Implementacija Odluke HNB-a u praksi

1
Implementacija Odluke HNB-a u praksi Zavod za
ispitivanje kvalitete d.o.o. Prof. dr. sc. Nikola
Hadjina, CISA, CISSP Mr.sc.Mario Sajko,
dipl.inf. Hrvoje Pernar, dipl.inf, CISA, ABCP, LA
27001
Zagreb, 28. svibnja 2008.
2
Agenda

• Problemi, iskustva i preporuke u implementaciji
  kljucnih tocaka Odluke HNB-a u praksi
• Mogucnosti realizacije Odluke
• Insourcing
• Outsourcing
• Cosourcing

2
Zagreb, 28.05.2008.
3
Podrucja Odluke HNB-a ...

• Okvir za upravljanje informacijskim sustavom
• Upravljanje rizikom IS-a
• Sigurnost IS-a
• Održavanje IS-a
• Upravljanje kontinuitetom poslovanja
• Razvoj IS-a i eksternalizacija

3
Zagreb, 28.05.2008.
4

• Pokrenuti i provoditi sveobuhvatan program obuke
  i podizanja svijesti
• Strategiju IS-a (i sigurnosti) temeljiti na
  poslovnoj strategiji
• CISSO - izbjegavati sukob interesa - regrutirati
  osobu bez drugih zaduženja
• Jasno razgraniciti odgovornosti na liniji CISSO -
  Odbor Uprava

• Nedovoljna svijest
• Nedostatak poslovne strategije
• Neadekvatna ili nepostojeca strategija IS-a
• Nerazumijevanje uloge CISSO-a
• Preopterecenost postojeceg strucnog kadra

4
Zagreb, 28.05.2008.
5

• Nerazumijevanje informacijskog rizika i njegove
  važnosti za biznis
• Problemi odredivanja vlasnika informacijske
  imovine i njene klasifikacije
• Nedostatak povijesnih podataka o incidentima
• Neureden popis imovine
• Teško prihvacanje potrebe da je upravljanje
  rizikom kontinuirani proces, te da je potrebno
  osigurati odgovarajuce ljudske resurse, ili
  vanjske konzultante

• Regulirati upravljanje rizikom internim aktima,
  definirati uloge i odgovornosti za RM
• Pojednostaviti metodologiju upravljanja rizikom,
  prilagoditi je velicini i kompleksnosti banke te
  osoblju koje ce provoditi procjene rizika
• Osigurati stalnu potporu Uprave
• Osigurati mogucnost dodatnog angažmana internih
  kadrova banke
• Think big, start small

5
Zagreb, 28.05.2008.
6

• Nedostatna svijest o znacaju inf. sigurnosti
• Nesustavan, ad-hoc pristup inf. sigurnosti
• Ne postoji funkcija CISSO-a
• Sigurnost uglavnom orijentirana na tehnicka
  rješenja
• Postojeca sigurnost nije temeljena na procjeni
  rizika
• Nerazumijevanje odgovornosti za sigurnosne
  procese
• Shvacanje sigurnosti kao zahtjeva HNB-a, a ne
  vlastite sigurnosti

• Primijeniti principe sigurnosti IS-a u kontekstu
  ISMS-a (ISO 27001)
• Upravljanje kontrolama temeljiti na procjeni
  rizika
• Upravljanje operativnim i sistemskim zapisima
  pratiti dodjelom odgovornosti
• Provoditi stalnu edukaciju i awareness korisnika
  IS-a

6
Zagreb, 28.05.2008.
7

• Nedostaju procedure za upravljanje hardverskom
  imovinom
• Pracenje promjena softvera ne provodi se sustavno
  
• Nedovoljna edukacija IT osoblja i pracenje novih
  tehnologija
• Pricuvne kopija se ne provjeravaju kao ni testovi
  za obnovu IT sustava
• Radi nedostatka razvojne strategije i ne
  provodenja analize rizika sustava zahtjevi IT-a
  se teško prihvacaju od Uprave

• Ispuniti preduvjete popis imovine, vlasnici
  imovine, odgovornosti, interni akti za
  upravljanje imovinom
• Koristiti preporuke ITIL-a i COBIT-a
• Change management
• Configuration management
• Incident management
• Problem management
• ...

7
Zagreb, 28.05.2008.
8

• Nedovoljna svijest Uprave banke o potrebi,
  složenosti i velicini BCM projekata, BCM se veže
  uglavnom uz IT pa ga se cesto (pogrešno) i
  odreduje za nositelja procesa
• Postoje parcijalna rješenja (tehnicka) za DR, ali
  ne i sustavna rješenja kontinuiteta poslovanja na
  poslovnoj razini
• Problem odredivanja kriticnih poslovnih procesa
• Najcešci problem je kako jasno definirati i
  dokumentirati poslovne procese, podprocese i
  njihove vlasnike (BPO),

• Prije pokretanja formalno BCM(S) projekta
  osigurati resurse
• Ne upuštati se u izradu BC/DR rješenja i plana
  bez provebe analize utjecaja na poslovanja (BIA)
  i procjene rizika (RA)
• BC planovi trebaju biti napisani od strane
  vlasnika PP, a ne konzultanta ili IT (osim DR
  plana)
• Umanjivati ocekivane visoke troškove pricuvnog
  racunalnog centra uporabom novih tehnologija
  (npr. virtualizacije)

8
Zagreb, 28.05.2008.
9

• Nepovezanost poslovne i IT strategije, cesto i ne
  postojanje IT strategije
• Problem upravljanja trecim stranama zbog ne
  postojanja tržišta za izbor kvalitetnih
  dobavljaca, banka cesto nema izbora druge
  mogucnosti
• Nedovoljna edukacija prema novim tehnologijama
• Prihvacanje eksternalizacije bez procjene rizika,
  te nadzora nad izvršenjem usluga
• Teško u potpunosti provesti razdvajanje razvojne,
  testne i produkcijske okoline

• U razvojne faze IS-a treba integrirati procjenu
  rizika
• Razvojne faze trebaju uzimati u obzir zahtjeve za
  sigurnošcu IS-a
• Razvoj mora u inicijalnoj fazi uzeti u obzir
  kontrole za sprjecavanje manipulacije unosa
  podataka (radi sprjecavanja unutarnje prijevare,
  ICF)
• Jasno dodijeliti odgovornosti za pracenje
  izvršavanja ugovora s dobavljacima
• Koristiti kompenzirajuce kontrole za razdvajanje
  razvojne, testne i produkcijske okoline

9
Zagreb, 28.05.2008.
10
Okvir za upravljanje informacijskim sustavom

• Kljucne pretpostavke
• Odgovornost
• Strategija
• Edukacija
• Risk managementokolina
• Interna revizija
• Neprekidno pracenje i poboljšanja
• Najbolja praksa i smjernice ISO/BS/ITIL/COBIT
• Osiguravanje resursa za provedbu

• Upravljanje rizikom IS-a

• Sigurnost IS-a

• Održavanje IS-a

Upravljanje kontinuitetom poslovanja
Razvoj IS-a i eksternalizacija
10
Zagreb, 28.05.2008.
11
Prijedlozi nacina implementacije Odluke

• insourcing-outsourcing-cosourcing

11
Zagreb, 28.05.2008.
12
Problem

• Poslovodstvo
• Potrebno implementirati zahtjeve HNB, tko ce to
  uciniti ?
• IT odjelu implementirajte zahtjeve HNB-a !
• Potrebno je smanjiti operativni rizik.
• Evo vam Smjernice za upravljanje IS-om radi
  smanjenja operativnog rizika
• Trebate li pomoc pri implementaciji ?
• IT
• Nije jasno, nemamo dovoljno prakse u tim
  poslovima trebamo pomoc
• Treba nas osloboditi drugih poslova
• Možemo li/trebamo li eksternalizirati dio poslova

12
Zagreb, 28.05.2008.
13
Što zapravo treba uciniti ?

• Implementirati robustan sustav informacijske
  sigurnosti radi smanjenja operativnih rizika
• Vrlo složen posao, razlikuje se od banke do banke
  (ne može se kupiti)
• Mogu se prenijeti i koristiti okviri najbolje
  prakse (ISO, COBIT, ITIL)
• Uspostaviti risk management okolinu
• Nedoumice
• Kako i s kojim ljudima implementirati zhtijeve
• Samostalno (insourcing)
• Kako poceti, odrediti sustave za procjenu rizika,
  povezati rizike i zaposlenike itd. ?
• Što raditi samostalno ?
• Uz pomoc konzultanata (outsourcing)
• Treba li i što eksternalizirati i da li je to
  moguce ?

13
Zagreb, 28.05.2008.
14
Insourcing-outsourcing-cosourcing
Insourcing se odnosi na samostalno izvodenje
poslovnih aktivnosti (odredeni odjeli ili osobe
unutar poduzeca) koje su preuzete trajno ili
povremeno.
14
Zagreb, 28.05.2008.
15
Rizici vezani uz insourcing/outsourcing

• Insourcing
• Postoje brojni prikriveni troškovi i rizici
  neuspjeha
• Kadrovi (nedostatak, stalna ulaganja)
• Garancije uspješnosti posla nema
• Subjektivnost u rješenjima i dodjeli odgovornosti
• Outsourcing
• Smanjenje morala zaposlenih te njihovo napuštanje
  poduzeca.
• Mogucnost izbijanja nesporazuma sa outsourcing
  partnerom ukoliko
• outsourcing partner ne vrši permanentno povecanje
  razine kvalitete usluge (loš SLA)
• razlike u poslovnim stilovima i kulturama
  poslovanja izmedu narucitelja i outsourcera
  izazovu nerazumijevanje i nepovjerenje.
• Moguci otpori iznutra i produljenje rokova
  (neadekvatni angažman Uprave i nadzor)

15
Zagreb, 28.05.2008.
16
Kriteriji odluke (outsourcing, insourcing)

• Zaposlenici
• angažman specijalista - novi ljudi
• Kontrola troškova
• Limitirani, snižavanje troškova, koncentracija na
  core business izbjegnu kontroli, skriveni
  troškovi
• Tijek i kvaliteta poslovanja
• Kontroliran ugovorom, poboljšana usluga
  odgovornost zaposlenika, rizici neuspjeha,
  udaljavanje od redovne operative
• Sigurnost
• Uvjetno prenesena - vlastita
• Obaveze
• Menedžment slabo ukljucen ukljucen u sve etape
  posla
• Resursi
• Financijsko ograniceni ogranicenje internih
  resursa (ljudi,.)

16
Zagreb, 28.05.2008.
17
Rješenje Co-sourcing

• Proces upravljanja IS-a i sigurnosti ne
  eksternalizirati u potpunosti (prevažno za
  ostvarenje ciljeva poslovanja, sigurnost temeljna
  funkcija, odgovornost ostaje zahtjev
  regulatora)
• Sklopiti dugorocniji ugovor (sporazum) s
  priznatim partnerom (sigurnost je kontinuiran
  proces)
• Selektivno dogovarati poslove uz trajni
  nadzor(aneksi)
• Prepustiti izvodacu izbor metoda obavljanja posla
  i kontrolu nacina odvijanja aktivnosti ne
  diktirati, nego pratiti rokove i kvalitetu
  isporuka kroz neovisnu reviziju
• Uspostaviti dugorocnu suradnju i kontinuirano
  razvijanje poslovnih odnosa

17
Zagreb, 28.05.2008.
18
Implementacija

• Insourcing
• Odbor (vijece) za sigurnost
• Clan uprave za IS
• Voditelj inf. sigurnosti
• Projektni timovi
• Definirane odgovornosti

Eksternalizacija

• Outsourcing
• Pracenje obaveza izvodaca
• Suradnja pri izradi politika
• Savjetovanje pri svim poslovima
• Revizija sigurnosti
• Održavanje IT-a

• Cosourcing
• Poboljšanje sustava
• Održavanje
• Izvodenje specijalnih posebno ugovorenih poslova
  (procjena rizika, održavanje regulative, obuka,
  implementacija mjera, održavanje dokumentacije,
  )

18
Zagreb, 28.05.2008.
19

• Zahvaljujemo na pažnji!

19
Zagreb, 28.05.2008.