upravljanje rizicima metodologije procesa upravljanja...
TRANSCRIPT
42 infoTrend 171/05/2009
Sredinom 80-ih godina prošloga stoljeća velike kompanije koriste formalne metode upravljanja političkim i nacionalnim rizicima koje postupno oblikuju organizacijske jedinice zadužene isključivo za rizike. Danas zakonske obveze i razne regulative organizacijama ne ostavljaju mnogo prostora te se one moraju uhvatiti u koštac s ovom problematikom
(„Kocka je bačena!“). Ostalo je povijest... Naravno, ovdje nema ni govora o formalnim metoda-ma upravljanja rizicima, koje se zapravo počinju pojavljivati u drugoj polovici prošloga stolje-ća i to prvenstveno uz poslovne procese vezane uz financije i po-lice osiguranja.
IT riziciUpravljanje rizicima može se
općenito definirati kao identifi-kacija, procjena i prioritizacija rizika, nakon kojih slijedi koor-dinirana i ekonomična uporaba sredstava kako bi se smanjila, nadzirala i bolje kontrolirala vjerojatnost i/ili utjecaj neže-ljenih događaja. Ono što stvara pomutnju pri razumijevanju i primjeni ove definicije kontekst je u kojemu se upravljanje rizi-cima promatra, a u tome smislu, mnogo je pogleda na upravljanje rizicima (vidi sliku 1).
U ovome ću se članku zadrža-ti u okvirima IT rizika, iako se većina toga o čemu će biti riječi može preslikati i na ostale vrste rizika. IT rizici zapravo su rizici na poslovanje koji proizlaze iz korištenja informacijske i ko-munikacijske tehnologije. Pri-
Upravljanje rizicima nije nešto novo. Štoviše, mogli bismo reći da je
čovjek kao svjesno biće od pra-povijesnih vremena upravljao rizicima. Zamislite, primjerice, rimskoga vojskovođu Gaja Juli-ja Cezara kako stoji na obalama rijeke Rubikon. Prelazak rijeke i napredovanje prema Rimu sa samo jednom legijom predstav-lja velik rizik od mogućega po-raza. Ipak, Cezar prihvaća rizik, prelazi rijeku i izgovara legen-dardnu rečenicu:”Alea iacta est!”
Upravljanje rizicima Metodologije procesa upravljanja rizicima
Kako upravljati IT rizicima?
Dalibor Uremović savjetnik je za sigurnost informaci-jskih sustava u tvrtki KING ICT. Tijekom profesionalne karijere stekao je iskustva na poslovima razvoja infor-macijskih sustava, odnosno projektiranja, programiranja i implementacije sustava, implementacije sustava upravljanja informacijskom sigurnošću prema normi ISO/IEC 27001:2005 i usklađivanja sa zakonskim i regulatornim zahtjevima iz područja informacijske sigurnosti, upravljanja informatizacijom te revizija i procjena rizika informaci-jskih sustava. Ove poslove obavljao je za tvrtke iz svih vertikala poput Ministarstva obrane, Hrvatskog zavoda za zapošljavanje, T-Mobile-a, Slavonske banke, Hrvatske poštanske banke, Kreditne banke Zagreb i sl. Trenutno pohađa poslijediplom-ski studij “Management poslovnih sustava”, a nositelj je certifikata MCSD.NET, ISO 27001 Lead Auditor i CISA.
Upravljanje rizicima može se op-ćenito definirati kao identifikacija, pro-cjena i prioritizacija rizika, nakon kojih slijedi koordinirana i ekonomična uporaba sredstava kako bi se smanjila, nadzirala i bolje kontrolirala vje-rojatnost i/ili utjecaj neželjenih događaja
Slika 1 - Neki od pogleda na rizike
171/05/2009 infoTrend 43
mjeri su takvih rizika zastoji u radu aplikacija, gubitak admini-stratorskih zaporki ili ključeva, neovlašteni pristup povjerljivim obavijestima i sl.
Upravljački alatiDanas u svijetu postoje mnoge
metodologije ili okviri (vidi ta-blicu 1) usmjeruju ili konkretno upućuju na uporabu najboljih praksi za procese upravljanja rizicima. Neke se od njih odno-se isključivo na IT rizike, neke govore o rizicima informacijske sigurnosti, a neke od njih mo-žemo primijeniti u bilo kojemu kontekstu upravljanja rizicima. Svima je zajednička gruba po-djela upravljanja rizicima u dvije glavne faze:
• procjena rizika,
Primjenjivost na vrstu organizacije
CijenaZemlja porijekla
CRAMM Velika Britanija N/A velike Ne
BS 7799-3:2006 Velika Britanija cca 80 £ sve
ISO/IEC 27005:2008 Velika Britanija cca 90 £ sve
IT-Grundschutz Njemačka besplatno sve Ne
Mehari 2007 Francuska besplatno sve Ne
Octave SAD besplatno srednje i male Ne
SP800-30 (NIST) SAD besplatno sve Ne
U sklopu ISO 27001
U sklopu ISO 27001
Mogućnostcertificiranja
Tablica 1 - Neke od metodologija ili okvira za upravljanje rizicima
44 infoTrend 171/05/2009
Tema broja• obrada rizika.Za dio ovih metodologija po-
stoji već mnoštvo raznih softver-skih alata, koji bitno ubrzavaju postupke upravljanja rizicima, osiguravajući sveobuhvatnost pri identificiranju prijetnji i ra-njivosti, omogućavajući brže i lakše matematičke izračune ve-ličina rizika i dajući razne vrste izvještaja za visoki menadžment ili osobe odgovorne za procese upravljanja rizicima. Ono što je sigurno jest to da nijedan
uglavnom sljedeći:Ostale metodologije imaju
ponešto drukčije faze, ali se ma-nje-više svode na isto.
Prvi je korak definirati sustav kojim će se promatrati rizici. Mnoge metodologije govore o registru obavijesne imovine (eng. asset register), koji nije samo re-gistar osobnih računala, poslu-žitelja i aplikacijskog softvera. Informacijska je imovina sve ono što predstavlja vrijednost za organizaciju, a ona je obavijest ili je sadrži, odnosno koristi se u procesima podrške uslugama koje se temelje na tim obavijesti-ma. U registru će se obavijesne imovine tako naći poslovni pro-cesi, računalne i komunikacijske usluge, aplikacijski i sistemski softver, računalna i komuni-kacijska oprema, mediji, izvori napajanja, klima uređaji, vanjski partneri, djelatnici organizaci-je i sl. NIST-ova metodologija navodi pojam „karakterizacija sustava“ (eng. system characte-rization), kao bolji pojam za one organizacije koje se prvi put su-sreću s procesom upravljanja ri-zikom. Naime, registar imovine često navodi na pogrešan korak sastavljanja neke vrste kataloga cjelokupne informacijske i ko-munikacijske tehnologije, što rezultira dugotrajnim poslom, a neopipljiva se imovina, poput procesa ili usluga, pri tome za-boravlja. Jedan takav registar više je plod upravljanja imovi-nom (eng. asset management) kao zasebnom disciplinom, iako nije zgorega objediniti te dvije discipline oko te iste zajedničke točke.
Poznajemo li opseg sustava i obavijesnu imovinu koja se na-lazi u tome sustavu, potrebno je identificirati prijetnje koje mogu djelovati na tu imovinu i ranji-vosti imovine koju takve pri-jetnje mogu iskoristiti. Sljedeća slika popisuje dio prijetnji i ra-njivosti na obavijesnu imovinu (tablica 2).
Česta greška koje organizacije prilikom identifikacije prijetnji i ranjivosti čine preslabo je de-finiranje načina na koji će se one identificirati. Naime, pogrešno bi bilo uzeti samo gotove katalo-ge prijetnji i ranjivosti, primjeri-ce s interneta, iz raznih metodo-
Ulaz Aktivnost Izlaz
Hardver Softver Interfejsi Podaci i
informacije Ljudi
Korak 1.Karakterizacija
sustava
Povijest napada Podaci s Interneta,
iz baza gubitaka
Korak 2.Identifikacija
prijetnji
Izvješća prošlih procjena rizika
Izvješća revizija Rezultati testiranja
Korak 3.Identifikacija
ranjivosti
Trenutne kontrole Planirane kontrole
Korak 4.Analiza
kontrola
Motivacija izvora prijetnji
Kapacitet prijetnji Trenutne kontrole
Korak 5.Određivanje vjerojatnosti
Analiza utjecaja Procjena kritičnosti
imovine Kritičnost i
osjetljivost podataka
Korak 6.Analiza utjecaja
Veličina utjecaja Adekvatnost
planiranih ili trenutnih kontrola
Korak 7.Određivanje
rizika
Korak 8.Preporuka kontrola
Korak 9.Dokumentiranje
rezultata
Granice sustavaSistemske funkcijeKritičnost i osjetljivost podataka i sustava
Katalog prijetnji
Katalog ranjivosti
Lista trenutnih i planiranih kontrola
Ocjena vjerojatnosti
Ocjena utjecaja
Katalog rizika Veličine rizika
Preporučene kontrole
Izvješće o procjeni rizika
Slika 2 - Koraci procjene rizika (prema NIST-u)
U svijetu postoje mnoge metodologije koje usmjeruju ili konkretno upućuju na upo-rabu najboljih praksi za procese upravljanja rizicima. Neke se od njih odnose isključivo na IT rizike, neke govore o rizicima informacijske sigurnosti, a neke možemo primijeniti u bilo kojemu kontekstu upravljanja rizicima
od tih alata ne radi samostalno (princip „ključ u ruke i vozi“), već je često potrebna određena prilagodba samoj organizaciji, njezinim poslovnim procesima, željama menadžmenta ili ra-znim regulacijskim i zakonskim uvjetima specifičnim za pojedi-nu poslovnu vertikalu ili državu u kojoj organizacija djeluje. Jed-na je od metodologija predstav-ljena i kao regulacijska obveza Hrvatske narodne banke prema bankama koje posluju na tržištu Republike Hrvatske, a objavlje-na je u sklopu „Smjernica za pri-mjereno upravljanje informacij-skim sustavom s ciljem smanje-nja operativnoga rizika“. Osnova je metodologije je u američkome NIST standardu SP800-30.
Procjena rizikaRekli smo da su, ugrubo, dvije
grupe aktivnosti procjena rizika i obrada rizika. Ukoliko se ove grupe aktivnosti detaljnije ra-zlože, proces je procjene rizik
Upravljanje rizicima Metodologije procesa upravljanja rizicima
171/05/2009 infoTrend 45
Slika 4 - Dva najčešća načina izračuna rizika
Razina prijetnje
Vrijednost imovine
Razina ranjivosti
M
0
1
2
3
4
S
1
2
3
4
5
V
2
3
4
5
6
M
1
2
3
4
5
S
2
3
4
5
6
V
3
4
5
6
7
M
2
3
4
5
6
S
3
4
5
6
7
V
4
5
6
7
8
0
1
2
3
4
Mala Srednja Velika
a) Imovina*Prijetnja*Ranjivost b) Vjerojatnost ostvarivanja prijetnje * Utjecaj na imovinu
Vjerojatnost ostvarivanja prijetnje
Vrlo velika (1)
Umjereno velika (0,6)
Srednja do mala (0,3)
Vrlo mala (0,1)
UtjecajVrlo visok (100)
Umjereno veliki (60)
Srednji do mali (30)
Vrlo mali (10)
Vrlo visok (100)
Vrlo visok (60)
Visok (30) Srednji (10)
Vrlo visok (60)
Visok (36) Srednji (18)
Nizak (6)
Visok (30) Srednji (18)
Nizak (9) Nizak (3)
