Kto odpowiada w firmie za cyberbezpieczeństwo? − wytyczne EBA w sprawie ryzyk IT
Jest jednak kilka zagadnień, które pojawiają się w wytycznych EBA jako pewne novum, jak np. w kontekście zarządzania projektami IT, czy też większe nakierowanie na edukowanie klientów w zakresie zagrożeń IT (cyberbezpieczeństwo).
Wytyczne EBA nie wprowadzają istotnej rewolucji w zakresie wymagań dla instytucji w kontekście organizacji wewnętrznej, natomiast ich zastosowanie może wymagać przeprowadzania pewnych uszczegółowień w regulaminie organizacyjnym i wybranych procedurach, np. w zakresie bezpieczeństwa.
Zarząd na topie
EBA rekomenduje, aby zarządowi, właściwemu członkowi tego organu przypisać odpowiedzialność za kształtowanie i wdrażanie strategii IT. Rozciąga się to na konieczność zapewniania odpowiednich zasobów (w tym osobowych – np. zarządzających projektami IT), pozwalających na realizację tej strategii i właściwe zarządzanie ryzykami operacyjnymi i bezpieczeństwa.
To także odpowiednie przypisanie ról i zasad eskalacji oraz raportowania w ramach podległych jednostek. Rekomendowanym rozwiązaniem będzie powołanie stosownego komitetu ds. IT i/lub bezpieczeństwa.
Tym, na co należy zwrócić szczególną uwagę, jest upewnienie się, że osoby odpowiadające za kwestie IT oraz bezpieczeństwa posiadają stosowne wykształcenie (w tym szkolenia i certyfikaty) oraz doświadczenie.
Takie osoby muszą również znać i stosować politykę w zakresie bezpieczeństwa. Polityka ciągłego kształcenia pracowników ma szczególne znaczenie w przypadku zagrożeń z zakresu cyberbezpieczeństwa.
Funkcja kontroli a operacje
Zgodnie z wytycznymi EBA w sprawie zarządzania wewnętrznego (oraz oczywiście Rozporządzeniem Ministra Finansów w sprawie systemu zarządzania ryzykiem) w instytucji muszą działać określone funkcje kontroli − ryzyko, compliance, audyt wewnętrzny.
Wytyczne EBA w sprawie ryzyk IT i bezpieczeństwa doprecyzowują tutaj, że takiej funkcji należy przypisać zadanie zarządzania ryzykami informatycznymi oraz bezpieczeństwa z tym zastrzeżeniem, że taka jednostka nie może odpowiadać za wewnętrzny audyt, który przeprowadza m.in. kontrolę zgodnie z art. 3 Rozporządzenia 2018/389).
Czytaj także: Są zmiany, a czasu mało. Wytyczne EBA ws. zarządzania ryzykami IT oraz bezpieczeństwa
Zarządzanie ryzykiem
Ogólne zasady zarządzania ryzykiem w instytucji finansowej uległy doprecyzowaniu w Wytycznych. To co będzie bardzo istotne przy implementowaniu wytycznych do istniejących ram risk management to niewątpliwie:
− Określenie apetytu na ryzyko IT oraz bezpieczeństwa;
− Zidentyfikowanie i ocena tych ryzyk na które instytucja jest narażona (np. określenie działania phisingowe, ataki typu DDoS);
− Wyznaczenie środków i narzędzi (w tym kontrolnych) ograniczania tych ryzyk;
− Monitoring efektywności tych środków, w tym identyfikowanie incydentów operacyjnych i podjętych kroków. Tutaj istotne będzie skorelowanie procesu z zasadami w zakresie zarządzania incydentami zawartymi w Wytycznych EBA w tej sprawie oraz wydanymi w związku z nimi komunikatem KNF;
− Określenie zasad raportowania do zarządu.
Te zasady powinny podlegać regularnemu przeglądowi oraz ewentualnej modyfikacji. Tutaj EBA rekomenduje podejście tzw. lessons learned, czyli wyciągania wniosków ze zdarzeń, które zaszły w organizacji w kontekście incydentów operacyjnych.
Mapa procesów
Ważnym elementem będzie tutaj także stworzenie mapy procesów i aktywów IT/bezpieczeństwa. Takie ćwiczenie powinno pozwolić na wyodrębnienie określonych elementów infrastruktury oraz oprogramowania i przypisania ich do funkcji realizowanych przez instytucję, a także wskazanie osób odpowiedzialnych za monitorowanie skuteczności i efektywności.
Pamiętać przy tym należy, że takie mapowanie powinno uwzględniać nie tylko zasoby wewnętrzne, ale również te powierzone na zasadzie outsourcingu, w szczególności w przypadku funkcji istotnych lub krytycznych i skorelowane powinno być z polityką i procedurami w zakresie outsourcingu.
Pomocny może być tutaj rejestr umów outsourcingowych, do którego prowadzenia instytucje zobowiązane są zgodnie z Wytycznymi EBA w sprawie outsourcingu.
Dodatkowo EBA rekomenduje prowadzenie spisu wszystkich aktywów IT/bezpieczeństwa, nie tylko infrastruktury technicznej, ale również oprogramowania oraz dokonywanie regularnego przeglądu.
Głównie ze względu na tzw. life cycle, czyli cykl życia np. nośników danych. Będzie to miało kolosalne znaczenie z punktu widzenia zabezpieczenia przed ewentualnymi atakami w zakresie cyberbezpieczeństwa. Regularnego monitoringu wymaga szczególnie oprogramowanie i „łatki”, które je uszczelniają.
W celu zapewnienia odpowiedniego poziomu bezpieczeństwa konieczne będzie również przeprowadzanie stress-testów (w oparciu o wcześniej opracowane scenariusze w warunkach skrajnych) i testów penetracyjnych, które pozwolą na przygotowanie się na ewentualne wystąpienie incydentu.
Takie testy powinny być przeprowadzane przez niezależnych ekspertów posiadających stosowną wiedzę i doświadczenie w tym zakresie.
Michał Nowakowski,
https://pl.linkedin.com/in/michal-nowakowski-phd-35930315,
Counsel w Citi Handlowy, założyciel www.finregtech.pl
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.