Kockázatelemzési project sarkalatos kérdései Dellei László OTP Bank Rt.

BEVEZETÉS A számítógép napjainkban valódi termelőeszközzé vált, egyre bonyolultabb és nagy kiterjedésű informatikai rendszerek alakulnak. Ahhoz hogy eligazodjunk ebben az egyre megújuló és rohamosan fejlődő világban ismernünk kell a lehetőségeket, fel kell készülnünk a fenyegető veszélyforrások elhárítására, a legoptimálisabb védelmi stratégia kidolgozására, az információ tudatos és rendeltetésszerű használatára, kihasználására. Ehhez nyújt segítséget a kockázatmenedzsment.

Nincs teljes biztonság, csak minimális kockázat, a biztonság tehát tudatos kockázatvállalás

Melyek a főbb veszélyforrások?

Melyek a legfontosabb IT biztonsági célkitűzések? Folyamatos rendelkezésre állás biztosítása. Folyamatos rendelkezésre állás biztosítása. Sértetlenség biztosítása. Sértetlenség biztosítása. Bizalmasság biztosítás. Bizalmasság biztosítás. Hitelesség biztosítása. Hitelesség biztosítása. Funkcionalitás, működőképesség biztosítása. Funkcionalitás, működőképesség biztosítása.

Tipikus ellenérv „A kockázatelemzés időrabló és unalmas feladat” „A kockázatelemzés időrabló és unalmas feladat” –de mit nem adnánk, ha a „jövőbe láthatnánk” –rengeteg problémától megkímél (hiszen felkészülhetek rájuk) –hatalmat ad az események fölött

A kockázatelemzés célja Olyan optimális kockázatkezelési szint meghatározása, amely szinten a felmért és kezelt kockázati tényezők az üzleti folyamatokat csak az előre meghatározott mértékben befolyásolják.

Miért kell kockázatelemzést készíteni, avagy mik a legfőbb előnyök Felkészülhetek, előre láthatom a problémákat Felkészülhetek, előre láthatom a problémákat Költségracionalizálás Költségracionalizálás Az informatikai beruházások megalapozott indoklása Az informatikai beruházások megalapozott indoklása Folyamatok optimalizálása révén hatékonyság fokozható Folyamatok optimalizálása révén hatékonyság fokozható Gyorsabb reagálás a piaci változásokra Gyorsabb reagálás a piaci változásokra Nem érnek meglepetések, fel tudok készülni a külső/belső fenyegetettségekre, ha ismerem azokat Nem érnek meglepetések, fel tudok készülni a külső/belső fenyegetettségekre, ha ismerem azokat A projektjeim kereteken belül végződnek A projektjeim kereteken belül végződnek Külső, illetve belső szabályzóknak, valamint a PSZAF-nak való megfelelés miatt Külső, illetve belső szabályzóknak, valamint a PSZAF-nak való megfelelés miatt Cégérték növekedése, image és hírnév védelme Cégérték növekedése, image és hírnév védelme

A kockázatelemzési project lehetséges lépései 1. A szerződéskötés után közvetlenül sor kerül egy workshopra, melyen megvitatjuk a project kiterjedségét, tisztázzák a fogalmakat. A szerződéskötés után közvetlenül sor kerül egy workshopra, melyen megvitatjuk a project kiterjedségét, tisztázzák a fogalmakat. Amennyiben a project az adatkörökön alapul majd, akkor feltétlenül szükséges, hogy az adatgazdák kijelölése minél előbb megtörténjen. Amennyiben a project az adatkörökön alapul majd, akkor feltétlenül szükséges, hogy az adatgazdák kijelölése minél előbb megtörténjen. Személyes interjúk lefolytatása. Személyes interjúk lefolytatása. A project SCOPE-jának meghatározása igazából itt történik. Nagyon fontos a sikeres output érdekében az, hogy a project mélysége, kiterjedtsége jól körülhatárolt legyen. A project SCOPE-jának meghatározása igazából itt történik. Nagyon fontos a sikeres output érdekében az, hogy a project mélysége, kiterjedtsége jól körülhatárolt legyen. Mik azok a függések, amelyek megvalósítják ezt az adatkezelést? Védelem feltérképezése, hogyan működnek ezek? Szabályzatok vizsgálatára is ebben a lépésben kerül sor (IBSZ, iratkezelési, BCP, stb.). HR vizsgálat. Mik azok a függések, amelyek megvalósítják ezt az adatkezelést? Védelem feltérképezése, hogyan működnek ezek? Szabályzatok vizsgálatára is ebben a lépésben kerül sor (IBSZ, iratkezelési, BCP, stb.). HR vizsgálat. A kérdőíves felmérés során nem standard kérdőíveket használunk, elsősorban a kérdések az adatgazdáktól begyűjtött információn és más személyes interjúkon alapulnak. A kérdőíves felmérés során nem standard kérdőíveket használunk, elsősorban a kérdések az adatgazdáktól begyűjtött információn és más személyes interjúkon alapulnak.

A kockázatelemzési project lehetséges lépései 2. Gyakoriság meghatározás. Itt a kockázat előfordulási valószínűségének csökkentése a cél. Itt legalább két módszer alkalmazását kérjük együttesen (FTA- Fault Tree Analysis, HRA- Human Risk Analysis). Gyakoriság meghatározás. Itt a kockázat előfordulási valószínűségének csökkentése a cél. Itt legalább két módszer alkalmazását kérjük együttesen (FTA- Fault Tree Analysis, HRA- Human Risk Analysis). Kockázati rangsor meghatározása. A szállító dokumentált formában adja át a feltárt kockázatokat és rangsorolásukat fontossági sorrend szerint. Három alapelv szerint kérjük a rangsorolást: sértetlenség, bizalmasság, rendelkezésre állás. Kockázati rangsor meghatározása. A szállító dokumentált formában adja át a feltárt kockázatokat és rangsorolásukat fontossági sorrend szerint. Három alapelv szerint kérjük a rangsorolást: sértetlenség, bizalmasság, rendelkezésre állás. Védelmi intézkedések, javaslatok elkészítése. A kvalitatív módszert részesítjük előnyben, mivel sokkal informatívabb, mátrix segítségével ábrázolhatók az egyes kockázatok, a kockázatok fontossága és előfordulási valószínűségük. Mindezekről SWOT analízis készül. Védelmi intézkedések, javaslatok elkészítése. A kvalitatív módszert részesítjük előnyben, mivel sokkal informatívabb, mátrix segítségével ábrázolhatók az egyes kockázatok, a kockázatok fontossága és előfordulási valószínűségük. Mindezekről SWOT analízis készül. Védelmi intézkedések rangsorolása. Védelmi intézkedések rangsorolása.

Szempontok Kockázatok tulajdonságai Azonosítás, értékelés, rangsorolás A kezelés módjai A kockázatok hatása a projekt életciklusára

Kockázatok tulajdonságai Önmagában nem jó és nem rossz dolog Önmagában nem jó és nem rossz dolog Nem félni kell tőle, hanem kezelni Nem félni kell tőle, hanem kezelni Minden projektben jelen van Minden projektben jelen van

Az informatikai kockázatelemzés alapkérdései Hol vagyunk? Hol vagyunk? Hova igyekszünk? Hova igyekszünk? Hogyan jutunk el oda? Hogyan jutunk el oda?

A kockázatkezelés folyamata PDCA elv alkalmazása Azonosítás Azonosítás –a probléma felszínre hozása Értékelés Értékelés –a kockázat információvá alakítása Tervezés Tervezés –a lehetőségek felmérése, a szükséges döntések előkészítése Követés Követés –a kockázat és a kezelésére hozott intézkedések követése Felügyelet Felügyelet –a napi projektmenedzsment feladattá tétel biztosítja annak elfogadottságát Nyugdíjazás Nyugdíjazás –az aktualitását vesztett kockázatok „kivonása a forgalomból” Értékelés (Analysis) Fel- ügyelet (Control) Azono- sítás (Identification) Tervezés (Planning) Nyug- díjazás (Retire) Követés (Tracking)

Ráfordítás Steve McConnell: Project Survival Guide

Ráfordítás A projekt mérete alapján: A projekt mérete alapján: –2 hetes időtartam alatt a projekt kezdetén gondolkodjunk el a kockázatokon a projekt kezdetén gondolkodjunk el a kockázatokon –2 hét – 1 hónap között menjünk végig a vonatkozó kockázatlistán menjünk végig a vonatkozó kockázatlistán egy alkalommal csináljunk formális kockázatelemzést egy alkalommal csináljunk formális kockázatelemzést –Nagyobbnál a teljes csapat bevonásával a teljes csapat bevonásával korábbi tapasztalatok értékelése (kockázatlista) korábbi tapasztalatok értékelése (kockázatlista) formális kockázatelemzés formális kockázatelemzés folyamatos követés folyamatos követés Elég-e, ha a projektvezető végzi? Elég-e, ha a projektvezető végzi? –Igen, ha a csapat kicsi, ha a csapat kicsi, a kapcsolat állandó és közvetlen, baráti, a kapcsolat állandó és közvetlen, baráti, ha egyetlen csapat dolgozik. ha egyetlen csapat dolgozik. –Egyébként a csapat csinálja közösen

Hogyan csináljam? Brainstorming Brainstorming Céltudatosan Céltudatosan –Csak azzal foglalkozzunk, ami fontos –Nekem hetente kb. 20 percet vesz igénybe Időtakarékosan Időtakarékosan –Az előző heti legyen felhasználható a következőhöz Egyszerűen, világosan, szemléletesen Egyszerűen, világosan, szemléletesen –Legyen a heti jelentés része – ezzel magunkat kényszerítjük, hogy valóban elkészüljön –A kockázatok értékelése legyen érthető –Mindig lehessen látni, hogy mivel foglalkoztunk, mit tettünk, hol értünk el eredményt Úgy, hogy tanulj belőle Úgy, hogy tanulj belőle –A fontosabb kockázatokat emeljük át a kockázatlistába –Készítsük el a projekt kockázati profilját

Kockázatok azonosítása 1. Közösen Közösen –A projekt indulásakor a teljes csapat együtt ötletel –Frissítés A státuszmegbeszélésen senki sem tölti szívesen az idejét ezzel, tehát előre fel kell készülni belőle. A státuszmegbeszélésen senki sem tölti szívesen az idejét ezzel, tehát előre fel kell készülni belőle. Ha valaki panaszkodik, keressünk benne kockázatot Ha valaki panaszkodik, keressünk benne kockázatot Használjunk előregyártott kockázatlistát Használjunk előregyártott kockázatlistát Az összes lehetséges forrást megvizsgálva Az összes lehetséges forrást megvizsgálva Két irányból: a problémák illetve a lehetséges következmények felől is Két irányból: a problémák illetve a lehetséges következmények felől is –„Mi történik, ha a vállalkozóm határideje csúszik?” –„Mi mindenen csúszhat el az én határidőm?”

Kockázatlista minta Kockázati tényezőket tartalmaz Kockázati tényezőket tartalmaz „Előminősítés” „Előminősítés” –Gondoljuk végig, hogy érint-e egyáltalán az adott tényező –Ami nem érint, azzal ne foglalkozzunk tovább

Kockázatok azonosítása 2. Öntsük formalizált mondatokba Öntsük formalizált mondatokba –„Ha a hardvert nem szállítják időben, akkor a pilotot nem tudjuk a tervezett időben elkezdeni.” Legyen meg az ok-okozati kapcsolat Legyen meg az ok-okozati kapcsolat –Nem jó: „Ha a hardvert nem szállítják időben, akkor csúszik a projekt lezárása.” Ha távolabbi következmények is vannak, azonosítsuk a lánc minden elemét Ha távolabbi következmények is vannak, azonosítsuk a lánc minden elemét –„Ha a hardvert nem szállítják le időben, akkor csúszik a pilot kezdete.” –„Ha a pilot nincs meg időben, akkor tapasztalatok híján nem kezdhetjük meg az országos bevezetést.” –„Ha késve kezdődik az országos bevezetés, akkor csúszik a projekt lezárása.”

Kockázatok értékelése Egy kockázat kezelése költséges Egy kockázat kezelése költséges –a legsúlyosabbakkal érdemes foglalkozni, azokkal, melyek végül a projekt költségét csökkentik Számítsuk ki a kockázat súlyosságát Számítsuk ki a kockázat súlyosságát –Becsüljük meg a bekövetkezés valószínűségét –Becsüljük meg a bekövetkezés költségét valószínűség * hatás = súlyosság

Kockázatok értékelése A legegyszerűbb módszer A legegyszerűbb módszer –Valószínűség: 1- alacsony, 2-közepes, 3-magas –Hatás: 1-kicsi, 2-közepes, 3-súlyos –Annak, hogy a vállalkozóm késik, közepes (2) a valószínűsége –Ha ez megtörténik, két emberem 10 napot áll, ez közepesen súlyos következmény (2) –E kockázat súlya tehát 2 * 2 = 4

Kockázatok értékelése Valószínűség és pénzösszeg Valószínűség és pénzösszeg –Valószínűség: százalékokban kifejezve –Hatás: pénzösszegben kifejezve –Annak, hogy a vállalkozóm késik, kb. 40% a valószínűsége –Ha ez megtörténik, két emberem 10 napot áll, ez (12,500Ft-os óradíjjal számítva) kb. 12,500*8*10*2 = 2mFt –E kockázat súlya tehát 40% * 2mFt = 800,000Ft

Kockázat értékelési táblázat

Tervezés, a kockázat kezelése Legyünk „proaktívak” Legyünk „proaktívak” –számítsunk a kockázatokra –a forrását kezeljük, ne a tüneteit –használjunk formalizált procedúrát Mit tehetünk egy bizonyos kockázattal? Mit tehetünk egy bizonyos kockázattal? –csökkenthetjük a valószínűségét –mérsékelhetjük a hatását –átháríthatjuk (pl. alvállalkozóra, biztosítóra) –elkerülhetjük (pl. nem vállaljuk a munkát, nem alkalmazunk ismeretlen technológiát)

Tervezés, a kockázat kezelése A tíz legfontosabbat (ne többet) A tíz legfontosabbat (ne többet) Ezeket értékeljük a többinél részletesebben Ezeket értékeljük a többinél részletesebben –Tudunk-e róla eleget? –Elfogadjuk-e? –… anélkül, hogy foglalkoznunk kéne vele –El tudjuk-e kerülni? –Kezelhető-e? –Tudjuk-e csökkenteni a valószínűségét? –Fel tudunk-e készülni a bekövetkezésére? –Honnan tudjuk, hogy bekövetkezett?

Kockázat kezelési táblázat – kiegészítve

Tervezés Kockázat alapú projekt-tervezés Kockázat alapú projekt-tervezés –A kockázatos részeket hagyjuk el –Kockázatos tevékenységeket végezzük el először

Kockázatok követése

Kockázati profil – minta

A project hátráltató tényezői Az ügyfél általában nem kéri, mert … Az ügyfél általában nem kéri, mert … –… pénzbe kerül –… „erre most nincs idő”... nem érti, mert …... nem érti, mert … –… idegenek a fogalmak –… még nem látott ilyet Nincs kompetens döntéshozó Nincs kompetens döntéshozó Határidők elcsúsznak Határidők elcsúsznak Nincs megfogalmazva pontosan az elérendő célállapot, és a vizsgálandó rendszerelemek (SCOPE) Nincs megfogalmazva pontosan az elérendő célállapot, és a vizsgálandó rendszerelemek (SCOPE)

Összefoglalás 100%-os biztonság nem érhető el A kockázatvállalás tudatos vezetői döntés és felelősség A kockázatelemzés nem egyenlő a kockázatok minimalizálásával Megfelelő kockázatkezelési rendszer kialakítása szükséges Költség-haszon szempontok figyelembe vétele A kockázatkezelés egy állandó körfolyamat melyet állandóan menedzselni, felülvizsgálni kell Oktatás szükségessége

KÖSZÖNÖM MEGTISZTELŐ FIGYELMÜKET ! Dellei László György