lead auditor iso 27001, journée 1 - pmi-osijek.com rizicima_pmi... · kada je identificirani...
TRANSCRIPT
Medijski pokrovitelj:
powered by
Kako upravljate rizicima u projektu i jeste li svjesni
rizika informacijske sigurnosti?
Silvana Tomić Rotim
Rizik – mit ili stvarnost?
• Rizik postoji u bilo kojoj ljudskoj djelatnosti
Prelaženje ulice
Investiranje u dionice
Promjena zaposlenja
Odlazak na putovanje
Bavljenje sportom
• Prakticiramo upravljanje rizicima cijelo vrijeme,
svjesno ili nesvjesno, donoseći različite odluke
• Upravljanje rizicima je ključni proces u vođenju
posla, a tako i u vođenju projekata
Rizik – Utjecaj neizvjesnosti na ciljeve
3. Negativan pogledŠtetan događaj
2. Neutralan pogled
1. Pozitivan pogled
Potencijalni dobitak
RIZIK
Uobičajena definicija riječi „rizik”
Vjerojatnost da štetan događaj, uzrokovan
postojanjem prijetnje, koja je više ili manje
predvidiva, utječe na ostvarenje ciljeva
organizacije.
Riječ „rizik” dolazi od talijanske
srednjovjekovne riječi “risico”, koja
znači litica, stijena, a korištena je
za opis opasnosti na moru od
strane osiguravajućih tvrtki.
Rizici i prijetnje
Primjeri
Vatra
Krađa
Hacker
Virus
Probijanje rokova
Probijanje budžeta na
projektu
Izračun rizika
Pitanje vjerojatnosti
• Kada bacamo novčić, može se reći da je vjerojatnost da
ćemo pogriješiti 50%
• S druge strane, ako pretpostavimo da bacimo novčić
milijun puta, 500.000 puta će biti „pismo” s tolerancijom od
+/- 1%, rizik pogreške je gotovo 0.
Imajući veliki broj podataka o
riziku, moguće je:
Gotovo sigurno predvidjeti trendove
po pitanju budućih događaja S druge strane, ne možemo
predvidjeti sljedeći događaj ili bilo koji specifični događaj
Rizik i statistika
Primjer primjene u vođenju IT projekata
Npr. OASIG report kaže da 40% IT projekata ne
ostvari postavljene ciljeve:
Za tvrtku koja godišnje pokrene 10 IT projekata, to
znači da će se suočiti s 4 neuspjela projekta
Ali ne može unaprijed reći koji su to projekti...
Poznavajući rizik, što tvrtka može učiniti?
Koje su opcije?
Percepcija rizika
Prijevozna sredstva Putnika poginulona 100 million putnika-kilometara (2001-2002)
Motor 13.8
Pješačenje 6.4
Bicikil 5.4
Automobil 0.7
Autobus 0.07
Zrakoplov 0.035
Također je bitna percepcija...
Stvarni riziciPercepcija rizika
Definicija rizika
ISO 31000, točka 2.1
Definicija: Utjecaj nesigurnosti na ostvarenje ciljeva
Napomena: Rizik je često:
Izražen u smislu kombinacije posljedice događaja i povezane
vjerojatnosti pojave
Povezan s potencijalom da će prijetnja iskoristiti ranjivost imovine ili
grupe imovine i time uzrokovati štetu za organizaciju
Posljedica
(Utjecaj)RizikVjerojatnost
(Pojava)
Prednosti upravljanja rizicima
Čini rizike „vidljivima”
Povećava vjerojatnost ostvarenja ciljeva projekta
Podiže svijest o potrebi identifikacije i obrade rizika u projektu
Osnažuje odnos s partnerima, kupcima i različitim trećim stranama
Poboljšava i potiče proaktivno upravljanje
Pomaže voditelju projekta u donošenju odluka
Poboljšava imidž i doprinosu povjerenju dionika
Ojačava povjerenje članova tima u uspješno upravljanje projektom
Poboljšava organizacijsku elastičnost
Poboljšava organizacijsko učenje
...
ISO 31000 – Upravljanje rizicima
a) Stvara i štiti vrijednost
b) Sastavni dio organizacijskih procesa
c) Dio u procesu donošenja odluka
d) Isključivo se odnosi na nesigurnost
e) Sustavan, struktuiran i pravodoban
f) Temelji se na najboljim dostupnim informacijama
g) Po mjeri
h) Uzima u obzir ljudske i kulturološke faktore
i) Transparentan i uključiv
j) Dinamičan, iterativan i reagira na promjene
k) Pojednostavljuje poboljšanje i unapređenje organizacije
Principi (točka 3)
Ovlaštenja i obveze (4.2)
Dizajn okvira
za upravljanje
rizikom
(4.3)
Implementacija
upravljanja
rizicima
(4.4)
Kontinuirano
poboljšanje
okvira
(4.6)
Nadziranje i pregled
okvira (4.5)
Okvir (točka 4)
Uspostava konteksta
(5.3)
Ko
mu
nik
aci
ja i
ko
nza
ltin
g o
riz
icim
a (
5.2
)
Na
dzo
r i
pre
gle
d r
izik
a (
5.6
)
Identifikacija rizika
(5.4.2)
Analiza rizika (5.4.3)
Vrednovanje rizika (5.4.4)
Postupanje s rizikom
(5.5)
Proces (točka 5)
Procjena rizika
Alati koji se koriste za procjenu rizika - ISO 31010
Root cause analysis
Failure mode effect analysis
Fault tree analysis
Event tree analysis
Cause and consequence analysis
Cause-and-effect analysis
Layer protection analysis (LOPA)
Reliability centered maintenance
Sneak circuit analysis
Markov analysis
Monte Carlo simulation
Bayesian statistics and Bayes
FN curves
Risk indices
Brainstorming
Structured or semi-structured interviews
Delphi
Check-lists
Primary hazard analysis
Hazard and operability
studies (HAZOP)
Hazard Analysis and Critical
Control Points (HACCP)
Decision tree
Human reliability analysis
Bow tie analysis
Consequence / probability matrix
Cost/benefit analysis
Multi-criteria decision analysis (MCDA)
Environmental risk assessment
Structure « What if? » (SWIFT)
Scenario analysis
Business impact analysis
3.1 Identifikacija
izvora rizika,
događaja i
posljedica
4.1. Procjena
posljedica
4.2 Procjena
vjerojatnosti
pojave
incidenta
4.3 Razina
utvrđivanja
rizika
5.1
Vrednovanje
razina rizika na
temelju
vrednovanja
kriterija rizika
6.1 Opcije
postupanja s
rizicima
6.2 Plan
postupanja s
rizicima
6.3 Vrednovanje
rezidualnog
rizika
Okvir upravljanja rizicima
6. Postupanje
s rizicima
2.
Usp
osta
va k
on
teksta
9. Risk Monitoring and Review
3. Identifikacija
rizika
4. Analiza
rizika
5.Vrednovanje
rizika
1.
Ris
k M
an
ag
em
en
t P
rog
ram
me
Procjena rizika
8. Nadzor i pregled rizika
7. Komunikacija i konzalting o rizicima
1. O
kvir
za u
pra
vlj
an
je r
izic
ima
Upravljanje rizicima
Pojmovi i definicije iz norme ISO 31000
Pojam Definicija
Upravljanje rizicima
(2.2)
Koordinirane aktivnosti za upravljanje i nadzor organizacije s obzirom na
rizike
Procjena rizika (2.14) Sveukupni proces identifikacije, analize i vrednovanja rizika
Identifikacija rizika
(2.15)Proces pronalaženja, prepoznavanja i opisivanja rizika
Analiza rizika (2.21) Proces razumijevanja prirode rizika i određivanja razine rizika
Vrednovanje rizika
(2.24)
Proces usporedbe rezultata analize rizika s kriterijima rizika, kako bi se
odredilo da li je razina rizika prihvatljiva ili ne
Obrada rizika (2.25) Proces modifikacije rizika
Rezidualni rizik (2.27) Rizik preostao nakon obrade rizika
Komunikacija i
konzultiranje o rizicima
(2.12)
Kontinuirani i iterativni procesi koji organizaciji omogućavaju da osigura,
dijeli ili dobije informacije te da osigura razgovore s dionicima po pitanju
upravljanja rizicima
Odabir pristupa procjeni rizika
ISO 27005, točka 7.2.1 i 8.3.1
Kvalitativna procjena:
Kvalitativna procjena koristi skalu kvalifikacijskih atributa za opis
razine potencijalnih posljedica (npr. Niska, Srednja i Visoka) i
vjerojatnosti da se te posljedice realiziraju.
Kvantitativna procjena:
Kvantitativna procjena koristi skalu s numeričkim vrijednostima
(rađe nego opisne skale korištene u kvalitativnoj procjeni) za
oboje, posljedice i vjerojatnost pojavljivanja, koristeći podatke iz
različitih izvora.
Izbor između kvalitativnog ili kvantitativnog pristupa (ili mix)
Odnos kvantitativne i kvalitativne procjene
Prednosti i nedostaci
Kvantitativna Kvalitativna
Koristi matematičke izračune Koristi scenarije rizika
Objektivni podaci (brojevi) Subjektivni podaci
Izražava se u monetarnoj valutiIzražava se putem višerazinske
skale
Temeljena na sposobnosti
eksperata da procijene rizike u
financijskom smislu
Temeljena na percepciji rizika od
strane dionika
Prag prihvatljivosti rizika
Primjer – Kvalitativna analiza
Vrijednost
imovine
Vjerojatnost pojave - prijetnja
Niska Srednja Visoka
Razina ranjivosti
N S V N S V N S V
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
3-5: Prihvatljiv rizik0-2 Rizik nije značajan 6+ Neprihvatljiv rizik
Identifikacija rizika
Organizacija treba identificirati rizike i izvore rizika,
područja utjecaja, događaje (uključujući promjene u
okolnostima) i njihove uzroke i potencijalne posljedice
Cilj ovog koraka je generiranje sveobuhvatnog popisa
rizika, baziranih na temelju događaja, koji bi mogli
stvoriti, poboljšati, spriječiti, degradirati, ubrzati ili
odgoditi postizanje postavljenih ciljeva.
Sveobuhvatna identifikacije je kritična, iz razloga jer rizik
koji nije prepoznati u ovoj fazi, neće biti uključen u
daljnjoj analizi.
Analiza rizika
Analiza rizika se temelji na razvoju i
razumijevanju rizika
Sastoji se od određivanja posljedica i njihovih
vjerojatnosti za identificirane događaje, vodeći
računa o postojanju (ili ne) i učinkovitosti svih
postojećih kontrola
Posljedice i njihove vjerojatnosti se potom
kombiniraju kako bi se odredila razina rizika
Posljedica - definicija
ISO 31000, točka 2.18
Ishod događaja koji utječe na ciljeve
Bilješka:
Događaj može dovesti do velikog raspona posljedica
Posljedice mogu biti izražene kvalitativno ili kvantitativno
Početne posljedice mogu eskalirati kroz „domino efekt”
Kriterij za određivanje posljedica
ISO 27005, točka 8.2.6
Organizacije trebaju identificirati posljedice scenarija
incidenata u pogledu (ali ne ograničavajući se na):
1. Vremena ispitivanja i popravka
2. Izgubljenog vremena (radno vrijeme)
3. Izgubljenih prilika
4. Zdravlja i sigurnosti na projektu
5. Troškova obuke, naknada, nabave opreme, itd..
6. Narušavanja ugleda
Vjerojatnost
Šansa da se nešto dogodi
Izražena kvalitativno ili kvantitativno i opisana pomoću općih pojmova ili matematički (kao što su vjerojatnosti ili učestalosti u određenom vremenskom razdoblju)
Vjerojatnost - Definicija
ISO 27005, točka 3.7
Procjena vjerojatnosti pojave rizika
Primjer kvalitativne skale
RazinaKvalitativna
skalaVjerojatnost
0 Vrlo rijetko Manje od jednom u 100 godina
1 Rijetko Prosječno jednom u svakih 10 godina
2 Moguće Prosječno jednom svake 3 godine
3 Vrlo moguće Prosječno jednom godišnje
4 Vjerojatno Nekoliko puta godišnje
5Gotovo
uobičajenoNekoliko puta mjesečno
6 Uobičajeno Nekoliko puta tjedno
7 Vrlo uobičajeno Nekoliko puta dnevno
Razina rizika - Definicija
ISO 27005, točka 3.6
Razina rizika
Jačina rizika, izražena u odnosu na kombinacijuposljedice i vjerojatnosti pojave
Posljedica
Vje
roja
tnost
Primjer matrice određivanja rizika
ISO 27005, Annex E.2.1
Vrlo mala
vjerojatnost
Mala
vjerojatnost
Srednja
vjerojatnost
Velika
vjerojatnost
Vrlo velika
vjerojatnost
Vrlo mali
utjecaj 0 1 2 3 4
Mali utjecaj 1 2 3 4 5
Srednji utjecaj 2 3 4 5 6
Veliki utjecaj 3 4 5 6 7
Vrlo veliki
utjecaj 4 5 6 7 8
Koji su rizici organizacije PMI Dayz?
Je li organizator napravio procjenu rizika?
• Nedolazak svih predavača
• Nedolazak Silvane
• Otkazivanje dvorane
• Nedolazak prijavljenih polaznika
• Kiša
• Zemljotres
• Tsunami
• Smak svijeta
• ...
• Koja je vjerojatnost i kakve su posljedice?
Vrednovanje rizika
• Svrha vrednovanja rizika je pomoći u donošenju
odluka, na temelju rezultata analize rizika, koji
rizici idu u obradu i definiranje prioriteta obrade
• Vrednovanje rizika uključuje usporedbu razine
rizika otkrivenih tijekom procesa analize s
kriterijima rizika utvrđenih metodologijom
• Temeljem ove usporedbe, razmatra se potreba
za obradom rizika
Primjer vrednovanja rizika
ISO 27005, Annex E, tablica E.2
PrijetnjaVrijednost
posljedice (imovina)
Vjerojatnost
pojave
prijetnje
Mjerenje rizika
(razina rizika)
Rangiranje
prioriteta
rizika
Scenarij A 5 2 10 2
Scenarij
B2 4 8 3
Scenarij
C3 5 15 1
Scenarij
D1 3 3 5
Scenarij
E4 1 4 4
Scenarij
F2 4 8 3
Prioritiziranje rizika
ISO 31000, točka 5.4.4
• Organizacija mora prioritizirati aktivnosti
implementacije kontrola za postupanje s
rizicima
Posljedica
Vjerojatnost pojavljivanja Niska Visoka
Nizak
Visok
Vrijednost rizika(vjerojatnost X posljedica)
Najveća
Srednja
Mala
Važna
4
2
1
3
Vrlo vjerojatno
Vjerojatno
Srednja
Nije vjerojatno
Vjerojatnost
Posljedica
Vrlo velika
Velika
Srednja
Mala 1
2
34
E
D
F
C
B
A
Prioritiziranje rizika
Prezentiranje rezultata (primjer)
Postupanje s rizicima
Nakon što je završena procjena rizika,
postupanje s rizicima uključuje odabir i
dogovaranje jedne ili više odgovarajućih opcija
za promjenu vjerojatnosti pojave, utjecaja rizika,
ili oboje, kao i provedbu dogovorene opcije
Nakon toga slijedi ciklički proces ponovne
procjene rizika, s ciljem utvrđivanja njegove
nove razine
Opcije postupanja s rizicima
ISO 31000, točka 5.5.2
1. Izbjegavanje
rizika
2. Povećanje
rizika
3. Uklanjanje
rizika
4. Promjena rizika
5. Dijeljenje
rizika
6. Zadržavanje
rizika
Izbjegavanje rizika
Kada je identificirani scenarij rizika visok, može se
donijeti odluka o izbjegavanju rizika u cijelosti:
prekinuti aktivnosti ili skup aktivnosti
mijenjati uvjete poslovanja
Primjer:
Prekinuti poslovanje na tržištu koje je previše
rizično
Povećanje rizika
To je smanjenje sadašnje razine sigurnosne kontrole
ili ciljana izloženost većem riziku
Dvije logičke situacije:
1. Povećanje izloženosti riziku, ako organizacija
može iskoristiti više prilika
2. Smanjenje razine sigurnosne kontrole, ako
troškovi prelaze benefite
Uklanjanje rizika
Ova opcija se sastoji od uklanjanja izvora rizika
Ova opcija je moguća samo u slučaju da
organizacija ima mogućnost uklanjanja izvora rizika
Primjer: lobiranje za opoziv zakona ili regulative koja za
organizaciju predstavlja značajan izvor rizika
Promjena rizika
Razinom rizika se upravlja uvođenjem, uklanjanjem
ili mijenjanjem kontrola, tako da se preostali rizik
može procijeniti kao prihvatljiv
Dvije opcije:
Promjena vjerojatnosti
Promjena posljedica
Dijeljenje rizika
Rizik se može dijeliti s drugom stranom koja s njim
može učinkovitije upravljati
Opcija dijeljenja rizika se bira u slučaju:
Organizaciji je teško smanjiti rizik na prihvatljivu
razinu
Organizaciji nedostaje stručnosti za upravljanje
rizikom pa ide na outsourcing
Ekonomičnije je prenijeti rizik na treću stranu, npr.
osiguranje
Zadržavanje rizika
Ako dobivena razina rizika ispunjava kriterije za
prihvaćanje rizika, nije potrebno provoditi dodatne
mjere već se rizik može prihvatiti
Zadržavanje trenutnog rizika mora biti
dokumentirano
Poricanje rizika
Nikada nije opcija za postupanje s rizicima
“Ne postoji okolnost pod kojom bi došlo
do potonuća broda. Ne mogu ni
zamisliti katastrofu opasnu po život,
koja bi mogla utjecati na taj brod.”
Kapetan Titanika, 1912.g.Izvor: Institute for Governance of Information Systems
ISACA, 2004
Postizanje ravnoteže u smanjenju rizika
Maksimiziranje omjera cijena / rizik
Trošak
kontrola
Nizak
Visok
Rizik
Nizak
Visok
Nema postupanja
Nedovoljno postupanje
Rizici su učinkovito pokriveni
Nepraktične procedure / Visoki troškovi
Prezahtjevne procedure, gubitak operativne učinkovitosti
Definiranje Plana postupanja s rizicima
Svrha Plana postupanja s rizicima je dokumentirati kako će se
odabrane opcije postupanja implementirati. Plan treba
uključivati:
razloge za odabir opcija postupanja, uključujući benefite
koji će se postići;
odgovorne osobe za odobravanje plana i za
implementaciju plana;
predložene aktivnosti;
potrebne resurse, uključujući i nepredviđene;
metrike za mjerenje učinkovitosti i ograničenja;
zahtjeve za izvještavanjem i nadzorom i
vremenski okvir i raspored.
