INFORMATION SYSTEM SECURITY RISK MANAGEMENT IN A CORPORATE ENVIRONMENT

Tema ovog završnog rada je izrada nove metodologije procjene i obrade rizika koristeći realne podatke prikupljene unutar korporativnog okruženja analizirajući poslovne procese nekoliko organizacijskih jedinica koje su najviše izložene prijetnjama. Objedinjeni podaci, prikupljeni iz svakodnevne poslovne djelatnosti, će se potom integrirati i testirati u specijaliziranom alatu AlterRISK s ciljem izrade plana upravljanja rizicima poslovnih informacijskih sustava. Kao podloga za izradu metodologije koja će biti korištena u ovom radu odabrana je NIST (engl. National Institute of Standards and Technology) [1] metodologija za procjenu rizika. NIST metodologija je u svom punom opsegu preopširna i veoma složena te samim time neprilagođena poslovnim informacijskim sustavima koji su implementirani unutar korporacija na tržištu republike Hrvatske i zato je nužna izrada novog prilagođenog modela. Primjenom na ovakav način modelirane i prilagođene nove metodologije za upravljanje rizicima omogućeno je poslovnim subjektima da jednostavnije i efikasnije uspostave integralni sustav upravljanja rizicima koristeći pritom lokaliziranu inačicu alata za upravljanje rizicima koji omogućava kasnije automatizirano unaprjeđenje sustava sukladno potrebama korporacije. Alat za upravljanje rizicima AlterRISK posjeduje dodatne funkcionalnosti, ali za potrebe ovog rada neće se analizirati. Razlog odabira ovog alata utemeljen je na dokazanoj kvaliteti i pouzdanosti u primjeni već dugi niz godina.The topic of this final paper is to develop our own methodology for risk assessment and processing using real data collected within the corporate environment by analyzing the business processes of several organizational units that are most exposed to the greatest threats. The aggregated data, derived from the day-to-day business, will then be integrated and tested in the specialized tool AlterRISK with the aim of creating a business information system risk management plan. NIST (National Institute of Standards and Technology) 1 methodology for risk assessment was chosen as the basis for the development of the methodology that will be used in this paper. The NIST methodology is in its full scope too extensive and very complex and thus not adapted to business information systems implemented within corporations in the economic market of the Republic of Croatia, and therefore it is necessary to develop a new customized model. By applying the new risk management methodology modelled and adapted in this way, business entities are enabled to more easily and efficiently establish an integrated risk management system using a localized version of the tool that allows later automated system upgrades in accordance with corporate needs. The AlterRISK risk management tool has additional functionalities, but will not be analysed for the purposes of this paper. In addition, the AlterRISK tool has proven its quality and reliability in use for many years