Raport Audyt i doradztwo w instytucji finansowej: Audyt bezpieczeństwa IT w banku

Systemy informatyczne są podstawą funkcjonowania instytucji finansowych. Dlatego tak duże znaczenie przypisuje się do ich bezpieczeństwa. Sprawdzić jego poziom może tylko właściwie przeprowadzony audyt.

Bohdan Szafrański

Jeśli mówimy o audycie bezpieczeństwa systemu teleinformatycznego w banku, to często zastanawiamy się, jakie jego elementy są szczególnie ważne. Czy większe znaczenie ma bezpieczeństwo urządzeń, usług, aplikacji, czy może lepiej sprawdzać zgodność z przepisami i obowiązujące procedury? Zdaniem dr. Krzysztofa Atłasiewicza, dyrektora ds. doradztwa informatycznego w Centrum Doradztwa w Informatyce i Zarządzaniu (CeDIZ), wszystkie elementy są równie ważne, bo natura bezpieczeństwa polega na tym, że przeważnie zawodzi jeden najmniejszy szczegół. – Należy jednak podkreślić wagę procedur, czyli Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Korzyści płynące z niego są dwojakie: w razie ewentualnego incydentu bezpieczeństwa i ewentualnej kompromitacji danych mamy szansę się obronić przed odpowiedzialnością, udowadniając że podjęliśmy wszystkie rozsądne zabezpieczenia, a po drugie – możemy zarządzać kosztami – na bezpieczeństwo można wydać dowolną sumę pieniędzy, otwartym pytaniem pozostaje, ile warto – podkreśla dyr. Atłasiewicz. – Od podmiotów publicznych od maja ub. r. wymaga się wdrożenia SZBI, niestety, nie wszystkie spełniają ten warunek – dodaje.

Decyduje specyfika działalności

Przy określaniu priorytetów elementów audytu IT należy dokładnie poznać najważniejsze aspekty działalności instytucji, w której ma być przeprowadzony. – Na przykład, czy bardziej krytyczne jest zachowanie ciągłości działania (poprawność kopii bezpieczeństwa), czy może najważniejsze jest zabezpieczenie danych przed wyciekiem na zewnątrz (odpowiedni poziom poufności) – uzupełnia Marcin Polit, audytor z firmy IT Auditor. – Fundamentalne jest pytanie o hierarchię ważności w trójkącie bezpieczeństwa: poufność, integralność, dostępność. Dopiero po ustaleniu kolejności tych wartości można określać czynniki warunkujące ich dotrzymanie. W instytucjach publicznych (urzędy, gminy itp.) np., jak wynika z doświadczenia f irmy, największy nacisk kładzie się na to, by dane były odpowiednio spójne i dostępne w krótkim czasie, a nie koniecznie zaszyfrowane, gdyż ich wrażliwość jest niższa niż np. w instytucjach finansowych, w których na pierwszym miejscu zwraca się uwagę na poufność, a następnie na dostępność i integralność danych – dodaje.

Mówi o tym również Małgorzata Wasiak z firmy LogicalTrust. – Zakres i metodyka audytu muszą być dopasowane do zagrożeń, jakie wiążą się z daną instytucją. Dla sektora finansowego będzie to np. możliwość kradzieży środków pieniężnych, dla kancelarii prawniczej kluczowym zagadnieniem okaże się ochrona wrażliwych danych klientów. Dopiero wstępna analiza ryzyka pozwoli na właściwy dobór narzędzi i rozkład akcentów podczas audytu – podkreśla.

Mariusz Pawłowski, menedżer w firmie Optima Partners, zgadza się z tym, że wszystkie elementy związane z bezpieczeństwem są ważne. Grupuje je w następujące obszary: ● organizacja bezpieczeństwa – w szczególności kwestie dotyczące ról i odpowiedzialności w zakresie bezpieczeństwa oraz właściwy rozdział odpowiedzialności (segregation of duties) – chodzi o zapewnienie, by kwestie bezpieczeństwa były skupione w rękach niezależnego od innych działu: w szczególności IT, w komórkach organizacyjnych, tj. Security Officera lub działu bezpieczeństwa ● procesy i procedury bezpieczeństwa – ważną kwestią jest weryfikacja sposobu realizacji procesów dotyczących bezpieczeństwa. Chodzi zwłaszcza o: kontrolę dostępu, zarządzanie zmianą, bezpieczeństwo fizyczne, ciągłość działania. – W przypadku technologii w ramach audytu należy zbadać, w jaki sposób mechanizmy bezpieczeństwa zostały wdrożone w systemach informatycznych (polityka haseł, konf iguracja w zakresie logowania zdarzeń bezpieczeństwa, uwierzytelnienia i autoryzacja użytkowników w systemach oraz uwierzytelnienia urządzeń w sieci). Ważna jest też zgodność z normami i przepisami w szczególności w obszarach regulowanych prawnie, jak np. ochrona danych osobowych. Jeżeli chodzi o normy to, warto przeprowadzić audyt pod względem wymagań określonych w normie ISO 27001 – uważa Mariusz Pawłowski. – Najistotniejszym elementem jest czynnik ludzki i świadomość pracownika o zagrożeniach związanych z posiadaniem dostępu do ważnych informacji – podkreśla Piotr Osóbka, audytor z Departamentu Bezpieczeństwa w firmie Point. – To człowiek decyduje o tym, czy prawidłowo wdroży zabezpieczenia wymagane prawem lub normami. Jeżeli zrobi to nieumiejętnie lub pominie ważny element, zostawiają...