Cilj IT revizije identifikovanje rizika i slabih tačaka u informacionom sistemu

IT revizija

Sve učestaliji napadi na informacione sisteme organizacija i institucija, kao i zakonska obaveza doveli su do potrebe ocenjivanja adekvatnosti primenjenih mera koje se odnose na bezbednost informacionih sistema.

Uvid u stanje informacionog sistema je ujedno prvi i najvažniji korak u uspostavljanju bezbednog okruženja za rad. To podrazumeva preduzimanje mera u cilju sprečavanja karatkoročnih i dugoročnih posledica, kao što su direktni gubici zbog nefunkcionalnosti informacionog sistema i gubitak poverenja i reputacije kod klijenta.

U svrhe ocenjivanja efektivnosti sistema upravljanja bezbednošću informacija primenjuju se standardi poput ISO 27001, a sam proces ocenjivanja realizuje se kroz IT reviziju. Proces IT revizije obuhvata analizu dokumentacije, utvrđivanje procesa, analizu rizika, realizaciju revizije, analizu rezultata. Poslednji korak podrazumeva izveštaj IT revizije, sa mišljenjem i preporukama, i na kraju prezentaciju istog.

 

Cilj IT revizije:

Sistematizacija, poboljšanje i objedinjavanje poslovnih postupaka i obuhvata poslovne informacije u informacionom sistemu

Identifikovanje rizika i slabih tačaka čime se omogućava definisanje rešenja za postavljanje kontrole nad procesima koji su podržani informatičkom tehnologijom

Ubrzanje procesa prikupljanja poslovnih informacija

Centralizacija sistema kontrole i eliminisanja uskih grla u protokolu informacija kroz IS

Ispunjenje regulatornih obaveza

Smanjenje troškova vezanih za IT jer predstavljaju značajan deo ukupnih troškova organizacije

Obezbeđenje poverenja, integriteta i dostupnosti informacija

Ocena ERP sistema pre i posle implementacije

Usaglašavanje IT ocene i IT strategije

Doziranje standarda u IT upravljanju

 

IT revizija obezbeđuje čvrst okvir za primenu defanzivnih mera kao i za izgradnju vrednosti putem uvođenja ofanzivnih mera. Organizacije treba da teže holističkom pristupu riziku i da umesto reaktivnog usvoje proaktivan pristup prilikom rešavanju problema. Rizik bi trebalo da bude strateški faktor u procesu ostvarivanja rezultata poslovanja.

Zakonska regulativa koja se odnosi na bezbednost informacionog sistema sadržana je kroz nekoliko zakona, od kojih su najvažniji Zakon o informacionoj bezbednosti i Zakon o zaštiti podataka o ličnosti.

Zakonom o informacionoj bezbednosti određeno je da RATEL (Regulatorna agencija za elektronske komunikacije i pošanske usluge) obavlja poslove Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou. O Zakonu o informacionoj bezbednosti i drugim srodnim regulativama možete pročitati na zvaničnom sajtu Regulatorne agencije za elektronske komunikacije i poštanske usluge –  https://www.cert.rs/rs

Akt o bezbednosti IKT sistema obavezan je po Zakonu o informacionoj bezbednosti („Sl. glasnik RS“, br. 6/2016, 94/2017 i 77/2019) i njime se uređuju mere zaštite od bezbednosnih rizika u IKT sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja IKT sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Osim kompanija, banke, osiguravajuća društva i ostale finansijske institucije takođe posvećuju posebnu pažnju IT reviziji kako zbog regulatora (NBS, RATEL, Poverenik za informacije od javnog značaja), tako i zbog prirode delatnosti i osetljivih informacija koje svakodnevno obrađuju.

Narodna banka Srbije dokumentom „Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije“ definiše standarde za upravljanje IKT sistemima u finansijskim institucijama. Detaljnije o pomenutoj odluci možete pronaći na sajtu NBS – https://nbs.rs/sr/drugi-nivo-navigacije/propisi/propisi-sis/index.html

Materijalni gubici, gubitak reputacije, prestanak poslovanja kao rezultati komplikacija u funkcionisanju IT ukazuju na to da uspešno upravljanje celom organizacijom zavisi od u veštine upravljanja rizicima u IKT sistemima.