e-Business Conference Banja Luka 2014

3. IT Governance
IT Security Governance Aspekt

4. IT GOVERNANCE
•Različita definicija
•Jedinstvena primjena za svaku organizaciju posebno
•Ključna područja:
–IT Strategija = Strateško planiranje
–Investicije u IT
–Service Delivery = efikasno pružanje IT usluga potpomognuto adekvatnim kontrolama

5. IT GOVERNANCE
•IT Strategija:
–Poslovna strategija mora dati okvir za IT strategiju
–Poslovni rizici ↔ IT Rizici
–Fokus na direktnu podršku osnovnim djelatnostima organizacije
–Nivo razvijenosti organizacije = direktan uticaj na uspješnost povezivanja poslovne i IT strategije (IT Champion)
–Ravnoteža izmedju inovacije, kontrole i rizika
Upravni odbor
IT Manager
$
£
€
110010101010010111

6. IT GOVERNANCE
•Investicije u IT:
•¾ investicija u IT ne ostvare zacrtani povrat ulaganja (ROI) ili se prosto ne zna
•Rizik IT projekta podjednako važan kao i cijena projekta:
•Obama – US Healthcare.gov (G2B): - Osiguravajuca društva ↔ Administracija
•Mora se uklopiti u cjelokupnu poslovnu i IT strategiju:
Phone
•Standardni način evaluacije unutar same organizacije: KPIs – $, hrs, incident
•Ravnoteža u investiciji u IT, održavanja tog IT-a I njegovo korištenje:
•Ravnoteža izmedju IT usluge koju želimo ostvariti, investicije i ocjene projekta

7. IT GOVERNANCE
•Veća uspješnost:
–Definicija drugačija za privatni / javni sektor
•Privatni Sektor:
–Bolja iskorištenost IT-a i veća spremnost za eBusiness
–Bolja povezanost izmedju eBusiness riješenja sa trenutnim ali i dugoročnim ciljevima firme = Banke 
– IT Governance =  Finansijski Rizik >> Direktno utiče na finansijske rizike (bolji novčani tokovi = cash flow – access management, bolja naplata – narudžbenica/faktura, bolje trezorsko poslovanje i upravljanje gotovinom, adekvatnije upravljanje nabavkom, i sl.)
–Manji operativni rizici

8. IT GOVERNANCE
•Service Delivery:
–Poštovanje standarda – organizacije, lokalnih, državnih ili globalnih standarda
•Poštovanje ITSec politike/procedure
•PCI/DSS
•Zakon o zaštiti ličnih podataka
•Email
–Kontinuirana transformacija i re-evaluacija – biznis ne stoji → zašto bi stajao onda način na koji pružamo IT usluge:
•eBanking
•Mobile Banking
•Convergence – Telekom Banke, facebook, ….
•Amazon, eBay…
–Pružanje usluge uz maksimalno poštovanje kontrola implementiranih u IT operacije kao i stalni monitoring
•Nemogućnost podizanja novca sa bankomata x 2
•Nekontrolisano špekulisanje na tržištima kapitala

9. USAGLAŠAVANJE IT STRATEGIJE SA POSLOVNOM STRATEGIJOM
•eBusiness strategija ili pravac u poslovanju mora podrazumjevati i IT security strategiju (i.e. software/hardware, ljude, aktivnosti, i sl.)
•Ravnoteža se mora postići na više pravaca
•Bacanje novca i vremena na provodjenje pen testova samo za odredjenu platformu, zaštita samo pojedinih dijelova IT-a = potrebno je sveobuhvatno riješenje

10. CYBER KRIMINAL UTIČE NA E-BUSINESS
Državna firma u Poljskoj
•Organizovani cyber/hack napad na e-commerce
•Neefikasne procedure za detekciju napada i tzv. Incident Response
Home Depot – Fortune 500 br. 33
•Organizovani cyber/hack napad na e-commerce
•Neefikasne procedure za detekciju napada i tzv. Incident Response
3 mjeseca Bez reakcije…?
2 mjeseca Bez reakcije…?

11. CYBER KRIMINAL UTIČE NA E-BUSINESS
46% – Procenata koliko je profit TARGET-a pao u zadnjem kvartalu finansijske 2013. godine u odnosu na isti period 2012.
40 miliona Broj kreditnih i debitnih kartica koje su hakeri ukrali iz TARGET-a u periodu od 27. novembra do 15. decembra 2013.
0 – Broj ljudi koji su obavljali dužnosti poput Chief Information Security Officer (CISO) ili Chief Security Officer (CSO).
IT Governance
70 miliona Broj ličnih podataka, koji uključuju ime, adresu, e-mail adresu i broj telefona kupaca TARGET-a.
Profit

12. CYBER KRIMINAL UTIČE NA E- BUSINESS

13. PRIMJER – NEUSPJEH IT GOVERNANCE-A
HQ
Prijem robe – Skladište
Prijem robe –
Sistem
Prijem robe – USER1
Otpis robe - ADMIN
€
IT
AR
Access Management
X.Y.Z = USER1 Xyz = ADMIN

14. USAGLAŠAVANJE IT STRATEGIJE SA E-STRATEGIJOM
Rizik
Prirorieti
Kriza
Tech
Ljudi
Veze
Ne možete sve osigurati…
•Enterprise security architecture
•Zaštiti ono najvažnije
•Strategija, organizacija, upravljanje
•Threat intelligence
Nije pitanje da li će se desiti nego kada…
•Continuity i recovery
•Crisis management
•Incident response
•Monitoring i detekcija
Preuzmi inicijativu…
•Postovanje regulative
•Poslovna strategija oslikava i zaštitu podataka
•Risk management & risk appetite
Njihov rizik je i vaš rizik…
•Digital channels (e-Banking, etc.)
•Partneri i vendori
•Dobri ugovori i SLAs
Ljudski faktor…
•Insiders – Interni problemi
•People i ‘Moments that Matter’
•Security Training i Awareness
Ispravite prvo ono najosnovnije …
•Identity i access management
•Information technology hygiene
•Information technology, operations (SIEM) technology i consumer technology
•Security intelligence i analytics

15. URAVNOTEŽENOST IZMEDJU PONUDE I POTRAŽNJE ZA IT USLUGAMA UNUTAR SAME ORGANIZACIJE
•Broj ljudi u IT-u mora imati neki smisao (1:18 (do 500 uposlenih)- 1:20+ idealno preko 500 uposlenih)
•Barem jedno lice samo za Information Security Operations
•Većina biznisa sada ne može bez IT-a a sa druge strane IT ne mora biti najvažniji dio organizacije
•Return on Investment – biti kritičan koliko investicija u IT donosi samom biznisu (CAPEX vs. OPEX – možda je trening i obuka osoblja bolje uložen novac nego kupovina novog IDS/IPS-a)
–Kupovina skupe ili najnovije opreme, iako pomaže, nije jedino riješenje – ljudski faktor je i dalje presudan
•Software Asset Management – IT je ponekad dosta neobavezan u održavanju pravilne dokumentacije o osnovnim sredstvima, amortizaciji, licencama = direktan uticaj na security (i.e. upgrades, patches i slično) + nepoštivanje licencnih aranžmana

16. EBUSINESS – BEZ OGRANIČENJA…

17. Pitanja?
Hvala na pažnji!
Armin Dinar
PwC | Risk Assurance Solutions | Senior Manager Office: +40.21.225.3311 | Mobile: +40.730.713.386 | Fax: +40.21.225/3600 Email: armin.dinar@ro.pwc.com PricewaterhouseCoopers Audit S.R.L. Lakeview Building, 301-311 Barbu Vacarescu St., 020276 Bucharest Romania http://www.pwc.ro