BANK 2009/03

Monitoring i bezpieczeństwo: Walka z ryzykiem IT

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

Analiza ryzyka, według standardowej definicji oznacza określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu.

Janusz Grobicki

Tylko rzetelna i dokładne przeprowadzenia analiza może dać podstawę do przygotowania polityki bezpieczeństwa, a tym samym dobranie odpowiednich zabezpieczeń. Zarządzanie informacją to proces powiązany z zarządzaniem bezpieczeństwem systemów informatycznych, definiowanego jako „proces identyfikowania, kontrolowania i minimalizowania ryzyka dotyczącego bezpieczeństwa przy zachowaniu akceptowalnego poziomu kosztów”.

Chronić informacje, nie systemy

Tworząc politykę bezpieczeństwa instytucji finansowej w obszarze IT, najpierw należy dokonać oceny znaczenia i wartości posiadanych informacji. Trzeba wiedzieć, które informacje są ważne, krytyczne, objęte przymusem ochrony, a które jedynie powinny być chronione. Dopiero na tej podstawie można konstruować politykę bezpieczeństwa dla całej organizacji.

Filip Demianiuk

technical channel manager, Trend Micro

Jak skutecznie zapobiegać ryzyku kradzieży ważnych danych w banku, np. klienckich baz danych?

W calu skutecznego zapobiegania wyciekowi cennych danych należy połączyć ze sobą trzy elementy. Pierwszym z nich jest wiedza banku na temat tego, jakie dane chcemy chronić, gdzie te dane się znajdują i kto ma do nich dostęp. Drugim elementem jest edukacja użytkowników systemów dotycząca tego, jak z danymi się obchodzić i czego absolutnie nie wolno robić. Tutaj nacisk należy położyć nie na same zakazy, lecz na zrozumienie tej problematyki przez pracowników. Trzecim elementem systemu ochrony jest narzędzie kontrolujące przepływ danych poufnych – czyli system informatyczny. Żaden z tych trzech elementów nie może być skuteczny bez pozostałych i dopiero razem mogą one stanowić skuteczny mechanizm ochrony danych. Witryna internetowa stanowi interfejs pomiędzy internetem a wewnętrznymi systemami bankowymi. Należy więc, dbając o integralność danych i systemów, starannie odseparować wszelki niepożądany ruch i wymianę danych pomiędzy światem zewnętrznym a wewnętrznymi systemami. Warto też zadbać o bezpieczeństwo samej witryny, tak by ograniczyć ryzyko włamania i zmiany treści prezentowanej na stronie i uniemożliwić przekierowanie przeglądarek klientów na specjalnie spreparowane przez napastników serwisy wyłudzające dane. W tych zadaniach oficerów bezpieczeństwa wspomóc mogą narzędzia do przeprowadzania audytów, jak i usługi typu Secure Site skanujące codziennie chronione serwisy internetowe pod kątem podatności na ataki typu SQL injection czy Cross Site Scripting i informujące administratorów o wszelkich zagrożeniach.

Nie można mówić o polityce bezpieczeństwa w obszarze informatycznym, jeżeli nie zostały stworzone odpowiednie dokumenty i procedury dla całej organizacji. Należy dokładnie zidentyfikować te obszary, które mają krytyczne znaczenie z biznesowego punktu widzenia. Należy przyłożyć odpowiednią wagę biznesową do odpowiednich informacji. A także przeanalizować sposoby, które mogą doprowadzić do stracenia poufności, dostępności i integralności informacji. Czyli tych trzech podstawowych cech, które decydują o tym, czy informacja jest bezpieczna, czy też nie. Powinno się również stworzyć hipotetyczną mapę potencjalnych możliwości zaatakowania systemu. Celem polityki bezpieczeństwa jest więc ochrona informacji, a nie systemów informatycznych. Chodzi o to, żeby w razie awarii systemu informacja nadal była dostępna, możliwa do odtworzenia i o nienaruszonej integralnoś...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI