Monitoring i bezpieczeństwo: Walka z ryzykiem IT
Analiza ryzyka, według standardowej definicji oznacza określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu.
Janusz Grobicki
Tylko rzetelna i dokładne przeprowadzenia analiza może dać podstawę do przygotowania polityki bezpieczeństwa, a tym samym dobranie odpowiednich zabezpieczeń. Zarządzanie informacją to proces powiązany z zarządzaniem bezpieczeństwem systemów informatycznych, definiowanego jako „proces identyfikowania, kontrolowania i minimalizowania ryzyka dotyczącego bezpieczeństwa przy zachowaniu akceptowalnego poziomu kosztów”.
Chronić informacje, nie systemy
Tworząc politykę bezpieczeństwa instytucji finansowej w obszarze IT, najpierw należy dokonać oceny znaczenia i wartości posiadanych informacji. Trzeba wiedzieć, które informacje są ważne, krytyczne, objęte przymusem ochrony, a które jedynie powinny być chronione. Dopiero na tej podstawie można konstruować politykę bezpieczeństwa dla całej organizacji.
Jak skutecznie zapobiegać ryzyku kradzieży ważnych danych w banku, np. klienckich baz danych? W calu skutecznego zapobiegania wyciekowi cennych danych należy połączyć ze sobą trzy elementy. Pierwszym z nich jest wiedza banku na temat tego, jakie dane chcemy chronić, gdzie te dane się znajdują i kto ma do nich dostęp. Drugim elementem jest edukacja użytkowników systemów dotycząca tego, jak z danymi się obchodzić i czego absolutnie nie wolno robić. Tutaj nacisk należy położyć nie na same zakazy, lecz na zrozumienie tej problematyki przez pracowników. Trzecim elementem systemu ochrony jest narzędzie kontrolujące przepływ danych poufnych – czyli system informatyczny. Żaden z tych trzech elementów nie może być skuteczny bez pozostałych i dopiero razem mogą one stanowić skuteczny mechanizm ochrony danych. Witryna internetowa stanowi interfejs pomiędzy internetem a wewnętrznymi systemami bankowymi. Należy więc, dbając o integralność danych i systemów, starannie odseparować wszelki niepożądany ruch i wymianę danych pomiędzy światem zewnętrznym a wewnętrznymi systemami. Warto też zadbać o bezpieczeństwo samej witryny, tak by ograniczyć ryzyko włamania i zmiany treści prezentowanej na stronie i uniemożliwić przekierowanie przeglądarek klientów na specjalnie spreparowane przez napastników serwisy wyłudzające dane. W tych zadaniach oficerów bezpieczeństwa wspomóc mogą narzędzia do przeprowadzania audytów, jak i usługi typu Secure Site skanujące codziennie chronione serwisy internetowe pod kątem podatności na ataki typu SQL injection czy Cross Site Scripting i informujące administratorów o wszelkich zagrożeniach. Filip Demianiuk, |
Nie można mówić o polityce bezpieczeństwa w obszarze informatycznym, jeżeli nie zostały stworzone odpowiednie dokumenty i procedury dla całej organizacji. Należy dokładnie zidentyfikować te obszary, które mają krytyczne znaczenie z biznesowego punktu widzenia. Należy przyłożyć odpowiednią wagę biznesową do odpowiednich informacji. A także przeanalizować sposoby, które mogą doprowadzić do stracenia poufności, dostępności i integralności informacji. Czyli tych trzech podstawowych cech, które decydują o tym, czy informacja jest bezpieczna, czy też nie. Powinno się również stworzyć hipotetyczną mapę potencjalnych możliwości zaatakowania systemu. Celem polityki bezpieczeństwa jest więc ochrona informacji, a nie systemów informatycznych. Chodzi o to, żeby w razie ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI