Reafirmacija "risk-managementa"

"IT risk-management" ili upravljanje informacijskim rizicima sagledava se ponajprije kao aktivnost koja se odvija unutar operativne razine informacijskog sustava, kao prvenstveno tehnička disciplina, s minimalnom (tek neophodnom) interakcijom s upravljačkim procesima. Iako je risk-management ugrađen u temelje informacijske sigurnosti, naročito u procese upravljanja informacijskom sigurnošću, postoji latentna prijetnja deformacije ili čak minorizacije njegovog značenja. No trendovi koje donosi "Enterpise Risk Management" i zahtjevi ugrađeni u Basel II potiču reafirmaciju discipline upravljanja informacijskim rizicima, stavljajući je u kontekst upravljačkih procesa i povezujući je s upravljačkim procesima organizacije. No, ovaj put je ta veza postaje suštinska.

Usporedimo tradicionalnu poziciju upravljanja informacijskim rizicima. Nositelji procesa bili su predstavnici informatičkih službi. Glavni cilj bio je propisati kontrolne mjere (za što je dovoljno i pametno prepisivanje "best practice" dokumenata), ali uz adekvatne prioritete (upravo zbog toga "best practice" treba pojačati s poslovnim pogledom na potencijalne posljedice, tj. upravljati rizicma). Ipak, "risk management" je infomatičarima uglavnom izgledao trivijalano, a prakticirao se prije svega u kontekstu upravljanja kontinuitetom poslovanja. Njegova prava primjena u drugim segmentima informacijske sigurnosti uglavnom je izostajala (bez obzira na "best practice" dokumente ili profesionalne norme koje su inzistirale na "risk managementu").

"Risk management" je, dakle, gotovo banaliziran i trivijaliziran. No, tržišna regulacija i "Corporate Governance" incijative pojačavaju odgovornost rukovodstva, a time ponovo oživljavaju značaja "IT risk-managementa". Naime, upravljanje rizicima je važan instrument korporativnog upravljanja, a upravljanje informacijskim rizicima integrira se u taj instrument. Kao što sam već pisao na ovim stranicama, kod nas se ova incijativa pojavljuje kroz Smjernice HNB-a, a Odlukom HNB-a iz 2007., upravljanje rizikom informacijskog sustava mora biti uspostavljeno kao složen proces koji će obuhvaćati njegovu procjenu ali i njegovo kontinuirano praćenje. Ovo poglavlje Odluke mora biti provedeno do kraja ove godine.

Kako će banke odgovoriti na ovaj zahtjev? Prije svega, smatramo da se na ovaj zahtjev ne smije gledati površno, a banke ne bi trebale pristupiti samo sa ciljem jednokratnog i formalnog ispunjavanja obveze. Glavni problem predstavlja čijenice da mnoge banke nisu sasvim sigurne kome treba delegirati odgovornost za provedbu ovog zahtjeva. Gledajući terminološki, postojeće bankarske službe za upravljanje rizicima nameću se kao prvi kandidati. No, ove se službe se bave prije svega kreditnim rizicima, dok su operativni rizici (gdje treba ubroji i informacijske rizike) po svom karakteru i metodama upravljanja nešto drugo. Osim toga, kod informacijskih rizika dolazi do izražaja njihova horizontalna disperziranost među različitim organizacijskim procesima banke što sa sobom vuče potrebu "političke" spretnosti u provedbi procesa. Služba informacijske sigurnosti puno je bliža stručnom aspektu upravljanja rizicima, no pitanje je li u našim bankama uspjela dobiti na "političkoj" težini. (Napomena: pojam "politički" se, naravno, odnosi na organizacijske odnose unutar banke, a ne na parlamentarne odnose).