Prihvaćanje rezidualnih rizika
2. Obrađen rizikRizik eliminiran primjenom kontrola
1. Rezidualni rizikRizik ostaje i nakon postupanja s
rizikom
Inherenti rizikSvi rizici bez implementiranih
kontrola
2
1
Vodstvo mora biti svjesno
rezidualnih rizika i prihvatiti
odgovornost za iste.
Pogled u informacijsku sigurnost
Poslovni subjekt
Rizik
Prijetnje Vrijednost
Informacije
Izvori prijetnja
Ranjivost
Zaštitne
protumjere
posjeduje
želi minimizirati
koji posjeduju
zapovećavaju
ugrožavaju
stvaraj
u
žele djelovati štetno na
koja stvara novu vrijednost za
su svjesni
se može smanjiti
stvaraju
umanjuju
za smanjenje
vodi do
koriste
Što je informacijska sigurnost?
Informacijska sigurnost se definira kao čuvanje
povjerljivosti, integriteta i raspoloživosti
informacija.
Informacijska sigurnost u upravljanju
projektima
Informacijska sigurnost mora biti integrirana u
proces upravljanja projektima na način da se:
• Ciljevi informacijske sigurnosti uvrste u ciljeve projekta
• Identificiraju rizici i provede procjena rizika u ranoj fazi
projekta
• Informacijska sigurnost uključi u svaku fazu projektne
metodologije
• Dodijeli odgovornost unutar projektnog tima vezano za
informacijsku sigurnost
Zaštita osobnih podataka kao dio
informacijske sigurnosti - GDPR
2016 - 410 mil. korisnika 2015 - 40 mil. korisnika
2017. – 1mlrd. korisnika 2016. – 467 mil. korisnika
Rokovi za primjenu Uredbe
8. i 14. travnja 2016. Uredba je prihvaćena od strane
Vijeća i Parlamenta
4. svibnja 2016. Uredba je stupila na snagu 20 dana
nakon njenog objavljivanja u službenom vjesniku
Europske unije
Uredba se mora primjenjivati od 25. svibnja 2018.
Primjenjuje se direktno bez potrebe za izradom
nacionalnih zakona
Kazne:
Prva razina: 2% godišnjeg prometa ili 10mil Eura
Druga razina: 4% godišnjeg prometa ili 20mil Eura
Glavne odlike Opće uredbe o zaštiti osobnih podataka
Subjekti obrade i njihova prava
Pravo na informiranje o određenoj obradi i pravo
na prigovor obradi ako za to ima dobar razlog
Pravo na pristup i ispravak svojih podataka
Blokiranje podataka čija točnost nije dokazana
Pravo na ograničavanje obrade vlastitih podataka
Pravo na brisanje ili „pravo na zaborav“
Obavijest o svakom brisanju, mijenjanju ili
blokiranju podataka prema trećoj strani kojoj su
podaci otkriveni
Pravo na prijenos podataka u strukturiranom
obliku
Pravo na naknadu štete
Izazovi za organizaciju
Kako identificirati rizike sigurnosti osobnih podataka
u svakodnevnom poslovanju i projektima?
Kako upravljati zahtjevima subjekata obrade i
odgovoriti u prihvatljivom roku?
Kako osigurati „pravo na zaborav” za sve subjekte
obrade?
Kako osigurati pravo na pristup i ispravku osobnih
podataka?
Kako osigurati pravo na prijenos osobnih podataka?
Kako osigurati prijavu sigurnosnog incidenta u
prihvatljivom roku?
Usklađen Kodeks ponašanja
Službenik za zaštitu podataka (DPO)
Dr.sc. Silvana Tomić Rotim
ZIH d.o.o.
Mažuranićev trg 8/III
10000 Zagreb
Tel.: +385 1 4855 271
Fax: +385 1 4855 272
E-mail: [email protected]
www.zih.hr