Od zera do... bezpiecznego banku

W przeciwieństwie do Fortis Banku, Alior Bank budował wszystko od początku. Dzięki temu udało się wdrożyć najnowsze standardy związane z zarządzaniem bezpieczeństwem teleinformatycznym, bez problemu naleciałości, jakie często występują w organizacjach będących na rynku przez dziesiątki lat.

Wynikiem tych prac są czytelne powiązania stanowiska i funkcji realizowanych w organizacji z uprawnieniami, jakie są nadawane każdemu pracownikowi firmy. Proces ten zaczyna się w systemie kadrowym banku, na podstawie wniosku przełożonego, który w ramach systemu obiegu dokumentów wypełnia odpowiedni formularz. Dalej proces odbywa się automatycznie z dokładnością do punktów decyzyjnych, a kończy nadaniem indywidualnego identyfikatora unikalnego dla każdego zatrudnionego w banku, założeniem użytkownika w Active Directory i nadaniem uprawnień w aplikacjach, które wynikają z funkcji i stanowiska.

"Istotnym elementem systemowym tej układanki jest rozdzielenie - pomiędzy Departament Bezpieczeństwa i Obszar IT - kompetencji w zakresie definiowania standardów i budowania rozwiązań. Model ten zapewnia dużą niezależność i wielowymiarowość każdej analizy, co wpływa na poziom i jakość stosowanych rozwiązań" - mówi Henryk Baniowski, dyrektor obszaru IT w Alior Bank.

Jednym z założeń systemu jest prowadzenie rozdzielności obowiązków. Dzięki tej separacji, inne osoby zakładają konto użytkownika w systemie, inne przydzielają mu uprawnienia. Ponadto administratorzy nie mogą dokonać zmian w uprawnieniach już istniejących kont. "Krytyczne operacje - potencjalnie niebezpieczne zachowania - wymagają zaś potwierdzenia na tzw. drugą rękę - jest to forma aktywnego monitoringu. Dodatkowo prowadzone są wyrywkowe kontrole logów pod kątem zgodności postępowania administratorów z procedurami" - mówi Henryk Baniowski.

Zapobieganie kolizjom i audyt

W niektórych organizacjach występuje problem kolizji uprawnień, gdy z różnych ról wynikają sprzeczne uprawnienia elementarne. W Alior Banku rozwiązano problem kolizji uprawnień w ten sposób, że stanem domyślnym jest pusty zbiór uprawnień, czyli brak możliwości wykonania jakiejkolwiek operacji w systemach. Przy konstrukcji uprawnień nie używa się uprawnień negatywnych (zabraniających niektórych operacji, np. zapisu czy odczytu), zadania i role są rozstrzygane organizacyjnie, a uprawnienia elementarne są kontrolowane przez system DRACO firmy Comarch. W ten sposób unika się przyznawania większych przywilejów niż minimalne niezbędne do wykonania zadań służbowych, uniemożliwiając wykonanie nieautoryzowanej transakcji przez pracownika banku.