Wytyczne EBA w sprawie ryzyk IT i bezpieczeństwa. Cz. 2 – organizacja i zarządzanie ryzykiem

W ostatnim artykule przybliżyłem podstawowe kwestie związane z niedawno opublikowanymi wytycznymi Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie zarządzania ryzykami IT oraz bezpieczeństwa.Przeszliśmy w nim przez nowe definicje, wymogi w zakresie strategii IT oraz zahaczyliśmy o outsourcing wybranych funkcji operacyjnych. Zgodnie z zapowiedzią poruszę dzisiaj tematykę zarządzania ryzykiem IT oraz organizacji wewnętrznej. Wiele z tych aspektów regulują odrębne akty prawne i regulacje, jak np. Rozporządzenie Ministra Finansów w sprawie warunków organizacyjnych dla Operatorów Usług Kluczowych czy rekomendacje grupy ds. Polish API przy Związku Banków Polskich. Jest jednak kilka zagadnień, które pojawiają się w wytycznych jako pewne novum, jak np. w kontekście zarządzania projektami IT czy większe nakierowanie na edukowanie klientów w zakresie zagrożeń IT (cyberbezpieczeństwo). Zaczynamy!

Wytyczne EBA nie wprowadzają istotnej rewolucji w zakresie wymagań dla instytucji w kontekście organizacji wewnętrznej, natomiast ich zastosowanie może wymagać przeprowadzania pewnych uszczegółowień w regulaminie organizacyjnym i wybranych procedurach, np. w zakresie bezpieczeństwa.

Zarząd na topie

EBA rekomenduje, aby zarządowi (właściwemu członkowi tego organu) przypisać odpowiedzialność za kształtowanie i wdrażanie strategii IT. Rozciąga się to na konieczność zapewniania odpowiednich zasobów (w tym osobowych – np. zarządzających projektami IT) pozwalających na realizację tej strategii i właściwe zarządzanie ryzykami operacyjnymi i bezpieczeństwa. To także odpowiednie przypisanie ról i zasad eskalacji i raportowania w ramach podległych jednostek. Rekomendowanym rozwiązaniem będzie powołanie stosownego komitetu ds. IT i/lub bezpieczeństwa.

To na co należy zwrócić szczególną uwagę to upewnienie się, że osoby odpowiadające za kwestie IT oraz bezpieczeństwa posiadają stosowne wykształcenie (w tym szkolenia i certyfikaty) oraz doświadczenie. Takie osoby muszą również znać i stosować politykę w zakresie bezpieczeństwa. Polityka ciągłego kształcenia pracowników ma szczególne znaczenie w przypadku zagrożeń z zakresu cyberbezpieczeństwa.

Funkcja kontroli a operacje

Zgodnie z wytycznymi EBA w sprawie zarządzania wewnętrznego (oraz oczywiście Rozporządzeniem Ministra Finansów w sprawie systemu zarządzania ryzykiem) w instytucji muszą działać określone funkcje kontroli (ryzyko, compliance, audyt wewnętrzny). Wytyczne EBA w sprawie ryzyk IT i bezpieczeństwa doprecyzowują tutaj, że takiej funkcji należy przypisać zadanie zarządzania ryzykami informatycznymi oraz bezpieczeństwa z tym zastrzeżeniem, że taka jednostka nie może odpowiadać za wewnętrzny audyt (ten przeprowadza m.in. kontrolę zgodnie z art. 3 Rozporządzenia 2018/389).

Zarządzanie ryzykiem

Ogólne zasady zarządzania ryzykiem w instytucji finansowej uległy doprecyzowaniu w Wytycznych. To co będzie bardzo istotne przy implementowaniu wytycznych do istniejących ram risk management to niewątpliwie:

  1. Określenie apetytu na ryzyko IT oraz bezpieczeństwa;
  2. Zidentyfikowanie i ocena tych ryzyk na które instytucja jest narażona (np. określenie działania phisingowe, ataki typu DDoS);
  3. Wyznaczenie środków i narzędzi (w tym kontrolnych) ograniczania tych ryzyk;
  4. Monitoring efektywności tych środków, w tym identyfikowanie incydentów operacyjnych i podjętych kroków (tutaj istotne będzie skorelowanie procesu z zasadami w zakresie zarządzania incydentami zawartymi Wytycznych EBA w tej sprawie oraz wydanymi w związku z nimi komunikatem KNF;
  5. Określenie zasad raportowania do zarządu.

Te zasady powinny podlegać regularnemu przeglądowi oraz ewentualnej modyfikacji. Tutaj EBA rekomenduje podejście tzw. „lessons learned”, czyli wyciągania wniosków z zdarzeń, które zaszły w organizacji w kontekście incydentów operacyjnych.

Mapa procesów

Ważnym elementem będzie tutaj także stworzenie mapy procesów i aktywów IT/bezpieczeństwa. Takie ćwiczenie powinno pozwolić na wyodrębnienie określonych elementów infrastruktury oraz oprogramowania i przypisania ich do funkcji realizowanych przez instytucję (a także wskazanie osób odpowiedzialnych za monitorowanie skuteczności i efektywności). Pamiętać przy tym należy, że takie mapowanie powinno uwzględniać nie tylko zasoby wewnętrzne, ale również te powierzone na zasadzie outsourcingu (w szczególności w przypadku funkcji istotnych lub krytycznych i skorelowane powinno być z polityką i procedurami w zakresie outsourcingu (pomocny może być tutaj rejestr umów outsourcingowych do którego prowadzenia instytucje zobowiązane są zgodnie z Wytycznymi EBA w sprawie outsourcingu).

Dodatkowo EBA rekomenduje prowadzenie spisu wszystkich aktywów IT/bezpieczeństwa (nie tylko infrastruktury technicznej, ale również oprogramowania) oraz dokonywanie regularnego przeglądu (głównie ze względu na tzw. life cycle, czyli cykl życia np. nośników danych). Będzie to miało kolosalne znaczenie z punktu widzenia zabezpieczenia przed ewentualnymi atakami w zakresie cyberbezpieczeństwa (regularnego monitoringu wymaga szczególnie oprogramowanie i „łatki”, które je uszczelniają).

W celu zapewnienia odpowiedniego poziomu bezpieczeństwa konieczne będzie również przeprowadzanie stress-testów (w oparciu o wcześniej opracowane scenariusze w warunkach skrajnych) i testów penetracyjnych, które pozwolą na przygotowanie się na ewentualne wystąpienie incydentu. Takie testy powinny być przeprowadzane przez niezależnych ekspertów posiadających stosowną wiedzę i doświadczenie w tym zakresie.

I to tyle w drugiej części

Za tydzień napiszę co nieco o „dużych” projektach IT w instytucji (np. transformacja cyfrowa) i wymaganiach w tym zakresie wskazanych w Wytycznych.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *