1 / 34

IT SIGURNOST I UPRAVLJANJE RIZICIMA

IT SIGURNOST I UPRAVLJANJE RIZICIMA. Marko Čičin-Šain. PRAVILA IGRE. Mobiteli su isključeni Diskusija je dobrodošla Prezentacija će biti snimljena na Internetu Predajte mi popise timova. Teme za današnje predavanje. Dan 4. Što je to rizik Na koji način rizici prijete sustavu

lana-mccall
Télécharger la présentation

IT SIGURNOST I UPRAVLJANJE RIZICIMA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT SIGURNOST I UPRAVLJANJE RIZICIMA Marko Čičin-Šain

  2. PRAVILA IGRE • Mobiteli su isključeni • Diskusija je dobrodošla • Prezentacija će biti snimljena na Internetu • Predajte mi popise timova

  3. Teme za današnje predavanje • Dan 4. • Što je to rizik • Na koji način rizici prijete sustavu • Kako se rizici kvantificiraju (tehnike i primjeri)

  4. Što je to rizik • Rizik je ono što ne možete kontrolirati, može se dogoditi a taj događaj potencijalno može imati negativne reperkusije • Najbanalniji primjer svakodnevnog rizika je auomobilska nesreća • Rizici se mogu kontrolirati – primjerice, postoje načini kako smanjiti mogućnost ozljede kod sudara (vezati se pojasom, airbag, defanizvna vožnja, itd.)

  5. Što je to rizik u IT smislu? • U IT smislu najčešće pričamo o operativnim rizicima • Operativni rizik je vjerojatnost ostvarivanja potencijalnih gubitaka zbog neprimjerene informatičke podrške, organizacijskih problema, ljudskog faktora, prirodnih katastrofa, zlouporabe, prijevare, itd. • Operativni rizik može se pojaviti na tehničkoj razini ili na organizacijskoj razini

  6. Kako se upravlja rizikom? • Rizik je nemoguće kontrolirati – da ga možemo kontrolirati, onda to više ne bi bio rizik • Rizikom se može upravljati • To znaći da neprestano pratimo što se događa, te poduzimamo nužne radnje da smanjimo rizike

  7. Kako se upravlja rizikom? MJERENJE EFIKASNOSTI PODUZETIH MJERA IDENTIFIKACIJA RIZIKA IMPLEMENTACIJA KONTROLA DONOŠENJE ODLUKA OKO UPRAVLJANJA Proces upravljanja s operativnim rizikom je obično kontinuirani, neprekidni proces koji se odvija u ciklusima.

  8. Nešto o rizicima… • O rizicima se počelo pričati ozbiljnije tek nakon 9/11, kada su pali Twinsi • Direktna šteta na IT opremi bila je oko dvadeset puta manja od štete koje su tvrtke pretrpile zbog neadekvatne arhive i procedure povrata podataka • Najveća šteta – policijska blokada blokirala je cijelu zonu na tjedan dana, tvrtke nisu mogle pristupiti svojim podacima okolnim zgradama i propale su – procijenjena šteta oko 100 puta veća od štete na Twinsima

  9. Zašto dolazi do toga? • Radnici ne znaju što se kontrolira • Ne razumiju kako kontrolirati operativni rizik • Radnici ne žele provoditi kontrolu operativnih rizika na rigorozni način • Radnici ne vole biti kontrolirani u onome što rade. • Zbog toga dolazi do…

  10. Zašto dolazi do toga? • Ignoriraju prijetnju, ili je prihvaćaju ali bez da se poduzme išta da se spriječi njezino moguće izvršenje • Olako shvaćaju prijetnju i rješavaju ih Ad-Hoc • Pokušavaju pretjerano osigurati sve od prijetnje, bez da uzmu u obzir kasnije korištenje i fleksibilnost samog sustava

  11. Zašto dolazi do toga? VIKTOR LENAC LOŠE RUKOVODSTVO NEDOSTATAK VJEŠTINA I ZNANJA ENRON LOŠA ORGANIZACIJA RIZIK IZVRŠENJA RIJEČKA BANKA ADIDAS

  12. Koliko je izvjesno da će doći do gubitka? Iz gornjeg grafikona, vidljivo je da očekivani gubici uzokuju najmanje štete. Najopasniji su oni katastrofični koji uzrokuju velike, često nepopravljive štete. Na sreću, takvih potencijalnih rizika ima oko 1 % u ukupnom zbroju postojećih rizika.

  13. Malo statistika • Banke odišnje gube oko 120 milijuna dolara na štetama prouzročenim operativnim rizikom • Amerika prednjači u krađi identiteta – 86% ukupnih krađa podataka kreditnih kartica događa se u Americi • Najviše (79%) situacija povezano je sa ljudskim faktorom

  14. Malo statistika • 73% šteta nastaje zbog neadekvatne tehnologije • 46% nastaje zbog vanjskih utjecaja • 41% zbog loše opisanih procedura • 51% napada dolazi kroz e-mail ili spam • 31% zbog radničkog nepoštivanja procedura (primjerice, posječivanje pornografskih stranica i sl.)

  15. Malo statistika • 58% situacija je imalo direktne financijske učinke • 30% interne troškove • 12% reputacijsi učinak

  16. Kako mjeriti i upravljati rizikom? • Kvantitativna metoda • ALE=ARO x SLE • ARO - Annualized Rate of Occurence, koliko puta godišnje možemo očekivati određeni događaj • SLE - Single Loss Expectancy, koliki gubitak možemo očekivati prilikom tog događaja • ALE - Annual Loss Expectancy, koliki je ukupan godišnji gubitak zbog svih takvih događaja

  17. Primjer kvantitativna metoda • Ozbiljniji virus se pojavljuje svakih pet godina • Šteta koju prouzročuje je 10.000 • ALE = 0,2 x 10.000 = 2.000 • Antivirus košta 100 • Antivirus smanjuje koeficijent učestalosti na 0,1 • ALE = 0,1 x 10.000 = 1.000 • Antivirus donosi uštedu od 900, zato ga se isplati kupiti

  18. Nedostaci kvantitativne metode • Za izračun ARO moramo imati kvalitetno vođenu bazu podataka statistike događaja • Podaci moraju biti praćeni minimalno 3 godine unazad da bi se mogli kvantificirati • Iako vrlo precizna, ovo je izrazito skupa i teško primjenjiva metoda

  19. Kvalitativna metoda • Kvalitativna metoda je subjektivnija metoda i zasniva se na iskustvu radnika koji koriste određeni resurs. • To znači da je bazirana prvenstveno na tehnici intervjuiranja i da zahtijeva razgovor sa svim većim odjelima unutar poduzeća. • Utoliko je ova metoda nesigurnija sa konačnom ocjenom i zahtjeva veliku količinu resursa za održavanje, ali je istovremeno i jednostavnija za postaviti jer su podaci stalno dostupni.

  20. Kvalitativna metoda • Mjeri se CIAO koeficijent sa ocjenama od 0 do 4, gdje 0 znaći najsigurnije, a 4 najrizičnije • C - confidentiality, povjerljivost • I - integrity, integritet • A - availability, raspoloživost • O - other, drugi aspekti

  21. Kvalitativna metoda – primjer virus

  22. Kvalitativna metoda – primjer virus • Ranjivost se ocjenjuje sa tri kriterija • H za visoku = 2 • M za medium = 1 • L za nisku = 0

  23. Kvalitativna metoda – primjer virus

  24. Kvalitativna metoda – primjer virus • Prijetnje se izračunavaju kombiniranjem ranjivosti i resursa

  25. Kvalitativna metoda – primjer virus

  26. Kvalitativna metoda – primjer virus • Kada su nam poznati svi ovi elementi, onda možemo u konačnici izračunati i rizike

  27. Kvalitativna metoda – primjer virus

  28. Kvalitativna metoda – primjer virus • U obzir se uzima najveća vrijednost iz stupca razina rizika. • Obično se kao rizične uzimaju vrijednosti koji su od broja 6 do broja 8, kao srednje rizični vrijednosti 4 i 5, dok vrijednosti manje od 4 se ne smatraju rizičnima. • U prethodnom primjeru svi su rizici visokorizični, što je pokazatelj da je resurs ozbiljno ugrožen i da se trebaju poduzeti mjere da se njegova razina rizika smanji.

  29. DISKUSIJA Vrijeme za dikusiju, pitanja i komentari su dobrodošli

  30. Vrijeme je za zadatak • U zadnje četiri druženja sa mnom naučili ste neke osnove • Naučili ste što znaći biti manager i uspješno voditi sastanak i delegirati zadatke • Naučili ste kako se ugovaraju proizvodi i koje su sve tehnike koje morate primijeniti da dobijete kompetitivnu prednost • Naučili ste kako se planira i kako se izrađuje plan razvoja • U konačnici, naučili ste što su rizici i dvije metode kako ih možete kvantificirati (te na temelju toga kako i upravljati sa njima)

  31. ZADATAK • Vrijeme je da pokažete kakav ste managerski kadar • Kao zadatak, morate odabrati jedno poduzeće koje je propalo unazad zadnjih par godina. Možete i iskoristiti prethodne primjere, npr. Enron ili Riječku Banku, ili možete pronaći svoje vlastite, nove primjere

  32. ZADATAK • Napravit ćete procjenu tog poduzeća • Izračunat ćete njegove rizike metodom koja vam odgovara • Analizirat ćete kako se to poduzeće moglo zaštiti putem boljeg planiranja ili ugovaranja proizvoda • Napravit ćete fiktivni plan restrukturacije poduzeća : strateški, taktički i operativni • I sve to rezimirat ćete u jednoj jedinoj prezentaciji koja ne smije trajati dulje od 20 minuta

  33. ZADATAK • Ocjenjivanje će biti dosta rigorozno • Ocjenjivat će se širina i kvaliteta podataka, kvaliteta analize, kvaliteta prezentiranja gradiva i grafička kvaliteta same prezentacije • Ako se prekorači 20 minuta, tim je diskvalificiran • Ako ne uspijete prenijeti prezentaciju na računalo i prikazati je, diskvalificirani ste. Imate 5 minuta za pripremu • Samo tim koji uspije zadovoljiti sve kriterije će dobiti nagradu • Tim koji ne uspije, neće dobiti ništa za svoj trud • Tako stvari funkcioniraju u stvarnom managerskom svijetu, tako će biti i idući put. Ovo vam je najbolja prilika da se pripremite za njega

  34. TIMOVI • Ovo je popis timova koje ćemo gledati idući put i njihovi voditelji • Sretno

More Related