Srednji (10)
Nizak (6) Nizak (3) Nizak (1)
TIP IMOVINE RANJIVOST PRIJETNJA
Neredovito održavanje Tehnički kvar na sustavu
Hardver Nezaključani ormarići Krađa medija i dokumenata
Nekontrolirano odbacivanje medija Krađa medija i dokumenata
Nedovoljno testiranje softvera Greška u aplikaciji
Softver Poznate ranjivosti u softveru Iskorištavanje poznatih ranjivosti
Nedostatak operativnih i sistemskih zapisa Neovlaštene promjene u sustavu
Slabo upravljanje zaporkama Napadi probijanjem zaporki
Mreža Nekriptirani promet Prisluškivanje prometa
Neredundantna oprema Kvar na mrežnom uređaju
Ljudi Nedovoljna obučenost djelatnika Greške pri korištenju
Manjak obučenog kadra Otkaz djelatnika
Lokacija Blizina rijeke Poplava
Nedostatak agregata i/ili UPS-ova Nestanak struje
Tablica 2 - Primjeri prijetnji i ranjivosti
logija (poput IT-Grundschutza) ili ugrađene u alate koji su do-stupni na tržištu. Upravljanje je rizicima živi proces, a rizici se pojavljuju i nestaju svakodnev-no. Ovu je aktivnost potrebno ugraditi u svakodnevni operativ-ni organizacijski posao , a izvori
se mogu pronaći u bazama po-stojećih incidenata rezultatima provjere ranjivosti i penetracij-skih testiranja, projektnim rizi-cima, rezultatima testiranja sof-tvera, postojećim bazama prijet-nji i ranjivosti na internetu i sl.
Sve je to potrebno neprekidno unositi u kataloge prijetnji i ra-njivosti i ažurirati ih jer mnoge su prijetnje najopasnije upravo u početnome razdoblju, kada za njih još nisu razvijene kontrole obrane, poput servisnih zakrpa
i slično.Procjena i izračun
rizika obavljaju se kada definiramo koje prijet-nje mogu djelovati na ranjivosti imovine, pri-kupimo podatke o već primijenjenim sigur-nosnim kontrolama te se koristimo nekim od mogućih načina vred-novanja ovih parame-tara. Među mnoštvom načina procjenjivanja i izračuna rizika, danas su najpopularnija slje-deća dva:
a) Rizik = Imo-vina * Prijetnja * Ranji-vost
pri čemu se para-metrima Imovina, Prijetnja i Ranjivost dodjeljuju vrijednosti iz predefinirane, naj-češće kvalitativne, ska-le. Znak se množenja se formalno u slučaju kvantitativne skale, u suprotnome se koristi matrica (vidi sliku 4, pod a).
b) Rizik = Vje-rojatnost ostvarivanja
prijetnje * Utjecaj na imovinuI u ovome se slučaju radi o
množenju, odnosno matrici, a skala je i ovdje najčešće izražena kvalitativno (vidi sliku 4, pod b). Najbolje je ovo oprimjeriti prak-som. Recimo da procjenjujemo vjerojatnosti ostvarivanja prijet-
46 infoTrend 171/05/2009
Tema brojanje poplave u server sobi, u kojoj nam se nalaze svi bitni posluži-telji. Ukoliko su nam ranjivosti zastarjeli i neodržavani klima uređaji, stare i loše vodovodne cijevi u wc-u iznad server sobe te smještaj zgrade pored neke od naših rijeka, možemo reći da je vjerojatnost ostvarivanja prijet-nje „umjereno velika“. Ukoliko nemamo dobro riješenu pričuv-nu pohranu podataka, u slučaju ostvarivanja prijetnje utjecaj će poplave u server sobi biti „vrlo velik“. Moguć je gubitak većega dijela opreme i ključnih poda-taka o kojima ovisi poslovanje cijele organizacije. Prema tome, procijenjeni je utjecaj vrlo ve-lik. Korištenjem drugoga načina izračuna rizika, izračunani je ri-zik u ovome slučaju „vrlo visok (60)“.
Ovaj se postupak ponavlja za sve „primjenjive“ parove imovi-na, čime dobivamo popis rizika i njihovih veličina. Riječ „pri-mjenjive“ ima više značenja. Primjerice, nećemo procjenji-vati vjerojatnost prijetnje gre-šaka u kodu softvera na imovi-nu zgrade ili uredskih prostora organizacije. Također, uputno je grupiranje pojedine imovinesa sličnim svojstvima i nad njom provoditi zajedničku procjenu rizika (npr. nećemo pojedinač-no procjenjivati prijetnju kvara nad radnim stanicama djelatni-ka, pogotovo ukoliko su sve rad-ne stanice istoga proizvođača i jednake starosti).
Zapravo, može se reći da sva-ka metodologija ima svoje pred-nosti i mane, i da rješava neke probleme s kojima se susreću procjenitelji rizika pri primjeni nekih od njih „na terenu“.
Obrada rizikaNakon procjene rizika, slijede
aktivnosti obrade rizika (vidi sli-ku 3). Ove aktivnosti uključuju određivanje prioriteta, procjenu, odabir i provođenje sigurnosnih kontrola za smanjivanje rizika. Rizik se uglavnom smanjuje na jedan od tri moguća načina:
• Smanjivanje provođenjem sigurnosnih kontrola – ovim se načinom primjenjuju sigurno-sne kontrole koje smanjuju vje-rojatnost ostvarivanja prijetnje ili smanjuju njezin utjecaj,
• Izbjegavanje rizika - bilo koja akcija kod koje se mijenja-ju poslovne aktivnosti ili način vođenja poslovanja kako bi se spriječila pojava rizika, primje-rice nekorištenjem e-trgovine ili interneta za određene poslovne aktivnosti, izbjegava se čitav niz prijetnji koje vrebaju uslijed ovakvoga načina poslovanja,
• Prenošenje rizika – ovim se načinom uglavnom pokrivaju rizici kod kojih bi primjena si-gurnosnih kontrola bila neeko-nomična, pa se pribjegava pre-nošenju rizika na drugu organi-zaciju, primjerice ugovaranjem polica osiguranja i sl.
Zadnja opcija koja ostaje, a ne odnosi se na smanjivanje rizika, svjesno je prihvaćanje rizika. Odabirom ove opcije organizacija svjesno prihvaća vrednovani rizik i ne namjerava ništa dodatno poduzimati kako bi ga smanjila. Npr. organizacija može u procesu upravljanja rizi-cima, u kojem su rizici iskazani skalom od 1 do 5, odlučiti pri-hvatiti rizike 1 i 2, a za sve rizike koji su viši od 2 primijeniti neke od mogućih načina smanjenja rizika.
Nakon što se poreda katalog rizika, za one rizike koji se žele smanjiti, potrebno je predlo-
žiti mjere, odnosno kontrole kojima će se to i napraviti. Na-ravno, neke mjere mogu biti tehnički vrlo složene i skupe, stoga je potrebno izraditi neku vrstu analize isplativosti. Naime, čemu uložiti nekoliko milijuna kuna u visokokvalitetni hardver i softver za pohranu podataka ako rizici koji djeluju nad pri-čuvnom pohranom nisu visoko pozicionirani? Analiza ispla-tivosti može se raditi brojnim metodama, a danas je jedna od najkorištenijih metoda „očeki-vanoga godišnjeg gubitka“ (eng. ALE – annual loss expectancy). Ovom se metodom procjenjuje koliki je očekivani gubitak jed-noga ostvarivanja prijetnje (npr. pola sata zastoja u radu aplika-cije A zbog „prljavih“, odnosno nevjerodostojnih podataka ko-šta kuna). To se množi procije-njenim brojem takvih događaja godišnje, a rezultat je očekivani godišnji gubitak C. Ukoliko je za primjenu kontrole koja sma-njuje pojavu ovakvoga događaja potrebno uložiti D kuna, lako je izračunati isplati li se primjena takve kontrole ili ne.
