Bemutatkozás Pflanzner Sándor bcmsoftware.hu
Mai téma GRC Governance (irányelvek megfogalmazása) Risk management (működtetéssel összefüggő kockázatok, pénzügyi kockázatok) Compliance (megfelelőség az irányelveknek, auditálás) ERM Enterprise risk management Működési kockázatok Irányelveknek nem megfelési kockázatok Pénzügyi kockázatok Integrált működési kockázatkezelés
Kockázatkezelés szigetrendszerekkel Szigetrendszerek Folyamatok modellezése (szabályozási rendszerben) Konfiguráció-kezelő rendszer Üzletmenet folytonosság tervezés (szabályozási rendszerben) Kockázatkezelő rendszer (minden feladatra más: BASEL II., IT kockázatok, megfelelési kockázatok, stb.) EXCEL, Word Hátrányai A célrendszerek egyre specializáltabbak, bonyolultabbak a funckiók egyre nagyobb hányadára nincs szükség Eltérő szerkezetű adatszerkezet, a felesleges funkcionalitás miatt túl bonyolult adatmodellek kölcsönös felhasználása nehézkes
Integrált kockázatkezelés Process modelling CMDB Business continuity BIA BC Risk Assessment PPS
Üzleti hatáselemzés Business Impact Analysis
COBIT framework COBIT (Controll OBjectives for IT) 5 erőforrása: Példa: Hétre ma várom a Nemzetinél!
Folyamat központú megközelítés A folyamatközpontú megközelítés lényege, hogy minden erőforrásról eldönthető legyen, hogy a meghibásodása mekkora kárt okoz az általa támogatott folyamatok leállítása révén. (ADAPTO)
Adat központú megközelítés Az adat központú megközelítésben megvizsgáljuk, hogy mekkora kár éri a vállalatot akkor, ha az adatainak valamelyik tulajdonsága (ezek közül kötelezően: a bizalmasság, sértetlenség, rendelkezésre állás) megsérül.
Üzleti hatáselemzés - folyamatok Folyamatok felbontása Teljes üzleti folyamat (E2E process) Folyamat (Process) Tevékenység (Activity) Folyamatok értékelése Pénzügyi / nem pénzügyi hatás MAD
Üzleti hatáselemzés - emberek Roles and responsibilities assignment matrix
Üzleti hatáselemzés logikai/fizikai rétegek Logikai réteg Milyen könyvelő rendszert használnak? Milyen kapcsolat van a könyvelő és a banki rendszer között? Van itt wifi? Hol van a szerverszoba? IT szolgáltatások Fizikai réteg Hardver Szoftver Épület
Üzleti hatáselemzés - adat Folyamat-adat kapcsolat (adat infrastruktúra)
Bizalmasság menedzsmentje Célja: adat, információ ne kerülhessen illetéktelen kezekbe Megsértését nehéz érzékelni Titokvédelem (erőforrások megfelelő titkossági osztályokba sorolása) Adatvédelem (Személyes adatok védelme) Megvalósítás: erőforrások biztonsági osztályba sorolása hozzáférési jogosultságrendszer kialakítása és működtetése megfelelő erősségű titkosítási algoritmusok alkalmazása megfelelő szintű szabályozás: tudatosság növelés, elrettentés
Sértetlenség menedzsmentje Célja: adatok, információ tartalma ne sérülhessen illetéktelenek által (hamisítás, módosítás, csonkítás, stb.) Megsértését nehéz érzékelni Megvalósítás: - megfelelően védett adattovábbítási csatornák (hálózat biztonság) - megfelelően erős titkosítási algoritmusok - hitelesség biztosításai (digitalis aláírás) - hozzáférési jogosultságrendszer kialakítása és működtetése
Rendelkezésre állás menedzsmentje Célja: erőforrások rendelkezésre állásának elvárás szerinti biztosítása Hiányát minden felhasználó egyénileg érzékeli Rendelkezésre állási (%) = rendelkezésre állás / elfogadott szolgáltatási időszak Megvalósítás: - Fizikai biztonság: védett objektumok, beléptető rendszerek, védett emberi erőforrás - Redundáns rendszerek - Optimalizálni az arányt a megelőző és javító jellegű karbantartás és a hibák okozta költségek között
Hatáselemzés eredménytermékei (1) Vállalat-modell (Enterprise Architecture) - ÁTLÁTHATÓSÁG
Hatáselemzés eredménytermékei (2) E2E folyamatok Folyamatok erőforrásai RACI mátrix Adatfolyam diagramm Uszodasávos folyamatábra Napi menetrend Adatleltár CRUD mátrix Interfészek térképe
Üzletmenet folytonosság irányítás Business Continuity Management
Üzletmenet folytonosság irányítás Megelőző fázis Rendelkezésre állás növelése Megbízhatóság növelése Helyreállíthatóság megteremtése Reagálási fázis Kárfelmérés Krízis kommunikáció Vészhelyzeti tervek aktiválása Visszatérés a normál kerékvágásba
BCM Rendelkezésre állás növelése Folyamatos fejlesztés (PDCA alapján) Jelenlegi (ASIS) architektúra gyenge pontjainak megkeresése SPOF SLA sértések Jövőbeni (TOBE) architektúra tervezése A két architektúra összehasonlító mérése ROSI return on security investment kiszámítása Döntés Beruházás végrehajtása
BCM - Rendelkezésre állás növelése a gyakorlatban 1. Létesítmények kiszolgáló erőforrásainak redundánssá tétele (dupla áram betáp) 1.) 2.) 2. IT szolgáltatások redundánssá tétele (klaszterek) 3. Geo-redundancia (a klasztercsomópontok külön szerverszobákba kerülnek) 3.) 4.) 4. Magasabb rendelkezésre állású szerverszoba keresése
BCM - Megbízhatóság Monitoring rendszerek Automatizált irányítás Folyamatos auditálás
BCM Helyreállíthatóság - ITSRP Informatikai szolgáltatás helyreállítása 1. új hardver üzembe állítása 2. szoftverek áttelepítése 3. hálózati kapcsolat 4. interfészek átirányítása 4 3 2 1
BCM Helyreállíthatóság - DRP Katasztrófa utáni helyreállítási tervek készítése Azt kell elsőként helyreállítani, ami a legfontosabb! Szűkösen rendelkezésre álló erőforrásokkal kell tervezni A célfüggvény a BIA során meghatározott folyamatérték Módszertana: RCPSP resource constraint project schedule plan Áttelepülési tervek (irodák) Tartalék telephely méretezése
BCM Helyreállíthatóság - BCP Üzletmenet folytonosság tervezés Folyamati lépések erőforrásai mennyire nélkülözhetetlen? Erőforrások kiesésének vizsgálata helyettesíthetőség vizsgálata Cselekvési tervek csoportmunka a tervezésben
BCM Helyreállíthatóság - TESZTELÉS Tesztelési keretterv Teszt célja Sikerkritériumok Résztvevők Tesztelési naplók BCP, ITSRP, DRP, RS Tesztelés kiértékelése Javító intézkedések megfogalmazása
BCM - Reaktív fázis Kárfelmérés (triage) Krízis kommunikáció Csak annak, akire tartozik Csak azt, ami fontos Egyszerűen, átláthatóan, érthetően Vészhelyzeti tervek életbe léptetése Visszatérés a normál üzleti folyamatra
Kockázatkezelés Risk Management
Folyamatok fenntartási kockázata - FMEA A hibák priorizálására szolgál Eszközök meghibásodásának elemzése (Component failure impact analysis) alapján Több folyamat együttes kárértékével számol RPN számításhoz felhasznált tényezők Súlyosság Felderíthetőség Előfordulás gyakorisága
Információbiztonsági kockázatok (1) Az adatvagyon értékének sérülését vizsgálja Infrastruktúra sebezhetősége + fenyegetés -> kár Anyagi kár Adatokban esett kár Az adat értékének meghatározása Információ kritériumok Kárjellegek (mitől rettegünk?) Kárérték szintek (mennyire rettegünk?) Kárérték osztályok (rettegés foka mátrix) Adatok értékelése a kiválaszott kritériumok alapján
Információbiztonsági kockázatok (2) Kárérték mátrix
Információbiztonsági kockázatok (3) Adatok értékelése
Információbiztonsági kockázatok (4) Erőforrások sebezhetőséginek meghatározása Azonos sebezhetőségű erőforrások összegyűjtése Érintett adatok összegyűjtése Maximális kárérték (B/S/R) Káresemény hatásának meghatározása (B/S/R) Káresemény bekövetkezési valószínűségének meghatározása
Információbiztonsági kockázatok (5) Kockázat felmérése
Információbiztonsági kockázatok (5) Kockázati szintek Kockázatok kategorizálása
Információbiztonsági kockázatok (6) Kockázat kezelési terv Elkerülés Hatás csökkentése Elfogadott kockázat szintje Maradványkockázat A kockázatkezelési terv végrehajtása után maradó kockázat Megfelelőségi nyilatkozat ISO 27001
Fizikai védelem (1) Létesítmények feltérképezése, zónahatárok és védelmi berendezések
Fizikai védelem (2) Értékek meghatározása zónánként
Fizikai védelem (3) Fenyegetések meghatározása Működés megakadályozása Eszközök ellopása Emberek elleni erőszak, terror Létesítmények lerombolása Negatív publicitás
Fizikai védelem (4) Sikeres támadás valószínűségének meghatározása Támadás megakadályozása: Garcia-féle behatolási diagram
Fizikai védelem (5) Kockázat kiszámítása Védelmi intézkedések Értékek áthelyezése Zóna védelmének növelése
Emberekkel kapcsolatos kockázatok (1) Munkaköri kockázatok Mit tud az adott pozícióban lévő munkatárs elrontani? A személy mennyire alkalmas a munkakör betöltésére Kompetencia vizsgálat
Emberekkel kapcsolatos kockázatok (2) Munkavállalók elmeneteli hajlandósága Munkaerő csoportokba osztása Tehetséggondozás
További vállalati kockázatok Megfelelőségi kockázat Irányelveknek (policy) való megfelelés vizsgálata SIPOC Beszállítók értékelése Vevők értékelése Pénzügyi kockázatok A tervektől való eltérések kockázata A bekövetkezett veszteségek adatbázisa alapján történő kockázat számítás Basel II., Solvency II. Egyéb, iparágfüggő kockázatok (pl. bányaüzem, atomerőmű, stb.)