managementul riscului operational in it cyberthreats 2012 v6

1

mbuntirea cadrului de administrare a riscurilor operaionale asociate Tehnologiei Informaiei i

Comunicaiilor (TIC) din Sectorul Bancar din Romania

Analiza si propunere asupra unei abordari

-dezbatere in panelul Conferintei Cyberthreats 2012-

Calin Rangu

Dr.ing.ec. , Expert IBR 1

SECURITATEA INFORMATIC NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS

16 Octombrie 2012 Ediia a-V-a

2

Sumar

Stadiul actual i posibile riscuri aferente

Necesitatea schimbrii i beneficii

Posibilitate - Direcii de aciune

Oportunitate

Implicaii

Propuneri

Dezbatere in panelul Conferintei Cyberthreats 2012

3

Riscul Operaional aferent TIC tratat din perspectiva Basel II/III

3

Basel III

Adecvare capitaluri

Risc crescut, capital/lichiditate in plus

Riscuri

De credit, de piata, de lichiditate,

reputational, rezidual

Risc operational

Personal calificat

IT

Parte a riscului operational

Sisteme HW, SW, Tc, Date

Structuri Guvernanta si Management

Standarde, Procese, KPI, KRI

Securitate IT

Externalizare si servicii

Personal calificat

Furnizori si partneri

Auditare si audituri

4

Riscul Operaional aferent TIC tratat din perspectiva Basel II/III

3

5

Riscul Operaional aferent TIC - exemplu austriac de normare pentru TIC-

3

6

AVIZUL

din 12 Iulie 2012 al

Comitetului Economic i Social European pe tema

Ce schimbri vor produce noile reglementri financiare n sectorul bancar european?

5.10. Evoluia canalelor de distribuie va conduce n cele din urm la o micorare a reelelor de agenii i la o contractare a ocuprii forei de munc. Aplicarea Directivei IV privind cerinele de capital va antrena o cretere a ocuprii forei de munc din bnci la nivelul departamentelor IT i al celor responsabile cu gestionarea riscurilor, n detrimentul altor activiti bancare. La toate nivelurile trebuie s se dezvolte un dialog social de calitate referitor la ocuparea forei de munc i la formarea profesional, astfel nct s se gestioneze n mod corespunztor evoluiile n curs.

6.7. Trebuie s se stabileasc norme obligatorii referitoare la accesul la profesia bancar, pentru a permite o selecie a personalului, ale crui competene s confere ncredere clienilor i investitorilor.

7

Stadiul actual si poteniale riscuri aferente (1)

Cadru de reglementare in domeniul standardelor sistemelor TIC pentru industria bancara

9 reglementari specifice cerintelor de auditare a sistemelor operationale, de IT si securitate in sistemul bancar

Cadrul de reglementare impune si alte cerinte de raportare, de monitorizare a operatiunile de tip spalare de bani, PEP, fraude informatice si fraude interne, care utilizeaza infrastructura informatica si de comunicatii

Supravegherea prudentiala (EBA European Banking Authority, BNR) pun un accent sporit pe utilizarea de tehnologii TIC (teste de stres, simulari, indicatori de risc si performanta a sistemelor TIC, raportari a caror complexitate si intercorelare a crescut semnificativ) insa lasa la latitudinea bancilor alegerea metodelor si tehnologiilor de administrare a riscurilor

Activitatea bancara utilizeaza tehnologia informatiei din ce in ce mai mult (Internet Banking, mobile banking, sisteme de plati), iar furnizorii de solutii informatice utilizeaza platforme si standarde de multe ori diferite, necesitand interfatarea diferitelor sisteme si crescand riscurile IT aferente

8

Se inregistreaza tentative de fraudare bancara, phishing, atacuri informatice, razboi industrial avand suport tehnologii TIC

Riscurile aferente activitatilor externalizate, ale activitatilor IT si de comunicatii interne nu au o determinare unitara, existand riscul unei expuneri mai mari decat cel evaluat si raportat catre BNR

Furnizorii de servicii externalizate pentru banci nu prezinta intotdeauna acelasi nivel de supraveghere si control ca cel aplicat bancilor, multi nu sunt auditati independent si au un nivel redus de guvernanta interna

Taierea bugetelor IT&C ale bancilor, sub influenta crizei economice, a redus calitatea serviciilor preventive si corective

Auditurile IT&C (solicitate de reglementari) urmeaza metodologii variate si pot avea o calitate influentata de nivelul tarifelor negociate, ceea ce poate conferi un fals sentiment de asigurare referitor la nivelul sigurantei IT

Auditurile IT nu sunt certificate de un organism independent si actioneaza in afara unui sistem de monitorizare si raportare a riscurilor

Personalul bancar este neuniform instruit, cerintele privind calificarea variaza semnificativ de la banca la banca, accesul la informatii si sisteme are loc fara un referential unic asupra certificarii, securitatii si conformitatii


9

Aplicatiile software:

Nu sunt verificate/certificate pentru a preveni fraudele si riscurile de securitate.

Nu sunt stabilite metodologii de dezvoltare software transparente si controlabile. Riscurile vin din dezvoltarile personalizate si din utilizarea necorespunzatoare a aplicatiilor

Sistemele hardware:

procesele de achizitii IT nu contin proceduri si/ sau conditii pentru asigurarea controlului riscurilor generate de echipamente hardware neconforme

Protectia Datelor: Nu exista definite clar responsabilitati asupra datelor, sistemele de protectie a datelor varieaza, categoriile de

date, drepturile si metodele de acces la ele nu sunt clar definite

Serviciile de comunicatii:

utilizarea de operatori de comunicatii care nu asigura, din perspectiva juridico-contractuala si a infrastructurii, securitatea serviciilor de comunicatii furnizate

Sisteme si servicii de securitate:

solutiilor de securitate achizitionate nu li se impun standarde de calitate omogene, nu sunt dimensionate conform nevoilor organizatiei sau nu sunt configurate astfel incat sa fie atins nivelul de securitate necesar controlului riscurilor operationale

Sistemele de procesare carduri bancare

externalizarea catre procesatori neauditati conform unor reglementari nationale;

se evita certificarea PCI-DSS care ar reduce semnificativ riscurile operationale


10

Necesitatea schimbarii si beneficii

Necesitatea si beneficiile imbunatatirii cadrului de administrare a riscurilor IT&C n sistemul bancar se intrepatrund:

Utilizarea unui cadru unic de referinta corelat cu cele mai bune practici, cu reglementari in domeniul riscurilor operationale specifice TIC si a unor repere comune si comparabile (KPIs, KRIs, definire, evaluare, acreditare si instruire competente TIC)

Stimularea inovarii de business prin TIC si a reglementarii prin oferirea unui cadru benefic

Activitate bancara mai sigura, cresterea nivelului de incredere a clientilor in infrastructura de securitate a bancilor

Economii realizate de banci prin transferarea unor responsabilitati non-bancare catre o entitate nationala (instruire, evaluare si certificare personal, evaluare furnizori, standardizare etc)

Monitorizare si evaluare a sistemelor de control si audit ale furnizorilor externi

Instruirea personalului furnizorilor in tehnici de prevenire si combatere a fraudelor, raspuns la incidente de securitate, protejare a datelor etc.

Standardizarea proceselor si aplicatiilor IT&C va redirectiona atentia si concurenta intre banci catre aspecte cu valoare adaugata superioara pentru clienti si benefice pentru stabilitatea industriei bancare

11

Directii de actiune propuse (1)

Se pot prelua practici de succes din tari europene sau din SUA, prin definirea unui program de tip Information Assurance pentru sistemul bancar

Se poate defini o perspectiva de 360 grade pentru sistemul bancar:

Intern

Definire standarde ocupationale (competente, functii, atributii, calificari)

Definire referential de practici, indicatori de performanta (KPI)

Definire sistem unitar de auditare, monitorizare si raportare a riscurilor

Definire sistem instruire, evaluare, certificare personal

Extern

Definirea unui sistem de instruire, evaluare si acreditare/certificare pentru furnizorii de servicii IT&C catre banci pe baza unor standarde specifice sistemului bancar

Crearea unei entitati de standardizare, evaluare, acreditare si instruire profesionala

