Metodologije procesa upravljanja rizicima

Kako upravljati IT rizicima?

Sredinom 80-ih godina prošloga stoljeća velike kompanije koriste formalne metode upravljanja političkim i nacionalnim rizicima koje postupno oblikuju organizacijske jedinice zadužene isključivo za rizike. Danas zakonske obveze i razne regulative organizacijama ne ostavljaju mnogo prostora te se one moraju uhvatiti u koštac s ovom problematikom.

Upravljanje rizicima nije nešto novo. Štoviše, mogli bismo reći da je čovjek kao svjesno biće od prapovijesnih vremena upravljao rizicima. Zamislite, primjerice, rimskoga vojskovođu Gaja Julija Cezara kako stoji na obalama rijeke Rubikon. Prelazak rijeke i napredovanje prema Rimu sa samo jednom legijom predstavlja velik rizik od mogućega poraza. Ipak, Cezar prihvaća rizik, prelazi rijeku i izgovara legendardnu rečenicu:"Alea iacta est!" („Kocka je bačena!“). Ostalo je povijest... Naravno, ovdje nema ni govora o formalnim metodama upravljanja rizicima, koje se zapravo počinju pojavljivati u drugoj polovici prošloga stoljeća i to prvenstveno uz poslovne procese vezane uz financije i police osiguranja.

IT rizici
Upravljanje rizicima može se općenito definirati kao identifikacija, procjena i prioritizacija rizika, nakon kojih slijedi koordinirana i ekonomična uporaba sredstava kako bi se smanjila, nadzirala i bolje kontrolirala vjerojatnost i/ili utjecaj neželjenih događaja. Ono što stvara pomutnju pri razumijevanju i primjeni ove definicije kontekst je u kojemu se upravljanje rizicima promatra, a u tome smislu, mnogo je pogleda na upravljanje rizicima (vidi sliku 1).


Slika 1 – Neki od pogleda na rizike

U ovome ću se članku zadržati u okvirima IT rizika, iako se većina toga o čemu će biti riječi može preslikati i na ostale vrste rizika. IT rizici zapravo su rizici na poslovanje koji proizlaze iz korištenja informacijske i komunikacijske tehnologije. Primjeri su takvih rizika zastoji u radu aplikacija, gubitak administratorskih zaporki ili ključeva, neovlašteni pristup povjerljivim obavijestima i sl.

Upravljački alati
Danas u svijetu postoje mnoge metodologije ili okviri (vidi tablicu 1) usmjeruju ili konkretno upućuju na uporabu najboljih praksi za procese upravljanja rizicima. Neke se od njih odnose isključivo na IT rizike, neke govore o rizicima informacijske sigurnosti, a neke od njih možemo primijeniti u bilo kojemu kontekstu upravljanja rizicima. Svima je zajednička gruba podjela upravljanja rizicima u dvije glavne faze:
• procjena rizika,
• obrada rizika.


 

Tablica 1 - Neke od metodologija ili okvira za upravljanje rizicima


Za dio ovih metodologija postoji već mnoštvo raznih softverskih alata, koji bitno ubrzavaju postupke upravljanja rizicima, osiguravajući sveobuhvatnost pri identificiranju prijetnji i ranjivosti, omogućavajući brže i lakše matematičke izračune veličina rizika i dajući razne vrste izvještaja za visoki menadžment ili osobe odgovorne za procese upravljanja rizicima. Ono što je sigurno jest to da nijedan od tih alata ne radi samostalno (princip „ključ u ruke i vozi“), već je često potrebna određena prilagodba samoj organizaciji, njezinim poslovnim procesima, željama menadžmenta ili raznim regulacijskim i zakonskim uvjetima specifičnim za pojedinu poslovnu vertikalu ili državu u kojoj organizacija djeluje. Jedna je od metodologija predstavljena i kao regulacijska obveza Hrvatske narodne banke prema bankama koje posluju na tržištu Republike Hrvatske, a objavljena je u sklopu „Smjernica za primjereno upravljanje informacijskim sustavom s ciljem smanjenja operativnoga rizika“. Osnova je metodologije je u američkome NIST standardu SP800-30.

