Views
5 years ago

Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU

Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse - NTNU

Forretningsmessige

Forretningsmessige trusler knyttet til bruk av IKT-systemer Generelt Relativt hyppig leser vi i aviser og tidsskrifter om datasystemer som krasjer eller blir utilgjengelige av ulike årsaker. Vi vet også at hackere fra tid til annen tar seg inn på sentrale databaser og henter ut sensitiv informasjon om en bedrift eller bedriftens kunder. Vi vet også at det bare en brøkdel av hendelsene som faktisk kommer ut. I virkeligheten sitter mange bedrifter på en tikkende IKT-bombe uten å vite det, eller i beste fall uten helt å forstå konsekvensene av det. En viktig observasjon er at det nesten alltid er IKT-enheten som får fokus ved slike hendelser mens det er forretningsprosessene som er den lidende part; det er de som merker konsekvensene. For IKT-enheten, enten den er intern eller ekstern, vil konsekvensene normalt begrense seg til plunder og heft og i verste fall redusert betaling i forhold til en avtale. Uansett vil dette være småpenger i forhold til de tap forretningen vil kunne lide. Risiko og sårbarhetsanalyse - metodikk Risiko og sårbarhetsanalyser knyttet til en bedrifts bruk av IKT-løsninger gjennomføres både for å avdekke hvilke trusler som finnes, hvilken konsekvens disse vil kunne ha for forretningsdriften og dernest for å avdekke hva man kan gjøre for å redusere sannsynligheten for at de verste truslene skal inntreffe. Analysene gjennomføres med andre ord for å spare bedriften for store økonomiske tap, for å hindre tap av omdømme, for å unngå brudd på lover og regler (forskrifter) og ikke minst for å hindre ulykker som påvirker liv og helse. ROS-analysene gjennomføres i tre faser. Overordnet analyse Analysen med en overordnet gjennomgang av bedriftens IKT-modenhet; dvs. vet man hvilke systemer som er kritiske, har man etablert tilstrekkelig redundans knyttet til disse, tar man backup, gjør man praktiske prøver med å lese tilbake backup, har man rutiner for å håndtere stopp i IKT-systemer etc. Et annet spørsmål som må stilles i denne fasen av analysen, er hvilken risikovillighet bedriften skal 14 Prosjektledelse nr. 2 -2009 Av JAN SVERRE VOLLE, rådgiver innen kvalitet, sikkerhet og ledelse. Mobil: +47 95 03 44 77 Epost: jsvolle@online.no/jsv@safetec.no ha; dvs hvor stor konsekvens i forhold til sannsynlighet for at noe skal skje er man villige til å leve med. I tillegg bør man avdekke forretningens sårbarhet med hensyn på nedetid i IKT-systemene er. I de fleste tilfeller er dette tanker bedriften aldri har tenkt. ROS på forretnings-/tjenestenivå Risiko og sårbarhetsanalyser knyttet til bruk av IKT-systemer starter alltid hos den part som lider dersom ting skjer, nemlig forretningsenhetene eller forretningsprosessene om man vil. Figuren illustrerer denne analysen temmelig godt. Hvilke IKT- systemer er det forretningsenheten er avhengig av og hvilke trusler ser man for seg. I tillegg er det ofte en viss risiko for at noen skal få urettmessig tilgang til et system som inneholder forretningsmessig kritisk eller sensitiv informasjon. Hvilken konsekvens vil det ha for forretningsdriften hvis kritisk eller sensitiv informasjon kommer på avveie. Ofte kan det dette være begrenset til tap av konkurransemessig fortrinn, men i noen tilfeller kan det også medføre tap av omdømme og til og med brudd på lover og regler. Figuren anskueliggjør hvilke type spørsmål man stiller i en analyse på dette nivå. Et ofte uteglemt spørsmål er; hva gjør man konkret ved IKT-svikt? Finnes det planer for manuelle operasjoner? Har man øvd på dette? Overraskende ofte vil man finne at svarene ikke er spesielt oppløftende. Når man har kjørt ROS-analyser på forretningsnivå sitter man igjen med viktig informasjon om både forretningsenhetenes og Input Data hentes fra IKTsystem Hva skjer med forretningsprosessen hvis dataflyten stopper? Brytes ned Forretnings g prosess g g g IKT-system Brukt av g prosess g Ofte brukes flere system IKT-systemenes kritikalitet. I tillegg har man avdekket hvilke konsekvenser ulike hendelser kan ha og hvor stor sannsynlighet det er for at disse skal inntreffe. Man har kartlagt forretningsenhetenes sårbarhet med tanke på nedetid, og hvilke aktiviteter forretningen ser for seg at de kan iverksette for på redusere forretningsmessig konsekvens dersom noe likevel skulle skje. ROS på systemnivå Neste steg er å analysere de IKT-systemene som er identifiserte som mest kritiske for forretningen. Her skal man selvsagt være oppmerksom på at feil på infrastrukturen kan medføre de samme konsekvenser for forretningen som feil på IKT-systemer. Bortfall av input, for eksempel, vil kunne ha samme effekt på forretningsprosessen som bortfall av et helt system, i noen tilfeller faktisk verre (feil i beregninger). Analyser på systemnivå har som mål å avdekke hvorvidt truslene som ble identifisert på forretningsnivå faktisk kan forekomme eller ikke, og hva IKT-avdelingen eventuelt kan gjøre for å forhindre at slike hendelser skjer. Her går det både på sannsynlighets- og konsekvensreduserende tiltak. Stikkord er overvåkning, redundans, endringshåndtering, skille mellom utvikling og drift, forebyggende kontinuitetsplaner og ikke minst beredskapsplaner. Og aller viktigst er det at man faktisk øver på dette regelmessig slik at de som er eller vil bli involvert i en beredskapssituasjon faktisk vet hva de skal gjøre. Man må ikke komme i en situasjon hvor det hele strander på at de berørte faktisk aldri har øvd. Som en del av ROS på systemnivå skal det Output Hva skjer med forretningsprosessen hvis tilgangen til IKT-systemet svikter? Mottagende IKT-system Hva skjer hvis ikke data fra prosessen kommer frem til de som skal bruke den?

foreslås og helst gjennomføres tiltak for alle trusler som ligger utenfor akseptabelt område i risikomatrisen. Effekten av disse tiltakene skal følges opp både underveis og i etterkant. Effekten en slik prosess vil normalt være vanskelig å overskue fordi den fører til reduserte tap ved en ulykke og ikke direkte merinntekter. Når ulykken skjer, og det vil den før eller siden, vil effekten av å ha ting på plass være av uvurderlig betydning for bedriften. Hva bør man gjøre Det er etter hvert en del større bedrifter som har fått øynene opp for at de faktisk kan sitte på en tikkende IKT-bombe. De fleste løser dette ved å be IKT-enheten gjennomføre System utilgjengelig? Uvedkommende får tilgang Feil info innput? Nå kan du bli PRINCE2 ® Nå kan du bli PRINCE2 Metier Academy er den første akkrediterte tilbyderen av opplæring og ® ® Metier Academy y er den første akkrediterte erte tilbyderen av opplæring ring og og ® ® Opplæringen gjennomfører ennomfører du i ditt eget et tempo som e-læring! ® prosessbasert tilnærming innen prosjektledelse med sitt utspring i Storbritannia og er i dag standard innen penetrasjonstesting og diverse andre sikkerhetstiltak knyttet mot utvalgte enkeltsystemer. Dette er ikke veien å gå. For det første dekker penetrasjonstesting bare en liten del av trusselbildet. Dessuten vet normalt IKT-enheten lite om hvilke systemer som er kritiske for bedriften og hvilke trusler som finnes. Start heller med å gjennomføre en grovanalyse samt en analyse på forretningsnivå som beskrevet over. Bare på den måten får man sett systemene i sammenheng med det som er viktig for bedriften, nemlig forretningsdrift og tjenesteleveranser. Saken er blant annet at et tilsynelatende ikke-kritisk system lett kan bli superkritisk dersom det for eksempel leverer data til en kritisk prosess som ikke klarer seg uten disse dataene. Stopp i transport av data Svikt (som påvirker prosessen) Annet? Når? Hvor lenge? (infrastruktur) vil i slike tilfeller være like kritisk som datasystemene selv. En annen grunn til at man skal starte med analyser på forretningsnivå er at man da også får informasjon om hvorfor en mulig hendelse vil være kritisk for bedriften. Når man vet dette kan man også vurdere om det finnes alternative løsninger i tilfelle krise; som for eksempel manuelle operasjoner, bruk av alternativ IKT-løsning etc. Noe av det viktigste man oppnår med å gjennomføre en reell ROS-analyse på denne måten, er å finne de bakenforliggende årsakene til mulige hendelser. Kanskje er det ikke manglende testing eller mangelfull brannmur som er årsaken, men mangelfulle retningslinjer, organisatoriske mangler, mangelfull kommunikasjon mellom IKT-enhet og forretningsenhetene eller tilsvarende som er den egentlige årsaken til at noe galt kan skje. Spørsmål man bør stille seg er; vet man hva en hendelse faktisk vil kunne koste bedriften? Vet man hva som vil kunne skje om uvedkommende får tilgang på sensitiv informasjon? Vet man hvilke konsekvenser en hendelse vil kunne ha for bedriftens omdømme? Når man bryter lover og regler? I det hele tatt; vet man hva som vil kunne skje dersom et datasystem stopper? Er man i tvil bør man gjennomføre en relevant analyse. Metier Academy AS Hoffsveien 70B Prosjektledelse nr. 2 -2009 15

Last ned pdf her... (2,5 Mb) - Norsk senter for prosjektledelse - NTNU
Last ned nummeret i pdf - Norsk senter for prosjektledelse - NTNU
Last ned pdf her... (2,1 Mb) - Norsk senter for prosjektledelse
Last ned nummeret i pdf - Norsk senter for prosjektledelse - NTNU
Last ned dette nummeret - Norsk senter for prosjektledelse - NTNU
Last ned pdf her... (2,7 Mb) - Norsk senter for prosjektledelse - NTNU
Årets prosjektleder - Norsk senter for prosjektledelse - NTNU
Prosjektledelse, Nr. 2 - 2003 - Norsk senter for prosjektledelse - NTNU
Last ned pdf av nummeret her - Norsk senter for prosjektledelse
Prosjektledelse, Nr. 1 - 2006 - Norsk senter for prosjektledelse - NTNU
Store komplekse prosjekt - Norsk senter for prosjektledelse - NTNU
Last ned pdf av nummeret her - Norsk senter for prosjektledelse
Prosjektledelse, Nr. 1 - 2007 - Norsk senter for prosjektledelse - NTNU
Nr. 1-2004 omslag - Norsk senter for prosjektledelse - NTNU
Prosjekt - Norsk senter for prosjektledelse - NTNU
Prosjektledelse, Nr. 2 - 2005 - Norsk senter for prosjektledelse - NTNU
Last ned pdf her... (4,3 Mb) - Norsk senter for prosjektledelse - NTNU
Last ned presentasjon - Norsk senter for prosjektledelse
Prosjektledelse, Nr. 2 - 2006 - Norsk senter for prosjektledelse - NTNU
Årsberetning 2007 - Norsk senter for prosjektledelse - NTNU
Last ned - Norsk senter for prosjektledelse - NTNU
Last ned presentasjon - Norsk senter for prosjektledelse
Program- og Porteføljestyring - Norsk senter for prosjektledelse
Last ned - Norsk senter for prosjektledelse - NTNU
som kan du laste ned her - Norsk senter for prosjektledelse - NTNU
Ny innsikt i egen kompetanse - Norsk senter for prosjektledelse
Last ned pdf av nummeret her - Norsk senter for prosjektledelse
Årets prosjektleder, - Norsk senter for prosjektledelse - NTNU
Årsberetning 2009 - Norsk senter for prosjektledelse - NTNU
Last ned norsk støttetekst om PKU (20 sider, pdf). - Senter for ...