Formarea/constituirea unei comunitati independente de specialisti recunoscuti in domeniu pentru evaluarea independentei auditorilor si a cerintelor privind auditurile IT

12

Instruire, evaluare si certificare profesionala in mod specializat pe profil bancar pentru a atinge eficienta necesara in special legat de managementul riscurilor (inclusiv fraude); o entitate non-profit (IBR) sa ofere cunostintele necesare de specialitate (nu doar securitate generala) in domeniul bancar romanesc;

Standardizarea competentelor si proceselor din mediul bancar in domeniul securitatii informatice, definirea explicita a fluxurilor de informatii cu elementele de control minimale necesare din perspectiva riscului operational care ar diminua considerabil frauda din banci;

Definirea unei entitati de acreditare/certificare profesionala - IBR, sub forma unui centru de specialitate, pe competente si fluxuri de informatii, pentru intreg sistemul bancar romanesc (pe procesele bancare/fluxurile de informatii/indicatori performanta, agregare indicatori in raportarea riscului operational si in adecvarea capitalului ).


13

Definirea programului Information Assurance (IA)

Definire standarde profesionale si competente in domeniu

Programe de training si certificare

Acreditare personal si activitati

Integrare reglementari, aplicare si monitorizare integrata

Auditare conform reglementarilor

Colectare incidente si propunere masuri pentru noi standarde, competente si programe de instruire.

Programe de certificare IA

Formarea de personal IA cu o intelegere a principiilor si practicilor fundamentale

Fiecare functie, aptitudine si indemanare (skill) au anumite cerinte de training si certificare. Indeplinirea acestor cerinte necesita o combinatie de instruiri formale si activitati practice (training-on-the-job si educare continua)

Certificarile demonstreaza corelarea stransa intre categoriile IA, specialitati, niveluri si functiuni si vor demonstra portabilitatea in banci.


14

Proiect cercetare/implementare: Contabilizarea Riscurilor (Risk Accounting)

Contabilizarea riscurilor este o metoda structurata pentru masurarea, gestiunea si contabilizarea riscurilor la nivelul intregii organizatii abordand o serie de operatiuni financiare relative proceselor, personalului implicat, calitatii datelor si tehnologiei de suport a operatiunilor.

Contabilizarea riscurilor este un concept ce a trezit deja interesul celor mai importante banci centrale si autoritati de reglementare din intreaga lume fiind prezentat catre FED, SEC, BIS, Banca Centrala Europeana, FSA, Autoritatea Bancara Europeana, Banca Nationala a Angliei, Banca Nationala a Canadei etc.

Permite masurarea parametrilor de risc cunoscuti atat la nivel de produse bancare precum si la nivelul proceselor aferente acestora.

Furnizeaza infrastructura informationala necesara pentru crearea unui nou cadru de reglementare independent, uniform si standardizat.


15

Potentiale implicatii ale neaplicarii unui model integrat al administrarii riscului operational in TIC

Neadecvarea corespunzatoare a capitalurilor conform Basel III

Expunere majora - Risc de sistem si reputational in cazul aparitiei incidentelor de risc operational si securitate TIC

Lipsa unui sistem de indicatori de performanta unitari, raportari diferite pentru riscuri similare, neomogenitate, inducere in eroare, prezentare nereala a realitatii

Nedefinire standarde ocupationale de aptitudini si competente profesionale in domeniu

Instruire inadecvata a personalul, lipsa unui referential

14

16

Necorelarea competentelor profesionale cu politicile si standardele in domeniile IT, comunicatii si securitate, necorelarea cu standardele internationale (ISO 27001, ISO 20000, CIMM, etc)

Neasigurare unei baze minimale obligatorii pentru instruirea , evaluarea, certificarea atat a departamentelor si activitatilor specifice din banci, cat si a furnizorilor.

Furnizarea de solutii si servicii TIC, servicii de audit si servicii externalizate neavizate conform unor standarde independente, fara monitorizarea riscurilor operationale

Neasigurara de audituri eficiente si controlate referitoare la calitatea serviciilor externalizate si la certificarile de securitate.

