View
76
Download
2
Category
Preview:
DESCRIPTION
e-Business Conference Banja Luka 2014
Citation preview
IT Governance
IT Security Governance Aspekt
IT GOVERNANCE
• Različita definicija
• Jedinstvena primjena za svaku organizaciju posebno
• Ključna područja:
– IT Strategija = Strateško planiranje
– Investicije u IT
– Service Delivery = efikasno pružanje IT usluga potpomognuto adekvatnim kontrolama
IT GOVERNANCE • IT Strategija:
– Poslovna strategija mora dati okvir za IT strategiju
– Poslovni rizici ↔ IT Rizici
– Fokus na direktnu podršku osnovnim djelatnostima organizacije
– Nivo razvijenosti organizacije = direktan uticaj na uspješnost povezivanja poslovne i IT strategije (IT Champion)
– Ravnoteža izmedju inovacije, kontrole i rizika
Upravni odbor IT Manager
$ £ €
110010101010010111
IT GOVERNANCE • Investicije u IT:
• ¾ investicija u IT ne ostvare zacrtani povrat ulaganja (ROI) ili se prosto ne zna
• Rizik IT projekta podjednako važan kao i cijena projekta:
• Obama – US Healthcare.gov (G2B): - Osiguravajuca društva ↔ Administracija
• Mora se uklopiti u cjelokupnu poslovnu i IT strategiju:
Phone
• Standardni način evaluacije unutar same organizacije: KPIs – $, hrs, incident • Ravnoteža u investiciji u IT, održavanja tog IT-a I njegovo korištenje:
• Ravnoteža izmedju IT usluge koju želimo ostvariti, investicije i ocjene projekta
IT GOVERNANCE
• Veća uspješnost:
– Definicija drugačija za privatni / javni sektor
• Privatni Sektor: – Bolja iskorištenost IT-a i veća spremnost za eBusiness
– Bolja povezanost izmedju eBusiness riješenja sa trenutnim ali i dugoročnim ciljevima firme = Banke
– IT Governance = Finansijski Rizik >> Direktno utiče na finansijske rizike (bolji novčani tokovi = cash flow – access management, bolja naplata – narudžbenica/faktura, bolje trezorsko poslovanje i upravljanje gotovinom, adekvatnije upravljanje nabavkom, i sl.)
– Manji operativni rizici
IT GOVERNANCE • Service Delivery:
– Poštovanje standarda – organizacije, lokalnih, državnih ili globalnih standarda • Poštovanje ITSec politike/procedure
• PCI/DSS
• Zakon o zaštiti ličnih podataka
– Kontinuirana transformacija i re-evaluacija – biznis ne stoji → zašto bi stajao onda način na koji pružamo IT usluge:
• eBanking
• Mobile Banking
• Convergence – Telekom Banke, facebook, ….
• Amazon, eBay…
– Pružanje usluge uz maksimalno poštovanje kontrola implementiranih u IT operacije kao i stalni monitoring
• Nemogućnost podizanja novca sa bankomata x 2
• Nekontrolisano špekulisanje na tržištima kapitala
USAGLAŠAVANJE IT STRATEGIJE SA POSLOVNOM STRATEGIJOM
• eBusiness strategija ili pravac u poslovanju mora podrazumjevati i IT security strategiju (i.e. software/hardware, ljude, aktivnosti, i sl.)
• Ravnoteža se mora postići na više pravaca
• Bacanje novca i vremena na provodjenje pen testova samo za odredjenu platformu, zaštita samo pojedinih dijelova IT-a = potrebno je sveobuhvatno riješenje
CYBER KRIMINAL UTIČE NA E-BUSINESS
Državna firma u Poljskoj
• Organizovani cyber/hack napad na e-commerce
• Neefikasne procedure za detekciju napada i tzv. Incident Response
Home Depot – Fortune 500 br. 33
• Organizovani cyber/hack napad na e-commerce
• Neefikasne procedure za detekciju napada i tzv. Incident Response
3 mjeseca Bez reakcije…?
