OZ 2011/3

M T 101 ORGANIZACIJA ZNANJA 2011, LETN. 16, ZV. 3 (načrtovanje in upravljanje neprekinjenega poslovanja), PCI/DSS (skladnost in elektronska hramba dokumentov). Zakaj se sploh ukvarjati z analizo tveganja? Veliko se govori o varnosti, ampak v praksi je slišati povsem drugo: "Smo premajhni, imamo požarni zid, imamo protivirusne programe, smo v skladu s standardom; brišemo "log" podatke, ker jih je preveč za obdelavo, vsi uporabniki si zapomnijo gesla; varnost IT in informacijska varnost je isto; vodstvu ni treba upoštevati vseh varnostnih zapovedi …" Pojavlja se vprašanje, katere kontrole vpeljati in za katere vire. Ko izberemo poslovne procese, se ustvari tok, s tem zajamemo vse vire in vzpostavimo podporo. 1. Analiza tveganja je nujnost, ker je podlaga za zagotavljanje neprekinjenega poslovanja in olajša odločanje na najvišjem nivoju. 2. Metodologije za analizo tveganja so premalo ali preveč enostavne in ne upoštevajo vseh vidikov informacij, saj se zanašajo samo na tehnične značilnosti. 3. Orodja za analizo tveganja imajo podobne pomanjkljivosti kot metodologije, ki niso lokalizirane, in končni rezultat ne prinaša prave vrednosti. Proces analize tveganja obsega: • identificiranje glavnih in podpornih procesov, • identificiranje in oceno vrednosti sredstev (ranljivost, grožnje, verjetnosti, učinki, obnova, rizik), • stopnjo zavarovanja in spremenljivost stopnje rizika, • izbor kontrolnih ciljev in kontrol (analiza vrzeli, če je potrebno). Obstaja cela množica orodij. Priporočajo orodje RAA (Risk Assesment Accelerator). Za enostavno in hitrejšo izvedbo analize tveganja. Rezultati so zanesljivi. Preprost vmesnik zagotavlja uporabniku prijazno delo in kratek čas privajanja na orodje. Omogočena je večjezikovna podpora za delo ter prilagodljiva analitika s podrobnimi poročili za vodstvo in presojevalce. Rezultati analize tveganja: • izpisi (tehnični, vodstveni), • podlaga za odločanje, • revizija sistemov, • testiranje scenarijev in primerjave, • finančne ocene, • odgovornosti vodstva. Primer slabe prakse je banka, kjer je analiza tveganja izdelana v Excelu na 500 nepreglednih straneh. Opombe 1 Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih 2 Enotne tehnološke zahteve 3 Arhiv Republike Slovenije 4 Japonska multinacionalna korporacija Sumitomo Corporation Group je leta 1999 ustanovila finančno družbo Summit Leasing Slovenija, d. o. o. 5 Zakon o pravdnem postopku 6 Zakon o elektronskih komunikacijah 7 Dokumentni sistem za pisarniško poslovanje in upravljanje procesov 8 Enterprise resource planning 9 Zakon o varstvu osebnih podatkov Reference [1] Spletni naslov: http://media-doc.si [2] Spletni naslov: http://www.moreq2.eu/ [3] Spletni naslov: http://www.360ecm.si/ [4] Spletni naslov: http://www.3k-it.si/sl/index.html [5] Spletni naslov: http://www.astec.si/ [6] Spletni naslov: http://www.tetrada.si/ [7] Spletni naslov: http://www.mikrocop.com/ [8] Spletni naslov: http://www.e-racunovodstvo.si/racunovodstvo-ra- cunovodski-servis/ [9] Spletni naslov: http://www.posta.si/index.aspx [10] Spletni naslov: http://www.pia.si/ [11] Spletni naslov: http://www.mfc-2.si/ [12] Spletni naslov: http://www.mikrografija.si/ [13] Spletni naslov: http://www.netis.si/ Breda Emeršič, Metka Bakan Toplak POROČILO