ERM konferenca, GZS, 25.10.2013 Viri za uspešno upravljanje s tveganji v korporativnem smislu Robert Brumnik ICS - CIS Center za informacijsko varnost Gea College ERM konferenca, GZS, 25.10.2013 Vsebina • Korporacije – Podjetja • Okolje korporativnega tveganja • Viri za obvladovanje tveganj • Standardi kot orodja za obvladovanje tveganj • Informacijska orodja za obvladovanje tveganj • Človeški viri in obvladovanje tveganj • Razvoj sistema za upravljanje tveganj • Obvladovanje tveganj kot investicija • Magistrski program – Management korporativne varnosti (GEA College) ERM konferenca, GZS, 25.10.2013 Zakaj podjetja propadejo? (Študija Why business fails? - Jessie Hagen, U.S. Bank) • SLABO FINANČNO NAČRTOVANJE • 82% - slabo poznavanje ali nepoznavanje denarnega toka • SLABO POSLOVNO NAČRTOVANJE • 78% - Ni poslovnega načrta • SLABO UPRAVLJANJE • 70% - Ne prepoznajo (ali ignorirajo), kaj ne delajo dobro in ne iščejo pomoči od tistih, ki to delajo dobro. • 63% - Premalo pomembnih in uporabnih poslovnih izkušenj • SLABO TRŽENJE • 55% - Ne razumejo, kdo so tekmeci, ali celo ignoriranje tekmecev ERM konferenca, GZS, 25.10.2013 Zavedajte se, da: • 20% najvišjih managerjev verjame, da njihove organizacije delujejo na nivoju svetovnega razreda (v resnici jih manj kot 1%) • Nadaljnje raziskave kažejo, da v povprečju porabimo več kot 60% svojega časa za popravljanje napak John Smith, Director, British Quality foundation, UK “Striving for Continuous Improvements” ERM konferenca, GZS, 25.10.2013 Corporation vs. Enterprise ERM konferenca, GZS, 25.10.2013 Okolje korporativnega tveganja ERM konferenca, GZS, 25.10.2013 Cikel obvladovanja tveganj ERM konferenca, GZS, 25.10.2013 Sistemski standardi kot orodja za obvladovanje tveganj Obstaja veliko sistemskih standardov in včasih se je težko odločiti, kateri (če sploh kakšen) je življenjsko pomemben za organizacijo. • Sistemski standard obvladovanja tveganj je ISO31000. • Sistemski standardi NISO sistemi upravljanja, je pomembno, da razvijemo svoj sistem upravljanja na osnovi tega, kako izvajamo in nadzorujemo posel in ne glede na nek publiciran sistemski standard. • Vsaka organizacija ima en sam sistem upravljanja (ne glede na to ali je prepoznan, dokumentiran in celo certificiran po katerem od mednarodnih standardov), vendar nekateri faktorji, kot npr. viri in odjemalci, zahtevajo, da obravnavamo del sistema za določenega deležnika. ERM konferenca, GZS, 25.10.2013 Predstavitev informacijskih tveganj poslovodstvu Stroški vlaganja v rešitve informacijske varnosti Kako se je v preteklosti vlagalo v informacijsko varnost? • Vpeljava varnostnih rešitev je temeljila na dobrih praksah standardov (ISO/IEC 27001) • Analiza tveganja razvrsti varnostne ukrepe po pomembnosti glede na tveganje, ki ga odpravljajo. www.ics-institut.si ERM konferenca, GZS, 25.10.2013 Dejavniki tveganja organizacijskega okolja Pogoji, ki so prisotni v sistemu pred nezgodo povzročijo dogodek s sprožilnimi dejavniki (International Civil Aviation Organization, 2009). www.ics-institut.si ERM konferenca, GZS, 25.10.2013 ČLOVEK = najšibkejši člen pri zagotavljanju korporativne varnosti Pravilo 80:20 predpostavlja, da približno 80 odstotkov nesreč povzročijo zgolj tvegana vedenja ali ravnanja, preostalih 20 odstotkov pa je povzročenih s strani nevarnih okoliščin in tehnologije (Cooper, 2001). ČLOVEK KOT POŽARNI SISTEM IK SISTEMA se oblikuje v okviru KORPORACIJSKE VARNOSTNE KULTURE ERM konferenca, GZS, 25.10.2013 Razvoj sistema upravljanja tveganj Vsaka organizacija je posebna in četudi ima organizacija nek sistem upravljanja tveganj, ki ga sestavljajo elementi, si niti dva sistema nista enaka. Zato: • Mora vsaka organizacija razviti svoj lastni sistem upravljanja tveganj, ki ga lahko uporablja in izboljšuje • Sistem upravljanja tveganj ni mogoče kupiti ali ga dobiti od svetovalcev, temveč ga mora organizacija ustvariti sama (seveda lahko tudi s pomočjo svetovalca) ERM konferenca, GZS, 25.10.2013 Donosnost investicije vs. Pričakovana izguba zaradi incidenta Kako izračunati, ali je investicija v informacijsko varnost upravičena?    Analiza stroškov in koristi (Su, 2006): Koristi informacijske varnosti (NIST, 1970) so prihranki letnih izgub zaradi znižanja verjetnosti ali posledic incidentov: Pričakovane letne izgube zaradi varnostnega incidenta ALE: Pričakovana izguba zaradi incidenta: • • • • • • • • •  Izgube zaradi incidenta:  Pogostost v določenem obdobju je odvisna od: Stroški nabave strojne in/ali programske opreme Stroški ponovne vzpostavitve stanja Izguba prihodkov podjetja Izguba produktivnosti podjetja Kazni zaradi kršitve zakonodaje in/ali pogodbenih obveznosti Izguba ugleda Statistike varnostnih incidentov v zgodovini Vrednosti informacijskih sredstev Motivacije napadalca www.ics-institut.si ERM konferenca, GZS, 25.10.2013 Identifikacija tveganj • sistematična, obsežna ter kakovostna izvedba • identificiramo čim več tveganj, kritičnih točk oz. segmentov, • ustrezna opredelitev in beleženje tveganj, ne glede na to ali so določena tveganja že znana oziroma ustrezno nadzorovana, • dobro poznavanje organizacije in njenega notranjega ter zunanjega okolja, • sodelovanje strokovnjakov iz različnih poslovnih področij so zelo pomembni dejavniki, pozitivno vplivajo na izvajanje www.ics-institut.si procesa identifikacije tveganj. ERM konferenca, GZS, 25.10.2013 Analiziranje tveganj • doseči razumevanje identificiranih tveganj, tudi vrste ter stopnje tveganj, pripomore k odločitvi kako identificirana tveganja obravnavati, • zajeti natančno analizo izvora, vzroka tveganj, opredelitev posledic tveganj, opredelitev verjetnosti posameznih tveganj ter posledic in kriterijev, ki so povezani s tveganji, opredelitev oziroma iskanje že obstoječih kontrol oziroma procesov, ki omogočajo znižanje negativnih posledic opredeljenih tveganj, • opredelitev stopnje tveganja; razne statistične analize, izračuni v kombinaciji z vplivi in verjetnostmi posameznih tveganj; bistvena je njihova skladnost s kriteriji, ki so opredeljeni v okviru strategije za management tveganj, • v pomoč; pretekle izkušnje, zgodovinski podatki in poročila, standardi, analize, prototipne rešitve in eksperimenti, različni www.ics-institut.si modeli, specialistična in ekspertna znanja oziroma nasveti, itd. ERM konferenca, GZS, 25.10.2013 Vrednotenje tveganj • kvalitativno, kvantitativno • opredelimo tveganja, ki jih je oziroma jih ni potrebno ustrezno obravnavati glede na prioriteto tveganj, • pri vrednotenju tveganj je poleg stopnje tveganja potrebno upoštevati tudi druge dejavnike kot so posledice, verjetnost dogodkov, vpliv posameznih tveganj in superpozicije tveganj, itd. www.ics-institut.si ERM konferenca, GZS, 25.10.2013 GEA College Group consist of  GEA College – Business Education Center  GEA College – Center of Higher Vocational Schools  GEA  GEA College – Faculty of Entrepreneurship College – Master program (Corporate Risk Manager) ERM konferenca, GZS, 25.10.2013 Hvala za pozornost Vprašanja in odgovori