Technologie: Zarządzanie bezpieczeństwem danych w banku

Wiesław Waliszewski, „Miesięcznik Finansowy BANK”: Według niedawnych badań Deloitte 46 proc. ankietowanych instytucji finansowych zwiększyło w tym roku – w porównaniu do ubiegłego – nakłady na poprawę bezpieczeństwa informacji. I tylko 36 proc. badanych stwierdziło, że podstawową przeszkodą w zapewnieniu odpowiedniego bezpieczeństwa jest brak budżetu. To pokazuje, że instytucje finansowe na świecie przywiązują coraz większą wagę do tej tematyki. Czy takie są również panów spostrzeżenia?

Marcin Kozak, Software Architect, Oracle: O podejściu niektórych instytucji do bezpieczeństwa informacji opowiem na przykładzie banku, mającego siedzibę w Warszawie. Instytucja ta zdecydowała dostosować się do Rekomendacji M wydanej przez KNB w 2004 r. Powołano zespół, dziś to już departament bezpieczeństwa, który po pół roku pracy uznał, że bank powinien kupić system do zarządzania tożsamościami. Na pytanie, czy przeprowadzili analizę ryzyka systemu informacji, odpowiedzieli, że nie jest to im potrzebne. Rozmowy trwają od trzech lat i skupiają się – mam wrażenie – na funkcjonalności, a nie na bezpieczeństwie. Tymczasem w takiej sytuacji najpierw trzeba określić zasoby, co jest krytyczne dla naszych procesów biznesowych, ustalić wagi, priorytety, ryzyka związane z utratą ciągłości biznesu. Akurat w bankowości istnieją świetne metody analizy ryzyka.

We wspomnianej instytucji pracownicy będący niżej dostrzegają problemy związane z bezpieczeństwem, a nie widzi ich zarząd – czyli jest to model bottom-up. Tymczasem w kwestiach bezpieczeństwa efektywny jest model top-down – nacisk idący z góry.

Dariusz Adamowski, naczelnik wydziału w Departamencie Bezpieczeństwa Banku Pocztowego SA: Wcześniejszą od Rekomendacji M była Rekomendacja D z października 1997 r. Tam są wszystkie podstawy do przeprowadzenia analizy ryzyk IT. Proszę zauważyć, że już w 1997 r. ówczesny GINB pisał o ustanowieniu w bankach systemu zarządzania bezpieczeństwem IT. O normach ISO 27001 i 27002 jeszcze wtedy nie rozmawialiśmy, gdyż ich po prostu nie było.

Co do kwestii bottom-up czy top-down. Z moich doświadczeń z różnych banków wynika, że kwestie bezpieczeństwa są w nich realizowane jednak od góry. Na przykład w Banku Pocztowym pierwszym, najwyższym poziomem polityki bezpieczeństwa, który nazywa się Założeniami polityki bezpieczeństwa, zawarta jest deklaracja zarządu. Opisuje ona podejście zarządu do kwestii bezpieczeństwa aktywów, aspekty odpowiedzialności, organizacji, szkoleń itd. Z Założeń wynikają regulacje wewnętrzne we wszystkich obszarach, w tym w IT. No i najważniejsze – analizy ryzyka. Tam, gdzie budujemy plany ciągłości działania, wykonujemy najpierw analizę. Jednak nie od strony systemów, jakie mamy, tylko patrzymy na proces biznesowy. Prowadzimy business impact analysis, czyli badamy wpływ zagrożeń na biznes.

Marek Maliński, dyrektor Departamentu Strategii i Architektury IT w Nordea Bank Polska: Jesteśmy bankiem skandynawskim, a Skandynawowie zawsze traktowali bezpieczeństwo jako jedną z przewag konkurencyjnych. To ułatwia nam zadanie w Polsce. Świadomość bezpieczeństwa idzie z góry. Ale wcale nie jest łatwo zdobyć pieniądze na projekty związane z bezpieczeństwem. Wydaje się, że z jednego prostego powodu. Generalnie w projektach ważny jest business case. Natomiast w planach dotyczących bezpieczeństwa musimy pokazywać potencjalne zagrożenia i straty z nich wynikające. Nie zawsze jesteśmy w stanie przedstawić to jako twarde fakty. Niekiedy balansujemy tu na granicy gdybania.

Marcin Kozak, Oracle: Do ryzyka można podchodzić w różny sposób. Np. optymistycznie przyjąć, że nic się nie stanie. Można uznać, że są zagrożenia, i zaakceptować możliwość strat. Można też nim zarządzać – wykonać analizę, z której dowiemy się, gdzie są zagrożenia i czy warto inwestować w ochronę przed nimi, bo czasami koszty inwestycji w bezpieczeństwo przewyższają potencjalną stratę. Ale i tak zawsze pozostanie ryzyko szczątkowe.

Bezpieczeństwo to produkt, który ma swój cykl życia, cztero- czy pięcioletni. Trzeba planować strategicznie, czyli długoterminowo, taktycznie – średnioterminowo i operacyjnie – na co dzień. Takie przedstawianie problemu bezpieczeństwa może zmienić spojrzenie zarządzających. I jeszcze jedno – moje doświadczenie z bankami wskazuje, że gdy za bezpieczeństwo odpowiadają wydzielone komórki czy departamenty, to najczęściej są one traktowane jako generator kosztów.

Waldemar Zawistowski, dyrektor Departamentu Biura Bezpieczeństwa i Zarządzania Ryzykiem Operacyjnym Mazowieckiego Banku Regionalnego SA: Dla mnie odrzucenie ryzyka polega na unikaniu produktu, który jest nieakceptowalny z powodów bezpieczeństwa. Najgorszą rzeczą jest natomiast świadomość ryzyka i trwanie w przekonaniu, że może nam się uda.

Uważam, że dużą rolę w bezpieczeństwie odgrywają dobrze skonstruowane procedury skorelowane z systemami do rejestracji logów, do zarządzania całym systemem.

Znaczenie w banku problematyki bezpieczeństwa i komórki za nie odpowiadającej trzeba sobie zbudować. Jeśli pokazuje się zarządowi, co może się zdarzyć, czy potencjalne straty, to daje to rezultaty. U nas założenia do polityki bezpieczeństwa kreował zarząd w wytycznych. Na tej podstawie powstała sama polityka, w której każdy z dyrektorów departamentu odnajduje swoją rolę. MBR doradza bankom spółdzielczym w zakresie bezpieczeństwa i muszę powiedzieć, że widzę coraz większe zrozumienie tych kwestii wśród prezesów BS.

Mirosław Borzymek, dyrektor Departamentu Bezpieczeństwa Banku Gospodarstwa Krajowego: Muszę przyznać, że nie mam jakiś drastycznych problemów z nakładami na bezpieczeństwo. Są oczywiście ograniczenia, którym podlegamy jak wszystkie inne działy banku. Zarząd ma świadomość problemów bezpieczeństwa, to on podpisuje się pod polityką bezpieczeństwa. Ale BGK jest bankiem państwowym, co niesie ze sobą pewne konsekwencje. Komercyjne instytucje od początku były budowane już z pewną filozofią zapewnienia bezpieczeństwa. Tam problemów natury mentalnej nie było. My musimy się mierzyć ze zmianą mentalności pracowników, również w zakresie ochrony informacji. Trochę na skróty wdroż...