IT Risk Management

ISO/IEC 27019 elektrik enerjisi, elektrik, gaz, yağ ve ısı üretimini, iletimini, depolanmasını ve dağıtımını kontrol etmek ve izlemek amaçlarıyla ve ilgili destek süreçlerinin kontrolü için, enerji tedarik kuruluşlarında kullanılan proses kontrol sistemlerinin (EKS-Endüstriyel Kontrol Sistemi), ISO/IEC 27002: 2013 kontrollerine dayalı rehberlik sağlar.
ISO/IEC 27019’un amacı, ISO/IEC 27000 standartlarını EKS ve otomasyon teknolojisi alanlarına genişleterek, enerji tedarik endüstrisinin kurumsal yönetişimden proses kontrol seviyesine kadarki süreçlerinde ISO/IEC 27001 gereklerine uygun BGYS (ISMS) uygulamaktır.
Ayrıca ISO/IEC 27019, “NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security” ve “IEC/TS 62443-1-1 Industrial communication networks — Network and system security — Part 1-1:
Terminology, concepts and models” standartlarında ele alınan EKS ‘lerde Risk Yönetim Çerçevesi ve Bakış açısı baz alınarak hazırlanmıştır. Sonuç olarak EKS / SCADA bulunan sistemlerimizde yapacağımız Risk Analizi ve kontrol önlemlerinin kararlaştırılacağı Risk İşleme süreçlerimizde NIST 800 serisi standartları ve IEC/TS 62443 serisi standartlardan faydalanmak çalışmalarımızın etkinliğini ve verimliliğini artıracaktır.

The risks associated with the functioning of information are becoming more common and have a variety of different forms. The risk connected with a wide application of information technologies in business is increasing with increasing interdependency of the organization from its customers, business partners and outsourcing operations. Technological change generates dependencies that cause an increase in diversity, complexity and quantity risk factors. In this context, risk analysis is a very important process, which minimizes the probability of losses. To facilitate and improve the effectiveness of risk analysis process, a number of methodologies and standards of risk analysis and management have been elaborated. Many different computer tools have been developed on the basis of these standards. They are used primarily for risk analysis and management and to maintain the current level of security in specific organizations. The article presents the issue of IT risk analysis, especially focusing on presentation of different tools, computer programs and packages supporting this process in enterprises.

In 2009, ISACA launched a first information risk repository: Risk IT. Risk IT relies on COBIT 4, the IT governance framework that, according to ISACA, provides the missing link between traditional business risk management and information risk management and control. One of the main ideas behind ISACA's approach is that companies get a return on investment (ROI) by taking risks, but sometimes they try to eliminate risks that really contribute to the creation of a profit. Risk IT was designed to help companies maximize their return on opportunities by managing risks more effectively than trying to eliminate them entirely. In April 2012, ISACA released the new COBIT 5 version of its repository. She presented this new version as a major evolution of the IS governance and management framework. One of the main novelties of COBIT 5 is to approach the Information System (IS), beyond the processes already put forward by COBIT 4.1, through complementary themes, as part of a holistic approach (holistic or systemic). As part of this upgrade, the COBIT 5 processes were adapted to better converge with other repositories such as ISO 27002, CMMI and ITIL. With COBIT 5, Risk IT was integrated with COBIT 5 for Risk Management (COBIT 5 for risk or COBIT 5GR in this text). In the spirit of COBIT, this version defines computer risk as an element of business risk, in particular, business risk related to the use, possession, exploitation and adoption of the business. in a company. COBIT 5GR is interested in: • to enable stakeholders to gain a better understanding of the current state and effects of risk across the enterprise • advise on how to manage risk at all levels, including a broad set of risk mitigation measures • to advise on how to put the appropriate risk culture in place • Risk assessment guidance that allows stakeholders to consider the cost of mitigation measures and the resources needed to counter the risk of loss • opportunities to integrate IT risk management with enterprise risk management. • Improving communication and understanding between all internal and external stakeholders In this text, I propose a technique to apply COBIT 5GR to perform a risk analysis in an organization. This technique is based on the use of generic risk indicators (KRIs) that will need to be adapted for use in a specific context. This text is presented here for training purposes and to stimulate discussion with ISACA members and information risk managers. The full text will be presented in the next edition of my book on Information Risk Management. If you have comments: marcandre@leger.ca

CRAAS provides the system needed to perform a Cybersecurity architecture technical and procedure risk assessment analysis.  In essence, CRAAS is a foundational Holistic Cybersecurity Architecture development system.  CRAAS enables someone that is preparing a detailed Cybersecurity Architecture Project or preparing a business decision to buy tools, build a Cybersecurity Architecture or baseline to measure an organization's Cybersecurity Architecture Risk Posture.

Rumah Sakit Umum Haji adalah institusi sarana pelayanan kesehatan milik Pemerintah Provinsi Jawa Timur yang tidak
tidak hanya berfungsi sosial, tetapi telah berkembang menjadi unit pelayanan kesehatan yang harus bisa mengoptimalkan
penndapatannya dengan jalan meningkatkan dan mengembangkan jenis-jenis pelayanan yang optimal sesuai dengan
kebutuhan masyarakat. Untuk mencapai tujuan dan melaksanakan fungsi Rumah Sakit Umum Haji, diperlukan adanya
suatu manajemen risiko untuk mengarahkan dan mengendalikan organisasi dalam mengelola risiko yang mungkin terjadi.
Rumah Sakit Umum Haji telah mengimplementasikan Teknologi Informasi sebagai pendukung keberlangsungan bisnisnya.
Implementasi Teknologi Informasi(TI) di Rumah Sakit Umum Haji selain memberikan keuntungan juga menimbulkan
berbagai ancaman timbulnya risiko. Tujuan dari penelitian ini adalah untuk mengidentifikasi, menilai dan memitigasi
risiko yang berkaitan dengan aplikasi healthty plus yang merupakan Electronic Medical Record (EMR) system yang
digunakan Rumah Sakit Umum Haji berdasarkan metode OCTAVE. Dalam perjalanannya, penerapan rekam medis
elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit
menjadi terganggu. Metode analisis risiko yang digunakan dalam tugas akhir ini adalah metode octave yang merupakan
metodologi yang berfungsi untuk meningkatkan proses pengambilan keputusan terhadap perlindungan dan pengelolaan
sumberdaya di suatu informasi berdasarkan penilaian risiko. Kontribusi tugas akhir ini berfokus pada memberikan solusi
penanganan risiko yang mungkin terjadi pada aplikasi healthy plus yang digunakan di RSU Haji Surabaya. Harapan dari
penelitian tugas akhir adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk aplikasi healthty plus yang
dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR Sistem di Rumah Sakit Umum
Haji Surabaya.

Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).

This paper seeks to tackle the current confusion about the constituent dimensions of IT Governance (ITG) and inconsistent operationalisation approaches inhibiting advances in research and organisational ITG practice. Through a structured literature review of ranked high-quality publications augmented by a meta-case study with five underlying projects, we find nine distinct dimensions of ITG. The input-oriented dimensions Compliance Management, IT Investment Management and ITG Improvement have received little attention in earlier conceptualisations, while the more output-oriented dimensions Business/IT Alignment and Business Value Delivery have featured more often in related studies. Scope and application of ITG may depend on the organisational context and the intentional use, such as regulatory or strategic. Depending on the context, more research seems to be warranted to develop context-dependent measurement constructs of ITG that can be compared over studies.

IT risk management is a business imperative.  A hybrid framework based on leading frameworks should be employed.  Risk management efforts should be tailored to the organization it serves.  The predominant risk frameworks should be mapped to COBIT in a single integrated
body of work.  IT risk management practices should be unified through a single process owner.  IT frameworks benefit risk management, process improvement and governance  initiatives.

En el Perú y específicamente en Lambayeque, las instituciones financiera que cuentan con la autorización de la Superintendencia de Banca y Seguros (SBS), y que gozan de autonomía económica, financiera y administrativa, brindan servicios de Ahorros, que es la captación de los fondos del público a través de las diferentes modalidades y, de Créditos, que es la colocación de los fondos captados.
Todas las instituciones supervisadas por la SBS, se encuentra inmersa en el cumplimiento de las normativas emitidas por este ente regulador, y entre los riesgos que son evaluados como parte del desarrollo de sus actividades se encuentra el riesgo operacional. El riesgo operativo es otro componente de la gestión de riesgo según BASILEA II, desplazando al tradicional interés por los riesgos de crédito y mercado, centrando los esfuerzos a los riesgos asociados a las operaciones de las entidades financieras como: personas, procesos, tecnología información y aspectos externos.
Es importante entonces, que las instituciones financieras deben incorporar procedimientos, métodos y herramientas que les permita aplicar un conjunto importante de mejores prácticas para gestionar este tipo de riesgo, tomando en consideración lo establecido en la normativa peruana y los criterios difundidos por el ente regulador.
Sin embargo, su carácter cualitativo dificulta el desarrollo de herramientas de identificación, medición y control, y las exigencias reguladoras definen los nuevos retos planteados para el sistema financiero. La gestión de los riesgos operativos plantea la adopción de estándares que generalmente desarrollan un procedimiento cuantitativo. Existe la necesidad de llegar a modelos cuanti y cualitativos.
Este trabajo de investigación propone un modelo para la gestión de riesgos operativos relacionados con las tecnologías de información como parte de un sistema de gestión de la seguridad de la información, desde una perspectiva que integra técnicas cuantitativas y cualitativas.

ISO (International Standardization Organization) based Risk management frameworks and standards in Latin America are the most used within Information Technology organizations. ISO 31000:2009 is maybe the one more frequently used, but ISO 27001:2013 accompanied with ISO 27005:2011, designed specifically for information security risk is widely implemented. 

The ISO 27005:2011 used with CVSS (Common Vulnerability Scoring System) developed by NIST ((National Institute of Standards and Technology) methodology, provide a graphical model for Information Security. This model also represents with heat maps how high or low are risk identified and classifies them according to residual risk evaluating efficiency of controls. 

This article presents the idea of working with this model and adding Pareto Law and Bubble Charts to address the 80-20 in a graphical presentation.

At the end of the article we explain how these methodologies and frameworks work together as a powerful tool within organizations to analyze, evaluate and mitigate information security risks. We propose a Mitigation Plan that uses all the information obtained through the exercise.

Electrosmog is the electromagnetic radiation emitted from wireless technology such as Wi-Fi hotspots or cellular towers, and poses potential hazard to human. Electrosmog is invisible, and we rely on detectors which show level of electrosmog in a abstract warning such as numbers. Our system is able to detect electrosmog level from number of Wi-Fi networks, connected cellular towers and strengths, and show in an intuitive representation by blurring the vision of the users wearing a Head-Mounted Display (HMD). The HMD displays in real-time the users' augmented surrounding environment with blurriness, as though the electrosmog actually clouds the environment. For demonstration, participants can walk in a video-see-through HMD and observe vision gradually blurred while approaching our prepared dense wireless network.

Zarządzanie ryzykiem IT jest prewencją wobec zagrożeń, gdyż polega na rozwiązaniach, których zasadniczym celem jest zapobieganie sytuacjom krytycznym przez dostrzeganie czynników zagrożeń, monitorowanie charakterystycznych i typowych symptomów ich aktywizowania się oraz zapobieganie ich interakcji z systemem działania organizacji lub jej otoczeniem. W tym celu konieczne jest wdrażanie odpowiednich na-rzędzi i rozwiązań, które łączą się z poniesieniem kosztów. Zarządzanie ryzykiem jest ciągłym procesem, wiążącym się z permanentnymi wydatkami, związanymi z planowa-niem i projektowaniem zasad, procedur i adekwatnych zabezpieczeń, z zakupem sprzętu i programowych implementacji mechanizmów bezpieczeństwa, wdrażaniem odpowied-nich zasad i procedur bezpieczeństwa, monitorowaniem, audytem i ewaluacją zabezpie-czeń, dodatkową pracą specjalistów. Dlatego też dla praktyki biznesowej analiza efek-tywności inwestycji związanych z zarządzaniem ryzykiem staje się zagadnieniem niezwykłej wagi. Artykuł przedstawia wybrane modele i metody, które mogą znaleźć za-stosowanie w ocenie efektywności inwestycji w obszarze zarządzania ryzykiem informa-tycznym. Słowa kluczowe: bezpieczeństwo systemów informatycznych, zarządzanie ryzykiem in-formatycznym, efektywność inwestycji, ROI, NPV, IRR Wprowadzenie Technologie informatyczne (IT) rozwijają się niezwykle dynamicznie, powodu-jąc powstanie nowych produktów i usług. Coraz większe nasycenie środkami tech-nicznymi informatyki różnorodnych obszarów działalności gospodarczej przedsię-biorstw sprawia, że nieustannie wzrasta ilość danych w formie elektronicznej, co powoduje jednak dynamiczną ekspansję nowych zagrożeń. Ryzyko związane z szerokim zastosowaniem technologii informatycznych w biznesie rośnie wraz ze zwiększaniem się współzależności organizacji od jej klientów, partnerów bizneso-wych i operacji zlecanych na zewnątrz. Obecny postęp technologiczny generuje zależności, które wywołują wzrost różnorodności, złożoności, nieokreśloności i ilości czynników ryzyka. W efekcie poważnym problemem staje się odpowiednie

