IT revizija
Sve učestaliji napadi na informacione sisteme organizacija i institucija, kao i zakonska obaveza doveli su do potrebe ocenjivanja adekvatnosti primenjenih mera koje se odnose na bezbednost informacionih sistema.
Uvid u stanje informacionog sistema je ujedno prvi i najvažniji korak u uspostavljanju bezbednog okruženja za rad. To podrazumeva preduzimanje mera u cilju sprečavanja karatkoročnih i dugoročnih posledica, kao što su direktni gubici zbog nefunkcionalnosti informacionog sistema i gubitak poverenja i reputacije kod klijenta.
U svrhe ocenjivanja efektivnosti sistema upravljanja bezbednošću informacija primenjuju se standardi poput ISO 27001, a sam proces ocenjivanja realizuje se kroz IT reviziju. Proces IT revizije obuhvata analizu dokumentacije, utvrđivanje procesa, analizu rizika, realizaciju revizije, analizu rezultata. Poslednji korak podrazumeva izveštaj IT revizije, sa mišljenjem i preporukama, i na kraju prezentaciju istog.
Cilj IT revizije:
Sistematizacija, poboljšanje i objedinjavanje poslovnih postupaka i obuhvata poslovne informacije u informacionom sistemu
Identifikovanje rizika i slabih tačaka čime se omogućava definisanje rešenja za postavljanje kontrole nad procesima koji su podržani informatičkom tehnologijom
Ubrzanje procesa prikupljanja poslovnih informacija
Centralizacija sistema kontrole i eliminisanja uskih grla u protokolu informacija kroz IS
Ispunjenje regulatornih obaveza
Smanjenje troškova vezanih za IT jer predstavljaju značajan deo ukupnih troškova organizacije
Obezbeđenje poverenja, integriteta i dostupnosti informacija
Ocena ERP sistema pre i posle implementacije
Usaglašavanje IT ocene i IT strategije
Doziranje standarda u IT upravljanju
IT revizija obezbeđuje čvrst okvir za primenu defanzivnih mera kao i za izgradnju vrednosti putem uvođenja ofanzivnih mera. Organizacije treba da teže holističkom pristupu riziku i da umesto reaktivnog usvoje proaktivan pristup prilikom rešavanju problema. Rizik bi trebalo da bude strateški faktor u procesu ostvarivanja rezultata poslovanja.
Zakonska regulativa koja se odnosi na bezbednost informacionog sistema sadržana je kroz nekoliko zakona, od kojih su najvažniji Zakon o informacionoj bezbednosti i Zakon o zaštiti podataka o ličnosti.
Zakonom o informacionoj bezbednosti određeno je da RATEL (Regulatorna agencija za elektronske komunikacije i pošanske usluge) obavlja poslove Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou. O Zakonu o informacionoj bezbednosti i drugim srodnim regulativama možete pročitati na zvaničnom sajtu Regulatorne agencije za elektronske komunikacije i poštanske usluge – https://www.cert.rs/rs
Akt o bezbednosti IKT sistema obavezan je po Zakonu o informacionoj bezbednosti („Sl. glasnik RS“, br. 6/2016, 94/2017 i 77/2019) i njime se uređuju mere zaštite od bezbednosnih rizika u IKT sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja IKT sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.
Osim kompanija, banke, osiguravajuća društva i ostale finansijske institucije takođe posvećuju posebnu pažnju IT reviziji kako zbog regulatora (NBS, RATEL, Poverenik za informacije od javnog značaja), tako i zbog prirode delatnosti i osetljivih informacija koje svakodnevno obrađuju.
Narodna banka Srbije dokumentom „Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije“ definiše standarde za upravljanje IKT sistemima u finansijskim institucijama. Detaljnije o pomenutoj odluci možete pronaći na sajtu NBS – https://nbs.rs/sr/drugi-nivo-navigacije/propisi/propisi-sis/index.html
Materijalni gubici, gubitak reputacije, prestanak poslovanja kao rezultati komplikacija u funkcionisanju IT ukazuju na to da uspešno upravljanje celom organizacijom zavisi od u veštine upravljanja rizicima u IKT sistemima.