Wyniki wyszukiwania: Bohdan Szafrański


Raport Audyt i doradztwo w instytucji finansowej: Audyt bezpieczeństwa IT w banku

31.07.2016 20:15, BANK 2016/07-08

Systemy informatyczne są podstawą funkcjonowania instytucji finansowych. Dlatego tak duże znaczenie przypisuje się do ich bezpieczeństwa. Sprawdzić jego poziom może tylko właściwie przeprowadzony audyt. Bohdan Szafrański Jeśli mówimy o audycie bezpieczeństwa systemu teleinformatycznego w banku, to często zastanawiamy się, jakie jego elementy są szczególnie ważne. Czy większe znaczenie ma bezpieczeństwo urządzeń, usług, aplikacji, czy może lepiej sprawdzać zgodność z przepisami i obowiązujące procedury? Zdaniem dr. Krzysztofa Atłasiewicza, dyrektora ds. doradztwa informatycznego w Centrum Doradztwa w Informatyce i Zarządzaniu (CeDIZ), wszystkie elementy są równie ważne, bo natura bezpieczeństwa polega na tym, że przeważnie zawodzi jeden najmniejszy szczegół. - Należy jednak podkreślić wagę procedur, czyli Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Korzyści płynące z niego są dwojakie: w razie ewentualnego incydentu bezpieczeństwa i ewentualnej kompromitacji danych mamy szansę się obronić przed odpowiedzialnością, udowadniając że podjęliśmy wszystkie rozsądne zabezpieczenia, a po drugie - możemy zarządzać kosztami - na bezpieczeństwo można wydać dowolną sumę pieniędzy, otwartym pytaniem pozostaje, ile warto - podkreśla dyr. Atłasiewicz. - Od podmiotów publicznych od maja ub. r. wymaga się wdrożenia SZBI, niestety, nie wszystkie spełniają ten warunek - dodaje. [bannerb1] Decyduje specyfika działalności Przy określaniu priorytetów elementów audytu IT należy dokładnie poznać najważniejsze aspekty działalności instytucji, w której ma być przeprowadzony. - Na przykład, czy bardziej krytyczne jest zachowanie ciągłości działania (poprawność kopii bezpieczeństwa), czy może najważniejsze jest zabezpieczenie danych przed wyciekiem na zewnątrz (odpowiedni poziom poufności) - uzupełnia Marcin Polit, audytor z firmy IT Auditor. - Fundamentalne jest pytanie o hierarchię ważności w trójkącie bezpieczeństwa: poufność, integralność, dostępność. Dopiero po ustaleniu kolejności tych wartości można określać czynniki warunkujące ich dotrzymanie. W instytucjach publicznych (urzędy, gminy itp.) np., jak wynika z doświadczenia f irmy, największy nacisk kładzie się na to, by dane były odpowiednio spójne i dostępne w krótkim czasie, a nie koniecznie zaszyfrowane, gdyż ich wrażliwość jest niższa niż np. w instytucjach finansowych, w których na pierwszym miejscu zwraca się uwagę na poufność, a następnie na dostępność i integralność danych - dodaje. Mówi o tym również Małgorzata Wasiak z firmy LogicalTrust. - Zakres i metodyka audytu muszą być dopasowane do zagrożeń, jakie wiążą się z daną instytucją. Dla sektora finansowego będzie to np. możliwość kradzieży środków pieniężnych, dla kancelarii prawniczej kluczowym zagadnieniem okaże się ochrona wrażliwych danych klientów. Dopiero wstępna analiza ryzyka pozwoli na właściwy dobór narzędzi i rozkład akcentów podczas audytu - podkreśla. [bannerb2] Mariusz Pawłowski, menedżer w firmie Optima Partners, zgadza się z tym, że wszystkie elementy związane z bezpieczeństwem są ważne. Grupuje je w następujące obszary: ● organizacja bezpieczeństwa - w szczególności kwestie dotyczące ról i odpowiedzialności w zakresie bezpieczeństwa oraz właściwy rozdział odpowiedzialności (segregation of duties) - chodzi o zapewnienie, by kwestie bezpieczeństwa były skupione w rękach niezależnego od innych działu: w szczególności IT, w komórkach organizacyjnych, tj. Security Officera lub działu bezpieczeństwa ● procesy i procedury bezpieczeństwa - ważną kwestią jest weryfikacja sposobu realizacji procesów dotyczących bezpieczeństwa. Chodzi zwłaszcza o: kontrolę dostępu, zarządzanie zmianą, bezpieczeństwo fizyczne, ciągłość działania. - W przypadku technologii w ramach audytu należy zbadać, w jaki sposób mechanizmy bezpieczeństwa zostały wdrożone w systemach informatycznych (polityka haseł, konf iguracja w zakresie logowania zdarzeń bezpieczeństwa, uwierzytelnienia i autoryzacja użytkowników w systemach oraz uwierzytelnienia urządzeń w sieci). Ważna jest też zgodność z normami i przepisami w szczególności w obszarach regulowanych prawnie, jak np. ochrona danych osobowych. Jeżeli chodzi o normy to, warto przeprowadzić audyt pod względem wymagań określonych w normie ISO 27001 - uważa Mariusz Pawłowski. - Najistotniejszym elementem jest czynnik ludzki i świadomość pracownika o zagrożeniach związanych z posiadaniem dostępu do ważnych informacji - podkreśla Piotr Osóbka, audytor z Departamentu Bezpieczeństwa w firmie Point. - To człowiek decyduje o tym, czy prawidłowo wdroży zabezpieczenia wymagane prawem lub normami. Jeżeli zrobi to nieumiejętnie lub pominie ważny element, zostawiając otwartą furtkę do systemu firmy, wtedy dopiero działają procedury awaryjne (np. procedura zarządzania incydentami, plan ciągłości działania itp.). Niestety najlepsze zabezpieczenia nie uchronią f irmy/urzędu, jeśli pracownicy nie stosują wdrożonych procedur lub są podatni np. na ataki phishingowe lub socjotechniczne i w sposób nieświadomy dają dostęp do istotnych danych - dodaje. Jak mówi Joanna Karczewska, członek zarządu Stowarzyszenia ISACA Warszawa (to międzynarodowe stowarzyszenie osób zajmujących się zawodowo zagadnieniami dotyczącymi audytu, kontroli, bezpieczeństwa i innymi związanymi z zarządzaniem systemami informatycznymi), obecnie audyty bazują na ocenie ryzyka i dokładnie bada się obszary wybrane na podstawie tej oceny. - Każdy bank ma inny profil ryzyka zależny od przyjętych rozwiązań i profilu działalności, dlatego wymaga odrębnego podejścia. Każdy też, choć w różnym zakresie, korzysta z usług firm zewnętrznych, zatem bezpieczeństwo rozwiązań przyjętych w tych instytucjach oraz bezpieczeństwo komunikacji z nimi musi być rozważane przy określaniu zakresu audytu - podkreśla. Na stronie www.isaca.org można znaleźć różne wskazówki, dobre praktyki oraz wiele innych publikacji dla audytorów IT, dostępne w obszernej bazie wiedzy (Knowledge Center) ISACA. Część z nich może być pobrana bez ograniczeń, część jest dostępna tylko dla członków stowarzyszenia. [alebankmodule origin="sms-dostep" par1="g1" ] Michał Sajdak z krakowskiej firmy Securitum, choć rekomenduje patrzenie całościowe, uważa że trudno zgodzić się z twierdzeniem, że wszystko jest równie istotne i wszystko ma równie wysoki priorytet. - Przykładowo, od strony technicznej istotne są systemy udostępnione do internetu - mogą one być atakowane bezpośrednio. Obecnie na niebezpieczeństwo Fot. fotolia.com szczególnie narażone są aplikacje webowe. Ostatnie wielkie wycieki danych - jak np. z LinkedIN - to właśnie skutek ataku na tego typu systemy - dodaje. Metodyka audytu Zdaniem dr. Krzysztofa Atłasiewicza, metodyka jest ważna, ważniejsze jest jednak to, żeby określić ją na początku prac i konsekwentnie stosować. - Dla zapewnienia bezpieczeństwa niezbędne jest zaprojektowanie odpowiednich mechanizmów - czasami oczywistych, jak np. regularna zmiana haseł dostępu do stacji roboczych, zamykanie pomieszczeń na klucz podczas nieobecności w czasie dnia pracy (niezależnie od czasu jej trwania i powodu tej nieobecności) - uważa Marcin Polit. - Tego typu mechanizmy powinny być spisane w dokumentacji, by każdy mógł się z nimi zapoznać i - co ważne - by był dowód tego zapoznania się. Istotne jest, by zapisy były proste i czytelne dla pracowników - jasno komunikowały obowiązki na każdym stanowisku. Chodzi o to, by dokumentacja ułatwiała utrzymanie bezpieczeństwa i aby unikać kilkudziesięciostronicowych prawniczych opisów, z których mało wynika lub są niezrozumiałe, lub - co gorsza - nie do zastosowania w określonych warunkach organizacyjnych - dodaje. Mariusz Pawłowski podkreśla, że metodyka zapewnia rzetelność i jakość audytu, a w szczególności jego kompletność i prawidłowość. Dobra pomaga doświadczonym konsultantom upewnić się, że wszystkie elementy bezpieczeństwa zostały odpowiednio zbadane, zostały wyciągnięte odpowiednie wnioski oraz zaproponowane odpowiednie rekomendacje. - Metodyka powinna być spójna z normami w zakresie bezpieczeństwa, w szczególności z normą ISO 27001. Powinna być na bieżąco aktualizowana i dostosowywana do bardzo dynamicznie zmieniającego się otoczenia - zauważa. Piotr Osóbka wymienia najczęściej stosowane metodyki: COBIT i TISM oraz do oszacowania podatności zasobów IT i weryfikacji bezpieczeństwa aplikacji, a także środków technicznych kontroli dostępu: PTES, OWASP Testing Guide, OWASP ASVS. Stosuje się również normy/zalecenia: ISO 27001 w przypadku szeroko rozumianego systemu zarządzania bezpieczeństwem informacji, ISO 22301 w przypadku zarządzania ciągłością działania, ISO 20000 przy zarządzania usługami IT, ISO 27005 w przypadku zarządzania ryzykiem w organizacji pod kątem bezpieczeństwa informacji, ISO 31000 w przypadku zarządzania ryzykiem - zalecenia i zasady, Trusted Computer System Evaluation Criteria (TCSEC), ITIL, rekomendację "D" KNF. Joanna Karczewska dodaje, że Stowarzyszenie ISACA opracowało standardy i wytyczne audytu i obowiązujące audytorów certyfikowanych przez nie. Jako kryterium oceny audytorzy IT mogą zastosować metodykę COBIT, której ISACA jest autorem. Jest ona dostępna na stronie www.isaca.org. Z metodyk korzystają wielka czwórka i większość banków, a ostatnio wykorzystała ją Najwyższa Izba Kontroli do oceny bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych. Michał Sajdak przypomina, że inaczej wygląda to w klasycznym audycie proceduralnym, a inaczej w technicznych testach bezpieczeństwa IT. Te ostatnie często polegają na próbie przełamania zabezpieczeń (tzw. testy penetracyjne) i w dużej mierze bazują na doświadczeniu osób wykonujących tego typu działania. - Symulujemy tutaj hakera, raportując następnie wszystkie znalezione luki bezpieczeństwa. Jest to proces w pewnej mierze nieuporządkowany (haker nie posiada zazwyczaj checklisty, której kurczowo się trzyma podczas próby przejęcia naszych systemów), nie oznacza to jednak, że nie ma tutaj pewnych formalnych wytycznych - dokument OWASP ASVS (Application Security Verification Standard) to choćby jeden z przykładów - uzupełnia Sajdak. Jak mówią specjaliści z firmy PBSG, na rynku jest obecnie bardzo wiele narzędzi wykorzystywanych do audytów. Bardzo często kluczowe funkcjonalności są zbliżone, ale najważniejsze są parametry i konfiguracja urządzeń. Skanery sieciowe/aplikacyjne niekoniecznie będą skuteczne do audytowania specyficznych, krytycznych systemów. Za przykład może posłużyć SAP - system ERP to serce każdej firmy, w której jest wdrożony i baza wiedzy o większości procesów w niej zachodzących. Jednak dopiero kilka lat temu powstały narzędzia specjalistyczne do bezpieczeństwa systemu. Jednym z nich jest np. ERP Scan. Małgorzata Wasiak wspomina o tzw. threat modellingu - czyli współpracy konsultantów bezpieczeństwa z pracownikami (programistami, analitykami, managerami) już na etapie projektowania danego systemu. Taka seria miniaudytów, wykonywanych na kolejnych etapach rozwoju aplikacji pozwala na utworzenie solidnych fundamentów pod bezpieczeństwo systemu oraz obniża ryzyko konieczności dokonywania kosztownych zmian, co może mieć miejsce, gdy problem bezpieczeństwa aplikacji zostanie podniesiony dopiero po jej ukończeniu. Jak wybrać audytora? Dr Krzysztof Atłasiewicz uważa, że odpowiednie osoby oraz doświadczenie, a także certyfikaty (np. CISA, CISSP, ISO27001) w połączeniu z odpowiednim doświadczeniem są nie tyle gwarantem, co przesłanką, że projekt się uda. Zdaniem Marcina Polita najważniejsze jest doświadczenie poszczególnych audytorów. Nie warto kierować się tylko najniższą ceną, co jest dominującym trendem na rynku. Powinniśmy zapytać raczej o doświadczenie audytora, potwierdzone co najmniej kilkoma referencjami. Duże doświadczenie idzie zazwyczaj w parze z certyfikatami potwierdzającymi odpowiednie kompetencje - nigdy odwrotnie. Mariusz Pawłowski zaleca dowiedzieć się, jakie jest doświadczenie firmy w realizacji audytów bezpieczeństwa: od kiedy zajmuje się nimi, jaki procent projektów stanowią audyty bezpieczeństwa, dla jakich firm/branż zrealizowała je, ile ich przeprowadziła w ostatnim roku. Warto zapytać także o doświadczenie konsultantów firmy: ile lat zajmują się bezpieczeństwem, ile audytów bezpieczeństwa zrealizowali, także w ostatnim roku, i jakie mają certyfikaty. Piotr Osóbka dodatkowo radzi zwrócić uwagę na posiadanie przez audytorów odpowiednich certyfikatów (wykaz certyfikatów zawarty jest w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie wykazu certyf ikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych). Ponadto należy żądać szczegółowego zakresu wykonywanych czynności. O ile w audycie SZBI kryteria są jasno wskazane w metodykach oraz normach, o tyle szczegółowość zakresów prac wykonywanych w ramach audytu aplikacji czy witryn www mogą różnić się od siebie w znaczny sposób. Ważna jest adekwatna do wielkości audytu liczba audytorów, umożliwiająca sprawne i bezinwazyjne dla pracy firmy audytowanej przeprowadzenie czynności. Joanna Karczewska uważa, że nie jest ważne, by audytorzy pracujący dla firmy posiadali stosowne certyfikaty zawodowe, przede wszystkim tytuł certyfikowanego audytora IT (CISA), przyznawany przez stowarzyszenia ISACA. Posiadanie go oznacza nie tylko, że audytor ma odpowiednią wiedzę potwierdzoną egzaminem i kilkuletnim doświadczeniem zawodowym, ale również, że jest zobowiązany do przestrzegania standardów i kodeksu etyki zawodowej ISACA. Złamanie tego kodeksu przez audytora oznacza dożywotnie pozbawienie certyfikatu, a informacja o tym fakcie trafia do środowiska audytorów w danym kraju. Michał Sajdak dodaje, że warto rozważyć pewną dywersyfikację firm - jeśli kilka razy z rzędu ta sama realizuje testy bezpieczeństwa tego samego systemu, to kolejne sprawdzenie może niewiele wnosić do procesu poprawy bezpieczeństwa. Dodatkowo, w ten sposób wszyscy wzajemnie się kontrolują i zazwyczaj tego typu podejście maksymalizuje liczbę wykrytych słabości systemu IT. Istotne są również konkretne osoby, które realizują tego typu prace, bo to ich doświadczenie ma największy wpływ na efekt technicznych testów bezpieczeństwa. Małgorzata Wasiak zauważa, że liczy się też zaufanie, bo osoby testujące dane rozwiązanie poznają mocne i słabe strony naszego systemu informatycznego, zyskują dostęp do kont użytkownika o wysokich uprawnieniach czy nawet do kodu źródłowego aplikacji. Dlatego też podczas wyboru nie należy kierować się ceną czy zachęcającą reklamą. Warto spojrzeć na listę klientów zleceniobiorcy. Czy są wśród nich przedsiębiorstwa z naszej branży lub bazujące na podobnych rozwiązaniach? Czy mamy możliwość sprawdzenia referencji? Specjaliści z firmy PBSG dodają, że zapewnienie odpowiedniego poziomu bezpieczeństwa jest długim i niełatwym procesem. Fakt, że dana aplikacja ma bardzo wysoki poziom bezpieczeństwa nie oznacza, że infrastruktura, w której się znajduje, jest równie bezpieczna. Nie ma systemów doskonałych. Niemożliwa jest sytuacja, w której poziom bezpieczeństwa wynosi 100%. Ważne jednak, aby był on stale monitorowany. Choć nie ma na rynku narzędzi, które wykonają całą pracę za człowieka, to są jednak takie, które ograniczą udział zasobów ludzkich i nakierowywują na najważniejsze z punktu widzenia bezpieczeństwa kwestie. Dopiero platformy analityczne, zapewniające technologię skanowania pasywnego, rozumiejące topologię sieci i działające w kontekście danej sieci, mogą zbliżyć organizację do najwyższych standardów i poziomów bezpieczeństwa. Krzysztof Radziwon uważa, że sprawdzanie bezpieczeństwa IT to nie tylko badanie systemów i infrastruktury, na której zostały one posadowione. Zadanie to powinno objąć zarówno komponenty technologiczne, procesowe, jak również czynnik ludzki. Owszem - mogą pojawiać się zadania polegające na badaniu wyłącznie jednego z wymienionych obszarów, jednak będzie to badanie niepełne. Metodyka badania jest fundamentem działania audytorów systemów i, podobnie jak w przypadku budowy domów, wartość tych fundamentów jest nieoceniona. Choć nie zastąpi doświadczenia i wiedzy eksperckiej w danej dziedzinie, np. technologii mobilnych, jednakże pozwala audytorom działać systematycznie i unikać sytuacji, w których istotne obszary ze względu np. na pośpiech czy nieuwagę mogłyby zostać pominięte. [alebankmodule origin="edocs" par1="images/stories/pdf/bank/2016/2016.07-08/bank.2016.07-08.042-045.pdf,600,750,link" par2="211022" ]   Czytaj więcej...




















Rynek FinTech w Europie Środkowo-Wschodniej – nowy raport Deloitte

09.12.2016 12:48, Raporty

Dużo mówi się o zagrożeniu, jakie mają stanowić dla sektora bankowego firmy określane terminem FinTech. To firmy, które oferują rozwiązania informatyczne dla sektora finansowego oraz jego klientów zarówno o ugruntowanej pozycji na rynku, jak i nowe firmy. Eksperci Deloitte oceniają, że tego typu firmy w Europie Środkowo-Wschodniej mają 2,2 mld euro przychodów rocznie, z czego prawie 40%, czyli 856 mln euro przypada na rynek polski. Czytaj więcej...


SIX Payment Services – prognozy rozwoju polskiego rynku płatności bezgotówkowych w 2017 roku

30.11.2016 11:22, Polecamy

SIX Payment Services, jeden z większych europejskich agentów rozliczeniowych przewiduje, że rok 2017 będzie kolejnym w upowszechnieniu i rozwoju płatności elektronicznych. Znaczący postęp nastąpi zwłaszcza w implementacji rozwiązań mobilnych, tworzeniu nowych usług oraz integracji kanałów sprzedaży. SIX obsługuje szwajcarskie centrum finansów i stale wprowadza udoskonalenia. Systemy przygotowane są do radzenia sobie z bardzo dużymi obciążeniami. Są stabilne, bezpieczne i niezawodne. W firmie obecnie jest zatrudnionych 4058 osób w 35 lokalizacjach w 25 krajach. Warszawa staje się jednym ze znaczących lokalizacji. Tu właśnie powstaje Centrum Usług Wspólnych, które od stycznia 2017 roku będzie przejmować obsługę klientów z innych krajów w ich ojczystych językach. Jak podkreślali przedstawiciele firmy w czasie spotkania z dziennikarzami, trwa już rekrutacja pracowników, którzy poza językiem polskim posługują się też językiem niemieckim, węgierskim, włoskim itp. W warszawskiej siedzibie firmy jest już gotowych 157 „biurek”. Rozpoczynający się proces rekrutacji ma być prowadzony we współpracy między innymi z uczelniami wyższymi. Czytaj więcej...


Strona 1 z 1112345...10...Ostatnia »
0