Životní cyklus rizik omezení, kontrola a registr rizik. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Řízení rizik v informatice LS 2010/11, Předn. 8 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Omezení, kontrola a registr rizik Přednáška 8/13, 2011
Životní cyklus řízení rizik omezení rizika Identifikace Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace
Omezení/Eliminace rizika Pro omezení ev. eliminaci rizika je zapotřebí: Identifikovat možná protiopatření Stanovit protiopatření proti vysokým a velmi vysokým rizikům včetně ekonomické analýzy Zavést protiopatření (jednotlivé složky musí aktivovat své havarijní plány, umístit prostředky i ekonomické pro eliminaci nebo zmírnění rizika, ev. odstranění hrozeb a zranitelností Řízení rizika musí být dáno jasně definovaným procesem, který zahrnuje i veškeré finanční kontrolní mechanizmy.
Omezení/Eliminace rizika V této fázi je nutno brát do úvahy i náklady, tj. počítat s návratností, ev. zdůvodnitelností nákladů na zmenšení rizika. Postupy jsou stanoveny pro IT. Pro ostatní oblasti je záležitost neformalizovaná.
Srovnání Val IT a COBIT Obojí produkt ISACA a ITGI Val IT se soustřeďuje na investiční rozhodnutí (zda se dělají správné věci?) a na přínosy (dostáváme opravdu to, co jsme očekávali?) COBIT se soustřeďuje na řízení (děláme to správně?) a výsledek (je to v pořádku?)
Srovnání ValIT a COBIT Strategie Vize Činnost Riziko Náklady Děláme správné věci? Architektura V souladu Děláme je Konzistence správně? Vylepšení V souladu s dalšími aktivitami? ValIT COBIT Dostáváme přínosy? Podařilo se? Hodnota Porozumění přínosům Umíme je vyčíslit Metriky? Umíme získat přínosy? Dodání Řízení projektové, změnové, dodavatelské Dostupné technické a obchodní zdroje pro realizaci
Finanční situace s projekty? Miliardy dolarů vyhozeny na neúspěšné IT projekty 35 45% projektů špatných/nedokončených. V zásadě otázky: Kolik projektů je zpožděných Kolik se vešlo do rozpočtu Kolik opravdu poskytlo to, co bylo očekáváno? Kolik projektů v organizaci běží Proč běží Jaký díl ukusují z investic Jsou k dispozici řídící zdroje a schopnosti pro tyto projekty Jaká je návratnost a přínos Jak se mění riziko?
Obchodní případ Struktura obchodního případu Obchodní případ pro schválenou IT investici uvažuje následující vztahy Zdroje pro vývoj: Technologie/IT podpora: Operační schopnosti: Obchodní/výr. Schopnosti které využívají investici: Hodnoty, které lze vyjádřit jako návratnost v oblasti snížených rizik nebo vzrůstu kurzu akcií
Působení na organizaci z hlediska bezpečnosti Koncepty Koncepty Trhy Úřady Organizace Normy Hrozby Dodavatelé Adrian Mizzi 2005
Výpočet návratnosti investic do IB Cílem jakéhokoliv programu řízení informačních rizik a tedy i bezpečnosti, je chránit informační aktiva co možná nejefektivněji, tedy také musíme mít na zřeteli, že bezpečnostní mechanismy nesmějí do systémů zavádět body nestability a způsobovat jeho nedostupnost. Je tedy nastolena otázka životaschopnosti (oprávněnosti) investic do IT. Dobré je uvažovat i náklady na proražení bezpečnostního systému a ev. motivaci. Viz další přednáška na toto téma.
Životní cyklus řízení rizik - kontrola Identifikace Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace
Životní cyklus řízení rizik - kontrola Zabývá se sledováním situace okolo rizika Formální stránka Věcná stránka Ekonomické ukazatele
Sledování rizika Aktivity vyvíjené při sledování rizika Údržba Registru rizik Sledování rizik a vývoje okolo nich Hlášení Sledovací proces permanentně kontroluje efektivitu zaváděných opatření. Výsledky sledování mohou vytvářet základnu pro další objevení dalších rizik. Klíčovým faktorem úspěchu je stanovení systému indikátorů, který by měl sloužit pro varování před možnými problémy a pro vyvolání patřičné reakce vedení. Nejedná se zde o techniku, která by problémy řešila, ale spíše o předcházení problémům na základě vyhodnocování situace.
Životní cyklus řízení rizik Registr rizik Identifikace Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace
Registr rizik Registr rizik si lze nejlépe představit jako tabulku, která by měla obsahovat např. číslo rizika, vlastníka rizika, popis rizika, stav rizika, protioptření atd.
Registr rizik povinná pole FieldRisk ID/Identifikační kód rizika Identified Risk Date/datum identifikace Risk Identified By/kým identifikováno Risk Owner/vlastník rizika Risk Description/popis rizika Probability of occurrence/pravděpodobnost výskytu Impact Level/úroveň dopadu Risk Rating/ohodnocení rizika Risk Status/stav rizika Countermeasures/protiopatření Date of the last update/datum poslední aktualizace
Registr rizik nepovinná pole -Impact cost/náklady v případě -Risk Exposure/působnost rizika účinku -Proximity/časová vzdálenost -Risk Mitigation/odstranění rizika -Mitigation Action Date/datum -Contingency plan/plán odstranění rizika udržení činnosti -Trigger/spuštění riz. události -Closing rationale/důvod uzavření -Closed By/kým uzavřeno -Closed Date/datum uzavření -Interdependencies with other source of risks/souvislosti s jinými zdroji rizik
Registr rizik nepovinná pole -Project Code/kód projektu -Version No./verze -Risk Description/popis rizika -Probability percentage/ procento pravděpodobnosti -Aging/věk -Category/kategorie -Department Area/oblast působení -Implementation Cost/cena v oddělení protiopatření -Task/úkol -Risk Management No./čislo rizika - správa
Dotazy