Managementul riscului Structura organizatorică a SI

Auditul guvernanţei IT

Managementul riscului

• Definitie:• Risk Management is the name given to a logical and

systematic method of identifying, analysing, treating and monitoring the risks involved in any activity or process.

• Risk Management is a methodology that helps managers make best use of their available resources

• Clasif info(document word)• LegislatieMetode de evaluare/eliminare a riscurilor: • Mehari (https://www.clusif.asso.fr/en/clusif/present/)• Marion, Palisade (http://www.palisade.com/risk/ ;

http://www.palisade.com/risk/?ad=G_@R-8&gclid=CP3cu-jUrbwCFSoOwwodancAaw )

Establish the context

Identify the risks

Analyse the risks

Evaluate the risks

Treat the risks

Communication & consultation

Monitoring and review

Model de strategie al unui

risc

Securizarea modelului riscurilor

Managementul riscurilor presupune identificarea, analiza,evaluarea, tratarea, monitorizarea şi comunicarea impactuluiriscului asupra proceselor IT.În funcţie de tipul riscului şi semnificaţia acestuia pentrubusiness, managementul şi consiliul de administraţie potdecide asupra uneia dintre următoarele posibilităţi:• evitarea riscului (opţiunea de a nu implementa anumite

activităţi sau procese care pot induce riscuri mai mari);• limitarea riscului, prin implementarea controalelor pentru a

proteja infrastructura IT;• transferul riscului, prin outsourcing, caz în care are loc

partajarea riscului cu partenerii sau transferarea risculuicătre o firmă de asigurare;

• acceptarea, ceea ce înseamnă recunoaşterea existenţeiriscului şi monitorizarea acestuia.

• eliminarea, atunci când este posibil, prin îndepărtareasursei riscului.

Realizarea unui program de management al riscului

• Riscurile pot fi reduse prin implementarea sau îmbunătăţirea controalelor de securitate şi a procedurilor.

Realizarea unui program de management al riscului presupune:

• stabilirea scopului programului.

• stabilirea responsabilităţilor pentru planul de management al riscurilor.

Procesul de management al riscului

• Punctul de plecare este reprezentat de identificarea şiclasificarea resurselor informaţionale sau activelorprezentând vulnerabilităţi.

• În categoria activelor asociate cu informaţii şi ITcuprindem:

• informaţii şi date;• hardware;• software;• servicii;• documente;• personal.

Amenintari

• Ameninţările se definesc drept circumstanţe sau evenimente cu potenţialul de a determina afectări ale resurselor informaţionale, cum ar fi distrugerea, divulgarea, modificarea datelor şi/sau refuzul serviciilor. Principalele categorii de ameninţări sunt reprezentate de:

• erori;• distrugeri intenţionate/atacuri;• fraude;• furt;• eşecul echipamentelor/software-ului.• Ameninţările apar ca urmare a vulnerabilităţilor asociate

utilizării resurselor informaţionale.

• Vulnerabilităţile sunt reprezentate decaracteristicile resurselor informaţionale care potfi exploatate de o ameninţare pentru a o afecta.Exemple de vulnerabilităţi identificate suntreprezentate de:

• neştiinţa utilizatorilor;• breşe în funcţionalitatea securităţii;• parole alese neinspirat;• tehnologie netestată;• transmisii neprotejate în linia de comunicaţie.Rezultatul oricăreia dintre aceste ameninţări senumeşte impact şi poate să se manifeste într-opierdere de un fel sau altul.

• Riscul rezidual reprezintă nivelul estimat alriscului după aplicarea controlului.

• Riscul rezidual este utilizat de managementpentru identificarea ariilor în care sunt necesaremai multe controale pentru reducerea încontinuare a riscului.

• Acceptarea riscurilor reziduale se face prin luareaîn considere a următoarelor elemente:

• politica organizaţiei;

• identificarea şi măsurarea riscurilor;

• incertitudinea presupusă de evaluarea riscurilor;

• costul şi eficienţa implementării.

Este important să înţelegem că managementul riscului IT trebuie să opereze la mai multe niveluri, şi anume:• nivelul operaţional – la acest nivel ne confruntăm cu riscuri

care pot compromite eficienţa sistemului IT şi ainfrastructurii-suport, posibilitatea de a ocoli sistemul decontroale, pierderea sau indisponibilizarea unor resurse-cheie (sisteme, date, comunicaţii, personal, locaţii) şi eşeculde a fi în conformitate cu legi şi regulamente;

• nivelul proiectului – managementul riscului trebuie să aibăîn vedere necesitatea înţelegerii şi administrăriicomplexităţii proiectului, în caz contrar existând riscul să nuse poată realiza toate obiectivele proiectului;

• nivelul strategic – este evaluată măsura în care funcţia ITeste aliniată la strategia de business, cum se plasează înraport de competitorii sau ameninţările determinate demodificările tehnologice.

Metode de analiză a riscurilor

• Metodele calitative folosesc cuvinte sau categoriidescriptive pentru a exprima impactul sau probabilitatea.Se bazează pe instrumente de lucru de tipul listelor decontrol şi clasificarea subiectivă a riscurilor pe o scară detipul: mare, mediu, scăzut.

• În analizele semicantitative, ratingurile descriptive suntasociate cu scalele numerice.

• Analizele cantitative folosesc valori numerice pentru adescrie probabilitatea şi impactul riscurilor, folosind datedin mai multe tipuri de surse cum ar fi înregistrările istorice,înregistrări şi practici folosite în diferite ramuri de activitate,teorii statistice, teste şi experimente.

Structura organizatorică a SI şi responsabilităţi

• Auditorul SI trebuie să stabilească printre obiectivelemisiunii de audit şi evaluarea structurii organizatorice adepartamentului IT, precum şi atribuţiile şiresponsabilităţile înscrise în fişa posturilor.

Auditorul va trebui să analizeze următoarele funcţiuni:

• managerii dezvoltării de sisteme, responsabili cu programatorii şi analiştii care implementează sisteme noi dar care şi întreţin sistemele existente;

• help desk – reprezintă o entitate în cadrul organizaţiei, creată cu scopul de a răspunde întrebărilor tehnice şi problemelor utilizatorilor finali.

Help desk-ul asigură următoarele activităţi:• achiziţia de software/hardware pentru utilizatorii finali;• asistarea utilizatorilor finali atunci când aceştia se confruntă cu probleme

hardware şi/sau software;• pregătirea utilizatorilor finali în utilizarea hardware-ului, software-ului şi a

bazelor de date;• a răspunde întrebărilor utilizatorilor finali;• monitorizarea dezvoltărilor tehnice, comunicarea acestor dezvoltări şi

instruirea utilizatorilor finali în raport cu acestea;• identificarea sursei problemelor apărute în sistemele operaţionale şi

stabilirea măsurilor corective;• iniţierea schimbărilor pentru îmbunătăţirea eficienţei.

• Utilizatorii finali (end useri) sunt persoane autorizate să acceseze sistemele operaţionale.

• Managerul relaţiei cu utilizatorii finali (end-user support manager) este persoana responsabilă cu legătura dintre Departamentul IT şi utilizatorii finali.

• Managerul datelor este responsabil pentru arhitectura datelor şi managementul datelor văzute ca un activ al organizaţiei.

• Managerul cu asigurarea calităţii este persoana responsabilă cu stabilirea cerinţelor de calitate şi asigurarea calităţii activităţilor în toate ariile IT.

• Managerul de operaţiuni (operational manager) este responsabil cu personalul care realizează operaţiuni computerizate (operatori calculator, bibliotecari, personal pentru controlul datelor).

• Bibliotecarul (librarian) răspunde de gestionarea copiilor de siguranţă pentru aplicaţii şi fişiere de date.

• Echipa de introducere date (data entry) este formată din personalul responsabil cu introducerea datelor în sistem.

• Managerul suportului tehnic (technical support manger) este responsabil cu activitatea programatorilor de aplicaţii antrenaţi în întreţinerea sistemului software.

Segregarea atribuţiunilor în cadrul SI

• Structura organizatorică şi denumirileposturilor pot diferi foarte mult de la oorganizaţie la alta, în funcţie de dimensiuneaşi natura activităţii.

Controalele segregării atribuţiilor

• Cerinţele de bună practică recomandă utilizarea unoranumite mecanisme de control pentru implementareasegregării atribuţiunilor. În cele ce urmează vomprezenta pe scurt aceste mecanisme de control:

• autorizarea tranzacţiilor este responsabilitateadepartamentului utilizatorilor.

• custodia activelor în cadrul organizaţiei trebuiedeterminată şi asignată adecvat.

• accesul la date: controlul asupra accesului la date estedat de o combinare a unor elemente de securitatefizică, a sistemului şi aplicaţiei.

Structura şi implementarea guvernanţei corporative

În procesul auditării funcţiei IT se recomandă a fi urmăriţi o serie de indicatori care potatenţiona asupra unor probleme potenţiale:• atitudini nefavorabile utilizatorilor finali;• depăşiri ale bugetelor;• depăşirea termenelor de finalizare a proiectelor;• mişcări importante de personal;• personal fără pregătirea şi experienţa necesare;• timp de răspuns neadecvat al sistemului;• numărul important de proiecte abandonate sau suspendate;• achiziţii neautorizate de software şi/sau hardware;• frecvente upgrade-uri hardware şi/sau software;• numeroase rapoarte ale excepţiilor sau rapoarte ale excepţiilor nesoluţionate;• motivaţie redusă a personalului;• bazarea pe una sau două persoane-cheie;• lipsa unui training adecvat.

Auditul guvernanţei IT

• Auditorul SI trebuie să procedeze la revizuirea următoarelordocumente:

• strategii, planuri şi bugete TI. Acestea oferă informaţii privindplanificarea şi controlul exercitat de management asupra mediuluiSI şi măsura alinierii la strategia de business;

• documentaţia politicii de securitate deoarece aceasta oferăstandardul pentru conformitate. Politica stabileşte poziţiaorganizaţiei cu privire la riscurile de securitate, stabilind măsurilepreventive necesare pentru protejarea activelor, inclusiv a datelor şiprogramelor;

• organigrame ale structurii organizatorice şi diagrame funcţionale,acestea având rolul de a furniza informaţii necesare auditorului SIpentru înţelegerea subordonărilor şi liniilor de raportare în cadruldepartamentelor şi organizaţiei în ansamblul ei. În egală măsură,aceste documente pot oferi informaţii legate de segregareaatribuţiilor.

• fişele posturilor conţin informaţii extrem de importante cu privire la responsabilităţile şi atribuţiile diferitelor poziţii din cadrul organizaţiei. Din analiza acestor documente se obţin informaţii privind segregarea atribuţiilor putându-se identifica posibile conflicte de interese. În baza fişelor posturilor se analizează nivelurile de raportare, conformitatea cu informaţia înscrisă în organigramă şi nevoile derulării activităţii;

• rapoartele comitetului de coordonare (steering committee) oferă informaţii privind proiectele aflate în derulare. Conţinutul acestor rapoarte este analizat de managementul superior, iar informaţia este diseminată către departamentele implicate;

• procedurile de modificare a sistemelor de dezvoltare şi programare oferă informaţii privind cadrul realizării acestor schimbări;

• proceduri de operare oferă informaţii privind responsabilităţile personalului cu atribuţii de operare;

• manualele departamentului de personal sunt importante prin informaţia oferită privind regulile şi reglementările interne legate de conduita angajaţilor;

• procedurile de asigurare a calităţii oferă cadrul şi standardele ce trebuie urmate de departamentul SI.