2 mjeseca Bez reakcije…?
CYBER KRIMINAL UTIČE NA E-BUSINESS
46% – Procenata koliko je profit TARGET-a pao
u zadnjem kvartalu finansijske 2013. godine u odnosu na isti period 2012.
40 miliona Broj kreditnih i debitnih kartica
koje su hakeri ukrali iz TARGET-a u periodu od 27. novembra do 15. decembra 2013.
0 – Broj ljudi koji su obavljali dužnosti poput Chief
Information Security Officer (CISO) ili Chief Security Officer (CSO).
IT G
ove
rnan
ce
70 miliona Broj ličnih podataka, koji
uključuju ime, adresu, e-mail adresu i broj telefona kupaca TARGET-a.
Profit
CYBER KRIMINAL UTIČE NA
E-BUSINESS
PRIMJER – NEUSPJEH IT GOVERNANCE-A
HQ Prijem robe – Skladište
Prijem robe – Sistem
Prijem robe – USER1
Otpis robe - ADMIN
€
IT AR
Access Management
X.Y.Z = USER1 Xyz = ADMIN
USAGLAŠAVANJE IT STRATEGIJE SA E-STRATEGIJOM
Rizik Prirorieti
Kriza
Tech Ljudi
Veze
Ne možete sve osigurati… • Enterprise security architecture
• Zaštiti ono najvažnije
• Strategija, organizacija, upravljanje
• Threat intelligence
Nije pitanje da li će se desiti nego kada… • Continuity i recovery
• Crisis management
• Incident response
• Monitoring i detekcija
Preuzmi inicijativu… • Postovanje regulative
• Poslovna strategija oslikava i zaštitu podataka
• Risk management & risk appetite
Njihov rizik je i vaš rizik… • Digital channels (e-Banking, etc.)
• Partneri i vendori
• Dobri ugovori i SLAs
Ljudski faktor… • Insiders – Interni problemi
• People i ‘Moments that Matter’
• Security Training i Awareness
Ispravite prvo ono najosnovnije … • Identity i access management
• Information technology hygiene
• Information technology, operations (SIEM)
technology i consumer technology
• Security intelligence i analytics
URAVNOTEŽENOST IZMEDJU PONUDE I POTRAŽNJE ZA IT USLUGAMA UNUTAR SAME ORGANIZACIJE
• Broj ljudi u IT-u mora imati neki smisao (1:18 (do 500 uposlenih)-1:20+ idealno preko 500 uposlenih)
• Barem jedno lice samo za Information Security Operations
• Većina biznisa sada ne može bez IT-a a sa druge strane IT ne mora biti najvažniji dio organizacije
• Return on Investment – biti kritičan koliko investicija u IT donosi samom biznisu (CAPEX vs. OPEX – možda je trening i obuka osoblja bolje uložen novac nego kupovina novog IDS/IPS-a) – Kupovina skupe ili najnovije opreme, iako pomaže, nije jedino riješenje –
ljudski faktor je i dalje presudan
• Software Asset Management – IT je ponekad dosta neobavezan u održavanju pravilne dokumentacije o osnovnim sredstvima, amortizaciji, licencama = direktan uticaj na security (i.e. upgrades, patches i slično) + nepoštivanje licencnih aranžmana
EBUSINESS – BEZ OGRANIČENJA…
Pitanja?
Hvala na pažnji! Armin Dinar PwC | Risk Assurance Solutions | Senior Manager Office: +40.21.225.3311 | Mobile: +40.730.713.386 | Fax: +40.21.225/3600 Email: armin.dinar@ro.pwc.com PricewaterhouseCoopers Audit S.R.L. Lakeview Building, 301-311 Barbu Vacarescu St., 020276 Bucharest Romania http://www.pwc.ro
Recommended