Professional Documents
Culture Documents
SIGURNOST I REVIZIJA
INFORMACIJSKIH SUSTAVA
U OKRUŽENJU
DIGITALNE EKONOMIJE
ISBN 978-953-346-037-6
Nakladnik:
Ekonomski fakultet - Zagreb
Za nakladnika:
prof. dr. sc. Lajoš Žager
Glavni urednik:
doc. dr. sc. Tomislav Gelo
Recenzenti:
prof. dr. sc. Nikola Hadjina
prof. dr. sc. Nijaz Bajgorić
prof. dr. sc. Aleš Groznik
Lektura i korektura:
Damir Maligec
Grafička priprema:
Gordana Vinter, Sveučilišna tiskara d.o.o.
Tisak:
Sveučilišna tiskara d.o.o., Zagreb
Trg m. Tita 14
ISBN 978-953-346-104-5
Prof. dr. sc. Mario Spremić
SIGURNOST I REVIZIJA
INFORMACIJSKIH SUSTAVA
U OKRUŽENJU
DIGITALNE EKONOMIJE
Zagreb, 2020.
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
IV
Sadržaj
Sadržaj
Predgovor ................................................................................................................. XI
V
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
VI
Sadržaj
VII
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
VIII
Sadržaj
Fioni i Ani
IX
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Zahvale
Zahvaljujem recenzentima knjige (prof. dr. sc. Nikola Hadjina, Fakultet elektroteh-
nike i računarstva Sveučilišta u Zagrebu, prof. dr. sc. Nijazu Bajgoriću, Ekonomski
fakultet Univerziteta u Sarajevu i prof. dr. sc. Alešu Grozniku, Ekonomski fakultet
Sveučilišta u Ljubljani) na iznimno korisnim savjetima i podršci koji su knjigu učinili
još boljom.
Posebno se zahvaljujem svojim curama Fioni i Ani koje su nepresušan izvor moje
inspiracije i života.
X
Sadržaj
Predgovor
Knjige koje se, barem djelomice, dotiču područja informacijskih sustava i infor-
macijskih tehnologija vrlo je nezahvalno, a toliko potrebno pisati. Nezahvalno, jer,
kao rijetko koja grana znanosti, ali i kao rijetko koja djelatnost, informatika je vrlo
propulzivna, a ritam promjena ili inovacija termina, područja ili tema gotovo sva-
kodnevan. Osim toga, najčešće iz neznanja i neupućenosti informatika se često
smatra samo ‘tehničkom’, pozadinskom strukom, bez izravna utjecaja i potpore su-
vremenom poslovanju, pa se, u takvim prilikama i od strane zagovornika takvoga
stajališta, smatra da bi ‘informatičke knjige’ trebale biti isključivo usmjerene opisu
pojedinih alata, tehnologija, softvera.
Potrebno, jer se kvalitetnim tekstovima može ukazati na primjenu informatike u
poslovanju i neispravnost njezina poistovjećivanja samo s tehnologijom te lakše
pratiti ‘stalna mijena’ informatike kao struke, djelatnosti i znanosti, a multidisci-
plinarnom pristupu i sistematizacijom iznošenja sadržaja pomoći čitateljima pri
širem sagledavanju teme i lakšemu svladavanju gradiva. Čini se da se situacija do-
datno komplicira kada se tema knjige odnosi na sigurnost i reviziju informacijskih
sustava u okruženju digitalne ekonomije. Kako ne postoje dva jednaka i istovjetna
informacijska sustava, a obzirom da se najveća dodana vrijednost u sigurnosti in-
formacijskih sustava krije u osmišljavanju suptilnih zaštitnih mjera koje su proiz-
vod ljudske pameti, a ne rutinske tehnologije (često organizacijskih mjera koje su
vrlo specifične za određeno poslovno okruženje i ne mogu se samo ‘preslikati’ na
neko drugo, čak i vrlo slično), svakako možemo zaključiti da ne postoje niti dva
jednaka sustava sigurnosti informacijskih sustava. Također, već je odavno dobro
poznato da ne postoje, niti će ikada postojati potpuno sigurni informacijski sustavi,
pa je važno napore (i razmišljanja i ulaganja) usmjeravati osmišljavanju holistič-
kog modela upravljanja sigurnosti informacijskog sustava koji će koristiti sinergiju
tehnoloških, organizacijskih, fizičkih, društvenih i ostalih kontrola koje čine održiv,
ekonomski opravdan i poslovno učinkovit sustav zaštitnih mjera.
Prvo poglavlje knjige se u potpunosti odnosi na vizionarske i moguće inspirativne
scenarije primjene digitalnih tehnologija i upućuje na razmišljanja o poslovnom
okruženju digitalne ekonomije u kojoj živimo i radimo. Iako smo već prilično okru-
ženi brojnim suvremenim tehnologijama bez kojih ne možemo zamisliti poslovnu i
privatnu svakodnevicu, jedan od važnih ciljeva prvog poglavlja je ukazati na činjeni-
XI
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
XII
1. Trendovi u digitalnoj ekonomiji
1
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
• u svijetu je danas preko 3,5 milijarde korisnika interneta koji kontroliraju više
od 90 % svjetskoga bogatstva
• na svijetu je više mobilnih uređaja nego ljudi, broj pametnih telefona je veći od
broja WC-a
• u svijetu trenutno postoji preko 25 milijardi uređaja s bežičnim pristupom
internetu, očekuje se da će ih 2020. godine biti 50 milijardi
• količina podataka kojima baratamo udvostručuje se svakih 20 mjeseci
• internetski promet udvostručuje se svake dvije godine, a opseg prenesenoga
sadržaja mobilnim internetom svake godine
• očekuje se da će se do 2018. godine promet mobilnih podataka povećati 12
puta, a podatkovni promet na pametnim telefonima 14 puta
• na svijetu je trenutno preko 20 milijardi međusobno povezanih uređaja, a
2020. godine bit će ih oko 50 milijardi
• iako je na svijetu prisutan veliki broj međusobno povezanih uređaja, trenut-
no pohranjujemo, analiziramo i koristimo samo mali broj podataka koje oni
pružaju (samo oko 1 % podataka koji se odnose na kontrolu rada, a ne na
optimizaciju i predviđanje)
• vrijednost mobilnih plaćanja u 2015. godini u svijetu je iznosila preko 1.000
milijardi USD, od čega se najveći broj i obujam transakcija odnosio na – Afriku
(mPesa usluga)
• na svijetu je preko 3 milijarde novih potrošača, korisnika i vlasnika mobilnih
telefona
• na svijetu je preko 1 milijun mobilnih aplikacija dostupno korisnicima na raz-
nim elektroničkim tržištima, s kojih je dosad bilo preko 100 milijardi ‘downlo-
ada’
• Candy Crash, dobro poznata računalna igra, godišnje zaradi oko 1,3 milijarde
USD od kupnje raznih digitalnih dobara ‘unutar aplikacije’
• internet i digitalna ekonomija čine 12 % BDP-a Velike Britanije i oko 3 % svjet-
skoga BDP-a.
Često primjećujemo kako je, najčešće pod utjecajem digitalnih tehnologija, da-
našnji svijet potpuno drugačiji nego prije par, a osobito prije desetak godina. Iako
smo svi svjesni činjenice da vrijeme prolazi vrlo brzo i da je životni i poslovni ritam
vrlo užurban, nerijetko se zateknemo u razmišljanju kako li će tek svijet izgledati
u bližoj, a osobito daljoj budućnosti. Što će se u budućnosti događati? Kako će
se napredak tehnologija, osobito digitalne tehnologije odraziti na naše poslovno
2
1. Trendovi u digitalnoj ekonomiji
1
Robinson, M. (2016): How Americans thinks world will look like in 2036, http://www.businessinsid-
er.com/predictions-about-the-future-2016-6.
3
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
2
U SAD-u je većina cjevovoda izgrađena prije 1970. godine i ne postoji pouzdan i jedinstven način
praćenja njihova rada. Procjenjuje se da se u Zagrebu oko 40 % isporučene vode gubi u puknućima,
rupama u vodovodu i slično.
4
1. Trendovi u digitalnoj ekonomiji
5
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
6
1. Trendovi u digitalnoj ekonomiji
7
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
telefonom.3 Vrlo je popularna i korisna u zemljama gdje brojni radnici koji rade
u gradovima na taj način šalju novac svojim obiteljima koje žive u ruralnim kra-
jevima. Usluga se u 2014. i 2015. godini proširila i na zemlje poput Afganistana,
Južnoafričke Republike, Indije, Rumunjske i Albanije. Tijekom 2013. godine skoro
25 % BDP-a Kenije je ‘prošlo’ putem mPesa usluge.
I dok neke vrlo napredne, mahom skandinavske zemlje, razmatraju ukinuti gotov
novac kao sredstvo plaćanja (u Švedskoj je preko 95 % svih transakcija bezgotovin-
sko, rukovanje gotovim novcem samo stvara troškove i probleme, radi čega se u toj
zemlji ozbiljno razmatra ukidanje gotovog novca kao sredstva plaćanja, a u Danskoj
je od 1. 1. 2016. na snazi zakon prema kojemu trgovci nisu obvezni primiti gotovinu
kao sredstvo plaćanja), zanimljiv ‘game-changer’ je da se preko 50 % vrijednosti
mobilnih plaćanja u svijetu u 2015. godini odnosilo na transakcije u – Africi.
Number26 je banka koja nema fizičkih poslovnica, u kojoj za 8 minuta možete
otvoriti račun i postati klijent na način da ‘downloadate’ aplikaciju i pokrenete
uslugu. Nedavno je dobila dopuštenje regulatornih tijela da provodi uobičajene
bankovne usluge u cijeloj EU.4
PhotoMath je vrlo zanimljiva i besplatna aplikacija, proizvod hrvatske kompa-
nije Microblink, pomoću koje možete fotografirati zadatak iz matematike i dobiti
njegovo rješenje uz objašnjenje postupka rješavanja. Aplikacija je ‘skinuta’ pre-
ko milijun puta diljem svijeta, jako je popularna među učenicima i srednjoškol-
cima i, iako besplatna, predstavlja ‘izlog’ tehnologije koju proizvođač može po-
nuditi. Vrlo slična aplikacija PhotoPay se redovito koristi kao pomoć u provedbi
bankovnih transakcija.
Danas smatramo da poslovni model koji se ne može provoditi putem mobilno-
ga telefona nije vrijedan ozbiljnoga razmatranja.
2. Društvene mreže (engl. social) koje stvaraju komunikacijske i korisničke
digitalne platforme – društvene mreže više ne predstavljaju samo platformu
za zabavu i razbibrigu, nego ‘ozbiljne’ komunikacijske platforme koje se koriste
u poslovanju. Društvene mreže se koriste u sinergiji s mobilnim tehnologijama (i
svim ostalim digitalnim tehnologijama), stvarajući dodatne koristi koje proizlaze
iz istodobne primjene.
Preko 100 milijuna ljudi5, najčešće u dobi između 14 i 34 godine je svaki dan
koristilo Snapchat, društvenu mrežu kojom svaki dan razmijene preko 350 mi-
3
Why does Kenya lead the world in mobile money (2013): http://www.economist.com/blogs/econo-
mist-explains/2013/05/economist-explains-18.
4
Kepes, B. (2014): Is this banking 2.0? Number26 launches, http://www.forbes.com/sites/benke-
pes/2015/02/06/is-this-banking-2-0-number26-launches/#439eacb04f7d.
5
U trenutku pisanja teksta, srpanj 2016.
8
1. Trendovi u digitalnoj ekonomiji
lijardi video i digitalnoga sadržaja, koji se briše nakon određenoga vremena. Već
sada postoji usluga Snapcash kojom 100 milijuna korisnika mreže mogu raz-
mjenjivati novac, a geofilteri i posebni ‘e-moji’ stvaraju brojne poslovne prilike.
Pizza AnyWare je projekt poznatoga (u SAD-u) lanca pizzerija Domino’s. Glad-
ni korisnici mogu naručiti svoju omiljenu pizzu koristeći Siri aplikaciju Do, ‘twee-
tanjem’ ili slanjem pizza e-moji (posebno razvijenih u suradnji s društvenim
mrežama kao što je Snapchat) ili vozeći se kući u pizza – kompatibilnom For-
du koji je opremljem digitalnim tehnologijama. Nakon narudžbe dolazak pizze
može se pratiti putem Domino’s aplikacije.
Wal-Mart, najveći svjetski trgovački lanac koji zapošljava preko 2 milijuna ljudi
snižava cijene nekih svojih proizvoda temeljem ‘lajkova’ na društvenim mreža-
ma, a Macy’s, dobro poznati lanac robnih kuća, koristi Facebook ‘lajkove’ kako
bi donio odluku koje boje korisnici preferiraju.
BeMyEyes je vrlo korisna aplikacija odnosno komunikacijska platforma, koja
okuplja zajednicu osoba koji žele pomagati slabovidnim ili slijepim osobama.
Aplikacija koristi mogućnosti koju kamera pametnoga telefona ima i slabovidnoj
ili slijepoj osobi nudi pomoć volontera ili korisnika zajednice koji ‘vide umjesto
njih’ i pomažu im ispuniti neki obrazac, kupiti neku namirnicu ili bilo što drugo,
što su uskraćeni radi svoga hendikepa.
Atos, poznati pružatelj informatičkih usluga ukinuo je interno korištenje elek-
troničke pošte i poboljšao produktivnost zaposlenika koji komuniciraju putem
kolaborativnih društvenih platformi.
U trenutku pisanja ove knjige (srpanj 2016.), Pokemon Go je bila računalna igra
s najvećim porastom broja korisnika: Facebooku je trebalo 10 mjeseci za prvih
milijun korisnika, čime je infrastruktura te društvene mreže bila temelj za šire-
nje usluga i poslovanja, Instagram je iskoristio infrastrukturu društvenih mreža
da prikupi prvih milijun dnevnih (stalnih) korisnika u manje od tri mjeseca, a
Pokemon GO je to uspio vjerojatno u prvih par sati korištenja (nakon tri dana je
imao 20 milijuna korisnika, a tek je krenuo njegov eksplozivni rast). U sljedećih
par dana je po broju dnevnih korisnika nadmašio Tinder, Twitter i sve ostale
poznate društvene mreže, uz gotovo nevjerojatne poslovne mogućnosti koje
takva grupa korisnika pruža. Ako se Facebook pokazao kao izvrsna digitalna
komunikacijska platforma, tek je za predviđati i pretpostaviti koje sve ‘game-
changing’ scenarije možemo očekivati od Pokemona GO kao dobitne kombina-
cije različitih digitalnih tehnologija.
3. Računalstvo u oblacima (engl. cloud ) koje stvaraju tehnološke i infrastruk-
turne digitalne platforme – radi se o efikasnome i sigurnome korištenju goto-
vo neograničenih digitalnih (hardverskih, podatkovnih i softverskih) kapaciteta,
9
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
10
1. Trendovi u digitalnoj ekonomiji
6
12 Definitions of big data: What’s yours? (Forbes) http://www.forbes.com/sites/gilpress/2014
/09/03/12-big-data-definitions-whats-yours/#534160cc21a9.
Big data – the next frontier for innovation, comptetition and productivity (McKinsey Quarterly) http://
www.mckinsey.com/business-functions/business-technology/our-insights/big-data-the-next-fron-
tier-for-innovation.
11
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
7
IoT (McKinsey Quarterly) http://www.mckinsey.com/business-functions/business-technology/
our-insights/an-executives-guide-to-the-internet-of-things.
Unlocking the potential of IoT (McKinsey Quarterly) http://www.mckinsey.com/business-functions/
business-technology/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world.
8
http://www.dailymail.co.uk/sciencetech/article-3540967/Now-lost-luggage-tell-Samsonite -set-in-
stall-tracking-beacons-new-cases-using-smartphone-app.html.
12
1. Trendovi u digitalnoj ekonomiji
korisnikom (kakvo će biti vrijeme, kada će padati kiša itd.) i predstavlja zanimljiv
svakodnevni dodatak, osobito u područjima gdje je kiša česta pojava.
Geolux , mala kompanija iz Samobora u srpnju 2016. godine započela je u Kinu
izvoz senzora za mjerenje protoka vode koji su, po narudžbi kineskoga Ministar-
stva za upravljanje vodenim resursima ugrađeni u sustave za navodnjavanje i
služe za mjerenje brzine toka rijeka ili kanala za navodnjavanje. Njihovi senzori
ne trebaju biti uronjeni u vodu, što je velika prednost jer prljavštine iz vode i
slično loše utječu na njihov rad i sposobnost očitanja i slanja stanja. Geolux raz-
vija i proizvodi senzore temeljene na radarskoj tehnologiji koji se koriste u pro-
metnim sustavima (prebrza vožnja), pametnim kućama (upravljanje funkcijama
u kući), senzori - detektori pokreta (osiguranje od krađe), senzor za otkrivanje
snježnih lavina itd.
Nest je mala kompanija koja je izvorno proizvodila vrlo jednostavne termostate
koji su bili spojeni na bežičnu mrežu i omogućavali korisnicima daljinsko uprav-
ljanje i reguliranje temperature u stanu putem mobilne aplikacije. Google je još
2012. godine uvidio potencijal ove poslovne ideje i kompaniju platio 1 milijardu
USD. To sigurno nije bila cijena za posao kojega su tada imali. Bila je to cijena
koju je Google platio za cijeli poslovni model i korisnike čiji su se obrasci pona-
šanja mogli pratiti i iz njih stvarati nova poslovna vrijednost (pametne kuće i
pametne usluge).
Američka savezna država Missouri planira na legendarnu Route 66 postaviti
solarne panele kao visokotehnološku alternativu za beton i asfalt. Radi se o
solarnim pločama koje su sposobne skupljati sunčevu energiju i pretvarati je u
električnu. Paneli su opremljeni sofisticiranim senzorima i LED lampicama koji
omogućuju da je cesta interaktivna i da prikazuje informacije o ograničenju br-
zine, informacije o stanju na cestama itd. Cesta mijenja boje ovisno o vremenu,
noću svijetli i olakšava vozačima vožnju, a posjeduje i grijače za topljenje snijega
i leda, što će znatno smanjiti troškove održavanja. Slične ceste su već uobičaje-
ne u Kaliforniji i Nizozemskoj.
Osim temeljnih, često se koriste i ostale – sekundardne digitalne tehnologi-
je poput 3D printera, robotike, dronova, nosive tehnologije, virtualne i proširene
stvarnosti, umjetne inteligencije i slično, koje omogućavaju brojne inovativne us-
luge i primjene. Navedimo samo nekoliko primjera od kojih će se mnogi tijekom
knjige detaljnije obraditi:
• 3D printeri (primjena u proizvodnji, primjeri digitalizacije poslovanja: Adidas
Speedfactory, 3D Future Craft)
• nosive tehnologije (primjena u zdravstvu, plaćanju, trgovini, prodaji, spor-
tu, primjeri digitalizacije poslovanja: Nike+, NBA, BellaBeat, Teddy the Guar-
13
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
dian, Macy’s, Google Wallet, Apple Pay, Samsung Pay, Soundpays, Mastercard
i Coin koji su pokrenuli partnerstvo putem kojega će stvarati nosive uređaje
kojima ćemo obavljati plaćanje9)
• virtualna stvarnost i proširena stvarnost (primjena u proizvodnji, malo-
prodaji, marketingu, industriji zabave, primjeri digitalizacije poslovanja: Poke-
mon GO, Audi, BMW, Boeing , Macy’s)
• umjetna inteligencija (primjena u svim područjima ljudske djelatnosti, po-
sebice u zdravstvu, prodaji, marketingu, odlučivanju, primjeri digitalizacije po-
slovanja: IBM Watson, Acxiom)
• dronovi, robotika i slične tehnologije koje omogućavaju brojne inovativne
usluge i primjene (primjena u procesnoj industriji, proizvodnji, poljoprivre-
di, primjeri: Airbus planira početi koristiti specijalno programirane dronove
opremljene Intel RealSense kamerom koji će u 10 - 15 minuta obaviti osnovnu
provjeru zrakoplova i prenijeti fotografije na 3D model Airbusa A330 kako bi
inspektori mogli napraviti brz pregled, što je značajna ušteda u odnosu na
‘klasičan’ način koji traje skoro 3 sata i gdje zaposlenici koriste velike kranove;
Belje započinje žetvu tako da sofisticirani dron nadleti poljoprivrednu povr-
šinu i ‘snimi’ sve potrebne podatke o tlu, kako bi se svaki pojedini četvorni
metar obradive površine mogao personalizirano tretirati).
Najvažnija obilježja primjene digitalne tehnologije koja omogućuje stvaranje
inovativnih (disruptivnih) poslovnih modela su:
1. istodobna primjena svih (primarnih i sekundarnih) digitalnih tehnolo-
gija uz sinergiju usluga koje iz njih proizlaze (pohrana sadržaja, lokacijske
usluge, interaktivnost, prediktivna analitika, stvaranje zajednice korisnika koji
intenzivno komuniciraju i prenose i stvaraju digitalni sadržaj)
2. ugradnja u proizvode i uređaje, sposobnost izdvajanja digitalnog sadr-
žaja iz uređaja, njihova analiza i interakcija i sposobnost brze distribu-
cije digitalnog sadržaja (senzori u IoT) - GE ugrađuje senzore u infrastrukturu
kojom prati stanje naftovoda ili vodovoda, Pirelli i Michelin u svoje gume ugra-
đuju senzore koji ukazuju na istrošenost, pa guma pocrveni kada je nesigurna
za vožnju ili neprimjerena vremenskim ili ostalim uvjetima
3. vrlo intenzivna razmjena digitalnog sadržaja
4. sposobnost digitalizacije poslovanja, digitalne transformacije poslov-
nih modela i stvaranja digitalnih platformi.
9
Wearable payments: Mastercard and Coin http://newsroom.mastercard.com/press-releases/ma-
stercard-and-coin-sign-agreement-to-power-wearable-payments/.
14
1. Trendovi u digitalnoj ekonomiji
15
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
ih i povezuje s drugim uređajima ili ih istima ustupa na korištenje), pri čemu koristi
strukturirane i nestrukturirane podatke. Senzori i računalni čipovi (Internet
of Things tehnologija) izdvajaju informacije o stanju uređaja i njihovoga okruže-
nja, agregiraju ih, prosljeđuju drugim uređajima, komuniciraju s drugim uređajima
i njihovim okruženjem i povezuju te senzore s drugim senzorima i svim ostalim
uređajima.
3. Intenzitet razmjene digitalnoga sadržaja i interaktivnost
‘Digitalno’ je pridjev koji opisuje intenzitet razmjene informacija i sveobuhvatnu
premreženost i interaktivnost raznih fizičkih uređaja i resursa. Fizički resursi kao
što su zgrade, postrojenja, automobili, stvari, ali i procesi, ljudi ili timovi posta-
ju digitalni primjenom tehnologija koje očitavaju informacije o njihovome stanju i
prosljeđuju te informacije drugim uređajima i svojem okružju. Primjerice, Krups je
digitalizirao svoje poslovanje tako da je u liftove koje proizvodi ugradio računalne
uređaje (senzore) koji dojavljuju njihova stanja i način rada, a pametni algoritmi
temeljem prikupljanja tih informacija mogu stvarati dodatne usluge koje predstav-
ljaju temelj poslovanja ove kompanije u digitalnoj ekonomiji (kupnjom lifta korisnik
putem posebne aplikacije dobiva i informacije o njegovu stanju, kada je predviđen
servis, koliko je izvjestan kvar, kada treba zamijeniti određeni dio itd.). Time kom-
panija nije više samo proizvođač uređaja (lifta), nego pružatelj usluga za njegovo
efikasno korištenje.
4. Sposobnost digitalizacije poslovanja
Digitalizirati poslovanje znači intenzivno koristiti, prije svega temeljne digitalne
tehnologije s ciljem inovacije poslovnoga modela i stvaranja novih i održivih izvora
prihoda. Digitalizacijom poslovanja stvaraju se učinkoviti digitalni poslovni
modeli.
U Hrvatskoj je u lipnju 2016. godine otvoren prvi hotel s digitalnim ključem.
Aplikacija Park Plaza Croatia uz korištenje ostalih digitalnih tehnologija omogu-
ćuje gostima pristup svim potrebnim informacijama vezanim za boravak putem
tableta i pametnih telefona, neposrednu komunikaciju s hotelom i ulaz u hotelske
sobe, bez potrebe za čekanjem na prijavu na recepciji.
Sagledajmo, termin digitalno ne odnosi se samo na skup neovisno razvijanih pri-
marnih i sekundarnih digitalnih tehnologija koje se istodobno i vrlo intenzivno
koriste, nego i na inovativne potencijale njihove primjene u poslovanju, naj-
češće kroz (mobilne) aplikacije koje se odnose na provedbu poslovnih procesa
i udovoljavanje potrebama korisnika. Pri tome, pojam aplikacije treba promatrati
široko, ne samo kao mobilne aplikacije koje imamo na pametnim telefonima, nego
i kao ekosustave digitalnih poslovnih modela koji omogućavaju provedbu različitih
usluga i procesa i na taj način materijalne resurse čine ‘pametnim’ i digitalnim.
16
1. Trendovi u digitalnoj ekonomiji
10
http://fortune.com/2014/10/09/bloomingdales-smart-dressing-room/.
11
http://www.mobilecommercedaily.com/macys-tests-mobilized-fi tting-rooms-as-in-store-tran-
sformation-continues.
17
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
12
RFID (engl. Radio Frequency Identification) predstavlja sitan računalni čip koji radijskom frekvencijom
može u okruženje periodički (primjerice, svakih 30 sekundi) slati podatke koji su na njemu pohranjeni
(to mogu biti razni podaci o proizvodu koji je opremljen takvim čipom poput matičnih podataka, stanja
zaliha, roka trajanja itd.).
13
http://www.businesswire.com/news/home/20140915005587/en/Macy%E2%80%99s-Outli-
nes-Developments-Omnichannel-Strategy-Technology.
18
1. Trendovi u digitalnoj ekonomiji
svoj promet za preko 75 %. Možemo li zamisliti što će se sve događati kada proši-
rena stvarnost postane sasvim uobičajena i rutinska digitalna tehnologija?
Boeing , dobro poznati proizvodač zrakoplova, koristi neuspješnu Google Glass
tehnologiju (neuspješnu u smislu da nije postala masovni proizvod i tehnološki
gadget) u svojim internim poslovnim procesima kako bi poboljšali učinkovitost
rada. Kada veliki Boeing zrakoplov dođe na redoviti ili izvanredni pregled, ‘mali je
milijun’ vrlo sofisticiranih dijelova koje treba pregledati, zamijeniti ili provjeriti nji-
hovu ispravnost. Vrlo često su inženjeri ili serviseri pod velikim pritiskom jer servis
treba obaviti nepogrešivo točno, ali i vrlo brzo (svaka minuta koju veliki zrakoplov
provede na zemlji, a trebao bi biti u zraku kompaniju vrlo skupo košta). U Boeingu
su digitalizirali poslovanje na način da serviseri i inženjeri koji rade na održavanju
koriste Google Glass naočale koje u sebi imaju sofisticirane računalne čipove spo-
sobne na zaslon naočala projicirati sadržaj (internetski sadržaj, rezultat pretraži-
vanja i slično). Na taj način serviseri mogu u Google Glass pohraniti sve tehničke
upute kako servisirati veliki motor zrakoplova ili bilo koji drugi dio i pratiti na zaslo-
nu naočala (vizualne i grafičke) korake koje treba poduzeti za pregled svakoga, pa i
najmanjega detalja. Pri tome im, dok rade, digitalna tehnologija omogućuje pregled
baze znanja kako su njihovi kolege riješili isti problem na nekome drugom kraju svi-
jeta. Nakon što riješe problem Boeing serviseri su sitnim nagradama (‘gamification’)
motivirani opisati način rješavanja problema i pohraniti ga u bazu znanja odno-
sno bazu podataka otklanjanja problema za određene dijelove i tipove zrakoplova.
Gamification predstavlja primjenu prakse koja je koristi u računalnim igricama u
poslovne svrhe. U računalnim igricama radimo određene aktivnosti koje predstav-
ljaju logike igre i skupljamo bodove koji nam omogućuju prijelaz u višu ‘razinu’ igre.
Boeing primjenjuje gamification na način da su radnici motivirani podijeliti svoje
znanje, vještinu i iskustvo sa svojim kolegicama i kolegama, pri čemu kompanija
ima koristi od ‘kolektivne inteligencije’ koja nastaje agregriranjem i analitikom tih
znanja i iskustava rješavanja problema.
BMW, također dobro poznata multinacionalna kompanija, najpoznatija kao pro-
izvođač automobila, Google Glass tehnologiju koristi i u procesima završne kon-
trole kvalitete. Odlično uvježbani i obrazovani kontrolori kvalitete koriste Google
Glass pri završnoj provjeri svih detalja kvalitete BMW automobila, pri čemu ka-
mera snima sve njihove aktivnosti koje se automatski pohranjuju u bazi podata-
ka dokumentacije o provedenome postupku provjere kvalitete.14 Obzirom da je
kvaliteta vrlo važna stavka ovoga premium proizvođača automobila, kontrolori se
mogu potpuno posvetiti njihovoj detaljnoj provjeri, a ‘dosadne’ aktivnosti kao što
je naknadno sastavljanje izvještaja i pripremu pisane dokumentacije o provede-
14
http://www.gizmag.com/bmw-google-glass/34994/ ili http://www.manufacturingglobal.com/tech-
nology/250/BMW-uses-Google-Glass-on-its-vehicle-production-lines.
19
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
nim aktivnostima uvelike obavlja sama tehnologija. Osim toga, brojne kompanije u
automobilskoj industriji koriste te ili slične digitalne tehnologije kako bi poboljšale
svoje interne poslovne procese, ali i kako bi svojim kupcima ponudile što je mogu-
će bolje iskustvo kupnje ili korištenja. Česta je primjena naočala koje omogućuju
proširenu stvarnost, posebice kod kupnje i odabira automobila, ali i svakodnev-
noga korištenja (prometne informacije koje se prikazuju na naočalama, lokacijske
upute, navigacijske mape itd.15). Audi svojim potencijalnim kupcima omogućuje da
u prodajnome salonu, uz upotrebu tehnologije proširene stvarnosti, vide i opipaju
brojnu skupu dodatnu opremu, osjete svaki detalj kada konfiguriraju svoj budući
automobil, kao da zaista borave u njemu, pa čak i osjete miris kožnih sjedala koja
su odabrali.
Spajanje fizičkih i digitalnih iskustava korištenja nekoga proizvoda ili usluge i uop-
će ‘konzumiranja’ određenoga brenda možemo nazvati više-kanalskim iskustvom
(omni-channel experience). Jedan od predvodnika trenda povezivanja iskustava kori-
štenja proizvoda ili usluge iz fizičkih i digitalnih kanala prodaje i stvaranja digitalnoga
brenda je Burberry. Kada je Angela Ahrendts 2006. godine postala CEO Burberry-a
preuzela je dobro uhodan posao i odmah uvidjela ono što nitko drugi nije: da dobro
poznata (rekli bismo i tradicionalna) modna kuća može ponovno ‘otkriti sebe’ kao
vrhunski digitalni brend. Angela je osobno preuzela liderstvo, inicijativu i nadzor nad
nizom vrlo zanimljivih projekata i aktivnosti vezanih uz digitalizaciju poslovanja:
• web mjesto www.artofthetrench.com gdje su korisnici postali modeli koji pozi-
raju i ostavljaju svoje fotografije u dobro poznatome baloneru (‘trench coat’), za-
štitnome znaku modne marke, stvarajući zajednicu lojalnih korisnika odnosno
digitalnu komunikacijsku platformu za komentare, razgovore i rasprave
• robustan web shop (www.burberry.com) s velikim izborom svih proizvoda,
brzom dostavom u sve dijelove svijeta i izvrsnim iskustvom kupnje
• digitalizacija fizičkih prodajnih mjesta korištenjem tehnologija za označavanje
proizvoda (RFID tehnologijom su označeni svi proizvodi, radi čega ih je bilo
lako pratiti u dostavi, logistici, distribuciji i samoj prodaji)
• u londonskome Regent Street-u, legendarnoj Burberry prodavaonici (flagship
store) uvedena je nova usluga, Burberry World Live, integrirano iskustvo kup-
nje, koje se sastoji od velikih televizijskih zaslona, gotovo 500 nevidljivih zvuč-
15
http://europe.autonews.com/article/20150419/COPY/304199973/bmw-inspired-by-google-gla-
ss-tests-experimental-driving-goggles.
20
1. Trendovi u digitalnoj ekonomiji
Nosive tehnologije
22
1. Trendovi u digitalnoj ekonomiji
23
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
24
1. Trendovi u digitalnoj ekonomiji
25
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
računala, hardver itd.) i sve alate i algoritme koji ih čine ‘pametnim’ i interaktivnim
(mobilne aplikacije, sigurnosni protokoli, protokoli prijenosa digitalnoga sadržaja,
alati koji očitavaju stanje nekoga uređaja i algoritmi pomoću kojih se ti isti uređaji
kontroliraju i upravljaju itd.).
Digitalne tehnologije predstavljaju svojevrsnu nadogradnju, ali su i dalje
pod-pojam u odnosu na informacijsko-komunikacijske tehnologije, pri čemu ‘na-
sljeđuju’ sva njezina korisna svojstva, a mahom se odnose na najsuvremenije teh-
nologije današnjice koje omogućuju gotovo isključivo digitalni prijenos sadrža-
ja. I dok i danas imamo primjera ICT-e koja omogućuje i analogni prijenos sadržaja
i uopće ‘analogno funkcioniranje’, digitalne tehnologije se odnose na nove komuni-
kacijske uređaje i koncepte koji omogućuju isključivo digitalnu komunikaciju.
Brojni su primjeri inovativnih poslovnih modela koji intenzivno koriste digitalne
tehnologije s ciljem stvaranja nove vrijednosti za korisnike. Zaključimo ovo po-
glavlje analizom poslovnih modela kompanija koje vrlo intenzivno i sveobuhvatno
koriste gotovo sve primarne digitalne tehnologije (mobile, social, cloud, big data,
Internet of Things), ali i sekundarne poput umjetne inteligencije, 3D printanja, pro-
širene stvarnosti, iBeacon i lokacijskih usluga, nosivih tehnologija, gamification itd.,
što im je omogućilo digitalnu transformaciju poslovanja i disruptivne promjene u
industrijama u kojima se natječu.
Putem Airbnb-a kao digitalne rezervacijske platforme više ljudi je rezerviralo smje-
štaj nego preko ‘fizičkih’ hotelskih lanaca. Na taj način Airbnb, kompaniju koja je
nastala 2009. godine, možemo smatrati najvećom ‘hotelskom kućom’ na svijetu,
a da nisu vlasnici niti jedne nekretnine u kojoj njihovi korisnici koriste smještaj, za
razliku od ‘fizičkih’ hotelskih lanaca koji su vlasnici stotina tisuća nekretnina. Slična
je situacija i s Uberom. Iako ne posjeduju niti jedan automobil, Uber je globalna
digitalna platforma za prijevoz, koja ih čini najvećim taxi prijevoznikom na svijetu.
Jesu li slične ‘disruptivne’ promjene moguće u bankarstvu, financijskoj industriji,
trgovini ili bilo kojoj drugoj industriji? Koristeći digitalne tehnologije (istodobno ko-
rištenje primarnih i sekundarnih digitalnih tehnologija, uz mogućnosti primjene i
ostalih) moguće je koristiti bankovne usluge, a ne ulaziti u banku. Možda je dovolj-
no ‘skinuti’ mobilnu aplikaciju koja predstavlja učinkovit digitalni poslovni model i
koristiti bankovne usluge?
26
1. Trendovi u digitalnoj ekonomiji
27
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Osiguranje
Osiguravajuća društva će morati mijenjati svoje poslovne modele jer ćemo imati
znatno manje automobilskih nesreća, rizici će biti manji, polica osiguranja će biti
100 puta jeftinija i ubrzo će nestati potreba za policama automobilskih i kasko
osiguranja.
Amodo je hrvatski start-up (www.amodo.eu) koji, uz dopuštenje korisnika, prati
njihove navike vožnje (IoT senzori), prikuplja i agregira informacije o stilu vožnje
(podaci se pohranjuju u računalnome oblaku i analiziraju) i agregirane podatke
šalje osiguravajućim kućama koje korisniku nude jeftiniju i personaliziranu policu
osiguranja.16 Automobil je opremljen senzorima i IoT uređajima koji prikupljaju i u
cloud okruženju pohranjuju sve podatke o vožnji, pridržavanju ili kršenju pravila,
analiziraju sve te podatke i agregirano znanje o vozačkim navikama šalju osigu-
ravajućoj kući koja temeljem toga korisniku koji pažljivo vozi i ne krši prometna
pravila daje velike popuste i personaliziranu policu osiguranja. Osim prikupljanja
podataka o navikama vožnje, ova digitalna platforma omogućuje povezivanje s
kućnim uređajima, a prikupljanje, analitika i praćenje takvih podataka kuću odno-
sno kućanstvo čini ‘pametnim’. Na sličan je način moguće prikupljati podatke o
zdravstvenome stanju, životnim navikama, navikama prehrane, tjelovježbe itd. i
učiniti svoj život ‘pametnijim’ ili barem ‘informiranijim’. Prosljeđivanje takvih anali-
tičkih podataka osiguravajućim kućama može olakšati poslovanje, približiti ih ko-
risnicima (‘customer intimacy ’), i osim odličnih temelja za digitalnu transformaciju
poslovanja, omogućiti stvaranje novih proizvoda i usluga (personalizirane police,
briga za korisnike) i naposljetku bolje poslovne rezultate.
Računala i sveprisutni računalni čipovi (IoT okruženje) će biti opremljeni sve sofisti-
ciranijim algoritmima (osobito ‘big data’ i ‘data mining’ algoritmima) kojima će dobiti
sposobnost vrlo brzoga učenja i obrade ogromne količine raznorodnih podataka.
Radi ograničenoga kapaciteta ljudskoga mozga i ipak smanjene mogućnosti pohra-
ne podataka, uređaji temeljeni na umjetnoj inteligenciji će postupno sve intenzivnije
biti uključeni u donošenje poslovnih odluka i postati ravnopravni ‘članovi uprave’.
IBM superračunalo Watson već sada daje pravne savjete i preporuke (zasad u ru-
tinskim područjima) s 90 %-tnom točnošću, u odnosu na 70-ak % pouzdane i točne
savjete koje daju ljudi - pravnici. Hoće li se u budućnosti pravnici usredotočiti samo
na specijalna područja, a rutinske odluke prepuštati tehnologiji? Hoćemo li se i u
ostalim područjima oslanjati na pouzdanu i ‘nepogrešivu’ umjetnu inteligenciju?
16
Detaljnije o poslovnome modelu Amodo: Špigel, Ivo (2016): Speedinvest’s first Croatian investment
is “insurtech” company Amodo, http://tech.eu/features/10483/speedinvest-amodo/.
28
1. Trendovi u digitalnoj ekonomiji
IBM Watson već sada s četiri puta većom preciznošću i pouzdanošću može di-
jagnosticirati rak nego ljudi, radi čega se intenzivno koristi u brojnim klinikama u
svijetu. Facebook ima ugrađen softver koji ljudska lica prepoznaje bolje nego sami
ljudi. Smatra se da će do 2030. godine računala biti pametnija nego ljudi.
Zdravlje
U posljednjih desetak godina cijena 3D printera je pala s oko 18.000 USD na oko
400 USD, pri čemu su istodobno postali oko 100 puta brži i efikasniji. Brojne kom-
panije razmatraju velike promjene modela proizvodnje uz intenzivnu primjenu 3D
printanja (Adidas 3D Future Craft, Adidas Speedfactory17). Proizvođači sport-
ske opreme su u prošlosti inovirali ili digitalizirali svoje poslovne modele privla-
čeći kupce mobilnim aplikacijama koje su stvarale zajednicu korisnika. Digitaliza-
ciju poslovnoga modela je još 2006. godine započeo Nike s aplikacijom i linijom
proizvoda Nike+ i NikeID mogućnošću personalizacije proizvoda. Na mrežnom
mjestu www.nike.com korisnik odabire obuću koju može personalizirati i potpu-
no prilagoditi svojim potrebama birajući materijal, izgled, natpise i sve ostalo što
je potrebno da samostalno dizajnira unikatnu obuću, naruči je, plati putem digi-
talne platforme (15-ak % skuplje nego masovan proizvod koji se može kupiti na
bilo kojoj polici sportskih prodavaonica) uz dostavu na odabranu adresu. Osim
NikeID-a, Nike je već odavno digitalizirao svoj poslovni model i uz Nike+ aplikaciju i
liniju obuće i odjeće. U Nike+ proizvode moguće je ugraditi računalni čip koji prati
sportske rezultate, koji se nakon treninga jednostavno prebacuju na digitalnu plat-
formu Nike+ koja služi za razmjenu iskustava, komentare, komunikaciju korisnika i
17
Zaleski, A. (2015): Nike, Adidas and NB competes on 3D printing, http://fortune.com/2015/12/15/3d-
printed-shoe-race/.
29
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
stvaranje lojalne zajednice ‘ljubitelja’ robne marke i njezinih korisnika. Ta dva pro-
jekta digitalizacije poslovanja su bili važnim razlozima odličnih poslovnih rezultata
koje je Nike mogao zahvaliti drugačijemu i inovativnijemu (digitalnom) poslovnome
modelu. Konkurencija je ubrzo shvatila mogućnosti digitalizacije poslovanja, pa su
krenuli ne stvarati, nego kupovati i preuzimati fitnes aplikacije s velikim brojem
korisnika (Adidas i Runtastic, Asics i RunKeeper itd.18).
U novije vrijeme tehnološko nadmetanje proizvođača sportske obuće i odjeće se
nastavlja uz još intenzivniju upotrebu digitalnih tehnologija. Adidas je prihvatio
činjenicu da upravo digitalizacijom poslovanja može poboljšati svoje poslovne re-
zultate i konačno inovirati svoj poslovni model, pa do kraja 2016. godine planira u
potpunosti promijeniti model proizvodnje sportske obuće korištenjem robotike
i 3D printera (Adidas Speedfactory i Adidas 3D Future Craft). U 2015. godini
Adidasovih 1.100 tvornica mahom u Aziji s preko milijun zaposlenika je proizvelo
više od 301 milijun pari obuće. Da bi uspjeli povećati proizvodnju i omogućiti da se
obuća i odjeća proizvode bliže kupcima koji ih žele kupiti odmah, a ne radi logistič-
kih problema dostavu iz Azije čekati mjesecima, u Adidasu su odlučili kako moraju
povećati kapacitet proizvodnje za oko 30-ak milijuna godišnje i okrenuti se potpu-
no drugačijemu modelu proizvodnje – digitalnoj tehnologiji, prije svega robotima i
3D printerima. Pilot projekt se zove Adidas Speedfactory i odnosi se na visokoau-
tomatiziranu tvornicu u Ansbachu na jugu Njemačke u kojoj će raditi samo deset
ljudi, a sve ostalo će odrađivati roboti, za koje se smatra da će biti brži, efikasniji, ali
i jeftiniji od ionako jeftine radne snage u Aziji.19 Već krajem 2016. godine Speedfa-
ctory bi trebao proizvesti prvih 500 pari koje su šivali, bojili i pakirali roboti.
Krajnja vizija menadžmenta Adidasa je decentralizirana, fleksibilna manufakturna
proizvodnja koja će se moći prilagoditi lokalnim tržištima i gdje će se vrlo brzo i u
lokalnoj ‘robotiziranoj’ tvornici moći proizvesti ono što kupci žele. A kupci žele sve
sofisticiranije proizvode od naprednih materijala koje ljudi teško mogu proizvesti,
posebice brzo, jeftino i učinkovito. Adidasova boost cushioning tehnologija koja
olakšava trčanje će se ugrađivati u obuću čije će potplate proizvoditi 3D printeri,
personalizirano prema stopalu svakoga korisnika.
Trenutni poslovni model Adidasa funkcionira na sljedeći način: obuća, pose-
bice sportska se proizvodi u zemljama u kojima njezini kupci ne žive, a dok se
proizvod dostavi kupcu često prođe i nekoliko mjeseci. Takvi su proizvodi masovni,
s vrlo malo mogućnosti personalizacije. Digitalna tehnologija će inovirati poslovni
18
The Guardian (2016): Runkeeper bought by Asics in lattest sport brand app acquisition, http://
www.theguardian.com/technology/2016/feb/12/runkeeper-asics-sports-brand-app-acquisition.
19
Meyer, D. (2016): Why Adidas is turning to robots in Germany and US, http://fortune.com/2016
/05/25/adidas-robot-speedfactories/ ili http://www.fastcocreate.com/3054380/the-adidas-speed-
factory-aims-to-bring-local-customization-to-manufacturing.
30
1. Trendovi u digitalnoj ekonomiji
U Belju d.d. već nekoliko godina žetva započinje tako da bespilotna letjelica (skupi
dron s vrlo sofisticiranim softverom i GPS preciznom uslugom), detaljno snimi cije-
31
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Plaćanja
32
1. Trendovi u digitalnoj ekonomiji
Svakako, vrlo je izvjesno da ćemo u budućnosti više koristiti Bitcoin i slične načine
plaćanja, mobilna plaćanja će biti sveprisutna, a vjerojatno ćemo se približiti i nekoj
svjetskoj monetarnoj uniji (zamislite da na svijetu imamo samo jednu valutu – di-
gitalnu valutu!). Osim toga, blockchain tehnologija je možda i ‘game changer’ za
promjene u ostalim područjima života i rada20, jer osim što služi kao tehnološka
platforma za digitalne valute, ta tehnologija se u digitalnoj ekonomiji može koristiti
za praćenje ispravnosti i transparentnosti financijskih i poslovnih transakcija. Ako
želite uplatiti nekome novac kao društveno odgovorni dobrotvorni prilog ili pomoć,
pomoću blockchain tehnologije možete pratiti da taj novac uistinu i dođe na račun
onih kojima je namijenjen, ili na taj način možete pratiti sve poslovne transakcije
vezane za kupnju neke kuće ili građevinskoga zemljišta i provjeriti njihovu valjanost.
Oradian je kompanija osnovana 2014. u Zagrebu, s uredima u Londonu i Nigeriji
koja mikrofinancijskim institucijama u Africi i Aziji nudi softver za vođenje njihovoga
posla temeljen na cloud uslugama. U ožujku 2016. godine ugledni poslovni časopis
Forbes je Oradian proglasio jednim od pet najboljih fintech startupa u Europi. Ora-
dian je u srpnju 2016. godine premašio 500.000 krajnjih korisnika i 200 mikrofinan-
cijskih institucija. Prethodno je dogovorio suradnju s digitalnom valutom Stellar te
tako razvio alternativu SWIFT-u.21
Već sada postoji ‘Moodies’ aplikacija koja temeljem izgleda lica može otkriti kakvo-
ga smo raspoloženja. Do kraja 2020. godine smatra se da će primjena digitalne
tehnologije omogućiti aplikacije koje će rutinski otkrivati laže li netko dok govori
(zamislite političke kampanje uz takve pouzdane aplikacije), ali i je li netko sklon
kupiti neki proizvod i slično (zamislite kako će izgledati trgovački lanci opremljeni
takvim digitalnim tehnologijama, gdje će se cijene mijenjati ovisno o raspoloženju
kupaca žele li kupiti neki proizvod ili ne).
Modeli obrazovanja će također doživjeti disruptivne promjene, velika većina ljudi
na planeti će imati mobilni telefon i time pristup do besplatnoga vrhunskog ob-
razovanja (masivni otvoreni on-line tečajevi – engl. massive open online courses,
MOOC, poput Coursere, edX, Udacity, Khan Academy, …).
Trgovina i maloprodaja
20
Hern, A. (2016): Blochain: the answer to life, universe or everything, https://www.theguardian.
com/world/2016/jul/07/blockchain-answer-life-universe-everything-bitcoin-technology.
21
Intervju s Antoniom Šeparovićem, jednim od osnivača Oradiana, http://www.poslovni.hr/
startup-i-vase-price/u-hrvatskoj-zelimo-razviti-veliki-biznis-koji-ce-prezivjeti-nekoliko-desetlje-
ca-315796.
33
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
34
1. Trendovi u digitalnoj ekonomiji
35
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
‘Jedini informacijski sustav koji je zaista siguran je onaj koji je ugašen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, okružen
nervnim plinom i dobro plaćenim naoružanim čuvarima. Čak ni tada, ne bih se
baš kladio na njega.’
Eugene Spafford, director Computer Operations, Audit and Security Technology (COAST)
38
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
stavu koji mogu nastati odnosno biti aktivirani iz različitih razloga koji se odnose
na unutarnje djelovanje informacijskoga sustava (neovlaštena uporaba, netočni
podaci, nedjelotvorni procesi, pogrešni algoritmi ili neučinkoviti ulazi u sustav
itd.) ili uzroke iz njegovog okruženja (napadi izvana, pogrešan prijenos podataka,
prirodne katastrofe itd.).
Svaki informacijski sustav, naravno, obiluje brojnim kontrolama koje su u njega
ugrađene (informatičke kontrole), a koje se primjenjuju kako bi se ostvarili ciljevi
njegova funkcioniranja i kako bi se njime učinkovito upravljalo. Što su te kon-
trole učinkovitije i bolje oblikovane, manje je vjerojatno da će informacijski
sustav biti izložen nekoj prijetnji i da će se neželjeni događaj ‘razviti’ u rizik za
poslovanje. Upravo revizijama informacijskih sustava, što je tema koja će se
detaljno obraditi na kraju ove knjige, provjeravamo postoji li neka informatička
kontrola i u kojoj je mjeri učinkovita. Time se revizijama testiraju razine učinkovi-
tosti informatičkih kontrola, prikupljaju argumenti i dokazi pomoću kojih je mo-
guće procijeniti rizike za poslovanje i dati preporuke za njihovo smanjenje, što na
kraju omogućuje bolje upravljanje informacijskim sustavom i poslovanjem. Revi-
zijama informacijskih sustava provjeravamo postoji li određena informatička
kontrola i u kojoj mjeri učinkovito štiti poslovanje od neželjenih događaja. Bez
provedenih vanjskih i unutarnjih revizija informacijskih sustava teško možemo
kvalitetno upravljati poslovanjem, što, posebice u okruženju digitalne ekonomije
predstavlja priličan rizik za poslovanje.
Iz dosadašnjih navoda izvjesno je da su revizije informacijskih sustava važan i ne-
zaobilazan čimbenik uspješnoga poslovanja u uvjetima digitalne ekonomije, pa je
posve očekivano da se njezina provedba ne može prepustiti slučaju, stihiji, ‘sna-
laženju’ ili ad-hoc pristupu. Revizije informacijskih sustava se provode primjenom
prokušanih i dokazano uspješnih, u svjetskim razmjerima jedinstvenim metodolo-
gijama, poput CobiT-a, obitelji ISO 27000 normi, ITIL, NIST, SANS ili PCI DSS prepo-
rukama koje će se detaljno obraditi u kasnijim poglavljima ove knjige.
Svi navedeni ključni termini (sigurnost informacijskih sustava, informatičke kon-
trole, informatički rizici i revizija informacijskih sustava) su međusobno povezani i
predstavljaju posebna poglavlja ove knjige. Dakle, sigurnost informacijskih sustava,
se ostvaruje osmišljavanjem i provedbom kontrola kojima se sprječavaju neželjeni
događaji. Što su informatičke kontrole učinkovitije, poslovanje je manje izloženo
informatičkim rizicima. Revizijama informacijskih sustava uz metodološku podrš-
ku dokazanih preporuka i okvira provjeravamo razinu učinkovitosti informatičkih
kontrola i procjenjujemo razinu informatičkih rizika. Na taj se način mjeri razina
sigurnosti informacijskih sustava, održava željena razina prihvatljivih informatičkih
rizika, što omogućuje ‘bezbrižno’ poslovanje u složenome i sigurnosno turbulent-
nome okruženju digitalne ekonomije.
39
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
22
CFO Research Services (2005): Risk Denial from the Top?, CFO Publishing Corp. i PriceWaterhouse-
Coopers.
23
Gartner (2002): ‘The Elusive Business Value of IT’, August 2002.
40
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
• Rizik prekida ili otežanoga odvijanja rada informacijskoga sustava koji uzrokuje
prekid odvijanja poslovnih procesa – prema istraživanjima Disaster Recovery
Instituta, 93 % kompanija koje dožive iznenadni neželjeni prekid poslovanja, a
nemaju plan njegova kontinuiteta, prestanu poslovati nakon pet godina. 50 %
kompanija koje izgube kritične poslovne funkcije na više od deset dana nika-
da se ne oporave. Za kompanije iz Fortune 500 liste vrijeme zastoja poslovanja
stoji u prosjeku 96.000 USD po minuti.24
• Rizik sigurnosti informacijskoga sustava – prema istraživanjima koja su nedavno
proveli ISACA (2012)25 i E&Y (2011)26 troškovi informatičkoga kriminaliteta bili
su procijenjeni na 1 milijardu USD godišnje, prosječan trošak prekida rada
informacijskoga sustava bio je otprilike 5.000 USD po minuti, a ukupan trošak
povezan sa zloporabama podataka je porastao na 7,2 milijuna USD (204 USD
po incidentu, u odnosu na 138 USD u 2005. godini).
U gotovo svim industrijama primjena digitalne i informacijske tehnologije može
imati vrlo pozitivan učinak na poslovanje, radi čega gotovo svi poslovni subjekti ne-
izostavno ulažu u informatiku. No, kako svaka ‘medalja ima dva lica’, tako i povećani
pritisak za stalnom primjenom digitalne i informacijske tehnologije u poslovanju sa
sobom nosi i brojne nove rizike kojima brojni menadžeri nisu dorasli, čiju narav ne
razumiju i kojima slabo upravljaju. Brojni su primjeri pogrešnoga ili lošega vođenja
informatike koji su za posljedicu imali velike izravne i neizravne gubitke i štete u
poslovanju. U tablici 2.1. je prikazano nekoliko primjera koji su prikazivali obilježja
informatičkih rizika u razdobljima prije intenzivne digitalizacije poslovanja (otprilike
do 2010. godine), no obzirom na rastuću složenost informacijskih sustava i njihovu
gotovo neizostavnu primjenu u poslovanju, možemo zaključiti da će u budućnosti
razmjeri takvih problema biti još izraženiji.
24
Kenneth L. Fulmer: ‘Business Continuity Planning - A Step-by-Step Guide with Planning Forms‘, Third
Edition, The Rothstein Catalog On Disaster Recovery, Brookfield, Connecticut, 2005., str. 7.
25
ISACA (2012): Extracting Value from Information Chaos: Why Good Governance Makes Good
Sense, CobiT. 5, ISACA, Rolling Meadows, Illinois, USA.
26
Ernst & Young (2011): Into the cloud, out for of the fog, Global Information Security Survey 2011,
Ernst & Young, USA.
41
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
27
ISACA (2015): Global Cyber Security Status Report, ISACA, Rolling Meadows, Illinois, USA.
42
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
28
Cavusoglu, H., Mishra, B., Raghunathan, S. (2004, Fall): The effect of Internet security breach an-
nouncements on market value: Capital market reaction for breached firms and Internet security de-
velopers, International Journal of Electronic Commerce, 9(1), 69-104.
29
Piccoli, G., Pigni, F. (2016): Information Systems for Managers, edition 3.0, Prospect Press, USA, str.
345.
43
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
44
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
Pitanja za raspravu:
Objasnite razloge radi kojih je došlo do krađe podataka?
Na koji se način taj incident mogao spriječiti?
Kakav je utjecaj ovaj sigurnosni incident imao na poslovanje?
Koje kontrolne mjere biste predložili kako bi se slični incidenti u budućnosti spri-
ječili?
45
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
nje i stvaraju štete. U srpnju 2015. g. hakeri Chris Valasek i Charlie Müller su daljin-
skim putem hakirali automobil Jeep Cherokee dok se vozio po autocesti. Ranjivosti
i propusti u info-entertainment sustavu, koji je sastavni dio svakoga automobila
današnjice, su hakerima omogućili da s udaljenosti od preko 15 km preuzmu kon-
trolu nad vozilom i njegovim ključnim funkcijama. To je bilo prvi put da su hakeri
doslovno iz udobnosti kauča preuzeli kontrolu nad vozilom i uzrokovali kompaniji
velike štete i probleme (opoziv 1,4 milijuna vozila, popravljanje štete, promjenu in-
dustrijskih i regulatornih pravila itd.).
Broj i opseg sigurnosnih incidenata stalno raste: istraživanja pokazuju da je 2009.
g. bilo otkrivenih 3,4 milijuna sigurnosnih incidenata, čiji se broj 2014. g. već po-
peo na 43 milijuna.30 Imajući u vidu eksplozivan razvoj digitalne ekonomije, u bu-
dućnosti možemo samo očekivati još veći broj i razmjere sigurnosnih incidenata,
radi čega već sada možemo tvrditi da sigurnosni incidenti nisu samo informatički
problem koji možda spada u tehničke, operativne i pozadinske rizike, nego se radi
o strateškim poslovnim rizicima koji mogu preko noći promijeniti konkurentsku
poziciju kompanije.
Ulaganje u informacijsku sigurnost nikada prije se nije činilo potrebnijim i poslovno
opravdanijim. Ipak, ulaganje u zaštitne (kontrolne) mjere kojima se informacijska
sigurnost ‘drži’ na prihvatljivoj razini mnogi menadžeri smatraju nepotrebnim ‘ba-
canjem novca’ nadajući se da ‘nećemo valjda imati toliku nesreću da se to dogodi
nama’. Ne radi se, naravno, ni o kakvoj ‘nesreći’ niti ‘zloj sudbini’, nego o slabome
upravljanju poslovanjem i nedovoljnim znanjima iz područja cyber sigurnosti. Ula-
ganje u sigurnosne zaštitne mehanizme možda neće izravno doprinijeti produktiv-
nijim i učinkovitijim poslovanjem, pa je stopu povrata na te vrste ulaganja poneka-
da zaista teško opravdati, radi čega se brojni menadžeri ‘kockaju’ s vjerojatnostima
nastanka neželjenih događaja.
No, sama narav informatičkih rizika se znatno promijenila (što sugerira i slika 2.1.)
i više se ne rabi pojam ako se dogodi neki neželjeni događaj, nego kada će se
isti dogoditi. U tome slučaju, ako stopu povrata na ulaganje u sigurnosne zaštitne
(kontrolne) mjere računamo uobičajenim tehnikama (analiza troškova i koristi) i
ako se neželjeni događaj nije dogodio u prvoj godini, vjerojatnost njegove pojave
u sljedećoj prilično raste jer je više nego izvjesno da će se u budućemu razdoblju
dogoditi (financijske i ostale izračune rizika moramo prilagoditi naravi tih rizika
jer više ne rabimo pojam ‘ako’ nastupi neželjeni događaj, nego ‘kada’ će se to
dogoditi).
30
Ibid.
46
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
31
Armerding, T. (2015): Top 15 security prediction for 2016, http://www.infoworld.com/article
/3015953/security/top-15-security-predictions-for-2016.html.
47
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
32
ISACA (2015): Global Cyber Security Status Report, ISACA, Rolling Meadows, Illinois, USA.
48
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
Iako će u nastavku knjige na više mjesta biti detaljnije obrađeni načini provedbe tih
napada i osobito zaštitne mjere koje ih sprječavaju ili ublažavaju učinak, promotri-
mo najvažnija obilježja tih prijetnji i napada na podatke, opremu i aplikacije. Najče-
šće se radi se o napadima koji su usmjereni na krađu identiteta korisnika
(phishing , skimming, društveni inženjering , keystroke loggers, lažno predstavljanje
i slično) i napadima osmišljenima s ciljem krađe podataka i izmjene sadrža-
ja (prisluškivanje, nasilni i neovlašteni upadi u računalne mreže, presretanje poru-
ka i izmjena sadržaja, zlonamjerni računalni kod).
Phishing je vrsta računalne prijevare s ciljem krađe identiteta. Phishing se odnosi
na aktivnosti kojima prevaranti i računalni kriminalci slanjem lažnih elektroničkih
poruka, koje izgledaju kao da su ih poslale izvorne institucije, dobiju pristup povjer-
ljivim korisničkim podacima (primjerice, pristupnih podataka, brojeva i autorizacij-
skih šifri kreditnih kartica i bankovnih računa).
Društveni inženjering (engl. social engineering) se odnosi na navođenje ili mani-
puliranje osobama kako bi otkrili što je moguće više podataka o sebi. Tako priku-
pljeni podaci (ime djece, osobne preferencije i slično) se koriste u svrhu krađe on-li-
ne identiteta tih osoba i počinjenje različitih zloporaba (kupnja proizvoda i usluga,
lažni statusi na društvenim mrežama, lažno predstavljanje i slično).
Keylogers predstavljaju uređaje kojima se bilježi svaki udarac na tipkovnici. Ne-
vidljivi su za korisnika, prate i bilježe sve što korisnici upisuju preko tipkovnice, a
napredni algoritmi izdvajaju i sumiraju tako prikupljene podatke i šalju ih kriminal-
cima. Ti su uređaji, često u kombinaciji s zloćudnim programima, sposobni brzo
prenositi ‘uočeno’, čime prevaranti i kriminalci mogu krasti lozinke, brojeve kartica i
računa i dolaziti do ostalih povjerljivih podataka čime, nažalost, predstavljaju jedan
od najzastupljenijih načina ugrožavanja privatnosti.
Zlonamjerni računalni programi (engl. malware) su računalni virusi i ostali
zlonamjerni računalni kodovi napisani i distribuirani s namjerom da naprave štetu
nad računalnim i ostalim resursima. Postoji veliki broj različitih vrsta zlonamjer-
noga računalnog koda, a među često prisutnima u novije vrijeme su zlonamjerni
oglašivački program (adware) i računalna ucjena (ransomware) kojom se nakon ne-
ovlaštenoga upada u računalo, najčešće djelovanjem računalnoga virusa kojega
je pokrenuo neoprezni korisnik, šifriraju podaci koji su u njemu pohranjeni, a koji
su neophodni za nastavak rada ili poslovanja, pri čemu računalni kriminalci traže
odštetu (najčešće u bitcoinima) za njihovo dešifriranje.
49
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
50
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
33
Detalji o svim ovim metodama mogu se pronaći na sljedećim mrežnim stranicama: http://www.
sigurnostnainternetu.hr ili http://www.bankinfosecurity.com/articles.php?art_id=1732.
34
Piccoli, G., Pigni, F. (2016): Information Systems for Managers, edition 3.0, Prospect Press, USA, str.
340.
51
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
35
PricewaterhouseCoopers (2015): Global State of Information Security, http://www.pwc.com/gx/
en/issues/cyber-security/information-security-survey/key-findings.html (15. 2. 2016.).
52
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
ISACA 36 (engl. Information System Audit and Control Association, jedna od najvažni-
jih strukovnih organizacija u svjetskim razmjerima u ovome području) cyber si-
gurnost definira kao zaštitu informacijskih resursa utvrđivanjem prijetnji
informacijama koje se obrađuju, pohranjuju i prenose međusobno povezanim in-
formacijskim sustavima. Cyber-sigurnost predstavlja sve mjere kontrole i za-
štite koje pojedince i kompanije štite od namjernih, sofisticiranih i ciljanih
informatičkih napada, krađe podataka i incidenata koje je teško otkriti ili
spriječiti. Osnovni cilj kontrolnih mjera cyber sigurnosti jest sprječavanje pojave
ili ublažavanje posljedica koje stalne (neodgodive) prijetnje, cyber ratovi i cyber
napadi mogu imati na pojedince i kompanije.
Sigurnost informacija i sigurnost informacijskih sustava je skup metoda
i zaštitnih mjera (kontrola) kojima se informacije i informacijski sustavi
štite od neovlaštenoga pristupa, uporabe, otkrivanja, prekida rada, pro-
mjena ili uništenja.
Tri su temeljna parametra informacijske sigurnosti:
• Povjerljivost (engl. confidentiality) – siguran pristup informaciji i informa-
cijskome sustavu isključivo za to ovlaštenoj osobi.
• Integritet ili cjelovitost (engl. integrity) – zaštita ispravnosti i cjelovitosti
podataka i informacija.
• Raspoloživost ili dostupnost (engl. availability) – ovlaštenoj osobi omo-
gućiti pravodoban i stalan pristup informacijama i informacijskim sustavima.
Tri ključna svojstva informacija čije narušavanje predstavlja rizik za poslovanje su:
1. Povjerljivost je svojstvo informacije da je raspoloživa isključivo osobama i su-
stavima koje za to imaju valjano ovlaštenje. Primjeri posljedica narušavanja
povjerljivosti informacija: gubitak konkurentske prednosti (otkrivanje infor-
macija o osobinama novoga proizvoda konkurenciji), gubitak povjerenja klijena-
ta (curenjem osobnih podataka klijenata u javnost), nepoštivanje mjerodavnih
propisa (curenje osobnih podataka klijenata može predstavljati kršenje regu-
lative u području zaštite osobnih podataka), financijski gubici (curenje osobnih
podataka može pokrenuti tužbe klijenata i rezultirati isplatom novčanih sred-
stava u svrhu pokrivanja odštetnih zahtjeva).
2. Cjelovitost je svojstvo informacije da postoji razumno uvjerenje u njezinu toč-
nost odnosno da slučajnim ili namjernim djelovanjem nije neovlašteno ili ne-
predviđeno izmijenjena, što podrazumijeva i naknadno dodavanje, izmjenu ili
brisanje informacija bez traga o provedenim aktivnostima koji se može slijediti.
36
Ibid.
53
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
54
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
Usprkos tome što je velika pljačka spriječena, hakeri su ipak uspjeli ukrasti 80
milijuna dolara, što znači kako se ipak radi o jednoj od najvećih pljački banaka u
povijesti.
Četiri zahtjeva za prebacivanje oko 81 milijun dolara na Filipine su provedeni, no
peti, koji je iznosio oko 20 milijuna dolara i koji je bio naslovljen na jedan NVO,
nije prošao jer su hakeri krivo napisali ime NVO-a, Shalika foundationa.
Hakeri su umjesto “foundation” napisali “fandation”, zbog čega je Deutsche Bank
zatražio provjeru od središnje banke Bangladeša te je transakcija zaustavljena.
Potom su zaustavljene i isplate koje su ukupno iznosile između 850 i 870 miliju-
na dolara.
Središnja banka Bangladeša objavila je kako je vratila dio ukradenoga novca te
kako radi s tijelima za borbu protiv pranja novca na Filipinima kako bi pokušala
vratiti i ostatak.
55
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
37
Prema: Srića, V. i suradnici, Menedžerska informatika, MEP Consult, Zagreb, 1999.
56
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
Osim zaštite od fizičke ili izravne opasnosti, informacijske sustave, a posebice po-
hranjene podatke i informacije treba zaštititi od neovlaštene uporabe, neovlašte-
noga pristupa i naročito osigurati njihovu povjerljivost i tajnost. Sigurnost infor-
macijskih sustava zasniva se na ispunjavanju triju osnovnih sigurnosnih zahtjeva:
• povjerljivost i sigurnost podataka i informacija (zahtjev sigurnosti)
• dostupnost podataka i informacija samo ovlaštenim korisnicima (za-
htjev raspoloživosti)
• tajnost (zahtjev tajnosti).
Zahtjev sigurnosti znači uspostavljanje uvjeta za neometano i stalno odvijanje
svih funkcija informacijskoga sustava. Izgradnjom sustava treba osigurati stalan i
pouzdan proces prikupljanja podataka, pohranjivanja podataka na odgovarajuće
elektroničke medije, obradu podataka u informacije, pohranjivanje rezultata obra-
de te njihovo dostavljanje korisnicima. Kao što je vidljivo iz tablice 2.2., tipični načini
ugroze sigurnosti informacijskih sustava su nepažnja, nemar, neznanje, nestruč-
nost, odnosno, požar, prašina, prljavština, neprimjereno održavanje strojnih kom-
ponenti, oštećenje dijelova opreme (primjerice, oštećenje magnetskog diska na
kojemu su pohranjeni svi podaci), nestanak električne energije za vrijeme obrade,
neovlaštene transakcije, krađa (‘curenje’) podataka, brisanje podataka, iskrivljava-
nje podataka itd. Protumjere su organizacija mjera fizičke sigurnosti, angažiranje
čuvarske službe, kontrola fizičkoga pristupa opremi, redovita izrada sigurnosnih
kopija (‘back-up’) i neke organizacijske mjere.
Zahtjev raspoloživosti (dostupnosti) nalaže da pristup podacima, informaci-
jama i obradama u sustavu mora biti omogućen svim osposobljenim korisnicima,
ali prema precizno utvrđenim ovlaštenjima. Oblikovanjem sustava nužno je točno
i nedvosmisleno utvrditi koje osobe smiju obavljati transakcije, tko ima pristup i
samo uvid u pojedine podatke, tko je odgovoran za održavanje podataka (brisanje,
mijenjanje, kopiranje). Da bi informacijski sustav bio siguran i pouzdan potrebno je
znati tko ima kakve ovlasti nad pojedinim dijelovima sustava. Na taj je način vrlo
jednostavno utvrditi tko što radi i tko je za koji dio posla odgovoran. Najveći dio
opisanih procedura obavljat će se automatski (tzv. ‘job log’ daje pregled svih aktiv-
nosti na sustavu i točnu identifikaciju korisnika sustava). Administrator sustava je
profesionalni informatičar koji je odgovoran za davanje ovlaštenja korisnicima, no,
potpuno je jasno da interni revizori i stručnjaci iz područja informacijske sigurnosti
moraju biti uključeni u planiranje i razradu takvih postupaka.
Zahtjev tajnosti se odnosi na pojedinačne i privatne podatke koji smiju biti do-
stupni isključivo ovlaštenim korisnicima. Pri tome treba razlikovati tajne, povjerljive
podatke od privatnih. Podaci i informacije koje se smatraju tajnima i povjerljivima
treba podvrgnuti posebnome režimu zaštite i staviti na raspolaganje samo usko-
57
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Slika 2.2. prikazuje razliku među pojmovima informacijska sigurnost i cyber si-
gurnost.
58
2. Osnovna obilježja informacijske sigurnosti i cyber sigurnosti
38
Chiesa, R., Ducci, S, Chiappi, S. (2004): Hacker Profiling Project, http://www.infosectoday.com/Artic-
les/Hackers_Profiling_Project.htm.
59
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
radom u zakonitoj sigurnosnoj industriji. Stoga, imajući u vidu sve navedene pri-
stupe predlažemo razradu holističkoga modela upravljanja informacijskom
i cyber sigurnosti u kojemu je i riječ u ovoj knjizi.
Kontrolna pitanja:
1. Objasnite pojam informacijskoga sustava i njegove najvažnije sastavnice.
2. Navedite nekoliko primjera upotrebe informacijske i digitalne tehnologije u funkcio-
niranju informacijskih sustava.
3. Navedite i primjerima objasnite osnovne funkcije informacijskoga sustava.
4. Objasnite odnos pojmova sigurnost informacijskih sustava, informatičke kontrole,
informatički rizici i revizija informacijskih sustava. Navedite nekoliko primjera.
5. Objasnite obilježja rizika primjene digitalne tehnologije.
6. Navedite nekoliko primjera negativnih utjecaja sigurnosnih incidenata na poslova-
nje.
7. Koje su najvažnije cyber prijetnje danas? Objasnite izazove okruženja cyber sigurno-
sti i navedite nekoliko primjera.
8. Objasnite pojam sigurnosti informacijskih sustava.
9. Objasnite pojam cyber sigurnosti.
10. Koji su najvažniji parametri sigurnosti informacijskoga sustava? Objasnite i navedite
primjere.
11. Objasnite zašto je važno osmišljavati zaštitne kontrolne mjere u području sigurnosti
informacijskih sustava. Navedite nekoliko primjera.
60
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
61
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
62
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
63
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
64
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
65
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Pitanja za raspravu:
Zašto je došlo do prekida rada informacijskoga sustava?
Kako se prekid mogao spriječiti?
Zašto je ovaj informatički incident negativno utjecao na poslovanje?
Kako su se mogle ublažiti njegove posljedice?
Koje kontrolne mjere bi predložili upravi ove kompanije?
Kao što je to nažalost uobičajeno, i u ovoj studiji slučaja imamo primjer lošega
upravljanja različitim vrstama informatičkih rizika. ComAir nije imao razvijen sustav
66
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
67
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Pitanja za raspravu:
Zašto je došlo do krađe podataka i povjerljivoga sadržaja?
Koju poslovnu štetu je kompanija pretrpjela?
Koga smatrate odgovornim za incident i nastalu štetu?
Koje disciplinske mjere bi trebalo poduzeti u ovoj situaciji?
Što bi trebalo učiniti da se ovakav ili sličan incident ne dogodi ili da njegov učinak
bude blaži?
68
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
Pitanja za raspravu:
Što je bilo uzrokom ovoga sigurnosnog incidenta?
Navedite još nekoliko primjera sličnih sigurnosnih incidenata u kojima se koristi
suvremena tehnologija?
Koje kontrolne mjere biste predložili za njihovo sprječavanje ili ublažavanje po-
sljedica?
Čak i površna analiza slučajeva 3.2. i 3.3., ali i ranijih primjera cyber napada (Tar-
get, Nacionalna banka Bangladeša i ostali) ukazuju da su cyber prijetnje najčešće
pomno planirane i usmjerene ostvarenju točno određenog cilja odnosno da imaju
pomno planiran ‘životni ciklus’ koji se sastoji od sljedećih faza:
• ‘njuškanje’, ‘izviđanje’, analiza ranjivosti
• istraživanja uočene ranjivosti i priprema probnog napada
• probni cyber napad
• analiza učinka napada, ‘učenje’ o kontrolama koje ga trebaju otkriti i spriječiti
• ‘dorada’ cyber napada
• sljedeći probni napadi
• veći napadi usmjereni na počinjenje štete.
Često se informatički dio poslovanja neopravdano smatra odvojenom poslovnom
funkcijom, pa samim time i samostalnim kontrolnim okruženjem. Pitanje upravlja-
nja cyber (informatičkim) rizicima nije samo ‘tehnološki’ problem, ili problem ko-
69
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
39
Panian, Ž., Spremić, M. (2007.): Korporativno upravljanje i revizija informacijskih sustava, Zgombić i
partneri, Zagreb.
70
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
71
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Početni, ponekad i najteži dio plana upravljanja informatičkim rizicima jest njihova
identifikacija i klasifikacija. Ta se aktivnost ne odnosi samo na formalan popis svih
informatičkih rizika, nego i pregled prijetnji, slabosti sustava, očekivanih negativnih
učinaka, klasifikaciju prema unaprijed utvrđenim korporativnim pravilima, katego-
rizaciju uzroka i okidača događajima, određivanje vjerojatnosti nastanka i dodjelu
odgovornosti za rizik (‘vlasnik rizika’).
Osnovni cilj identifikacije svih informatičkih rizika jest procjena njihova utjecaja na
poslovanje i klasifikacija prema kritičnosti i vjerojatnosti nastanka odnosno uče-
stalosti (frekvencije) pojavljivanja. Stoga, većina tih rizika spada među poslovne od-
nosno upravljačke rizike koji „pogađaju“ različite razine hijerarhije poslovanja. Da
bi se rizicima kvalitetno upravljalo, nužno je razviti mehanizme stalnoga praćenja
izloženosti poslovanja svim vrstama rizika i njihove ključne pokazatelje. U tome
slučaju, ako se nekim nominalno operativnim rizicima ili rizicima nižega prioriteta i
razine kritičnosti neprimjereno upravlja, oni vrlo brzo mogu „preskočiti“ hijerarhij-
ske stepenice i uzrokovati štete i gubitke.
Proces određivanja informatičkih rizika započinje s definiranjem njihova djelokru-
ga odnosno granica i dijelova informacijskoga sustava. U tome je koraku važno
prikupiti što više podataka o informacijskome sustavu čije bi rizike korištenja tre-
bali odrediti. Sukladno tome potrebno je prikupiti razne rutinske (hardver, softver,
podaci, mreža, povezanost dijelova sustava, zaposlenici koji koriste i održavaju
sustav, misija, vizija sustava, strateška važnost sustava za organizaciju, korisnici)
ili dodatne (koje funkcije i razine funkcionalnosti sustav treba omogućiti, sigurno-
sna arhitektura sustava, tijek informacija, način obrade podataka, menadžerske
kontrole, ručne i automatizirane kontrole, fizička i logička sigurnost itd.) podatke o
cjelokupnome informatičkom okruženju. Tehnike kojima se stručnjaci (obično revi-
72
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
zori informacijskoga sustava) pri tome služe najčešće su ankete, upitnici, razgovori
s ključnim korisnicima i menadžmentom, pregled dokumentacije i opažanje rada
sustava.
Nakon što smo stekli dobar uvid u način rada sustava, njegove granice i zahtjeve
koji se pred njega postavljaju, potrebno je odrediti ključne varijable funkcije rizika
(imovina, prijetnje, ranjivosti).
Imovina je sve što tvrtka posjeduje i što za nju ima neku poslovnu vrijednost. Imo-
vina poslovnog informacijskog sustava predstavlja poslovnu vrijednost njegovih
sastavnih dijelova, a može biti opipljiva i neopipljiva. Za neke od njih (primjerice,
hardver) lako je odrediti uporabnu i poslovnu vrijednost, dok je za ostalu, osobito
„neopipljivu“ imovinu poput softvera ili podataka teže procijeniti stvarnu vrijed-
nost odnosno potencijalni gubitak ili štetu.
Prijetnju se definira kao mogućnost ili namjeru neke osobe da poduzme akcije
koje nisu u skladu s ciljevima organizacije. Izvori prijetnji mogu biti:
• prirodni (prirodne katastrofe, potresi, poplave i slično)
• ljudske pogreške odnosno čimbenici unutar poslovne organizacije (pri-
jetnje koje nastaju namjernim ili slučajnim pogreškama koje rade ljudi, naj-
češće nezadovoljni zaposlenici organizacije. Tipični primjeri su neovlaštena
uporaba resursa poslovnih informacijskih sustava, ali i zaraza računalnim vi-
rusima ili slučajno brisanje važnih podataka)
• slučajan događaj ili nenamjerna aktivnost predstavlja aktivnost kojom
su se slučajno ‘pokrenuli’ događaji koji mogu uzrokovati slabost sustava. To
može biti bilo kakva nehotična aktivnost korisnika (primjerice, brisanje važnih
podataka, promjena svojstava sustava, pogreške u radu, upadi u sustav bez
namjere počinjenja šteta, nepridržavanje obveza itd.). Iako se radi o nena-
mjernim, slučajnim ili nehotičnim pogreškama one mogu znatno ugroziti rad
sustava i izložiti ga riziku. U ovu kategoriju spadaju i razne prirodne katastrofe
(požari, poplave, oluje i slično) na koje nemamo previše utjecaja, ali barem
možemo predvidjeti njihove štete i poduzeti odgovarajuće mjere koje će ih
spriječiti
• namjerno počinjenje štete ili ugroza rada informacijskoga sustava –
namjerni napadi na imovinu sustava, napadi računalnim virusima s ciljem po-
činjenja izravne štete ili zastoja rada, napadi s ciljem neovlaštenoga upada u
73
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
74
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
Utjecaj koji takav događaj može imati na poslovanje kompanije mjeri se „veličinom“
štete koja se može dogoditi, pa je vrlo važno odrediti „težinu“ i učestalost (fre-
kvenciju) pojavljivanja informatičkih rizika. Da bi se utvrdila vjerojatnost po-
jave takvog mogućeg neželjenog događaja, potrebno je sustavno analizirati sve pri-
jetnje koje proizlaze iz korištenja informacijskih sustava i informacijske tehnologije
(ukupni rizik), dovesti ih u vezu s potencijalnim ranjivostima (slabostima) sustava,
odrediti u kojoj se mjeri taj rizik može tolerirati te odrediti kontrole kojima će se
takve slabosti ublažiti ili svesti na prihvatljivu razinu.
Delti Air Lines urušio se informatički sustav, a zatim i cijena dionice
Tipičan primjer kvalitativnih mjera mogu biti kritična, visoka, srednja i niska
razina rizika. Ako je primjerice, informatički rizik procijenjen na kritičnu razinu,
to znači da je neželjeni događaj vrlo vjerojatan (odnosno da je ranjivost sustava
prilično velika jer ne postoje kontrole koje bi spriječile njegov nastanak ili ublažile
razmjere štete) i da može iznimno negativno utjecati na poslovanje (mogući velik iz-
ravan financijski gubitak). U tome slučaju organizacijskim bi mjerama trebalo propi-
sati obvezu upravljanja tim rizicima od strane najvišega menadžmenta kompanije.
Nakon utvrđivanja izvora prijetnji, slijedi procjena vjerojatnosti nastanka i
izračunavanje ‘ozbiljnosti’ neželjenih događaja (procjena potencijalnoga gu-
bitka u slučaju nastanka neželjenoga događaja) i razrada scenarija informatičkih
rizika, koji je prikazan tablicom 3.2. Temeljem vjerojatnosti, učestalosti nastanka i
procjene utjecaja rizika na poslovanje (engl. Business impact analysis – BIA) odre-
đuju se prioriteti i utvrđuje način upravljanja rizicima.
Primjer
Potencijalni ‘Ozbiljnost’
scenarija Objašnjenje potencijalne
gubitak neželjenoga
informatičkoga štete
(BIA) događaja
rizika
Ovlašteni Korisnici imaju pristup
korisnici izvode podacima, mogu pregledavati
100.000 kn I
nedopuštene i i mijenjati važne podatke,
štetne aktivnosti manipulirati radom sustava
Prekid rada sustava može
nastati radi pogrešne opreme,
pogrešaka u aplikacijama ili
Prekid rada
podacima, a može uzrokovati 500.000 kn I
sustava i servisa
prekid obavljanja kritičnih
poslovnih procesa i gubitak
važnih podataka
Neotkrivena pogrešna ili
Nepotpuna nepotpuna obrada poslovnih
obrada poslovnih transakcija može utjecati na 130.000 kn I
transakcija financijske izvještaje i smanjiti
kvalitetu odlučivanja
Projekti nisu dovršeni na
Neuspješna
vrijeme, unutar predviđenoga
provedba 300.000 kn I
budžeta i nemaju sve unaprijed
projekata
dogovorene funkcionalnosti
Krađa računala i opreme na koji-
Krađa osjetljive ili
ma se nalaze povjerljivi i osjetljivi 25.000 kn II
kritične imovine
podaci
77
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Pitanja za raspravu:
Smatrate li iskazani gubitak realnim?
Bi li rezultat procjene bio isti (sličan) da su se koristile kvalitativne mjere procjene?
Predložite neku drugu kvantitativnu metodu procjene štete? Kako biste upravi
objasnili da je ta metoda bolja (lošija)?
78
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
Tablicom 3.1. prikazan je primjer procjene razine informatičkih rizika s ciljem utvr-
đivanja strategija odgovora na njihovo djelovanje. Tipični scenariji upravljanja
informatičkim rizicima (strategije odgovora) su:
• prihvaćanje rizika – organizacija je upoznata s intenzitetom rizika, stalno
ga nadzire i, u skladu s korporativnim pravilima (prije ključnim pokazatelji-
ma rizika), procjenjuje njegov utjecaj na poslovanje i poslovne procese. Kada,
prema korporativnim pravilima, razina utjecaja rizika na poslovanje postane
neprihvatljiva, poduzimaju se mjere smanjenja rizika
• smanjivanje intenziteta rizika – organizacija poduzima odgovarajuće ak-
tivnosti kojima se smanjuje utjecaj rizika na poslovanje (‘ozbiljnost’ rizika) ili
se smanjuje vjerojatnost njegova nastanka (ranjivost sustava). U oba slučaja
ključno je implementirati ciljane kontrole kako bi se intenzitet rizika smanjio
• izbjegavanje rizika – u skladu s korporativnim pravilima, organizacija potpu-
no ili djelomično izbjegava rizik
• podjela rizika – organizacija preusmjerava (transferira) rizik na neku drugu
ili treću stranu (primjerice, kupuje policu osiguranja, upravljanje rizikom pod
komercijalnim uvjetima unajmljuje od specijalizirane kompanije, stvara part-
nerstva s drugim kompanijama, što je osobito čest slučaj kod upravljanja kon-
tinuitetom poslovanja).
Ovisno o rezultatima procjene utjecaja na poslovanje, razvijaju se scenariji uprav-
ljanja rizicima. Primjerice, rizik koji je vrlo vjerojatan (jer učinkovite kontrole ne po-
stoje), a potencijalno kritično utječe na poslovanje zahtijeva promptnu reakciju naj-
viših razina menadžmenta (strategija smanjivanja intenziteta rizika), dok u slučaju
rizika za kojega znamo, kojega smo odredili (identificirali) i pratimo njegov utjecaj
na poslovanje, nikakva akcija nije potrebna, nego samo korporativna procedura
kojom se određuje tko je izravno odgovoran za stalno praćenje pokazatelja toga
rizika i izvještavanje viših razina menadžmenta (strategija prihvaćanja rizika i stal-
noga praćenja njegove razine).
Scenariji upravljanja rizicima mahom se odnose na određivanje odgovarajućih vr-
sta informatičkih kontrola odnosno ručnih, automatskih ili poluautomatskih kon-
trola informacijskoga sustava. Slika 3.2. prikazuje podjelu kontrola obzirom na
objekt kontrole (opće kontrole i aplikacijske kontrole), način djelovanja (preventiv-
ne, detektivne i korektivne) i hijerarhijsku poziciju na koju se odnosi (korporativ-
ne kontrole, upravljačke kontrole i operativne kontrole). Informatičke kontrole su,
naravno, vrlo važna tema u području upravljanja informatičkim rizicima i detaljno
će se obraditi u sljedećem poglavlju knjige.
79
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Korektivne
kontrole
Detektivne
kontrole
kontrole
Preventivne
kontrole
Upravljačke
kontrole
Operativne
kontrole
Potenc.
Uzrok / Opis Utjecaj - Vjeroj. Strat. Odgov.
Rizik gubitak Kontrola
rizika ozbiljnost nast. odgovora osoba
(BIA)
Može nastati
I – kritičan, Trenutna - CobiT
radi raznih
Prekid prekid akcija DS4
vanjskih utje- 12 – 17 500.000
rada poslovanja, – sma- - ITIL BCM XY
caja, pogreša- % kn
sustava gubitak njivanje - ISO
ka u aplikacija-
podataka intenziteta 27001
ma i/ili opremi
80
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
81
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Pitanja za raspravu:
Kako biste pomoću ovoga modela izračunali razinu nekoga rizika?
Da li bi razina rizika bila veća / manja da se koristio neki drugi model i način
izračuna?
Komentirajte sljedeće nužne korake nakon što se procijenila razina rizika.
82
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
83
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
84
3. Upravljanje rizicima primjene informacijske tehnologije u poslovanju
Kontrolna pitanja:
1. Objasnite pojam rizika. Objasnite što su informatički rizici i navedite barem dva
primjera. Objasnite zašto te scenarije smatrate rizičnima po poslovanje.
2. Objasnite koje varijable utječu na razinu rizika.
3. Što je upravljanje rizicima? Objasnite i komentirajte.
4. Objasnite pojam prihvatljive razine rizika i navedite nekoliko primjera.
5. Što je plan upravljanja informatičkim rizicima?
6. Navedite i primjerom objasnite vrste informatičkih rizika.
7. Što je imovina informacijskih sustava? Navedite nekoliko primjera.
8. Što su prijetnje informacijskim sustavima? Navedite nekoliko primjera i objasnite
radi čega ih smatramo rizičnim.
9. Objasnite pojam ranjivosti informacijskih sustava i uz nekoliko primjera objasnite
kako oni utječu na razinu informatičkih rizika.
10. Objasnite na koji se način upravlja informatičkim rizicima. Što je to procjena razine
informatičkih rizika? Navedite nekoliko primjera takve procjene.
11. Kojim metodama se služimo pri procjeni razine (intenziteta) informatičkih rizika?
Navedite nekoliko primjera i objasnite ih.
12. Koje su najčešće strategije odgovora na rizike? Objasnite ih na nekoliko primjera.
13. Komentirajte prikazani model korporativnog upravljanja informatičkim rizicima.
85
4. Kontrole rada informacijskoga sustava
87
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
89
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
90
4. Kontrole rada informacijskoga sustava
Pri tome se upotrebljavaju različiti alati koji služe za kriptiranje podataka, autenti-
fikaciju korisnika, detekciju napada, ispitivanje stabilnosti i sigurnosti računalnih
sustava i mreža, zaštitu od virusa, zaštitu prijenosa podataka, zaštitna pravila za
pravo pristupa podacima i resursima.
Tehnološke kontrole predstavljaju kontrole mrežne infrastrukture, podataka i
opreme, alata i algoritama koje su, najčešće u vidu automatskih kontrola, ugrađene
u pojedine sastavnice informacijskoga sustava s ciljem nadzora njihova rada.
Obzirom na razine upravljanja razlikujemo sljedeće vrste informatičkih kontrola:
• Korporativne (strateške) kontrole – informatičke kontrole na najvišoj
razini upravljanja koje čine sastavni dio sustava internih kontrola poslova-
nja, a odnose se na kontrole provedbe strategije informacijskoga sustava,
kontrole upravljanja informatikom, kontrole prekida ili otežanog odvijanja
kritičnih poslovnih procesa, kontrole procesa financijskoga izvještavanja,
kontrole provedbe sigurnosne politike informacijskih sustava, kontrole vo-
đenja informatičkih projekata, kontrole procesa upravljanja rizicima inten-
zivne primjene informacijskih sustava, kontrole planova ulaganja u infor-
matiku, ustrojavanje i funkcioniranje ključnih tijela zaduženih za upravljanje
informatikom (Odbor za informatiku, engl. IT Steering Committee), kontrole
kvalitete informacijskih sustava i aktivnosti sustavnog provođenja interne
kontrole i revizije informacijskih sustava, kontrole poštivanja zakonskih ob-
veza iz područja informatike itd.
• Upravljačke i procesne (opće) kontrole – kontrole koje se odnose na raz-
voj i kupnju poslovnih aplikacija, kontrole instalacije aplikacija, kontrole nad
podacima koje te aplikacije i pripadajući poslovni procesi koriste, kontrole
promjena softvera, kontrole testiranja softvera, kontrole pristupa programi-
ma i podacima, sigurnosne kontrole, kontrole kontinuiteta poslovanja (engl.
business continuity), kontrole oporavka nakon prekida rada (engl. disaster re-
covery), automatske ili ručne kontrole koje su ‘ugrađene’ u poslovne procese
i koje omogućuju njihovu točnu, pouzdanu i neometanu provedbu, kontrole
koje omogućuju učinkovito i korektno funkcioniranje poslovanja u informatič-
kome okruženju, kontrole ispravnosti transakcija, kontrole prijenosa podata-
ka, kontrole kvalitete podataka, kontrole ključne opreme i sve ostale kontrole
koje podržavaju učinkovite kontrole nad aplikacijama koje su temelj odvijanja
poslovnih procesa.
• Aplikacijske kontrole i operativne kontrole informatičkih servisa
(usluga) – odnose se na razne kontrole rada poslovnih aplikacija, kontrole pro-
vedbe informatičkih aktivnosti i operacija (jesu li transakcije točne, potpune,
cjelovite, podjela dužnosti i kontrola, autorizacija itd.) i kontrole informatičkih
92
4. Kontrole rada informacijskoga sustava
93
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Slika 4.1. Vrste informatičkih kontrola obzirom na hijerarhijsku razinu njihova dje-
lovanja
Standardi i
praksa Upravljanje na
Upravljačke IT organizacijskoj ili
kontrole funkcijskoj razini (engl.
Management)
Procesne kontrole i
kontrole IT okruženja
Aplikativne kontrole,
kontrole pristupa
Slika 4.1. prikazuje informatičke kontrole prema hijerarhijskoj podjeli. Na vrhu orga-
nizacijske piramide očekivano se nalaze informatičke kontrole na korporativnoj
(strateškoj) razini koje se odnose na najvažnije politike, pravila i metodologije koje
pomažu u vođenju poslovanja i konkurentskom nadmetanju. Informatičke kontro-
le na najvišoj razini upravljanja mahom su organizacijske, preventivne ili detektivne
kontrole koje imaju za cilj stvoriti kontrolni okvir (pravila, politike, metodologije) koji
će otkriti i spriječiti neželjene događaje. To se postiže razradom različitih organiza-
cijskih zaštitnih mjera koje će se obvezno primjenjivati diljem kompanije i koje će
operativno rezultirati određenim tehnološkim (unos sigurnosnih postavki na raznim
objektima sustava), fizičkim kontrolama (fizičke zapreke pristupa), automatskim
(‘ugradnja’ organizacijskih pravila i politika u automatizam rada aplikacija i ostaloga
softvera), aplikacijskim, općim i svim ostalim informatičkim kontrolama.
Tipični primjeri kontrola na korporativnoj (strateškoj) razini su:
• kontrole vezane za korporativno upravljanje informatikom (politike,
pravila i metodologije vezane za planiranje, organiziranje, vođenje i kontro-
94
4. Kontrole rada informacijskoga sustava
95
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
96
4. Kontrole rada informacijskoga sustava
97
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
40
Određeni dijelovi teksta preuzeti su ili prerađeni prema Panian, Ž., Spremić, M. (2007.): Korporativ-
no upravljanje i revizija informacijskih sustava, Zgombić i partneri, Zagreb.
98
4. Kontrole rada informacijskoga sustava
99
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
100
4. Kontrole rada informacijskoga sustava
znanja, iz nemara) što, dakako, može imati ozbiljnih negativnih posljedica po tvrtku.
Osim toga, sama primjena novih tehnologija stvara nove vrste rizika poput kršenja
ljudskih prava, privatnosti pojedinaca i društvenih skupina i moralnih normi te tzv.
kibernetičkoga terorizma, što sve navodi na potrebu brzoga prilagođavanja nacio-
nalne i, posebice, međunarodne pravne regulative kako bi se ti rizici sankcionirali i
regulirali. Tvrtke se takvim promjenama moraju brzo prilagođavati, zbog čega kon-
trole sukladnosti informacijskih procesa i sustava dobivaju na važnosti, ali istodob-
no postaju i sve delikatnijima i složenijima.
Kontrola rada svih dijelova informacijskoga sustava (posebice hardvera i
sistemskog softvera); učinkovitost hardvera ipak se ne bi trebala izravno provje-
ravati, nego osloniti na jamstva, ugled proizvođača i mjerljive parametre kvalitete
(broj kvarova u jedinici vremena, opća pouzdanost, statistika pogrešaka i mogućih
ispada, mogućnost da uređaji sami prepoznaju pogrešku i spriječe kvar i slično). Si-
stemski softver je osnovni dio svakoga velikog računala i pri njegovoj kupovini tre-
ba obratiti pozornost posjeduje li odgovarajuće certifikate o kvaliteti i pouzdanosti.
Operacijski sustavi su osnova svakoga računala i bez njih je rad na računalu nemo-
guć. Osim toga, treba provjeriti kompatibilnost aplikativnoga, komunikacijskoga i
sistemskoga softvera. Ove aktivnosti spadaju pod dužnosti informatičkoga oso-
blja, a revizori informacijskih sustava ih trebaju nadzirati i uključiti se po potrebi.
Kontrola zaštite i pristupa: Ova se opća kontrola odnosi na fizičku zaštitu opre-
me, softvera i podataka i otuđenje imovine ili podataka. Ovo su tehnički vrlo jed-
nostavne kontrole, pa ćemo recimo znatno podići razinu sigurnosti sustava tako
da za računalni hardver izdvojimo posebnu prostoriju (klimatiziranu, zaštićenu od
prašine, poplave, krađe i slično) u koju mogu ući samo ovlašteni djelatnici.
Kontrola rada i podataka: Opća kontrola koja omogućuje da sustav radi nesme-
tano i pouzdano. Kod kontrole softvera konceptualno razlikujemo ove pojmove:
logičke pogreške i sintaksne (fizičke) pogreške. Pri programiranju sintaksne
se pogreške vrlo jednostavno otklanjaju jer ih otkrivaju programi prevoditelji čiji je
zadatak prevesti kodirani sadržaj u strojno čitljiv oblik. Logičke su pogreške sintak-
sno ispravne, međutim, došlo je do pogreške pri projektiranju sustava, pogreške u
algoritmu programa ili se jednostavno zanemarila ili zaboravila neka važna činjeni-
ca. Tipična logička pogreška jest slučaj programa koji sami prodaju portfelj dionica
kada im vrijednost padne za 5 %. Takve je pogreške vrlo teško otkriti, potrebna je
duboka analiza algoritma i dobra prevencija. Ipak, ovakve se pogreške vrlo često
otkrivaju tek u praksi odnosno produkciji, kada može nastati ogromna šteta.
Kontrola rada softvera metodološki se sastoji od sljedećih skupina:
1. kontrola obuhvata podataka
2. kontrola valjanosti podataka
101
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
3. kontrola obrade
4. kontrola outputa
5. kontrola pogrešaka.
Kontrola obuhvata podataka mora osigurati da su svi poslovni događaji
proknjiženi u sustavu, da se poslovni događaji proknjiže samo jedanput i da
su svi neproknjiženi poslovni događaji identificirani, prekontrolirani, ispravljeni
i ponovno uneseni u sustav. Ova kontrola se prije svega odnosi na pojedine
ciljeve interne kontrole (valjanost, potpunost i ocjena). Pri tome, revizorima su
na raspologanju kvantitativne statističke metode kontrole ili tehnike upravlja-
nja iznimkama. Svaki informacijski sustav treba imati odgovarajući repozitorij ili
dnevnik poslovnih događaja u kojemu se nalazi detaljna evidencija o svakome
poslovnom događaju.
Kontrola valjanosti podataka odnosi se prije svega na procjenu kao cilj interne
kontrole. Uobičajene kontrole valjanosti podataka su test ograničenja (prelazi li
upisani broj neku unaprijed određenu vrijednost), test raspona valjanosti, test re-
doslijeda sadržaja, test sadržaja polja, test valjanosti, test predznaka itd. Obično se
operativno provode pisanjem posebnih potprograma koji vrše nabrojene vrste te-
stova i provjera i, naravno, propuštaju samo određenu vrijednost. Primjerice, kom-
panija Giant Food trebala je dioničarima isplatiti dividendu od 25 centi. Operater
je umjesto tog iznosa unio vrijednost od 2,50 USD pa je time kompanija pretrpjela
štetu od više od 11 milijuna USD. A, samo je trebalo postaviti bolju kontrolu unosa
podataka u informacijski sustav, odnosno dovoljno je bilo napisati vrlo jednosta-
van, trivijalan program koji bi provjerio broj koji je upisao operater unosa podataka
i ‘propustio’ dalje samo traženih 25 centi.
Kontrola obrade osigurava točnost obrade podataka i uglavnom se oslanja na
već opisane opće kontrole. Kontrola izlaznih vrijednosti temelji se prije svega
na prevenciji prikaza pojedinih rezultata obrade neovlaštenim osobama i u sugla-
sju je s kontrolama zaštite i pristupa podacima ili rezultatima obrade. Kontrole
pogrešaka su nužne jer pogreške mogu nastati u bilo kojemu dijelu informacijsko-
ga sustava, pa ih je vrlo važno otkriti nekim već opisanim kontrolama ili metodama.
Nakon identifikacije pogreške najvažnije je naravno njeno ispravljanje, sanacija na-
stale štete i popravak mehanizama kontrole.
Upravljačke informatičke kontrole se odnose na:
• kontrole u postupku razvoja, uspostavljanja i održavanja informacij-
skoga sustava (kontrole metodologije razvoja softvera, kontrole funkcioni-
ranja informacijskoga sustava, kontrole promjena aplikacija, kontrole isporu-
ke aplikacija)
102
4. Kontrole rada informacijskoga sustava
103
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
41
Preuzeto iz Panian, Spremić (2007.): Korporativno upravljanje i revizija informacijskih sustava,
Zgombić i partneri, Zagreb.
104
4. Kontrole rada informacijskoga sustava
105
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Kontrole podataka42
42
Ibid.
43
Moore, Fred:. “Building Practical Data Protection Strategies”. http://www.horison.com, 08/2006.
106
4. Kontrole rada informacijskoga sustava
Zadaci
administratora
podataka i Izvršne upravljačke kontrole
administratora
baze podataka
Definiranje, · prikladnosti primijenjenoga modela (sheme) podataka
kreiranje, · utvrđenih prioriteta pristupa pojedinačnih ili skupina
redefiniranje korisnika podacima
i arhiviranje · ispravnosti definicije podataka
podataka · uvjeta u kojima treba izvršiti redefiniciju podataka i/ili
modela podataka
· postupaka trajnog pohranjivanja odnosno arhiviranja
podataka
· cjelokupnoga životnog ciklusa podataka
Omogućavanje · izvršenog izbora softverskih alata za rad s bazom podataka
uporabe baze · kvalitete i pravodobnosti informiranja korisnika o mogućim
podataka, promjenama načinima uporabe baze podataka
informiranje i · kvalitete usluga pružanih korisnicima prije, za vrijeme i
pružanje usluga nakon korištenja baze podataka
korisnicima
107
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Zadaci
administratora
podataka i Izvršne upravljačke kontrole
administratora
baze podataka
Održavanje · primjerenosti definicije baze podataka
cjelovitosti · postojanja baze podataka (materijalna kontrola)
(integriteta) baze · sheme ovlaštenja za pristup bazi podataka
podataka · postupaka osvježavanja (ažuriranja) sadržaja baze podataka
· načina razrješavanja potencijalnih i stvarnih prijepora u
korisničkim zahtjevima za pristup bazi podataka
· kvalitete sadržaja baze podataka
Briga o isprav- · poduzimanih postupaka i mjera ispravnosti sadržaja baze
nosti (vjero- podataka
dostojnosti) · postojanja/nepostojanja i primjerenosti nadzora nad
sadržaja i funkci- okruženjem baze podataka
oniranju sustava · pridržavanja discipline (ovlaštenja, prioriteta, učestalosti)
baze podataka
pristupa bazi podataka
· postojanja i kvalitete evidencije korištenja baze podataka
· postojanja i kvalitete radne dokumentacije potrebne pri
korištenju baze podataka
· postojanje statističke dokumentacije o raspoloživosti i
korištenju baze podataka
108
4. Kontrole rada informacijskoga sustava
44
ITGI (2007), CobiT 4.1 – Framework, Control Objectives, Management Guidlines and Maturiy Mo-
dels, IT Governance Institute, Rolling Meadows, SAD.
109
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Izvorno (CobiT v1 iz 1996.) nastao kao alat za podršku provedbe revizije financijskih
izvještaja, CobiT se vrlo brzo razvijao i pratio razvoj uloge informatike u poslovanju
(CobiT v2 iz 2000. već je u svjetskim razmjerima postao najkorišteniji okvir kontrole
informacijskih sustava, verzija 3 iz 2004. godine je predstavljala integralni okvir
upravljanja informatikom, a trenutno važeća verzija – CobiT 5 predstavlja najvažniji
okvir provedbe koncepta korporativnoga upravljanja informatikom), koja uključuje
i neke ranije izvedene standarde (Val IT i Risk IT, slika 4.2.).
Slika 4.2.45 prikazuje razvoj CobiT-a kao svjetski prihvaćene krovne metodologije
korporativnoga upravljanja informatikom koja u trenutno važećoj verziji 5 uključuje
i neke ranije izvedene standarde (Val IT, Risk IT).
Time trenutno važeća CobiT 5 verzija iz 2012. godine služi kao nezaobilazan okvir
za upravljanje informatikom na korporativnoj razini i svjetski prihvaćena metodo-
logija kojom se propisuju procesi (zahtjevi) putem kojih se informacijski sustavi
strateški povezuju s prioritetima poslovanja. Procesno je usmjeren i obuhvaća sve
komponente (područja) korporativnoga upravljanja informatikom, a osnovna mu
je funkcija ponuditi preporuke za usklađenje ciljeva poslovanja s ciljevima rada in-
formatike.
Promotrimo najvažnije značajke CobiT-a:
• CobiT je u svjetskim razmjerima najvažnija, krovna metodologija korporativ-
noga upravljanja informatikom
45
Prema ISACA (2012), COBIT 5 Implementation, an ISACA Framework, ISACA - Information System
Audit and Control Association, Rolling Meadows, IL 60008 USA.
110
4. Kontrole rada informacijskoga sustava
111
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
112
4. Kontrole rada informacijskoga sustava
46
Posljednja verzija PCI DSS standarda, kao i brojne ostale informacije i publikacije dostupni su na
mrežnom mjestu PCI Security Council-a: https://www.pcisecuritystandards.org/documents/PCI_PIN_
Security_Requirements.pdf.
113
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
114
4. Kontrole rada informacijskoga sustava
CSC 10: Sposobnost povrata podataka – čitljivost pohranjenih podataka (engl. Data
Recovery Capability)
CSC 11: Sigurne konfiguracije mrežnih uređaja poput obrambenih zidova, usmjer-
nika i sličnih (engl. Secure Configurations for Network Devices such as Firewalls, Rou-
ters, and Switches)
CSC 12: Zaštita vanjskih dijelova mreže (engl. Boundary Defense)
CSC 13: Zaštita podataka (engl. Data Protection)
CSC 14: Kontrolirani pristup sustavu uz najmanje potrebne ovlasti (engl. Controlled
Access Based on the Need to Know)
CSC 15: Kontrole bežičnog pristupa (engl. Wireless Access Control)
CSC 16: Nadzor i kontrola korisničkih računa (engl. Account Monitoring and Control)
CSC 17: Procjena sigurnosnih vještina osoblja i program edukacije (engl. Security
Skills Assessment and Appropriate Training to Fill Gaps)
CSC 18: Sigurnost aplikativnog softvera (engl. Application Software Security)
CSC 19: Upravljanje sigurnosnim incidentima (engl. Incident Response and Management)
CSC 20: Penetracijski testovi i uvježbavanje izvanrednih situacija (engl. Penetration
Tests and Red Team Exercises).
47
Ibid.
115
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
nad resursima sustava, podjela posla, kontrole obrade podataka, ulazne i izlazne
kontrole, kontrole u prijenosu sadržaja itd.
Iz navoda u prethodnome poglavlju može se vidjeti da je izvršnih upravljačkih
kontrola popriličan broj pa će ih onda, prirodno, na operativnoj razini biti još i –
geometrijskom progresijom – mnogo više. Osim toga, kontrole što se poduzimaju
na operativnoj razini usko su povezane i ovisne o svim specifičnim izvedbama,
rješenjima i procesima što se ostvaruju u svakom konkretnom informacijskome
sustavu, tako da će one u velikoj mjeri po svojoj naravi, brojnosti i načinu provedbe
varirati od sustava do sustava. Drugim riječima, neke operativne kontrole provodit
će se u svim, a neke samo u nekim informacijskim sustavima.
Iz navedenih razloga na ovome mjestu nećemo se upuštati u obrazlaganje svih
mogućih i potrebnih operativnih kontrola u svim izvedbama informacijskih susta-
va jer to, ustvari, i nije moguće. Umjesto toga, navest ćemo samo ključne skupine
operativnih kontrola nužnih u svim informacijskim sustavima, neovisno o njihovim
posebnostima. Te se skupine kontrola vezuju uz osnovne komponente svakoga
informacijskog sustava i sintetizirano su prikazane u tablici 4.4.
Komponenta
informacijskoga Operativne kontrole
sustava
· postupaka nabave, ispitivanja (testiranja), instalacije i puštanja u rad novih
strojeva, uređaja i opreme
· ispravnosti, djelotvornosti i učinkovitosti rada središnjih računala
(poslužiteljskih i drugih)
· ispravnosti, djelotvornosti i učinkovitosti rada središnjih uređaja za
pohranu podataka
· ispravnosti, djelotvornosti i učinkovitosti rada korisničkih uređaja i
opreme (stacionarnih i mobilnih terminala i ostale periferne opreme
Strojevi, uređaji i poput pisača, skenera, perifernih uređaja za pohranu podataka itd.)
oprema · ispravnosti rada ostale opreme za obradu informacija (rezači papira,
video oprema, uređaji za umnožavanje i reprodukciju itd.)
· fizičke zaštite strojeva, uređaja i opreme i prostora u kojima su instalirani
· poduzimanih mjera osiguranja strojeva, uređaja i opreme instalirane
izvan radnih prostora tvrtke
· aktivnosti vezanih uz ostvarenje plana održavanja strojeva, uređaja i opreme
· korištenja uređaja za dijagnostiku i konfiguriranje sustava
· rada opreme bez nadzora korisnika
· postupaka izolacije osjetljivih sustava
116
4. Kontrole rada informacijskoga sustava
Komponenta
informacijskoga Operativne kontrole
sustava
· postupaka nabave, ispitivanja (testiranja) i instalacije sistemskih programa
(operacijskih sustava, uslužnih i ostalih sistemskih programa (softvera)
· poštivanja odredbi licenčnih ugovora o korištenju licenciranih programa
(softvera) svih vrsta
· postupaka nabave, ispitivanja aplikacijskoga softvera (testiranja) i
instalacije aplikacijskoga softvera (programa)
Programi (softver) · postupaka razvoja aplikacijskih programa (softvera) u vlastitoj režiji
· postupaka otkrivanja možebitnih pogrešaka u razvijenim aplikacijskim
programima te njihove evidencije, analize i ispravljanja
· izdavanja dozvola za korištenje aplikacijskih programa
· pridržavanja ovlaštenja korisnika za korištenje aplikacijskih programa
· provedbe mjera zaštite od neovlaštenoga kopiranja, umnožavanja i
distribucije licenciranoga softvera
· poduzimanih mjera zaštite integriteta (cjelovitosti) podataka odnosno
informacija
· poduzimanih mjera zaštite tajnosti određenih poslovnih podataka
odnosno informacija, sukladno odredbama sigurnosne informacijske
politike
· poduzimanih mjera privatnosti podataka odnosno informacija o osobama
Podaci/ · poduzimanih mjera zaštite podataka odnosno informacija od gubitka,
informacije krađe, oštećenja ili uništenja
· provedbe postupaka klasifikacije informacija
· poduzimanih postupaka dodjele ovlaštenja za pristup pojedinim klasama
informacija
· postupaka stvaranja sigurnosnih/pričuvnih kopija podataka odnosno
informacija
· poduzimanih mjera nadzora nad okruženjem baze podataka
· poduzimanih mjera utvrđivanja i praćenja kvalitete komunikacijskih
usluga koje pruža treća strana
· uporabe informatičkih resursa i iskorištenja njihova kapaciteta
· sredstava i mjera poduzimanih radi otkrivanja, sprječavanja i oporavka od
djelovanja zloćudnoga koda te procedura upozoravanja korisnika
· pridržavanja i provedbe procedura upravljanja komunikacijskim mrežama
Komunikacije
· pridržavanja i provedbe procedura upravljanja prenosivim i uklonjivim
medijima za pohranu podataka
· pridržavanja i provedbe procedura brisanja odbacivanja i uništavanja
nepotrebnih medija za pohranu podataka odnosno informacija
· primjene postupaka zaštite sistemske dokumentacije od neovlaštenoga
pristupa
117
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Komponenta
informacijskoga Operativne kontrole
sustava
· pridržavanja i provedbe procedura zaštite fizičkih medija za pohranu
podataka tijekom njihova prijevoza izvan granica tvrtke
· primijenjenih sredstava i postupaka zaštite informacija sadržanih u
elektroničkim porukama
· primjene i provedbe procedura zaštite informacija u svim on-line
transakcijama od sprječavanja nekompletnoga prijenosa, pogrešnoga
usmjeravanja, neovlaštenoga otkrivanja i promjene te neovlaštenoga
umnožavanja i reprodukcije
Komunikacije · primjene i provedbe postupaka zaštite cjelovitosti informacija dostupnih
putem javnih sustava radi sprječavanja njihove neovlaštene promjene
· primjene i provedbe postupaka vođenja i čuvanja revizijskih zapisa
korisničkih aktivnosti, izuzetaka i sigurnosnih događaja radi možebitne
buduće istrage
· primjene i provedbe procedura zaštite opreme, revizijskih zapisa i
informacija od neovlaštenoga pristupa
· primjene i provedbe procedura bilježenja i analize zastoja i akcija
poduzetih radi ponovnoga pokretanja sustava odnosno aplikacija
· primjene postupaka pridjeljivanja ovlaštenja za korištenje informatičkih
resursa tvrtke
· aktivnosti korisnika koji nalažu ili bi mogli nalagati pokretanje postupka
utvrđivanja njihove disciplinske (stegovne) odgovornosti
· osposobljenosti korisnika za uporabu informatičkih resursa
· provedbe tečajeva osposobljavanja i uvježbavanja novih zaposlenika za
uporabu informatičke opreme i softvera tvrtke
· provedbe tečajeva osposobljavanja i uvježbavanja svih tangiranih
zaposlenika za uporabu novonabavljene informatičke opreme i softvera
Ljudski potencijali · pridržavanja/nepridržavanja odgovornosti korisnika prilikom prekida ili
promjene zaposlenja
· količine, vrste i funkcionalnosti imovine organizacije koju korisnici
vraćaju nakon prekida radnog odnosa te ugovora o suradnji s vanjskim
suradnicima i trećim stranama
· provedbe postupaka ukidanja prava pristupa zaposlenika, ugovornih
suradnika i korisnika treće strane nakon prekida radnog odnosa odnosno
ugovora o suradnji
· kvalitete usluga pružanih korisnicima
· aktivnosti jedinice korisničke podrške
118
4. Kontrole rada informacijskoga sustava
Komponenta
informacijskoga Operativne kontrole
sustava
· pridržavanja organizacijskih jedinica i pojedinaca njihovih prava i obveza
glede korištenja informatičkih resursa tvrtke
· poduzimanih mjera čiji je cilj osiguranje funkcionalne usklađenosti
(koordinacije) aktivnosti na području informacijske sigurnosti u različitim
dijelovima organizacije
· primjene i provedbe procesa ovlaštenja za rukovanje novom opremom
za obradu podataka
· pridržavanja i provedbe odradbi sporazuma o povjerljivosti ili tajnosti koji
sadržavaju organizacijske potrebe za zaštitom informacija
· pridržavanja sigurnosnih zahtjeva koji se odnose na vanjske suradnike
· provedbe sporazuma s trećim stranama o pristupu, obradi, prijenosu
ili upravljanju informacijama tvrtke ili opremi za obradu informacija,
Organizacija
dodavanju proizvoda opremi ili pružanju usluga
· provedbe mjera osiguravanja usklađenosti (sukladnosti) svih aktivnosti
informacijskoga sustava s pozitivnom zakonskom regulativom
· provedbe procedura i mjera zaštite intelektualnoga vlasništva, u
suglasnosti s pozitivnom zakonskom regulativom
· provedbe postupaka zaštite važnih organizacijskih zapisa od gubitka,
uništenja i krivotvorenja u skladu s pozitivnom zakonskom regulativom i
unutarnjim organizacijskim propisima
· provedbe mjera osiguranja sukladnosti informacijskih sustava s općim
sigurnosnim standardima
· provedbe postupaka zaštite alata za reviziju informacijskih sustava radi
sprječavanja zloporabe ili ugrožavanja
Kao što je u uvodu ovoga odjeljka spomenuto, popis kontrola navedenih u tablici
4.4. nije ni izdaleka potpun i konačan, iz razloga koji su također prethodno obrazlo-
ženi. Zato taj popis treba smatrati tek kao prikaz inicijalnoga odnosno minimalnoga
skupa kontrola koje bi svaka tvrtka trebala implementirati i provoditi na operativ-
noj razini upravljanja njenim informacijskim sustavom.
Osim toga, informatičke kontrole mogu se razvrstati i prema specifičnim područjima
koje ‘pokrivaju’ (sigurnosne kontrole, informacijske (podatkovne) kontrole,
kontrole kontinuiteta poslovanja itd.).
Također, informatičke kontrole možemo razvrstati i prema okvirima ili normama koje
se koriste pri procjeni njihove učinkovitosti i efikasnosti. Tu se već radi o specifičnim
pogledima na kontrolne mehanizme informacijskih sustava, a okviri i norme koje se
u svjetskim razmjerima najčešće pri tome koriste su CobiT, ITIL i ISO 27000 norme.
119
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Kontrolna pitanja:
1. Objasnite pojam informatičkih kontrola i navedite i objasnite nekoliko primjera.
2. Objasnite povezanost pojmova informatičke kontrole, informatički rizici, sigurnost i
revizija informacijskih sustava.
3. Zašto informatičke kontrole smatramo sustavom međusobno povezanih kompo-
nenti? Objasnite na par primjera.
4. Što je osnovna svrha informatičkih kontrola?
5. Objasnite pojam i navedite nekoliko primjera automatskih kontrola.
6. Objasnite pojmove i navedite nekoliko primjera preventivnih, detektivnih i korektiv-
nih kontrola.
7. Objasnite pojmove i navedite nekoliko primjera korporativnih, upravljački – proces-
nih i operativnih – aplikacijskih kontrola.
8. Što je sigurnosna informacijska politika i čemu služi?
9. Objasnite pojam i navedite nekoliko primjera korporativnih kontrola.
10. Objasnite pojam i navedite nekoliko primjera kontrola softvera.
11. Objasnite pojam i navedite nekoliko primjera općih informatičkih kontrola.
12. Objasnite pojam i navedite nekoliko primjera upravljačkih informatičkih kontrola.
13. Zašto je važno implementirati kontrole izgradnje i održavanja informacijskoga su-
stava?
14. Objasnite pojam i navedite nekoliko primjera kontrola podataka.
15. Što su to sigurnosne upravljačke kontrole? Navedite nekoliko okvira koji se pri tome
koriste.
16. Objasnite CobiT, ISO 27000, PCI DSS, NIST i SANS okvir sigurnosnih upravljačkih
kontrola.
17. Što su sličnosti, a što razlike među tim okvirima?
120
4. Kontrole rada informacijskoga sustava
121
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
48
Detalji o svim ovim metodama mogu se pronaći na sljedećim mrežnim stranicama: http://www.
sigurnostnainternetu.hr ili http://www.bankinfosecurity.com/articles.php?art_id=1732.
124
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
125
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
ge organizacije s kojima korisnik čak može surađivati ili imati ugovorni odnos i čiji je
prevareni korisnik i pokušavaju doći do povjerljivih podataka (broj računa i slično)
ili navesti korisnika na prijenos novca.
Skimming predstavlja umetanje nezakonite opreme u utore bankomata koja čita
i pohranjuje magnetski zapis kartice. Ti dijelovi mogu očitati podatke s korisničke
kartice (broj računa), a u kombinaciji s nezakonito postavljenom kamerom ili pri-
mjenom neke druge metode (društveni inženjering , gledanje preko ramena) pre-
varant i kriminalac može doći do pristupnih podataka (PIN, osobni identifikacijski
broj), čime mu je omogućen pristup sredstvima s računa.
Banke koje postavljaju bankomate trude se razvijati sve naprednije uređaje na koje
je sve teže provoditi ovu tehniku ili detekcijskim mjerama otkrivati zloporabe.
Društveni inženjering (engl. social engineering) se odnosi na navođenje ili mani-
puliranje osobama kako bi otkrili što je moguće više podataka o sebi. Tako priku-
pljeni podaci (ime djece, osobne preferencije i slično) se koriste u svrhu krađe on-li-
ne identiteta tih osoba i počinjenje različitih zloporaba (kupnja proizvoda i usluga,
lažni statusi na društvenim mrežama, lažno predstavljanje i slično).
Keylogers predstavljaju uređaje kojima se bilježi svaki udarac na tipkovnici. Ne-
vidljivi su za korisnika, prate i bilježe sve što korisnici upisuju preko tipkovnice, a
napredni algoritmi izdvajaju i objedinjuju tako prikupljene podatke i šalju ih krimi-
nalcima. Ti su uređaji, često u kombinaciji s zloćudnim programima, sposobni brzo
prenositi ‘uočeno’, čime prevaranti i kriminalci mogu krasti lozinke, brojeve kartica i
računa i dolaziti do ostalih povjerljivih podataka čime, nažalost, predstavljaju jedan
od najzastupljenijih načina ugrožavanja privatnosti.
Sigurno je svatko od nas barem jednom primio poruku e-pošte iz Nigerije o ‘vrlo
jednostavnom’ i ‘rutinskom’ poslu vezanom za transfer velike količine novca. ‘Je-
dino’ što je potrebno napraviti je poslati broj računa i pristupne šifre kako bi se
provela financijska transakcija. Naravno, radi se o lažnoj poruci usmjerenoj krađi
povjerljivih podataka i ‘čišćenju’ sredstava s računa. Ponekada se zna dogoditi da u
sličnim porukama prevaranti traže da naivni korisnik unaprijed plati određeni iznos
novca koji će se, tobože, refundirati po dovršetku transakcije. Opet se, naravno,
radi o lažnoj poruci s ciljem počinjenja zloporabe i krađe financijskih sredstava.
Ove se metode napada zovu i 419 Nigerian scam, jer 419. članak nigerijskoga zako-
na o cyber kriminalu upravo opisuje ovakve situacije.
126
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
127
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
128
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Prisluškivači mreže (engl. sniffers) su aplikacije ili dio hardvera koji iskorištava-
ju sigurnosne propuste u računalnoj mreži i omogućuju nadgledanje, kopiranje i
promjenu sadržaja koji se prenosi. Ti uređaji ili softveri imaju različite nazive, pac-
ket analyzer, network analyzer, protocol analyzer, wireless sniffer itd., a napadaču
omogućuju praćenje mrežnoga prometa, prikupljanje informacija o radu mrežnih
servisa, promjenu sadržaja komunikacije i slične zloporabe. Napadi pogađanjem
lozinki se odnose na uzastopno slanje velikog broja mogućih lozinki u svrhu ne-
ovlaštenoga pristupa mreži i mrežnim uslugama. Napadi grubom silom (engl.
brute force attack) nasumice isprobavaju različite lozinke, sve dok ne pronađu pra-
vu, a napad pomoću rječnika (engl. dictionary attack) za neovlašteni ulaz koristi
algoritam rječnika često korištenih izraza.
Napadi usmjereni na onemogućavanje rada su napadi uskraćivanjem usluge
(engl. Denial of Service - DoS ) se odnosi na nedopuštene aktivnosti sprječavanja ili
onemogućavanja ovlaštene uporabe računalne mreže, sustava ili programa iskori-
štavanjem njihovih resursa (procesor, memorija, propusnost mreže, prostor za smje-
štaj podataka) i raspodijeljeni napad uskraćivanjem usluge (engl. Distributed De-
nial of Service - DDoS ) kojime se koordinirano, upotrebom više računala, ponekada i
botneta, napadaju određeni resursi sustava s ciljem onemogućavanja njihova rada.
130
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
131
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
132
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
133
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
134
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
gledati, ali i uslugama koje se s tim podacima mogu raditi (prijava ili odjava ispita,
pregled položenih ispita, prosjek ocjena, ispis položenih kolegija, obavijesti kada su
ispiti, uvid u ispitne liste itd.). Bilo kakve pogrešno dodijeljene autorizacije mogle
bi prilično narušiti ispravno odvijanje poslovnih transakcija i ugroziti poslovanje
(zamislimo samo kakav bi kaos nastao kada bi studenti imali ovlast unositi ocjene ili
kada bi imali mogućnost vidjeti tuđe ocjene ili mijenjati svoje ili tuđe ocjene). U tim
slučajevima govorimo o neovlaštenoj uporabi resursa informacijskih sustava koje
za posljedicu mogu imati ozbiljnu ugrozu provedbe poslovnih procesa.
Profesori i administracija fakulteta imaju drugačije ovlasti rada u ISVU sustavu jer
mogu unositi ocjene, određivati ispitne termine, mijenjati ocjene (uz posebne do-
datne procedure kojima se obrazlaže razlog naknadne promjene ocjene), vidjeti
sve ocjene svih studenata koji su im dodijeljeni itd.
Na sličan se način u svakoj poslovnoj organizaciji moraju odrediti politike ovlasti
korisnika (organizacijska kontrola) i tehničkim kontrolama ih provesti u djelo. Pri-
mjer može biti da zaposlenik odgovoran za prodaju određene vrste proizvoda na
nekome području može dobiti pristup samo onim podacima koji se odnose na nje-
govu ili njezinu razinu odgovornosti, da zaposlenici iz radne jedinice za marketing
ne bi smjeli imati pristup podacima o plaćama zaposlenika, da bi samo određeni
zaposlenici trebali imati ovlast pokretati neke važnije obrade podataka, pratiti iz-
vještaje o poslovanju, imati mogućnost provedbe poslovnih transakcija, provjere
njihova funkcioniranja, uvida i promjene važnijih podataka itd.
Metode zaštite prijenosa podataka su vrlo važne metode i tehnike jer je prije-
nos podataka posebno osjetljivo i ‘ranjivo’ područje svakoga informacijskog susta-
va. Prijenosom podaci napuštaju zonu sigurnosti i privatnosti internoga sustava i
mogu biti dostupni na nekoj javnoj ili privatnoj mreži. Zaštita je učinkovita primje-
nom standardnih protokola komuniciranja koji imaju ugrađene mehanizme zaštite.
Ove metode često su sofisticirane i složene i zahtijevaju odvojeno promatranje, pa
će biti objašnjene u poglavljima koji slijede.
Kriptografske metode zaštite primjenjuju se za zaštitu tajnih i vrlo povjerljivih
podataka koje posjeduje svaka kompanija (recepture proizvoda, financijski rezulta-
ti, prodajni rezultati itd.). Sastoje se od postupka kriptiranja (pretvaranja izvornoga
sadržaja u tajni, primjenom odgovarajućega pravila ili algoritma) i dekriptiranja (ši-
frirana poruka se ponovno primjenom nekoga algoritma pretvara u izvorni oblik). I
ove će metode biti detaljnije objašnjene u nastavku.
136
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
49
Miles, R. E., Snow, C. C., Organizational Strategy, Structure and Process, London, McGraw-Hill,
1978.
50
Snow, C. C., Miles, R. E., Coleman, H. J., Managing the 21st Century Network Organization, Organi-
zational Dynamics, 21 (1), Winter 1992, pp. 5-20.
137
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
51
Powell, W. W., Neither Market nor Hierarchy: Network Forms of Organization, Research in Organi-
zational Behavior, 12, 1990, pp. 295-336.
52
Panian, Ž., Poslovna informatika: koncepti, metode i tehnologija, 2. izmijenjeno i dopunjeno izda-
nje, Potecon, 2000., str. 225-226.
138
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
139
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Rasprostranjene mreže (engl. Wide Area Network, WAN), kao što i sam naziv su-
gerira, povezuju fizički vrlo udaljene lokacije i velika geografska područja, a najviše
se koriste za povezivanje više udaljenih lokalnih mreža u jednu cjelinu. Globalna
mreža je mreža svjetskih razmjera kojoj se može pristupiti iz praktički svakoga
dijela svijeta gdje postoji bilo kakva telefonska veza. Radi se, dakako, o internetu,
zasad jedinoj globalnoj računalnoj mreži, o kojoj ćemo detaljnije govoriti u nastav-
ku rada.
Lokalne računalne mreže su najčešća vrsta računalnih mreža čiji su čvorovi obično
povezani vrlo brzim komunikacijskim vezama (> 100 Mbps, u novije vrijeme osobito
optičkim kabelima, prstenaste ili slične arhitekture). Među-čvorovi lokalne mreže,
najčešće predstavljeni u obliku uređaja poput usmjernika (engl. routers), pristupni-
ka (engl. gateways) ili prespojnika (engl. switches) omogućavaju spajanje više lokal-
nih mreža. Detaljnija obilježja navedenih uređaja objasnit će se u nastavku ovoga
poglavlja. Slika 5.3. prikazuje uobičajenu izvedbu lokalne mreže.
Česta ‘izvedba’ lokalne mreže su bežične mreže. Bežične mreže (eng. WLAN, wi-
reless LAN) su računalne mreže koje se kao prijenosni medij koriste prostorom i
radiovalovima za prijenos podataka. Pravila rada i razmjene sadržaja određeni su
802.11 standardom, čiji je autor od 1999. godine IEEE (Institute of Electrical and
Electronics Engineers).
140
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
141
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
142
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
143
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Tablica 5.1. TCP paket sa zahtjevom za slanje web stranice s web poslužitelja
• TCP protokol provjerava prijenos, paketi koji sadrže pogreške se ponovno šalju
• TCP protokol sortira pakete na odredištu, spaja ih u cjelovitu poruku i provje-
rava je li odredišna poruka jednaka izvorišnoj.
Time TCP/IP protokol predstavlja temeljni internetski protokol zadužen za
dodjelu 32-bitnih adresa porukama (IP - Internet Protocol) i dijeljenje poruka
u pakete i njihovu distribuciju mrežom (TCP - Transmission Control Protocol).
Slika 5.5. prikazuje postupak razmjene sadržaja u internetskom okruženju primje-
nom TCP/IP protokola.
145
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
brzi uređaji koji filtriraju podatke po odredišnim adresama, ali ne obavljaju funkci-
je promjene formata. Mostovi obavljaju funkciju sloja veze u OSI modelu, brinu o
izvršnoj i odredišnoj adresi paketa podataka i temeljem adresa računala koji pri-
padaju njegovoj lokalnoj mreži, izdvaja (filtrira) i propušta samo određene pakete.
Razdjelnik (engl. Hub) je uređaj za povezivanje računala u zvjezdastu topologiju (ak-
tivni i pasivni hub). Pasivni razdjelnik (razvodnik) ni na koji način ne obrađuje podatak.
Aktivni razdjelnik obnavlja signal (repetitor) i održava potrebnu snagu signala. Neki
razvodnici također mogu preuzeti ulogu mrežnih mostova, usmjerivača ili skretnica.
Usmjernik (engl. Router) je uređaj koji povezuje dva udaljena segmenta mreže koji
mogu koristiti različite medije i protokole, a koristi se za međusobno povezivanje
mreža i usmjeravanje paketa podataka iz jedne mreže u drugu. Na internetu služi
za usmjeravanje “prometa”, tj. paketa podataka do njihovoga odredišta. Usmjernici
su posebni uređaji koji određuju sljedeću mrežnu adresu na koju se šalje paket
podataka (oni usmjeravaju pakete podataka mrežom), pa imaju sličnu ulogu kao
“klasični poštanski centri”. Oni poznaju samo protokole mreže čiji su sastavni dio, a
mogu služiti i kao obrambeni zidovi i obavljati razne funkcije zaštite računalne mre-
že. Za razliku od pristupnika ne mogu se povezivati na različite protokole. Usmjer-
nici se u lokalnim računalnim mrežama koriste radi dva važna razloga:
• filtriraju mrežni promet prema odgovarajućim sigurnosnim i ostalim pravilima
(provjeravaju pakete podataka, biraju smjer kojim će se sadržaj podataka pro-
sljeđivati)
• omogućuju komunikaciju među različitim mrežama.
Usmjernici su najčešće smješteni u sloju 3 OSI referentnog modela, koriste logičko
adresiranje sadržaja i pružaju ono što nazivamo prespajanjem paketa. Za razliku od
usmjernika, prespojnici (engl. Switch) se ne koriste za povezivanje mreža već pobolj-
šavaju funkcionalnost međusobno povezanih lokalnih mreža, optimizirajući njihove
performanse. Prespojnici ne prosljeđuju pakete podataka kao što to rade usmjernici,
nego samo usmjeravaju okvire s jedne priključne točke (porta) u drugu. Most je uređaj
vrlo sličan prespojniku s ciljem sprječavanja komunikacijskih šumova u lokalnoj mreži.
Pristupnik (engl. Gateway) je uređaj za spoj lokalne mreže (LAN) na rasprostra-
njenu mrežu (WAN). To je uređaj koji pretvara komunikacijske protokole raznih
računalnih mreža u internetski protokol i obrnuto. Pristupnici služe priključivanju
lokalnih mreža na rasprostranjenu mrežu jer pretvaraju pakete podataka formira-
ne prema protokolu lokalne mreže u pakete koji odgovaraju protokolu rasprostra-
njene mreže (taj se postupak najčešće naziva emulacija).
Dakle, računalne mreže su vrlo složene i sastavljene od opreme (hardvera) i različi-
tih protokola (softvera) koji omogućuju neometan i siguran prijenos sadržaja. Gra-
147
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
148
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Slika 5.6. Obrambeni zid logički i fizički razdvaja lokalnu i rasprostranjenu raču-
nalnu mrežu
149
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Slika 5.7. Obrambeni zid (vatrozid) štiti pristup branjenoj (unutarnjoj) računalnoj
mreži
Puno složenija situacija nastaje ako organizacija pruža određene usluge temeljene
na internetu i World Wide Webu. Tada je, osim povratnih paketa koje su inicirali ko-
risnici mreže, potrebno omogućiti dolazak i drugim paketima koji prvo trebaju pro-
ći određene provjere, pa arhitektura može izgledati kao ova prikazana na slici 5.8.
Slika 5.8. Skica izvedbe računalne mreže u slučaju pružanja usluga temeljenih na
e-poslovanju
Kada su računalne mreže nastale elektronički uređaji su obično bili sposobni ko-
municirati samo s uređajima istoga proizvođača. Česti su bili slučajevi upotrebe
elektroničkih uređaja koji su forsirali samo jednoga proizvođača (primjerice, IBM
kompatibilna računala i rješenja). Krajem sedamdesetih godina Međunarodna
151
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
152
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Donji slojevi određuju kako se sadržaj prenosi kroz fizičke dijelove mreže
(kabele), prespojnike i usmjernike i odnosi se na ova 4 sloja:
• transportni sloj
• sloj mreže
• sloj povezivanja podataka i
• fizički sloj.
Transportni sloj brine o ispravnosti isporuke sadržaja i provjerava sadržaj prije
slanja, a sloj mreže sadržaju dodjeljuje logičke adrese koje usmjernicima (routeri-
ma) služe da bi ga mogli prosljeđivati mrežom. Sloj povezivanja podataka pripre-
ma pakete podataka za prijenos, pruža pristup mrežnim medijima koristeći različite
adrese i otkriva pogreške u prijenosu, dok fizički sloj premješta bitove između ure-
đaja, određuje napon i brzinu prijenosa podataka i način rada fizičkih dijelova mreže.
153
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Mrežni uređaji koji rade na svih 7 slojeva OSI modela su stanice za upravljanje
mrežom, web i aplikacijski serveri, mrežni prolazi (gateways) i mrežna računala.
Na različitim mrežnim slojevima koriste se različite usluge, što je prikazano tabli-
com 5.2.
U OSI referentnom modelu sloj aplikacije se odnosi na usluge uporabe datote-
ka, ispisa, razmjene sadržaja, uporabe baza podataka i aplikacija.
Najčešća upotreba sloja prezentacije su usluge šifriranja podataka, komprimira-
nja i prevođenja.
Sloj sesije se koristi za kontrolu prenesenoga sadržaja, a transportni sloj ih prenosi
među krajnjim točkama mreže. Sloj mreže omogućuje usmjeravanje poruka, sloj
povezivanja prijenos sadržaja, a fizički sloj pruža fizičku topologiju za prijenos.
U OSI referentnom modelu sloj aplikacije sadrži usluge kojima korisnici zaista
komuniciraju s elektroničkim uređajima, najčešće računalima. Taj se sloj koristi
samo kada je razvidno da će uskoro biti potreban pristup mreži. Najčešći primjeri
su prijenosi datoteka, elektronička pošta, daljinski pristup mreži, aktivnosti uprav-
ljanja mrežom, korisničko-poslužiteljsko okruženje i povezane usluge, određivanje
lokacije korisnika i slično. Najčešći primjeri mrežnih aplikacija i protokola na ovome
sloju su www, html, HTTP i HTTPS,TCP/IP, mrežni protokoli za e-poštu (SMTP, pop3,
x.400 protokol za prijenos sadržaja među različitim aplikacijama elektroničke po-
šte, EDI, pretraživački servisi poput Google-a i različiti servisi za financijske i ostale
poslovne transakcije).
Sloj prezentacije, kao što i sam naziv sugerira, sastoji se od protokola i usluga
kojima se podaci (sadržaj) prezentiraju sloju aplikacija, prikazuju se u ispravnom
formatu i po potrebi prevode. Taj sloj ustvari kodira, oblikuje i prevodi sadržaj u
različite formate zapisa kako bi ih protokoli sloja aplikacije mogli pročitati i koristiti.
Njegov osnovni zadatak je prebaciti podatke u standardni format (najčešće ASCII)
prije njihovoga prijenosa mrežom.
Važni primjeri usluga u ovome sloju su konverzija, komprimiranje i dekomprimi-
ranje podataka, njihovo šifriranje i opisivanje (metapodaci) i razne multimedijalne
operacije s podacima (ovaj sloj podržava brojne funkcije prijenosa grafike poput
PICT, TIFF, jpeg, MIDI, MPEG, rtf itd.).
Sloj sesije jedan zadužen za upravljanje sesijama među entitetima sloja prezenta-
cije. Taj sloj omogućava komunikaciju između različitih mrežnih uređaja ili čvorova
i održava podatke raznih aplikacija odvojenim od podataka drugih aplikacija. Naj-
češći primjeri protokola sloja sesije su: sql, rpc (remote procedure call), AppleTalk
session protokol, network file system itd.
154
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Transportni sloj dijeli i ponovno sakuplja podatke u tok podataka. Protokoli smje-
šteni na transportnome sloju odvajaju i ponovno okupljaju podatke iz aplikacija
gornjih slojeva i omogućuju njihovu razmjenu (transport) odnosno logičko spajanje
među računalom (uređajem) koje šalje podatke s onime koji ih prima. Tipični pri-
mjeri su TCP i udp protokoli (udp je manje pouzdan protokol).
Sloj mreže upravlja adresiranjem uređaja, prati lokaciju uređaja u mreži i određuje
najbolji način za prijenos podataka među uređajima koji nisu lokalno povezani. Pri
tome najčešće se koriste ruteri koji usmjeravaju sadržaj prema odredištu.
Za razliku od OSI referentnog modela, slojevi TCP/IP arhitekture su naizgled
jednostavniji i čine ih:
• aplikativni sloj je najviši sloj u TCP/IP arhitekturi pomoću kojega aplikacije
pristupaju mrežnim servisima ili protokolima za razmjenu sadržaja, a sadrži
protokole kao što su HTTP, FTP, SMTP
• transportni sloj omogućuje aplikacijskome sloju servise sesije i komunikaci-
je i sadrži protokole kao što su TCP i UDP
• internet sloj je odgovoran za usmjeravanje, stvaranje i dodjeljivanje IP adre-
sa paketima podataka, a obuhvaća IP protokol i njemu slične (ARP, ICMP) i
• sloj mrežnog pristupa koji postavlja pakete na mrežu i uklanja ih s mreže.
155
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
157
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
158
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
se često koristi za zaštitu vrlo povjerljivih online transakcija kao što su elektronič-
ko bankarstvo (internetsko i mobilno bankarstvo)i internetska trgovina, a obično
koristi jedan od dva sigurnosna protokola za kriptiranje komunikacije - SSL (Secure
Sockets Layer) ili TLS (Transport Layer Security). HTTP protokol se nalazi na aplika-
cijskome sloju OSI modela.
