IT GRC

Dalibor Uremović

ALTER INFO d.o.o.

Za zagrijavanje

• 2010: GRC in 2010: $29.8B

by AMR Research

• 2011: GRC Market Will Grow 20 Percent

by Forrester Research

Sadržaj predavanja

• GRC

– IT GRC

Zašto GRC?

o Ideja oko GRC-a

» Alati i stanje na tržištu

Microsoft IT GRC

Preduvjeti

• Ništa posebno...

Što je GRC?

Governance

Compliance Risk

Management

Governance

(Upravljanje) Definira mehanizme koje

organizacija koristi kako bi osigurala

da svi u organizaciji slijede

definirane procese i politike/pravila

Risk Management

(Upravljanje

rizikom) Proces kojim organizacija

postavlja prihvatljivu razinu

rizika, analizira i obrađuje

rizike te ih prioretizira prema

poslovnim ciljevima

organizacije

Compliance

(Sukladnost) Proces koji bilježi i nadzire

kontrole koje su potrebne kako

bi se osigurala sukladnost sa

zakonima, regulatornim

obvezama i internim

politikama/pravilima

IT GRC

Tipičan proces

Poslovni

zahtjevi

Rizici

Standardi i

najbolje prakse

Definiranje

politika i

kontrola

Umanjivanje

rizika

Implementacija

kontrola

Testiranje

kontrola

Izvještavanje

AS-IS stanje u domeni IT GRC

1. Ručna izrada i održavanje dokumenata

2. Ne postoji mehanizam automatske distribucije/kontrole tko je primio dokumente

3. Potrebno obaviti ručno mjerenje IT kontrola i ažurirati dokumente

4. Dugotrajna izrada registra imovine, problem održavanja

5. Ručno prikupljanje statusa kontrola, intervjui, nekonzistentnost, ponavljanje

6. Nema automatske obrade ranjivosti

7. Ne postoji svakodnevni pokazatelj sukladnosti

8. Ručni (ili pomoću Excel-a) izračun IT rizika

Zašto GRC (1)?

Kontinuirani porast regulative i

kompleksnosti zahtjeva • Do 2012, broj regulativa prema IT

operacijama će se udvostručiti

• Do 2012, 90% tvrtki će imati zakonsku ili

regulatornu obvezu revizije informacijskih

sustava prema najboljim praksama te potrebu

izvješćivanja prema javnosti

Izvor: Gartner, 2006

Kontinuirane greške u

financijskom izvještavanju i

poslovnim procesima

• 244% porast ulaganja u sigurnosne kontrole

zbog doživljene prijevare u 2006. u odnosu na

2004.

• 4 od 5 tvrtki su bile žrtve korporativnih prijevara

u posljednje 3 godine

• 20M $ je prosječan gubitak od prijevara (za

tvrtke s prihodima većim od 5Mld $)

Izvor: AuditAnalytics 2006, Kroll Global Fraud Report,

2007

Kontinuirana potreba za GRC izvještavanje prema Upravi

•Upravni odbori traže kvalitetnije i detaljnije informacije o organizacijskoj sukladnosti i upravljanju rizicima zbog raznih revizija

•Globalno istraživanje 741 CFO-a navodi da stalan rast prodaje i izbacivanja novih proizvoda oduzimaju previše vremena za praćenje sukladnosti s regulatornim i zakonskim obvezama Izvor: Mckinsey, 2006; Duke University, 2007

Zašto IT GRC (2)?

Zašto GRC (3)?

IT GRC proizvodi pomažu organizacijama:

• Definirati IT politike, procese i kontrole

• Upravljati sadržajem politika

• Mapirati politike s organizacijskim, tehničkim i procesnim kontrolama

• Izračunati i upravljati IT rizicima

• Automatizirati revizije informacijskog sustava i izvješćivanje prema regulatorima

Jedan proizvod

za više korisnika

CEO, Uprava

Interna

revizija

Financijski

kontroling

Operacijska sigurnost Vanjska revizija

CIO, CISO

CFO

Operacijske kontrole

Financijske kontrole

IT kontrole

Risk

menadžer

Izvor: Agiliance

RiskVision

Gartner kriteriji za

IT GRC alate

Kriteriji vrednovanja

• Funkcionalnost alata

• Razumijevanje tržišta

• Doživljaj kupaca

• Strateško pozicioniranje alata

• Podrška i organizacija

proizvođača

Gartnerovih 8 ključnih IT GRC

funkcija

1. Mapiranje kontrola i politika

2. Distribucija politika i povratna

potvrda

3. Samoprocijenjivanje i mjerenje IT

kontrola

4. Registar informacijske imovine

5. Automatizirano prikupljanje

statusa kontrola

6. Obrada ranjivosti i iznimaka

7. Pokazatelji sukladnosti

(dashboards)

8. Izračun IT rizika

IT GRC alati

Microsoftov IT GRC „konj za utrku”

• IT GRC Process Management Pack

• IT Compliance Management Library

Series

za System Center Service Manager

MS IT GRC vizija

Baza znanja

• Već uneseni popis:

– ciljeva

– kontrola

– rizika

• Preko 400 izvora!!!

• ITIL

• CobiT

• ISO 27001

• PCI DSS

• SOX

• ....

Management pack

za

SCSM

Shema

Tipičan proces

(scenarij) - politika zaporki (min. 8

znakova, alfanumerički

znakovi, min. Izmjena

svakih 90 dana)

Procjena rizika (metodologija)

• Inherent Risk: Likelihood * Impact

• Residual Risk: Inherent Risk – Control Level

• Risk response:

– Avoid

– Reduce

– Share

– Accept

Glavne korisne značajke

• Mapiranje poslovnih ciljeva s IT GRC ciljevima i aktivnostima

• Lako identificiranje specifičnih instanci IT sustava koji su nesukladni

• Kreiranje centralne točke za različite GRC programe

• Korištenje najboljih svjetskih praksi za IT procese

• Smanjenje rada revizora i IT operacija uz automatsko prikupljanje statusa kontrola

• Brže vrijeme izvještavanja menadžmenta uz predloške izvještaja

Okolina - zahtjevi

• MS System Center Service Manager 2010 SP1 – Jedan server za Service Manager Server

• IT GRC Management Pack SP1

– Drugi server za Service Manager DWH mngmt

• Windows Server 2008 R2 64-bit (AD, DNS)

• SQL Server 2008 R2 64-bit (Reporting Services)

• MS System Center Configuration Manager 2007 R2 (opcionalno)

• Klijentska računala sa Service Manager konzolom + IT GRC Management Pack SP1 Client – Microsoft Visual Studio® Tools for the Microsoft Office System

(VSTO) 3.0 and VSTO 3.0 SP1

– Microsoft Office Excel® 2007 or 2010 (32-bit)

Povezani sadržaji

• Sva MS SCSM predavanja...