Temat numeru: Organizacja jest tak bezpieczna jak jej najsłabsze ogniwo
Rozmowa z Krzysztofem Szułdrzyńskim, partnerem zarządzającym działem audytu i usług doradczych PwC w Polsce, współtwórcą Forum Rad Nadzorczych oraz Rafałem Jaczyńskim, liderem zespołu PwC Cyber Security.
Ryzyko ataków na sieci i systemy informatyczne zostało umieszczone przez „World Economic Forum Global Risks 2014 Report” wśród pięciu globalnych ryzyk o najwyższym prawdopodobieństwie wystąpienia. Z drugiej strony Rekomendacja D Komisji Nadzoru Finansowego nakłada na radę nadzorczą banku powinność nadzorowania funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Czy widzą panowie rzeczywiste zainteresowanie rad nadzorczych tą problematyką?
Krzysztof Szułdrzyński: Zarówno z przytoczonego raportu, jak też działań regulatora wynika, że tematyka bezpieczeństwa jest zagadnieniem, które nabiera coraz większego znaczenia, szczególnie w sektorze finansowym. Jeżeli chodzi o rady nadzorcze, myślę że wiele z nich nie identyfikuje jeszcze ryzyka zagrożenia bezpieczeństwa z tak istotnym dla sektora finansowego ryzykiem reputacyjnym (związanym z utratą danych lub środków klientów), postrzegając je raczej jako zagadnienie techniczne, które w związku z brakiem kompetencji w tym zakresie na poziomie rady nadzorczej jest poza zakresem jej zainteresowania. Chociaż trzeba podkreślić, że świadomość w tym zakresie rośnie. W czerwcu br. mieliśmy przyjemność przeprowadzić, w ramach Forum Rad Nadzorczych, warsztaty dla członków rad dotyczące cyberbezpieczeństwa, które cieszyły się dużym zainteresowaniem. I to bardzo dobry znak, gdyż rady nadzorcze mają do odegrania dużą rolę w nadzorowaniu i monitorowaniu funkcjonowania obszarów IT i bezpieczeństwa, co zresztą zostało jasno określone w Rekomendacji D przez regulatora. A członkowie rad nadzorczych, aby taką rolę odegrać, nie muszą być specjalistami od bezpieczeństwa. Wystarczy, że wykorzystają dostępne zasoby spółki, w tym audytu wewnętrznego i będą wiedzieli, jakie pytania zadać swoim zarządom czy też szefom bezpieczeństwa. Bezpieczeństwo jest coraz częściej traktowane jako jedna z przewag konkurencyjnych i reputacyjnych banku. Trudno też mówić o zrównoważonym rozwoju biznesowym bez dbałości o ochronę krytycznych zasobów banku, zwłaszcza przed tak często spotykanym szpiegostwem gospodarczym.
W jaki sposób ocenia się poziom bezpieczeństwa banku? Ilością zabezpieczeń? Brakiem incydentów? Liczbą pracowników działów IT i bezpieczeństwa?
Rafał Jaczyński: Szybkością działania. W dzisiejszych czasach najbardziej istotnym wyznacznikiem zdolności organizacji do obrony przed atakiem ze strony cyberprzestępców jest jej zdolność i czas wykrycia incydentu oraz możliwości i czas prawidłowej reakcji. Rolą zabezpieczeń prewencyjnych jest zwiększenie trudności i czasu potrzebnego do przeprowadzenia skutecznego ataku – tak naprawdę jednak ta bariera nie jest zbyt wysoka, należy więc przyjąć założenie, że każda organizacja została już zaatakowana, niestety wiele z nich nie jest w stanie tego zauważyć. ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI