska veza, pomoćne veze, sigurno-
sni i komunikacijski protokoli)
• aplikativni sustavi (osobito poslužitelji s važnim aplikacijama)
• sistemska infrastruktura (sigurnosna infrastruktura, sustav za zaštitu od ne-
ovlaštenoga upada, e-mail sustav i sustav za zaštitu od malicioznih kodova).
Za sve njih je potrebno popisati najčešće moguće uzroke prekida i radnje koje se u
tome slučaju trebaju provesti. Vrlo je važno odrediti i ciljeve organizacijske jedinice
zadužene za informatiku (Sektor za informatiku) u slučaju neželjenoga događaja
(servisi koji trebaju nastaviti raditi, jasno određeni prioriteti i razine funkcionalnosti
tih servisa - minimalna, prosječna, puna funkcionalnost).
183
Tablica 5.5. Opcije oporavka obzirom na vrste i učestalost arhiviranja podataka
Kategorija
Opcija
opcije za Opis opcije
oporavka
oporavak
Podaci se kontinuirano dupliciraju i pohranjuju na
Učestalost Kontinuirano lokaciji za oporavak kroz replikaciju u stvarnome
dupliciranja i vremenu
pohranjivanja Dnevno Podaci se dnevno dupliciraju i pohranjuju
podataka Tjedno Podaci se tjedno dupliciraju i pohranjuju
Mjesečno Podaci se mjesečno dupliciraju i pohranjuju
Potpuni Podaci svih datoteka dupliciraju se i pohranjuju
Dupliciraju se i pohranjuju na lokaciji za oporavak
Vrsta Inkrementalni
samo novokreirane ili izmijenjene datoteke
duplikacije
Dupliciraju se i pohranjuju na lokaciji za
i pohrane
oporavak samo one datoteke koje su kreirane
podataka Diferencijalni
ili izmijenjene od posljednjega potpunog
dupliciranja
Daljinsko
zrcaljenje Podaci se zrcale na alternativnoj lokaciji kako bi
(Remote se osigurala kontinuirana raspoloživost
Mirroring)
Wide Area Korištenje clustera u WAN-u – visoka
HAC raspoloživost
Metoda
SAN – Storage Vrlo brza mreža koja omogućava komunikaciju s
duplikacije
Area Network jednim uređajem za pohranu podataka (storage)
i pohrane
Zrcaljenje
podataka Sinkrono upisivanje podataka na primarni i
diska (Disk
sekundarni disk
Mirroring)
Pohrana na
Tradicionalna duplikacija i pohrana na trake
trake
Electronic Automatsko kreiranje dupliciranih podataka
Vaulting putem dobavljača
Lokacija ponuđena od strane komercijalnog
Komercijalna
Udaljena dobavljača
lokacija Vlasništvo Lokacija unutar organizacije u kojoj se podaci i
organizacije kreiraju
Nakon toga se osmišljavaju procedure oporavka poslovanja kojima se treba oda-

brati optimalan način pohrane podataka na pričuvnoj lokaciji, metode i dinamika
arhiviranja podataka (posebice sistemskih podataka) i sigurnosno primjereno od-
laganje traka s arhiviranim podacima. U tablicama 5.5. i 5.6. prikazane su opcije
184
(rješenja) metoda arhiviranja podataka i ostalih čimbenika oporavka rada informa-

cijskoga sustava.
Tablica 5.6. Primjeri razmatranja vremena raspoloživosti obzirom na potrebne

opcije oporavka
Opcija Primjeri razmatranja vremena

Kategorija
oporavka raspoloživosti
Kontinuirano Pogodno za RPO od nekoliko sati
Učestalost
dupliciranja i Dnevno Pogodno za RPO od 1 dan.
pohranjivanja Tjedno Pogodno za RPO od 1 tjedan
podataka
Mjesečno Pogodno za RPO od 1 mjeseca
Nekoliko magnetskih traka i kraće vrijeme za
Potpuni
Vrsta oporavak
duplikacije Najviše magnetskih traka i najduže vrijeme
Inkrementalni
i pohrane oporavka
podataka Nekoliko magnetskih traka i kraće vrijeme za
Diferencijalni
oporavak
Daljinsko
zrcaljenje Pogodno za kontinuiranu raspoloživost gdje je
(Remote RTO = 0 i RPO = 0.
Mirroring)
Wide Area HAC

Metoda
duplikacije SAN – Storage Pogodno za procese koji zahtijevaju:
i pohrane Area Network RTO < 8 sati i RPO < 30 minuta
podataka Zrcaljenje diska
(Disk Mirroring)
Pohrana na Procesi koji zahtijevaju RTO > 72 sata i RPO > 24
trake sata.
Electronic
RTO od 8 do 72 sata i RPO < 24 sata.
Vaulting
Udaljenost, te metoda isporuke dupliciranih
Komercijalna
medija mogu utjecati na vrijeme oporavka
Udaljena
lokacija Dostava dupliciranih medija može kasniti ako
Vlasništvo
osoblje mora putovati na udaljenu lokaciju, što
organizacije
može utjecati na vrijeme oporavka
185
Kontrolna pitanja:
1. Objasnite najvažnije vrste i tehnike cyber napada.
2. Koje vrste cyber napada su usmjerene krađi identiteta korisnika? Kako ih možete pre-
poznati i koje zaštitne mjere treba poduzeti da se ne dogode odnosno da im učinak
bude blaži? Koje štete mogu nastati tim napadima?
3. Koje vrste cyber napada su usmjerene krađi podataka i izmjeni sadržaja? Kako ih
možete prepoznati i koje zaštitne mjere treba poduzeti da se ne dogode odnosno da
im učinak bude blaži? Koje štete mogu nastati tim napadima?
4. Objasnite pojam računalnih virusa, navedite par primjera i objasnite način djelova-
nja. Kako se zaštititi od njihova djelovanja?
5. Što su to botnets i kako spriječiti njihovo djelovanje?
6. Što je phishing i kako ga spriječiti?
7. Objasnite pojam društvenog inženjeringa i opišite zaštitne mjere.
8. Što je keyloger i kako se zaštititi od njegova djelovanja?
9. Kako se provodi ‘man-in-the-middle’ napad? Kako se od njega zaštititi?
10. Objasnite pojam kontrola pristupa informacijama i informacijskome sustavu?
11. Što je to identifikacija, a što autorizacija? Objasnite na nekoliko primjera.
12. Što je cilj metoda identifikacije, a što metoda autorizacije? Objasnite na primjeru
ISVU sustava kojega često koristite.
13. Objasnite metode identifikacije na primjeru pametnog telefona kojega koristite i
društvenih mreža čiji ste sudionik.
14. Koja pravila treba slijediti kod uporabe lozinki? Jesu li lozinke pouzdana metoda
identifikacije? Komentirajte.
15. Navedite i objasnite nekoliko primjera uporabe biometrijske identifikacije.
16. Što je višestruka identifikacija? Objasnite njezine prednosti i nedostatke. Gdje predla-
žete primjenu tih metoda?
17. Objasnite osnovne topologije računalne mreže.
18. Koji su osnovni elementi bežične računalne mreže.
19. Što je intranet, a što ekstranet? Objasnite primjere njihove primjene u poslovanju. U
kojem su odnosu internet, intranet i ekstranet. Objasnite sličnosti i razlike.
20. Kako se internetom prenosi sadržaj?
21. Što u okruženju računalne mreže znači pojam protokol? Koji je najvažniji internetski
protokol? Objasnite kako radi.
186
22. Nabrojite aktivne komponente računalne mreže i objasnite zašto ih smatramo ‘ak-
tivnim’.
23. Objasnite funkcije i način rada sljedećih mrežnih uređaja: most, razdjelnik, usmjer-
nik, pristupnik, poslužitelji, radna računala.
24. Što je to obrambeni zid i čemu služi? Navedite nekoliko primjera primjene.
25. Što je to OSI referentni model i čemu služi?
26. Objasnite koje usluge se pružaju na svakome pojedinom sloju OSI referentnog mo-
dela. Koji protokoli su prisutni na kojemu sloju?
27. Navedite najvažnije protokole koji služe sigurnome prijenosu sadržaja računalnom
mrežom i objasnite njihova obilježja. Objasnite zašto primjena tih protokola utječe
na informacijsku sigurnost.
28. Koji protokoli omogućuju zaštitu podataka u prijenosu? Kako ti protokoli djeluju?
Koju važnu komponentu informacijske sigurnosti podržavaju? Objasnite na primje-
rima.
29. Na web mjestu kreditnom karticom plaćate svoju omiljenu odjeću. Objasnite kako
se odvija prijenos podataka kojime se autorizira plaćanje. Koji protokoli trebaju biti
u funkciji kako bi tu kupnju smatrali sigurnom?
30. Što su to otvoreni portovi mreže i kako provjeravamo koje su usluge na njima mo-
guće?
31. Što je to segmentacija mreže i zašto se koristi?
32. Objasnite kako funkcionira digitalni potpis. Navedite nekoliko primjera njegove pri-
mjene.
33. Što su to računalni virusi i kako funkcioniraju? Navedite i objasnite nekoliko primjera.
34. Što je to ransomware i kako se zaštititi od njegova djelovanja?
35. Kako se najčešće pametni telefoni zaraze računalnim virusima? Što raditi da se zara-
za spriječi?
36. Objasnite mjere zaštite od svih vrsta zlonamjernih računalnih programa.
37. Zašto je važno upravljati kontinuitetom poslovanja? Što je cilj tih kontrolnih mjera?
38. Objasnite korake upravljanja kontinuitetom poslovanja.
39. Objasnite pojmove RTO i RPO. Što su ti pojmovi bliže nuli, rastu li ili padaju troškovi
udovoljavanja tim zahtjevima? Objasnite i komentirajte.
40. Objasnite tehnologije oporavka podataka.
187
6. Revizija informacijskih sustava

Ciljevi učenja ovoga poglavlja:
1. upoznati se s pojmom korporativnoga upravljanja informatikom i razumjeti
potrebu mjerenja učinka informacijskih sustava na poslovanje
2. znati objasniti pojam revizije informacijskih sustava i njezine ciljeve
3. objasniti obilježja krovnih i izvedenih standarda revizije informacijskih sustava
i steći osnovne kompetencije njihove primjene
4. znati opisati postupak provedbe revizije informacijskih sustava, steći osnovne
kompetencije primjene u praksi (znati provesti osnovne revizije informacijskih
sustava)
5. razumjeti važnost planova revizije informacijskih sustava i znati odabrati op-
timalne
6. razviti analitičko i kritičko razmišljanje vezano za reviziju informacijskih sus-
tava.
U situacijama i poslovnim sredinama gdje informacijski sustavi povezuju poslovne

procese i predstavljaju temelj poslovnoga modela, stvorili su se nužni infrastruk-
turni i organizacijski preduvjeti strateške primjene informatike u poslovanju. Su-
vremene digitalne i informacijske tehnologije (kao podskup informacijskih sustava)
sve se više ugrađuju u postojeće proizvode, stvaraju nove potrebe i usluge, nepo-
vratno mijenjaju poslovne procese i djelatnosti, a uporaba i učinkovito upravljanje
informacijskim sustavima čije su sastavni dio, postaju ključnim pitanjima funkcio-
niranja i razvitka.
Prisjetimo se da danas više nije nikakvo „čudo“ niti novina plaćati parkiranje ili pak
pregledavati popis najbližih slobodnih parkirališnih mjesta putem mobilnoga tele-
fona. Dapače, nije niti neočekivano pozvati mobilnu aplikaciju kojom je, uz odre-
đene prostorne, tehnološke i infrastrukturne pretpostavke, moguće ostaviti svoj
automobil da sam pronađe parkirno mjesto u posebno opremljenoj garaži i ‘javi
se’ gdje je parkiran kada nam opet zatreba. Šef smjene u velikome supermarketu
može šetati među policama i, zahvaljujući RFID tehnologiji, na zaslonu dlanovnika
(engl. Handheld Terminal) bežičnim putem pregledavati obilježja proizvoda koji se
189
na njima nalaze (koliko je stanje zalihe, kada će isteći rok trajanja pojedinome pro-
izvodu itd.).
Sva ta i brojna ostala obilježja suvremenih poslovnih procesa ne bi bila moguća
bez učinkovite i mehanički točne primjene informacijskih sustava u poslo-
vanju. To su sve obilježja primjene informacijskih sustava kao strateškoga part-
nera poslovanju odnosno poslovne funkcije čija učinkovita i intenzivna primje-
na može doprinijeti digitalnoj transformaciji i poboljšati rezultate poslovanja (niži
troškovi, diferencijacija, rast, povezivanje tvrtke s okruženjem, bolja konkurentska
pozicija, inovacija modela poslovanja, strateška promjena poslovnih procesa, stva-
ranje digitalnih poslovnih platformi, nepovratna promjena strukture u pojedinim
industrijama itd.). Informatika zauzima sve istaknutije mjesto u organizacijskoj hi-
jerarhiji kompanije, a funkcija direktora informatike (engl. Chief Information Officer,
CIO) pripada najvišoj razini menadžmenta uz odgovornosti usmjerene prije svega
inovaciji poslovanja uz primjenu informacijskih sustava čiji su sastavni dio suvre-
mene digitalne tehnologije.
Okruženje digitalne ekonomije se u stvaranju nove ili dodane poslovne vrijednosti
najviše oslanja na informacijske i digitalne tehnologije. Obzirom na interaktivnu i
sinergijsku ‘narav’ digitalne ekonomije, da bi se stvorila nova ili dodana vrijednost,
informacijski se sustavi, pored unutarnjim, formalnim i neformalnim, koriste i broj-
nim vanjskim izvorima resursa koji se prilično oslanjaju na digitalne tehnologije
(senzori i Internet stvari, društvene mreže, računalstvo u oblacima). Upravo radi
mogućnosti interakcije s okolinom i radi mogućnosti integracije s ostalim, odvoje-
no razvijanim tehnologijama, informacijske i komunikacijske tehnologije, posebice
novije digitalne tehnologije, smatramo pokretačem digitalne ekonomije i pokreta-
čem informacijskih sustava koji u digitalnoj ekonomiji provode poslovne transak-
cije. No, to znači da se pri upravljanju IT-om više ne možemo samo oslanjati na
unutarnje čimbenike.
Koncept suvremenog korporativnog upravljanja informatikom počiva na
dvije razine:
• Strateška (korporativna) razina (engl. IT Governance) koja je usmjerena
na vanjsko okruženje, strateško promišljanje i vizije digitalnih poslovnih plat-
formi kojima će se ‘pokriti’ interes svih zainteresiranih strana i
• Operativna (mahom tehnološka) razina (engl. IT Management) koja se
odnosi na unutarnje poslovno okruženje, upravljanje i administraciju poslo-
vanja uz pronalaženje najboljih tehnoloških i administrativnih rješenja kako
da se inovativni poslovni model provede u djelo.
Korporativno upravljanje informatikom (engl. Corporate governance of enterprise
IT) predstavlja skup pravila, metoda i mehanizama kojima se strateški po-
190
vezuje poslovanje i informatika i omogućuje da njezina intenzivna primjena

rezultira većom poslovnom vrijednošću i boljim poslovnim rezultatima.
Bez obzira na različite pojmove koji se koriste (jedan od mogućih je i upravljanje po-
slovanjem uz pomoć informacijske tehnologije - engl. governance of enterprise IT), mo-
žemo zaključiti da se radi o procesu osmišljavanja i provedbe inovativnih poslovnih
modela koji funkcioniraju uz intenzivnu podršku digitalne tehnologije i suvremenih
informacijskih sustava. Na taj se način strateški povezuju poslovanje i mogućnosti
primjene digitalnih tehnologija s ciljem stvaranja nove poslovne vrijednosti i prila-
godbe poslovanja svim parametrima digitalne ekonomije.
Stoga, korporativno upravljanje informatikom predstavlja skup mehanizama,
strateških inicijativa i kontrolnih postupaka kojima se osigurava da se informatički
resursi koriste u svrhu stvaranja nove poslovne vrijednosti.
Koncept korporativnoga upravljanja informatikom se odnosi na dva temeljna
načela:
1. upravljanje informatičkim rizicima do kojih neminovno dolazi radi nužnosti
uporabe digitalne i informacijske tehnologije i
2. stvaranje nove poslovne vrijednosti digitalizacijom poslovanja.
Prvo načelo (korporativno upravljanje informatičkim rizicima) se sastoji od
mehanizama upravljanja kojima se smanjuje učinak prijetnji (implementacija kontro-
la kojima se upravlja razinom sigurnosnih rizika) i pogrešaka (neuspješni IT projekti).
Drugo načelo (korporativno upravljanje vrijednostima koje informatika
stvara u poslovanju) se odnosi na modele pomoću kojih se pokušava stvoriti što
je moguće više nove vrijednosti za poslovanje iz IT ulaganja i informatičkih resursa
poslovanja.
Najvažniji ciljevi korporativnoga upravljanja informatikom su:
1. stvaranje više vrijednosti i koristi za poslovanje iz ulaganja u digitalne i
informacijske tehnologije
2. bolje shvaćanje i upravljanje rizicima primjene digitalne i informacijske teh-
nologije
3. bolje upravljanje svim informatičkim resursima (infrastrukturom, pro-
cesima, podacima i posebice ljudima) kako bi se strateški planovi digitalizacije
poslovanja i primjene IT-a mogli provesti u djelo i
4. podrška digitalizaciji poslovanja.
Već smo u ranijim poglavljima analizirali da mnogi izvršni menadžeri nemaju do-
voljno znanja i kompetencija u području korporativnoga upravljanja informatikom.
191
Nedavno istraživanje54 provedeno na uzorku od 863 izvršna menadžera je potvr-

dilo tu tezu: iako smatraju da se najveći izazovi u suvremenom vođenju poslovanja
odnose na primjenu digitalnih tehnologija i cyber rizika, samo 49 % njih je bilo
uključeno u razvoj strategije informatike, a većina je iskreno priznala da nemaju
dovoljno kompetencija u tome području.
Dakle, ako informacijske sustave koristimo kao stratešku poslovnu funkciju, nužan
preduvjet njihove učinkovite uporabe bit će svakako provedba mehanizama
korporativnoga upravljanja informatikom i redovite provjere njihove kvalitete
(revizije informacijskih sustava). Time provjeravamo funkcionalnost, učinkovi-
tost i uspješnost njihove primjene u poslovanju, a rizike primjene održavamo na
prihvatljivoj (željenoj) razini.
Stoga, obzirom na rastuću složenost informacijskih sustava (posebice prožimanja
digitalne i informacijske tehnologije s poslovnim procesima) i obzirom na njihovu sve
izraženiju stratešku ulogu u poslovanju (automatizam odvijanja brojnih poslovnih
procesa putem informacijskih sustava, ali i ponuda novih – inovativnih informacijskih
usluga), nužno je i da informacijski sustavi trebaju biti obuhvaćeni sustav-
nim organizacijskim mjerama kontrole, nadzora i provjere kvalitete.
6.1. Mjerenje učinka i kvaliteta informacijskih

sustava
Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mje-
ri odstupanje njegove realne funkcije za idealnom (Panian, 2001.). Što je odstupa-
nje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i
obratno. Informacijski se sustavi sastoje od niza komplementarnih dijelova (hard-
ware, software, dataware, lifeware, netware i orgware), koji koordinirano djeluju u
skladu s poslovnim zahtjevima. Stoga je mjerenje kvalitete informacijskih sustava
vrlo složen i zahtjevan postupak u sklopu kojega treba utvrditi idealnu funkciju su-
stava i pregledati i provjeriti (revidirati) njegovu trenutnu razinu uspješnosti. Da bi
se provjerila uspješnost informacijskoga sustava, nužno je dobro poznavati i pro-
vjeravati uspješnost njegovih sastavnih dijelova i njihovih međudjelovanja. Osnov-
ni čimbenici kvalitete informacijskoga sustava su:
• infrastrukturna podrška i pripadajući softver (uređaji koji podržavaju rad
informacijskoga sustava, računalna oprema i komunikacijska infrastruktura
54
PricewaterhouseCoopers (2014): What matters in the boardroom – director and investors views on
trends shaping governance and the board of the future, https://www.pwc.com/us/en/corporate-gover-
nance/publications/assets/pwc-what-matters-in-the-boardroom-director-investor-views.pdf.
192
zajedno sa sistemskim, aplikativnim i komunikacijskim softverom koji omogu-

ćuje njihov rad)
• podatci (transakcijski i ostali podatci, dostupnost, cjelovitost i sigurnost poda-
taka, metode i načini pohrane i arhiviranja svih vrsta podataka)
• korištenje i utjecaj na poslovanje (funkcionalnost informacijskoga sustava, učin-
kovitost podrške poslovnim transakcijama, djelotvornost, podrška poslovanju)
• zadovoljstvo korisnika (jednostavnost korištenja i zadovoljstvo korisnika zre-
lošću informacijskoga sustava i podrškom provedbi poslovnih transakcija).
Čimbenici kvalitete informacijskoga sustava djeluju koordinirano u skladu sa za-
htjevima poslovanja, a sukladni su komponentama informacijskoga sustava (har-
dware, software, dataware, lifeware, netware i orgware). Zakon minimuma
kvalitete informacijskih sustava kaže da je kvaliteta informacijskoga sustava
jednaka umnošku razina kvalitete svake pojedine komponente odnosno svodi se
na kvalitetu njegove najslabije komponente. To znači da se upravljanje razinom
kvalitete informacijskoga sustava ostvaruje ravnomjernim ulaganjem u razvoj svih
njegovih komponenata, a ne prekomjernim ulaganjem samo u pojedine.
Da bi mogli učinkovito upravljati informacijskim sustavima moramo imati meha-
nizme pomoću kojih mjerimo njihov utjecaj na poslovanje. Revizija informacijskih
sustava je analitička komponenta korporativnog upravljanja informatikom pomo-
ću koje se provjerava učinak informatike na poslovanje i provodi sveobuhvatna
provjera njihova rada. Revizija (provjera) funkcioniranja informatičke (digitalne) in-
frastrukture se provodi na metodološki utemeljen način koji kreće iz poslovnih
zahtjeva i određuje koje tehnološke i ostale infrastrukturne ‘zadatke’ informatika
mora provesti kako bi bila usklađena s poslovanjem. Tablica 6.1. prikazuje katego-
rije mjerenja učinkovitog rada informatike u području neprekidnosti poslovanja.
Tablica 6.1. Mjerenje učinkovitosti mjera upravljanja kontinuitetom poslovanja
Sati planirane
Neplanirana nedostupnost
nedostupnosti
Standard prije Trenutni standard,
Kategorija Trenutni standard
2014. g. nema promjene
Prihvatljivo Do 43,8 sati – 99,5 % Do 61 sata – 99,3 % Manje od 200 sati
Odlično Do 17,5 sati – 99,8 % Do 26 sati – 99,7 % Manje od 50 sati
Najbolji u
Do 1,8 sati – 99,98 % Do 4 sata – 99,95 % Manje od 12 sati
klasi
Bez
0 sati – 100 % 0 sati – 100 % 0 sati
nedostupnosti
193
Mjerenje učinka informatike na poslovne procese se može odnositi i na sljedeće

parametre:
• broj incidenata u određenome razdoblju
• broj aktivnih incidenata
• prosječno vrijeme rješavanja incidenata
• odnos incidenata otkrivenih nadzornim sustavom u odnosu na ukupni broj
incidenata
• broj provedenih redovitih promjena u produkciju koje su prouzročile incident
• broj izvanrednih promjena u produkciju koje su prouzročili incident
• broj promjena na produkciji koje nisu prijavljene službenom procedurom
• broj otvorenih problema i ukupni broj incidenata koje su prouzrokovali
• odnos otvorenih i zatvorenih problema u nekome vremenskom razdoblju
• broj problema za koje nije poznat uzrok
• odnos zahtjeva koji nisu preuzeti/riješeni u zadanome vremenu u odnosu na
ukupni broj zahtjeva.
Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mje-
ri odstupanje njegove realne funkcije za idealnom.55 Idealna funkcija informa-
cijskoga sustava zadana je zahtjevima koje je prema njemu odredilo poslovanje,
najčešće strateškim planom informacijskih sustava. Strateškim planom informati-
ke, koji, sjetimo se, mora biti usklađen sa strateškim planom poslovanja, poslovanje
je odredilo koje to ‘zadatke’ i ciljeve informatika mora ispuniti kako bi bila ‘korisna’ i
strateška poslovna funkcija.
Realna funkcija informacijskoga sustava se dobije mjerenjem učinkovito-
sti primjene odnosno provedbom procesa revizije informacijskih sustava.
Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom ma-
nje, sustav je kvalitetniji, i obratno. Informacijski se sustavi sastoje od niza
komplementarnih dijelova koji koordinirano djeluju u skladu s poslovnim zahtjevi-
ma. Stoga je mjerenje kvalitete informacijskih sustava vrlo složen i zahtjevan postu-
pak u sklopu kojega treba utvrditi idealnu funkciju sustava i pregledati i provjeriti
(revidirati) njegovu trenutnu razinu uspješnosti. Interna kvaliteta informacijskoga
sustava osiguravat će se internom kontrolom sustava, a razina te kvalitete utvrđivati
njegovom internom revizijom.56 Interna kontrola sustava provodit će se u djelo na
55
Panian, Ž. (2001.): Kontrola i revizija informacijskih sustava, Sinergija, Zagreb.
56
Ibid.
194
način da se unutar informacijskih sustava implementiraju odgovarajući kontrolni

mehanizmi kojima se umanjuju slabosti sustava odnosno smanjuje vjerojatnost
ostvarenja prijetnji. Sama implementacija kontrola nije dovoljna, već je nužno po-
vremeno procjenjivati njihovu učinkovitost. Provjerom (revizijom) učinkovito-
sti implementiranih kontrola moguće je procijeniti razinu informatičkih
rizika, odnosno utvrditi razinu kvalitete kontrolnih postupaka. Pojam revizije (engl.
Audit) odnosi se na postupak pregleda i provjere uspješnosti kontrola odnosno
ocjene kvalitete promatranoga sustava, njegova dijela ili subjekta.
6.2. Objašnjenje pojma revizije informacijskih

sustava
Revizija informacijskih sustava (engl. Information System Audit) je sustavan po-
stupak kojim se ocjenjuje djeluje li informatika u skladu s poslovnim ciljevima, u kojoj
mjeri djelotvorno i učinkovito podupire ciljeve poslovanja i kakva je praksa (zrelost)
upravljanja i kontrole informacijskih sustava na raznim hijerarhijskim razinama.
Revizija informacijskih sustava (engl. Information System Audit) je proces pro-
vjere uspješnosti informacijskih sustava obzirom na to što poslovanje od njih oče-
kuje odnosno obzirom na mogućnosti koje njihova primjena u poslovanju pruža.
Revizijama informacijskih sustava se provjerava postoji li neka informatička
kontrola i u kojoj je mjeri učinkovita, prikupljaju se argumenti i dokazi pomoću kojih
je moguće procijeniti rizike za poslovanje i dati preporuke za njihovo smanjenje,
što na kraju omogućuje bolje upravljanje informacijskim sustavom i poslovanjem.
Stoga, to je proces procjene kvalitete informacijskih sustava kroz postupke anali-
ze njihova učinka na poslovanje i provjere njihove točnosti, učinkovitosti,
djelotvornosti i pouzdanosti.57 Radi se o skupu složenih menadžerskih, re-
vizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci,
ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na
poslovanje. To je složen proces prikupljanja i procjene dokaza temeljem kojih
se može procijeniti učinkovitost i zrelost informatičkih kontrola odnosno
sustavan i metodološki utemeljen postupak kojime se ocjenjuje:
• djeluje li informatika u skladu s poslovnim ciljevima
• u kojoj mjeri djelotvorno i učinkovito podupire ciljeve poslovanja i
• kakva je praksa (zrelost) upravljanja i kontrole informacijskih sustava na raz-
nim hijerarhijskim razinama.
57
Panian, Ž., Spremić, M. (2007.): Korporativno upravljanje i revizija informacijskih sustava, Zgombić
i partneri, Zagreb.
195
Stoga, možemo govoriti i o ‘alternativnoj’ definiciji revizije informacijskih sustava

koja se odnosi na procjenu razine kvalitete informacijskih sustava u skladu s po-
trebama poslovanja, dakle procjene rizika kojima je poslovanje izloženo temeljem
činjenice da koristi određene informacijske sustave i preporukama za poboljšanje
prakse korporativnoga upravljanja informatikom.
Na mnogim tržištima vrlo mlada struka, pa i često krivo tumačena ili pogrešno
shvaćena, nastala isprva kao potpora reviziji financijskih izvještaja, revizija infor-
macijskih sustava osim egzaktne, analitičke, danas predstavlja i suvremenu sa-
vjetodavnu funkciju, desnu ruku koja menadžmentu pomaže pri (korporativnom)
upravljanju informatikom.
Primjenom krovnih (CobIT) i izvedenih standarda (ISO27000, ITIL , PCI DSS), revizi-
jom informacijskih sustava moguće je metodološki utemeljeno procijeniti razinu
njihove kvalitete, čime revizija postaje ‘analitička’ komponenta strateškoga uprav-
ljanja informatikom i, kao takva, nezaobilazna pomoć menadžmentu pri vođenju
informatike.
Objekt revizije informacijskih sustava jest sustavno, temeljito i pozorno pre-
gledati kontrole unutar svih dijelova informacijskoga sustava, a osnovni zadatak
procijeniti njegovo trenutno stanje (zrelost, razinu uspješnosti), otkriti rizič-
na područja, procijeniti razinu rizika i dati preporuke menadžmentu za
poboljšanje prakse njegova upravljanja.58 Konačan rezultat tih postupaka jest
izvještaj revizora informacijskoga sustava koji se, prema područjima analize
(temeljene na svjetski priznatim normama ili okvirima poput CobiT-a), sastoji od
sljedećih koraka:
• analiza stanja (zrelosti) primjene informacijskih sustava u poslovanju prema
promatranim područjima
• procjena poslovnih rizika koja proizlazi iz zatečenoga stanja
• preporuke menadžmentu za poboljšanjem toga stanja uz očitovanje Uprave
o provedbi.
Najčešći „povod“ primjeni integrirane revizije informacijskih sustava jesu regulator-
ni zahtjevi (primjerice, Sarbanes-Oxley zakon, Basel II norme, smjernice Hrvatske
narodne banke o upravljanju operativnim rizicima, pojedine odredbe Zakona o
bankama i obveze provedbe revizije financijskih izvještaja). Pored toga, porastom
važnosti primjene informacijskih sustava u poslovanju savjetodavna funkcija re-
vizije informacijskih sustava postaje sve prisutnijom. Koristi se kako bi neovisno
58
Spremić, M. (2012): Measuring IT Governance Performance: A Research Study on CobiT - Based
Regulation Framework Usage, International Journal of Mathematics and Computers in Simulation,
Volume 1, Issue 6, pp. 17-25
196
tijelo „snimilo“ stanje, uočilo kritične točke, procijenilo rizike primjene informati-
ke u poslovanju i dalo preporuke kako tim rizicima učinkovito upravljati. Time se,
pored regulatorne koja je u mnogim zemljama obvezna, revizija informacijskih
sustava sve češće koristi i kao analitička i savjetodavna aktivnost kojom se
želi poboljšati postojeća poslovna praksa.
Pri tome, naravno, prednjače uspješne kompanije kojima su osnovni ciljevi pro-
vedbe revizije informacijskih sustava:
• provjeriti trenutno stanje informatike odnosno utvrditi razinu zrelosti (kva-
litete) upravljanja informacijskim sustavom
• procijeniti (mjeriti) učinak informatike na poslovanje, posebice na mogu-
će inoviranje poslovnih procesa i poboljšanje konkurentnosti
• provjeriti (testirati) učinkovitost kontrola informacijskih sustava, pogla-
vito u odnosu na ključne poslovne procese
• otkriti potencijalno rizična područja i procijeniti razinu rizika kojima je
poslovanje izloženo temeljem intenzivne primjene informacijskih sustava
• dati preporuke menadžmentu koje i kakve mjere poduzeti da bi se učinak
uočenih rizika smanjio ili uklonio i unaprijedila poslovna praksa.
Regulativa provedbe revizije informacijskih sustava je prilično stroga i odnosi se na
sljedeće kategorije:
• Regulativa na međunarodnoj razini (Sarbanes-Oxley zakon, Basel III, the
European 8th Directive, MiFID)
• Nacionalna regulativa - kreditne institucije i osiguravateljna društva (u
Hrvatskoj nositelji nacionalne regulative su HNB i HANFA)
• Kreditne institucije (HNB, Odjel za izravni nadzor banaka i financijskih insti-
tucija, Odluka o primjerenom upravljanju informacijskim sustavom u svrhu
smanjenja operativnog rizika)
• Osiguranje (HANFA, Zakon o osiguranju, Smjernice za upravljanje rizikom in-
formacijskih sustava)
• Regulativa specifična za pojedine industrije
• Kartičarske transakcije (PCI DSS)
• Osiguranje (Solvency III)
• Bankarstvo (Basel III)
• Telekom (eTom)
• Farmaceutska industrija, ostale industrije.
197
ISACA (engl. Information System Audit and Control Association - www.isaca.org i hrvat-
ska podružnica o kojoj su informacije dostupne na www.isaca.hr) je institucija koja
se bavi razvojem korporativnoga upravljanja informatikom o reviziji informacijskih
sustava. Oni su autori CobiT-a, ostalih metodologija i brojnih publikacija iz ovoga
područja, a posebno cijenjeni i međunarodno priznati certifikati iz tih područja su:
• CISA (Certified Information System Auditor)
• CISM (Certified Information Security Manager)
• CGEIT (Certified in Governance of Enterprise IT)
• CRISC (Certified in Risk and Information System Control)
• CSX (Cybersecurity Nexus).
6.3. Standardi i smjernice za korporativno

upravljanje informatikom i reviziju
informacijskih sustava
Već dugi niz godina i desetljeća informatička struka „traži“ odgovarajuće, svjetski
priznate, specifične, a istodobno i dovoljno općenite profesionalne standarde koji-
ma će se opisati i propisati najbolja praksa u korištenju informacijske tehnologije.
Razvoj standarda korištenja informatike može se dovesti u uzročno-posljedičnu
vezu s njezinim ulogama u poslovanju. Raniji informatički standardi mahom su
se odnosili na korištenje informatike kao tehnološke infrastrukture. U tome raz-
doblju su nastali brojni tehnološki standardi i svjetski priznate norme (primjerice,
OSI referentni model), kojima se uređivalo ili propisivalo kako koristiti tehnološku
infrastrukturu. Ti su standardi bili gotovo isključivo usmjereni tehnologiji i vrlo su
detaljno propisivali kako se neka tehnologija treba koristiti, no vrlo su se rijetko
odnosili na poslovnu stranu problema njihova korištenja. Često je njihova primje-
na bila upitne isplativosti jer su standardi bili slabo dostupni, skupi, a čak i njihova
dosljedna primjena nije mogla jamčiti uspješne rezultate.
Upravo je ta činjenica bila presudna što se informatički standardi u toj fazi nisu
do kraja razvili i „nametnuli“. Naime, standardi su propisivali koje aktivnosti treba
provesti da bi se mogla koristiti neka tehnologija, ali se nisu usredotočili na korist
koju njezina primjena može donijeti poslovanju i na rezultate koje primjena stan-
darda treba polučiti. Taj strateški zaokret u razmišljanju o korištenju informatike
u poslovanju, a sukladno tome i korištenju informatičkih standarda, omogućio je
razvoj većem broju vrlo kvalitetnih, svjetski priznatih standarda za korporativno
upravljanje informatikom i informacijskim sustavima.
198
Novim načinom standardizacije informacijski sustavi i pripadne tehnologije do-

stižu svoju zrelost uporabe i postaju kohezivnim elementom u strukturi organi-
zacije, pa daljnji razvoj informatike u smjeru procesnoga (uslužnoga) partnera i
strateškoga partnera poslovanju vodi i prema razvoju potpuno novih, sveobu-
hvatnih i u svjetskim razmjerima vrlo aktualnih standarda i normi. Današnji, u
svjetskim razmjerima i na raznim razinama organizacije najčešće korišteni stan-
dardi i norme u informatici (CobiT, ITIL , ISO 27000 norme, PCI DSS, NIST, SANS ,
CMMI itd.) redom su usmjereni prema koristima koje informacijski sustavi mogu
donijeti u poslovanju i prema dostizanju odgovarajućih mjerljivih ciljeva usklađi-
vanja informatike i poslovanja.
Većina navedenih standarda je međusobno komplementarna, svaki ima svoje
prednosti u točno određenim područjima, pa se često koristi i tzv. integrirani pri-
stup, kada se, ovisno o revizorskome zadatku, kombiniraju područja u kojima su
pojedini okviri najbolji.
Razloge gotovo neizbježne upotrebe standarda i okvira korporativnoga upravljanja
informatikom treba prije svega tražiti u sljedećim razlozima:
• regulatorne (zakonodavne) mjere kojima se širom svijeta strogo nadziru inter-
ne (unutarnje) kontrole nad procesima financijskoga izvješćivanja
• pojačana svijest o potrebi cjelovitoga upravljanja rizicima
• posebne zakonske odredbe koje se odnose na specifična područja (primje-
rice, privatnost sadržaja ili održavanja kontinuiteta poslovanja) ili specifične
djelatnosti (bankarstvo – Basel III, osiguranje – Solvency III itd.)
• poboljšan imidž kompanije i organiziraniji nastup prema korisnicima, kupcima
i partnerima
• moguće uštede u poslovanju i bolji poslovni rezultat.
6.3.1. Krovni i izvedeni standardi korporativnoga upravljanja

informatikom i revizije informacijskih sustava
Krovni standardi korporativnoga upravljanja informatikom i revizije informacij-

skih sustava kao i njihove analitičke funkcije na cjelovit način povezuju poslovanje
i informacijske sustave, prije svega iz razloga što ‘pokrivaju’ brojna područja u ko-
jima se ta usklađenost ostvaruje. Krovni standard upravljanja i revizije infor-
macijskih sustava je CobIT (engl. Control Objective for Information and Related
Technology).
Izvedeni standardi upravljanja informacijskim sustavima i njihove revizije pred-
stavljaju zahtjeve, norme i okvire koji su usko specijalizirani za upravljanje pojedi-
199
nim područjem poslovnih informacijskih sustava, ali ne i dovoljni za upravljanje

cjelinom. To znači da učinkovito upravljanje pojedinim područjem informacijskih
sustava ne znači i optimalno upravljanje cjelinom. Osnovna značajka izvedenih
standarda upravljanja i revizije informacijskih sustava jest da su specijalizirani
za unaprjeđenje upravljanja pojedinoga područja informacijskoga sustava ili nji-
hovih dijelova odnosno da „pokrivaju“ uže ili specifično područje upravljanja in-
formatikom. Za razliku od CobiT-a koji je krovni standard jer na cjelovit način
obuhvaća vezu između poslovanja i informatike, primjenom izvedenih standarda
moguće je poboljšati praksu upravljanja informacijskim sustavima u pojedinome
području.
Prema područjima provjere razlikujemo sljedeće izvedene standarde korpo-
rativnoga upravljanja i revizije informacijskih sustava:
• upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT, ...)
• upravljanje informatičkim uslugama (ITIL)
• upravljanje ulaganjima u informatiku (Val IT)
• upravljanje informatičkim rizicima (Risk IT, MEHARI, PCI DSS, Basel III, ISO
27005)
• upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO 27000
normi, NIST, SANS, IS3)
• upravljanje projektima (Prince 2, PMBOK)
• upravljanje kontinuitetom poslovanja (BS 25999).
Primjena pojedinih standarda upravljanja informacijskim sustavima je u određe-
nim djelatnostima obvezna. Tako je, primjerice, u bankarstvu propisana regulator-
na obveza primjene nekih normi (Basel III, Payment Card Industry Data Security
Standard - PCI DSS, HNB-ova regulativa vezana za Odluku o primjerenom uprav-
ljanju informacijskim sustavima u svrhu smanjenja operativnih rizika i sl.), u osigu-
ranju (Solvency III, HANFA i Zakon o osiguranju, Smjernice za upravljanje rizicima
primjene informacijskih sustava) itd.
Izvedeni standardi i smjernice korporativnoga upravljanja informatikom i revizije
informacijskih sustava su:
• ITIL okvir (ISO 20000 norma) koji se koristi za upravljanje informatičkim uslu-
gama (5 područja, 20-ak procesa)
• Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) koje se koriste u svrhu po-
stizanja ciljanih unaprjeđenja sustava sigurnosti informacija (ISO 27001 nor-
ma ima 11 područja i 40-ak procesa – kontrolnih zahtjeva)
200
• Basel III okvir kojega su banke obvezne koristiti u cilju boljega upravljanja ope-
rativnim rizicima (11 područja)
• NIST i SANS metodologije upravljanja cyber rizicima
• PMBOK (engl. Project Management Body of Knowledge) metodologija kojom je
moguće poboljšati praksu upravljanja projektima
• PCI DSS (engl. Payment Card Industry Data Security System) norma koja u karti-
čarskoj industriji nameće regulatorna pravila i zahtjeve koji se pred poslovne
informacijske sustave postavljaju u svrhu sigurnoga i pouzdanoga rukovanja
s podacima itd.
6.3.2. CobIT – krovni standard korporativnoga upravljanja

informatikom i revizije informacijskih sustava kao
njegove analitičke komponente
CobiT59 (engl. Control Objectives for Information and Related Technologies) je krov-
ni standard korporativnoga upravljanja informatikom unutar kojega se propisuju
područja, procesi i pojedinačne kontrole za korporativno i operativno upravljanje
informatikom. Autor CobiT okvira je ISACA (Information System Audit and Control
Association, www.isaca.org).
Izvorno (CobiT v1 iz 1996.) nastao kao alat za podršku provedbe revizije financijskih
izvještaja, CobiT se vrlo brzo razvijao i pratio razvoj uloge informatike u poslovanju
(CobiT v2 iz 2000. već je u svjetskim razmjerima postao najkorišteniji okvir kontrole
informacijskih sustava, verzija 3 iz 2004. godine je predstavljala integralni okvir
upravljanja informatikom, a trenutno važeća verzija – CobiT 5 predstavlja najvažniji
okvir provedbe koncepta korporativnoga upravljanja informatikom), koja uključuje
i neke ranije izvedene standarde (Val IT i Risk IT, slika 6.1.).
Slika 6.1. Razvoj CobiT-a kao svjetski prihvaćene krovne metodologije korporativ-
noga upravljanja informatikom koja u trenutno važećoj verziji 5 uključuje i neke
ranije izvedene standarde (Val IT, Risk IT).
59
ITGI (2007), CobiT 4.1 – Framework, Control Objectives, Management Guidlines and Maturiy Mo-
dels, IT Governance Institute, Rolling Meadows, SAD.
201
Slika 6.1. Razvoj CobiT metodologije i pregled trenutno aktualne verzije CobiT 5
Time trenutno važeća CobiT 5 verzija iz 2012. godine služi kao nezaobilazan okvir
za upravljanje informatikom na korporativnoj razini i svjetski prihvaćena metodo-
logija kojom se propisuju procesi (zahtjevi) putem kojih se informacijski sustavi
strateški povezuju s prioritetima poslovanja. Procesno je usmjeren i obuhvaća sve
komponente (područja) korporativnoga upravljanja informatikom, a osnovna mu
je funkcija ponuditi preporuke za usklađenje ciljeva poslovanja s ciljevima rada in-
formatike.
Promotrimo najvažnije značajke CobiT-a:

• CobiT je u svjetskim razmjerima najvažnija, krovna metodologija korporativ-
noga upravljanja informatikom
• CobiT je najčešće korišteni alat provedbe kontrole i revizije informacijskih su-
stava
• CobiT predstavlja smjernice za analizu, mjerenje i kontrolu primjene informa-
cijskih sustava i pripadne tehnologije u poslovanju
• CobiT sadrži 37 IT procesa (cilja kontrole ili vođenja IT) odnosno 37 ciljeva
kontrole i preko 300 vrlo preciznih i detaljnih informatičkih kontrola i uputa
za njihovu primjenu.
Slika 6.2. prikazuje publikacije koje čine CobiT 5 okvir, pri čemu je, pored općih,
za područje informacijske sigurnosti često korišten preporučeni okvir CobiT 5 for
Information Security.
202
Slika 6.2. Cobit 5 publikacije
CobiT poslovnu informatiku ‘dijeli’ u 2 kategorije (korporativno i operativno uprav-

ljanje informatikom) 4 područja, 37 ključna poslovna procesa (cilja kontrole) i za
svaki opisuje model zrelosti. Upućenom menadžmentu i korporativnim struktu-
rama lako je pomoću CobiT metode utvrditi koji su od tih procesa i u kojoj mjeri
važni. Sa stajališta kontrole i revizije informacijskih sustava CobiT je nezaobilazni
okvir provedbe.
CobIT 5 sadrži dvije razine preporuka (skup preporuka za korporativno
upravljanje informatikom – engl. IT governance i skup preporuka za operativ-
no upravljanje informatikom – engl. IT management), koji zajedno sadrže 37
informatičkih procesa odnosno ciljeva kontrole i funkcioniranja informacijskih
sustava i preko 300 detaljnih kontrola podijeljenih u ove četiri kategorije:
• Procjena, smjernice i nadzor (engl. Evaluate, Direct and Monitor, EDM)
• Usklađivanje, planiranje i organizacija informatike (engl. Align, Plan and Organi-
ze, APO)
• Izgradnja, akvizija (nabava) i implementacija informacijskoga sustava (engl. Bu-
ild, Aquire and Implement, BAI)
• Isporuka, usluge i potpora radu (uporaba) informacijskoga sustava, (engl. De-
liver, Service and Support, DSS).
Najvažnije kategorije CobiT preporuka su:

1. Korporativno upravljanje informatikom (Governance of enterprise IT):
• procjena, usmjeravanje, nadzor (engl. Evaluating, Direction, Monitoring, EDM).
203
2. Operativno upravljanje informatikom (IT management) u poslovanju:

• Usklađivanje, planiranje i organiziranje (engl. Align, Plan and Organize, APO)
• Nadzor, provjera i procjena (engl. Monitor, Evaluate and Assess, MEA)
• Isporuka, usluga i podrška (engl. Delivery, Service and Support, DSS)
• Izgradnja, stjecanje i primjenjivanje (engl. Build, Acquire and Implement, BAI).
Najvažniji CobiT procesi u sferi korporativnog upravljanja informatikom

su (Procjena, usmjeravanje, nadzor (engl. Evaluating, Direction, Monitoring,
EDM)):
EDM 1: osiguravanje i održavanje okvira vladanja informatikom
EDM 2: osiguravanje koristi za poslovanje
EDM 3: osiguravanje optimizacije rizika
EDM 4: osiguravanje optimizacije resursa
EDM 5: osiguravanje transparentnosti.
Najvažniji CobiT procesi u sferi operativnoga upravljanja informatikom su

Usklađivanje, planiranje i organiziranje (engl. Align, Plan and Organize,
APO):
APO 1: upravljanje radnim okvirom IT menadžmenta
APO 2: definiranje strateškoga IT plana
APO 3: definiranje informacijske arhitekture
APO 4: upravljanje inovacijama
APO 5: upravljanje portfeljem
APO 6: upravljanje budžetom i troškovima
APO 7: upravljanje ljudskim resursima
APO 8: upravljanje odnosima
APO 9: upravljanje uslugama
APO 10: upravljanje dobavljačima
APO 11: upravljanje kvalitetom
APO 12: upravljanje rizikom i
APO 13: upravljanje sigurnošću.
204
Nadzor, provjera i procjena (engl. Monitor, Evaluate and Assess, MEA):

MEA 1: nadzor, procjena i ocjena performansi i sukladnosti
MEA 2: nadzor, procjena i ocjena sustava internoga nadzora
MEA 3: nadzor, procjena i ocjena vanjskih zahtjeva.
Isporuka, usluga i podrška (engl. Delivery, Service and Support, DSS):

DSS 1: upravljanje operacijama
DSS 2: upravljanje zahtjevima usluga i incidentima
DSS 3: upravljanje problemima
DSS 4: upravljanje kontinuitetom
DSS 5: upravljanje uslugama sigurnosti i
DSS 6: upravljanje provjerama poslovnoga procesa.
Izgradnja, stjecanje i primjenjivanje (engl. Build, Acquire and Implement, BAI):

BAI 1: upravljanje programima i projektima
BAI 2: upravljanje definiranim zahtjevima
BAI 3: upravljanje pronalaženjem rješenja i izgradnjom
BAI 4: upravljanje dostupnošću i kapacitetom
BAI 5: upravljanje mogućnostima mijenjanja organizacije
BAI 6: upravljanje promjenama
BAI 7: upravljanje prijelazima i prihvaćanjem promjena
BAI 8: upravljanje znanjem
BAI 9: upravljanje imovinom i
BAI 10: upravljanje konfiguracijom.
CobiT menadžmentu predočava jasniju sliku funkcioniranja informacij-

skoga sustava i cjelokupne informatike na način da:
• jasno određuje i detaljno opisuje ključne informatičke procese (37 proce-
sa svrstanih u 5 područja i 2 kategorije)
• precizno određuje obveze i područja odgovornosti (RACI tablica za svaki
od tih procesa određuje tko je odgovoran, tko provodi kontrolu, a koga samo
treba konzultirati prije donošenja odluke odnosno informirati nakon)
• jasno određuje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi)
205
• određuje ciljeve i metrike uspješnosti informatičkih procesa (modeli zrelosti):

– kritične čimbenike uspjeha (CSF, engl. Critical Success Factors)
– ključne indikatore ostvarenja cilja (KGI, engl. Key Goal Indicators)
– smjernice menadžmentu za praćenje performansi i ključne indikatore per-
formansi (KPI, engl. Key Performance Indicators)
– smjernice menadžmentu za upravljanje rizicima (tzv. RACI Chart)
– ciljeve kontrole i kontrolne testove
– pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals)
– model zrelosti za svaki poslovni proces (ocjene od 0 do 5 pomoću kojih
je moguće svakome procesu dodijeliti ocjenu zrelosti odnosno procijeniti
njegovu kvalitetu)
– sveobuhvatan sustav kojime se može mjeriti učinak informatike na poslo-
vanje, performanse informatike obzirom na zahtjeve poslovanja i procijeniti
njihovu učinkovitost u odnosu na poslovne ciljeve.
Slikom 6.3. je prikazan instrumentarij pomoću kojega je moguće mjeriti učinak infor-
matike (pojedinoga CobiT procesa, u ovom slučaju procesa sigurnosti informacijskog
sustava) na poslovanje, putem metrika objašnjenih u prethodnome odlomku.
Slika 6.3. Ciljevi vezani za mjerenje učinka informatike (sigurnost informacijskih

sustava)
206
Slika 6.4. objašnjava značenje ocjena zrelosti informatičkih procesa u rasponu od

0 – procesi upravljanja ne postoje, do 5 – procesi upravljanja informatikom su op-
timalni.
Slika 6.4. Ocjene zrelosti po CobiT modelu
Ocjene zrelosti su temeljene na poznatom CMM modelu (SEI - Software Enginee-

ring Institute odavno je izradio model zrelosti i kvalitete softvera kojega je nazvao
CMM – Capability Maturity Model), samo što su u CobiT modelu ocjene vrlo de-
taljno opisane i objašnjene za svaki proces. Ocjene zrelosti su u rasponu od 0 (ne
postoji) do 5 (optimalna). Tablica 6.2. prikazuje objašnjenja ocjena za određivanje
zrelosti procesa upravljanja informatikom na korporativnoj razini.
207
Tablica 6.2. Ocjene zrelosti korporativnoga upravljanja informatikom prema

CobiT-u
0 – ne postoji
Proces upravljanja informatikom na korporativnoj razini ne postoji. Menadžment
i korporativna tijela nisu prepoznala važnost toga koncepta. Ne postoje korpo-
rativna tijela koja vode brigu o upravljanju informatikom, odluke o ulaganjima u
informatiku su stihijske, od slučaja do slučaja (‘ad-hoc’), van sustavnoga nadzora i
procjene rizika i potpuno su u rukama pojedinaca.
1 – početna
Menadžment i korporativna tijela nisu svjesna važnosti upravljanja informati-
kom. Iako nema nikakvih formalnih procedura, upravljanje i nadzor informatike
se uglavnom temelji na pojedinačnoj, stihijskoj bazi, a postupanje u tim prilikama
je od slučaja do slučaja. Ne postoje standardi, niti korporativna pravila, nikakve
obveze i odgovornosti po tome pitanju, ne koriste se nikakve upute i nema koor-
diniranih aktivnosti u tome smjeru. Menadžment uglavnom uopće nije svjestan
važnosti (opasnosti) informatičkih rizika. Upravljanje informatikom i mjerenje nje-
zine uspješnosti su procesi koji se provode samo unutar odjela informatike, a
menadžment je po tim pitanjima pasivan i uglavnom neupućen i neobrazovan.
2 – ponavljajuća
Procesi upravljanja informatikom postoje, ali su nekoordinirani i pokrenuti uglavnom
od odjela informatike, ili neke druge operativne razine. Često se događa da veći broj
ljudi obavlja iste zadatke, nema sustavnoga nadzora, koordinacije, niti standardizira-
ne procedure. Nema formalnih treninga, odgovornost je prepuštena pojedincima,
politike na korporativnoj razini ne postoje ili nisu predstavljene zaposlenima.
3 – definirana
Procedure upravljanja informatikom su propisane i dokumentirane i stalno se usa-
vršavaju formalnim treninzima i edukacijom. Procedure i korporativna pravila, iako
formalno postoje, nisu sofisticirane, zrele niti prilagođene poslovanju organizacije,
nego uglavnom predstavljaju formaliziranje postojećih procedura. Iako procedure
postoje, odgovornost njihove provedbe je na pojedincima, a obzirom da sustava
nadzora nema, malo je vjerojatno da netko može otkriti anomalije po tome pitanju.
4 – upravljana i mjerena
Osim što korporativne politike i procedure postoje, moguće je i stalno nadzirati nji-
hovu provedbu, mjeriti uspješnost, pa prema potrebi i poduzimati potrebne korek-
cije. To najčešće obavljaju odgovarajuća tijela ili institucije korporativnoga upravlja-
nja. Procesi i aktivnosti se stalno unaprjeđuju. Postavljaju se vrlo sofisticirani ciljevi
upravljanja informatikom koji su usko usklađeni s poslovnim ciljevima, a rezultati
njihove provedbe također se mjere u ‘poslovnim’ mjerama. U mjerenju uspješnosti
i reviziji obvezno se koriste suvremene metode i okviri (CobiT, IT BSC, ITIL).
208
5 – optimalna
Procesi upravljanja informatikom su dovedeni na optimalnu razinu, a kompanija
je lider u tome području. Stalno se mjeri uspješnost i efikasnost informatike kao
poslovne funkcije provedbe, a rezultati uspoređuju s najboljom praksom i dru-
gim organizacijama. Vlada potpuna transparentnost u upravljanju informatikom,
korporativna tijela imaju putem niza formalnih mehanizama stvarni nadzor nad
informatikom. Informatika se koristi u strateške svrhe, kao ključan poslovni re-
surs, a informatičke aktivnosti (ulaganja, projekti, rizici, ...) na optimalan se način
odvijaju prema stvarnim poslovnim prioritetima.
Prilično je važno i pozitivno što najvažnije metode upravljanja i revizije informacij-

skih sustava, kao što su ITIL, CobiT i Sarbanes-Oxley, koriste taj isti jednak raspon
ocjena zrelosti IT procesa i uspješnosti kontrola nad njima (od 0 do 5 uz ista objaš-
njenja), što proces revizije čini lakšim i transparentnijim (vidi sliku 6.5.).
Slika 6.5: Ocjena zrelosti kontrola pri provedbi revizije informacijskih sustava
5-
Operativna efikasnost i oblikovanje
op
4– m
tim
up jere
aln
ra na
a
procedura (procesa)
vlj
an
ai
3-
de
fin
2 - in
ira
n
po tuiti
a
na vn
vlj a
1 - ad-
aju
po hoc
ća
če
,
tna
,
0 – sto
po
ne ji
Razina dokumentiranosti, svijesti o

važnosti i razina nadzora
209
6.3.3. ITIL
Iako je nastao prije gotovo 30 godina (krajem 1980-ih), ovaj se okvir tek u novije
vrijeme nametnuo kao koristan, praktičan i u svjetskim razmjerima gotovo neizo-
stavan skup preporuka i najbolje prakse pri upravljanju informatičkim uslugama
(engl. IT Service Management, ITSM). Autor ITIL (engl. Information Technology Infra-
structure Library) metodologije je britanska Central Computer and Telecommunica-
tions Agency (mogli bismo je slobodno prevesti kao Agenciju za telekomunikacije i
informatiku, koja više ne djeluje pod tim imenom nego kao Office of Government
Commerce (OGC UK)), koja je krajem 80-ih godina prošloga stoljeća napravila prvi
popis uputa za korištenje informatičkih usluga kojih su se sva tijela u britanskoj
javnoj administraciji trebala pridržavati (između ostaloga i poznati MI 5 špijunski
odjel u kojemu su tajni agenti koristili najnovije tehnologije koje su im pomagale u
poslu). Od tada ITIL upute su se stalno nadograđivale i unaprjeđivale, a danas su,
u svjetskim razmjerima općeprihvaćeni standardi upravljanja informatičkim uslu-
gama razvijeni do te mjere da čak i dobavljači nude svoju opremu i usluge koja je u
skladu s ITIL metodologijom. IT Service Management Forum (ITSMF) je neprofitna
organizacija koja vodi brigu o unaprjeđenju prakse korištenja i upravljanja informa-
tičkim uslugama i napretku ITIL metodologije.
ITIL pruža tzv. top-down, odnosno poslovno usmjeren pristup menadžmentu infor-
matike koji stavlja poseban naglasak na stratešku poslovnu vrijednost informatike
i potrebu da se isporuči njezina visokokvalitetna usluga (informatička usluga, IT
usluga). Osim toga, ITIL pruža smjernice i preporuke koje su usmjerene radu ljudi,
funkcioniranju procesa i korištenju tehnologije pri korištenju informatike i pružanju
kvalitetne usluge.
ITIL se sastoji od uputa temeljenih na najboljoj praksi upravljanja informatičkim
uslugama u javnim i privatnim organizacijama širom svijeta. Formalno se sastoji od
skupa knjiga kojima su propisane upute za pružanje kvalitetnih informatičkih uslu-
ga i procedurama, opremi i aktivnostima koje omogućuju kvalitetnu informatičku
podršku. Osim toga pruža vrlo precizne upute i smjernice kako procijeniti kvalitetu
usluge, kako kontrolirati isporuku usluge i, u konačnici, kako upravljati cjelokupnom
informatičkom uslugom. Vrlo je korisna mogućnost što se za svaki proces odnosno
uslugu može procijeniti usklađenost s ITIL preporukama, čime se ocjenama od 0
do 5 (kao u CobiT-u) procjenjuje zrelost načina njezina korištenja, što omogućuje
procjenu kvalitete cjelokupne informatičke usluge, podrške i upravljanja.
ITIL je osobito korišten u Europi, najčešće u javnome sektoru (za čije je potrebe i
nastao). Jedini trenutno važeći ‘standard’ za upravljanje informatičkim uslugama
jest ISO 20000 (ili njegov ekvivalent BS 15000), koji je gotovo u potpunosti preuzeo
svu ITIL terminologiju i djelokrug. Stoga, sam ITIL ne možemo smatrati standar-
210
dom, no, budući je ISO 20000, jedini važeći standard za upravljanje informatičkim
uslugama, potpuno preuzeo svu ITIL terminologiju, ITIL smatramo ‘de facto’ stan-
dardom.
Prva verzija ITIL-a nastala 1986., sadržavala je ukupno 40 knjiga u kojima su se
opisivale razne prakse i preporuke korištenja informatike i vrijedila je sve do 1999.
godine. Druga verzija ITIL-a se sastojala od 8 knjiga od kojih su dvije bile najčešće
korištene Podrška uslugama (engl. Service Support) i Isporuka usluge (engl. Ser-
vice Delivery).
Trenutno važeća četvrta verzija ITIL-a se najčešće zove ITIL 2011 po godini publici-
ranja (ITIL v3 je bila izašla sredinom 2007. g.) i sadrži 5 ključnih procesa (kontrolnih
područja): strategija usluga (engl. service strategy), oblikovanje usluga (engl. service
design), isporuka usluge (engl. service transition), korištenje usluge (engl. service ope-
ration) i stalno unaprjeđenje usluge (engl. continual service improvement).
ITIL je procesno usmjereni okvir koji je dodatno usklađen s ostalim okvirima (npr.
CobiT ), normama (ISO/IEC 20000) i regulatornim zahtjevima (Sarbanes-Oxley, Ba-
sel II).
6.3.4. Obitelj ISO 27000 normi
ISO/IEC 27001:2013 norma predstavlja minimalne zahtjeve i mjere koje organiza-

cija treba poduzeti da bi se uspostavio sustav upravljanja sigurnošću informacija
(engl. Information Security Management System - ISMS). Radi se o normi koja je usko
usmjerena samo na sigurnost informacija, pa je njezina primjena u području kor-
porativnoga upravljanja informatikom ograničena. No, od kada je upravljanje rizi-
cima postalo sastavnim dijelom upravljanja informatikom na korporativnoj razini,
primjena zahtjeva ISO 27001 i ostalih normi iz te ‘obitelji’ više nisu ograničene samo
na operativne dužnosti. To su jedine službene informatičke norme koje unutar 10
područja sadrže preko 100 preporučenih kontrola kojima bi se informacijski sustav
i informacije koje nastaju njegovim funkcioniranjem trebale smatrati sigurnima i
pouzdanima, no nisu određene i upute kako ih primijeniti u praksi. One propisuju
minimalne kontrolne zahtjeve odnosno minimalni skup kontrola koje je unutar in-
formacijskoga sustava potrebno implementirati kako bi se smanjio sigurnosni rizik
njihove primjene. Obitelj ISO 27000 normi predstavljaju preporuke odnosno na-
brajaju koje je sve kontrole potrebno (moguće) implementirati kako bi se prije sve-
ga sigurnosni rizik sveo na primjerenu razinu. Te su norme vrlo popularne i često
korištene, a njihova implementacija omogućuje ostvarenje najvažnijih ciljeva pro-
cesa internih kontrola informacijskih sustava (sigurnosni ciljevi, informacijski ciljevi,
ciljevi kontinuiteta poslovanja itd.). ISO je najavio i, obzirom na uočene nedostatke
prošlih normi i porast važnosti upravljanja informatikom, već djelomice i proveo
211
temeljitu reorganizaciju ovih normi i postupno uvođenje cijeloga niza novih iz tzv.
ISO 27000 obitelji. Neke od njih već su aktualne i popularne (ISO 27001:2013), a
druge kao što su ISO 27002, ISO 27003, ISO 27004, ISO 27005 su novije norme koje
bi, osim sigurnosti temeljito trebale pokriti i područja upravljanja informatičkim
rizicima i provedbe mehanizama kontrole nad informacijskim sustavima u svrhu
ostvarivanja sigurnosnih i drugih rizika i time biti primjerenije konceptu upravljanja
informatikom na korporativnoj razini.
6.4. Postupak provedbe revizije informacijskih

sustava testiranjem učinkovitosti kontrola
Revizija informacijskih sustava je složen postupak sastavljen od niza koraka i
faza kojima se u konačnici testiranjem učinkovitosti informatičkih kontrola pri-
kupljaju dokazi i argumenti za procjenu poslovnoga rizika (rizika kojime je po-
slovanje izloženo temeljem činjenice da se u provedbi poslovnih procesa koristi
informacijski sustav i tehnološka podrška) i stručnu procjenu zrelosti kontrol-
noga okruženja.
Dodana vrijednost revizije informacijskih sustava proizlazi iz preporuka za unaprje-
đenjem kontrolnoga okruženja kojima se nastoji poboljšati poslovna praksa, osobi-
to izvođenje važnih poslovnih procesa i ostvarenje ciljeva poslovanja. Pri isticanju
preporuka revizor informacijskih sustava treba voditi računa o:
• njihovoj provedivosti (ima li kompanija tehnoloških i ostalih znanja i sposob-
nosti provesti ih u djelo) i
• financijskoj isplativosti (koliko resursa mjerenih mahom u vremenu i novcu
treba utrošiti u provedbu i je li provedba uopće opravdana odnosno nadma-
šuje li trošak provedbe preporuka financijsku vrijednost rizika kojega ‘brani-
mo’) i
• utvrditi odgovornu osobu i rok provedbe.
Najvažniji koraci i faze provedbe revizije informacijskih sustava su:
1. Uvodni pregled – ‘snimka stanja’ informatike i područja revizije
2. Određivanje područja (objekta) revizije (ŠTO revidirati? – koja područja, funk-
cije, procese i podatke treba provjeravati)
3. Određivanje ciljeva kontrole za svako područje
4. Provedba testova kontrola (KAKO revidirati? – koje organizacijske, tehnološke
kontrole, fizičke kontrole, korporativne, aplikativne, opće i sve ostale kontrole
provjeravati)
212
5. Provedba detaljnijih analitičkih testova

6. Prikupljanje dokaza i procjena poslovnih rizika (preporuke)
7. Priprema i prezentiranje izvještaja revizora informacijskog sustava Upravi.
Promotrimo detaljnije korake i faze provedbe revizije informacijskih sustava:
1. Uvodni pregled – ‘snimka stanja’ informatike i utjecaja poslovnih informacij-
skih sustava na odvijanje poslovnih procesa, odabir područja revizije. Ovo se
područje odnosi na pregled dokumentacije i radnih materijala koje revizori za-
prime od strane revidiranoga poslovnog subjekta. Važan izvor informacija su
fokusirani preliminarni razgovori s ključnim zaposlenicima i odgovornim oso-
bama kojima se pokušavaju doznati osnovni podaci vezani za funkcioniranje
kontrolnoga okruženja provedbe važnih poslovnih procesa putem informacij-
skih sustava i pripadne tehnologije. Konačan ishod ove faze treba biti detaljno
razumijevanje (informatičkoga) kontrolnoga okruženja, procjena rizika i odabir
objekta revizije (odabir onih informacijskih sustava i svih njihovih komponenti
koji sudjeluju u izvođenju najvažnijih poslovnih procesa).
2. Određivanje područja (objekta) revizije (ŠTO revidirati?) – u ovoj fazi
potrebno je detaljno utvrditi koji dijelovi (komponente) informacijskih susta-
va postaju predmetom provjere (revizije). To su uobičajeno one komponente
(hardver, softver, korisnici, aplikacije, organizacijske procedure i mrežne kom-
ponente) koje sudjeluju u provedbi najvažnijih poslovnih procesa i predstavljaju
njihovu informatičku podršku. Vrlo je važno utvrditi kontrolna područja od
kojih se svako sastoji od niza kontrolnih ciljeva čiju učinkovitost treba testira-
ti analitičkim testovima. Time revizorski tim stvara detaljan plan i program
revizije koji uključuje i ‘terenske’ aktivnosti odnosno planiranje i izvedbu testo-
va učinkovitosti odabranih kontrolnih ciljeva. Ovisno o uvodnoj ‘snimci stanja’,
procjeni rizika i obilježjima revizorskoga projekta (broj sati revizije, budžet, spe-
cifičnosti), revizori trebaju birati ona kontrolna područja koja će na najbolji na-
čin pokriti revizorski zadatak. Pri odabiru kontrolnih područja od velike pomoći
može biti metodološka podrška u vidu krovnih (CobIT) i izvedenih standarda i
normi revizije informacijskih (ISO 27000, PCI DSS). CobIT 5 sadrži 37 kontrolnih
područja, ISO 27000 11, a PCI DSS 12 zahtjeva (kontrolnih područja). Na taj je
način moguće odrediti opseg revizije u vidu kontrolnih područja i za svako od
njih odrediti dostatan broj relevantnih kontrolnih ciljeva (CobIT 5 sadrži preko
330 kontrolnih ciljeva, ISO 27000 126 itd.).
3. Određivanje ciljeva kontrole za svako područje (KAKO mjeriti jesmo li
uspješni?) – ovim postupcima u punome smislu određujemo opseg revizije,
sukladno djelokrugu revizije, dogovorenim obvezama, budžetu i broju pred-
viđenih sati rada. U ovome području dobrodošla metodološka pomoć može biti
213
u vidu razrade mjerljivih pokazatelja kojima možemo provjeriti je li informatika

usklađena s poslovanjem.
4. Provedba testova kontrola i detaljnih analitičkih testova (KAKO revidira-
ti?) – u ovoj fazi revizije razrađuju se detaljni planovi testiranja učinkovitosti kon-
trola (koje organizacijske, tehnološke i fizičke kontrole treba provjeravati i na koji
način da bi se revidirao informacijski sustav). Za svaku odabranu komponentu in-
formacijskoga sustava određuju se detaljni planovi revizije (‘audit planovi’) u kojima
su propisane najvažnije organizacijske i tehnološke kontrole čiju učinkovitost treba
provjeravati. Često se radi o tehnološki namijenjenim materijalima i uputama koji
omogućuju detaljno analitičko testiranje (primjerice, plan testiranja za DB2, Oracle,
SQL Server bazu podataka, plan testiranja prava pristupa na OS/400, AIX ili sličnim
operacijskim sustavima, plan testiranja ovlasti korisnika nad SAP okruženjem itd.).
5. Prikupljanje dokaza i procjena poslovnih rizika – temeljem prikupljenih
dokaza nastalih analitičkim testiranjem, a na osnovu metodologije procjene ri-
zika koja se koristi u reviziji, za svaki kontrolni cilj, pa time i za svako kontrolno
područje se utvrđuje revizorski nalaz (objašnjenje činjenica i argumentacija sta-
nja zrelosti kontrolnoga okruženja), procjenjuje razina rizika (kojemu riziku je
poslovanje izloženo temeljem nalaza revizije za svako kontrolno područje) i daju
preporuke za poboljšanje poslovne prakse s istaknutim rokovima, stavkama
izvedivosti i odgovornostima provedbe. Time revizija informacijskih sustava po-
staje funkcija dodane vrijednosti i alat poboljšanja poslovanja.
6. Priprema i prezentiranje izvještaja revizora informacijskoga sustava
Upravi – rasprava s Upravom kako poboljšati poslovanje provedbama revizija
informacijskih sustava.
Metode koje se koriste pri provedbi revizije informacijskih sustava (meto-
de revizije informacijskih sustava) su:
• Priprema i planiranje revizije – ugovaranje posla, potpisivanje formalnoga
ugovora o povjerljivosti, upoznavanje s poslovnim modelom i načinom poslo-
vanja korisnika, uočavanje najvažnijih poslovnih procesa, prikupljanje infor-
macija o načinu poslovanja i stanju informacijskoga sustava, pregled ranijih
izvještaja o reviziji informacijskih sustava, uvodni sastanci s Upravom, postav-
ljanje ciljeva revizijskoga postupka, prikupljanje informacija o predmetu i op-
segu revizije, načelno utvrđivanje mogućih rizika, načela odabira kontrolnih
područja i kontrolnih ciljeva (regulatorni zahtjevi i/ili općeprihvaćeni standardi
kao što je CobiT, ISO 27000, PCI DSS, NIST, SANS), određivanje strategije pro-
vedbe revizije i određivanje načela testiranja.
• Prikupljanje i detaljna analiza dokumentacije – prikupljanje tražene do-
kumentacije (najbolje u elektroničkome obliku), pregled dokumentacije, uoča-
214
vanje ključnih kontrolnih mehanizama, utvrđivanje plana revizije, određivanje

kontrolnih područja i kontrolnih ciljeva (koji su temeljeni na regulatornim za-
htjevima i/ili općeprihvaćenim standardima kao što je CobiT, ISO 27000, PCI
DSS, NIST, SANS), određivanje strategije provedbe revizije i odabir optimalno-
ga načina testiranja za svaki kontrolni cilj.
• Tehnike i metode prikupljanja revizijskih dokaza (provedba ciljanih i
unaprijed strukturiranih anketa, analiza rezultata ankete, unaprijed pripre-
mljeni i primjereno vođeni intervjui i formalni razgovori s predstavnicima ko-
risnika kako bi se prikupilo što više informacija o funkcioniranju kontrolnih
mehanizama, neformalni razgovori, tehničko ispitivanje i testiranje sustava,
pregled sigurnosnih postavki i ostale provjere tehnoloških kontrola).
• Provedba analitičkih testova – detaljni kontrolni postupci sukladno planu
revizije, metode koje se koriste su strukturirani upitnici, razgovori i tehničko
testiranje.
• Analiza i vrednovanje revizijskih dokaza.
• Priprema i predstavljanje revizijskoga izvješća.
Tablica 6.3. Faze provedbe revizije informacijskih sustava
% od ukupnoga vremena
Faza revizije informacijskih sustava
trajanja revizija
Priprema i planiranje 10
Analiza dokumentacije 10
Prikupljanje revizijskih dokaza:
Intervjui, ankete i neformalni razgovori 10
Tehničko ispitivanje i testiranje sustava 15
Analiza i vrednovanje revizijskih dokaza 20
Priprema revizijskog izvješća 20
Predstavljanje revizijskog izvješća 5
Postrevizijske aktivnosti 10
215
Studija slučaja 6.1.: Provedba revizije informacijskih sustava

Temeljem opisanih koraka i faza provedbe revizije informacijskih sustava, slijedi
opis aktivnosti na primjeru kompanije X:
• Temeljem procjene utjecaja na poslovanje, nužno je za objekt revizije odabrati
informatičku podršku najvažnijim poslovnim procesima.
• Razmatraju se sve komponente informacijskih sustava koji podržavaju odvi-
janje najvažnijih poslovnih procesa (koji softver/aplikacije je uključen, koji ure-
đaji i dijelovi hardvera moraju biti dijelom revizije, koji podaci se koriste prili-
kom funkcioniranja informatičke podrške poslovnim procesima, koja mrežna
infrastruktura podržava odvijanje poslovnih procesa, koji korisnici – ljudi su
uključeni, koja organizacijska pravila omogućuju funkcioniranje informacijskih
sustava; odabir CobIT-a kao metodološke podloge).
• Određivanje metrika (mjerljivih pokazatelja) primjene informacijskih sustava
kao podrške odvijanju transakcija (pokazatelji funkcionalnosti, dostupnosti i
učinkovitosti).
• Rezultati provedbe analitičkih testova:
- Postoji veliki broj generičkih korisničkih računa
- Ovlasti rada na sustavu (tzv. role) se u pravilu dodjeljuju na način da se ko-
piraju korisnička prava nekog ‘sličnog’ korisnika
- Transakcijskim podacima može pristupiti 7 udaljenih korisnika koji imaju
pravo korištenja ftp i ssh protokola
- Transakcijskim podacima na produkcijskoj razini može pristupiti 5 vanjskih
zaposlenika (zaposlenici vanjske kompanije koja razvija informacijski su-
stav), koji imaju pune ovlasti rada i puni pristup
- Postoji 40 aktivnih korisničkih računa koji pripadaju osobama koje su napu-
stile kompaniju
- Pojedina svojstva lozinki su sljedeća: račun se zaključava nakon 3 neuspješ-
ne prijave, minimalna dužina zaporke = 6, kompleksnost zaporki nije po-
stavljena, korisnički račun se otključava 10 sekundi nakon zaključavanja
• Procjena rizika za poslovanje uz preporuke za poboljšanje.
• Priprema pisanoga izvještaja Upravi i prezentacija nalaza revizije.
U opisanim okolnostima poslovni rizik je procijenjen na srednju razinu uz niz
preporuka za poboljšanje poslovne prakse koje je Uprava kompanije prihvatila
i obvezala se poboljšati učinkovitost kontrolnih mjera u odabranim područjima.
216
Tablica 6.4. CobIT ocjene zrelosti upravljanja poslovnim informacijskim sustavom
Pod- Razina
Opis područja 0 1 2 3 4 5
ručje zrelosti
Upravljanje sigurnošću informacijskoga 2 - Stanje
1.
sustava ponovljivosti
2 - Stanje
2. Upravljanje rizicima i incidentima
ponovljivosti
Upravljanje pravima pristupa i 3 - Stanje
3.
zaporkama definiranosti
Upravljanje mrežnom infrastrukturom i 3 - Stanje
4.
zaštitom od malicioznoga koda definiranosti
Upravljanje rizicima eksternalizacije i 3 - Stanje
5.
odnosa s dobavljačima definiranosti
Upravljanje imovinom informacijskoga 3 - Stanje
6.
sustava i fizičkom sigurnosti definiranosti
Upravljanje promjenama i razvojem 3 - Stanje
7.
informacijskoga sustava definiranosti
2 - Stanje
8. Upravljanje kontinuitetom poslovanja
ponovljivosti
Upravljanje pričuvnom pohranom i 2 - Stanje
9.
operativnim i sistemskim zapisima ponovljivosti
Kontrolne procedure unutar ključnih 3 - Stanje
10.
poslovnih procesa (platni promet) definiranosti
Primjena internih akata vezanih uz 4 - Stanje
11.
informacijski sustav banke mjerljivosti
Uporabom CobIT okvira moguće je metodološki utemeljeno procijeniti razinu

zrelosti upravljanja informacijskim sustavom odnosno odrediti njegovu kvalitetu,
pa CobIT služi i kao nezaobilazna metodologija provedbe revizije informacijskih
sustava. Tablica 6.4. prikazuje ocjenu kvalitete nekoga informacijskog sustava te-
meljenu na CobIT okviru pomoću koje je menadžmentu vrlo lako uočiti područja
koja su nedovoljno kvalitetna uz smjernice za učinkovitije upravljanje ulaganjima
u informatiku.
217
6.5. Planovi i programi provedbe revizije

učinkovitosti kontrola sigurnosti
informacijskoga sustava
6.5.1. Plan revizije strateške primjene informatike u poslovanju
Iako šira javnost, a nažalost i mnogi revizori informacijskoga sustava smatraju da

je njihov primarni zadatak rutinski provjeriti razinu zrelosti najvažnijih informatičkih
kontrola, najčešće koristeći formalne ‘check-liste’, uloga ove struke daleko je zna-
čajnija, a može biti i strateški usmjerena. Ponovimo, revizija informacijskih sustava
je analitička funkcija pomoću koje procjenjujemo u kojoj mjeri informatika strateški
podupire poslovanje, u kojoj mjeri se stvara nova vrijednost iz informatičkih ulaganja
i kako se poslovanje ‘čuva’ od informatičkih i cyber rizika. U novije vrijeme korpora-
tivno upravljanje informatikom je važan koncept koji se koristi i za podršku digitali-
zaciji poslovanja, osobito digitalnoj transformaciji poslovanja, toliko nužnoj brojnim
poslovnim subjektima kako bi uopće opstali u okruženju digitalne ekonomije. Stoga,
jedan od najvažnijih zadataka revizije informacijskih sustava je podupirati stratešku
primjenu informatike u poslovanju i biti odgovarajući ‘korektiv’, bolje reći pomoć i
desna ruka Upravi oko tih pitanja. Umjesto repetitivnih i rutinskih revizija temeljenih
na ‘check-listama’ revizori bi trebali biti konzultanti poslovanju i zagovaratelji
inovativne primjene informacijske tehnologije u poslovanju. Interni revizori
bi trebali biti ne interni ‘policajci’, nego, pored CIO-a i ostalih menadžera, interni kon-
zultanti u digitalizaciji poslovanja i nužan ‘korektiv’ Upravi koja možda nema dovoljno
znanja i kompetencija iz ovoga područja. Naravno da bi važan dio svakodnevnih ak-
tivnosti trebale ostati redovite revizije dijelova informacijskih sustava (prema planu
rada interne revizije sva ključna područja informacijskih sustava bi trebalo periodički
218
dobro provjeriti), no one ne bi trebale biti samo usmjerene na rutinu ‘check-lista’

odnosno unaprijed pripremljenoga skupa pitanja i kontrolnih područja koja treba
‘proći’ s korisnicima. Redovite revizije bi se trebale provoditi s ciljem poboljšanja
poslovne prakse i s ciljem stvaranja preduvjeta za uspješnu digitalnu transforma-
ciju odnosno stratešku primjenu informatike u poslovanju. To znači da se revizori
informacijskih sustava, osobito rukovodeće osoblje, trebaju posvetiti i strateškim
revizijama odnosno provjerama poslovne prakse koja izravno utječe na ostvarenje
strateških poslovnih ciljeva, ili, pak, intervenirati ako primijete da su strateški poslov-
ni ciljevi pogrešno postavljeni jer ne uvažavaju utjecaj informatike. Stoga ćemo ovaj
niz planova revizija određenih područja ‘prigodno’ započeti upravo planom revi-
zije strateške primjene informatike u poslovanju koji predstavlja plan provjere
najvažnijih korporativnih i organizacijskih kontrola.
Najvažnije organizacijske kontrole i dokumenti kojima su propisana ključna
načela koncepta korporativnoga upravljanja informatikom, a koje revizor treba de-
taljno proučiti su:
• Strategija informacijskog sustava
• Strateški plan informatike, strategija digitalizacije poslovanja ili slično
• Strategija (metodologija, politika) ulaganja u informatiku
• Metodologija (politika) procjene izvedivosti i isplativosti ulaganja u informatiku
• Metodologija (politika) upravljanja informatičkim projektima
• Metodologija (politika) upravljanja informatičkim i cyber rizicima
• Politika sigurnosti informacija i informacijskoga sustava
• Strategija kontinuiteta poslovanja i slične korporativne organizacijske kontrole.
Planom revizije strateške primjene informatike u poslovanju trebalo bi pro-
vjeriti mehanizme (praksa, pravila i politike) korporativnoga upravljanja
informatikom odnosno dobiti jasne odgovore na sljedeća pitanja:
• Kako se donose odluke o (strateškim i prioritetnim) ulaganjima u informatiku
(postoje li odgovarajuće procedure, organizacijska pravila ili preporuke oko
toga)?
• Pomoću kojih analitičkih metoda se procjenjuje isplativost ulaganja u informa-
tiku (čest je primjer, osobito u praksi hrvatskih kompanija da se odluke o ulaga-
njima u informatiku donose stihijski, bez prethodno provedene analize utjecaja
na poslovanje, bez studije izvedivosti, bez analize troškova i koristi, bez izraču-
navanja stope povrata na ulaganje, a osobito bez primjene suvremenih metoda
vrednovanja ulaganja u informatiku, kao što je Val IT inicijativa)?
219
• Tko donosi odluke koje se odnose na primjenu informatike u poslovanju i

osobito tko donosi (odobrava) odluke o ulaganjima u informatiku?
• Tko je odgovoran za provedbu tih odluka?
• Tko je procijenio rizike provedbe tih odluka?
• Kako se mjere rezultati tih inicijativa (projekata koji proizlaze iz ulaganja u in-
formatiku) i tko je odgovoran za praćenje i nadzor?
• Imamo li viziju uspješnoga poslovanja u digitalnoj ekonomiji?
• Je li naš trenutni poslovni model primjeren trendovima digitalne ekonomije i
omogućuje li ostvarenje ciljeva poslovanja?
• Što je zadatak i uloga primjene digitalne tehnologije u poslovanju naše kom-
panije?
• Imamo li strateški plan primjene digitalne tehnologije? Je li trenutna uloga di-
gitalne tehnologije i informatike prilagođena strateškim ciljevima poslovanja?
• Možemo li učinkovito i konkurentno poslovati bez primjene digitalne tehnolo-
gije i suvremenih informacijskih sustava?
• Možemo li intenzivnom primjenom digitalne tehnologije inovirati poslovni
model i ostvariti i (ili) održati prednost nad konkurentima?
• Možemo li intenzivnom primjenom digitalne tehnologije pozitivno utjecati na
ključne pokazatelje poslovanja?
• Može li naša organizacijska kultura ‘podnijeti’ inovacije i vizionarski način raz-
mišljanja usmjeren stvaranju nove vrijednosti?
• Koliko često se o informatici raspravlja na sastancima najvišega menadžmen-
ta kompanije?
• Možemo li opisati proces upravljanja informatikom i digitalnom tehnologijom
(tko je za njega odgovoran, tko donosi važne odluke, temeljem kakvih analiza
potreba, tko odlučuje o razini ulaganja u informatiku, tko određuje prioritetne
informatičke projekte, kako se donose odluke o ulaganju u digitalne tehnolo-
gije...)?
• Imamo li (ima li Uprava) vizije i strateškoga razmišljanja za disruptivne ino-
vacije? Koliki je kompanijski inovativni potencijal? Imamo li dovoljno internih
resursa za provedbu digitalne disrupcije ili agilnost i kompetencije trebamo
tražiti među partnerima (start-up-ovi i slično)?
• Koji su prioriteti ulaganja u digitalne tehnologije i suvremene informacijske
sustave? Koje poslovne (strateške) ciljeve ćemo time podržati? Kojim metoda-
220
ma ćemo mjeriti isplativost takvih ulaganja? Tko će donijeti te odluke? Zašto

ne ulažemo više (manje)?
• Znamo li kako stvoriti novu poslovnu vrijednost (korist) iz primjene informa-
tike i digitalne tehnologije? Koliki je povrat ulaganja u informatiku i digitalne
tehnologije?
• Znamo li odrediti prioritetne informatičke projekte i možemo li procijeniti nji-
hov doprinos poslovanju?
• Zašto informatički projekti ne uspijevaju?
• Koji su rizici koji proizlaze iz primjene suvremenih informacijskih sustava te-
meljenih na digitalnim tehnologijama?
• Tko vodi brigu o rizicima primjene informacijskih sustava? Imamo li plan
upravljanja informatičkim rizicima?
• Što će se dogoditi s poslovanjem naše kompanije ako informacijski sustav
neko vrijeme nije u funkciji? Koliko dugo (par minuta, par sati ili par dana)
možemo ‘izdržati’ ako iz bilo kojega razloga informacijski sustav nije u punoj
funkciji ili je u prekidu njegov rad? Koliku štetu (financijsku prije svega) bismo
time pretrpjeli? Imamo li preventivne mjere da to takvoga scenarija ne dođe?
• Mjerimo li performanse digitalne tehnologije i suvremenih informacijskih su-
stava? Znamo li kako ona utječe na pojedine poslovne procese i poslovanje u
cjelini?
• Kako je organiziran rad IT sektora/odjela? Što je zadatak i uloga CIO -a? Tko
vodi brigu o digitalizaciji poslovanja?
• Jesu li naši korisnici zadovoljni IT uslugom? Kakvo je njihovo iskustvo korište-
nja našega poslovnog modela?
• U kojoj mjeri je naš poslovni model ovisan o vanjskim partnerima?
• Koliko brzo možemo tržištu ponuditi nova, funkcionalna i kvalitetna IT rješenja?
• Omogućava li naša postojeća informatička infrastruktura promjene poslov-
noga modela?
• U kojoj mjeri je naša informatička infrastruktura modularna, fleksibilna, lako,
brzo i jeftino nadogradiva odnosno u kojoj mjeri je ‘kruta’, ‘troma’ i slabo
upravljiva i brzo promjenjiva?
• Kako mjerimo učinak digitalne i informacijske tehnologije na poslovanje? Ima-
mo li mehanizme kojima analiziramo njihov doprinos poslovanju?
• Provodimo li redovite interne i eksterne revizije informacijskih sustava?
221
Odgovori na ova i brojna slična pitanja određuju praksu upravljanja informatikom i

digitalnom tehnologijom na najvišoj hijerarhijskoj razini koja može varirati u raspo-
nu od ‘tehničkog sluge’ koji podupire unutarnje poslovne procese do ‘strateškoga
partnera’ poslovanju koji omogućuje inoviranje poslovnoga modela i stvaranje di-
gitalne platforme poslovanja (ekosustava) u koju su uključeni naši kupci, partneri,
dobavljači i svi koji logikom poslovanja trebaju surađivati.
Slika 6.6. prikazuje primjere strateških ciljeva informatike koji proizlaze iz CobiT
okvira
Slika 6.6. Primjeri strateških ciljeva informatike koji proizlaze iz CobiT okvira
IT Proces Aktivnosti
x Odgovoriti na poslovne zahtjeve u x Definirati način prema kojem se x Uključivanje visokog menadžmenta u
skladu sa strategijom poslovanja poslovni zahtjevi transformiraju u usklađivanje IT strateškog planiranja s
x Odgovoriti na zahtjeve korporativnog ponude usluga trenutačnim i budućim potrebama
upravljanja u skladu sa smjernicama x Definirati strategiju isporučivanja poslovanja
uprave usluga x Razumijevanje trenutačnih kapaciteta
x Doprinijeti upravljanju portfoliom (sposobnosti) informatike
Ciljevi
Postavljanje
poslovnih investicija podržanih kroz IT x Osiguranje prioritetnih shema za
ciljeva x
Postavljanje
Uspostaviti jasnoću u pogledu utjecaja ciljeva
poslovne ciljeve koji kvantificiraju
na poslovanje rizika vezanih uz IT poslovne zahtjeve
ciljeve i resurse x Prevođenje IT strateških planova u
x Ostvariti transparentnost i taktičke planove
razumijevanje troškova, koristi,
strategija i politika i razina usluga
Pokazatelj Pokazatelj
mjerilo mjerilo mjerilo
uspješnosti uspješnosti
x Stupanj odobravanja IT strateških/ x Postotak IT ciljeva iz IT strateškog x Vremenski odmak između ažuriranja
taktičkih planova od strane vlasnika plana koji podržavaju strategiju poslovnih strateških/taktičkih planova i
poslovnih procesa poslovanja (poslovni strateški plan) ažuriranja IT planova
x Stupanj sukladnosti u odnosu na x Postotak IT inicijativa iz IT taktičkih x Postotak sastanaka IT strateških/
zahtjeve korporativnog upravljanja planova koji podržavaju taktičke taktičkih planova u kojima su aktivno
x Razina zadovoljstva s trenutačnim planove poslovanja (akcijske planove) sudjelovali predstavnici poslovanja
Mjerila
stanjem (broj, opseg itd.) projekata i x Postotak informatičkih projekata iz IT x Vremenski odmak između ažuriranja IT
portfoliom aplikacija portfolia projekata kojima je direktno strateških planova i ažuriranja IT
izvorište navedeno u IT taktičkim taktičkih planova
planovima (akcijskim planovima) x Postotak IT taktičkih planova sukladnih
s predefinirano strukturom i sadržajem
takvih planova
x Postotak IT inicijativa/projekata s
podrškom vlasnika poslovnog procesa
Strateška revizija odnosno revizija koncepta korporativnoga upravljanja in-

formatikom trebala bi riješiti ili znatno utjecati na rješavanje sljedećih poslovnih
problema:
• razočaranja poslovne strane neuspjelim informatičkim inicijativama, visokim
IT troškovima i slabom percepcijom vrijednosti koju IT pruža poslovanju
• nedostatak poslovnog pogleda na sigurnosne incidente i informatičke rizike,
poput gubitka podataka, propasti IT projekata, neovlaštenih upada u infor-
macijsku infrastrukturu i slično
222
• nepostojanja jasne odgovornosti za upravljanje informatičkim rizicima i nesu-

stavno vladanje
• rizicima i nedostacima vezanima za eksternalizaciju poslovanja, osobito ispo-
rukama dogovorenih usluga
• neusklađenost s regulatornim ili ugovornim zahtjevima
• slaba učinkovitost rada IT-a, slaba kvaliteta IT usluge koja najčešće proizlazi iz
izvještaja o reviziji informacijskih sustava
• izostanak vizije korištenja IT-a u poslovanju kao poluge stvaranja inovativnih
poslovnih modela
• pogrešna strategija primjene informatike u poslovanju, neusklađenost poslo-
vanja i mogućnosti korištenja IT-a
• ograničenja u inovativnoj primjeni informatike u poslovanju i strateškome
utjecaju na promjenu poslovnoga modela
• pretjerani i skriveni troškovi IT-a koji ne donose bolje poslovne rezultate
• neučinkovita provedba poslovnih transakcija
• složena, nefleksibilna, ‘troma’ i nemodularna informatička infrastruktura koju
je teško i skupo brzo mijenjati i nadograđivati, čime kompanija gubi moguć-
nost brze promjene poslovnoga modela
• složeni, često nadograđivani informacijski sustavi (‘legacy’ sustavi)
• složen, neučinkovit i nefleksibilan model funkcioniranja IT-a
• nemogućnost donošenja brzih odluka vezanih za IT
• sporost i neučinkovitost u razvoju novih IT funkcionalnosti kojima se pokreću
nove usluge
• nedovoljni IT resursi, manjak talentiranih i motiviranih zaposlenika u IT-u, ne-
zadovoljni zaposlenici koji ne mogu provoditi vizije digitalizacije poslovanja
(ako iste postoje)
• isključivo tehnološka preokupacija IT zaposlenika, nedostatak poslovnih zna-
nja i kompetencija
• Uprava i najviši menadžment nemaju znanja i kompetencije iz područja digi-
talne ekonomije i primjene IT-a u poslovanju
• nerazumijevanje uloge i funkcije IT-a od strane Uprave i najvišega me-
nadžmenta kompanije, kao i vanjskih tijela upravljanja i nadzora (nadzorni od-
bor)
223
• slaba posvećenost Uprave i najvišega menadžmenta pitanjima digitalizacije

poslovanja i primjene IT-a.
Pored ‘simptoma bolesti’ koji su bili izloženi u prethodnome dijelu teksta, važni
okidači provedbe strateških revizija koncepta korporativnoga upravljanja
informatikom mogu biti i sljedeći poslovni događaji:
• promjene poslovne strategije, promjene tržišnih okolnosti i konkurentskoga
okruženja
• nužnost prilagodbe trendovima u okruženju (recimo, trendovima digitalne
ekonomije koji često mijenjaju ustaljena pravila)
• spajanja, pripajanja, preuzimanja, promjene vlasničke strukture, promjene
Uprave i izvršnih tijela upravljanja
• promjena poslovnoga modela
• novi regulatorni zahtjevi
• promjena informatičke infrastrukture
• veliki poslovni ili IT projekti
• dolazak vizionarskih menadžera (CIO, CEO)
• preporuke vanjskih konzultanata, preporuke ranijih vanjskih ili unutarnjih re-
vizija informacijskih sustava.
6.5.2. Plan revizije pristupa informacijskome sustavu
Već je više puta u ovoj knjizi bilo naglašeno kako je pristup informacijskome susta-
vu jedna od najvažnijih ‘sigurnosnih poluga’ i temelj upravljanja informatičkim rizi-
cima. Svakako se radi o neizostavnome području revizije informacijskih sustava čiji
je cilj provjeriti učinkovitost kontrola logičkoga pristupa informacijskome sustavu i
svim njegovim važnim komponentama, kao i provjeriti učinkovitost kontrola ovlasti
rada nad resursima informacijskoga sustava.
Trebalo bi provjeriti tehnološke, organizacijske, društvene, pa čak i fizičke kontrole
upravljanja logičkim pristupom svim važnim dijelovima informatičke infrastrukture,
posebice operativnim sustavima, bazama podataka, provjeriti sistemske naredbe i
ovlasti rada nad podacima i važnim sistemskim i aplikativnim softverom (tzv. ‘role’
korisnika).
Minimalni plan revizije logičkoga pristupa i ovlasti rada nad resursima informacij-
skoga sustava trebao bi obuhvaćati provjeru sljedećih kontrolnih područja:
224
• Upravljanje korisničkim pristupom

• Podjela dužnosti unutar procesa upravljanja logičkim pristupom
• Sigurnosne postavke zaporki
• Je li pristup privilegiranim funkcijama ograničen samo na autorizirane osobe
• Fizički pristup važnom hardveru ograničen je na autorizirane osobe.
Plan revizije logičkoga pristupa informacijskome sustavu i provjere ovla-
sti rada (ŠTO revidirati: rizici, kontrolna područja)
Kojim rizicima će poslovanje biti izloženo u slučaju da su kontrole neučin-
kovite?
• Neovlaštena osoba će imati pravo pristupa sustavu
• Pojedinac će dobiti prekomjerna prava pristupa sustavu (podacima, aplikaci-
jama, izvještajima, aktivnostima, …).
Dokumentacija koju treba detaljno pregledati:
• Politika sigurnosti informacija i sigurnosti informacijskih sustava
• Registar informacijske imovine
• Metodologija upravljanja informatičkim rizicima
• Procedura upravljanja korisničkim računima (pokretanje zahtjeva, odobrava-
nje, pokretanje, održavanje, promjene, gašenje i ukidanje)
• Procedura dodjele ovlasti rada nad resursima informacijskoga sustava
• Procedura upravljanja lozinkama i stalnim mjerama logičke identifikacije
korisnika
• Procedura dodjele, opoziva i upravljanja privilegiranim korisničkim računima
• Procedura uporabe biometrijskih metoda identifikacije itd.
Plan revizije pristupa i ovlasti rada - organizacijske i tehničke kontrole čiju
učinkovitost treba provjeriti (testirati) – kontrolni ciljevi (ostali kontrolni
ciljevi za navedena kontrolna područja su detaljnije objašnjeni u poglav-
ljima 4. i 5.):
• Provjeriti procedure dodjele prava pristupa (zahtjev, odobravanje, provedba,
dodjela, održavanje, izmjenu i ukidanje korisničkih računa)
• Provjeriti učinkovitost procedura stalnoga nadzora korisničkog pristupa
• Pregled grupa korisnika sustava (vanjski, generički, ‘dormant accounts’, ‘out-
sourceri’, …), pregled se provodi nad pristupnim pravima operacijskim susta-
vima, bazama podataka i aplikacija, što ovisi o konkretnoj situaciji
225
• Procedure mijenjanja prava pristupa, brisanje/onemogućavanje prava pristu-

pa
• Postavke lozinki, procedure upravljanja lozinkama
• ‘clear-desk test’, koliko često se lozinke mijenjaju, zapisuju li se ili pohranjuju
• Jesu li promijenjene inicijalno postavljene lozinke?
• Jesu li lozinke šifrirane (kriptirane)? Koji algoritam se koristi? Provjeriti pristup
datotekama u kojima su pohranjene šifrirane lozinke. Pratimo li (analizom za-
pisa rada sustava) tko je pokušao pristupiti tim datotekama i odakle?
• Što se događa nakon pogrešne prijave (‘account lockout’)?
• Jesu li ovlasti (‘role’) rada s resursima sustava (podaci, aplikacije, izvještaji,
oprema) dodijeljene korisnicima temeljem minimalnih potrebnih prava za
obavljanje radnih zadataka
• Moguće zloporabe identiteta korisnika
• Provjeriti logičke kontrole pristupa informatičkoj opremi koja je privremeno
bez nadzora
• Provoditi periodičku provjeru usklađenosti dodijeljenih korisničkih računa i
prava pristupa s poslovnim potrebama itd.
Analitički testovi učinkovitosti kontrola u području logičkoga pristupa in-
formacijskome sustavu (KAKO revidirati?)
• Pouzdanost i uspješnost tehnologije fizičke identifikacije (tokeni, biometrija,
pametne kartice, po mogućnosti i uz indikaciju mogućih problema potrebno
je provjeravati i algoritme takvih uređaja. U tome i sličnim slučajevima govo-
rimo o ‘IT reviziji’ odnosno reviziji informacijske tehnologije, što je čest, ali i
pogrešan kolokvijalni izraz za reviziju informacijskih sustava. IT revizija je pod-
skup revizije informacijskih sustava i odnosi se na sustavnu provjeru informa-
cijske tehnologije (alata, algoritama i uređaja) koju informacijski sustavi koriste
za provedbu poslovnih transakcija
• Provjera tehnologije logičke identifikacije (ID, PIN, korisničko ime, lozinka, po-
gađanje lozinki, ‘dictionary attacks’)
• Provjera ‘rola’ korisnika u sustavu
• Kontrole i zaštita – upravljanje lozinkama, složenost i duljina lozinke, ponavlja-
juće lozinke, neuspješne prijave, …
• Primjena sigurnosnih komunikacijskih protokola, posebice zaštita prenesenog
povjerljivog sadržaja mrežom (FTP, SCP, secure FTP, S-HTTP, SSL, IPsec,TLS ...)
226
• Kojom se organizacijskom procedurom i kojim se sigurnosnim protokolom

i ostalim tehnološkim kontrolama štite lozinke pri unosu? Kako se šifriraju
lozinke kada se prenose mrežom, kako se šifriraju kada se pohranjuju itd.?
Slika 6.7. prikazuje mogući rezultat izvođenja SQL naredbe kojom se u komandnu
liniju sustava za upravljanje bazom podataka (DBMS) unosi naredba kojom se ispi-
suju svi korisnici baze podataka i izdvojena svojstva njihovoga korisničkog računa.
Slika 6.7. Izvođenje analitičkih ciljeva informatike koji proizlaze iz CobiT okvira
Detaljniji pregled u području upravljanja lozinkama mogao bi se odnositi na sljede-

ća područja revizije (što revidirati?)
• Organizacijski akti kojima je uređeno područje
• Podjela dužnosti i odgovornosti
• Privilegirani korisnici, iznimke
• Minimalna duljina zaporki
• Obveza redovne promjene zaporke
• Prekid “sesije” nakon određenoga broja neuspješnih pokušaja prijave na su-
stav
• Zaključavanje korisničkoga računa nakon određenoga broja neuspješnih po-
kušaja prijave na sustav
• Automatsko otključavanje računa
• Detaljniji plan u području upravljanja lozinkama mogao bi se odnositi na:
- lozinke se trebaju mijenjati pri instalaciji sustava
- ‘minimal password lenght’ > 8
- kombinacija brojeva i slova
227
- lozinka se ne vidi pri unosu

- datoteka s lozinkama je kriptirana tako da je NITKO ne može čitati
- datoteka s kriptiranim lozinkama je zaštićena od neovlaštenoga pristupa
- lozinke se mijenjaju svakih 30 dana itd.
Pregled izdvojenih tehnoloških kontrola (kako revidirati?):
• Password expiration time = 90
• Fails to session end = 3 (‘wrong password’)
• Fails to user lock = 5
• Fails to user unlock = 0
• Min pwd length = 8
• Pwd composition = strong, complex.
6.5.3. Plan revizije pohranjenih podataka i sigurnosti podataka u

prijenosu
Koji su rizici za poslovanje u slučaju neučinkovitih kontrola u ovome pod-

ručju revizije (koju poslovnu vrijednost ‘branimo’):
• Predstavljaju li pohranjeni podaci stvarne poslovne događaje?
• Postoji li mogućnost da su neki podaci ‘nasilno’ umetnuti, uz zaobilaženje ili
neučinkovitost kontrolnih mehanizama?
• Jesu li podaci u prijenosu sigurni i ‘otporni’ na zloporabu?
• Predstavljaju li sigurnosne postavke opreme i računalne mreže rizik za poslo-
vanje?
• Registar imovine informacijskoga sustava
• Vlasništvo nad podacima
• Procedura zaštite podataka u prijenosu i pohranjenih podataka (podataka u
mirovanju) (i svi ‘podređeni’ interni akti)
• Procedura zaštite (sigurnosti) okruženja baze podataka (i svi ‘podređeni’ in-
terni akti)
• Procedura pristupa računalnoj mreži (i svi ‘podređeni’ interni akti).
228
Plan revizije sigurnosti pohranjenih podataka i podataka u mirovanju –

kontrolni ciljevi, što revidirati? (ostali kontrolni ciljevi za navedena kon-
trolna područja su detaljnije objašnjeni u poglavljima 4. i 5.):
Organizacijske i tehničke kontrole koje treba testirati:
• Pregled sigurnosnoga okruženja pohrane podataka (sigurnosne postavke su-
stava za upravljanje bazom podataka)
• Pregled kontrolnih mehanizama koji se koriste pri prijenosu podataka (raču-
nalnim mrežama) – kriptografski protokoli, scp, tls, https, ssl itd.
• Pregled sigurnosnoga okruženja računalne mreže (logička sigurnost i pristup
ključnoj opremi kroz koju ‘prolaze’ podaci, kontrole pristupa mreži izvana, kontro-
la ulaza u mrežu, fizička i logička razdvojenost ključnih dijelova računalne mreže)
• Zaštita pohranjenih podataka koji se odnose na ranije transakcije (pristup
bazi podataka, kriptografija itd.)
• Nadzor rada na sustavu
– pregled ‘log datoteka’ (‘audit vault’)
– sadržaj syslog datoteka
– pregled otvorenih portova mreže
– procedure stalnoga nadzora mrežnoga prometa i svih aktivnosti
– sigurnosne procedure (‘okidači’ neželjenoga događaja)
– penetracijsko testiranje
– segmentacija mreže
– izvještavanje o sigurnosnim incidentima
– plan testiranja cloud okruženja.
Analitički testovi sigurnosti računalnih mreža (kako revidirati?):60
• Ograničiti pristup konfiguracijskim sučeljima mrežnih uređaja, poput
preklopnika i usmjerivača, na isključivo za to ovlaštene osobe
• Voditi računa o konfiguraciji ključnih uređaja i sigurnosnih protokola na
njima (DMZ, particija mreže, VPN, tuneliranje, FTP server, DB server)
60
O planu revizije sigurnosti računalnih mreža mogla bi se napisati još jedna knjiga sličnoga opse-
ga. Ovo područje je iznimno dinamično, javljaju se stalno nove metode i tehnike napada, kao i nove
metode zaštite. Prikazani plan revizije predstavlja samo jedan manji dio procedure koje se pri reviziji
trebaju provesti. Za ažurne planove revizije ovoga i ostalih područja informacijskih sustava najbolje je
kontaktirati web mjesto ISACA-e (www.isaca.og) i potražiti ‘audit planove’ za pojedina područja.
229
• Provjeriti zaštitu (hardver i softver) uređaja i servisa kojima je omogućen

pristup izvana, posebice s javnih mreža, detaljna provjera sigurnosne konfi-
guracije poslužitelja, obrambenog zida, usmjernika (routera) i ostalog važnog
hadrvera, provjera internetske infrastrukture (poslužitelj internetske strani-
ce, poslužitelj baze podataka, poslužitelj na kojemu su važni servisi), pregled
topologije mreže, pregled sigurnosnih postavki točaka pristupa mreži, pre-
gled učinkovitosti sustava za detekciju neovlaštenoga pristupa (IDS) i sustava
za prevenciju neovlaštenoga pristupa (IPS), provjera postoji li automatizam
promjene IP adresa u slučaju detekcije napada, pregled udaljenoga pristupa
(remote access, SSH remote IP), stalni pregled logova rada mreže, pregled
portova mreže, ukidanje nepotrebnih, ‘snifanje’ mreže, detekcija ulaska, pe-
netracijski testovi, ažurnost operacijskih sustava, provjera ranjivosti mreže,
‘patch’ management itd.
• Provjeriti je li mreža razdvojena u više povezanih logičkih jedinica (posebice
jesu li ključni servisi, uređaji, podaci i resursi izdvojeni u poseban segment
mreže – VLAN)
• Provjeriti pristupne liste za VLAN-ove (VLAN access list)
• Kako se štite bežične mreže (WPA2 protokol)
• Koriste li se sigurni protokoli prijenosa (SSH, SCP, HTTPS, TLS - SSL, IPsec)
• Provjeriti udaljeni pristup mreži (remote access), tko ga ima, zašto, je li to u
skladu s poslovnim pravilima, tko je odobrio takav pristup, ima li prekomjernih
i nepotrebnih ovlasti, osobito od strane dobavljača, partnera, ‘outsourcera’,
na koji se port spaja, koje servise može koristiti, je li pristup stalan (24 x 7) ili
po potrebi uz nadzor, kako se nadzire što ovi korisnici rade itd.
• Postoje li operativni i sistemski zapisi o aktivnostima korisnika udaljenoga
pristupa (syslog, log management), koriste li se, analiziraju li se, kako se
analiziraju (ručno, uz pomoć nekoga algoritma), kakav je učinak nadzora itd.
• Ostale tehnološke kontrole čiju učinkovitost treba provjeriti: IP i MAC adresa,
praćenje mrežnoga prometa, IDS, anomaly detection IDS, aktivni IDS (pro-
mjena mrežne konfiguracije uslijed napada), zabrana IP adrese s koje dolazi
napad, host-based IDS, audit vault, pregled logova, pregled aktivnih portova,
osobito TCP, remote, SSH i UDP portova, TCP napadi
• Provjera sigurnosnoga ojačavanja uređaja: operacijskih sustava, kon-
figuracija mrežnih protokola i uređaja (routeri, gatewayi, ftp serveri, serveri
baze podataka, DNS serveri, Active Directory), poboljšanje zaštite aplikacija i
baza podataka, fizičke zapreke pristupa opremi, particije mreže, penetration
testing
230
• Kontinuirani nadzor mrežnoga prometa (audit vault, log manage-

ment)
• Kriptografske mjere zaštite (algoritam šifriranja, simetrični i asimetrični al-
goritmi, DES, RSA, lozinke; kvantna kriptografija, kriptografski standardi PKI,
SSL, SET, SSH, PGP, HTTPS, s-HTTP, IPsec, životni ciklus digitalnih ključeva)
• Provjera zaštite podatkovnoga okruženja (DB2 testovi, plan testiranja za
Oracle bazu podataka)
• Zaštita kritične infrastrukture (SCADA - supervisory control and data
acquisition).
6.5.4. Plan revizije kontinuiteta poslovanja
Rizici za poslovanje?
• Prekid rada IS-a će uzrokovati prekid odvijanja poslovnih procesa
• Izravna financijska i materijalna šteta + reputacijski rizik.
• Registar imovine informacijskoga sustava, vlasništvo nad podacima i procesima
• Politika i plan kontinuiteta poslovanja (i svi ‘podređeni’ interni akti)
• Plan oporavka od neželjenih događaja (i svi ‘podređeni’ interni akti)
• Metodologija upravljanja informatičkim rizicima, analiza utjecaja na poslovanje
• Procedure arhiviranja podataka (back-up) (i svi ‘podređeni’ interni akti)
• Procedure oporavka podataka i opreme (i svi ‘podređeni’ interni akti)
• Procedura provjere čitljivosti podataka nakon arhiviranja (restauracija poda-
taka) (i svi ‘podređeni’ interni akti)
• Radne upute za arhiviranje podataka, Radne upute za pohranu podataka itd.
Organizacijske i tehničke kontrole koje treba testirati (plan revizije, što
revidirati?):
• Pregled dokumentacije i organizacijski akti
• Određivanje kritičnih poslovnih procesa, kritičnih aplikacija i utvrđivanje prio-
riteta
• Procjena njihova utjecaja na poslovanje (Business Impact Analysis)
231
• Procjena rizika i kontrola (RTO, RPO)

• Pričuvna lokacija poslovanja
• Testiranje i implementacija plana kontinuiteta poslovanja i oporavka
• Test procedura oporavka podataka (data centar, repliciranje, back-up).
Slijede primjeri analitičkih testova u području revizije kontinuiteta poslovanja:
• Papirnati testovi (engl. Desk-based evaluation/paper test) - najjednostavnija
za provođenje, najjeftinija, ne provodi se stvarni oporavak procesa niti resur-
sa informacijskoga sustava.
• Test kroz kontrolne liste (eng. Check list) - Provodi se prije svih ostalih te-
stiranja. Putem testa kroz kontrolne liste pregledava se plan kontinuiteta po-
slovanja, provjerava raspoloživost i adekvatnost informacija i resursa. Stavke
plana za kontrolu (sistemska i aplikacijska dokumentacija, važeći telefonski
brojevi, vitalni zapisi, mediji za sigurnosnu pohranu i čuvanje podataka, obras-
ci, zamjenske procedure, instalacijski priručnici za aplikacije.
• Test za stolom (eng. Tabletop testing) - Provodi se prije testa kroz simulaciju.
Pregled dokumentacije dodijeljenih procedura i odgovornosti, upoznavanje s
ciljevima i scenarijem testiranja, verifikacija izvedivosti, učinkovitosti i isprav-
nosti plana.
• Test kroz simulaciju - kombinira simulaciju aktivnosti plana kontinuiteta
poslovanja i stvarno izvođenje aktivnosti plana. Pri tome se može odabrati
bilo koji pretpostavljeni scenarij iz plana i provoditi ga sukladno unaprijed
pripremljenim «uvjetima». Testom kroz simulaciju može se provesti testiranje
alternativne lokacije za oporavak ili zahtijevati od nekih poslovnih jedinica da
prekinu rad.
• Paralelni test - Testiranje sustava na alternativnoj lokaciji. Pri tome alter-
nativna lokacija radi paralelno s produkcijskom okolinom na izvornoj lokaciji.
Produkcijska okolina nastavlja raditi potpuno normalno bez zaustavljanja ili
prekida. Prilikom testiranja sustavi na alternativnoj lokaciji oporavljaju se pu-
tem sigurnosnih kopija dok se istodobno na izvornoj produkcijskoj lokaciji sve
transakcije zapisuju ručno.
• Testovi pripremljenosti (engl. Preparedness test). Testiranje oporavka odno-
sno ponovne uspostave jednoga ili više poslovnih procesa testiranje oporav-
ka samo dijela resursa informacijskoga sustava.
• Potpuni test (engl. Full operational test). Svi postupci koje bi trebalo provesti u
slučaju stvarnoga narušavanja poslovnih procesa. Ovaj test obično se provodi
tek nakon uspješno provedenih papirnatih testova i testova pripremljenosti.
232
• Test potpunog prekida - Stvarno zaustavljanje rada sustava, aktivira sve

komponente plana kontinuiteta poslovanja i pretpostavlja da su svi kritični
poslovni procesi u prekidu. U testiranju sudjeluju svi članovi testnoga tima,
dobavljači usluga i opreme, sve alternativne lokacije za oporavak i sve udalje-
ne lokacije za uskladištenje. Prilikom provođenja testiranja izvode se stvarne
operacije i aktivnosti koje su specificirane u planu kontinuiteta poslovanja.
Zahtijeva znatna financijska sredstva za provođenje i može izazvati ozbiljan
prekid normalnoga poslovanja.
• Najavljeni i nenajavljeni testovi
• Najavljeni test - Vrijeme i planirani raspored testa se komunicira s timom za
krizne situacije, članovi tima za krizne situacije imaju vremena za pripremu te-
sta, na testiranju je visoka razina spremnosti i raspoloživosti timova, provode
se prije nenajavljenih testova kako bi timovi stekli potrebno iskustvo
• Nenajavljeni test - Vrijeme početka testa se drži tajnim, testira se čimbenik
iznenađenja timova koji provode plan kontinuiteta poslovanja, početni opseg
testiranja drži se ograničenim da bi se vremenom postupno povećavao.
Slika 6.8. Testovi kontinuiteta poslovanja

Složenost testa
Visoka
Potpuni prekid
Srednja
Simulacija Nenajavljeno
Za stolom
Za stolom
Niska
Kontrolne
Kontrolne liste
liste
Intervali
Mjesečno Kvartalno Polugodišnje Godišnje testiranja
233
6.5.5. Plan revizije sigurnosti fizičkoga pristupa
Plan revizije fizičke sigurnosti i sigurnosti okoline informacijskoga sustava:

• Smjestiti značajnu informatičku opremu u posebne prostorije
• Ograničiti pravo pristupa prostorijama u kojima je smještena značajna infor-
matička oprema na zaposlenike subjekta koji imaju za to opravdanu potrebu,
primjerice stručno osoblje subjekta koje održava tu opremu
• Osigurati da su osobe koje pristupaju prostorijama sa značajnom informatič-
kom opremom, a koje za to inače nemaju pravo pristupa, pod stalnim nadzo-
rom ovlaštenih osoba
• Osigurati kontrolu pristupa medijima za pohranu podataka koji su bez nad-
zora
• Ograničiti izloženost značajne informatičke opreme prirodnim pojavama
• Osigurati primjerenu zaštitu od požara poslovnih prostora i prostorija sa zna-
čajnom informatičkom opremom
• Osigurati temperaturu prostorije u kojoj je smještena značajna informatička
oprema primjerenu za funkcioniranje te opreme.
6.5.6. Plan revizije promjene softvera
Rizici za poslovanje?
Nedovoljno testiran softver će se koristiti u produkciji.
Organizacijske i tehničke kontrole koje treba testirati:
• Procedura promjene softvera (zahtjev – odobrenje – testiranje - autorizacija
promjene - ’spuštanje’ u produkciju)
• Testni podaci, autorizacija promjena
• Testna – razvojna – produkcijska okolina (pristup, nadzor)
• Dokumentiranje promjena (verzija softvera)
• Izvještavanje.
Plan revizije u području razvoja i održavanja informacijske tehnologije i
aplikacija informacijskoga sustava:
• Osigurati primjereno održavanje hardvera, softvera i podržavajuće infra-
strukture
234
• Ograničiti ovlaštenja za izmjene na hardveru, softveru i podržavajućoj infra-

strukturi
• Primjereno nadzirati ključne pokazatelje funkcionalnosti informacijske tehno-
logije
• Uključiti krajnje korisnike aplikacija u proces izrade specifikacija aplikacije
• Planirati sigurnosne kontrole u fazi razvoja (identifikacija korisnika i autori-
zacija pristupa resursima aplikacije, kriptografski mehanizmi, kontrole unosa
podataka, kontrole izlaznih podataka i slično)
• Zaštititi izvorni kod aplikacija od neovlaštenoga pristupa
• Testirati funkcionalnost i sigurnost novih i izmijenjenih aplikacija
• Vrste testova: pojedinačni i integralni test; sistemski test, test pri-
hvaćanja
• Testirati prijenos aplikacija s razvojnoga okruženja na testno i pro-
dukcijsko okruženje
• Razdvajanje razvojnoga i testnoga okruženja aplikacija od produkcij-
skoga
• Izbjegavanje korištenja produkcijskih podataka za potrebe razvoja ili testira-
nja
• Programeri – pregled pristupa razvojnome i testnome okruženju
• Korisnici – pregled pristupa produkcijskome okruženju.
6.5.7. Plan revizije provedbe transakcija
Ciljevi revizije provedbe poslovnih transakcija se mogu svesti na pitanja

poput:
• Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knji-
ga)?
• Jesu li u transakcijskim bazama vidljivi učinci provedbe transakcija (promjene
nastale izvršavanjem aplikacija – poslovnih procesa)?
• Ima li duplih transakcija (duplih faktura, duplih kupaca i ostalih matičnih poda-
taka)?
• Ima li praznina među evidencijama podataka?
• Prati li klijent neuobičajene transakcije? Može(te) li otkriti zloporabu?
235
• Kada ste posljednji put provjerili rade li određeni algoritmi pomoću kojih se
automatizmom provode poslovne transakcije točno i pouzdano?
• Postoji li mogućnost da netko neovlašten prati/mijenja/unosi podatke i pro-
grame?
• Je li moguće da uređajima i ostaloj IT-i može pristupiti netko neovlašten, mije-
njati konfiguracije i ugroziti prijenos podataka?
• Je li prijenos podataka među za poslovanje važnim aplikacijama siguran (kori-
ste li se sigurnosni protokoli, može li netko presresti i promijeniti podatke)?
Plan revizije u području provedbe transakcija:
• Otkrivanje višestrukih pojava – npr. isti račun plaćen dva puta, isti redni
broj transakcije…
• Pronalaženje dva ili više plaćanja s istim brojem računa i dobavljačem, a razli-
čitim djelatnikom koji izvršava plaćanje
• Pronalaženje duplikata - duplih faktura, duplih matičnih podataka dobavlja-
ča, …
• Pregled događaja po vremenskome kriteriju – knjiženja nakon određenih
datuma, knjiženja na datum 31. 12., evidencija događaja nakon radnoga vre-
mena, …
• ‘Gap detection’ – pronalaženje praznina radi brisanja transakcija
• Spajanje datoteka - Prodavač koji nije ispostavio niti jedan račun, ali ima
realizaciju
• Pronalaženje prijevara – zaobilaženje poslovnih pravila (Benfordov zakon)
• Traženje nasilno umetnutnih transakcija uz korištenje metoda kao što su
Benfordov zakon, a alati ispitivanja su ‘data mining’, slojevitost, stratifikacija,
traženje iznimki (praznina, duplikata, ...), uzorkovanje, potvrđivanje ispravnosti i
cjelovitosti podataka.
Benfordov zakon predstavlja metodu kojom se prebrojava učestalost pojave vo-
deće znamenke u određenome skupu brojeva. Američki matematičar Frank Ben-
ford je prije stotinjak godina proučavao razne serije brojeva i matematičkim apa-
ratom – teoremima, propozicijama, korolarima i lemama dokazao da vjerojatnost
pojave vodećih znamenki u određenome skupu brojeva nije jednaka (ne iznosi 11,1
%) i nije jednoliko raspoređena, nego ovisi određenim slučajnostima i raspodjela-
ma. Benford je svoja razmišljanja i intelektualne dosege sveo na par jednostavnih
matematičkih mehanizama:
236
P(x) = logb(x + 1) − logbx = logb((x + 1)/x)

vodeća znamenka x (x e [1..b − 1]), baza b (b ≥ 2) se pojavljuje s vjerojatnošću
P(z1) = log10(1 + 1/z1), z1 e [1..9].
Tablica 6.5. Vjerojatnost pojave određene znamenke na vodećoj poziciji prema

Benfordovoj distribuciji
Znamenka (z1) Vjerojatnost p(z1)

1 0,30103
2 0,17609
3 0,12494
4 0,09691
5 0,07918
6 0,06695
7 0,05799
8 0,05115
9 0,04576
Dakle, vjerojatnost da je broj 1 vodeća znamenka u skupu brojeva je 30,1 %, da je

broj 2 vodeća znamenka vjerojatnost je 17,6 %, broj 3 12,49 %, … a broj 9 4,57 %.
Na taj je način moguće automatizirano pratiti odstupanja od očekivanih vrijednosti
i učinkovito i vrlo brzo otkrivati moguće prijevare (‘namještanje’ brojčanih vrijedno-
sti), ukazivati na moguće propuste, sprječavati neželjene scenarije i poboljšavati
kontrolno okruženje.
Iako nastao vrlo davno, Benfordov zakon dugo vremena nije pronalazio svoju pri-
mjenu u praksi, osobito u reviziji i otkrivanju prijevara. No, razvojem informacijske
tehnologije i sve intenzivnijom pohranom podataka u bazama podataka, počela se
javljati potreba za njihovom automatiziranom provjerom i kontrolom. U današnje
vrijeme gotovo svi podaci se pohranjuju u bazama podataka, a svi važni transakcij-
ski podaci su numeričkog karaktera, što otvara mogućnost primjene Benfordovog
zakona. No, taj se revizorski alat ne može primjenjivati na sve uzorke podataka.
Pravila primjene Benfordovog zakona su:
• Brojevi se trebaju odnositi na isti ili sličan uzorak
• Brojevi ne smiju imati unaprijed određena minimalna ili maksimalna ograničenja
• Brojevi bi trebali nastati prirodnim slijedom odnosno ne bi trebali biti dodje-
ljivani prema nekom algoritmu (‘assigned numbers’)
• Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem
237
• Brojčane vrijednosti u skupu moraju biti raznovrsne (kompletnost uzorka)

• Minimalan utjecaj psiholoških činitelja (primjerice, iznosi isplata na bankoma-
tima, cijene u supermarketima, prodajne cijene dionica ne mogu biti predme-
tom Benfordove analize, dok iznosi računa u supermarketima, ukupan dnevni
promet na burzi, platne transakcije u platnome prometu mogu).
Primjeri primjene Benfordovog zakona su:
• Zašto ima “viškova” nekih znamenki (recimo 1, 2 i 5)?
• Jesu li ograničenja na autorizaciju od strane višeg menadžmenta korektno
postavljena na iznose isplata preko npr. 3.000 i/ili preko 6.000?
• Izbjegavaju li djelatnici poslovna pravila? Isplaćuju li se iznosi bez pokrića
(iznosi manji od 3.000)? Kome? Kolegi iz smjene?
• Jesu li “viškovi” rezultat psihologije (isplate zaokružene na 100 ili 500)?
• Jesu li “viškovi” rezultat “normalnoga” poslovnoga procesa?
Promotrimo sliku primjene Benfordovog zakona primijenjenog na prve dvije zna-
menke, koji pokazuje višak znamenki 27, 28 i 29 i manjak znamenki 30, 31, 32 u
odnosu na očekivanu distribuciju.
Slika 6.9. Rezultat provedbe Benfordovog testa na vodeće dvije znamenke
U revizijama se vrlo često koriste i forenzične metode, pri čemu se u novije vri-
jeme sve više koristi računalna forenzika. Računalna forenzika (engl. computer
forensics) predstavlja dio (granu) poslovne forenzike s ciljem provedbe provjera i
238
pronalaženja dokaza (engl. audit trail ) temeljenih na podacima koji su pohranjeni u

računalima ili na digitalnim medijima. Cilj računalne forenzike je pregledati podatke
pohranjene u računalima ili na digitalnim medijima u svrhu pronalaska dokaza koji
se mogu zasebno razmatrati ili biti temeljem drugih kontrolnih postupaka. Radi se
o grani forenzičke znanosti koja se bavi prikupljanjem, pretraživanjem, zaštitom i
analizom dokaza u digitalnome obliku te uključuje njihovu prezentaciju kao mate-
rijalnih dokaza u kasnijim možebitnim sudskim postupcima.
Cilj računalne forenzike je objasniti trenutno stanje raznih digitalnih artefakta po-
put računalnoga sustava, medija za pohranu podataka (čvrsti disk, DVD), elektro-
ničkih dokumenata (e-pošta, digitalna fotografija), mrežni paketi i slično.
Provođenjem forenzičke istrage treba se osigurati da je dokaz prikupljen na ispra-
van način i da se poštuje lanac posjeda dokaza od mjesta zločina do laboratorija (i
kasnije do suda).
Grane računalne forenzike su:
• mrežna forenzika (eng. network forensics), predstavlja forenziku uređaja koji
obavljaju najvažnije sigurnosne funkcije u računalnoj mreži (poslužitelji,
obrambeni zidovi, usmjernici itd.)
• forenzika baza podataka (eng. data base forensics), koja se odnosi na forenziku
podataka i dokumenata koji su pohranjeni u bazama podataka, kao i forenzi-
ku sustava za upravljanje bazom podataka (posebice zapisi pristupa, promje-
ne podataka, brisanja i slično)
• forenzika mobilnih uređaja (ng. mobile device forensics).
Mrežna forenzika predstavlja upotrebu znanstveno dokazanih tehnika za priku-
pljanje, identifikaciju, pretraživanje, povezivanje, analizu i dokumentiranje digital-
nih dokaza iz više izvora vezanih uz planiranje i izvršavanje kriminalnih radnji. Ona
se temelji na praćenju mrežnoga prometa i otkrivanju anomalija. Sustavi mrežne
forenzike se oslanjaju na sljedeće tehnike:
• “Ulovi-to-kako-možeš” sustavi (eng. “catch-it-as-you-can” systems), u kojemu se
svi paketi koji prolaze kroz određenu prometnu točku presreću i spremaju za
daljnju analizu (potrebno mnogo prostora za pohranu podataka)
• “Stani, pogledaj i poslušaj” (eng. “stop, look and listen systems“) u kojemu se
svaki paket analizira i samo određeni podaci se pohranjuju za buduću analizu
(potrebni brzi procesori kako bi se obradio svaki paket).
Forenzika baza podataka se bavi pretraživanjem i analizom baza podataka ili po-
sebnih transakcija i relacija izvučenih iz baze na način koji ne uništava podatke u
svrhu rekonstrukcije podataka ili događaja. Analiza baza podataka vrši se na kopi-
239
jama originalnih baza podataka, a koriste se alati koji dopuštaju samo čitanje baza
podataka (ACL, Idea, Artubus).
Forenzika mobilnih uređaja se odnosi na skup metoda pretraživanja dokaza s mo-
bilnih uređaja, pri čemu se posebna pozornost posvećuje načinu forenzičke pohra-
ne memorije mobilnih uređaja. Ova tehnika uopće ne treba čuditi jer su u mobilnim
uređajima pohranjeni različiti podaci: kontakti (brojevi telefona, adrese), fotografije,
kalendari, bilješke itd.
Kontrolna pitanja:
1. Objasnite pojam korporativnoga upravljanja informatikom.
2. Zašto je važno mjeriti učinak informacijskih sustava na poslovanje? Objasnite na
nekoliko primjera iz prakse.
3. Nabrojite nekoliko mehanizama korporativnoga upravljanja informatikom.
4. Objasnite odnos među pojmovima revizija informacijskih sustava i korporativno
upravljanje informatikom.
5. Što je kvaliteta informacijskih sustava? Objasnite na nekoliko primjera.
6. Objasnite pojam revizije informacijskih sustava.
7. Što je osnovni cilj revizije informacijskih sustava?
8. Objasnite regulativu revizije informacijskih sustava.
9. Koja tijela i koji regulatorni okviri određuju nacionalni zakonski okvir revizije infor-
macijskih sustava u Republici Hrvatskoj?
10. Što smatrate najvažnijim razlogom korištenja standarda i smjernica korporativno-
ga upravljanja informatikom i revizije informacijskih sustava?
11. Što su krovni standardi korporativnoga upravljanja informatikom i revizije informa-
cijskih sustava? Objasnite njihovu funkciju. Zašto ih smatramo krovnim?
12. Što su izvedeni standardi korporativnoga upravljanja informatikom i revizije infor-
macijskih sustava? Objasnite njihovu funkciju i nabrojite ih nekoliko. Zašto ih sma-
tramo izvedenim?
13. Što je CobiT ? Objasnite njegove najvažnije značajke i komentirajte moguće primjene
u revizijama informacijskih sustava.
14. Objasnite povezanost područja revizije informacijskih sustava, informatičkih kon-
trola i informatičkih rizika.
15. Objasnite čemu služe CobiT ocjene zrelosti korporativnoga upravljanja informatikom.
240
16. Objasnite najvažnija područja primjene ITIL metodologije.

17. Objasnite čemu služi obitelj ISO 27000 normi i kako se koriste pri reviziji informacij-
skih sustava?
18. Što predstavlja dodanu poslovnu vrijednost pri provedbama revizija informacijskih
sustava?
19. Nabrojite i objasnite najvažnije korake i faze provedbe revizija informacijskih sustava.
20. Kako se određuju područja koja treba revidirati (kontrolna područja)?
21. Kako se određuju kontrolni ciljevi unutar određenih kontrolnih područja?
22. Objasnite koje metodologije i okviri mogu biti korisni pri određivanju kontrolnih
područja i ciljeva.
23. Objasnite kako se provodi postupak testiranja učinkovitosti kontrolnih ciljeva.
24. Koje metode se koriste pri provedbi revizija informacijskih sustava?
25. Komentirajte koliko se vremena od ukupnoga trajanja revizija informacijskih sustava
odnosi na pojedinu fazu.
26. Komentirajte opisanu studiju slučaja provedbe revizije informacijskih sustava. Koja
kontrolna područja su odabrana i koje metode su se koristile? Zašto je rizik procije-
njen na srednju razinu?
27. Što su planovi revizije informacijskih sustava i čemu služe?
28. Koje konkretne rezultate bi trebala polučiti dobro provedena revizija koncepta kor-
porativnoga upravljanja informatikom?
29. Kojim rizicima će poslovanje biti izloženo u slučaju da su kontrole pristupa informa-
cijskome sustavu neučinkovite ili da ne postoje? Objasnite ulogu revizija informacij-
skih sustava u tome.
30. Koja kontrolna područja predlažete pri reviziji pristupa informacijskome sustavu?
Koje krovne i izvedene standarde pri tome smatrate korisnim? Kako odrediti kontrol-
ne ciljeve za ovo područje revizije informacijskih sustava?
31. Kojim analitičkim testovima je moguće provjeriti učinkovitost kontrolnih ciljeva pri
reviziji pristupa informacijskome sustavu? Pored niza navedenih u tekstu, navedite
još par primjera analitičkih testova.
32. Objasnite povezanost tema sigurnosti informacijskih sustava obrađenih u 5. poglav-
lju (metode logičkoga i fizičkoga pristupa informacijskome sustavu s temom revizije
njihove učinkovitosti).
33. Odaberite neko područje informacijskoga sustava kojega svakodnevno koristite i za
njega napravite plan i program revizije pristupa (recimo, program revizije pristupa
241
ISVU informacijskome sustavu)? Koja kontrolna područja bi odabrali i zašto? Koje

kontrolne ciljeve biste trebali obuhvatiti?
34. Kojim rizicima će poslovanje biti izloženo u slučaju da su kontrole sigurnosti po-
hranjenih podataka i podataka u prijenosu nedovoljno učinkovite ili da ne postoje?
Objasnite kako bi provjerili njihovu učinkovitost.
35. Kojim analitičkim testovima je moguće provjeriti učinkovitost kontrolnih ciljeva koji
omogućavaju sigurnost računalnih mreža? Pored niza navedenih u tekstu, navedite
još par primjera analitičkih testova.
36. Objasnite pojam upravljanja kontinuitetom poslovanja.
37. Što je to plan oporavka od neželjenoga događaja i kakva je njegova povezanost s
konceptom upravljanja kontinuitetom poslovanja?
38. Koje organizacijske i tehnološke kontrole treba testirati pri reviziji upravljanja konti-
nuitetom poslovanja?
39. Navedite i objasnite nekoliko primjera analitičkih testova u području revizije uprav-
ljanja kontinuitetom poslovanja.
40. Koji su cijevi revizije provedbe poslovnih transakcija?
41. Što je to Benfordov zakon i kako se može koristiti u revizijama informacijskih susta-
va?
42. Nad kojim se brojevima može koristiti Benfordov zakon?
43. Objasnite pojam digitalne (računalne) forenzike i usporedite je s revizijom informa-
cijskih sustava.
242
7. Zaključak
7. Zaključak
Okruženje digitalne ekonomije donosi vizionarske i inspirativne scenarije primjene
digitalnih tehnologija kojima će se svi poslovni subjekti morati prilagoditi. Digitalna
transformacija i opsežna digitalizacija poslovanja sigurno će biti važne strateške
aktivnosti kojima će poslovni subjekti pokušati osnažiti svoju konkurentsku pozi-
ciju. Povodi za razmišljanja o poslovnome okruženju digitalne ekonomije u kojoj
živimo i radimo su prikazani u poglavlju 1. Iako smo već prilično okruženi brojnim
suvremenim tehnologijama bez kojih ne možemo zamisliti poslovnu i privatnu sva-
kodnevicu, jedan od važnih ciljeva prvoga poglavlja je ukazati na činjenicu da nam
tek predstoji iznimno intenzivno i sveobuhvatno korištenje potpuno novih – digital-
nih tehnologija koje će (zauvijek) promijeniti naše životne i poslovne navike, ali nas
izložiti i brojnim novim rizicima – cyber rizicima.
No, kako svaka medalja ima dvije strane, pored velikih mogućnosti za stvaranje no-
vih poslovnih vrijednosti, intenzivna primjena informacijskih i digitalnih tehnologija
poslovanje i pojedince izlaže cyber rizicima.
Cyber rizici su one vrste informatičkih rizika koje se odnose na intenzivnu primjenu
digitalnih tehnologija u poslovanju. Što kompanije intenzivnije koriste suvremene
informacijske i digitalne tehnologije, više su izložene cyber i informatičkim rizicima.
Ti rizici imaju dvojnu narav: neizbježni su, stalno su prisutni i njihova pojava i inten-
zitet stvaraju probleme u poslovanju, a njihovo bolje upravljanje čuva vrijednost
informatičkih ulaganja.
Svi navedeni ključni termini (sigurnost informacijskih sustava, informatičke kon-
trole, informatički rizici i revizija informacijskih sustava) su međusobno povezani
i predstavljaju posebna poglavlja ove knjige. Dakle, osnovni cilj mjera cyber sigur-
nosti i sigurnosti informacijskoga sustava jest osmišljavanje i primjena kontrolnih
mehanizama kojima se, sukladno procjeni prihvatljivih razina rizika, štite ulaganja
u informatiku i omogućuje redovitu provedbu poslovnih transakcija. Sigurnost in-
formacijskih sustava, se ostvaruje osmišljavanjem i provedbom kontrola (informa-
tičkih kontrola) kojima se sprječavaju neželjeni događaji, a revizijama informacijskih
sustava provjeravamo postoje li te kontrole i u kojoj su mjeri učinkovite i zrele. Što
su informatičke kontrole učinkovitije, poslovanje je manje izloženo informatičkim
rizicima. Revizijama informacijskih sustava uz metodološku podršku dokazanih
preporuka i okvira (CobiT, ISO 27001, PCI DSS, NIST i drugi) provjeravamo razinu
243
učinkovitosti informatičkih kontrola i procjenjujemo razinu informatičkih rizika. Na

taj se način mjeri razina sigurnosti informacijskih sustava, održava željena razina
prihvatljivih informatičkih rizika, što omogućuje ‘bezbrižno’ poslovanje u složeno-
me i sigurnosno turbulentnome okruženju digitalne ekonomije.
Osim toga, sigurnost je jedna od kontroverznijih tema u suvremenom poslovnom
upravljanju. Bez obzira na činjenicu da su temeljeni na suvremenim informacijskim
i digitalnim tehnologijama, informacijski sustavi su i dalje proizvod ljudske pameti
i intelektualnih sposobnosti njihovih tvoraca, što znači da ne postoje, nikada nisu
postojali, niti će, bez obzira na razvoj tehnologije, ikada postojati u potpunosti si-
gurni informacijski sustavi. Obzirom da je osnovna svrha svakoga informacijskog
sustava ‘služiti’ poslovanju i prilagoditi se posebnostima poslovne organizacije,
lako je zaključiti da, čak i u istim djelatnostima, ne postoje dva jednaka informa-
cijska sustava. Razvoj i primjena mehanizama sigurnosti informacijskih sustava
također predstavlja unikatan proizvod, dapače, uniju različitih tehnoloških, organi-
zacijskih i ostalih kontrolnih mjera, radi čega možemo zaključiti da ne postoje dva
jednaka sustava sigurnosti informacijskih sustava. Stoga, cilj mjera cyber sigurno-
sti i sigurnosti informacijskoga sustava jest multidisciplinarnim pristupom koristiti
tehnološke, organizacijske i fizičke kontrole i stvoriti održiv, ekonomski opravdan i
poslovno učinkovit sustav zaštitnih mjera.
Podsjetimo se i zaključimo, iako su pojmovi sigurnosti informacijskih sustava i cy-
ber sigurnosti vrlo slični i oba se odnose na osmišljavanje i provedbu zaštitnih kon-
trolnih mjera koje će pojedince i kompanije štititi od informatičkih napada, krađe
podataka i incidenata, cyber sigurnost se ipak odnosi na specifične, visokosofisti-
cirane metode napada, fokusirajući se zaštitnim mjerama ne samo na kompanije,
nego gotovo podjednako i na ljude - pojedince i pokrivajući pri tome organizacijske,
tehnološke i društvene aspekte napada i zaštite.
Organizacije trebaju prioritetno prevladati razlike pojmovima informacijska si-
gurnost i cyber-sigurnost: upravljanje prvim pojmom najčešće ovisi o budžetu,
procjenama i raznim ograničenjima, dok se drugi pojam suočava ne s procije-
njenim, ne s vjerojatnim, nego sa stvarnim prijetnjama vrlo inteligentnih napa-
dača koji imaju alate, vrhunske tehnološke i ostale vještine, ali i motive i prilike
napadati informatičku infrastrukturu suvremenog poslovanja s ciljem počinje-
nja zloporaba.
Trebamo početi razlikovati rutinske (standardne), mahom tehnološke mjere in-
formacijske sigurnosti koje pružaju nižu razinu zrelosti upravljanja od holističkih
modela cyber-sigurnosti koji omogućuju cjelovit i multidisciplinaran pristup ovla-
davanju, upravljanju i osiguravanju funkcioniranja suvremenog informatičkog okru-
ženja. Razlika je u djelokrugu, motivima, prilikama i metodama napada.
244
7. Zaključak
Stoga, pitanja cyber sigurnosti i sigurnosti informacijskih sustava ne možemo više

promatrati samo s tehnološkoga stajališta, nego je nužan odgovarajući multidisci-
plinaran pogled koji, pored tehnoloških kompetencija, uključuje i poslovne, orga-
nizacijske, društvene, komunikacijske i ostale kompetencije potrebne za upravlja-
nje cyber rizicima u digitalnoj ekonomiji. Sve su to nužne i potrebne kompetencije
Chief Cyber Officer-a, osoba koje bi trebale čuvati poslovnu vrijednost u digital-
noj ekonomiji i omogućiti da se digitalni poslovni model provodi u djelo uz prihvat-
ljive razine cyber rizika.
245
Literatura
Literatura
1. Armerding, T. (2015): Top 15 security prediction for 2016 http://www.infoworld.com/
article/3015953/security/top-15-security-predictions-for-2016.html, (pristupljeno 21.
9. 2016.).
2. Broadbent, M., Kitzis, E. S., The New CIO Leader: Setting the Agenda and Delivering
Results, Gartner Inc., Harvard Business School Press, 2005.
3. Cavusoglu, H., Mishra, B., Raghunathan, S. (2004, Fall): The effect of Internet security
breach announcements on market value: Capital market reaction for breached firms
and Internet security developers, International Journal of Electronic Commerce, 9(1), 69-
104.
4. CFO Research Services (2005): Risk Denial from the Top?, CFO Publishing Corp. i Price-
waterhouseCoopers.
5. Chiesa, R., Ducci, S., Chiappi, S. (2004): Hacker Profiling Project, http://www.infosecto-
day.com/Articles/Hackers_Profiling_Project.htm, (pristupljeno 17. 7. 2016.).
6. Drucker, P. (1999): Management Challenges for the 21st Century, HarperBusiness, New
York, 1999.
7. Ernst & Young (2011): Into the cloud, out for of the fog, Global Information Security
Survey 2011, Ernst & Young, USA.
8. Follow the Data: Analyzing Breaches by Industry, Trend Micro, 2015.
9. Gartner (2002): ‘The Elusive Business Value of IT’, August 2002.
10. Groznik, A., Kovačič, A., Spremić, M. (2003): Do IT Investments Have a Real Business
Value?, Applied Informatics, No. 4, 2003, pp. 180-189.
11. Hern, A. (2016): Blochain: the answer to life, universe or everything, https://www.
theguardian.com/world/2016/jul/07/blockchain-answer-life-universe-everything-bit-
coin-technology, (pristupljeno 12. 8. 2016.).
12. ISACA (2012): Extracting Value from Information Chaos: Why Good Governance Makes
Good Sense, CobiT 5, ISACA, Rolling Meadows, Illinois, USA.
13. ISACA (2012): Extracting Value from Information Chaos: Why Good Governance Makes
Good Sense, CobiT 5, ISACA, Rolling Meadows, Illinois, USA.
14. ISACA (2015): Global Cyber Security Status Report, ISACA, Rolling Meadows, Illinois,
USA.
247
15. ITGI (2007), CobiT 4.1 – Framework, Control Objectives, Management Guidlines and
Maturiy Models, IT Governance Institute, Rolling Meadows, SAD.
16. Kenneth L. Fulmer (2005): ‘Business Continuity Planning - A Step-by-Step Guide with Plan-
ning Forms, Third Edition, The Rothstein Catalog On Disaster Recovery, Brookfield, Con-
necticut, 2005.
17. Lederer A. L., Salmela H. (1996): Toward a Theory of Strategic Information Systems Plan-
ning, Journal of Strategic Information Systems, Volume 5, Number 3, pp. 237-253, 1996.
18. McFarlan, F. W., McKenney, J. L., Pyburn, Ph. J. (1983): The Information Archipelago –
Plotting a Course, Harvard Business Review, Jan-Feb 1983.
19. Meyer, D. (2016): Why Adidas is turning to robots in Germany and US, http://fortune.
com/2016/05/25/adidas-robot-speedfactories/, (pristupljeno 3. 6. 2016.).
20. Nolan, R. and McFarlan, F. W. (2005): Information Technology and Board of Directors,
Harvard Business Review, October, 2005.
21. Panian, Ž., Spremić, M. (2007.): Korporativno upravljanje i revizija informacijskih sus-
tava, Zgombić i partneri, Zagreb.
22. Panian, Ž. (2001.): Kontrola i revizija informacijskih sustava, Sinergija, Zagreb.
23. Piccoli, G., Pigni, F. (2016): Information Systems for Managers, edition 3.0, Prospect
Press, USA.
24. PricewaterhouseCoopers (2014): What matters in the boardroom – director and inves-
tors views on trends shaping governance and the board of the future, https://www.
pwc.com/us/en/corporate-governance/publications/assets/pwc-what-matters-in-the-
boardroom-director-investor-views.pdf, (pristupljeno 2. 9. 2016.).
25. PricewaterhouseCoopers (2015): Global State of Information Security, http://www.
pwc.com/gx/en/issues/cyber-security/information-security-survey/key-findings.html,
(pristupljeno 6. 7. 2016.).
26. Snow, C. C., Miles, R. E., Coleman, H. J., Managing the 21st Century Network Organiza-
tion, Organizational Dynamics, 21 (1), Winter 1992, pp. 5-20.
27. Spremić, M. (2005): Managing IT risks by implementing information system audit func-
tion, Proceedings of the 3rd International Workshop in Wireless Security Technologies,
Westminster University, London, 04-05.04.2005, pp. 58-64.
28. Spremić, M., Popović, M. (2008): Emerging issues in IT Governance: implementing the
corporate IT risks management model, WSEAS Transaction on Systems, Issue 3, Volume
7, March 2008, pp. 219-228.
29. Spremić, M. (2012): Corporate IT Risk Management Model: a Holistic view at Managing
Information System Security Risks, Proceedings of the 34rd International Conference on
Information Technology Interfaces (ITI), Cavtat, June 25-28, 2012, pp. 299-304.
30. Spremić M., Ivanov, M., Jaković, B. (2012): Using CobiT Methodology in Information Sys-
tem Auditing: Evidences from Measuring the Level of Operational Risks in Credit Insti-
248
Literatura
tutions, Proceedings of the 6th WSEAS International Conference on Business Administration

(ICBA ‘12), pp. 45-51, Harvard, Cambridge, USA, 25-27, January 2012.
31. Spremić, M. (2012): Measuring IT Governance Performance: A Research Study on Co-

biT - Based Regulation Framework Usage, International Journal of Mathematics and
Computers in Simulation, Volume 1, Issue 6, pp. 17-25
32. Spremić, M. (2013): Holistic approach to governing information system security, Lec-
ture Notes in Engineering and Computer Science, Volume 2 LNECS, 2013, Pages 1242-
1247.
33. Spremić, M., Bajgorić, N., Turulja, L. (2013): Implementation of IT governance standards
and business continuity management in transition economies: The case of banking
sector in Croatia and Bosnia-Herzegovina, Ekonomska istraživanja – Economic research,
Volume 26, Issue 1, pp. 183–202.
34. Spremić, M. (2014): Considering IT governance mechanisms in Business Continuity

Management, Proceedings of the 7th International Conference ‘An Enterprise Odyssey’, Za-
dar, June 10-13, 2014, pp. 732-38.
35. Spremić, M. (2015): Corporate Governance of Enterprise IT: Research Study on IT Gov-
ernance Maturity, International Scholarly and Scientific Research & Innovation Vol: 9,
No: 9, 2015. pp. 2963-2967.
36. Symons, C., (2005): IT Governance Framework: Structures, Processes and Framework,
Forrester Research, Inc.
37. Tapscott, D., Ticoll, D., Lowy, A. (2000): Digital Capital: Harnessing the Power of Busi-
ness Webs, Harvard Business School Press, Boston, 2000.
38. The Economist (2015): Why does Kenya lead the world in mobile money (2013): http://
www.economist.com/blogs/economist-explains/2013/05/economist-explains-18,
(pristupljeno 21. 9. 2016.).
39. Weill, P., Ross, J. W., IT Governance: How Top Performers Manage IT Decision Rights for
Superior Results, Harvards Business School Press, 2004.
249
Kazalo
Kazalo
3 cjelovitost, 53, 82, 162, 174, 193
cloud, 4, 7, 9, 10, 15, 18, 26, 28, 33, 41, 134, 229
3D printeri, 3, 13, 30, 31
CobiT, 38, 41, 80, 109, 110, 111, 119, 120, 121,
196, 198, 199, 200, 201, 202, 203, 204,
A
205, 206, 207, 208, 209, 210, 211, 214,
Adidas, 13, 25, 29, 30, 31, 34, 35 215, 222, 240
Adidas Speedfactory, 13, 25, 29, 30, 35 ComAir, 66, 179
adware, 49, 124 crvi, 124
Airbus, 14 customer intimacy, 28
Amodo, 28, 34 cyber kriminal, 48, 177
aplikacijske kontrole, 92 cyber rizici, 38
Apple, 3, 14, 18, 21, 24, 25, 27, 32, 35, 164, 173 cyber sigurnost, 37, 40, 47, 51, 52, 53, 58, 59
Apple Pay, 3, 14, 18, 25, 32, 35
Audi, 14, 20, 21 D
audit trail, 239
automatske kontrole, 88, 89, 91, 149 DDoS, 42, 50, 125, 129
autorizacije detektivne kontrole, 88, 89, 94
autorizacija, 44, 132, 135, 136, 159, 186 digitalizacija, 17, 20, 25
digitalizacije poslovanja, 4, 13, 14, 16, 17, 21,
B 24, 30, 41, 191, 219, 223, 224
digitalna ekonomija, 1
backdoor napad, 128 digitalna platforma, 5, 26, 28, 32
BellaBeat, 13, 23, 29, 34 digitalna transformacija poslovanja, 4, 5, 23,
Belje, 31 25, 26, 27, 28, 64, 95
Benfordov zakon, 236, 237, 242 digitalna ekonomija, 6, 7, 23, 24, 25, 34,
big data, 4, 7, 10, 11, 15, 26, 28 37, 39, 45, 46, 61, 62, 63, 64, 68 100,
biometrijski uređaji, 135 179, 190, 191, 218, 220, 223, 224
blockchain tehnologija, 33 digitalne platforme, 7, 8, 9, 12, 23, 24, 25, 27,
BMW, 14, 19, 34 29, 35, 222
Boeing, 14, 19, 34 digitalne tehnologije, 1, 2, 3, 4, 5, 6, 7, 9, 10,
botnets, 51, 125 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 25,
Burberry, 20, 34, 35 26, 27, 30, 31, 32, 33, 35, 37, 38, 40, 45,
47, 48, 52, 60, 62, 68, 93, 100, 179, 190,
C 191, 220, 221
certifikati, 134 digitalni poslovni modeli, 23
Chrysler automobili, 69 digitalni potpis, 160
CIO, 95, 190, 218, 221, 224 digitalno, 16, 25, 35
CISO, 45, 96 disruptivne inovacije, 23, 26
CitizenM, 21 Domino’s, 9, 22
251
DoS, 50, 51, 125, 129 informacijska sigurnost, 40, 46, 58, 59, 112
dostupnost, 53, 54, 57, 66, 93, 182, 193 informacijski sustav, 37, 39, 44, 57, 70, 74,
dronovi, 14 78, 88, 91, 98, 99, 100, 102, 130, 135,
društvene mreže, 8 175, 182, 211, 212, 214, 216, 217, 221
društveni inženjering, 48, 49, 52, 63, 123, informatičke kontrole, 38, 39, 60, 79, 87, 88,
124, 126 89, 92, 93, 94, 98, 102, 115, 119, 120, 123,
130, 135, 195
E informatički rizici, 38, 39, 40, 41, 42, 46, 47,
60, 61, 62, 63, 64, 65, 66, 68, 70, 71, 72,
ekstranet, 143
73, 74, 75, 76, 77, 78, 79, 80, 84, 85, 87,
elektronički potpis, 162
96, 120, 195, 208, 240
experiential retail, 21
informatički standardi, 198
F integritet, 53, 54
Internet, 2, 3, 4, 7, 12, 16, 26, 43, 139, 142,
Farmeron, 25, 32, 35 143, 144, 145, 148, 149, 155, 159, 164,
faze provedbe revizije informacijskih susta- 165, 186, 190
va, 212, 213 Internet of Things, 4, 7, 12, 16, 26
firewall, 143, 148, 174 internet stvari, 7, 12, 190
fizička identifikacija, 130 intranet, 143
fizičke kontrole, 38, 74, 88, 89, 91, 212, 214, 224 IP, 142, 144, 145, 148, 150, 153, 154, 155,
fizički sloj, 153 157, 159, 230
FTP, 145, 155, 156, 157, 159 IPsec, 145, 157, 159, 226, 230, 231
FTP, 226, 229 ISACA, 41, 42, 48, 53, 109, 198, 201, 229
funkcije informacijskih sustava, 37 ISO 27000 norme, 39, 112, 200, 211, 241
ITIL, 39, 80, 119, 196, 199, 200, 208, 209,
G 210, 211, 241
‘game-changer’, 1, 8 izvedeni standardi, 199, 200
Gamification, 19
gateway, 146, 147 K
General Electric, 4, 24, 34, 35 keylogers, 49, 126
Geolux, 13 kibernetički kriminal, 48
Google Glass, 19 Kisha, 12
gubitak, 117 Kodak, 5
kontrola pristupa, 96, 132, 129, 133, 160, 186
H kontrole podataka, 106
hibridna arhitektura, 139 kontrole rada softvera, 101
HTTP, 145, 153, 154, 155, 158, 159, 226, 231 Konzum, 33
HTTPS, 145, 153, 154, 155, 157, 158, 159, korektivne kontrole, 88, 90
230, 231 korisničko ime i lozinka, 134
korporativne (strateške) informatičke kon-
I trole
korporativne informatičke kontrole, 93
identifikacija, 72, 130 korporativne kontrole, 79, 88
identitet korisnika, 132, 134, 135 korporativno upravljanje informatikom, 94,
imovina, 73, 81 111, 190, 191, 198, 203, 218, 240
‘industrijska revolucija 4.0’, 4 krađa identiteta, 49, 125
252
Kazalo
kriptografske metode zaštite, 130 P

krovni standardi, 199
pametne kartice, 135, 226
kvaliteta informacijskih sustava, 192, 194
PCI DSS, 39, 80, 109, 112, 113, 120, 121, 196,
197, 199, 200, 201, 213, 214, 215
L
phishing, 48, 49, 51, 52, 123, 124, 125, 186
Lee Jeans, 21 PhotoMath, 8
logička identifikacija, 131 Pirelli, 14, 34
logičke bombe, 124 plan revizije, 218, 224, 225, 228, 229, 231,
lokalne mreže, 139 234, 235, 236
plan upravljanja informatičkim rizicima, 70, 71
M podmreže, 160
Pokemon Go, 9
Macy’s, 9, 14, 17, 18, 34
povjerljivost, 53, 54
malware, 44, 48, 49, 114, 123, 124, 125, 162,
Predix, 5
166, 175, 178
preventivne kontrole, 88, 89
‘man-in-the-middle’, 48, 50, 123, 129, 141, 186
prihvatljiva razina rizika, 70, 82
Mastercard, 14, 23, 113, 158
prijetnje (cyber prijetnje), 63, 81
metode identifikacije, 130, 134, 135, 186
pristupnici, 146, 147, 148
metode revizije informacijskih sustava, 214
procjena rizika primjene informacijskih sus-
metode zaštite u prijenosu, 130
tava, 78
Michelin, 14, 34
proširena stvarnost, 14, 18
mobilne tehnologije, 7, 10
prstenasta arhitektura, 139
most, 146, 147
mPesa, 2, 7, 25, 35
R
N računalna forenzika, 238
računalna ucjena, 47, 49, 124, 166
napad uskraćivanjem usluge, 50, 129
računalne mreže, 137, 138, 145
Netflix, 10, 11, 15, 34, 35
računalni oblaci, 4
Nike+, 13, 29, 34
računalni virusi, 48, 49, 124, 162, 163, 164,
NikeID, 29, 31, 34
167, 172, 187
NIST, 39, 80, 109, 113, 114, 120, 121, 199,
računalstvo u oblacima, 9
200, 201, 214, 215
ransomware, 47, 48, 49, 124, 125, 166, 168, 187
nosive tehnologije, 7, 13, 23, 29
ranjivost (cyber ranjivost), 50, 62, 63, 73, 74,
81, 82, 83, 85, 114, 128, 141, 160, 166,
O
168, 175, 230
objekt revizije informacijskih sustava, 196 raspoloživost, 53
obrambeni zid, 143, 148, 149, 151 rasprostranjene mreže, 140
ocjene zrelosti, 207, 208 razdjelnik, 147
omni-channel experience, 20 regulativa provedbe revizije informacijskih
opće informatičke kontrole, 98, 99, 120 sustava, 197
operativne kontrole, 79, 88, 92, 116 revizija informacijskih sustava, 39, 45, 84,
oporavak od neželjenog događaja, 67, 183, 242 88, 175, 193, 195, 212, 240, 242
Oradian, 25, 33, 35 RFID, 18, 20, 21, 34, 189
organizacijske kontrole, 88, 98, 219 rizici primjene informacijskih sustava, 40
OSI referentni model, 151, 152, 153, 187, 198 rizik (cyber rizik), 40, 41, 61, 67, 76, 80, 84
253
Route 66, 13 Teddy the Guardian, 14, 22, 29, 34

router, 146, 147 tehnološke kontrole, 88, 212, 214, 230, 242
RPO, 181, 182, 183, 185, 187 Tesco, 34
RPO, 232 testovi kontinuiteta poslovanja, 233
RTO, 181, 183, 185, 187, 232 TLS, 145, 153, 155, 157, 159, 226, 230
ručne kontrole, 74, 88, 89, 92, 103 transportni sloj, 153, 154, 155
Ryanair, 174, 175, 176, 177, 178 trojanski konji, 98, 124, 169
S U
sabirnička arhitektura, 138 Uber, 15, 24, 26, 34, 35
Samsonite, 12, 34 umjetna inteligencija, 14, 28
SANS, 39, 80, 109, 113, 114, 120, 121, 199, upravljačke kontrole, 79, 88, 103, 104, 106,
200, 201, 214, 215 107, 108, 109, 114, 120, 121
scenariji upravljanja informatičkim rizicima, 79
upravljanje kontinuitetom poslovanja, 67,
scenariji upravljanja rizicima, 79
79, 90, 96, 179, 180, 181, 187, 193, 242
SCP, 156, 226, 230
upravljanje rizicima, 70, 217
segmentacija mreže, 160, 229
usmjernik, 146, 147, 148, 239
senzori, 4, 7, 12, 13, 14, 16, 22, 28, 100, 190
SET, 158, 231
V
Shop&Touch, 33, 34
sigurnosne informacijske politike, 95, 103, 117 vatrozid, 113, 143, 148, 150, 151, 174
sigurnosni tokeni, 134 veliki podaci, 4, 7, 11, 177
sigurnost informacija, 53 virtualna stvarnost, 3, 14
sigurnost informacijskih sustava, 38, 39, 40, višestruka identifikacija, 135
45, 53, 56, 57, 60, 87 VLAN, 45, 160, 230
skimming, 126 VPN, 157, 229
sloj mreže, 153
sloj povezivanja podataka, 153 W
sloj prezentacije, 152, 154
sloj sesije, 152, 153, 154, 155 Wal-Mart, 9, 34
Snapchat, 8, 9, 24, 35
Sony Entertainment Company, 68 Z
SoundPays, 32 zakon minimuma kvalitete informacijskih
SSL, 145, 153, 155, 157, 158, 159, 226, 230, 231 sustava, 193
Stuxnet računalni virus, 48, 164 zaštita, 53, 54, 103, 112, 123, 148, 156, 226
tajnosti podataka, 117
T zlonamjerni računalni programi, 49, 124,
Target, 44, 45, 176 162
TCP, 144, 145, 148, 153, 154, 155, 157, 159, 230 zvjezdasta arhitektura, 138
254
Broj i naziv poglavlja ??????????????????????????
Popis tablica
Tablica 2.1. Primjeri informatičkih incidenata ........................................................................ 42
Tablica 2.2. Izvori opasnosti i rizika u informacijskome sustavu ....................................... 56
Tablica 3.1. Primjer procjene razine informatičkih rizika i utvrđivanja strategija
odgovora na rizike (matrica analize prijetnje i vjerojatnost njihova
nastanka) .................................................................................................................... 76
Tablica 3.2. Primjer razrade scenarija informatičkih rizika ................................................. 77
Tablica 3.3. Pregled rezultata plana upravljanja informatičkim rizicima ......................... 80
Tablica 4.1. Faze razvoja, uspostavljanja i održavanja informacijskoga sustava
i pripadajuće izvršne upravljačke kontrole ....................................................... 104
Tablica 4.2. Upravljačke kontrole podataka ............................................................................ 107
Tablica 4.3. Pregled PCI DSS sigurnosnih upravljačkih kontrola ....................................... 113
Tablica 4.4. Skupine kontrola na operativnoj razini upravljanja informacijskim
sustavima ................................................................................................................... 116
Tablica 5.1. TCP paket sa zahtjevom za slanje web stranice s web poslužitelja ............ 144
Tablica 5.2. OSI referentni model, usluge i protokoli ............................................................ 153
Tablica 5.3. Razlike i sličnosti između TCP/IP i OSI referentnog modela ......................... 155
Tablica 5.4. Pregled protokola i usluga na priključnim točkama mreže
(open port protocols) .............................................................................................. 159
Tablica 5.5. Opcije oporavka obzirom na vrste i učestalost arhiviranja podataka....... 184
Tablica 5.6. Primjeri razmatranja vremena raspoloživosti obzirom na potrebne
opcije oporavka ........................................................................................................ 185
Tablica 6.1. Mjerenje učinkovitosti mjera upravljanja kontinuitetom poslovanja ......... 193
Tablica 6.2. Ocjene zrelosti korporativnoga upravljanja informatikom
prema CobiT-u .......................................................................................................... 208
Tablica 6.3. Faze provedbe revizije informacijskih sustava ................................................. 215
Tablica 6.4. CobIT ocjene zrelosti upravljanja poslovnim informacijskim sustavom .... 217
Tablica 6.5. Vjerojatnost pojave određene znamenke na vodećoj poziciji
prema Benfordovoj distribuciji............................................................................. 237
255
256
Popis slika
Slika 2.1. Promjene prirode i utjecaja informatičkih rizika kroz vrijeme....................... 47
Slika 2.2. Razlika među pojmovima informacijska sigurnost i cyber sigurnost .......... 58
Slika 3.1. Koraci i faze procesa upravljanja informatičkim rizicima ................................ 71
Slika 3.2. Podjela informatičkih kontrola ............................................................................... 80
Slika 4.1. Vrste informatičkih kontrola obzirom na hijerarhijsku razinu
njihova djelovanja ...................................................................................................... 94
Slika 4.2. Razvoj CobiT okvira ................................................................................................... 110
Slika 5.1. Grafički prikaz ‘man-in-the-middle’ napada ....................................................... 129
Slika 5.2. Najgore lozinke u 2015. ............................................................................................ 131
Slika 5.3. Najčešća izvedba lokalne računalne mreže ....................................................... 140
Slika 5.4. Najčešća izvedba rasprostranjene računalne mreže ...................................... 142
Slika 5.5. Postupak razmjene sadržaja u internetskome okruženju
primjenom TCP/IP protokola................................................................................... 145
Slika 5.6. Obrambeni zid logički i fizički razdvaja lokalnu i rasprostranjenu
računalnu mrežu ........................................................................................................ 149
Slika 5.7. Obrambeni zid (vatrozid) štiti pristup branjenoj (unutarnjoj)
računalnoj mreži ........................................................................................................ 151
Slika 5.8. Skica izvedbe računalne mreže u slučaju pružanja usluga
temeljenih na e-poslovanju ..................................................................................... 151
Slika 5.9. SSL i HTTPS protokol................................................................................................. 157
Slika 5.10. HTTPS protokol........................................................................................................... 158
Slika 5.11. Ransomware zloćudni program............................................................................. 167
Slika 5.12. Primjeri e-trgovina s aplikacijama koje mogu prenijeti zloćudni
računalni kod............................................................................................................... 172
Slika 5.13. Pregled incidenata vezanih za krađu podataka ................................................ 176
Slika 5.14. Tijek aktivnosti upravljanja kontinuitetom poslovanja .................................... 181
Slika 6.1. Razvoj CobiT metodologije i pregled trenutno aktualne verzije
CobiT 5 .......................................................................................................................... 202
257
Slika 6.2. Cobit 5 publikacije ..................................................................................................... 203

Slika 6.3. Ciljevi vezani za mjerenje učinka informatike..................................................... 206
Slika 6.4. Ocjene zrelosti po CobiT modelu .......................................................................... 207
Slika 6.5. Ocjena zrelosti kontrola pri provedbi revizije informacijskih sustava......... 209
Slika 6.6. Primjeri strateških ciljeva informatike koji proizlaze iz CobiT okvira ........... 222
Slika 6.7. Izvođenje analitičkih testova baze podataka ..................................................... 227
Slika 6.8. Testovi kontinuiteta poslovanja ............................................................................. 233
Slika 6.9. Rezultat provedbe Benfordovog testa na vodeće dvije znamenke ............. 238
258
Studije slučajeva i analize poslovne prakse

Analize poslovne prakse
Poglavlje 1.
Adidas, Adidas Speedfactory Airbus, Amodo, Audi, Belje, Blockchain, BMW, Boeing, Burber-
ry, CitizenM, Domino’s Pizza, General Electric, Geolux, Kodak, Konzum Shop&Touch, Krups,
Lee Jeans, Macy’s, Mini Fashion Bar (Hotel Banks i Pimkie), mPesa, Nest, Netflix, Number 26,
Oradian, PhotoMath, Route 66, Samsonite, Snapchat, SoundPays, Tesco, Uber, Wal-Mart
Studije slučajeva
Poglavlje 2.
Studija slučaja 2.1.: Krađa podataka u maloprodajnome lancu Target
Poglavlje 3.
Studija slučaja 3.1.: Prekid rada informacijskoga sustava zrakoplovne kompanija ComAir
Studija slučaja 3.2.: Sony Entertainment Company – krađa korisničkih podataka
Studija slučaja 3.3.: Chrysler automobili – hakiranje automobila i preuzimanje daljinske
kontrole
Studija slučaja 3.4.: Procjena rizika primjene informacijskih sustava
Primjer modela korporativnoga upravljanja informatičkim rizicima
Poglavlje 5.
Studija slučaja 5.1.: Stuxnet računalni virus
Studija slučaja 5.2.: Hakerski napadi na Ryanair
Poglavlje 6.
Studija slučaja 6.1.: Provedba revizije informacijskih sustava
259
260
Životopis autora
Prof. dr. sc. Mario Spremić je redoviti profesor u trajnom zvanju na
Katedri za informatiku Ekonomskog fakulteta Sveučilišta u Zagrebu,
gostujući profesor na inozemnim institucijama, znanstvenik i po-
slovni i ICT konzultant. Diplomirao je na Matematičkom odjelu Pri-
rodoslovno matematičkog fakulteta Sveučilišta u Zagrebu (dipl. inž.
matematike), magistrirao (mr. sc.) na poslijediplomskome studiju In-
formatički menadžment Ekonomskog fakulteta Sveučilišta u Zagre-
bu, gdje je 2002. doktorirao na temu ‘Poslovni modeli u novoj eko-
nomiji’. Ranije je radio kao programer, sistem analitičar i projektni
menadžer. Dosad je kao autor ili ko-autor napisao 14 knjiga i preko
100 znanstvenih i stručnih članaka uglavnom u području digitalne ekonomije, upravljanja
ICT-om (ICT governance), inovacija temeljenih na ICT-u, upravljanju cyber rizicima, strategiji
ICT-a, digitalnoj transformaciji poslovanja, sigurnosti i reviziji informacijskih sustava i digi-
talnom poslovanju.
U posljednjih 20-ak godina istražuje mogućnosti strateške primjene ICT-a u poslovanju,
osobito u inovacijama poslovnih modela, digitalnoj ekonomiji i upravljanju ICT-om, revi-
ziji i sigurnosti informacijskih sustava i cyber rizicima stvarajući, zajedno sa suradnicima
suvremene studijske programe iz tih područja i pomažući brojnim kompanijama digitalnu
transformaciju njihova poslovanja.
Na Ekonomskom fakultetu Zagreb izvodi nastavu iz brojnih kolegija (e-Poslovanje, Informa-
tički menadžment, Poslovni informacijski sustavi, Enterprise information systems, e-Busi-
ness, ICT management, Sigurnost informacijskih sustava, Revizija informacijskih sustava),
voditelj je Bachelor Degree in Business studija na engleskome jeziku (www.efzg.hr/bdib),
koji je akreditiran prestižnom međunarodnom EPAS akreditacijom, diplomskog studija Ma-
sters in Managerial Informatics i specijalističkog poslijediplomskog studija ‘Informatički me-
nadžment’. Na matičnoj instituciji vodi procese međunarodnih akreditacija (EPAS i EQUIS
akreditacija) i čest je govornik na međunarodnim konferencijama iz područja unaprjeđenja
kvalitete visokoškolskih institucija prema međunarodnim kriterijima.
Dodatno se obrazovao iz područja svoga rada na međunarodnim institucijama (WU Vienna
University, MIT Sloan School of Management), na nizu konferencija (EFMD, IAENG i brojne
ostale konferencije) i seminara.
Gostujući je profesor na domaćim (FER, FOI, Sveučilište u Zagrebu) i međunarodnih institu-
cija (Ekonomski fakultet Sveučilišta u Ljubljani, Ekonomski fakultet Univerziteta u Sarajevu,
Imperial College London), gdje na poslijediplomskim, MBA i doktorskim studijima izvodi na-
stavu iz područja svoga rada (digitalna transformacija poslovanja, digitalna strategija, cyber
rizici, sigurnost i revizija informacijskih sustava). Član je većeg broja domaćih i međunarod-
261
nih institucija iz područja svoga rada, između ostalog Programskog odbora IAENG-a (Inter-
national Association of Engineers) i ISACA-e gdje dugi niz godina volontira kao potpredsjed-
nik hrvatske podružnice. Dobitnik je više znanstvenih nagrada i nositelj CGEIT certifikata.
Osmislio je i izvodi programe edukacije za interne i eksterne revizore informacijskih sustava
u Republici Hrvatskoj, bio konzultantom uvođenja regulative revizije informacijskih sustava
u susjednim zemljama i često provodi edukativne seminare.
Obzirom na svoje multidisciplinarno obrazovanje (tehnološko i poslovno – menadžersko),
znanstvene rezultate, korporativno iskustvo i praktično – projektno iskustvo, vrlo često je
angažiran na projektima revizije i provjere sigurnosti informacijskih sustava za banke, osi-
guravajuća društva, trgovačke lance, proizvodne kompanije itd.
Reference iz područja revizije i sigurnosti informacijskih sustava od 2010. godine su: Agram
life osiguranje Allianz Zagreb, Banka Kovanica, Centar banka, Croatia osiguranje, Federal-
na agencija za bankarstvo Federacija BiH, Izvor osiguranje, Jadransko osiguranje, Konzum,
Kreditna banka Zagreb, Ledo i Agrokor, Nova Kreditna banka Maribor, Privredna banka
Zagreb, Partner banka, Podravka, Src.si, SKDD (Središnje klirinško depozitno društvo), Šted-
banka Tisak, UNIQA osiguranje, VABA Varaždinska banka, Zagrebačka burza i ostali.
Konzultant je brojnim kompanijama i institucijama, u preko 50 projekata je vodio digitalne
transformacije poslovanja, procjenjivao razine sigurnosti informacijskih sustava, provodio re-
vizije informacijskih sustava i predlagao poboljšanja poslovne prakse u mnogim industrijama.

web: www.efzg.hr/mspremic
e-mail: mspremic@efzg.hr
LinkedIn: https://hr.linkedin.com/pub/mario-spremic/15/149/a90
262
M. Spremić: Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
MARIO SPREMIĆ
U OKRUŽENJU
DIGITALNE EKONOMIJE
Zagreb, 2017.

E - Knjiga - Sigurnost I Revizija Is-A U Okruzenju Digitalne Ekonomije

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

E - Knjiga - Sigurnost I Revizija Is-A U Okruzenju Digitalne Ekonomije

Uploaded by

Copyright:

Available Formats

M.

Spremić: Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije

9 789533 460376 Zagreb, 2020.

Prof. dr. sc. Mario Spremić

Prof. dr. sc. Mario Spremić

1. Trendovi u digitalnoj ekonomiji .................................................................. 1

2. Osnovna obilježja informacijske sigurnosti i cyber

3. Upravljanje rizicima primjene informacijske tehnologije

3.2.4. Dodjela odgovornosti i praćenje provedbe ................................. 80

4. Kontrole rada informacijskoga sustava .................................................. 87

5. Najvažnije kontrole (zaštitne mjere) u informacijskoj

6. Revizija informacijskih sustava .................................................................. 189

6.3.1. Krovni i izvedeni standardi korporativnoga upravljanja

7. Zaključak ................................................................................................................. 243

Literatura ....................................................................................................................... 247

cu kako nam tek predstoji iznimno intenzivno i sveobuhvatno korištenje potpuno

Dubrovnik i Zagreb, srpanj – rujan 2016.

1. Trendovi u digitalnoj ekonomiji

Riječ ‘game-changer’ se vrlo često koristi u kontekstu današnjega vremena i digital-

i privatno okruženje? Možemo li uopće predvidjeti razinu i intenzitet promjena u

hovu prilagodbu digitalnome dobu. Da bi opstali na tržištu i da bi ostali konkuren-

Takva industrijska digitalna platforma (nazvali su je Predix) omogućuje prikupljanje

1.1. Pojam digitalne ekonomije i digitalnih

4. uspješnim i ‘neodoljivim’ digitalnim poslovnim modelima i

prije svega za upravljanje podacima, njihovu pohranu i upotrebu, bez potrebe

4. Veliki podaci, odnosno, napredna podatkovna analitika i brzo otkriva-

5. Senzori i Internet stvari (engl. Internet of Things, IoT) – povezivanje brojnih

Promotrimo detaljnije važna obilježja digitalne tehnologije.

Digitalne tehnologije imaju sposobnost izdvajati informacije iz uređaja, analizira-

1.2. Primjeri digitalizacije poslovanja i stvaranje

Označavanje uređaja, pametni uređaji i proširena stvarnost

U Macy’s-u, poznatome lancu robnih kuća, na određenim su odjelima uvedene

aplikacije i ShopBeacon tehnologije, označavanje proizvoda u prodavaonici (RFID12

Višekanalsko iskustvo (omni-channel retailing) i stvaranje

nika i hidraulične pozornice. Burberry World Live predstavlja neponovljivu

Pamtljiva iskustva i inovativne ideje su moguće i u javnome prostoru. Već je uobi-

Teddy the Guardian je inovativan koncept kojime je u plišani medvjedić, omiljenu

gree in Business studiju na Ekonomskom fakultetu Zagreb proglašen je jednom od

1.3. Što predstavlja digitalna transformacija

digitalno transformiraju svoje poslovanje uspjele su prilagoditi poslovni model i na-

• digitalne platforme za plaćanje (mPesa, PayPal, Apple Pay, Stripe, Square,

1.4. Disruptivne inovacije koje proizlaze

Hoćemo li se u budućnosti u svim industrijama snažno oslanjati na softver (mo-

Autonomni automobili i prijevoz

Predviđa se da će se 2018. godine pojaviti prvi autonomni automobili, dakle, auto-

Umjetna inteligencija i odlučivanje

Integracijom tehnologija koje su dosad bile opisane, moguće je proizvoditi uređaje

3D printing, označavanje proizvoda i proizvodnja

model na način da će roboti utjecati na ukidanje troškova transporta jer će se obuća

Poljoprivreda i proizvodnja hrane

lo područje i da upute pametnome uređaju (vrlo skupome samovozećem traktoru)

Velika većina platnih transakcija u današnjemu svijetu provodi se bezgotovinski,

Shop&Touch je usluga koja se može koristiti u Konzumu, najvećem domaćem tr-

se obavlja kupnja. Na taj je način korisniku omogućena personalizirana kupnja,

1.5. Najvažniji trendovi digitalne ekonomije

• Anticipiraj potrebe klijenta/korisnika, stvori novu potrebu (AppStore,

2. Osnovna obilježja informacijske

U uvodnome poglavlju objašnjena su osnovna obilježja digitalne ekonomije i pri-

posebno oslanjaju na informacijsku i digitalnu tehnologiju koja omoguću-

Upravo je to slijed tema koje će se obrađivati u nastavku teksta. Uvodne vizionar-

2.1. Objašnjenje pojmova cyber sigurnost,

Tablica 2.1. Primjeri informatičkih incidenata

NEKI OD POZNATIH SIGURNOSNIH INCIDENATA