BiznesTrend

Wytyczne Rekomendacji D

Dzisiejsza bankowość opiera się na systemach informatycznych. Codziennie, dane i informacje poddawane są przetwarzaniu drogą elektroniczną, przez co zostają narażone na różnego rodzaju ryzyko. Dlatego tak istotny jest zapis Rekomendacji D, która wyraźnie reguluje kwestię zabezpieczeń systemów informatycznych w bankach i wskazuje, jak odpowiednio wdrażać politykę bezpieczeństwa IT.

Odpowiedzialność zarządu

Proces zarządzania bankiem powinien odnosić się również do zadbania o bezpieczeństwo całej instytucji oraz systemów elektronicznych, na których wykonywane są bankowe operacje. Toteż kierownictwo każdej jednostki bankowej ma za zadanie wdrożyć w swojej placówce, politykę bezpieczeństwa zgodną z wytycznymi Rekomendacji D. Wyraźnie zaleca się, by kwestię bezpieczeństwa powierzyć zewnętrznym specjalistom w dziedzinie zabezpieczeń IT. Administrowanie systemem bankowym a administrowanie jego bezpieczeństwem powinno być od siebie przejrzyście oddzielone, by system mógł działać bez zarzutu.

Rola audytora

Raport o bezpieczeństwie systemów, przeprowadzony w banku przez wewnętrzną kontrolę, nie zawsze może okazać się wystarczający dla prawidłowej oceny ryzyka zagrożeń. Nieoceniona jest tu pomoc zewnętrznych audytorów, których działania znacznie wzmacniają bezpieczeństwo funkcjonowania systemów informatycznych. Specjalistyczny audyt sporządza niezależną ekspertyzę opartą na międzynarodowych standardach ISO i wedle ustalonego z Bankiem zakresu. Audytorzy zajmują się także zebraniem i stworzeniem pełnej dokumentacji systemów informatycznych. Dzięki temu każdy program użytkowany przez bank jest prawidłowo opisany ze wskazaniem jego przeznaczenia. Kontroli poddawane jest również oprogramowanie użytkowane przez bank, co pozwala na stwierdzenie jego prawidłowego wykorzystania. To z kolei ogranicza ryzyko utraty danych i niepożądanych zmian w systemie.

Testy bezpieczeństwa

Do kompetencji audytorów nie należy tylko zapewnienie niezbędnych narzędzi do ochrony systemu i uporządkowanie umów licencyjnych i dokumentacji o funkcjonowaniu systemu. Niezwykle ważne są tu niezależne testy bezpieczeństwa. Tego typu kontrole przeprowadzane są systematycznie, a ich częstotliwość i intensywność dostosowywana jest do poziomu ryzyka. Pozwala to na dogłębne monitorowanie, czy polityka bezpieczeństwa  jest odpowiednio przestrzegana. Wykrycie wszelkich naruszeń i odstępstw od ustalonych zasad bezpieczeństwa, raportowane jest kierownictwu banku. 

Jasno i przyjaźnie

Przeprowadzenie specjalistycznego audytu odbywa się w sposób jak najbardziej przyjazny dla banku. Prócz narzędzi, audytorzy dostarczają także fachową wiedzę o tym, jak prawidłowo dbać o bezpieczeństwo systemów informatycznych. Pracownicy banku zostają odpowiednio przeszkoleni o procedurach dotyczących zabezpieczeń systemu i jego funkcjonowaniu, a także o użytkowanych aplikacjach bankowych. Dzięki temu, w przypadku kontroli zewnętrznej, w sposób kompetentny potrafią udzielić informacji o praktykowanej polityce bezpieczeństwa IT. Same procedury tworzonych na potrzeby banku aplikacji, są napisane w sposób jasny i zrozumiały dla pracowników banku.

Audyt bezpieczeństwa informatycznego w bankach pozwala na zapewnienie odpowiedniej ochrony informacjom przechowywanym w bankowych systemach. Audytorzy pomagają we wdrożeniu polityki bezpieczeństwa i w jej systematycznym monitorowaniu. W przypadku kontroli zewnętrznej, niezmiernie istotne mogą okazać się protokoły sporządzone przez audytorów, dotyczące poziomu dbałości o bezpieczne funkcjonowanie systemów informatycznych.