15

Potentiale implicatii ale neaplicarii unui model integrat al administrarii riscului operational in TIC (2)

17

Initierea unui proiect de cercetare cu scopul de:

A identifica o modalitate noua si performanta de a gestiona riscul TIC la nivelul bancilor din piata

A concepe modalitati de masurare efectiva si directa a tuturor tipurilor de risc si nu doar de estimare a acestora.

A furniza autoritatilor de reglementare un cadru nou, uniform de reglementare a pietei

A furniza limbajul comun pentru a usura activitatile autoritatilor de reglementare si supraveghere a pietei bancare romanesti

Propuneri (1)

18

Propuneri (2)

Centralizarea reglementarilor referitoare la TIC intr-o singura norma care sa fie extinsa la un standard de specialitate in domeniul bancar

Demararea unui program de tip Information Assurance Crearea unei unitati de instruire, evaluare, certificare si autorizare

profesionala a furnizorilor si auditorilor in domeniul TIC, posibil n cadrul

IBR

Crearea unei structuri de analiza a aspectelor semnalate formate din specialisti BNR si experti independenti (IBR, ARB, firme consultanta si

audit, experti independenti, experti din banci)

17

19

Qua Vadis?

18

INSTITUTUL BANCAR ROMN

www.ibr-rbi.ro

www.cyberthreats.ro

SECURITATEA INFORMATIC

NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS

16 Octombrie 2012, Ediia a V-a

PARTENERI STRATEGICI

ACADEMIA NAIONAL DE

INFORMAII

MIHAI VITEAZUL

CU SPRIJINULORGANIZATOR

PARTENERI SILVER

PARTENER GOLD

PARTENERI

PARTENERI MEDIA

www.ibr-rbi.ro www.cyberthreats.ro

Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO


20 18





ACADEMIA NAIONAL DE

INFORMAII

MIHAI VITEAZUL


PARTENERI SILVER

PARTENER GOLD

PARTENERI

PARTENERI MEDIA








ACADEMIA NAIONAL DE

INFORMAII

MIHAI VITEAZUL


PARTENERI SILVER

PARTENER GOLD

PARTENERI

PARTENERI MEDIA








ACADEMIA NAIONAL DE

INFORMAII

MIHAI VITEAZUL


PARTENERI SILVER

PARTENER GOLD

PARTENERI

PARTENERI MEDIA








ACADEMIA NAIONAL DE

INFORMAII

MIHAI VITEAZUL


PARTENERI SILVER

PARTENER GOLD

PARTENERI

PARTENERI MEDIA








ACADEMIA NAIONAL DE

INFORMAII

MIHAI VITEAZUL


PARTENERI SILVER

PARTENER GOLD

PARTENERI

PARTENERI MEDIA




PANEL I - DEZBATERE INTERACTIV -

asupra implicaiilor generate de riscurile operaionale i de securitate aferente activitilor de IT i comunicaii n sistemul bancar

Clin M. RANGU, Moderator Institutul Bancar Romn Gabriel MAZILU, Director Adjunct Centrul de Management al Cunoasterii, Serviciul Romn de Informaii Liviu NICOLESCU, Director General, CERT-RO

Valentin VANCEA, CEO, Asociaia Naional pentru Securitatea Sistemelor Informatice (ANSSI) Dumitru ZAMFIR - Expert soluii i metode de securitate strategic Rzvan GRIGORESCU, CISO/ Chief Information Security Officer, CEC Bank SA Preedinte al Comisiei de securitate IT&C , Asociaia Romn a Bncilor

Joanna BANKOWSKA, Jacek REBACZ - The British Standards Institute

Sorin VIAN, IBM Romnia Vasile VOICU, Director Coordonator Managementul Produsului, Segment Business, Romtelecom

Ivaylo LAMBREV, Director, Risk Assurance Solutions, PwC Romnia

Adrian FLOAREA, COO, CERTSIGN Romnia

Matija VERIC, Territory Account Manager, WEBSENSE

Adrian FURTUN, Senior Security Consultant Florin GOGOASA Expert auditor sisteme TIC - BlueLab

INVITAT SPECIAL

Ruxandra AVRAM, ef serviciu BNR-Serviciul monitorizare sisteme de pli i sisteme de decontare, BNR

managementul riscului operational in it cyberthreats 2012 v6

Documents