Bezpieczeństwo.PL

Bank ABN AMRO postanowił rozszerzyć zakres działań związanych z oceną ryzyka technologicznego poprzez budowę centrum kompetencyjnego w Polsce. Do tej pory odpowiednie struktury funkcjonowały głównie w Wlk. Brytanii.

Bank ABN AMRO postanowił rozszerzyć zakres działań związanych z oceną ryzyka technologicznego poprzez budowę centrum kompetencyjnego w Polsce. Do tej pory odpowiednie struktury funkcjonowały głównie w Wlk. Brytanii.

Dział GISA (Global Information Security Assesement) jest drugim departamentem stworzonym w ramach prowadzonego w Polsce centrum usług (Shared Service Center) banku ABN AMRO, ale pierwszym związanym z bezpieczeństwem i informatyką. Przed kilku laty kierownictwo banku postawiło sobie za cel budowę wysoce efektywnych wewnętrznych procesów zarządzania ryzykiem, zarówno kredytowym, operacyjnym, jak i technologicznym. W 2003 r. opracowano więc podstawy nowoczesnego procesu oceny ryzyka technologicznego, wykraczającego poza standardy stosowane przez większość korporacji.

Kierownictwo ABN AMRO szybko dostrzegło korzyści płynące z właściwego procesu oceny i zarządzania ryzykiem technologicznym. Dlatego też w ramach zmian struktury dział oceny ryzyka stał się działem globalnym i otrzymał nazwę GISA. Pozwoliło to również na dostosowanie się do wymogów BASEL II w obszarze zarządzania ryzykiem technologicznym. Do 2006 r. analitycy działu GISA pracowali głównie w Londynie. W połowie ubiegłego roku rozpoczęto jednak rekrutację odpowiednich specjalistów w Polsce. Celem projektu było zwiększenie efektywności działania, choć doceniono również wiedzę i doświadczenia polskich specjalistów. Miało to też związek z decyzją o stworzeniu i rozwijaniu w Warszawie większego centrum usług obsługującego Grupę ABN AMRO.

Nadzór regionalny

W związku z tym projektem zdecydowano, że nowo tworzony w Polsce dział będzie obsługiwał cały region EMEA (Europa, Bliski Wschód i Afryka), a nie tylko wybrane piony biznesowe, jak to miało miejsce wcześniej. Już teraz utworzono w Polsce kolejny dział banku związany z zapewnieniem bezpieczeństwa informatycznego, zajmujący się oceną ryzyka wykorzystywanej infrastruktury IT. "Pod kątem szeregu parametrów Polska została przeanalizowana jako miejsce lokalizacji centrum, zwyciężając w «konkursie piękności» z innymi kandydaturami z naszego regionu Europy, ale także krajami w innych częściach świata" - mówi Stanisław Strelnik, kierujący działem GISA w ABN AMRO.

To pierwsza tak poważna decyzja międzynarodowego banku działającego w Polsce, zwłaszcza że dotyczy spraw związanych z bezpieczeństwem jego działania. Na centralizację usług IT i przeniesienie ich do Polski zdecydowało się jednak już kilka banków. Nordea Bank stworzył centrum rozwoju systemu Globus firmy Temenos obsługujące organizacje w Polsce, na Litwie, Łotwie i w Estonii. Podobnie, na bazie tego samego oprogramowania, centrum obsługujące osiem państw europejskich zdecydowała się stworzyć Grupa Fortis. Kilka innych instytucji, w tym Citibank, ma zaś w Polsce centra rozliczeniowe.

"Ocena ryzyka przeprowadzana jest zarówno dla nowych projektów IT, jak i dla systemów działających już w banku. Jako projekt rozumiane jest wprowadzenie nowego systemu IT lub istotna zmiana w już istniejącym. Każdy z takich projektów przed wdrożeniem musi zostać sprawdzony przez dział oceny ryzyka. Na podstawie oceny podejmowana jest decyzja o wdrożeniu projektu" - wyjaśnia Jacek Skorupka, analityk w dziale GISA w ABN AMRO. "Oceniamy stopień ryzyka korzystania z obecnych lub wdrażanych systemów IT, proponujemy działania, aby zniwelować to ryzyko, przedstawiamy ich koszty. Należy jednak podkreślić, że nasze działania są niezależne od działań pracowników audytu wewnętrznego, choć wymieniamy między sobą informacje" - dodaje.

Normy do pobicia

Stanisław Strelnik, kierujący działem GISA w ABN AMRO

Stanisław Strelnik, kierujący działem GISA w ABN AMRO

Pierwsze oceny ryzyka technologicznego poszczególnych systemów ABN AMRO zostały przeprowadzone przez polski dział w sierpniu 2006 r., a pełną parą rozpoczął on działalność na przełomie października i listopada. Oceniane jest ryzyko związane zarówno z systemami globalnymi, zainstalowanymi w centrach obliczeniowych m.in. w Wlk. Brytanii i Holandii, jak i aplikacjami lokalnymi w oddziałach tego banku w regionie EMEA, objętym obszarem działania działu GISA w Polsce. GISA ma do oceny kilkaset działających w ABN AMRO systemów, a ich liczba zwiększa się wraz z przejmowaniem przez ten bank kolejnych instytucji. ABN AMRO aktywnie uczestniczy bowiem w konsolidacji sektora finansowego. Zakres prac prowadzonych przez GISA pokrywa się z normą ISO 27001 określającą zasady wdrożenia systemu zarządzania bezpieczeństwem informacji w firmie.

"Możemy się pochwalić, że - mimo iż pozyskiwanie specjalistów trwało dłużej niż się spodziewaliśmy - przekroczyliśmy założoną nam, i tak wyśrubowaną, liczbę ocenianych systemów" - mówi Stanisław Strelnik. Pracownicy działu GISA badają dokumentację i konfigurację systemów, uzupełniając analizy o rozmowy z pracownikami korzystającymi z danych rozwiązań. Ich przygotowanie trwa od kilku tygodni do nawet 2, 3 miesięcy dla podstawowych dla ABN AMRO systemów. "Mamy odpowiednią autonomię, jeśli chodzi o sposób działania" - dodaje.

Obecnie w dziale oceny ryzyka technologicznego w Warszawie pracuje ok. 20 osób. Dział jest jednak cały czas sukcesywnie powiększany. Niedawno zatrudniono pierwszego pracownika, który będzie odpowiadał za przeprowadzanie tzw. testów penetracyjnych - "etycznych włamań hakerskich". "Na kilkuset kandydatów wybrano właśnie tego z Polski. Pozwala to optymistycznie patrzeć na dalszy rozwój naszej grupy" - cieszy się Stanisław Strelnik. Testy penetracyjne przeprowadza się w przypadku krytycznych dla banku systemów, jak również tych, które potencjalnie mogą stanowić podwyższone ryzyko dla ABN AMRO (np. dostępne poprzez Internet).

Dział GISA jest jednym z największych działających w ramach organizacji odpowiedzialnej za bezpieczeństwo w całym banku - CISO (Corporate Information Security Office). ABN AMRO jest zaś 13. co do wielkości bankiem na świecie i 8. w Europie. Zatrudnia ponad 110 tys. pracowników w ponad 4500 oddziałach w blisko 60 krajach. Instytucja ta oferuje zarówno usługi bankowości detalicznej i inwestycyjnej, jak i zarządzania aktywami oraz bankowości prywatnej. W Polsce ABN AMRO rozpoczął działalność w 1991 r. jako jeden z założycieli Międzynarodowego Banku w Polsce (International Bank in Poland). ABN AMRO Bank (Polska) SA uzyskał pełną licencję na prowadzenie działalności bankowej w 1995 r. i obecnie zatrudnia 280 osób. ABN AMRO posiada scentralizowany oddział w Warszawie. Bank koncentruje się na obsłudze klientów korporacyjnych i instytucjonalnych.

Proces oceny ryzyka IT w ABN AMRO

Głównym celem procesu oceny ryzyka dla IT - TRAP (Technology Risk Assesment Process) - jest identyfikacja i minimalizowanie ryzyka dla banku, związanego z infrastrukturą i systemami IT. Ocena ryzyka przeprowadzana jest zarówno dla nowych projektów, jak i dla systemów już działających. Jako projekt rozumiane jest wprowadzenie nowego systemu IT lub istotna zmiana w już istniejącym. Ocena ryzyka jest przeprowadzana we wczesnych fazach projektu, co pozwala znacznie obniżyć koszty ograniczenia ryzyk (koszt usunięcia źródeł ryzyk w systemach działających produkcyjnie wielokrotnie przewyższa koszt usunięcia ryzyk we wczesnych fazach projektu). Decyzja o wprowadzeniu systemu do produkcji podejmowana jest m.in. na podstawie wyniku oceny ryzyka przeprowadzonej przez dział oceny ryzyka GISA. Przed produkcyjnym uruchomieniem w banku wszystkie krytyczne czynniki ryzyka związane z systemem powinny być usunięte lub ograniczone.

Operacyjna ocena ryzyka jest przeprowadzana dla wszystkich istotnych systemów w ABN AMRO. Istotność systemu oraz tzw. profil zagrożeń są określane przez biznes (przy współpracy z działem oceny ryzyka) w kontekście kryteriów poufności, integralności i dostępności, a także potencjalnych zagrożeń związanych z charakterystyką systemu. Systemy oceniane są cyklicznie, co najmniej raz na dwa lata, ze względu na rozwój IT, a co za tym idzie pojawiające się nowe zagrożenia.

Proces oceny ryzyka jest inicjowany na wniosek biznesu. Analitycy przed rozpoczęciem pracy zapoznają się z oceną krytyczności systemu oraz charakterystycznym dla danej aplikacji profilem zagrożeń. Następnie analitycy zbierają i analizują informacje dotyczące badanej aplikacji. Informacje zbierane są na wiele sposobów, opartych zarówno na analizie dokumentacji, jak i bezpośrednich rozmowach oraz badaniu konfiguracji systemów. Na podstawie zebranych informacji i wyników testów analitycy opracowują raport przedstawiający stan bezpieczeństwa aplikacji oraz wykryte ryzyka związane z systemem (wraz z oceną ich istotności). Raport zawiera także zalecenia dotyczące ograniczenia ryzyka i wstępną ocenę kosztu jego usunięcia. Po omówieniu raportu z odbiorcą, czyli stroną biznesową, oraz akceptacji opracowywany jest plan wdrożenia zaleceń będących wynikiem analizy.


TOP 200