Firma | Komentarze ekspertów | Technologie i innowacje

Kto odpowiada w firmie za cyberbezpieczeństwo? − wytyczne EBA w sprawie ryzyk IT

Michał Nowakowski
Kto odpowiada w firmie za cyberbezpieczeństwo? − wytyczne EBA w sprawie ryzyk IT
Fot. STOCK.ADOBE. COM / photon_photo
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tematykę zarządzania ryzykiem IT oraz organizacji wewnętrznej regulują m.in. odrębne akty prawne i regulacje, jak np. Rozporządzenie Ministra Finansów w sprawie warunków organizacyjnych dla Operatorów Usług Kluczowych czy rekomendacje grupy ds. Polish API przy Związku Banków Polskich.

#MichałNowakowski: Trzeba się upewnić, że osoby odpowiadające za kwestie IT oraz bezpieczeństwa posiadają stosowne wykształcenie, w tym szkolenia i certyfikaty oraz doświadczenie #Cyberbezpieczeństwo #Cyberzagrożenia #IT #BezpiecznaFirma @FinregtechPL

Jest jednak kilka zagadnień, które pojawiają się w wytycznych EBA jako pewne novum, jak np. w kontekście zarządzania projektami IT, czy też większe nakierowanie na edukowanie klientów w zakresie zagrożeń IT (cyberbezpieczeństwo).

Wytyczne EBA nie wprowadzają istotnej rewolucji w zakresie wymagań dla instytucji w kontekście organizacji wewnętrznej, natomiast ich zastosowanie może wymagać przeprowadzania pewnych uszczegółowień w regulaminie organizacyjnym i wybranych procedurach, np. w zakresie bezpieczeństwa.

Zarząd na topie

EBA rekomenduje, aby zarządowi, właściwemu członkowi tego organu przypisać odpowiedzialność za kształtowanie i wdrażanie strategii IT. Rozciąga się to na konieczność zapewniania odpowiednich zasobów (w tym osobowych – np. zarządzających projektami IT), pozwalających na realizację tej strategii i właściwe zarządzanie ryzykami operacyjnymi i bezpieczeństwa.

To także odpowiednie przypisanie ról i zasad eskalacji oraz raportowania w ramach podległych jednostek. Rekomendowanym rozwiązaniem będzie powołanie stosownego komitetu ds. IT i/lub bezpieczeństwa.

Tym, na co należy zwrócić szczególną uwagę, jest upewnienie się, że osoby odpowiadające za kwestie IT oraz bezpieczeństwa posiadają stosowne wykształcenie (w tym szkolenia i certyfikaty) oraz doświadczenie.

Takie osoby muszą również znać i stosować politykę w zakresie bezpieczeństwa. Polityka ciągłego kształcenia pracowników ma szczególne znaczenie w przypadku zagrożeń z zakresu cyberbezpieczeństwa.

Funkcja kontroli a operacje

Zgodnie z wytycznymi EBA w sprawie zarządzania wewnętrznego (oraz oczywiście Rozporządzeniem Ministra Finansów w sprawie systemu zarządzania ryzykiem) w instytucji muszą działać określone funkcje kontroli − ryzyko, compliance, audyt wewnętrzny.

Wytyczne EBA w sprawie ryzyk IT i bezpieczeństwa doprecyzowują tutaj, że takiej funkcji należy przypisać zadanie zarządzania ryzykami informatycznymi oraz bezpieczeństwa z tym zastrzeżeniem, że taka jednostka nie może odpowiadać za wewnętrzny audyt, który przeprowadza m.in. kontrolę zgodnie z art. 3 Rozporządzenia 2018/389).

Czytaj także: Są zmiany, a czasu mało. Wytyczne EBA ws. zarządzania ryzykami IT oraz bezpieczeństwa

Zarządzanie ryzykiem

Ogólne zasady zarządzania ryzykiem w instytucji finansowej uległy doprecyzowaniu w Wytycznych. To co będzie bardzo istotne przy implementowaniu wytycznych do istniejących ram risk management to niewątpliwie:

− Określenie apetytu na ryzyko IT oraz bezpieczeństwa;

− Zidentyfikowanie i ocena tych ryzyk na które instytucja jest narażona (np. określenie działania phisingowe, ataki typu DDoS);

− Wyznaczenie środków i narzędzi (w tym kontrolnych) ograniczania tych ryzyk;

− Monitoring efektywności tych środków, w tym identyfikowanie incydentów operacyjnych i podjętych kroków. Tutaj istotne będzie skorelowanie procesu z zasadami w zakresie zarządzania incydentami zawartymi w Wytycznych EBA w tej sprawie oraz wydanymi w związku z nimi komunikatem KNF;

− Określenie zasad raportowania do zarządu.

Te zasady powinny podlegać regularnemu przeglądowi oraz ewentualnej modyfikacji. Tutaj EBA rekomenduje podejście tzw. lessons learned, czyli wyciągania wniosków ze zdarzeń, które zaszły w organizacji w kontekście incydentów operacyjnych.

Mapa procesów

Ważnym elementem będzie tutaj także stworzenie mapy procesów i aktywów IT/bezpieczeństwa. Takie ćwiczenie powinno pozwolić na wyodrębnienie określonych elementów infrastruktury oraz oprogramowania i przypisania ich do funkcji realizowanych przez instytucję, a także wskazanie osób odpowiedzialnych za monitorowanie skuteczności i efektywności.

Pamiętać przy tym należy, że takie mapowanie powinno uwzględniać nie tylko zasoby wewnętrzne, ale również te powierzone na zasadzie outsourcingu, w szczególności w przypadku funkcji istotnych lub krytycznych i skorelowane powinno być z polityką i procedurami w zakresie outsourcingu.

Pomocny może być tutaj rejestr umów outsourcingowych, do którego prowadzenia instytucje zobowiązane są zgodnie z Wytycznymi EBA w sprawie outsourcingu.

Dodatkowo EBA rekomenduje prowadzenie spisu wszystkich aktywów IT/bezpieczeństwa, nie tylko infrastruktury technicznej, ale również oprogramowania oraz dokonywanie regularnego przeglądu.

Głównie ze względu na tzw. life cycle, czyli cykl życia np. nośników danych. Będzie to miało kolosalne znaczenie z punktu widzenia zabezpieczenia przed ewentualnymi atakami w zakresie cyberbezpieczeństwa. Regularnego monitoringu wymaga szczególnie oprogramowanie i „łatki”, które je uszczelniają.

W celu zapewnienia odpowiedniego poziomu bezpieczeństwa konieczne będzie również przeprowadzanie stress-testów (w oparciu o wcześniej opracowane scenariusze w warunkach skrajnych) i testów penetracyjnych, które pozwolą na przygotowanie się na ewentualne wystąpienie incydentu.

Takie testy powinny być przeprowadzane przez niezależnych ekspertów posiadających stosowną wiedzę i doświadczenie w tym zakresie.

 

 

Michał Nowakowski,

https://pl.linkedin.com/in/michal-nowakowski-phd-35930315,

Counsel w Citi Handlowy, założyciel www.finregtech.pl

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl