Grzegorz Pieniążek Hubert Szczepaniuk

Transkrypt

1 Grzegorz Pieniążek Hubert Szczepaniuk

2 Ogólny model oceny i analizy ryzyka informacyjnego Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa Wpływ asymetrii informacyjnej na wartość organizacji Istota ISWZ Efektywność ISWZ

3

4 Identyfikacja procesów i aktywów. Proces rozpoczyna się od przestudiowania kontekstu organizacji oraz od zidentyfikowania aktywów. W tym kroku organizacja oraz jej środowisko jest opisywane z uwzględnieniem aspektów bezpieczeństwa informacyjnego. Określenie celów bezpieczeństwa. Opisywane są potrzeby bezpieczeństwa organizacji. Bazując na zidentyfikowanych aktywach ustalane są cele które muszą być osiągnięte. Są one często opisywane w następujących definicjach: poufność, integralność i dostępność. Analiza i ocena ryzyka. Jest to główny krok procesu. Ryzyko jest identyfikowane, łączone z aktywami i zagrożeniami dla celów bezpieczeństwa. Następnie estymowany jest poziom ryzyka w ilościowych lub jakościowych miarach.

5 Metody obniżania ryzyka. W tym kroku podejmowane są decyzje o sposobach obniżania ryzyka, które powinny być użyte. Minimalizacja ryzyka może dotyczyć: uniknięcia, ograniczenia, przekazywania lub akceptacji. Decyzja bazuje na kosztach i efektywności sposobu. Definiowanie wymagań bezpieczeństwa. Definiowane są wymagania dotyczące bezpieczeństwa w celu obniżenia poziomu ryzyka, na podstawie decyzji podjętych wcześniej. Jednakże mogą pojawić się wymagania bezpieczeństwa z innych źródeł. Badane jest, czy wcześniej podjęte decyzje dają satysfakcjonujący efekt, jeśli nie wracamy do kroku "Obniżanie ryzyka" lub nawet do kroku "Identyfikacja procesów i aktywów". Wdrażanie. W tym kroku dokonywana jest fizyczna integracja środków bezpieczeństwa z elementami istniejącymi w organizacji.

6 Seria ISO/IEC 2700x NIST Rev A oraz IT-Grundschutz EBIOS MEHARI OCTAVE CORAS CRAMM MAGERIT Microsoft's Security Management Guide

7 Informacyjne zasoby operacyjne tworzą jedną z istotniejszych grup zasobów w każdej organizacji. Asymetrii informacyjna umożliwia: Świadome udostępnianie swoich zasobów innym podmiotom na zasadzie zaufania lub współdziałania. Dostosowywanie udostępnianych zasobów do faktycznych potrzeb. Wydzielenie względnie autonomicznych grup użytkowników zasobów informacyjnych oraz właściwe zarządzanie ich przepływem.

8 System informatyczny zarządzania jest to część systemu informacyjnego realizowana przez techniczne środki informatyki, którego celem jest wspomaganie procesów zarządzania w organizacji. ISWZ przetwarza dane ekonomiczne i techniczne, opisuje organizację gospodarczą, zdarzenia i procesy w niej zachodzące oraz jej otoczenie w informacje ułatwiające podejmowanie decyzji. Stosowanie systemów informatycznych zarządzania w przedsiębiorstwach powinno prowadzić do lepszej efektywności zarządzania. Głównym celem ISWZ jest dostarczenie decydentom terminowych i dokładnych danych, pozwalających na podejmowanie i wprowadzanie w życie niezbędnych decyzji, optymalizujących współdziałanie ludzi, materiałów, maszyn i środków pieniężnych po to, aby w sposób najskuteczniejszy osiągnąć postawione przed organizacją cele. W.W. Bocchio: Systemy informacyjne zarządzania metody i narzędzia. WNT, Warszawa

9 SYSTEM ZARZĄDZANIA odpowiedzi zapytania decyzje SYSTEM INFORMACYJNY informacje z otoczenia Informowanie dla otoczenia odpowiedzi zapytania SYSTEM WYTWARZANIA zaopatrzenie wyroby, usługi

10 Trudność precyzyjnej oceny miar efektywności funkcjonowania ISWZ o organizacji wynika przede wszystkim z trudności oszacowania jak część całkowitego efektu jest wynikiem stosowania ISWZ, a jaka część tych efektów jest związana z inną działalnością organizacji. W celu trafnej oceny ISWZ fundamentalne znaczenie ma dobór kryteriów oceny. Kryterium oceny ISWZ powinno obejmować cel, który ma zostać osiągnięty, wymagania stawiane dla systemu oraz jego przeznaczenie. W celu pełnej analizy ISWZ należy wykorzystać wiele metod oceny efektywności.

11 Analiza efektywności ISWZ powinna być przeprowadzana na etapie projektowania, wdrażania i weryfikowania oraz przez cały okres życia wprowadzanych rozwiązań. Efektywne działanie ISWZ w organizacji może zostać podniesiona przez: reorganizację procesów biznesowych (podejście procesowe do projektowania aktywności biznesowej przedsiębiorstwa), wprowadzenie zarządzania ryzykiem, efektywne wdrożenie ISWZ (zapewnienie ciągłości działania organizacji), wprowadzenie zarządzania bezpieczeństwem systemu informatycznego, wprowadzenie badania efektywności ISWZ już na etapie zamiaru podjęcia zmian w organizacji oraz przez cały okres eksploatacji inwestycji.

12 Grzegorz Pieniążek Hubert Szczepaniuk