IPSec (engl. Internet Protocol Security) predstavlja skupinu novijih protokola (tre-
nutno je aktualna verzija IPsec v6) namijenjenih osiguranju internetske komuni-
kacije odnosno komunikacije temeljene na IP protokolu korištenjem autorizacije
i/ili šifriranjem kriptiranjem IP podatkovnih paketa. IPSec djeluje na mrežnom slo-
ju, trećem sloju OSI mrežnog modela, fleksibilan je jer omogućuje nepovredivost
podataka, autorizaciju, kriptiranje i sigurnost neovisnu o aplikaciji koja se koristi i
pruža zaštitu komunikacije prema protokolima 4. sloja (TCP i UDP).
Otvoreni portovi predstavljaju pojam koji se odnosi na pristupne točke putem
kojih je specifičnim podacima dopušten (ulaz i izlaz) iz usmjernika (routers) ili osta-
lih uređaja. Otvorene priključne točke su nužne za funkcioniranje određenih mrež-
nih usluga, ali i pružaju napadačima mogućnost neovlaštenoga pristupa. Tablica
5.4. prikazuje uobičajene priključne točke (tzv. portove) računalne mreže na kojima
su aktivni određeni prijenosni i komunikacijski protokoli i s njima povezane usluge.
Tablica 5.4. Pregled protokola i usluga na priključnim točkama mreže (open port
protocols)
159
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
UDP portovi otvoreni, a jednom kada napadači pronađu dostupne poslužitelje, po-
kušavaju iskoristiti ranjivosti njihovih sigurnosnih konfiguracija i neovlašteno doći
do željenih podataka ili detaljno ‘snimiti’ način funkcioniranja računalne mreže i
time možda pripremiti još opsežniji i opasniji napad. Ove su aktivnosti sastavni dio
revizije informacijskih sustava, koja se odnosi na sustavnu provjeru funkcioniranja
i učinkovitosti kontrola koje su u njih ugrađene. Skeniranje portova će biti jedna
od važnih aktivnosti pri reviziji (provjeri) sigurnosti računalnih mreža, a cjelokupna
tema revizije informacijskih sustava će se detaljno obraditi u kasnijim poglavljima
ove knjige.
160
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
• strana A želi poslati poruku strani B, a strana B želi biti sigurna da je poruka
poslana upravo od strane A. U tome slučaju strana A potpisuje poruku kori-
steći svoj tajni ključ
• poruka pristiže do strane B
• strana B koristeći javni ključ strane A provjerava autentičnost poruke.
Princip potpisivanja poruke je:
• iz originalne poruke korištenjem hash funkcije kreira se sažetak poruke
• Hash funkcija - matematička funkcija koja se koristi za izračunavanje sažetka
poruke fiksne dužine, obično od 128 do 256 bita na temelju ulazne poruke
varijabilne duljine
• sažetak poruke kriptira se tajnim ključem potpisnika (strana A)
• rezultat je digitalni potpis trajno vezan uz poruku
• primatelj (strana B) prima poruku
• dekriptira digitalni potpis koristeći javni ključ pošiljatelja (strane A)
• dobiva izvorni sažetak poruke
• istodobno, primjenjujući hash funkciju na samu poruku kreira njen sažetak.
Ako sažetak odgovara izvornom sažetku iz digitalnog potpisa, potpis se
smatra ovjerenim odnosno poruka autentičnom.
161
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
“Pojavljuju se niotkuda, šire se poput požara i napadaju kako veće tako i manje kompju-
torske sustave, oštećuju datoteke čineći računala i mreže neuporabljivima. Provlače se
kroz e-mail, datoteke koje skidate s Interneta ili preko disketa. Ne postoje favoriti: vaše kuć-
no računalo ima podjednake šanse da bude zaraženo kao i mreža bilo koje kompanije.”
Michael Miller u knjizi “Apsolute PC Security and Privacy”
162
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
163
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
164
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Pitanja za raspravu:
Koja je bila namjera kod stvaranja ovoga računalnog virusa?
U kojoj mjeri smatrate da je infrastruktura zaštićena od ovakvih i sličnih napada?
Kako se šteta mogla spriječiti?
Koje kontrolne mjere predlažete da bi se ovakav događaj na vrijeme otkrio i da
moguća šteta bude što manja? Kako se štititi od računalnih virusa ove katego-
rije?
Hoće li u budućnosti biti manje ili više ovakvih incidenata? Što mislite o buduć-
nosti cyber rizika?
165
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
166
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
167
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
168
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
169
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
170
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
nekim zemljama određene trgovine aplikacijama nije moguće koristiti, što korisnike
‘vuče’ prema manje sigurnima i pouzdanima. Primjerice, korisnici iz Čilea ne mogu
prodavati i kupovati aplikacije na Google Play Store-u, nego su primorani koristiti
neke druge trgovine koje mogu sadržavati maliciozni kod.
Slika 5.12. prikazuje primjere trgovina s aplikacijama koje prenose maliciozni kod
(od trgovine s najvećim udjelom aplikacija s malicioznim kodom): 33 % Android 159,
8 % Baidu, angeeks, liqucn, 7 % eoeMarket, apkke.
Slika 5.12. Primjeri e-trgovina s aplikacijama koje mogu prenijeti zloćudni raču-
nalni kod
Niti ostali operacijski sustavi nisu imuni na probleme koje mogu prouzročiti raču-
nalni virusi. U 2014. godini jedan od najopasnijih virusa za Safari i iOS operacijske
sustave je bio „WireLurker” (otkriven 1. 7. 2014.). Taj se virus počeo širiti preko kine-
ske trgovine aplikacijama Mayada App Store putem zaraženih preuzetih aplikacija
i radi svoje sposobnosti brzoga širenja predstavljao je prvu ozbiljniju prijetnju iOS
operacijskome sustavu. Njegov način funkcioniranja je bio da otkriva iOS uređaje
priključene na Mac računalo i bez znanja korisnika instalira preuzete aplikacije ili
automatski generirane maliciozne aplikacije. Način širenja je bio putem neoriginal-
nih punjača i putem zaraženih ostalih dodataka za iOS uređaje.
172
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
173
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
• koristiti obrambeni zid ili vatrozid (engl. firewall ) odnosno različite hardver-
sko-softverske metode zaštite i stalnoga nadzora mrežnoga prometa uz do-
zvolu pristupa samo legitimnome i regularnome sadržaju
• stalno provjeravati podatke kojima se koristimo
• nadzirati sve prispjele poruke e-pošte
• ustrojiti mehanizme i kriterije filtriranja (selekcije) vanjskoga mrežnog sadrža-
ja koji može ‘ući’ u unutarnju računalnu mrežu
• propisati organizacijska pravila iz područja informacijske sigurnosti, pridr-
žavati se pravila opreznoga i razumnoga korištenja interneta i elektroničkih
uređaja (ne posjećivati odnosno zabraniti pristup sigurnosno upitnim web
mjestima, koristiti samo legalne aplikacije i softver, ne razmjenjivati i ne preu-
zimati datoteke na internetskim servisima za razmjenu itd.).
Antivirusni softver je softver koji pokušava pronaći, spriječiti i ukloniti računalne
viruse i ostali zlonamjerni računalni kod. Poznati komercijalni antivirusni softveri
su Sophos, NOD 32, Norton AntiVirus, F-Secure, AVAST, ESET itd.
Najčešće metode rada antivirusnog softvera su:
Skeneri su najpopularnije i najraširenije metode koje traže heksadecimalne znako-
ve prisutne u poznatim virusima. Kao i sve ostale, i ove antivirusne programe po-
trebno je stalno ažurirati (prepoznaju samo poznate viruse!), a mogu “popravljati”
zaražene objekte.
Checksummeri provjeravaju cjelovitost objekata (utvrđuju jesu li promijenjeni dje-
lovanjem zloćudnoga koda) izračunavajući sigurnosne brojeve (checksum) za izvrš-
ne objekte i pohranjujući ih u baze podataka. Periodično ponovno provjeravaju
objekte i uspoređuju sigurnosne brojeve. Ove metode ne sprječavaju zarazu, samo
je otkrivaju i prijavljuju.
Monitori su rezidentni programi koji otkrivaju da se neka datoteka djelovanjem
zloćudnoga koda treba promijeniti i sprječavaju tijek tih aktivnosti. Viruse otkrivaju
po ponašanju.
174
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Pitanja za raspravu:
Što je bilo uzrokom zaraze zlonamjernim računalnim programom? Zašto je na-
pad uspio?
Kako se ovaj incident mogao spriječiti?
Koja šteta za poslovanje bi nastala da je napad u potpunosti uspio?
Tko je bio odgovoran za propuste?
Koje kontrolne mjere predlažete da se u budućnosti ovakvi i slični incidenti ne
bi dogodili?
175
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
53
Follow the Data: Analyzing Breaches by Industry, Trend Micro, 2015.
176
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
177
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
7. Educiranje zaposlenika
U zadnjih nekoliko godina česti su pokušaju prijevare preko lažnih e-mailova, pisa-
ma od banke i sl., koja nerijetko završavaju u korist hakera. Educiranje zaposlenika,
vježbe na primjerima te njihova mogućnost otkrivanja takvih napada uvelike utječe
na sigurnost cijele organizacije. I u slučaju Targeta i Ryanaira malware je došao pu-
tem e-maila kojega su otvorili zaposlenici koji nisu znali prepoznati prijetnju.
178
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
179
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
180
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
Strategijom ili politikom trebali bi biti propisani i interni akti niže razine (pravilnik,
plan, detaljne operativne procedure koje se trebaju odobriti), kao i nužne opera-
tivne aktivnosti koje se trebaju provesti u praksi kako bi zaživio sustav upravljanja
kontinuitetom poslovanja. Trebali bi se razraditi i planovi kontinuiteta za pojedine
funkcije. Svi tim dokumentima trebaju biti određeni ključni čimbenici upravljanja
kontinuiteta poslovanja: nositelji odgovornosti (Odbor za kontinuitet poslovanja
kojime predsjedava predsjednik Uprave, Krizni odbor, koordinator za kontinuitet
poslovanja – direktor Službe informatike), definicija prekida i neželjenoga događaja,
odrediti poslovno kritične funkcije i načine njihova oporavka, redoslijed oporavka
poslovno kritičnih funkcija s prihvatljivim (ciljanim) vremenima oporavka (RTO –engl.
recovery time objective, recimo 6 h) i ciljanim vremenima (količinama) oporavka poda-
taka (RPO – engl. recovery point objective).
Pri tome vrlo je korisno ako kompanija već ima uspostavljen repozitorij poslov-
nih procesa, s jasno određenim ciljevima poslovnih procesa, njihovim vlasnicima,
kontrolnim mjerama i metrikama učinkovitosti. Ako to nije slučaj, koristeći definira-
ne poslovne procese na radnim sastancima s vlasnicima procesa prikupljaju se in-
formacije potrebne za analizu utjecaja na poslovanje, popunjavaju se (elektronički)
obrasci, stvara se katalog poslovnih procesa, određuju vlasnici i popisuju osnovna
obilježja. Nakon toga obično se utvrđuju najvažniji informatički servisi koji podrža-
vaju provedbu poslovnih procesa (radi se katalog informatičkih servisa). Svim
važnim informatičkim servisima se određuju sljedeći parametri:
• ciljano vrijeme oporavka poslovnih procesa (RTO – engl. recovery time
objective) predstavlja maksimalno dopušteno vrijeme neraspoloživosti po-
slovnih procesa i čini osnovnu mjeru kritičnosti poslovnih procesa; uobičaje-
181
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
no je da je vrlo blizu nuli (RTO < 1 sekunde), što znači da poslovanje zahtijeva
da je informacijski sustav stalno dostupan odnosno da informacijski sustav
mora poslovanju osigurati stalnu dostupnost procesa, usluga, infrastrukture
i svih resursa
• ciljano vrijeme oporavka podataka (RPO – engl. recovery point objective)
predstavlja količinu podataka u jedinici vremena koje je organizacija spremna
izgubiti u slučaju pojave neželjenoga i nepredviđenoga događaja; najčešće se
odnosi na vrijeme proteklo od posljednjega arhiviranja podataka; u suvreme-
nom poslovnom okruženju uobičajeno je da je RPO vrlo blizu nuli (RPO < 1
sekunde), što znači da informacijski sustav mora poslovanju osigurati stalnu
dostupnost podataka
• ciljano vrijeme restauracije podataka i procesa
• vrijeme neraspoloživosti informacijskoga sustava
• razina funkcionalnosti ključnih aplikacija.
U sklopu Plana kontinuiteta poslovanja dokumentiraju se rezultati analize utjecaja
na poslovanje i određuju kritični resursi za sve poslovne procese (ljudski, pravni,
materijalni i podaci i poslovne aplikacije), nakon čega se utvrđuju najvažniji resursi
informacijskoga sustava (poslužiteljska, mrežna i telekomunikacijska infrastruk-
tura) uz procjenu rizika nastupa neželjenoga događaja za svaki pojedini od njih.
Planom kontinuiteta poslovanja utvrđuju se i neprihvatljivi rizici za poslovanje i
određuju zaštitne (kontrolne) mjere sprječavanja takvoga scenarija, obveze i odgo-
vornosti (vlasnici rizika). Konačno, definiraju se i akcijski planovi postupanja u situa-
cijama mogućega neželjenog događaja ili prekida odvijanja poslovnih aktivnosti
banke (uz određivanja obveza i odgovornosti).
Iako se temelje na subjektivnoj procjeni vlasnika poslovnih procesa i najviše razine
menadžmenta, svi ovi podaci se mogu ‘uravnotežiti’ korištenjem primjerene me-
todologije i iskustvom provoditelja. Rizici se obično procjenjuju primjenom meto-
dologije procjene rizika (detaljnije opisane u poglavlju 3.) ili temeljem regulatornih
odredbi. Pri tome korisno je iskazati i financijski učinak rizika (recimo, kao umnožak
potencijalne financijske štete uslijed potpunoga ostvarenja rizika i vjerojatnosti da
se rizik pojavi/ostvari uz 5 mogućih kategorija, kao što je bilo prikazano u jednome
takvom modelu u poglavlju 3.).
Analiza utjecaja na poslovanje obvezno uključuje i međusobno ovisne poslovne
procese, međuovisne informatičke servise, opremu i rizike koji im prijete. Početne
vrijednosti pri vrednovanju rizika najčešće mogu biti prethodne procjene i praćenje
informatičkih incidenata, kvarova opreme, ispada, otežanoga funkcioniranja ili ne-
željenih događaja. Za svaki poslovni proces je nužno procijeniti izravnu i neizravnu
182
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
183
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Kategorija
Opcija
opcije za Opis opcije
oporavka
oporavak
Podaci se kontinuirano dupliciraju i pohranjuju na
Učestalost Kontinuirano lokaciji za oporavak kroz replikaciju u stvarnome
dupliciranja i vremenu
pohranjivanja Dnevno Podaci se dnevno dupliciraju i pohranjuju
podataka Tjedno Podaci se tjedno dupliciraju i pohranjuju
Mjesečno Podaci se mjesečno dupliciraju i pohranjuju
Potpuni Podaci svih datoteka dupliciraju se i pohranjuju
Dupliciraju se i pohranjuju na lokaciji za oporavak
Vrsta Inkrementalni
samo novokreirane ili izmijenjene datoteke
duplikacije
Dupliciraju se i pohranjuju na lokaciji za
i pohrane
oporavak samo one datoteke koje su kreirane
podataka Diferencijalni
ili izmijenjene od posljednjega potpunog
dupliciranja
Daljinsko
zrcaljenje Podaci se zrcale na alternativnoj lokaciji kako bi
(Remote se osigurala kontinuirana raspoloživost
Mirroring)
Wide Area Korištenje clustera u WAN-u – visoka
HAC raspoloživost
Metoda
SAN – Storage Vrlo brza mreža koja omogućava komunikaciju s
duplikacije
Area Network jednim uređajem za pohranu podataka (storage)
i pohrane
Zrcaljenje
podataka Sinkrono upisivanje podataka na primarni i
diska (Disk
sekundarni disk
Mirroring)
Pohrana na
Tradicionalna duplikacija i pohrana na trake
trake
Electronic Automatsko kreiranje dupliciranih podataka
Vaulting putem dobavljača
Lokacija ponuđena od strane komercijalnog
Komercijalna
Udaljena dobavljača
lokacija Vlasništvo Lokacija unutar organizacije u kojoj se podaci i
organizacije kreiraju
185
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Kontrolna pitanja:
1. Objasnite najvažnije vrste i tehnike cyber napada.
2. Koje vrste cyber napada su usmjerene krađi identiteta korisnika? Kako ih možete pre-
poznati i koje zaštitne mjere treba poduzeti da se ne dogode odnosno da im učinak
bude blaži? Koje štete mogu nastati tim napadima?
3. Koje vrste cyber napada su usmjerene krađi podataka i izmjeni sadržaja? Kako ih
možete prepoznati i koje zaštitne mjere treba poduzeti da se ne dogode odnosno da
im učinak bude blaži? Koje štete mogu nastati tim napadima?
4. Objasnite pojam računalnih virusa, navedite par primjera i objasnite način djelova-
nja. Kako se zaštititi od njihova djelovanja?
5. Što su to botnets i kako spriječiti njihovo djelovanje?
6. Što je phishing i kako ga spriječiti?
7. Objasnite pojam društvenog inženjeringa i opišite zaštitne mjere.
8. Što je keyloger i kako se zaštititi od njegova djelovanja?
9. Kako se provodi ‘man-in-the-middle’ napad? Kako se od njega zaštititi?
10. Objasnite pojam kontrola pristupa informacijama i informacijskome sustavu?
11. Što je to identifikacija, a što autorizacija? Objasnite na nekoliko primjera.
12. Što je cilj metoda identifikacije, a što metoda autorizacije? Objasnite na primjeru
ISVU sustava kojega često koristite.
13. Objasnite metode identifikacije na primjeru pametnog telefona kojega koristite i
društvenih mreža čiji ste sudionik.
14. Koja pravila treba slijediti kod uporabe lozinki? Jesu li lozinke pouzdana metoda
identifikacije? Komentirajte.
15. Navedite i objasnite nekoliko primjera uporabe biometrijske identifikacije.
16. Što je višestruka identifikacija? Objasnite njezine prednosti i nedostatke. Gdje predla-
žete primjenu tih metoda?
17. Objasnite osnovne topologije računalne mreže.
18. Koji su osnovni elementi bežične računalne mreže.
19. Što je intranet, a što ekstranet? Objasnite primjere njihove primjene u poslovanju. U
kojem su odnosu internet, intranet i ekstranet. Objasnite sličnosti i razlike.
20. Kako se internetom prenosi sadržaj?
21. Što u okruženju računalne mreže znači pojam protokol? Koji je najvažniji internetski
protokol? Objasnite kako radi.
186
5. Najvažnije kontrole (zaštitne mjere) u informacijskoj sigurnosti
22. Nabrojite aktivne komponente računalne mreže i objasnite zašto ih smatramo ‘ak-
tivnim’.
23. Objasnite funkcije i način rada sljedećih mrežnih uređaja: most, razdjelnik, usmjer-
nik, pristupnik, poslužitelji, radna računala.
24. Što je to obrambeni zid i čemu služi? Navedite nekoliko primjera primjene.
25. Što je to OSI referentni model i čemu služi?
26. Objasnite koje usluge se pružaju na svakome pojedinom sloju OSI referentnog mo-
dela. Koji protokoli su prisutni na kojemu sloju?
27. Navedite najvažnije protokole koji služe sigurnome prijenosu sadržaja računalnom
mrežom i objasnite njihova obilježja. Objasnite zašto primjena tih protokola utječe
na informacijsku sigurnost.
28. Koji protokoli omogućuju zaštitu podataka u prijenosu? Kako ti protokoli djeluju?
Koju važnu komponentu informacijske sigurnosti podržavaju? Objasnite na primje-
rima.
29. Na web mjestu kreditnom karticom plaćate svoju omiljenu odjeću. Objasnite kako
se odvija prijenos podataka kojime se autorizira plaćanje. Koji protokoli trebaju biti
u funkciji kako bi tu kupnju smatrali sigurnom?
30. Što su to otvoreni portovi mreže i kako provjeravamo koje su usluge na njima mo-
guće?
31. Što je to segmentacija mreže i zašto se koristi?
32. Objasnite kako funkcionira digitalni potpis. Navedite nekoliko primjera njegove pri-
mjene.
33. Što su to računalni virusi i kako funkcioniraju? Navedite i objasnite nekoliko primjera.
34. Što je to ransomware i kako se zaštititi od njegova djelovanja?
35. Kako se najčešće pametni telefoni zaraze računalnim virusima? Što raditi da se zara-
za spriječi?
36. Objasnite mjere zaštite od svih vrsta zlonamjernih računalnih programa.
37. Zašto je važno upravljati kontinuitetom poslovanja? Što je cilj tih kontrolnih mjera?
38. Objasnite korake upravljanja kontinuitetom poslovanja.
39. Objasnite pojmove RTO i RPO. Što su ti pojmovi bliže nuli, rastu li ili padaju troškovi
udovoljavanja tim zahtjevima? Objasnite i komentirajte.
40. Objasnite tehnologije oporavka podataka.
187
6. Revizija informacijskih sustava
189
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
na njima nalaze (koliko je stanje zalihe, kada će isteći rok trajanja pojedinome pro-
izvodu itd.).
Sva ta i brojna ostala obilježja suvremenih poslovnih procesa ne bi bila moguća
bez učinkovite i mehanički točne primjene informacijskih sustava u poslo-
vanju. To su sve obilježja primjene informacijskih sustava kao strateškoga part-
nera poslovanju odnosno poslovne funkcije čija učinkovita i intenzivna primje-
na može doprinijeti digitalnoj transformaciji i poboljšati rezultate poslovanja (niži
troškovi, diferencijacija, rast, povezivanje tvrtke s okruženjem, bolja konkurentska
pozicija, inovacija modela poslovanja, strateška promjena poslovnih procesa, stva-
ranje digitalnih poslovnih platformi, nepovratna promjena strukture u pojedinim
industrijama itd.). Informatika zauzima sve istaknutije mjesto u organizacijskoj hi-
jerarhiji kompanije, a funkcija direktora informatike (engl. Chief Information Officer,
CIO) pripada najvišoj razini menadžmenta uz odgovornosti usmjerene prije svega
inovaciji poslovanja uz primjenu informacijskih sustava čiji su sastavni dio suvre-
mene digitalne tehnologije.
Okruženje digitalne ekonomije se u stvaranju nove ili dodane poslovne vrijednosti
najviše oslanja na informacijske i digitalne tehnologije. Obzirom na interaktivnu i
sinergijsku ‘narav’ digitalne ekonomije, da bi se stvorila nova ili dodana vrijednost,
informacijski se sustavi, pored unutarnjim, formalnim i neformalnim, koriste i broj-
nim vanjskim izvorima resursa koji se prilično oslanjaju na digitalne tehnologije
(senzori i Internet stvari, društvene mreže, računalstvo u oblacima). Upravo radi
mogućnosti interakcije s okolinom i radi mogućnosti integracije s ostalim, odvoje-
no razvijanim tehnologijama, informacijske i komunikacijske tehnologije, posebice
novije digitalne tehnologije, smatramo pokretačem digitalne ekonomije i pokreta-
čem informacijskih sustava koji u digitalnoj ekonomiji provode poslovne transak-
cije. No, to znači da se pri upravljanju IT-om više ne možemo samo oslanjati na
unutarnje čimbenike.
Koncept suvremenog korporativnog upravljanja informatikom počiva na
dvije razine:
• Strateška (korporativna) razina (engl. IT Governance) koja je usmjerena
na vanjsko okruženje, strateško promišljanje i vizije digitalnih poslovnih plat-
formi kojima će se ‘pokriti’ interes svih zainteresiranih strana i
• Operativna (mahom tehnološka) razina (engl. IT Management) koja se
odnosi na unutarnje poslovno okruženje, upravljanje i administraciju poslo-
vanja uz pronalaženje najboljih tehnoloških i administrativnih rješenja kako
da se inovativni poslovni model provede u djelo.
Korporativno upravljanje informatikom (engl. Corporate governance of enterprise
IT) predstavlja skup pravila, metoda i mehanizama kojima se strateški po-
190
6. Revizija informacijskih sustava
191
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
54
PricewaterhouseCoopers (2014): What matters in the boardroom – director and investors views on
trends shaping governance and the board of the future, https://www.pwc.com/us/en/corporate-gover-
nance/publications/assets/pwc-what-matters-in-the-boardroom-director-investor-views.pdf.
192
6. Revizija informacijskih sustava
Sati planirane
Neplanirana nedostupnost
nedostupnosti
Standard prije Trenutni standard,
Kategorija Trenutni standard
2014. g. nema promjene
Prihvatljivo Do 43,8 sati – 99,5 % Do 61 sata – 99,3 % Manje od 200 sati
Odlično Do 17,5 sati – 99,8 % Do 26 sati – 99,7 % Manje od 50 sati
Najbolji u
Do 1,8 sati – 99,98 % Do 4 sata – 99,95 % Manje od 12 sati
klasi
Bez
0 sati – 100 % 0 sati – 100 % 0 sati
nedostupnosti
193
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
55
Panian, Ž. (2001.): Kontrola i revizija informacijskih sustava, Sinergija, Zagreb.
56
Ibid.
194
6. Revizija informacijskih sustava
57
Panian, Ž., Spremić, M. (2007.): Korporativno upravljanje i revizija informacijskih sustava, Zgombić
i partneri, Zagreb.
195
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
58
Spremić, M. (2012): Measuring IT Governance Performance: A Research Study on CobiT - Based
Regulation Framework Usage, International Journal of Mathematics and Computers in Simulation,
Volume 1, Issue 6, pp. 17-25
196
6. Revizija informacijskih sustava
tijelo „snimilo“ stanje, uočilo kritične točke, procijenilo rizike primjene informati-
ke u poslovanju i dalo preporuke kako tim rizicima učinkovito upravljati. Time se,
pored regulatorne koja je u mnogim zemljama obvezna, revizija informacijskih
sustava sve češće koristi i kao analitička i savjetodavna aktivnost kojom se
želi poboljšati postojeća poslovna praksa.
Pri tome, naravno, prednjače uspješne kompanije kojima su osnovni ciljevi pro-
vedbe revizije informacijskih sustava:
• provjeriti trenutno stanje informatike odnosno utvrditi razinu zrelosti (kva-
litete) upravljanja informacijskim sustavom
• procijeniti (mjeriti) učinak informatike na poslovanje, posebice na mogu-
će inoviranje poslovnih procesa i poboljšanje konkurentnosti
• provjeriti (testirati) učinkovitost kontrola informacijskih sustava, pogla-
vito u odnosu na ključne poslovne procese
• otkriti potencijalno rizična područja i procijeniti razinu rizika kojima je
poslovanje izloženo temeljem intenzivne primjene informacijskih sustava
• dati preporuke menadžmentu koje i kakve mjere poduzeti da bi se učinak
uočenih rizika smanjio ili uklonio i unaprijedila poslovna praksa.
Regulativa provedbe revizije informacijskih sustava je prilično stroga i odnosi se na
sljedeće kategorije:
• Regulativa na međunarodnoj razini (Sarbanes-Oxley zakon, Basel III, the
European 8th Directive, MiFID)
• Nacionalna regulativa - kreditne institucije i osiguravateljna društva (u
Hrvatskoj nositelji nacionalne regulative su HNB i HANFA)
• Kreditne institucije (HNB, Odjel za izravni nadzor banaka i financijskih insti-
tucija, Odluka o primjerenom upravljanju informacijskim sustavom u svrhu
smanjenja operativnog rizika)
• Osiguranje (HANFA, Zakon o osiguranju, Smjernice za upravljanje rizikom in-
formacijskih sustava)
• Regulativa specifična za pojedine industrije
• Kartičarske transakcije (PCI DSS)
• Osiguranje (Solvency III)
• Bankarstvo (Basel III)
• Telekom (eTom)
• Farmaceutska industrija, ostale industrije.
197
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
ISACA (engl. Information System Audit and Control Association - www.isaca.org i hrvat-
ska podružnica o kojoj su informacije dostupne na www.isaca.hr) je institucija koja
se bavi razvojem korporativnoga upravljanja informatikom o reviziji informacijskih
sustava. Oni su autori CobiT-a, ostalih metodologija i brojnih publikacija iz ovoga
područja, a posebno cijenjeni i međunarodno priznati certifikati iz tih područja su:
• CISA (Certified Information System Auditor)
• CISM (Certified Information Security Manager)
• CGEIT (Certified in Governance of Enterprise IT)
• CRISC (Certified in Risk and Information System Control)
• CSX (Cybersecurity Nexus).
198
6. Revizija informacijskih sustava
200
6. Revizija informacijskih sustava
• Basel III okvir kojega su banke obvezne koristiti u cilju boljega upravljanja ope-
rativnim rizicima (11 područja)
• NIST i SANS metodologije upravljanja cyber rizicima
• PMBOK (engl. Project Management Body of Knowledge) metodologija kojom je
moguće poboljšati praksu upravljanja projektima
• PCI DSS (engl. Payment Card Industry Data Security System) norma koja u karti-
čarskoj industriji nameće regulatorna pravila i zahtjeve koji se pred poslovne
informacijske sustave postavljaju u svrhu sigurnoga i pouzdanoga rukovanja
s podacima itd.
CobiT59 (engl. Control Objectives for Information and Related Technologies) je krov-
ni standard korporativnoga upravljanja informatikom unutar kojega se propisuju
područja, procesi i pojedinačne kontrole za korporativno i operativno upravljanje
informatikom. Autor CobiT okvira je ISACA (Information System Audit and Control
Association, www.isaca.org).
Izvorno (CobiT v1 iz 1996.) nastao kao alat za podršku provedbe revizije financijskih
izvještaja, CobiT se vrlo brzo razvijao i pratio razvoj uloge informatike u poslovanju
(CobiT v2 iz 2000. već je u svjetskim razmjerima postao najkorišteniji okvir kontrole
informacijskih sustava, verzija 3 iz 2004. godine je predstavljala integralni okvir
upravljanja informatikom, a trenutno važeća verzija – CobiT 5 predstavlja najvažniji
okvir provedbe koncepta korporativnoga upravljanja informatikom), koja uključuje
i neke ranije izvedene standarde (Val IT i Risk IT, slika 6.1.).
Slika 6.1. Razvoj CobiT-a kao svjetski prihvaćene krovne metodologije korporativ-
noga upravljanja informatikom koja u trenutno važećoj verziji 5 uključuje i neke
ranije izvedene standarde (Val IT, Risk IT).
59
ITGI (2007), CobiT 4.1 – Framework, Control Objectives, Management Guidlines and Maturiy Mo-
dels, IT Governance Institute, Rolling Meadows, SAD.
201
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Slika 6.1. Razvoj CobiT metodologije i pregled trenutno aktualne verzije CobiT 5
Time trenutno važeća CobiT 5 verzija iz 2012. godine služi kao nezaobilazan okvir
za upravljanje informatikom na korporativnoj razini i svjetski prihvaćena metodo-
logija kojom se propisuju procesi (zahtjevi) putem kojih se informacijski sustavi
strateški povezuju s prioritetima poslovanja. Procesno je usmjeren i obuhvaća sve
komponente (područja) korporativnoga upravljanja informatikom, a osnovna mu
je funkcija ponuditi preporuke za usklađenje ciljeva poslovanja s ciljevima rada in-
formatike.
202
6. Revizija informacijskih sustava
203
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
204
6. Revizija informacijskih sustava
205
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
206
6. Revizija informacijskih sustava
207
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
0 – ne postoji
Proces upravljanja informatikom na korporativnoj razini ne postoji. Menadžment
i korporativna tijela nisu prepoznala važnost toga koncepta. Ne postoje korpo-
rativna tijela koja vode brigu o upravljanju informatikom, odluke o ulaganjima u
informatiku su stihijske, od slučaja do slučaja (‘ad-hoc’), van sustavnoga nadzora i
procjene rizika i potpuno su u rukama pojedinaca.
1 – početna
Menadžment i korporativna tijela nisu svjesna važnosti upravljanja informati-
kom. Iako nema nikakvih formalnih procedura, upravljanje i nadzor informatike
se uglavnom temelji na pojedinačnoj, stihijskoj bazi, a postupanje u tim prilikama
je od slučaja do slučaja. Ne postoje standardi, niti korporativna pravila, nikakve
obveze i odgovornosti po tome pitanju, ne koriste se nikakve upute i nema koor-
diniranih aktivnosti u tome smjeru. Menadžment uglavnom uopće nije svjestan
važnosti (opasnosti) informatičkih rizika. Upravljanje informatikom i mjerenje nje-
zine uspješnosti su procesi koji se provode samo unutar odjela informatike, a
menadžment je po tim pitanjima pasivan i uglavnom neupućen i neobrazovan.
2 – ponavljajuća
Procesi upravljanja informatikom postoje, ali su nekoordinirani i pokrenuti uglavnom
od odjela informatike, ili neke druge operativne razine. Često se događa da veći broj
ljudi obavlja iste zadatke, nema sustavnoga nadzora, koordinacije, niti standardizira-
ne procedure. Nema formalnih treninga, odgovornost je prepuštena pojedincima,
politike na korporativnoj razini ne postoje ili nisu predstavljene zaposlenima.
3 – definirana
Procedure upravljanja informatikom su propisane i dokumentirane i stalno se usa-
vršavaju formalnim treninzima i edukacijom. Procedure i korporativna pravila, iako
formalno postoje, nisu sofisticirane, zrele niti prilagođene poslovanju organizacije,
nego uglavnom predstavljaju formaliziranje postojećih procedura. Iako procedure
postoje, odgovornost njihove provedbe je na pojedincima, a obzirom da sustava
nadzora nema, malo je vjerojatno da netko može otkriti anomalije po tome pitanju.
4 – upravljana i mjerena
Osim što korporativne politike i procedure postoje, moguće je i stalno nadzirati nji-
hovu provedbu, mjeriti uspješnost, pa prema potrebi i poduzimati potrebne korek-
cije. To najčešće obavljaju odgovarajuća tijela ili institucije korporativnoga upravlja-
nja. Procesi i aktivnosti se stalno unaprjeđuju. Postavljaju se vrlo sofisticirani ciljevi
upravljanja informatikom koji su usko usklađeni s poslovnim ciljevima, a rezultati
njihove provedbe također se mjere u ‘poslovnim’ mjerama. U mjerenju uspješnosti
i reviziji obvezno se koriste suvremene metode i okviri (CobiT, IT BSC, ITIL).
208
6. Revizija informacijskih sustava
5 – optimalna
Procesi upravljanja informatikom su dovedeni na optimalnu razinu, a kompanija
je lider u tome području. Stalno se mjeri uspješnost i efikasnost informatike kao
poslovne funkcije provedbe, a rezultati uspoređuju s najboljom praksom i dru-
gim organizacijama. Vlada potpuna transparentnost u upravljanju informatikom,
korporativna tijela imaju putem niza formalnih mehanizama stvarni nadzor nad
informatikom. Informatika se koristi u strateške svrhe, kao ključan poslovni re-
surs, a informatičke aktivnosti (ulaganja, projekti, rizici, ...) na optimalan se način
odvijaju prema stvarnim poslovnim prioritetima.
Slika 6.5: Ocjena zrelosti kontrola pri provedbi revizije informacijskih sustava
5-
Operativna efikasnost i oblikovanje
op
4– m
tim
up jere
aln
ra na
a
procedura (procesa)
vlj
an
ai
3-
de
fin
2 - in
ira
n
po tuiti
a
na vn
vlj a
1 - ad-
aju
po hoc
ća
če
,
tna
,
0 – sto
po
ne ji
209
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
6.3.3. ITIL
Iako je nastao prije gotovo 30 godina (krajem 1980-ih), ovaj se okvir tek u novije
vrijeme nametnuo kao koristan, praktičan i u svjetskim razmjerima gotovo neizo-
stavan skup preporuka i najbolje prakse pri upravljanju informatičkim uslugama
(engl. IT Service Management, ITSM). Autor ITIL (engl. Information Technology Infra-
structure Library) metodologije je britanska Central Computer and Telecommunica-
tions Agency (mogli bismo je slobodno prevesti kao Agenciju za telekomunikacije i
informatiku, koja više ne djeluje pod tim imenom nego kao Office of Government
Commerce (OGC UK)), koja je krajem 80-ih godina prošloga stoljeća napravila prvi
popis uputa za korištenje informatičkih usluga kojih su se sva tijela u britanskoj
javnoj administraciji trebala pridržavati (između ostaloga i poznati MI 5 špijunski
odjel u kojemu su tajni agenti koristili najnovije tehnologije koje su im pomagale u
poslu). Od tada ITIL upute su se stalno nadograđivale i unaprjeđivale, a danas su,
u svjetskim razmjerima općeprihvaćeni standardi upravljanja informatičkim uslu-
gama razvijeni do te mjere da čak i dobavljači nude svoju opremu i usluge koja je u
skladu s ITIL metodologijom. IT Service Management Forum (ITSMF) je neprofitna
organizacija koja vodi brigu o unaprjeđenju prakse korištenja i upravljanja informa-
tičkim uslugama i napretku ITIL metodologije.
ITIL pruža tzv. top-down, odnosno poslovno usmjeren pristup menadžmentu infor-
matike koji stavlja poseban naglasak na stratešku poslovnu vrijednost informatike
i potrebu da se isporuči njezina visokokvalitetna usluga (informatička usluga, IT
usluga). Osim toga, ITIL pruža smjernice i preporuke koje su usmjerene radu ljudi,
funkcioniranju procesa i korištenju tehnologije pri korištenju informatike i pružanju
kvalitetne usluge.
ITIL se sastoji od uputa temeljenih na najboljoj praksi upravljanja informatičkim
uslugama u javnim i privatnim organizacijama širom svijeta. Formalno se sastoji od
skupa knjiga kojima su propisane upute za pružanje kvalitetnih informatičkih uslu-
ga i procedurama, opremi i aktivnostima koje omogućuju kvalitetnu informatičku
podršku. Osim toga pruža vrlo precizne upute i smjernice kako procijeniti kvalitetu
usluge, kako kontrolirati isporuku usluge i, u konačnici, kako upravljati cjelokupnom
informatičkom uslugom. Vrlo je korisna mogućnost što se za svaki proces odnosno
uslugu može procijeniti usklađenost s ITIL preporukama, čime se ocjenama od 0
do 5 (kao u CobiT-u) procjenjuje zrelost načina njezina korištenja, što omogućuje
procjenu kvalitete cjelokupne informatičke usluge, podrške i upravljanja.
ITIL je osobito korišten u Europi, najčešće u javnome sektoru (za čije je potrebe i
nastao). Jedini trenutno važeći ‘standard’ za upravljanje informatičkim uslugama
jest ISO 20000 (ili njegov ekvivalent BS 15000), koji je gotovo u potpunosti preuzeo
svu ITIL terminologiju i djelokrug. Stoga, sam ITIL ne možemo smatrati standar-
210
6. Revizija informacijskih sustava
dom, no, budući je ISO 20000, jedini važeći standard za upravljanje informatičkim
uslugama, potpuno preuzeo svu ITIL terminologiju, ITIL smatramo ‘de facto’ stan-
dardom.
Prva verzija ITIL-a nastala 1986., sadržavala je ukupno 40 knjiga u kojima su se
opisivale razne prakse i preporuke korištenja informatike i vrijedila je sve do 1999.
godine. Druga verzija ITIL-a se sastojala od 8 knjiga od kojih su dvije bile najčešće
korištene Podrška uslugama (engl. Service Support) i Isporuka usluge (engl. Ser-
vice Delivery).
Trenutno važeća četvrta verzija ITIL-a se najčešće zove ITIL 2011 po godini publici-
ranja (ITIL v3 je bila izašla sredinom 2007. g.) i sadrži 5 ključnih procesa (kontrolnih
područja): strategija usluga (engl. service strategy), oblikovanje usluga (engl. service
design), isporuka usluge (engl. service transition), korištenje usluge (engl. service ope-
ration) i stalno unaprjeđenje usluge (engl. continual service improvement).
ITIL je procesno usmjereni okvir koji je dodatno usklađen s ostalim okvirima (npr.
CobiT ), normama (ISO/IEC 20000) i regulatornim zahtjevima (Sarbanes-Oxley, Ba-
sel II).
temeljitu reorganizaciju ovih normi i postupno uvođenje cijeloga niza novih iz tzv.
ISO 27000 obitelji. Neke od njih već su aktualne i popularne (ISO 27001:2013), a
druge kao što su ISO 27002, ISO 27003, ISO 27004, ISO 27005 su novije norme koje
bi, osim sigurnosti temeljito trebale pokriti i područja upravljanja informatičkim
rizicima i provedbe mehanizama kontrole nad informacijskim sustavima u svrhu
ostvarivanja sigurnosnih i drugih rizika i time biti primjerenije konceptu upravljanja
informatikom na korporativnoj razini.
212
6. Revizija informacijskih sustava
% od ukupnoga vremena
Faza revizije informacijskih sustava
trajanja revizija
Priprema i planiranje 10
Analiza dokumentacije 10
Prikupljanje revizijskih dokaza:
Intervjui, ankete i neformalni razgovori 10
Tehničko ispitivanje i testiranje sustava 15
Analiza i vrednovanje revizijskih dokaza 20
Priprema revizijskog izvješća 20
Predstavljanje revizijskog izvješća 5
Postrevizijske aktivnosti 10
215
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
216
6. Revizija informacijskih sustava
Pod- Razina
Opis područja 0 1 2 3 4 5
ručje zrelosti
Upravljanje sigurnošću informacijskoga 2 - Stanje
1.
sustava ponovljivosti
2 - Stanje
2. Upravljanje rizicima i incidentima
ponovljivosti
Upravljanje pravima pristupa i 3 - Stanje
3.
zaporkama definiranosti
Upravljanje mrežnom infrastrukturom i 3 - Stanje
4.
zaštitom od malicioznoga koda definiranosti
Upravljanje rizicima eksternalizacije i 3 - Stanje
5.
odnosa s dobavljačima definiranosti
Upravljanje imovinom informacijskoga 3 - Stanje
6.
sustava i fizičkom sigurnosti definiranosti
Upravljanje promjenama i razvojem 3 - Stanje
7.
informacijskoga sustava definiranosti
2 - Stanje
8. Upravljanje kontinuitetom poslovanja
ponovljivosti
Upravljanje pričuvnom pohranom i 2 - Stanje
9.
operativnim i sistemskim zapisima ponovljivosti
Kontrolne procedure unutar ključnih 3 - Stanje
10.
poslovnih procesa (platni promet) definiranosti
Primjena internih akata vezanih uz 4 - Stanje
11.
informacijski sustav banke mjerljivosti
217
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
218
6. Revizija informacijskih sustava
219
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
220
6. Revizija informacijskih sustava
221
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Slika 6.6. Primjeri strateških ciljeva informatike koji proizlaze iz CobiT okvira
IT Proces Aktivnosti
x Odgovoriti na poslovne zahtjeve u x Definirati način prema kojem se x Uključivanje visokog menadžmenta u
skladu sa strategijom poslovanja poslovni zahtjevi transformiraju u usklađivanje IT strateškog planiranja s
x Odgovoriti na zahtjeve korporativnog ponude usluga trenutačnim i budućim potrebama
upravljanja u skladu sa smjernicama x Definirati strategiju isporučivanja poslovanja
uprave usluga x Razumijevanje trenutačnih kapaciteta
x Doprinijeti upravljanju portfoliom (sposobnosti) informatike
Ciljevi
Postavljanje
poslovnih investicija podržanih kroz IT x Osiguranje prioritetnih shema za
ciljeva x
Postavljanje
Uspostaviti jasnoću u pogledu utjecaja ciljeva
poslovne ciljeve koji kvantificiraju
na poslovanje rizika vezanih uz IT poslovne zahtjeve
ciljeve i resurse x Prevođenje IT strateških planova u
x Ostvariti transparentnost i taktičke planove
razumijevanje troškova, koristi,
strategija i politika i razina usluga
Pokazatelj Pokazatelj
mjerilo mjerilo mjerilo
uspješnosti uspješnosti
x Stupanj odobravanja IT strateških/ x Postotak IT ciljeva iz IT strateškog x Vremenski odmak između ažuriranja
taktičkih planova od strane vlasnika plana koji podržavaju strategiju poslovnih strateških/taktičkih planova i
poslovnih procesa poslovanja (poslovni strateški plan) ažuriranja IT planova
x Stupanj sukladnosti u odnosu na x Postotak IT inicijativa iz IT taktičkih x Postotak sastanaka IT strateških/
zahtjeve korporativnog upravljanja planova koji podržavaju taktičke taktičkih planova u kojima su aktivno
x Razina zadovoljstva s trenutačnim planove poslovanja (akcijske planove) sudjelovali predstavnici poslovanja
Mjerila
stanjem (broj, opseg itd.) projekata i x Postotak informatičkih projekata iz IT x Vremenski odmak između ažuriranja IT
portfoliom aplikacija portfolia projekata kojima je direktno strateških planova i ažuriranja IT
izvorište navedeno u IT taktičkim taktičkih planova
planovima (akcijskim planovima) x Postotak IT taktičkih planova sukladnih
s predefinirano strukturom i sadržajem
takvih planova
x Postotak IT inicijativa/projekata s
podrškom vlasnika poslovnog procesa
222
6. Revizija informacijskih sustava
223
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Već je više puta u ovoj knjizi bilo naglašeno kako je pristup informacijskome susta-
vu jedna od najvažnijih ‘sigurnosnih poluga’ i temelj upravljanja informatičkim rizi-
cima. Svakako se radi o neizostavnome području revizije informacijskih sustava čiji
je cilj provjeriti učinkovitost kontrola logičkoga pristupa informacijskome sustavu i
svim njegovim važnim komponentama, kao i provjeriti učinkovitost kontrola ovlasti
rada nad resursima informacijskoga sustava.
Trebalo bi provjeriti tehnološke, organizacijske, društvene, pa čak i fizičke kontrole
upravljanja logičkim pristupom svim važnim dijelovima informatičke infrastrukture,
posebice operativnim sustavima, bazama podataka, provjeriti sistemske naredbe i
ovlasti rada nad podacima i važnim sistemskim i aplikativnim softverom (tzv. ‘role’
korisnika).
Minimalni plan revizije logičkoga pristupa i ovlasti rada nad resursima informacij-
skoga sustava trebao bi obuhvaćati provjeru sljedećih kontrolnih područja:
224
6. Revizija informacijskih sustava
225
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
226
6. Revizija informacijskih sustava
Slika 6.7. Izvođenje analitičkih ciljeva informatike koji proizlaze iz CobiT okvira
228
6. Revizija informacijskih sustava
60
O planu revizije sigurnosti računalnih mreža mogla bi se napisati još jedna knjiga sličnoga opse-
ga. Ovo područje je iznimno dinamično, javljaju se stalno nove metode i tehnike napada, kao i nove
metode zaštite. Prikazani plan revizije predstavlja samo jedan manji dio procedure koje se pri reviziji
trebaju provesti. Za ažurne planove revizije ovoga i ostalih područja informacijskih sustava najbolje je
kontaktirati web mjesto ISACA-e (www.isaca.og) i potražiti ‘audit planove’ za pojedina područja.
229
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
230
6. Revizija informacijskih sustava
Rizici za poslovanje?
• Prekid rada IS-a će uzrokovati prekid odvijanja poslovnih procesa
• Izravna financijska i materijalna šteta + reputacijski rizik.
Dokumentacija koju treba detaljno pregledati:
• Politika sigurnosti informacija i sigurnosti informacijskih sustava
• Registar imovine informacijskoga sustava, vlasništvo nad podacima i procesima
• Politika i plan kontinuiteta poslovanja (i svi ‘podređeni’ interni akti)
• Plan oporavka od neželjenih događaja (i svi ‘podređeni’ interni akti)
• Metodologija upravljanja informatičkim rizicima, analiza utjecaja na poslovanje
• Procedure arhiviranja podataka (back-up) (i svi ‘podređeni’ interni akti)
• Procedure oporavka podataka i opreme (i svi ‘podređeni’ interni akti)
• Procedura provjere čitljivosti podataka nakon arhiviranja (restauracija poda-
taka) (i svi ‘podređeni’ interni akti)
• Radne upute za arhiviranje podataka, Radne upute za pohranu podataka itd.
Organizacijske i tehničke kontrole koje treba testirati (plan revizije, što
revidirati?):
• Pregled dokumentacije i organizacijski akti
• Određivanje kritičnih poslovnih procesa, kritičnih aplikacija i utvrđivanje prio-
riteta
• Procjena njihova utjecaja na poslovanje (Business Impact Analysis)
231
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
232
6. Revizija informacijskih sustava
Visoka
Potpuni prekid
Srednja
Simulacija Nenajavljeno
Za stolom
Za stolom
Niska
Kontrolne
Kontrolne liste
liste
Intervali
Mjesečno Kvartalno Polugodišnje Godišnje testiranja
233
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
Rizici za poslovanje?
Nedovoljno testiran softver će se koristiti u produkciji.
Organizacijske i tehničke kontrole koje treba testirati:
• Procedura promjene softvera (zahtjev – odobrenje – testiranje - autorizacija
promjene - ’spuštanje’ u produkciju)
• Testni podaci, autorizacija promjena
• Testna – razvojna – produkcijska okolina (pristup, nadzor)
• Dokumentiranje promjena (verzija softvera)
• Izvještavanje.
Plan revizije u području razvoja i održavanja informacijske tehnologije i
aplikacija informacijskoga sustava:
• Osigurati primjereno održavanje hardvera, softvera i podržavajuće infra-
strukture
234
6. Revizija informacijskih sustava
235
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
• Kada ste posljednji put provjerili rade li određeni algoritmi pomoću kojih se
automatizmom provode poslovne transakcije točno i pouzdano?
• Postoji li mogućnost da netko neovlašten prati/mijenja/unosi podatke i pro-
grame?
• Je li moguće da uređajima i ostaloj IT-i može pristupiti netko neovlašten, mije-
njati konfiguracije i ugroziti prijenos podataka?
• Je li prijenos podataka među za poslovanje važnim aplikacijama siguran (kori-
ste li se sigurnosni protokoli, može li netko presresti i promijeniti podatke)?
Plan revizije u području provedbe transakcija:
• Otkrivanje višestrukih pojava – npr. isti račun plaćen dva puta, isti redni
broj transakcije…
• Pronalaženje dva ili više plaćanja s istim brojem računa i dobavljačem, a razli-
čitim djelatnikom koji izvršava plaćanje
• Pronalaženje duplikata - duplih faktura, duplih matičnih podataka dobavlja-
ča, …
• Pregled događaja po vremenskome kriteriju – knjiženja nakon određenih
datuma, knjiženja na datum 31. 12., evidencija događaja nakon radnoga vre-
mena, …
• ‘Gap detection’ – pronalaženje praznina radi brisanja transakcija
• Spajanje datoteka - Prodavač koji nije ispostavio niti jedan račun, ali ima
realizaciju
• Pronalaženje prijevara – zaobilaženje poslovnih pravila (Benfordov zakon)
• Traženje nasilno umetnutnih transakcija uz korištenje metoda kao što su
Benfordov zakon, a alati ispitivanja su ‘data mining’, slojevitost, stratifikacija,
traženje iznimki (praznina, duplikata, ...), uzorkovanje, potvrđivanje ispravnosti i
cjelovitosti podataka.
Benfordov zakon predstavlja metodu kojom se prebrojava učestalost pojave vo-
deće znamenke u određenome skupu brojeva. Američki matematičar Frank Ben-
ford je prije stotinjak godina proučavao razne serije brojeva i matematičkim apa-
ratom – teoremima, propozicijama, korolarima i lemama dokazao da vjerojatnost
pojave vodećih znamenki u određenome skupu brojeva nije jednaka (ne iznosi 11,1
%) i nije jednoliko raspoređena, nego ovisi određenim slučajnostima i raspodjela-
ma. Benford je svoja razmišljanja i intelektualne dosege sveo na par jednostavnih
matematičkih mehanizama:
236
6. Revizija informacijskih sustava
U revizijama se vrlo često koriste i forenzične metode, pri čemu se u novije vri-
jeme sve više koristi računalna forenzika. Računalna forenzika (engl. computer
forensics) predstavlja dio (granu) poslovne forenzike s ciljem provedbe provjera i
238
6. Revizija informacijskih sustava
239
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
jama originalnih baza podataka, a koriste se alati koji dopuštaju samo čitanje baza
podataka (ACL, Idea, Artubus).
Forenzika mobilnih uređaja se odnosi na skup metoda pretraživanja dokaza s mo-
bilnih uređaja, pri čemu se posebna pozornost posvećuje načinu forenzičke pohra-
ne memorije mobilnih uređaja. Ova tehnika uopće ne treba čuditi jer su u mobilnim
uređajima pohranjeni različiti podaci: kontakti (brojevi telefona, adrese), fotografije,
kalendari, bilješke itd.
Kontrolna pitanja:
1. Objasnite pojam korporativnoga upravljanja informatikom.
2. Zašto je važno mjeriti učinak informacijskih sustava na poslovanje? Objasnite na
nekoliko primjera iz prakse.
3. Nabrojite nekoliko mehanizama korporativnoga upravljanja informatikom.
4. Objasnite odnos među pojmovima revizija informacijskih sustava i korporativno
upravljanje informatikom.
5. Što je kvaliteta informacijskih sustava? Objasnite na nekoliko primjera.
6. Objasnite pojam revizije informacijskih sustava.
7. Što je osnovni cilj revizije informacijskih sustava?
8. Objasnite regulativu revizije informacijskih sustava.
9. Koja tijela i koji regulatorni okviri određuju nacionalni zakonski okvir revizije infor-
macijskih sustava u Republici Hrvatskoj?
10. Što smatrate najvažnijim razlogom korištenja standarda i smjernica korporativno-
ga upravljanja informatikom i revizije informacijskih sustava?
11. Što su krovni standardi korporativnoga upravljanja informatikom i revizije informa-
cijskih sustava? Objasnite njihovu funkciju. Zašto ih smatramo krovnim?
12. Što su izvedeni standardi korporativnoga upravljanja informatikom i revizije infor-
macijskih sustava? Objasnite njihovu funkciju i nabrojite ih nekoliko. Zašto ih sma-
tramo izvedenim?
13. Što je CobiT ? Objasnite njegove najvažnije značajke i komentirajte moguće primjene
u revizijama informacijskih sustava.
14. Objasnite povezanost područja revizije informacijskih sustava, informatičkih kon-
trola i informatičkih rizika.
15. Objasnite čemu služe CobiT ocjene zrelosti korporativnoga upravljanja informatikom.
240
6. Revizija informacijskih sustava
241
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
242
7. Zaključak
7. Zaključak
Okruženje digitalne ekonomije donosi vizionarske i inspirativne scenarije primjene
digitalnih tehnologija kojima će se svi poslovni subjekti morati prilagoditi. Digitalna
transformacija i opsežna digitalizacija poslovanja sigurno će biti važne strateške
aktivnosti kojima će poslovni subjekti pokušati osnažiti svoju konkurentsku pozi-
ciju. Povodi za razmišljanja o poslovnome okruženju digitalne ekonomije u kojoj
živimo i radimo su prikazani u poglavlju 1. Iako smo već prilično okruženi brojnim
suvremenim tehnologijama bez kojih ne možemo zamisliti poslovnu i privatnu sva-
kodnevicu, jedan od važnih ciljeva prvoga poglavlja je ukazati na činjenicu da nam
tek predstoji iznimno intenzivno i sveobuhvatno korištenje potpuno novih – digital-
nih tehnologija koje će (zauvijek) promijeniti naše životne i poslovne navike, ali nas
izložiti i brojnim novim rizicima – cyber rizicima.
No, kako svaka medalja ima dvije strane, pored velikih mogućnosti za stvaranje no-
vih poslovnih vrijednosti, intenzivna primjena informacijskih i digitalnih tehnologija
poslovanje i pojedince izlaže cyber rizicima.
Cyber rizici su one vrste informatičkih rizika koje se odnose na intenzivnu primjenu
digitalnih tehnologija u poslovanju. Što kompanije intenzivnije koriste suvremene
informacijske i digitalne tehnologije, više su izložene cyber i informatičkim rizicima.
Ti rizici imaju dvojnu narav: neizbježni su, stalno su prisutni i njihova pojava i inten-
zitet stvaraju probleme u poslovanju, a njihovo bolje upravljanje čuva vrijednost
informatičkih ulaganja.
Svi navedeni ključni termini (sigurnost informacijskih sustava, informatičke kon-
trole, informatički rizici i revizija informacijskih sustava) su međusobno povezani
i predstavljaju posebna poglavlja ove knjige. Dakle, osnovni cilj mjera cyber sigur-
nosti i sigurnosti informacijskoga sustava jest osmišljavanje i primjena kontrolnih
mehanizama kojima se, sukladno procjeni prihvatljivih razina rizika, štite ulaganja
u informatiku i omogućuje redovitu provedbu poslovnih transakcija. Sigurnost in-
formacijskih sustava, se ostvaruje osmišljavanjem i provedbom kontrola (informa-
tičkih kontrola) kojima se sprječavaju neželjeni događaji, a revizijama informacijskih
sustava provjeravamo postoje li te kontrole i u kojoj su mjeri učinkovite i zrele. Što
su informatičke kontrole učinkovitije, poslovanje je manje izloženo informatičkim
rizicima. Revizijama informacijskih sustava uz metodološku podršku dokazanih
preporuka i okvira (CobiT, ISO 27001, PCI DSS, NIST i drugi) provjeravamo razinu
243
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
244
7. Zaključak
245
Literatura
Literatura
1. Armerding, T. (2015): Top 15 security prediction for 2016 http://www.infoworld.com/
article/3015953/security/top-15-security-predictions-for-2016.html, (pristupljeno 21.
9. 2016.).
2. Broadbent, M., Kitzis, E. S., The New CIO Leader: Setting the Agenda and Delivering
Results, Gartner Inc., Harvard Business School Press, 2005.
3. Cavusoglu, H., Mishra, B., Raghunathan, S. (2004, Fall): The effect of Internet security
breach announcements on market value: Capital market reaction for breached firms
and Internet security developers, International Journal of Electronic Commerce, 9(1), 69-
104.
4. CFO Research Services (2005): Risk Denial from the Top?, CFO Publishing Corp. i Price-
waterhouseCoopers.
5. Chiesa, R., Ducci, S., Chiappi, S. (2004): Hacker Profiling Project, http://www.infosecto-
day.com/Articles/Hackers_Profiling_Project.htm, (pristupljeno 17. 7. 2016.).
6. Drucker, P. (1999): Management Challenges for the 21st Century, HarperBusiness, New
York, 1999.
7. Ernst & Young (2011): Into the cloud, out for of the fog, Global Information Security
Survey 2011, Ernst & Young, USA.
10. Groznik, A., Kovačič, A., Spremić, M. (2003): Do IT Investments Have a Real Business
Value?, Applied Informatics, No. 4, 2003, pp. 180-189.
11. Hern, A. (2016): Blochain: the answer to life, universe or everything, https://www.
theguardian.com/world/2016/jul/07/blockchain-answer-life-universe-everything-bit-
coin-technology, (pristupljeno 12. 8. 2016.).
12. ISACA (2012): Extracting Value from Information Chaos: Why Good Governance Makes
Good Sense, CobiT 5, ISACA, Rolling Meadows, Illinois, USA.
13. ISACA (2012): Extracting Value from Information Chaos: Why Good Governance Makes
Good Sense, CobiT 5, ISACA, Rolling Meadows, Illinois, USA.
14. ISACA (2015): Global Cyber Security Status Report, ISACA, Rolling Meadows, Illinois,
USA.
247
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
15. ITGI (2007), CobiT 4.1 – Framework, Control Objectives, Management Guidlines and
Maturiy Models, IT Governance Institute, Rolling Meadows, SAD.
16. Kenneth L. Fulmer (2005): ‘Business Continuity Planning - A Step-by-Step Guide with Plan-
ning Forms, Third Edition, The Rothstein Catalog On Disaster Recovery, Brookfield, Con-
necticut, 2005.
17. Lederer A. L., Salmela H. (1996): Toward a Theory of Strategic Information Systems Plan-
ning, Journal of Strategic Information Systems, Volume 5, Number 3, pp. 237-253, 1996.
18. McFarlan, F. W., McKenney, J. L., Pyburn, Ph. J. (1983): The Information Archipelago –
Plotting a Course, Harvard Business Review, Jan-Feb 1983.
19. Meyer, D. (2016): Why Adidas is turning to robots in Germany and US, http://fortune.
com/2016/05/25/adidas-robot-speedfactories/, (pristupljeno 3. 6. 2016.).
20. Nolan, R. and McFarlan, F. W. (2005): Information Technology and Board of Directors,
Harvard Business Review, October, 2005.
21. Panian, Ž., Spremić, M. (2007.): Korporativno upravljanje i revizija informacijskih sus-
tava, Zgombić i partneri, Zagreb.
22. Panian, Ž. (2001.): Kontrola i revizija informacijskih sustava, Sinergija, Zagreb.
23. Piccoli, G., Pigni, F. (2016): Information Systems for Managers, edition 3.0, Prospect
Press, USA.
24. PricewaterhouseCoopers (2014): What matters in the boardroom – director and inves-
tors views on trends shaping governance and the board of the future, https://www.
pwc.com/us/en/corporate-governance/publications/assets/pwc-what-matters-in-the-
boardroom-director-investor-views.pdf, (pristupljeno 2. 9. 2016.).
25. PricewaterhouseCoopers (2015): Global State of Information Security, http://www.
pwc.com/gx/en/issues/cyber-security/information-security-survey/key-findings.html,
(pristupljeno 6. 7. 2016.).
26. Snow, C. C., Miles, R. E., Coleman, H. J., Managing the 21st Century Network Organiza-
tion, Organizational Dynamics, 21 (1), Winter 1992, pp. 5-20.
27. Spremić, M. (2005): Managing IT risks by implementing information system audit func-
tion, Proceedings of the 3rd International Workshop in Wireless Security Technologies,
Westminster University, London, 04-05.04.2005, pp. 58-64.
28. Spremić, M., Popović, M. (2008): Emerging issues in IT Governance: implementing the
corporate IT risks management model, WSEAS Transaction on Systems, Issue 3, Volume
7, March 2008, pp. 219-228.
29. Spremić, M. (2012): Corporate IT Risk Management Model: a Holistic view at Managing
Information System Security Risks, Proceedings of the 34rd International Conference on
Information Technology Interfaces (ITI), Cavtat, June 25-28, 2012, pp. 299-304.
30. Spremić M., Ivanov, M., Jaković, B. (2012): Using CobiT Methodology in Information Sys-
tem Auditing: Evidences from Measuring the Level of Operational Risks in Credit Insti-
248
Literatura
32. Spremić, M. (2013): Holistic approach to governing information system security, Lec-
ture Notes in Engineering and Computer Science, Volume 2 LNECS, 2013, Pages 1242-
1247.
33. Spremić, M., Bajgorić, N., Turulja, L. (2013): Implementation of IT governance standards
and business continuity management in transition economies: The case of banking
sector in Croatia and Bosnia-Herzegovina, Ekonomska istraživanja – Economic research,
Volume 26, Issue 1, pp. 183–202.
35. Spremić, M. (2015): Corporate Governance of Enterprise IT: Research Study on IT Gov-
ernance Maturity, International Scholarly and Scientific Research & Innovation Vol: 9,
No: 9, 2015. pp. 2963-2967.
36. Symons, C., (2005): IT Governance Framework: Structures, Processes and Framework,
Forrester Research, Inc.
37. Tapscott, D., Ticoll, D., Lowy, A. (2000): Digital Capital: Harnessing the Power of Busi-
ness Webs, Harvard Business School Press, Boston, 2000.
38. The Economist (2015): Why does Kenya lead the world in mobile money (2013): http://
www.economist.com/blogs/economist-explains/2013/05/economist-explains-18,
(pristupljeno 21. 9. 2016.).
39. Weill, P., Ross, J. W., IT Governance: How Top Performers Manage IT Decision Rights for
Superior Results, Harvards Business School Press, 2004.
249
Kazalo
Kazalo
3 cjelovitost, 53, 82, 162, 174, 193
cloud, 4, 7, 9, 10, 15, 18, 26, 28, 33, 41, 134, 229
3D printeri, 3, 13, 30, 31
CobiT, 38, 41, 80, 109, 110, 111, 119, 120, 121,
196, 198, 199, 200, 201, 202, 203, 204,
A
205, 206, 207, 208, 209, 210, 211, 214,
Adidas, 13, 25, 29, 30, 31, 34, 35 215, 222, 240
Adidas Speedfactory, 13, 25, 29, 30, 35 ComAir, 66, 179
adware, 49, 124 crvi, 124
Airbus, 14 customer intimacy, 28
Amodo, 28, 34 cyber kriminal, 48, 177
aplikacijske kontrole, 92 cyber rizici, 38
Apple, 3, 14, 18, 21, 24, 25, 27, 32, 35, 164, 173 cyber sigurnost, 37, 40, 47, 51, 52, 53, 58, 59
Apple Pay, 3, 14, 18, 25, 32, 35
Audi, 14, 20, 21 D
audit trail, 239
automatske kontrole, 88, 89, 91, 149 DDoS, 42, 50, 125, 129
autorizacije detektivne kontrole, 88, 89, 94
autorizacija, 44, 132, 135, 136, 159, 186 digitalizacija, 17, 20, 25
digitalizacije poslovanja, 4, 13, 14, 16, 17, 21,
B 24, 30, 41, 191, 219, 223, 224
digitalna ekonomija, 1
backdoor napad, 128 digitalna platforma, 5, 26, 28, 32
BellaBeat, 13, 23, 29, 34 digitalna transformacija poslovanja, 4, 5, 23,
Belje, 31 25, 26, 27, 28, 64, 95
Benfordov zakon, 236, 237, 242 digitalna ekonomija, 6, 7, 23, 24, 25, 34,
big data, 4, 7, 10, 11, 15, 26, 28 37, 39, 45, 46, 61, 62, 63, 64, 68 100,
biometrijski uređaji, 135 179, 190, 191, 218, 220, 223, 224
blockchain tehnologija, 33 digitalne platforme, 7, 8, 9, 12, 23, 24, 25, 27,
BMW, 14, 19, 34 29, 35, 222
Boeing, 14, 19, 34 digitalne tehnologije, 1, 2, 3, 4, 5, 6, 7, 9, 10,
botnets, 51, 125 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 25,
Burberry, 20, 34, 35 26, 27, 30, 31, 32, 33, 35, 37, 38, 40, 45,
47, 48, 52, 60, 62, 68, 93, 100, 179, 190,
C 191, 220, 221
certifikati, 134 digitalni poslovni modeli, 23
Chrysler automobili, 69 digitalni potpis, 160
CIO, 95, 190, 218, 221, 224 digitalno, 16, 25, 35
CISO, 45, 96 disruptivne inovacije, 23, 26
CitizenM, 21 Domino’s, 9, 22
251
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
DoS, 50, 51, 125, 129 informacijska sigurnost, 40, 46, 58, 59, 112
dostupnost, 53, 54, 57, 66, 93, 182, 193 informacijski sustav, 37, 39, 44, 57, 70, 74,
dronovi, 14 78, 88, 91, 98, 99, 100, 102, 130, 135,
društvene mreže, 8 175, 182, 211, 212, 214, 216, 217, 221
društveni inženjering, 48, 49, 52, 63, 123, informatičke kontrole, 38, 39, 60, 79, 87, 88,
124, 126 89, 92, 93, 94, 98, 102, 115, 119, 120, 123,
130, 135, 195
E informatički rizici, 38, 39, 40, 41, 42, 46, 47,
60, 61, 62, 63, 64, 65, 66, 68, 70, 71, 72,
ekstranet, 143
73, 74, 75, 76, 77, 78, 79, 80, 84, 85, 87,
elektronički potpis, 162
96, 120, 195, 208, 240
experiential retail, 21
informatički standardi, 198
F integritet, 53, 54
Internet, 2, 3, 4, 7, 12, 16, 26, 43, 139, 142,
Farmeron, 25, 32, 35 143, 144, 145, 148, 149, 155, 159, 164,
faze provedbe revizije informacijskih susta- 165, 186, 190
va, 212, 213 Internet of Things, 4, 7, 12, 16, 26
firewall, 143, 148, 174 internet stvari, 7, 12, 190
fizička identifikacija, 130 intranet, 143
fizičke kontrole, 38, 74, 88, 89, 91, 212, 214, 224 IP, 142, 144, 145, 148, 150, 153, 154, 155,
fizički sloj, 153 157, 159, 230
FTP, 145, 155, 156, 157, 159 IPsec, 145, 157, 159, 226, 230, 231
FTP, 226, 229 ISACA, 41, 42, 48, 53, 109, 198, 201, 229
funkcije informacijskih sustava, 37 ISO 27000 norme, 39, 112, 200, 211, 241
ITIL, 39, 80, 119, 196, 199, 200, 208, 209,
G 210, 211, 241
‘game-changer’, 1, 8 izvedeni standardi, 199, 200
Gamification, 19
gateway, 146, 147 K
General Electric, 4, 24, 34, 35 keylogers, 49, 126
Geolux, 13 kibernetički kriminal, 48
Google Glass, 19 Kisha, 12
gubitak, 117 Kodak, 5
kontrola pristupa, 96, 132, 129, 133, 160, 186
H kontrole podataka, 106
hibridna arhitektura, 139 kontrole rada softvera, 101
HTTP, 145, 153, 154, 155, 158, 159, 226, 231 Konzum, 33
HTTPS, 145, 153, 154, 155, 157, 158, 159, korektivne kontrole, 88, 90
230, 231 korisničko ime i lozinka, 134
korporativne (strateške) informatičke kon-
I trole
korporativne informatičke kontrole, 93
identifikacija, 72, 130 korporativne kontrole, 79, 88
identitet korisnika, 132, 134, 135 korporativno upravljanje informatikom, 94,
imovina, 73, 81 111, 190, 191, 198, 203, 218, 240
‘industrijska revolucija 4.0’, 4 krađa identiteta, 49, 125
252
Kazalo
253
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
S U
sabirnička arhitektura, 138 Uber, 15, 24, 26, 34, 35
Samsonite, 12, 34 umjetna inteligencija, 14, 28
SANS, 39, 80, 109, 113, 114, 120, 121, 199, upravljačke kontrole, 79, 88, 103, 104, 106,
200, 201, 214, 215 107, 108, 109, 114, 120, 121
scenariji upravljanja informatičkim rizicima, 79
upravljanje kontinuitetom poslovanja, 67,
scenariji upravljanja rizicima, 79
79, 90, 96, 179, 180, 181, 187, 193, 242
SCP, 156, 226, 230
upravljanje rizicima, 70, 217
segmentacija mreže, 160, 229
usmjernik, 146, 147, 148, 239
senzori, 4, 7, 12, 13, 14, 16, 22, 28, 100, 190
SET, 158, 231
V
Shop&Touch, 33, 34
sigurnosne informacijske politike, 95, 103, 117 vatrozid, 113, 143, 148, 150, 151, 174
sigurnosni tokeni, 134 veliki podaci, 4, 7, 11, 177
sigurnost informacija, 53 virtualna stvarnost, 3, 14
sigurnost informacijskih sustava, 38, 39, 40, višestruka identifikacija, 135
45, 53, 56, 57, 60, 87 VLAN, 45, 160, 230
skimming, 126 VPN, 157, 229
sloj mreže, 153
sloj povezivanja podataka, 153 W
sloj prezentacije, 152, 154
sloj sesije, 152, 153, 154, 155 Wal-Mart, 9, 34
Snapchat, 8, 9, 24, 35
Sony Entertainment Company, 68 Z
SoundPays, 32 zakon minimuma kvalitete informacijskih
SSL, 145, 153, 155, 157, 158, 159, 226, 230, 231 sustava, 193
Stuxnet računalni virus, 48, 164 zaštita, 53, 54, 103, 112, 123, 148, 156, 226
tajnosti podataka, 117
T zlonamjerni računalni programi, 49, 124,
Target, 44, 45, 176 162
TCP, 144, 145, 148, 153, 154, 155, 157, 159, 230 zvjezdasta arhitektura, 138
254
Broj i naziv poglavlja ??????????????????????????
Popis tablica
Tablica 2.1. Primjeri informatičkih incidenata ........................................................................ 42
Tablica 2.2. Izvori opasnosti i rizika u informacijskome sustavu ....................................... 56
Tablica 3.1. Primjer procjene razine informatičkih rizika i utvrđivanja strategija
odgovora na rizike (matrica analize prijetnje i vjerojatnost njihova
nastanka) .................................................................................................................... 76
Tablica 3.2. Primjer razrade scenarija informatičkih rizika ................................................. 77
Tablica 3.3. Pregled rezultata plana upravljanja informatičkim rizicima ......................... 80
Tablica 4.1. Faze razvoja, uspostavljanja i održavanja informacijskoga sustava
i pripadajuće izvršne upravljačke kontrole ....................................................... 104
Tablica 4.2. Upravljačke kontrole podataka ............................................................................ 107
Tablica 4.3. Pregled PCI DSS sigurnosnih upravljačkih kontrola ....................................... 113
Tablica 4.4. Skupine kontrola na operativnoj razini upravljanja informacijskim
sustavima ................................................................................................................... 116
Tablica 5.1. TCP paket sa zahtjevom za slanje web stranice s web poslužitelja ............ 144
Tablica 5.2. OSI referentni model, usluge i protokoli ............................................................ 153
Tablica 5.3. Razlike i sličnosti između TCP/IP i OSI referentnog modela ......................... 155
Tablica 5.4. Pregled protokola i usluga na priključnim točkama mreže
(open port protocols) .............................................................................................. 159
Tablica 5.5. Opcije oporavka obzirom na vrste i učestalost arhiviranja podataka....... 184
Tablica 5.6. Primjeri razmatranja vremena raspoloživosti obzirom na potrebne
opcije oporavka ........................................................................................................ 185
Tablica 6.1. Mjerenje učinkovitosti mjera upravljanja kontinuitetom poslovanja ......... 193
Tablica 6.2. Ocjene zrelosti korporativnoga upravljanja informatikom
prema CobiT-u .......................................................................................................... 208
Tablica 6.3. Faze provedbe revizije informacijskih sustava ................................................. 215
Tablica 6.4. CobIT ocjene zrelosti upravljanja poslovnim informacijskim sustavom .... 217
Tablica 6.5. Vjerojatnost pojave određene znamenke na vodećoj poziciji
prema Benfordovoj distribuciji............................................................................. 237
255
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
256
Broj i naziv poglavlja ??????????????????????????
Popis slika
Slika 2.1. Promjene prirode i utjecaja informatičkih rizika kroz vrijeme....................... 47
Slika 2.2. Razlika među pojmovima informacijska sigurnost i cyber sigurnost .......... 58
Slika 3.1. Koraci i faze procesa upravljanja informatičkim rizicima ................................ 71
Slika 3.2. Podjela informatičkih kontrola ............................................................................... 80
Slika 4.1. Vrste informatičkih kontrola obzirom na hijerarhijsku razinu
njihova djelovanja ...................................................................................................... 94
Slika 4.2. Razvoj CobiT okvira ................................................................................................... 110
Slika 5.1. Grafički prikaz ‘man-in-the-middle’ napada ....................................................... 129
Slika 5.2. Najgore lozinke u 2015. ............................................................................................ 131
Slika 5.3. Najčešća izvedba lokalne računalne mreže ....................................................... 140
Slika 5.4. Najčešća izvedba rasprostranjene računalne mreže ...................................... 142
Slika 5.5. Postupak razmjene sadržaja u internetskome okruženju
primjenom TCP/IP protokola................................................................................... 145
Slika 5.6. Obrambeni zid logički i fizički razdvaja lokalnu i rasprostranjenu
računalnu mrežu ........................................................................................................ 149
Slika 5.7. Obrambeni zid (vatrozid) štiti pristup branjenoj (unutarnjoj)
računalnoj mreži ........................................................................................................ 151
Slika 5.8. Skica izvedbe računalne mreže u slučaju pružanja usluga
temeljenih na e-poslovanju ..................................................................................... 151
Slika 5.9. SSL i HTTPS protokol................................................................................................. 157
Slika 5.10. HTTPS protokol........................................................................................................... 158
Slika 5.11. Ransomware zloćudni program............................................................................. 167
Slika 5.12. Primjeri e-trgovina s aplikacijama koje mogu prenijeti zloćudni
računalni kod............................................................................................................... 172
Slika 5.13. Pregled incidenata vezanih za krađu podataka ................................................ 176
Slika 5.14. Tijek aktivnosti upravljanja kontinuitetom poslovanja .................................... 181
Slika 6.1. Razvoj CobiT metodologije i pregled trenutno aktualne verzije
CobiT 5 .......................................................................................................................... 202
257
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
258
Broj i naziv poglavlja ??????????????????????????
Poglavlje 1.
Adidas, Adidas Speedfactory Airbus, Amodo, Audi, Belje, Blockchain, BMW, Boeing, Burber-
ry, CitizenM, Domino’s Pizza, General Electric, Geolux, Kodak, Konzum Shop&Touch, Krups,
Lee Jeans, Macy’s, Mini Fashion Bar (Hotel Banks i Pimkie), mPesa, Nest, Netflix, Number 26,
Oradian, PhotoMath, Route 66, Samsonite, Snapchat, SoundPays, Tesco, Uber, Wal-Mart
Studije slučajeva
Poglavlje 2.
Studija slučaja 2.1.: Krađa podataka u maloprodajnome lancu Target
Poglavlje 3.
Studija slučaja 3.1.: Prekid rada informacijskoga sustava zrakoplovne kompanija ComAir
Studija slučaja 3.2.: Sony Entertainment Company – krađa korisničkih podataka
Studija slučaja 3.3.: Chrysler automobili – hakiranje automobila i preuzimanje daljinske
kontrole
Studija slučaja 3.4.: Procjena rizika primjene informacijskih sustava
Primjer modela korporativnoga upravljanja informatičkim rizicima
Poglavlje 5.
Studija slučaja 5.1.: Stuxnet računalni virus
Studija slučaja 5.2.: Hakerski napadi na Ryanair
Poglavlje 6.
Studija slučaja 6.1.: Provedba revizije informacijskih sustava
259
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
260
Broj i naziv poglavlja ??????????????????????????
Životopis autora
Prof. dr. sc. Mario Spremić je redoviti profesor u trajnom zvanju na
Katedri za informatiku Ekonomskog fakulteta Sveučilišta u Zagrebu,
gostujući profesor na inozemnim institucijama, znanstvenik i po-
slovni i ICT konzultant. Diplomirao je na Matematičkom odjelu Pri-
rodoslovno matematičkog fakulteta Sveučilišta u Zagrebu (dipl. inž.
matematike), magistrirao (mr. sc.) na poslijediplomskome studiju In-
formatički menadžment Ekonomskog fakulteta Sveučilišta u Zagre-
bu, gdje je 2002. doktorirao na temu ‘Poslovni modeli u novoj eko-
nomiji’. Ranije je radio kao programer, sistem analitičar i projektni
menadžer. Dosad je kao autor ili ko-autor napisao 14 knjiga i preko
100 znanstvenih i stručnih članaka uglavnom u području digitalne ekonomije, upravljanja
ICT-om (ICT governance), inovacija temeljenih na ICT-u, upravljanju cyber rizicima, strategiji
ICT-a, digitalnoj transformaciji poslovanja, sigurnosti i reviziji informacijskih sustava i digi-
talnom poslovanju.
U posljednjih 20-ak godina istražuje mogućnosti strateške primjene ICT-a u poslovanju,
osobito u inovacijama poslovnih modela, digitalnoj ekonomiji i upravljanju ICT-om, revi-
ziji i sigurnosti informacijskih sustava i cyber rizicima stvarajući, zajedno sa suradnicima
suvremene studijske programe iz tih područja i pomažući brojnim kompanijama digitalnu
transformaciju njihova poslovanja.
Na Ekonomskom fakultetu Zagreb izvodi nastavu iz brojnih kolegija (e-Poslovanje, Informa-
tički menadžment, Poslovni informacijski sustavi, Enterprise information systems, e-Busi-
ness, ICT management, Sigurnost informacijskih sustava, Revizija informacijskih sustava),
voditelj je Bachelor Degree in Business studija na engleskome jeziku (www.efzg.hr/bdib),
koji je akreditiran prestižnom međunarodnom EPAS akreditacijom, diplomskog studija Ma-
sters in Managerial Informatics i specijalističkog poslijediplomskog studija ‘Informatički me-
nadžment’. Na matičnoj instituciji vodi procese međunarodnih akreditacija (EPAS i EQUIS
akreditacija) i čest je govornik na međunarodnim konferencijama iz područja unaprjeđenja
kvalitete visokoškolskih institucija prema međunarodnim kriterijima.
Dodatno se obrazovao iz područja svoga rada na međunarodnim institucijama (WU Vienna
University, MIT Sloan School of Management), na nizu konferencija (EFMD, IAENG i brojne
ostale konferencije) i seminara.
Gostujući je profesor na domaćim (FER, FOI, Sveučilište u Zagrebu) i međunarodnih institu-
cija (Ekonomski fakultet Sveučilišta u Ljubljani, Ekonomski fakultet Univerziteta u Sarajevu,
Imperial College London), gdje na poslijediplomskim, MBA i doktorskim studijima izvodi na-
stavu iz područja svoga rada (digitalna transformacija poslovanja, digitalna strategija, cyber
rizici, sigurnost i revizija informacijskih sustava). Član je većeg broja domaćih i međunarod-
261
Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
nih institucija iz područja svoga rada, između ostalog Programskog odbora IAENG-a (Inter-
national Association of Engineers) i ISACA-e gdje dugi niz godina volontira kao potpredsjed-
nik hrvatske podružnice. Dobitnik je više znanstvenih nagrada i nositelj CGEIT certifikata.
Osmislio je i izvodi programe edukacije za interne i eksterne revizore informacijskih sustava
u Republici Hrvatskoj, bio konzultantom uvođenja regulative revizije informacijskih sustava
u susjednim zemljama i često provodi edukativne seminare.
Obzirom na svoje multidisciplinarno obrazovanje (tehnološko i poslovno – menadžersko),
znanstvene rezultate, korporativno iskustvo i praktično – projektno iskustvo, vrlo često je
angažiran na projektima revizije i provjere sigurnosti informacijskih sustava za banke, osi-
guravajuća društva, trgovačke lance, proizvodne kompanije itd.
Reference iz područja revizije i sigurnosti informacijskih sustava od 2010. godine su: Agram
life osiguranje Allianz Zagreb, Banka Kovanica, Centar banka, Croatia osiguranje, Federal-
na agencija za bankarstvo Federacija BiH, Izvor osiguranje, Jadransko osiguranje, Konzum,
Kreditna banka Zagreb, Ledo i Agrokor, Nova Kreditna banka Maribor, Privredna banka
Zagreb, Partner banka, Podravka, Src.si, SKDD (Središnje klirinško depozitno društvo), Šted-
banka Tisak, UNIQA osiguranje, VABA Varaždinska banka, Zagrebačka burza i ostali.
Konzultant je brojnim kompanijama i institucijama, u preko 50 projekata je vodio digitalne
transformacije poslovanja, procjenjivao razine sigurnosti informacijskih sustava, provodio re-
vizije informacijskih sustava i predlagao poboljšanja poslovne prakse u mnogim industrijama.
262
M. Spremić: Sigurnost i revizija informacijskih sustava u okruženju digitalne ekonomije
MARIO SPREMIĆ
SIGURNOST I REVIZIJA
INFORMACIJSKIH SUSTAVA
U OKRUŽENJU
DIGITALNE EKONOMIJE
Zagreb, 2017.