Calin M. RANGU
Director Adjunct
Directia Supraveghere Integrata
Autoritatea de Supraveghere Financiara
Criminalitatea informatica tine de sistemele informatice? Majoritatea ar
raspunde ca da. Dar este un raspuns complet? In niciun caz. In
industria financiara riscurile generate de utilizarea sistemelor
informatice sunt generate de oameni, care nu au sau nu respecta
procesele de lucru, utilizand intr-adevar sisteme informatice. La
acestea se adauga contributia mediului extern, interconectarea din ce in
ce mai puternica cu exteriorul, utilizarea canalelor alternative de
tranzactionare, dematerializarea, externalizarile informatice masive, de
la dezvoltarea de software pana la cloud-computing. Si astfel avem de a
face cu riscurile operationale generate de IT in interiorul
companiilor. O parte de riscuri sunt inerente, altele reziduale, o parte
sunt generate de erori, altele de rea vointa.
La o intrebare generala despre riscurile generate de IT, multe firme se opresc in aspectele popularizate de presa, virusi sau atacuri externe, din interior nefiind amenintari, iar daca sunt, sunt acoperite de contractele de confidentialitate, deoarece nu li s-a intamplat niciodata sau poate ca nu stiu ca li s-a intamplat, eludand statisticile care prezinta ca 80% din evenimentele de criminalitate informatica sunt generate de factori interni. Daca intrebi cum se realizeaza segregarea atributiilor la nivelul adminstratorilor de baze de date, daca cei din IT au acces la datele clientilor, daca ar putea sa le modifice, raspunsul este da, ca e ceva normal, cei din IT trebuie sa stie tot deoarece ei fac totul. Iar daca intrebi daca acelasi personal IT (in general unul, doi oameni) poate avea acces si la log-urile care inregistreaza modificarile realizate chiar de acestia, dupa raspunsul primar ca nu e posibil, la o discutie mai detaliata, este foarte posibil. Cand li se prezinta ca doar cei din business ar trebui sa aiba acces la informatiile clientilor, pentru cei din IT aceste informatii trebuind sa le fie inaccesibile, IT-ul ocupandu-se cu parametrizarea si administrarea sistemelor informatice, nu cu administrarea produselor de business si nici a clientilor, lucrurile incep sa se contureze. Managementul incepe sa-si puna intrebari. Iar cand sistemele IT sunt administrate de personal extern, atat in zona de dezvoltare cat si in cea de administrare, lucrurile capata o conotatie periculoasa.
Astfel datele, informatiile, circula, ies in afara si la un moment apar atacurile externe. Se ajunge la riscurile potential sistemice, care sa creeze riscuri reputationale si legale majore, sa destabilizeze increderea oamenilor in sistemul financiar, sa duca la afectarea unui sector sau, prin contagiune, la implicatii asupra mai multor sectoare financiare. Daca sunt afectate institutii esentiale, infrastructuri financiare critice, noduri esentiale in functionarea pietelor cum sunt sistemele de plati, bursele de valori, depozitarii etc., riscurile devin cu adevarat sistemice.
Cum se poate preveni si nu doar reactiona post-factum? Destul de simplu, daca ai o abordare pe bune practici. In primul rand trebuie stabilite si documentate procesele de lucru esentiale pentru a asigura un cadru de lucru care sa controleze riscurile, sa identifice vulnerabilitatile si sa sustina luarea de masuri. Nimic nu e mai simplu decat o evaluarea proprie, raspunsul la ce riscuri te expui si ce procese trebuie sa documentezi, pentru a le diminua. Dezvoltarea unui plan de crestere a maturitatii companiei dureaza ani, riscurile nu se diminueaza brusc, dar imbunatatirile trebuie sa fie continue si controlate. Pentru a le controla ai nevoie de obiective de control, puncte de control, masurarea punctelor de control, indicatori de performanta si in final indicatorii de risc care sa te atentioneze daca ai iesit din apetitul de risc pe care ti l-ai stabilit pentru propria afacere.
Balanta intre riscuri si masuri si-o stabileste fiecare companie, dar in mod constient si voit, pe baze continue, iar indicatorii de risc sunt ca un sistem de avertizare timpurie ca ceva nu mai functioneaza bine.
Lucrand cu mediul extern, managmentul serviciilor externe trebuie sa respecte cel putin aceleasi criterii ca cele interne, cu un plus de major prin profesionismul specializat al furnizorului extern, care sa fie certificat in ceea ce face conform practicilor internationale. Daca intern este complicat sa ai un departamant IT super organizat, deoarece nu este activitatea de baza a companiei si nu ai nevoie de certificari interne, furnizorilor externi trebuie sa le fie cerute garantiile minime ca sa asigure suportul IT necesar mai bine si mai ieftin. De ce mai ieftin? La prima vedere aplicarea de standarde implica costuri. In realitate, aplicarea reala de standarde si bune practici, simplifica, sustine economiile de scara, reducerea costurilor pe unitatea de serviciu sau produs oferit. Daca un furnizor nu poate fi mai ieftin ca tine, in interiorul companiei, problema este la furnizor si nu la client, iar riscul intern operational se multiplica in exterior, plecand de la idea ca externalizarea unei probleme interne nu rezolva problema ci o multiplica daca furnizorul nu este pregatit, putand genera riscuri sistemice neasteptate.
Riscurile tehnologiei informatiei, de la operational la sistemic
Din aceeasi categorie
Cele mai citite