Procena it kontrola i upravljanje rizicima informacionih sistema

© 2012 KPMG d.o.o. Beograd, a Serbian limited liability Bank and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved. 0

Procena IT kontrola i upravljanje rizicima informacionih sistema Nikola Marović Supervisor, KPMG IT Advisory

April 2012


IT rizici

Primeri IT rizika:

o Oslanjanje na sisteme i programe koji netačno obrađuju podatke o Neautorizovan pristup podacima o Kršenje pravila podele dužnosti o Propust da se naprave neophodne izmene u sistemima ili programima o Potencijalan gubitak ili nemogućnost pristupa podacima, softveru ili hardveru o Nedostupnost potrebnih ljudskih resursa

IT riziku najviše su izložene organizacije koje se u svom poslovanju u velikoj meri oslanjaju na informacione sisteme i imaju potrebu da IT servisi budu dostupni u kontinuitetu, kao i za obradom masovnih transakcija na dnevnom nivou. Uspostavljanje adekvatnih IT kontrola treba da bude odgovor organizacije na IT rizik.


IT rizici – primeri iz prakse (Evropa)

28%

29%

43%

Nastavak poslovanja nakon katastrofe

Nastavi poslovanje

Prekine poslovanje u roku od 3 godine Nikada ne obnovi poslovanje

Svake 2 godine, 9 od 10 kompanija se susretne sa probijanjem sigurnosti sistema Svakih 5 godina, jedna od pet kompanija u Evropi pretrpi značajne gubitke usled havarije U više od 50% kompanija email sistem doživi kolaps u radu barem jednom u toku godine

Više od 40% velikih kompanija ima primere odavanja poverljivih podataka


Upravljanje rizikom treba da obuhvati celokupni informacioni sistem organizacije i sve IT resurse. To je kontinuirani proces upoređivanja procenjenih rizika s prednostima i troškovima predloženih mera u skladu s poslovnim ciljevima. Ovaj proces generalno obuhvata: • procenu rizika • smanjivanje rizika • održavanje prihvatljivog nivoa rizika

Upravljanje rizicima informacionih sistema

Potrebno je razmotriti različite vrste zaštitnih mera, sprovesti analizu i uzeti u obzir prihvatljiv nivo rezidualnih rizika.

Zaštitne mere se biraju zavisno od verovatnoće pojave neželjenog događaja i od njegovog uticaja (kvantitativnog i kvalitativnog) na informacioni sistem i narušavanje njegove funkcionalnosti i sigurnosti).

Nezavisna kontrola IT operacija kao i procena funkcionalnosti IT servisa i stepena njihove podrške procesima organizacije su vitalni za zaštitu IT resursa, informacija i IT sistema kao i poboljšanje poslovanja.


Predlog pristupa

F A

Z A

1

Planiranje i određivanje opsega

Dokumentovanje procesa i kontrola/

snimak dizajna sistema internih

kontrola

• Identifikovanje procesa i određivanje prioriteta • Identifikovanje procesnih rizika

• Sagledavanje i dokumentovanje procesa, ključnih rizika i kontrola

• Uspostavljanje veze između kontrola i smanjenja poslovnih rizika.

• Snimak dizajna kontrola u cilju određivanja da li su kontrole projektovane za smanjenje ključnih rizika.

F A

Z A

2 Identifikovanje

nedostataka u kontrolama

Preporuke

• Identifikovanje nedostataka i propusta u kontrolama

• Definisanje preporuka za prevazilaženje nedostataka i propusta u kontrolama.

F A

Z A

3

Izrada metodologije • Analiza postojećih politika, procedura i internih pravila i identifikovanje oblasti u kojima su potrebna unapređenja

• Ažuriranje postojećih politika, procedura i internih pravila i izrada nacrta novih

KONTINUIRANE AKTIVNOSTI

•Rukovođenje projektom

•Razmena informacija

•Prenos znanja •Saradnja sa rukovodstvom

•Tehnička/

stručna podrška i

savetovanje


Procedure koje ćemo sprovesti se baziraju na sledećim koracima: Razgovor sa zaposlenima odgovornim za pojedine procese Pregled postojećih politika, procedura i internih pravila Razumevanje dizajna i implementacije kontrola Izvršavanje kontrola Izvršavanje upita i skripti Skeniranje korišćenjem specifičnih alata Ručno testiranje parametara…

Osnovni princip je da su kontrole sistema odgovarajuće kada omogućavaju: Poverljivost, Integritet i Dostupnost informacija.

Procedure prilikom testiranja IT kontrola


KPMG metodologija za sprovođenje IT Kontrola podrazumeva tri grupe kontrola: Opšte IT kontrole (IT General Controls) Pomažu pri utvrđivanju pouzdanosti podataka generisanih od strane IT sistema i osiguravanju da sistemi funkcionišu u skladu sa namenom i da je izlaz pouzdan. Obično uključuju sledeće oblasti: Pristup programima i podacima Kompjuterske operacije Izmene programa Upravljanje projektima i Razvoj programa Aplikativne kontrole Vezane su za transakcije i podatke u okviru aplikativnih sistema. Obezbeđuju potpunost i tačnost podataka kao i validnost unosa bez obzira da li su nastali obradom programa ili su rezultat ručnog unošenja podataka. Osnovne kontrole se odnose na : Unos (ulaz) podataka Verifikaciju Procesiranje (obradu) i Izlaz Kontrole migracije Prema potrebi vrši se sledeći set kontrola radi provere migracije / konverzije podataka

Naš pristup sprovođenju IT kontrola


1. Opšti pregled organizacije

1.1. IT Organizacija 1.2. IT Strategija, politike i procedure 1.3. IT Licence i ugovori

2. Pregled hardverske infrastrukture

2.1. Serveri 2.2. Radne stanice 2.3. Mrežna oprema 2.4. Ostala oprema

3. Pregled softvera

3.1. Operativni sistemi 3.2. Baze podataka 3.3. Aplikacije 3.4. Interfejsi

Opšte IT kontrole - detalji


4. Pristup programima i podacima

4.1. Funkcija sigurnosti informacija 4.2. Formalizovana politika sigurnosti 4.3. Klasifikacija i vlasništvo nad podacimai procesima 4.4. Pristup trećih strana resursima IS 4.5. Interna revizija i “self assesment“ 4.6. Procesi autorizacije 4.7. Logičke kontrole pristupa 4.8. Kontrola lozinki 4.9. Privilegije korisnika 4.10. Super korisnici i administracija 4.11. Podela odgovornosti 4.12. Revizija prava pristupa 4.13. Mehanizmi za logovanje 4.14. Kontrole za pristup mreži 4.15. Anti virusna, antispam i firewall zaštita 4.16. Politike instaliranja softvera i pristupa internetu 4.17. Fizičke kontrole pristupa

Opšte IT kontrole – detalji (nastavak)


5. Izmene u programima

5.1. Proces upravljanja promenama 5.2. Testiranje i Kontrola promena 5.3. Migracija promena u proizvodni režim rada 5.4. Bitne izmene u odnosu na prethodnu kontrolu 6. Upravljanje projektima i Razvoj programa

6.1. Proces odobravanja 6.2. Upravljanje projektom i razvojne metodologije 6.3. Proces testiranja 7. Kompjuterske operacije

7.1. Procedure za bekap i oporavak 7.2. Plan kontinuiteta poslovanja/Plan oporavka u slučaju nesreće 7.3. Procedure za upravljanje problemima i Monitoring 7.4. Help desk 7.5. Upravljanje incidentima

Opšte IT kontrole – detalji (nastavak)


Aplikativne kontrole se odnose se na razne kontrole rada aplikacija i najčešće su specifične samo za konkretne sisteme. Mogu biti ugnježdene u poslovne procese upotrebom aplikacija i pokrivaju: Unos (ulaz) podataka Verifikaciju Procesiranje (obradu) i Izlaz Ove kontrole pružaju garanciju da će aplikacija raditi u skladu sa zahtevima i da je informacija tačna, pravovremena i potpuna. Omogućavaju da kontrole odmah reaguju, ako se podaci ne poklapaju. Primeri aplikativnih kontrola: Kontrole kompletnosti, Validacione kontrole, Kontrole Identifikacije, Provera rezultata automatskih obrada, Provera enkripcije podataka u procesu prenosa … U ovu kategoriju spadaju i brojne kontrole samog poslovnog softvera, operativnih sistema, instalacija i održavanja softvera, prenosa podataka, rada sigurnosnih softvera, otkrivanje grešaka, uzroka incidenata, konfiguracija opreme, praćenje rada sistemskog softvera i sl.

Aplikativne kontrole


Prema potrebi vrši se sledeći set kontrola radi provere migracije / konverzije podataka Utvrđivanje obima i procesa migracije kao i uključenih kadrova i vlasnika podataka Provera postojanja jasne identifikacije svih podataka koje treba migrirati Procena kontrola koje treba da utvrde da li postoji odgovarajuće vođenje i izvršenje Procena da li su migrirani podaci tačni i relevantni Procena kompletnosti migriranih podataka Provera sigurnosti podataka i zaštite od namerne ili slučajne izmene tokom migracije Utvrđivanje da li su podaci dobro mapirani Pregled i procena izlaznih kriterijuma Provera da li je novi sistem dizajniran da omogući funkcionalnost aplikativnih kontrola

Provera migracije podataka i sistema


o Opis sprovedenih koraka o Sažet prikaz vaše IT organizacije kao i hardverske i softverske infrastrukture o Nalazi, identifikovani rizici i preporuke za sprovedene kontrole o Naše razumevanje izazova o Prioriteti za rešavanje o Procenjen broj meseci za realizaciju o Okvirna dinamika o Predlog rešenja o Okvirni iznos investicija i o Prednosti i nedostaci za moguće opcije o Pregled najznačajnijih nalaza i preporuka za IT bezbednost o Unapređene interne procedure

Primer rezultata jednog projekta


Br Izazovi Prioritet Meseci za realizaciju Okvirna Dinamika

2012 2013 Q2 Q3 Q4 Q1 Q2 Q3 Q4

1 Nalaz 1 Visok 9 do februara 2013 2 Nalaz 2 Visok 3 do sredine 2012 3 Nalaz 3 Visok 6 do 15 do kraja 2013 4 Nalaz 4 Srednji 3 do 6 decembar 2012 5 Nalaz 5 Nizak 3 do 9 maj 2012 do marta 2013 … … … … …

Grafički prikaz nalaza prema rizicima i prioritetima za rešavanje

Nalaz 1

Nalaz 2

Nalaz 3

Nalaz 4

Nalaz 5

0

1

2

3

4

Visok 60%

Srednji 20%

Nizak 20%

RIZIK

Statistika

Primer rezultata jednog projekta (nastavak)


© 2012 KPMG d.o.o. Beograd, a Serbian limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved.

The KPMG name, logo and ‘cutting through complexity’ are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

Dušan Tomić Partner, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 521 Mob +381 (60) 20 55 521

Nebojša Janković Assistant Manager, FS Kraljice Natalije 11 11000 Beograd [email protected] Tel. +381 (11) 20 50 603 Mob +381 (60) 20 55 603

mailto:[email protected]�






Documents

Procena it kontrola i upravljanje rizicima informacionih sistema