Streszczenie: Zarządzanie ryzykiem to proces ograniczania ryzyka poprzez stosowanie odpo-wiednich środków bezpieczeństwa. Efektywne zarządzanie ryzykiem w organizacji wymaga systemowego podejścia do analizy ryzyka. Na podstawie jej wyników dobiera się zabezpie-czenia, które powinny być efektywne kosztowo i uwzględniać wymagania wynikające z prze-pisów prawa, wymagania biznesowe i wynikające z przeprowadzonej analizy ryzyka zaso-bów mających wartość dla funkcjonowania organizacji. Efektywność ekonomiczną w tym przypadku można określić jako dążenie do minimalizacji całkowitych kosztów związanych z zarządzaniem ryzykiem. Artykuł przedstawia wybrane modele, metody i wskaźniki mogące znaleźć zastosowanie w ocenie efektywności inwestycji w obszarze bezpieczeństwa syste-mów informatycznych. Słowa kluczowe: bezpieczeństwo systemów informatycznych, analiza ryzyka, zarządzanie ryzykiem, efektywność ekonomiczna.

In a packetized memory device, pipelined row and column address paths receive row and column addresses from an address capture circuit. Each of the row and column address paths includes a respective address latch that latches the row or column address from the address capture circuitry, thereby freeing the address capture circuitry to capture a subsequent address. The column path also includes a set of bank address latches so that bank addresses can be pipelined synchronously with column addresses. The latched row and column addresses are then provided to a combining circuit. Additionally, redundant row and column circuits receive these latched addresses and indicate to the combining circuit whether or not to substitute a redundant row. The combining circuit, responsive to a strobe then transfers the redundant row address or latched row address to a decoder to activate the array. The bank address latches also activate a selected bank responsive to the strobe.

Dans ce texte, je propose une technique pour appliquer COBIT 5GR afin de réaliser une analyse de risque dans une organisation. Cette technique est basée sur l’utilisation d’indicateurs de risque (KRI) génériques qui devront être adaptés pour une utilisation dans un contexte spécifique. Ce texte est présenté ici à des fins de formation et pour susciter la discussion auprès de membres de l’ISACA et des gestionnaires de risque informationnels. Le texte complet sera présenté dans la prochaine édition de mon livre sur la gestion de risque informationnel. Si vous avez des commentaires: marcandre@leger.ca

Due to increasing requirements, standards and tight oversight from governments, along with the immediate need to effectively manage the increasing business and operational risks inherent to competing in a complex global market, integrated Governance, Risk and Compliance (GRC) is becoming one of the most important business requirements for organizations. In particular, IT requirements, standards and best practices play a crucial role in IT organizations/departments. The lack of guidance in this domain, namely ...

Abstract Due to increasing requirements, standards and tight oversight from governments, along with the immediate need to effectively manage the increasing business and operational risks inherent to competing in a complex global market, integrated Governance, Risk and Compliance (GRC) is becoming one of the most important business requirements for organizations. In particular, IT requirements, standards and best practices play a crucial role in IT organizations/departments. The lack of guidance in this domain, namely ...