Nakon prvog koraka, određivanja nositelja procesa, slijedi njegova realizacija. Postoji nekoliko mogućih pristupa, no smatram da prije toga treba postaviti cjeloviti okvir provedbe Smjernica HNB-a (o čemu sam nedavno pisao). Na taj način će se modelirati mnogi važni elementi potrebni za uspostavu upravljanja rizikom informacijskim sustavima. Naročito bi trebalo inzistirati na uspostavi procesa provjere kontrolnih mjera koje bi trebale proizaći iz upravljanja rizicima ("compliance"). Sama aktivnost procjene rizika, koja bi inača izgledala kao tehnički zahtjevan zadatak, svesti će se na razumnije proporcije i postati prihvatljiviji zalogaj. Upravljanje informacijskim rizicima će, unatoč probavljivijim proporcijama, dobiti na svojoj težini i strateškom značaju.

"Top-down" načelo kod upravljanja informacijskim rizicima (3)

Ovo je treći i završni nastavak zapisa (ovdje pogledajte prvi i drugi nastavak) koji obrazlaže potrebu da se procesu upravljanja informacijskim rizicima, pa onda i informacijskoj sigurnosti, pristupi "odozgo", pogledom managementa. Važno je još jednom naglasiti da smo do visinu rizika mogli utvrditi samo na temelju suradnje rukovodstva (jer samo osobe odgovorne za pojedine poslovne procese mogu točno odrediti moguće posljedice) i informatičkog osoblja (koje je, najčešće, najbolje poznaje informatičku infrastrukturu).

Ovdje dolazimo do treće važne točke u "top-down" konceptu: najviši management mora biti upoznato ne samo s visinom rizika nego i s popisom kontrolnih mjera i mora dati nalog za njihovu primjenu. Samo na taj način će ove mjere dobiti potrebnu težinu a u praksi će se prevladati primjedbe korisnika i rukovodstva organizacijskih cjelina o svoijevoljnom nametanju ovih mjera od strane informatičkog osoblja.

Četvrta važna točka u primjeni "top-down" koncepta odnosi se na proširenja poslovnih procesa s novim tehnološkim sustavima (što se danas najčešće povezuje s otvaranjem novih poslovnih mogućnosti ili s ponudom novog proizvoda). Današnje tržišne inovacije su uglavnom neraskidivo vezane s primjenom novih informacijskih tehnologija i aplikativnih sustava, a svaki nova aplikativni sustav mora proći kroz proces upravljanja rizcima. Nova aplikacija može u sebi sadržavati značajne sigurnosne rizike, no s druge strane i otvarati značajne poslovne mogućnosti. Odluka o prihvaćanju ili izbjegavanju ovih rizika mora biti ostavljena rukovodstvu organizacije s obzirom da se radi o strateškoj poslovnoj odluci.

Peta važna točka "top-down" koncepta je održavanje odnosa unutar organizacije prema kojemu informatičke službe moraju biti svojevrsni davatelji informatičkih usluga a stvarni "vlasnici" podataka, odnosno korisnici s nadležnošću za sve značajne odluke o korištenju i obradi mora imati rukovodstvo pojedinih poslovnih procesa. Na taj način će se postići i kvalitetnija primjena pojedinih komponenti sustava a rukovodstva poslovnih cjelina preuzeti značajni dio odgovornosti.

Šesta točka "top-down" koncepta obuhvaća obvezu stalne provjere rada informacijskog sustava, praćenje stupnja ostvarivanja poslovnih ciljeva organizacije kroz korištenje informacijskog sustava te utvrđivanje svih događaja koji ukazuju na povredu predviđene razine sigurnosti. Rukovodstvo organizacije mora biti izvještavano o rezultatima provjere, ali i niže razine rukovodstva moraju biti upoznate s rezulttaima provjere za dijelove informacijskog sustava iz svoje nadležnosti. To se posebno odnosi na rukovodstvo informatičke službe, koje mora provoditi detaljnije praćenje rada na dnevno-operativnoj razini.

"Top-down" načelo kod upravljanja informacijskim rizicima (2)

Upravljanje rizicima mora točno identificirati i popisati svu informacijsku imovinu s kojom organizacija raspolaže, a na tako strukturiranom imovinom napraviti procjenu prijetnji i analizu ranjivosti, utvrditi visinu rizika te propisati potrebne sigurnosne mjere.

Inventura informacijske imovine druga je glavna točka "top-down" koncepta i ujedno prvi korak u procesu upravljanja rizicima. Informacijsku imovinu treba sagledati prije svega kao poslovne podatke koji imaju određenu vrijednost za organizaciju i čijom bi povredom došlo do značajnih posljedica za poslovanje. Evidencija tako definirane imovine mora biti usklađena s glavnim poslovnim procesima, a rukovoditelji ovih procesa moraju odgovoriti kakve posljedice očekuju uslijed gubitka povjerljivosti, integriteta ili dostupnosti podataka s kojima se svakodnevno služe.

Sve dok se držimo informacijskog sustava i njegovih glavnih modula, inventura informacijske imovine ići će predvidljivim tokom, iako ne uvijek sasvim glatko. No, moramo pripaziti da ne zanemarimo podatke koji su smješteni izvan baze podataka ili izvan aplikativnih sustava. Jako puno značajnih, ponekad i kritičnih, infomacija generira se kroz Office ili Excel, a smještaju se kojekuda po diskovima osobnih računala (uključujući i sve arhivske kopije, draft verzije dokumena i sve kopije koje se ponekad i nesvjesno generiraju). Elektronička pošta je odavno dobila svojstvo kritična poslovne informacija, a intelektualno vlasništvo je obuhvaćeno i drugim formatima (prezentacijama, grafičkim zapisima, nacrtima...). Konačno, popis informacijske imovine ne smije zanemariti ni papirnate podatke, koliko god se to smatralo nespojivim s karakterom informacijskog sustava.

Potom slijede preostale aktivnosti u procesu upravljanja rizicima, a jedan od završnih rezultata biti procjena visine rizika i definicija potrebnih kontrolnih mjera koje organizacija mora provesti kako bi spriječila eskalaciju prisutnih prijetnji.

"Top-down" načelo kod upravljanja informacijskim rizicima

Ako pogledamo praksu u većini organizacija, informatičke službe imaju vodeću riječ kada se odlučuje o vrsti, opsegu i težini sigurnosnih mjera. Takva uloga je rezultat tradicionalnih odnosa koji potječu još iz razdoblja kada su se ove službe nazivale "Elektronički računski centar", a njihove su usluge služile uglavnom da se nešto brže izračunaju kamate ili plaće zaposlenih.

No informcijski sustavi danas imaju neusporedivo značajniju ulogu, a rizici kojima je rad informacijskih sustav izložen mogu imati katastrofalne posljedice za poslovanje poduzeća. Ujedno, ostvarivanje poslovnog uspjeha znači i spremnost preuzimanja određenih rizika, pa tako i onih s područja informacijskih tehnologija.

Odluka o tome koje resurse zaštiti i kakvim mjerama to provesti, donosi se kroz proces upravljanja rizicima. Pogrešna odluka može imati značajne posljedice, bilo zbog nedovoljno jake mjere i financijske štete koju je izazvao sigurnosni incident, bilo kao propuštena poslovna prilika koju je nepovratno zauzela konkurencija. Stoga, odlučivanje o sigurnosnim mjerama prestaje biti dio uobičajenih nadležnosti informatičkih službi, već se mora sagledavati kao obaveza rukovodstva. Postojanje "risk-management" postupka je prvi preduvjet provedbu programa sigurnosti prema "top-down" načelu, od pozicije uprave prema pojednim poslovnim procesima.

Dakako, stvari nisu baš crno-bijele i postojeće procese nije moguće preusmjeriti i promjeniti samo naredbom presjednika uprave. Koje su glavne značajke "top-down" pristupa u provedbi informacijske sigurnosti?

Najvažniji je prvi korak: planiranje i provedba upravljanja informacijskim rizicima. Inicijativa za upravljanje rizicima mora biti pokrenta s razine uprave, a uprava (ili jedan njen član) mora biti pokrovitelj ovog procesa. U postupak upravljanja rizicima moraju biti uključeni i drugi članovi rukovodstva i odgovorne osobe pojedinih poslovnih procesa (izvan službe informacijskih tehnologija).

Nastavlja se...