Upravljanje bezbednosnim i informacionim rizicima

Kome je namenjen

Upravljanje bezbednosnim i informacionim rizicima kurs je namenjen menadžmentu kompanije, rukovodiocima i zaposlenima u službi za upravljanje kontinuitetom poslovanja, IT službi i službi za bezbednost informacionog sistema, odgovornim licima za zaštitu poslovnih informacija i upravljanje operativnim rizicima, projekt menadžerima i koordinatorima projekata, internim i eksternim revizorima, osobama zaduženim za kreiranje i kontrolu IT ugovara i praćenje rizika nad eksternalizovanim IT procesima, zaposlenima koji rade na razvoju softvera, poslovnih i klijentskih aplikacija, zatim zaposlenima u poslovnim sektorima koji hoće da povećaju nivo kontrole nad svojim IT procesima ili se bave razvojem novih usluga kroz digitalizaciju poslovanja (digitalno poslovanje, mobilne usluge itd.), kao i svima koji imaju potrebu da zaštite i sačuvaju informacije o klijentima i poslovanju zbog visokog stepena odgovornosti, regulatornih zahteva i rizika u svakodnevnom poslovanju.

Naučićete

Kurs pruža osnovna i napredna znanja i veštine za upravljanje bezbednosnim i informacionim rizicima koji su aktuelni i mogu se ispoljiti u gotovo svakoj kompaniji. Kurs omogućava polaznicima da se postepeno upoznaju sa vrstama IT rizika i njihovom pravilnom klasifikacijom, kao i prevencijom i zaštitom od rizika koji se mogu ispoljiti kako u okviru interno razvijenih i podržanih IT sistema tako i kod eksternalizovanih IT usluga.

Neka od pitanja na koja će vam kurs pružiti odgovore su kako adekvatno tretirati uočene informacione i bezbednosne rizike, šta je potrebno propisati i ko je za to odgovoran, kako upravljati IT rizicima na projektima, na šta treba obratiti pažnju prilikom eksternalizcije IT usluga i koje su to kritične stavke svakog ugovora, zatim kako bezbedno upravljati internim razvojem i pravilno implementirati kripto algoritme i različite metode autentifikacije. Tokom kursa ćemo uraditi analizu pozitivnih, ali i negativnih iskustava velikih kompanija prilikom procene IT rizika, vođenja i realizacije projekata, angažovanja eksternih partnera i kreiranja ugovora.

Cilj kursa

Cilj kursa je da steknete osnovno i napredno znanje u upravljanju bezbednosnim i IT rizicima, da naučite kako da definišete i realno procenite rizike u Vašoj kompaniji, kao i da bolje razumete IT kontrole koje se primenjuju za smanjivanje ili otklanjanje uočenih rizika.

Trajanje

2 dana (4 dana po 3:15h)

Potrebno predznanje

Potrebno je osnovno razumevanje IT sistema i poslovnih procesa.

Sadržaj

Definisanje rizika u informacionom sistemu

• Metodologija procene IT rizika
• Da li su IT rizici operativni rizici?
• Klasifikacija IT rizika
• Mere za savladavanje definisanih rizika
• Redovne i vanredne procene IT rizika

Informacioni rizici u kompaniji

• Analiza IT rizika
• Pretnje i ranjivosti u IT sistemu
• Rizik od otkaza u IT sistemu – dostupnost servisa
• Uticaj IT rizika na poslovne procese i razvoj novih proizvoda

Bezbednosni rizici u informacionom sistemu

• Bezbednosne pretnje i ranjivosti
• Zaštita podataka o ličnosti i GDPR – rizici i prilike
• Ljudski faktor i uticaj na procenu rizika
• Klasifikacija i označavanje informacija
• Definisanje bezbednosnih rizika tokom internog razvoja
• Zaštita informacija, kripto algoritama i napredne metode autentifikacije
• Bezbednosne provere pre puštanja softvera u produkciju

Okviri i najbolja praksa u upravljanju IT i bezbednosnim rizicima

• IT standardi i preporuke
• Najbolja svetska praksa i bezbednosni standardi
• Interni akti u vezi upravljanja rizicima
• Odgovornosti i obaveze zaposlenih
• Pravilno definisanje i adekvatna primena internih IT propisa
• Upravljanje IT i bezbednosnim rizicima u kriznim situacijama
• Rad sa udaljene lokacije – prednosti i mane
• Rad sa udaljene lokacije – upravljanje rizicima (očekivani i neočekivani rizici)

Matrica za definisanje i procenu rizika

• Analiza mogućih načina procene informacionih i bezbednosnih rizika
• Primer jedne metodologije za procenu rizika
• Korišćenje matrice za upravljanje rizicima
• Primeri upravljanje rizicima – dobra praksa

Eksternalizacija IT usluga

• Bezbedno poslovanje kroz eksternalizaciju IT usluga
• Saradnja sa partnerima i analiza rešenja/ponuda
• Procena budućeg partnera i uticaj eksternalizacije na kritične IT procese u kompaniji
• Kreiranje i odobravanje ugovora
• Kritične stavke ugovora i održavanje IT opreme
• Kontrola rizika i procesa kod eksternih partnera

Interni razvoj softvera

• Informacioni i bezbednosni rizici tokom razvoja softvera
• Definisanje, analiza i procena rizika
• Savladavanje rizika u cilju razvoja novih proizvoda (rešenja)
• Razvoj, testiranje i puštanje u produkciju

Upravljanje informacionim i bezbednosnim rizicima na projektima

• Uloge i odgovornosti na projektima
• Koji su ciljevi, a koji je obim projekta?
• Zainteresovane strane za uspeh projekta
• Uloga projekt menadžera u pogledu upravljanja rizicima na projektu
• Definisanje rizika na projektima – Kada? Ko? Kako?
• Upravljanje rizicima na projektu i pravovremeno planiranje resursa
• Ko donosi odluku o puštanju u produkciju i na osnovu kojih informacija?
• Da li treba da se otklone svi rizici koji su definisani na projektu?
• Analiza IT projekata iz prakse – digitalizacija, migracija podataka, implementacija novih rešenja…

Primeri iz prakse

• Da li ste uradili klasifikaciju IT rizika?
• Da li ste u ugovoru za IT održavanje pokrili sve što Vam je važno?
• Analiza rizika – interni razvoj ili eksternalizac