Monitoring i bezpieczeństwo: Walka z ryzykiem IT

NBS 2009/03

Analiza ryzyka, według standardowej definicji oznacza określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu.

Analiza ryzyka, według standardowej definicji oznacza określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu.

Janusz Grobicki

Tylko rzetelna i dokładne przeprowadzenia analiza może dać podstawę do przygotowania polityki bezpieczeństwa, a tym samym dobranie odpowiednich zabezpieczeń. Zarządzanie informacją to proces powiązany z zarządzaniem bezpieczeństwem systemów informatycznych, definiowanego jako „proces identyfikowania, kontrolowania i minimalizowania ryzyka dotyczącego bezpieczeństwa przy zachowaniu akceptowalnego poziomu kosztów”.

Chronić informacje, nie systemy

Tworząc politykę bezpieczeństwa instytucji finansowej w obszarze IT, najpierw należy dokonać oceny znaczenia i wartości posiadanych informacji. Trzeba wiedzieć, które informacje są ważne, krytyczne, objęte przymusem ochrony, a które jedynie powinny być chronione. Dopiero na tej podstawie można konstruować politykę bezpieczeństwa dla całej organizacji.

Jak skutecznie zapobiegać ryzyku kradzieży ważnych danych w banku, np. klienckich baz danych?

W calu skutecznego zapobiegania wyciekowi cennych danych należy połączyć ze sobą trzy elementy. Pierwszym z nich jest wiedza banku na temat tego, jakie dane chcemy chronić, gdzie te dane się znajdują i kto ma do nich dostęp. Drugim elementem jest edukacja użytkowników systemów dotycząca tego, jak z danymi się obchodzić i czego absolutnie nie wolno robić. Tutaj nacisk należy położyć nie na same zakazy, lecz na zrozumienie tej problematyki przez pracowników. Trzecim elementem systemu ochrony jest narzędzie kontrolujące przepływ danych poufnych – czyli system informatyczny. Żaden z tych trzech elementów nie może być skuteczny bez pozostałych i dopiero razem mogą one stanowić skuteczny mechanizm ochrony danych. Witryna internetowa stanowi interfejs pomiędzy internetem a wewnętrznymi systemami bankowymi. Należy więc, dbając o integralność danych i systemów, starannie odseparować wszelki niepożądany ruch i wymianę danych pomiędzy światem zewnętrznym a wewnętrznymi systemami. Warto też zadbać o bezpieczeństwo samej witryny, tak by ograniczyć ryzyko włamania i zmiany treści prezentowanej na stronie i uniemożliwić przekierowanie przeglądarek klientów na specjalnie spreparowane przez napastników serwisy wyłudzające dane. W tych zadaniach oficerów bezpieczeństwa wspomóc mogą narzędzia do przeprowadzania audytów, jak i usługi typu Secure Site skanujące codziennie chronione serwisy internetowe pod kątem podatności na ataki typu SQL injection czy Cross Site Scripting i informujące administratorów o wszelkich zagrożeniach.

Filip Demianiuk,
technical channel manager, Trend Micro

Nie można mówić o polityce bezpieczeństwa w obszarze informatycznym, jeżeli nie zostały stworzone odpowiednie dokumenty i procedury dla całej organizacji. Należy dokładnie zidentyfikować te obszary, które mają krytyczne znaczenie z biznesowego punktu widzenia. Należy przyłożyć odpowiednią wagę biznesową do odpowiednich informacji. A także przeanalizować sposoby, które mogą doprowadzić do stracenia poufności, dostępności i integralności informacji. Czyli tych trzech podstawowych cech, które decydują o tym, czy informacja jest bezpieczna, czy też nie. Powinno się również stworzyć hipotetyczną mapę potencjalnych możliwości zaatakowania systemu. Celem polityki bezpieczeństwa jest więc ochrona informacji, a nie systemów informatycznych. Chodzi o to, żeby w razie ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: