Bezpiecznie jak w banku
- 24.03.2009
Od zera do... bezpiecznego banku
W przeciwieństwie do Fortis Banku, Alior Bank budował wszystko od początku. Dzięki temu udało się wdrożyć najnowsze standardy związane z zarządzaniem bezpieczeństwem teleinformatycznym, bez problemu naleciałości, jakie często występują w organizacjach będących na rynku przez dziesiątki lat.
Beata Neumann, dyrektor Departamentu Transferu Ryzyka i Bezpieczeństwa Informacji w Fortis Banku
"Istotnym elementem systemowym tej układanki jest rozdzielenie - pomiędzy Departament Bezpieczeństwa i Obszar IT - kompetencji w zakresie definiowania standardów i budowania rozwiązań. Model ten zapewnia dużą niezależność i wielowymiarowość każdej analizy, co wpływa na poziom i jakość stosowanych rozwiązań" - mówi Henryk Baniowski, dyrektor obszaru IT w Alior Bank.
Jednym z założeń systemu jest prowadzenie rozdzielności obowiązków. Dzięki tej separacji, inne osoby zakładają konto użytkownika w systemie, inne przydzielają mu uprawnienia. Ponadto administratorzy nie mogą dokonać zmian w uprawnieniach już istniejących kont. "Krytyczne operacje - potencjalnie niebezpieczne zachowania - wymagają zaś potwierdzenia na tzw. drugą rękę - jest to forma aktywnego monitoringu. Dodatkowo prowadzone są wyrywkowe kontrole logów pod kątem zgodności postępowania administratorów z procedurami" - mówi Henryk Baniowski.
Zapobieganie kolizjom i audyt
W niektórych organizacjach występuje problem kolizji uprawnień, gdy z różnych ról wynikają sprzeczne uprawnienia elementarne. W Alior Banku rozwiązano problem kolizji uprawnień w ten sposób, że stanem domyślnym jest pusty zbiór uprawnień, czyli brak możliwości wykonania jakiejkolwiek operacji w systemach. Przy konstrukcji uprawnień nie używa się uprawnień negatywnych (zabraniających niektórych operacji, np. zapisu czy odczytu), zadania i role są rozstrzygane organizacyjnie, a uprawnienia elementarne są kontrolowane przez system DRACO firmy Comarch. W ten sposób unika się przyznawania większych przywilejów niż minimalne niezbędne do wykonania zadań służbowych, uniemożliwiając wykonanie nieautoryzowanej transakcji przez pracownika banku.