Procjena rizika
Rekli smo da su, ugrubo, dvije grupe aktivnosti procjena rizika i obrada rizika. Ukoliko se ove grupe aktivnosti detaljnije razlože, proces je procjene rizik uglavnom sljedeći:


Slika 2 - Koraci procjene rizika (prema NIST-u)


Ostale metodologije imaju ponešto drukčije faze, ali se manje-više svode na isto.
Prvi je korak definirati sustav kojim će se promatrati rizici. Mnoge metodologije govore o registru obavijesne imovine (eng. asset register), koji nije samo registar osobnih računala, poslužitelja i aplikacijskog softvera. Informacijska je imovina sve ono što predstavlja vrijednost za organizaciju, a ona je obavijest ili je sadrži, odnosno koristi se u procesima podrške uslugama koje se temelje na tim obavijestima. U registru će se obavijesne imovine tako naći poslovni procesi, računalne i komunikacijske usluge, aplikacijski i sistemski softver, računalna i komunikacijska oprema, mediji, izvori napajanja, klima uređaji, vanjski partneri, djelatnici organizacije i sl. NIST-ova metodologija navodi pojam „karakterizacija sustava“ (eng. system characterization), kao bolji pojam za one organizacije koje se prvi put susreću s procesom upravljanja rizikom. Naime, registar imovine često navodi na pogrešan korak sastavljanja neke vrste kataloga cjelokupne informacijske i komunikacijske tehnologije, što rezultira dugotrajnim poslom, a neopipljiva se imovina, poput procesa ili usluga, pri tome zaboravlja. Jedan takav registar više je plod upravljanja imovinom (eng. asset management) kao zasebnom disciplinom, iako nije zgorega objediniti te dvije discipline oko te iste zajedničke točke.
Poznajemo li opseg sustava i obavijesnu imovinu koja se nalazi u tome sustavu, potrebno je identificirati prijetnje koje mogu djelovati na tu imovinu i ranjivosti imovine koju takve prijetnje mogu iskoristiti. Sljedeća slika popisuje dio prijetnji i ranjivosti na obavijesnu imovinu.


Tablica 2 - Primjeri prijetnji i ranjivosti


Česta greška koje organizacije prilikom identifikacije prijetnji i ranjivosti čine preslabo je definiranje načina na koji će se one identificirati. Naime, pogrešno bi bilo uzeti samo gotove kataloge prijetnji i ranjivosti, primjerice s interneta, iz raznih metodologija (poput IT-Grundschutza) ili ugrađene u alate koji su dostupni na tržištu. Upravljanje je rizicima živi proces, a rizici se pojavljuju i nestaju svakodnevno. Ovu je aktivnost potrebno ugraditi u svakodnevni operativni organizacijski posao , a izvori se mogu pronaći u bazama postojećih incidenata rezultatima provjere ranjivosti i penetracijskih testiranja, projektnim rizicima, rezultatima testiranja softvera, postojećim bazama prijetnji i ranjivosti na internetu i sl. Sve je to potrebno neprekidno unositi u kataloge prijetnji i ranjivosti i ažurirati ih jer mnoge su prijetnje najopasnije upravo u početnome razdoblju, kada za njih još nisu razvijene kontrole obrane, poput servisnih zakrpa i slično.
Procjena i izračun rizika obavljaju se kada definiramo koje prijetnje mogu djelovati na ranjivosti imovine, prikupimo podatke o već primijenjenim sigurnosnim kontrolama te se koristimo nekim od mogućih načina vrednovanja ovih parametara. Među mnoštvom načina procjenjivanja i izračuna rizika, danas su najpopularnija sljedeća dva:
Rizik = Imovina * Prijetnja * Ranjivost
pri čemu se parametrima Imovina, Prijetnja i Ranjivost dodjeljuju vrijednosti iz predefinirane, najčešće kvalitativne, skale. Znak se množenja se formalno u slučaju kvantitativne skale, u suprotnome se koristi matrica (vidi sliku 4, pod a).


Rizik = Vjerojatnost ostvarivanja prijetnje * Utjecaj na imovinu
I u ovome se slučaju radi o množenju, odnosno matrici, a skala je i ovdje najčešće izražena kvalitativno (vidi sliku 4, pod b).

Najbolje je ovo oprimjeriti praksom. Recimo da procjenjujemo vjerojatnosti ostvarivanja prijetnje poplave u server sobi, u kojoj nam se nalaze svi bitni poslužitelji. Ukoliko su nam ranjivosti zastarjeli i neodržavani klima uređaji, stare i loše vodovodne cijevi u wc-u iznad server sobe te smještaj zgrade pored neke od naših rijeka, možemo reći da je vjerojatnost ostvarivanja prijetnje „umjereno velika“. Ukoliko nemamo dobro riješenu pričuvnu pohranu podataka, u slučaju ostvarivanja prijetnje utjecaj će poplave u server sobi biti „vrlo velik“. Moguć je gubitak većega dijela opreme i ključnih podataka o kojima ovisi poslovanje cijele organizacije. Prema tome, procijenjeni je utjecaj vrlo velik. Korištenjem drugoga načina izračuna rizika, izračunani je rizik u ovome slučaju „vrlo visok (60)“.
Ovaj se postupak ponavlja za sve „primjenjive“ parove imovina, čime dobivamo popis rizika i njihovih veličina. Riječ „primjenjive“ ima više značenja. Primjerice, nećemo procjenjivati vjerojatnost prijetnje grešaka u kodu softvera na imovinu zgrade ili uredskih prostora organizacije. Također, uputno je grupiranje pojedine imovinesa sličnim svojstvima i nad njom provoditi zajedničku procjenu rizika (npr. nećemo pojedinačno procjenjivati prijetnju kvara nad radnim stanicama djelatnika, pogotovo ukoliko su sve radne stanice istoga proizvođača i jednake starosti).
Zapravo, može se reći da svaka metodologija ima svoje prednosti i mane, i da rješava neke probleme s kojima se susreću procjenitelji rizika pri primjeni nekih od njih „na terenu“.

Obrada rizika
Nakon procjene rizika, slijede aktivnosti obrade rizika (vidi sliku 3). Ove aktivnosti uključuju određivanje prioriteta, procjenu, odabir i provođenje sigurnosnih kontrola za smanjivanje rizika. Rizik se uglavnom smanjuje na jedan od tri moguća načina:
- Smanjivanje provođenjem sigurnosnih kontrola – ovim se načinom primjenjuju sigurnosne kontrole koje smanjuju vjerojatnost ostvarivanja prijetnje ili smanjuju njezin utjecaj,
- Izbjegavanje rizika - bilo koja akcija kod koje se mijenjaju poslovne aktivnosti ili način vođenja poslovanja kako bi se spriječila pojava rizika, primjerice nekorištenjem e-trgovine ili interneta za određene poslovne aktivnosti, izbjegava se čitav niz prijetnji koje vrebaju uslijed ovakvoga načina poslovanja,
- Prenošenje rizika – ovim se načinom uglavnom pokrivaju rizici kod kojih bi primjena sigurnosnih kontrola bila neekonomična, pa se pribjegava prenošenju rizika na drugu organizaciju, primjerice ugovaranjem polica osiguranja i sl.
Zadnja opcija koja ostaje, a ne odnosi se na smanjivanje rizika, svjesno je prihvaćanje rizika. Odabirom ove opcije organizacija svjesno prihvaća vrednovani rizik i ne namjerava ništa dodatno poduzimati kako bi ga smanjila. Npr. organizacija može u procesu upravljanja rizicima, u kojem su rizici iskazani skalom od 1 do 5, odlučiti prihvatiti rizike 1 i 2, a za sve rizike koji su viši od 2 primijeniti neke od mogućih načina smanjenja rizika.
Nakon što se poreda katalog rizika, za one rizike koji se žele smanjiti, potrebno je predložiti mjere, odnosno kontrole kojima će se to i napraviti. Naravno, neke mjere mogu biti tehnički vrlo složene i skupe, stoga je potrebno izraditi neku vrstu analize isplativosti. Naime, čemu uložiti nekoliko milijuna kuna u visokokvalitetni hardver i softver za pohranu podataka ako rizici koji djeluju nad pričuvnom pohranom nisu visoko pozicionirani? Analiza isplativosti može se raditi brojnim metodama, a danas je jedna od najkorištenijih metoda „očekivanoga godišnjeg gubitka“ (eng. ALE – annual loss expectancy). Ovom se metodom procjenjuje koliki je očekivani gubitak jednoga ostvarivanja prijetnje (npr. pola sata zastoja u radu aplikacije A zbog „prljavih“, odnosno nevjerodostojnih podataka košta kuna). To se množi procijenjenim brojem takvih događaja godišnje, a rezultat je očekivani godišnji gubitak C. Ukoliko je za primjenu kontrole koja smanjuje pojavu ovakvoga događaja potrebno uložiti D kuna, lako je izračunati isplati li se primjena takve kontrole ili ne.


Slika 3 - Koraci obrade rizika (prema NIST-u)


Analizom isplativosti organizacija dobivamo konačan broj sigurnosnih kontrola koje je potrebno primijeniti, na temelju čega se stvara plan obrade rizika, koji jasno komunicira potrebne aktivnosti, odgovornosti u njihovome provođenju, datume početka i kraja primjene, prioritete aktivnosti i sl. Primjenom sigurnosnih kontrola odabrani se rizici smanjuju, ali najčešće nikada u potpunosti. Cilj je doći do preostalih rizika nakon primjene, koji su dovoljno niski da ih organizacija može prihvatiti.

Kako odabrati sigurnosne kontrole?
Najbolji su odgovor zakoni, standardi, najbolje prakse, odnosno smjernice i okviri prema kojima se danas de facto uspoređuje (eng. benchmarking) u području informacijske sigurnosti. U svjetskim je okvirima to svakako ISO/IEC 27001:2005 norma za uspostavu sustava upravljanja informacijskom sigurnošću, koja u svojemu dodatku A ima referencu na ISO 27002 (bivši 17799) standard najboljih praksi primjene sigurnosnih kontrola raspoređenih u jedanaest poglavlja. Po ovoj je enormi moguće i certificirati sustav upravljanja informacijskom sigurnošću organizacije. Trenutačno je u Republici Hrvatskoj po ovoj normi ( ili prethodnim) certificirano deset organizacija, među kojima su i banke, telekom operateri, informatičke privatne tvrtke, pa i jedinice lokalne samouprave, što dokazuje da je ova norma primjenjiva na sve vrste organizacije, raznih veličina ili raznih vertikala.
Kao zakonska i regulacijska obveza primjenjivanja procesa upravljanja rizicima danas je u Hrvatskoj Odluka HNB-a o primjerenome upravljanju informacijskim sustavom s ciljem smanjenja operativnoga rizika iz 2007. godine, proizašloga iz Basel II zahtjeva, koji je napokon malo više pažnje posvetio operativnome riziku, a time i IT rizicima kao podskupu operativnih rizika. Odluka je HNB-a obvezujuća za sve naše banke te se i posljednji članci odluke moraju zadovoljiti do sredine 2010. godine. Bankama je tako dan rok od nekoliko godina prilagodbe svojega poslovanja sukladno ovim odredbama, a dio vezan uz upravljanje rizicima teče upravo u ovome polugodištu.
S druge je strane, za tijela državne i javne uprave i sve organizacije koje razmjenjuju klasificirane značajne podatke za RH, obavezna primjena Zakona o informacijskoj sigurnosti (NN 79/07), koja člancima podzakonskog akta Uredba o mjerama sigurnosti, daje jasne zahtjeve za uspostavom procesa upravljanja rizicima.

Što trebaju učiniti organizacije?
Odgovor na ovo pitanje nije jednostavan, inače bi sve organizacije primijenile i uspostavile procese upravljanja IT rizicima već davno. Naime, ova je disciplina relativno mlada u Republici Hrvatskoj, i moraju se priznati veći pomaci napravljeni upravo izbacivanjem odgovarajućih zakona i regulative. Ovime se natjeralo organizacije na upravljanje IT rizicima na metodološki način i smanjivanje gubitaka koje su imale, koje možda nikad nisu dostojno računale. Skupina znanstvenika koja je radila na Basel II direktivi istraživanjem je došla do podatka da operativni rizici (uključujući IT rizike) nose trećinu od ukupnih gubitaka svih ostvarenih rizika.
Danas je primjetan trend da organizacije upravljanje svojim IT rizicima eksternaliziraju (eng. outsourcing) vanjskim tvrtkama koje im pružaju usluge savjetovanja pri uspostavi procesa i ostvarivanja pripadajućih aktivnosti, što nije slučajnost. Iako se proces upravljanja rizicima, kako je opisan u prethodnim poglavljima, čini jednostavan, on sadržava brojne zamke prilikom primjenjivanja. Vanjski savjetnici osiguravaju upravljanje rizicima na sveobuhvatan način te pridonose i stručnim ekspertizama za koje organizacije često nemaju dovoljno sredstava i vremena. Naravno, ova priča ima i svoju drugu stranu jer se na tržištu pojavljuje sve veći broj priučenih savjetnika sa sumnjivom stručnom pozadinom. Time organizacija ne dobiva dovoljno kvalitetno rješenje, a pri tome gubi šansu da sama osposobi kadrove za samostalno provođenje procesa upravljanja rizicima.

IT GRC alati
Kao podrška upravljanju rizicima pojavljuje se sve više softverskih alata iz tzv. IT GRC (G-Governance, R-Risk Management, C-Compliance) sfere, koji podržavaju one aktivnosti upravljanja IT rizicima, odnosno upravljanje IT-em i sukladnost. Rade s velikim skupinama podataka (primjerice registar imovine, katalozi prijetnji i ranjivosti, katalozi sigurnosnih kontrola i sl.) i time ubrzavaju cijeli proces i vode djelatnike raznim čarobnjacima (eng. wizards) ili definiranim tijekovima rada (eng. workflows).
I ovdje je, kao i pri odabiru vanjske tvrtke, potrebno voditi računa o raznim parametrima poput cijene, podrške pri problemima, frekvencije ažuriranja internih kataloga, broja podržavajućih standarda i sl. Za većinu je alata zajednički pristup upravljanju rizicima višim razinama i bogatim bazama znanja. Cijena ovakvih alata može biti prepreka mnogim organizacijama, ali provede li se kvalitetno analiza isplativosti, a uzimajući u obzir istraživanja o gubicima uslijed neupravljanja rizicima, često se opravdavaju iznosi ulaganja u njih.

Dalibor Uremović, KING ICT