Analizom isplativosti organi-zacija dobivamo konačan broj sigurnosnih kontrola koje je potrebno primijeniti, na temelju čega se stvara plan obrade rizika, koji jasno komunicira potreb-ne aktivnosti, odgovornosti u njihovome provođenju, datume početka i kraja primjene, prio-ritete aktivnosti i sl. Primjenom sigurnosnih kontrola odabrani se rizici smanjuju, ali najčešće nikada u potpunosti. Cilj je doći do preostalih rizika nakon pri-mjene, koji su dovoljno niski da ih organizacija može prihvatiti.
Kako odabrati sigurnosne kontrole?
Najbolji su odgovor zakoni, standardi, najbolje prakse, od-nosno smjernice i okviri prema kojima se danas de facto uspo-ređuje (eng. benchmarking) u području informacijske sigur-nosti. U svjetskim je okvirima to svakako ISO/IEC 27001:2005 norma za uspostavu sustava upravljanja informacijskom si-gurnošću, koja u svojemu do-datku A ima referencu na ISO 27002 (bivši 17799) standard
Ulaz Aktivnost Izlaz
Razine rizika iz izvještaja o procjeni rizika
Korak 1.Određivanje
prioriteta
Izvještaj o procjeni rizika
Korak 2.Prijedlog
sigurnosnih kontrola
Korak 3.Analiza
isplativosti
Korak 4.Odabir
kontrola
Korak 5.Pridjeljivanje odgovornosti
Korak 6.Izrada plana
za obradu rizika
Korak 7.Implementacija
odabranih kontrola
Rangirane aktivnosti obrade rizika
Lista s prijedlogom sigurnosnih kontrola
Cost benefit ili neka druga analiza isplativosti implementacije kontrola
Odabrane kontrole
Lista odgovornih osoba
Plan za obradu rizika
Preostali rizici
Slika 3 - Koraci obrade rizika (prema NIST-u)
Upravljanje rizicima Metodologije procesa upravljanja rizicima
171/05/2009 infoTrend 47
najboljih praksi primjene sigur-nosnih kontrola raspoređenih u jedanaest poglavlja. Po ovoj je enormi moguće i certificirati su-stav upravljanja informacijskom sigurnošću organizacije. Trenu-tačno je u Republici Hrvatskoj po ovoj normi ( ili prethodnim) certificirano de-set organizacija, među kojima su i banke, telekom operateri, infor-matičke privat-ne tvrtke, pa i jedinice lokalne samouprave, što dokazuje da je ova norma pri-mjenjiva na sve vrste organiza-cije, raznih ve-ličina ili raznih vertikala.
Kao zakonska i regulacijska obveza primje-njivanja procesa upravljanja rizi-cima danas je u Hrvatskoj Od-luka HNB-a o primjerenome upravljanju informacijskim su-
stavom s ciljem smanjenja ope-rativnoga rizika iz 2007. godine, proizašloga iz Basel II zahtjeva, koji je napokon malo više pažnje posvetio operativnome riziku, a time i IT rizicima kao podsku-pu operativnih rizika. Odluka je HNB-a obvezujuća za sve
naše banke te se i posljednji članci odluke moraju za-dovoljiti do sredine 2010. godine. Ban-kama je tako dan rok od nekoliko godina prilagodbe svojega poslova-nja sukladno ovim odredbama, a dio vezan uz upravlja-nje rizicima teče upravo u ovome polugodištu.
S druge je strane, za tijela državne i javne uprave i sve organizacije koje razmjenjuju kla-
sificirane značajne podatke za RH, obavezna primjena Zakona o informacijskoj sigurnosti (NN 79/07), koja člancima podza-
konskog akta Uredba o mjerama sigurnosti, daje jasne zahtjeve za uspostavom procesa upravljanja rizicima.
Što trebaju učiniti organizacije?
Odgovor na ovo pitanje nije jednostavan, inače bi sve orga-nizacije primijenile i uspostavile procese upravljanja IT rizicima već davno. Naime, ova je disci-plina relativno mlada u Republi-ci Hrvatskoj, i moraju se prizna-ti veći pomaci napravljeni upra-vo izbacivanjem odgovarajućih zakona i regulative. Ovime se natjeralo organizacije na uprav-ljanje IT rizicima na metodološ-ki način i smanjivanje gubitaka koje su imale, koje možda nikad nisu dostojno računale. Skupina znanstvenika koja je radila na Basel II direktivi istraživanjem je došla do podatka da operativ-ni rizici (uključujući IT rizike) nose trećinu od ukupnih gubita-ka svih ostvarenih rizika.
Danas je primjetan trend da organizacije upravljanje svojim IT rizicima eksternaliziraju (eng. outsourcing) vanjskim tvrtkama
Kao zakonska i regulacijska obve-za primjene pro-cesa upravljanja rizicima danas je u Hrvatskoj Odluka HNB-a o primjere-nome upravljanju informacijskim sustavom s ciljem smanjenja ope-rativnog rizika iz 2007. godine, pro-izašloga iz Basel II zahtjeva
koje im pružaju usluge savje-tovanja pri uspostavi procesa i ostvarivanja pripadajućih ak-tivnosti, što nije slučajnost. Iako se proces upravljanja rizicima, kako je opisan u prethodnim poglavljima, čini jednostavan, on sadržava brojne zamke prili-kom primjenjivanja. Vanjski sa-vjetnici osiguravaju upravljanje rizicima na sveobuhvatan način te pridonose i stručnim eksper-tizama za koje organizacije često nemaju dovoljno sredstava i vre-mena. Naravno, ova priča ima i svoju drugu stranu jer se na tr-žištu pojavljuje sve veći broj pri-učenih savjetnika sa sumnjivom stručnom pozadinom. Time organizacija ne dobiva dovoljno kvalitetno rješenje, a pri tome gubi šansu da sama osposobi ka-drove za samostalno provođenje procesa upravljanja rizicima.
IT GRC alatiKao podrška upravljanju ri-
zicima pojavljuje se sve više softverskih alata iz tzv. IT GRC (G-Governance, R-Risk Mana-gement, C-Compliance) sfere, koji podržavaju one aktivnosti upravljanja IT rizicima, odno-sno upravljanje IT-em i suklad-nost. Rade s velikim skupinama podataka (primjerice registar imovine, katalozi prijetnji i ra-njivosti, katalozi sigurnosnih kontrola i sl.) i time ubrzavaju cijeli proces i vode djelatnike raznim čarobnjacima (eng. wi-zards) ili definiranim tijekovima rada (eng. workflows).
I ovdje je, kao i pri odabiru vanjske tvrtke, potrebno voditi računa o raznim parametrima poput cijene, podrške pri pro-blemima, frekvencije ažuriranja internih kataloga, broja podr-žavajućih standarda i sl. Za ve-ćinu je alata zajednički pristup upravljanju rizicima višim razi-nama i bogatim bazama znanja. Cijena ovakvih alata može biti prepreka mnogim organizacija-ma, ali provede li se kvalitetno analiza isplativosti, a uzimajući u obzir istraživanja o gubicima uslijed neupravljanja rizicima, često se opravdavaju iznosi ula-ganja u njih.
Dalibor Uremović, KING ICT