Kockázatelemzési project sarkalatos kérdései Dellei László OTP Bank Rt.

Slides:



Advertisements
Hasonló előadás
A vagyonvédelemtől a katasztrófavédelemig.
Advertisements

Dr. Fekete István SzigmaSzerviz Kft március
Nagy Bálint vezető tanácsadó Microsoft Magyarország
Szervezetfejlesztési Program ÁROP Budapest, Károlyi-Csekonics Rezidencia November 12. VÁLTOZÁSKEZELÉS FEJLESZTÉSI MÓDSZERTAN.
katasztrófa-veszélyeztetettsége Dr. Tóth Ferenc tű. dandártábornok
Első az egyenlők között – Key Account Management Összeállította: Kelemen György MAN Roland Magyarország Kft.
A PROJEKT, A VÁLLALKOZÁSI SZERZŐDÉS SZEMSZÖGÉBŐL dr. Naszádos Krisztina NKKB Ügyvédi Iroda 2010.
Szakmai monitorozás.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
1 Az önfeltárás kockázati tényezőinek összefoglalása Dimenzió Idő Téma Értékelés Emberek Kis kockázat Múlt események, gondolatok, általános elképzelések.
DOKUMENTUMKEZELÉS.
Informatikai projektmenedzsment
Az EU-pályázati rendszer gyakorlata Magyarországon
Gazdálkodási modul Gazdaságtudományi ismeretek II. Vezetés és kommunikációs ismeretek KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc.
A projekt az Európai Unió támogatásával, az Európai Szociális Alap társfinanszírozásával valósul meg. Pannon Egyetem Georgikon Kar Szegedi Tudományegyetem.
A szakdolgozat készítés minőségirányítási aspektusai
Konzulens: Dr. Pitlik László
Fejlesztési, stratégiai útmutató
Szervezetfejlesztési Program
Konzulens: Dr. Boda György Készítette: Kovács Katalin
Beruházás-kontrolling
Projektkontrolling A dolgozatot készítette: Bodnár Zsuzsanna Buskó Nóra Csépe Krisztina Szőke Zoltán Varga Nóra.
Holczinger Norbert aktuárius MNB - Biztosításfelügyeleti főosztály
Európai M u n k a h e l y i Biztonsági és Egészségvédelmi Ügynökség Kockázatértékelés - feladatok és felelősségek.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
Kisiklott projektek sínre tétele Sipos Ferenc Ágazat igazgató Móra Krisztina Projektvezető HTE Projektmenedzsment a gazdaságban,
Projektek monitorozása. Elvek és módszerek
Project Monitoring and Control (PMC)
Kockázat, probléma, változás és dokumentumkezelés Készítette: Szentirmai Róbert (minden jog fenntartva)
Partnerség és együttműködés Érdekcsoport-elemzés
Az elemzés és tervezés módszertana
Funkciói, feladatai és területei
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
Ugrás az első oldalra 1 Skaliczki Judit A teljes körű minőségirányítási rendszer bevezetésének lépései Debrecen, 2004.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Kockázatkezelés. Nem tartják fontosnak, mert  „A kockázatelemzés időrabló és unalmas feladat”  Ezzel szemben –jó lenne, ha a „jövőbe láthatnánk” –rengeteg.
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
Projektirányítás elmélet - teszt
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Projektirányítás elmélet vizsgateszt Megoldás. 1. A projektcsapatban a döntéshozó feladata: a) a projekt tervének elkészítése. b) sikeresnek vagy sikertelennek.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Cégnév Üzleti terv. Célkitűzések A cég hosszú távú céljainak egyértelmű bemutatása –Használjon a cég növekedését alátámasztó kifejezéseket, de legyen.
PROJEKTMENEDZSMENT Szabó Mária
Kockázati értékelés kis szervezetekben Tar György Szeged, 2013.október
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Projektirányítás elmélet vizsgateszt
SZÖM II. Fejlesztési szint folyamata 5.1. előadás
Projektirányítás elmélet - teszt
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Projektirányítás elmélet - teszt
Üzleti terv bemutatása
Vállalati terv bemutató
PMK minőségirányítási szakmai nap
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Szenzor Gazdaságmérnöki Kft.
Kire milyen szerep vár egy mobil projekt során
Kockázat, probléma, változás és dokumentumkezelés
Őszintén a dokumentumkezelésről
GDPR kihívások.
Biztonság és GDPR kancellar.hu
Cégnév Üzleti terv.
Az SZMBK Intézményi Modell
Előadás másolata:

Kockázatelemzési project sarkalatos kérdései Dellei László OTP Bank Rt.

BEVEZETÉS A számítógép napjainkban valódi termelőeszközzé vált, egyre bonyolultabb és nagy kiterjedésű informatikai rendszerek alakulnak. Ahhoz hogy eligazodjunk ebben az egyre megújuló és rohamosan fejlődő világban ismernünk kell a lehetőségeket, fel kell készülnünk a fenyegető veszélyforrások elhárítására, a legoptimálisabb védelmi stratégia kidolgozására, az információ tudatos és rendeltetésszerű használatára, kihasználására. Ehhez nyújt segítséget a kockázatmenedzsment.

Nincs teljes biztonság, csak minimális kockázat, a biztonság tehát tudatos kockázatvállalás

Melyek a főbb veszélyforrások?

Melyek a legfontosabb IT biztonsági célkitűzések? Folyamatos rendelkezésre állás biztosítása. Folyamatos rendelkezésre állás biztosítása. Sértetlenség biztosítása. Sértetlenség biztosítása. Bizalmasság biztosítás. Bizalmasság biztosítás. Hitelesség biztosítása. Hitelesség biztosítása. Funkcionalitás, működőképesség biztosítása. Funkcionalitás, működőképesség biztosítása.

Tipikus ellenérv „A kockázatelemzés időrabló és unalmas feladat” „A kockázatelemzés időrabló és unalmas feladat” –de mit nem adnánk, ha a „jövőbe láthatnánk” –rengeteg problémától megkímél (hiszen felkészülhetek rájuk) –hatalmat ad az események fölött

A kockázatelemzés célja Olyan optimális kockázatkezelési szint meghatározása, amely szinten a felmért és kezelt kockázati tényezők az üzleti folyamatokat csak az előre meghatározott mértékben befolyásolják.

Miért kell kockázatelemzést készíteni, avagy mik a legfőbb előnyök Felkészülhetek, előre láthatom a problémákat Felkészülhetek, előre láthatom a problémákat Költségracionalizálás Költségracionalizálás Az informatikai beruházások megalapozott indoklása Az informatikai beruházások megalapozott indoklása Folyamatok optimalizálása révén hatékonyság fokozható Folyamatok optimalizálása révén hatékonyság fokozható Gyorsabb reagálás a piaci változásokra Gyorsabb reagálás a piaci változásokra Nem érnek meglepetések, fel tudok készülni a külső/belső fenyegetettségekre, ha ismerem azokat Nem érnek meglepetések, fel tudok készülni a külső/belső fenyegetettségekre, ha ismerem azokat A projektjeim kereteken belül végződnek A projektjeim kereteken belül végződnek Külső, illetve belső szabályzóknak, valamint a PSZAF-nak való megfelelés miatt Külső, illetve belső szabályzóknak, valamint a PSZAF-nak való megfelelés miatt Cégérték növekedése, image és hírnév védelme Cégérték növekedése, image és hírnév védelme

A kockázatelemzési project lehetséges lépései 1. A szerződéskötés után közvetlenül sor kerül egy workshopra, melyen megvitatjuk a project kiterjedségét, tisztázzák a fogalmakat. A szerződéskötés után közvetlenül sor kerül egy workshopra, melyen megvitatjuk a project kiterjedségét, tisztázzák a fogalmakat. Amennyiben a project az adatkörökön alapul majd, akkor feltétlenül szükséges, hogy az adatgazdák kijelölése minél előbb megtörténjen. Amennyiben a project az adatkörökön alapul majd, akkor feltétlenül szükséges, hogy az adatgazdák kijelölése minél előbb megtörténjen. Személyes interjúk lefolytatása. Személyes interjúk lefolytatása. A project SCOPE-jának meghatározása igazából itt történik. Nagyon fontos a sikeres output érdekében az, hogy a project mélysége, kiterjedtsége jól körülhatárolt legyen. A project SCOPE-jának meghatározása igazából itt történik. Nagyon fontos a sikeres output érdekében az, hogy a project mélysége, kiterjedtsége jól körülhatárolt legyen. Mik azok a függések, amelyek megvalósítják ezt az adatkezelést? Védelem feltérképezése, hogyan működnek ezek? Szabályzatok vizsgálatára is ebben a lépésben kerül sor (IBSZ, iratkezelési, BCP, stb.). HR vizsgálat. Mik azok a függések, amelyek megvalósítják ezt az adatkezelést? Védelem feltérképezése, hogyan működnek ezek? Szabályzatok vizsgálatára is ebben a lépésben kerül sor (IBSZ, iratkezelési, BCP, stb.). HR vizsgálat. A kérdőíves felmérés során nem standard kérdőíveket használunk, elsősorban a kérdések az adatgazdáktól begyűjtött információn és más személyes interjúkon alapulnak. A kérdőíves felmérés során nem standard kérdőíveket használunk, elsősorban a kérdések az adatgazdáktól begyűjtött információn és más személyes interjúkon alapulnak.

A kockázatelemzési project lehetséges lépései 2. Gyakoriság meghatározás. Itt a kockázat előfordulási valószínűségének csökkentése a cél. Itt legalább két módszer alkalmazását kérjük együttesen (FTA- Fault Tree Analysis, HRA- Human Risk Analysis). Gyakoriság meghatározás. Itt a kockázat előfordulási valószínűségének csökkentése a cél. Itt legalább két módszer alkalmazását kérjük együttesen (FTA- Fault Tree Analysis, HRA- Human Risk Analysis). Kockázati rangsor meghatározása. A szállító dokumentált formában adja át a feltárt kockázatokat és rangsorolásukat fontossági sorrend szerint. Három alapelv szerint kérjük a rangsorolást: sértetlenség, bizalmasság, rendelkezésre állás. Kockázati rangsor meghatározása. A szállító dokumentált formában adja át a feltárt kockázatokat és rangsorolásukat fontossági sorrend szerint. Három alapelv szerint kérjük a rangsorolást: sértetlenség, bizalmasság, rendelkezésre állás. Védelmi intézkedések, javaslatok elkészítése. A kvalitatív módszert részesítjük előnyben, mivel sokkal informatívabb, mátrix segítségével ábrázolhatók az egyes kockázatok, a kockázatok fontossága és előfordulási valószínűségük. Mindezekről SWOT analízis készül. Védelmi intézkedések, javaslatok elkészítése. A kvalitatív módszert részesítjük előnyben, mivel sokkal informatívabb, mátrix segítségével ábrázolhatók az egyes kockázatok, a kockázatok fontossága és előfordulási valószínűségük. Mindezekről SWOT analízis készül. Védelmi intézkedések rangsorolása. Védelmi intézkedések rangsorolása.

Szempontok Kockázatok tulajdonságai Azonosítás, értékelés, rangsorolás A kezelés módjai A kockázatok hatása a projekt életciklusára

Kockázatok tulajdonságai Önmagában nem jó és nem rossz dolog Önmagában nem jó és nem rossz dolog Nem félni kell tőle, hanem kezelni Nem félni kell tőle, hanem kezelni Minden projektben jelen van Minden projektben jelen van

Az informatikai kockázatelemzés alapkérdései Hol vagyunk? Hol vagyunk? Hova igyekszünk? Hova igyekszünk? Hogyan jutunk el oda? Hogyan jutunk el oda?

A kockázatkezelés folyamata PDCA elv alkalmazása Azonosítás Azonosítás –a probléma felszínre hozása Értékelés Értékelés –a kockázat információvá alakítása Tervezés Tervezés –a lehetőségek felmérése, a szükséges döntések előkészítése Követés Követés –a kockázat és a kezelésére hozott intézkedések követése Felügyelet Felügyelet –a napi projektmenedzsment feladattá tétel biztosítja annak elfogadottságát Nyugdíjazás Nyugdíjazás –az aktualitását vesztett kockázatok „kivonása a forgalomból” Értékelés (Analysis) Fel- ügyelet (Control) Azono- sítás (Identification) Tervezés (Planning) Nyug- díjazás (Retire) Követés (Tracking)

Ráfordítás Steve McConnell: Project Survival Guide

Ráfordítás A projekt mérete alapján: A projekt mérete alapján: –2 hetes időtartam alatt a projekt kezdetén gondolkodjunk el a kockázatokon a projekt kezdetén gondolkodjunk el a kockázatokon –2 hét – 1 hónap között menjünk végig a vonatkozó kockázatlistán menjünk végig a vonatkozó kockázatlistán egy alkalommal csináljunk formális kockázatelemzést egy alkalommal csináljunk formális kockázatelemzést –Nagyobbnál a teljes csapat bevonásával a teljes csapat bevonásával korábbi tapasztalatok értékelése (kockázatlista) korábbi tapasztalatok értékelése (kockázatlista) formális kockázatelemzés formális kockázatelemzés folyamatos követés folyamatos követés Elég-e, ha a projektvezető végzi? Elég-e, ha a projektvezető végzi? –Igen, ha a csapat kicsi, ha a csapat kicsi, a kapcsolat állandó és közvetlen, baráti, a kapcsolat állandó és közvetlen, baráti, ha egyetlen csapat dolgozik. ha egyetlen csapat dolgozik. –Egyébként a csapat csinálja közösen

Hogyan csináljam? Brainstorming Brainstorming Céltudatosan Céltudatosan –Csak azzal foglalkozzunk, ami fontos –Nekem hetente kb. 20 percet vesz igénybe Időtakarékosan Időtakarékosan –Az előző heti legyen felhasználható a következőhöz Egyszerűen, világosan, szemléletesen Egyszerűen, világosan, szemléletesen –Legyen a heti jelentés része – ezzel magunkat kényszerítjük, hogy valóban elkészüljön –A kockázatok értékelése legyen érthető –Mindig lehessen látni, hogy mivel foglalkoztunk, mit tettünk, hol értünk el eredményt Úgy, hogy tanulj belőle Úgy, hogy tanulj belőle –A fontosabb kockázatokat emeljük át a kockázatlistába –Készítsük el a projekt kockázati profilját

Kockázatok azonosítása 1. Közösen Közösen –A projekt indulásakor a teljes csapat együtt ötletel –Frissítés A státuszmegbeszélésen senki sem tölti szívesen az idejét ezzel, tehát előre fel kell készülni belőle. A státuszmegbeszélésen senki sem tölti szívesen az idejét ezzel, tehát előre fel kell készülni belőle. Ha valaki panaszkodik, keressünk benne kockázatot Ha valaki panaszkodik, keressünk benne kockázatot Használjunk előregyártott kockázatlistát Használjunk előregyártott kockázatlistát Az összes lehetséges forrást megvizsgálva Az összes lehetséges forrást megvizsgálva Két irányból: a problémák illetve a lehetséges következmények felől is Két irányból: a problémák illetve a lehetséges következmények felől is –„Mi történik, ha a vállalkozóm határideje csúszik?” –„Mi mindenen csúszhat el az én határidőm?”

Kockázatlista minta Kockázati tényezőket tartalmaz Kockázati tényezőket tartalmaz „Előminősítés” „Előminősítés” –Gondoljuk végig, hogy érint-e egyáltalán az adott tényező –Ami nem érint, azzal ne foglalkozzunk tovább

Kockázatok azonosítása 2. Öntsük formalizált mondatokba Öntsük formalizált mondatokba –„Ha a hardvert nem szállítják időben, akkor a pilotot nem tudjuk a tervezett időben elkezdeni.” Legyen meg az ok-okozati kapcsolat Legyen meg az ok-okozati kapcsolat –Nem jó: „Ha a hardvert nem szállítják időben, akkor csúszik a projekt lezárása.” Ha távolabbi következmények is vannak, azonosítsuk a lánc minden elemét Ha távolabbi következmények is vannak, azonosítsuk a lánc minden elemét –„Ha a hardvert nem szállítják le időben, akkor csúszik a pilot kezdete.” –„Ha a pilot nincs meg időben, akkor tapasztalatok híján nem kezdhetjük meg az országos bevezetést.” –„Ha késve kezdődik az országos bevezetés, akkor csúszik a projekt lezárása.”

Kockázatok értékelése Egy kockázat kezelése költséges Egy kockázat kezelése költséges –a legsúlyosabbakkal érdemes foglalkozni, azokkal, melyek végül a projekt költségét csökkentik Számítsuk ki a kockázat súlyosságát Számítsuk ki a kockázat súlyosságát –Becsüljük meg a bekövetkezés valószínűségét –Becsüljük meg a bekövetkezés költségét valószínűség * hatás = súlyosság

Kockázatok értékelése A legegyszerűbb módszer A legegyszerűbb módszer –Valószínűség: 1- alacsony, 2-közepes, 3-magas –Hatás: 1-kicsi, 2-közepes, 3-súlyos –Annak, hogy a vállalkozóm késik, közepes (2) a valószínűsége –Ha ez megtörténik, két emberem 10 napot áll, ez közepesen súlyos következmény (2) –E kockázat súlya tehát 2 * 2 = 4

Kockázatok értékelése Valószínűség és pénzösszeg Valószínűség és pénzösszeg –Valószínűség: százalékokban kifejezve –Hatás: pénzösszegben kifejezve –Annak, hogy a vállalkozóm késik, kb. 40% a valószínűsége –Ha ez megtörténik, két emberem 10 napot áll, ez (12,500Ft-os óradíjjal számítva) kb. 12,500*8*10*2 = 2mFt –E kockázat súlya tehát 40% * 2mFt = 800,000Ft

Kockázat értékelési táblázat

Tervezés, a kockázat kezelése Legyünk „proaktívak” Legyünk „proaktívak” –számítsunk a kockázatokra –a forrását kezeljük, ne a tüneteit –használjunk formalizált procedúrát Mit tehetünk egy bizonyos kockázattal? Mit tehetünk egy bizonyos kockázattal? –csökkenthetjük a valószínűségét –mérsékelhetjük a hatását –átháríthatjuk (pl. alvállalkozóra, biztosítóra) –elkerülhetjük (pl. nem vállaljuk a munkát, nem alkalmazunk ismeretlen technológiát)

Tervezés, a kockázat kezelése A tíz legfontosabbat (ne többet) A tíz legfontosabbat (ne többet) Ezeket értékeljük a többinél részletesebben Ezeket értékeljük a többinél részletesebben –Tudunk-e róla eleget? –Elfogadjuk-e? –… anélkül, hogy foglalkoznunk kéne vele –El tudjuk-e kerülni? –Kezelhető-e? –Tudjuk-e csökkenteni a valószínűségét? –Fel tudunk-e készülni a bekövetkezésére? –Honnan tudjuk, hogy bekövetkezett?

Kockázat kezelési táblázat – kiegészítve

Tervezés Kockázat alapú projekt-tervezés Kockázat alapú projekt-tervezés –A kockázatos részeket hagyjuk el –Kockázatos tevékenységeket végezzük el először

Kockázatok követése

Kockázati profil – minta

A project hátráltató tényezői Az ügyfél általában nem kéri, mert … Az ügyfél általában nem kéri, mert … –… pénzbe kerül –… „erre most nincs idő”... nem érti, mert …... nem érti, mert … –… idegenek a fogalmak –… még nem látott ilyet Nincs kompetens döntéshozó Nincs kompetens döntéshozó Határidők elcsúsznak Határidők elcsúsznak Nincs megfogalmazva pontosan az elérendő célállapot, és a vizsgálandó rendszerelemek (SCOPE) Nincs megfogalmazva pontosan az elérendő célállapot, és a vizsgálandó rendszerelemek (SCOPE)

Összefoglalás 100%-os biztonság nem érhető el A kockázatvállalás tudatos vezetői döntés és felelősség A kockázatelemzés nem egyenlő a kockázatok minimalizálásával Megfelelő kockázatkezelési rendszer kialakítása szükséges Költség-haszon szempontok figyelembe vétele A kockázatkezelés egy állandó körfolyamat melyet állandóan menedzselni, felülvizsgálni kell Oktatás szükségessége

KÖSZÖNÖM MEGTISZTELŐ FIGYELMÜKET ! Dellei László György