MANAGEMENT INFORMACIJSKIH SISTEMOV

MANAGEMENT INFORMACIJSKIH SISTEMOV (kako sem uvajal COBIT skozi stranska vrata in ostal živ) Borut Radi

15 let izkušenj v informatiki (Gorenje, Banka Celje, Hypo Alpe-Adria-Bank) CISA od leta 2000 Vodja področja IT&ORGA Management informacijskih sistemov Predstavitev

Primer uvedbe sistema obvladovanja kritičnih področij IT Za managerje: vzpostavitev sistema Za revizorje: ocena -> priporočila Za varnostne inženirje: varnostna tveganja kot osnova vzpostavitve varnostne politike Management informacijskih sistemov Namen predstavitve

Uvodne opredelitve Rešitve obvladovanja področij IT Povezave s COBIT Kaj trenutno počnemo in kaj imamo še v planu Način uvedbe Vprašanja Management informacijskih sistemov Vsebina predstavitve

Vzroki Pogoji Kratka vsebina rešitev Management informacijskih sistemov Uvodne opredelitve

Zahteve notranje in zunanjih revizij Potreba po vzpostavitvi ustreznega obvladljivega okolja Drage in nepovezane rešitve na trgu Neustrezen položaj informatike v banki Ko zjutraj stopim skozi vrata banke vem, da bom kriv za nekaj, čeprav še ne vem za kaj Vsak dan izvem, da sem odgovoren za nekaj novega Vsi ostali bolje bolje vedo kako izvajati stvari, nihče pa tega noče početi Management informacijskih sistemov Vzroki

Enostavnost Ponovljivost Zajemati mora vsa kritična/pomembna področja managementa informacijskega sistema banke Preusmeritev iz IT na nivo celotne banke Minimalna možna obremenitev uporabnikov IS pri pridobivanju potrebnih podatkov Neodvisnost od načina programske podpore RAZUMLJIVOST za končne uporabnike Management informacijskih sistemov Pogoji

Analiza IS: analiza IS na način, ki omogoča razumevanje IS s strani uporabnikov ter opredelitev za uporabnike ključnih parametrov IS Skrbništvo in odgovornost: pojem skrbništva IS ter pojem odgovornosti, ki izhaja iz opredeljenega skrbništva Tveganja: analiza operativnih tveganj (varnostnih) z vrednotenjem in upravljanjem DR/BCP: IS v povezavi z poslovnimi storitvami kot osnova za DR/BCP Arhitektura: obvladovanje arhitekture IS sistema Management informacijskih sistemov Vsebina

IT investicije in stroški: planiranje, spremljava in simulacije IT investicij in stroškov Upravljanje s kadri: Analiza IS kot osnova za upravljanje z IT kadri Management informacijskih sistemov Vsebina

Management informacijskih sistemov DR/BCP Skrbništvo odgovornost Tveganja Analiza IS Upravljanje S kadri Arhitektura IT investicije In stroški

Razdelitev IS na podsisteme – storitve Stopnja pomembnosti Operativnost Razpoložljivost Kritični čas Lastništvo Management informacijskih sistemov Analiza IS

Kriteriji za opredelitev podsistemov oz. storitev: Vsak podsistem mora za končnega uporabnika predstavljati eno ali skupino sorodnih, enoznačno prepoznavnih storitev (ne množico HW in SW) Opis osnovne funkcije oz. namena podsistema je možno podati v nekaj enostavnih stavkih, v jeziku, ki je razumljiv za končnega uporabnika (ne IT kader) Management informacijskih sistemov Podsistemi - Storitve

Je opredeljena kot vpliv izpada podsistema na: Prihodek banke Zadovoljstvo strank Kvaliteto storitev Povečanje obremenitve uporabnikov Merilo: povprečje na nivoju banke Management informacijskih sistemov Stopnja pomembnosti

Opredeljena kot časovni okvir v katerem mora podsistem delovati oz. biti na razpolago uporabnikom Merilo: najzgodnejši začetek in najkasnejši konec Management informacijskih sistemov Operativnost

Opredeljena kot čas, v katerem mora podsistem v primeru izpada zopet delovati. Opredeljena kot maksimalni dovoljen čas izpada podsistema brez škode za poslovanje banke. Dovoljeni čas izpada je opredeljen dnevno in se mora nahajati znotraj časovnega okvira, opredeljenega z Operativnostjo in Stopnjo pomembnosti podsistema Merilo: najkrajši dovoljeni čas izpada (v %) Management informacijskih sistemov Razpoložljivost

Realno so podsistemi so medsebojno povezani (arhitektura IS) Izpad enega podsistema lahko posledično povzroči delni ali popolni izpad povezanih podsistemov Merilo: se opredeli v % vpliva enega podsistema na drugega Pristop je osnova za izračun dejanske dosežene razpoložljivosti celotnega IS banke Management informacijskih sistemov Razpoložljivost

Opredeljen kot časovni interval, v katerem mora podsistem delovati z 100% razpoložljivostjo Odvisen od specifičnih poslovnih potreb (dnevno, tedensko, mesečno, etc…) Mora se nahajati znotraj časovnega okvira, opredeljenega z Operativnostjo podsistema Management informacijskih sistemov Kritični čas

Vse naštete parametre posameznega podsistema ocenjujejo organizacijske enote, ki so neposredni uporabniki podsistema. Takšen pristop opredelitve organizacijskih enot, kot lastnikov tistih podsistemov, ki jih neposredno uporabljajo pomeni: ZAVEDANJE ORGANIZACIJSKIH ENOT, DA SO KOT UPORABNIKI HKRATI TUDI LASTNIKI IS BANKE IN TOREJ ODGOVORNI ZA PODATKE, VARNOST, INVESTICIJE IN STROŠKE V POVEZAVI S POSAMEZNIM PODSISTEMOM Management informacijskih sistemov OE kot lastniki podsistemov

Pojem ODGOVORNOSTI Skrbništvo v IT Skrbništvo v OE Management informacijskih sistemov Skrbništvo in odgovornost

Pojem ODGOVORNOSTI: Odgovornost pomeni, da je oseba odgovorna za učinkovitost, uspešnost, zaupnost, varnost, razpoložljivost, celovitost, zanesljivost in zakonitost informacij, ki jih uporabniki v okviru posamezne storitve potrebujejo za svoje delo in odločanje Odgovornost pomeni, da je oseba odgovorna za pravilno, korektno in pravočasno IZVEDBO VSEH AKTIVNOSTI v povezavi s posamezno storitvijo. Management informacijskih sistemov Skrbništvo in odgovornost

Število skrbnikov (custodianship) v IT in v organizacijskih enotah (ownership) v odvisnosti od stopnje pomembnosti podsistema Management informacijskih sistemov Skrbništvo in odgovornost

Identifikacija groženj Vrednotenje Sprejemljivo tveganje Identifikacija kontrolnih ukrepov Proces izvajanja kontrolnih ukrepov Prednosti in pomanjkljivosti Management informacijskih sistemov Tveganja

Management informacijskih sistemov Identifikacija tveganj in strukturiranje v sorodne skupine Nadziranje Izvajanja odločitev Merjenje in ovrednotenje tveganj Vzpostavitev standardov planiranja poročanja, pooblastil in notranje organiziranosti Določanje obsega sprejemanja tveganj Opredelitev in razvoj metod za obvladovanje tveganj

CILJ: enostavnost, razumljivost za končne uporabnike in ponovljivost (kvantitativni pristop) Problem: različni pristopi, različne metodologije – kako izbrati pravo ? Osnova opredelitve groženj = BS7799 Management informacijskih sistemov Identifikacija

Varnostna tveganja: vsaka grožnja ocenjena z vidika: Pomembnosti za poslovanje banke (ocenjujejo OE) Verjetnosti dogodka na podsistemu (ocenjuje OE in IT v odvisnosti od vrste grožnje) Občutljivosti podsistema (ocenjuje IT) Management informacijskih sistemov Vrednotenje

Varnostno tveganje (nivo podsistema) = Stopnja pomembnosti grožnje (škoda) * Verjetnost dogodka * Občutljivost podsistema (škoda) * Stopnja pomembnosti podsistema (škoda) Varnostno tveganje (nivo banke) = povprečna vrednost posameznega tveganja po vseh podsistemih Tveganja so grafično predstavljena (škoda/verjetnost) Management informacijskih sistemov Vrednotenje

Prednosti: Osnova za pripravo varnostnih politik po podsistemih Vrednost tveganja izražena v relativnih številih (zagotovljena ponovljivost) Odpade vrednotenje tveganj na posamezne kose opreme (procesni vs storitveni pristop; BS7799 ISMS pristop) Kvantitativni izračun za katero koli operativno tveganje Management informacijskih sistemov Vrednotenje

Vprašanje: kako dobiti finančno vrednost tveganja ? Možen pristop: opredelitev možnih posledic realizacije tveganja in ocena finančnih posledic Management informacijskih sistemov Vrednotenje

Privzamemo: izračunano tveganje = trenutno obstoječi nivo tveganja v banki CILJ1: zmanjšati obstoječi nivo tveganja na minimalni sprejemljivi nivo z implementacijo kontrolnih ukrepov CILJ2: upravljanje z minimalnimi tveganji Management informacijskih sistemov Sprejemljivo tveganje

VPRAŠANJE: kakšna je vrednost minimalnega sprejemljivega tveganja oziroma kako jo določiti ? Metodologija za izračun minimalnega tveganja ki temelji na vplivu faktorjev tveganja na posamezno tveganje (ljudje, procesi, tehnologija, etc…) Management informacijskih sistemov Sprejemljivo tveganje

Osnova za kontrolne ukrepe = BS7799 (možnost izbire ostalih kontrolnih ukrepov) Prvi korak: izbira ukrepov, katerih implementacija vpliva na zmanjševanje več tveganj hkrati Drugi korak: izločanje neustreznih kontrolnih ukrepov (nekompatibilno okolje) Tretji korak: vrednotenje kontrol (zelo pomembna, pomembna, manj pomembna) Management informacijskih sistemov Kontrolni ukrepi

Vprašanje: Koliko posamezen kontrolni ukrep vpliva na zmanjšanje tveganja ? Metodologija za simulacijo vpliva implementacije kontrolnega ukrepa na stopnjo zmanjševanja tveganja glede na: Pomembnost kontrolnega ukrepa Oceno stopnje implementacije kontrolnega ukrepa (prilagojen COBIT maturity model) Stroškovni vidik realizacije kontrolnega ukrepa Management informacijskih sistemov Izvajanje kontrolnih ukrepov

Prednosti: Celovita varnostna politika po podsistemih glede na ocenjena tveganja Možna izvedba ISMS Osnova za projekt vzpostavitve varnosti Enostavna razširitev na uporabo za ostala operativna tveganja BASEL II Slabosti: Brez opredeljene finančne vrednosti tveganj težko izvesti cost/benefit analizo uvedbe kontrolnega ukrepa Management informacijskih sistemov Prednosti in pomanjkljivosti

Pristop k problemu Vrednotenje izpadov Posledice pristopa Management informacijskih sistemov DR/BCP

Privzamemo: omejitev na izpade informacijskega sistema (v celoti = DR ali delne = BC) Pristop: Podsistemi v kombinaciji s poslovnimi storitvami = ocena v kolikšni meri (%) posamezen podsistem podpira posamezno storitev (IT&Business aligment) Management informacijskih sistemov DR/BCP

Vprašanje: kako finančno ovrednotiti izpade informacijskega sistema ? Izguba v primeru uničenja = (nabavna vrednost podsistema + dosedanje investicije) * stopnja pomembnosti podsistema Izguba v primeru izpada = ocena škode za 1 uro nedelovanja podsistema Dejanska izguba v primeru izpada = izguba posameznega podsistema na osnovi ovrednotenih medsebojnih povezav Management informacijskih sistemov DR/BCP

Rezultati pristopa: Vrstni red vzpostavitve podsistemov v primeru uničenja (DR) Vrstni red reševanja izpadov (BC) Stopnja avtomatizacije poslovanja = osnova za oceno prispevka IT k uspešnosti banke Lista ročno izvajanih postopkov = osnova za planiranje IT aktivnosti Management informacijskih sistemov DR/BCP

Posledice pristopa: Operativna tveganja BASEL II Izbira ustreznega DR pristopa (cold site, hot site, SLA, etc…) Možen izračun mesečne izgube zaradi izpadov (osnova za letni ALE) Formiranje baze znanja ob reševanju izpadov po podsistemih Vzpostavitev help-desk po podsistemih – formiranje baze znanja Management informacijskih sistemov DR/BCP

Cilj vzpostavitve Elementi arhitekture Možna nadaljevanja Management informacijskih sistemov Arhitektura podsistemov

CILJ:Vsa podatki v povezavi s posameznim podsistemom se nahajajo na “enem” mestu in so na razpolago v primeru potrebe. REZULTAT: Za vsak element v različnih podsistemih je posredno opredeljena stopnja pomembnosti, operativnost in razpoložljivost Management informacijskih sistemov Arhitektura podsistemov

Kombinacija COBIT in BS7799: Podatki (navodila, politike, ostala dokuemntacija, log datoteke, etc…) Aplikacijski sistemi Tehnologija: HW Sistemski SW Baze podatkov Komunikacije (linije, kapaciteta, etc…) Prostori/naprave (računalniški centri) Management informacijskih sistemov Arhitektura podsistemov

Resursi: Profili (potrebni razpoložljivi) Znanje (potrebno/obstoječe) Partnerji/dobavitelji (kontaktne osebe, telefoni, faxi, etc…) Pogodbeni odnosi (vrednosti, obdobja, pogoji, etc…) Management informacijskih sistemov Arhitektura podsistemov

Možna nadaljevanja: Enostavno planiranje izobraževanja Obvladovanje resursov Obvladovanje in spremljava partnerjev Obvladovanje in spremljava pogodbenih odnosov Ostalo…. Management informacijskih sistemov Arhitektura podsistemov

Osnova in pogoji Planiranje investicij Planiranje stroškov Spremljanje/nadzor investicij Spremljanje/nadzor stroškov Simulacije Management informacijskih sistemov IT Investicije in stroški

Podsistem = osnovni element planiranja, spremljanja in simulacije investicij in stroškov Pristop je razumljiv za vse, ki se ne želijo ukvarjati s tehničnimi podatki (Uprava, OE, etc..) in ki neposredno odločajo o planiranih investicijah in stroških Management informacijskih sistemov IT Investicije in stroški

MANAGEMENT INFORMACIJSKIH SISTEMOV

MANAGEMENT INFORMACIJSKIH SISTEMOV

Presentation Transcript

Projektiranje in organizacija informacijskih sistemov

Teorija sistemov

Osnove informacijskih sistemov

Osnove informacijskih sistemov

Razvoj informacijskih sistemov

Razvoj informacijskih sistemov

Standardizacija in kakovost informacijskih sistemov

Pristopi Računskega sodišča RS pri revidiranju informacijskih sistemov

Standardizacija in kakovost informacijskih sistemov

Standardizacija in kakovost informacijskih sistemov

2. poglavje Pristopi k razvoju informacijskih sistemov

Projektiranje in organizacija informacijskih sistemov

Projektiranje in organizacija informacijskih sistemov

Projektiranje in organizacija informacijskih sistemov

Standardizacija in kakovost informacijskih sistemov

Standardizacija in kakovost informacijskih sistemov

Standardizacija in kakovost informacijskih sistemov

Revizija SAP – kaj mora revizor informacijskih sistemov vedeti o SAP sistemu

Pristopi Računskega sodišča Republike Slovenije pri revidiranju informacijskih sistemov

Projektiranje in organizacija informacijskih sistemov

Smernic a G 4 Zunanje izvajanje aktivnosti informacijskih sistemov drugim organizacijam

Varnost informacijskih sistemov Irena Sirk, Uroš Kuhar Mariborska knjižnica