ZARZĄDZANIE RYZYKIEM ORAZ ANALIZA RYZYKA BEZPIECZEŃSTWA INFORMACJI ŚRODOWISKA ICT

UKNF, w czasie okresowych kontroli, oprócz sprawdzenia raportów z przeprowadzonych audytów zewnętrznych, zwraca szczególną uwagę na pełnowartościową i realną analizę ryzyka bezpieczeństwa informacji środowiska ICT.

Obecnie, obok starego jak świat ryzyka kredytowego, na czołowe miejsce wysuwa się ryzyko informatyczne, ryzyko środowiska informatycznego ICT.

CZY JEST SIĘ CZEGO BAĆ ?

NIE	jeżeli bank prowadzi świadomą politykę zarządzania ryzykiem.
NIE	jeżeli bank rzetelnie prowadzi politykę audytu i wdraża poaudytowe zalecenia.
NIE	jeżeli środowisko ICT jest regularnie testowane przy pomocy specjalistycznych testów podatności.
TAK	jeżeli bank korzysta z dokumentacji pozyskanych w różnych okolicznościach: np. podczas szkoleń, na zasadzie wymiany z zaprzyjaźnionym bankiem itd. Przy braku stosownej wiedzy ze strony pracowników i Zarządu, posługiwanie się tego typu dokumentami zwykle kończy się niezłą wpadką.

Jak instytucja finansowa może funkcjonować bez podstawowych dokumentów regulujących bezpieczeństwo? ZGROZA!

W ostatnim czasie, co cieszy, obserwujemy zwiększone zainteresowanie Zarządów banków zagadnieniem opracowania pełnowartościowej dokumentacji związanej z Analizą Ryzyka Bezpieczeństwa Informacji Środowiska ICT. Bank, który świadomie zarządza środowiskiem ICT wg. Rekomendacji D nie ma z tym najmniejszych problemów.

Niestety banki cierpią na brak pełnowartościowych specjalistów, którzy mogliby świadomie zarządzać bezpieczeństwem informacji środowiska ICT w strukturach banku. KNF wyraźnie podkreśla, że przy braku stosownej wiedzy warto sięgnąć po wsparcie specjalistów zewnętrznych. Nawet banki komercyjne korzystają w ten sposób ze specjalistów ds. bezpieczeństwa środowiska ICT.

W czasach nadmiernego zagrożenia cybernetycznego każda instytucja finansowa powinna wdrożyć pełnowartościowe środki służące ograniczeniu ryzyka związanego z wykorzystywanymi technologiami i zapewnieniu bezpieczeństwa środowiska ICT.

Zgodnie z wytycznymi EBA, baczną uwagę przy opracowaniu analizy ryzyka środowiska ICT należy zwrócić m.in. na:

Organizację i zarządzanie
Bezpieczeństwo zarządzania dostępem, kontrolę i rozliczanie dostępów uprzywilejowanych. Stosowanie zasady nieufności itd.
Bezpieczeństwo fizyczne w celu określenia stopnia zabezpieczenia aktywów banku m.in. placówek, bankomatów, pomieszczeń o szczególnym znaczeniu jak np. serwerownie, zagrożenia środowiskowe, pożar, zalanie. Przeszkolenie pracowników jak zachować się w czasie napadu rabunkowego i jakie środki techniczne zainstalować w placówkach banku, aby ewentualny sprawca napadu został szybko wykryty.
Bezpieczeństwo operacji ICT np.: segmentacja sieci, weryfikacja integralności oprogramowania, szyfrowanie danych, szyfrowanie ruchu w sieci między modułami systemów bankowych.
Monitorowanie bezpieczeństwa: np. wdrożenie polityki wykrywania nieprawidłowości, które mogą mieć wpływ na bezpieczeństwo informacji i na zdolność banku do prowadzenia działań biznesowych oraz świadczenie usług.
Nadzór, ocena i testowanie bezpieczeństwa informacji. Przemyślane i logiczne prowadzenie realnych przeglądów, ocen oraz testów bezpieczeństwa poszczególnych środowisk systemu bankowego. Testy powinny być wykonywane, w miarę możliwości, przez niezależnych audytorów niezwiązanych z badaną instytucją.
Szkolenie i świadomość w zakresie bezpieczeństwa informacji, co sprowadza się do permanentnego szkolenia pracowników banku podczas praktycznych szkoleń dotyczących zasad postępowania w przypadku realnego zagrożenia.

Zagadnienia poruszone w niniejszym wpisie będą szczegółowo analizowane w kolejnych artykułach na naszym blogu. Zapraszamy do lektury:)

Zapraszamy Państwa na szkolenia:
https://edu.servus-comp.pl/pl

Zapraszamy Państwa do zapoznania się na naszą ofertą:
https://premiumbank.zadbajobezpieczenstwo.p

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403 30-015 Kraków

tel. +48 608 407 668, +48 12 631 91 22 biuro@servus-comp.pl