24 Martie 2016
Dr. Călin M. Rangu
Președinte Institutul de Studii Financiare
Context
În ultima vreme se discută mult de reglementarea securității cibernetice a infrastructurilor de interes național. Necesitatea și urgența sunt clare oricărui specialist care știe ce se intâmplă în acest domeniu. Analizele îmbracă forme diverse fiind realizate din perspective diferite.
Ca în orice subiect, apar semnificații pe care fiecare le înțelege conform experienței proprii și prin cutume mentale, sau profesionale uneori greu de depășit. Dacă în domeniul informaticii se discută despre evaluări care determină niveluri de maturitate, același lucru îl regăsim și în dezbateri. Diferite niveluri de maturitate care fac uneori discuțiile dificile, ramând prea mult timp la un nivel generalist, cu o atenție disprorționată la elemente a căror importanță nu este ponderată de alte elemente poate mai relevante, dar nespectaculoase. În plus, uneori lipsa de practică concretă, lipsa de know-how și de experiență reală, acumulate în activitatea concretă, își spun cuvântul.
La ce ne uităm?
De fapt securitatea cibernetică nu se rezumă la a lupta cu hackerii, a avea antiviruși, a proteja accesul, a monitoriza și a înregistra date de toate tipurile, ci pentru a preveni amenințări. De fapt trebuie evaluată vulnerabilitatea și nu amenințarea. În managementul riscurilor, riscul este dat de cumularea amenințării cu vulnerabilitatea și cu costul. Amenințarea este externă, vulnerabilitatea este internă și este cea care contează. Iar ea este dată de procesele interne, sau de lipsa structurării și bunei funcționări a acestora, de oameni care utilizează, sau administrează sistemele cibernetice, și de infrastructurile cibernetice în sine care sunt incluse pe lanțul unui proces și sunt accesate de oameni. Vulnerabilitățile majore de multe ori sunt la nivel de proces și oameni, nu la infrastructuri în sine.
Securitatea cibernetică este o problemă de management, de management al riscurilor, de management al proceselor, de management al informației, de management al acelor infrastructuri pe care le numim de interes național. Poate cuvântul infrastructuri ne duce cu gândul la hardware și software. De fapt vorbim de managementul riscurilor operaționale generate de utilizarea sistemelor informatice în cadrul unor structuri de interes național. Iar în acest context nu poți rupe sistemul informatic, de managementul proceselor, de managementul personalului și a activității oamenilor care utilizează aceste sisteme, nu îl poți separa de mediul extern.
Buna guvernanță se referă atât la adresarea deficiențelor, ca de exemplu fluxurile inadecvate de informații, comunicarea deficitară și o neînțelegere adecvată a riscurilor, cât și la aspecte comportamentale.
Riscul operational este tratat ca o categorie specială și importantă de risc. Însă identificarea și măsurarea riscului operațional se dovedește a fi o provocare deosebită. Managementul informatiei și a IT-ului sunt elemente cheie într-o strategie completă de management al riscurilor.
Cum abordăm?
Pentru a lua adecvat în considerare riscurile referitoare la IT este necesară o abordare determinată de business și nu de specialistii în IT. Procesele activității conduc definirea controalelor și metricilor, în timp ce setul de controale aferente IT-ului sunt suplimentate de un set de indicatori pentru măsurarea maturității și a compliance-ului. Când un risc referitor la informații sau IT are un impact asupra procesului unei activități, pașii spre reducerea și eliminarea riscului sunt parte integrantă din cadrul de guvernanță și control al organizației.
Controalele IT trebuie să fie legate de riscurile IT. Riscurile IT sunt un sub-set al riscurilor generale care sunt vizibile în procesele activităților. Gestiunea riscurilor include utilizarea de indicatori pentru a stabili țintele, nivelurile de performanță și de risc. Astfel se introduce conceptul de Indicator Cheie de Risc (Key Risk Indicator - KRI). Fiecare indicator susține procesul în derulare al analizei de risc și a managementului de risc în vederea îmbunătățirii riscului operațional în general. Trebuie descrise tipurile de indicatori, semnificația lor pentru procesul general de management al riscurilor, și definiția KRI potriviti pentru cadrul complet de management al riscurilor operaționale și informatice.
Dacă în general reglementările se bazează pe principii, componentele acestora și standardele vor rămâne bazate pe reguli. Reglementările trebuie să includă asigurări bazate pe procese și pe ieșirile proceselor, pe definirea de puncte de control din care să se extragă indicatori de performanță (KPI) care să se transforme în indicatori de risc (KRI).
Întotdeauna trebuie să definim despre ce vorbim, pentru a nu vorbi fiecare gândindu-ne la altceva.
Ce este un obiectiv de control (informatic)? Este scop și mijloc care se reflectă în punctele de control din care se extrag indicatori cheie de risc.Dar ce este riscul aferent tehnologiei informaţiei (IT). Este o subcomponentă a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă a beneficiilor activității, determinat de inadecvarea strategiei şi politicilor IT, a tehnologiei informaţiei şi a procesării acesteia, din punct de vedere a capacității de gestionare, integritate, controlabilitate şi continuitate, sau de utilizare necorespunzătoare a tehnologiei informaţiei.
Cum definim vulnerabilităţile? Acestea sunt stări de fapt, procese și fenomene care diminuează capacitatea de reacţie a infrastructurilor la riscurile existente ori potenţiale, sau care favorizează apariţia și dezvoltarea lor, cu consecinţe în planul funcţionalităţii și utilităţii.
Ce este important?
Se vorbește foarte mult despre auditările IT. Dar de fapt se încearcă mutarea responsabilității într-un mod formal. Un audit este un diagnostic la un moment, care poate fi corect sau nu în funcție de mulți factori. Importantă este însă propria evaluare, evaluarea internă a riscurilor operaţionale și existența unui registru al riscurilor, viu, cunoscut și înțeles.Toate instituțiile, companiile care au active de apărat (active de securitate națională sau sectorială), denumite în continuare entităţi, ar trebui să fie obligate să își evalueze intern riscurile operaţionale generate de utilizarea tehnologiei informaţiilor și comunicaţiilor și să constituie un Registru al riscurilor operaţionale generate de utilizarea sistemelor informatice de către oameni, procese, sisteme şi mediul extern.
Ar trebui identificate toate categoriile relevante de risc, menționate pe patru categorii: oameni, procese, sisteme/tehnologii și mediul extern, ținând cont de riscurile activităților externalizate către furnizorii de produse şi servicii informatice și de comunicaţii.Riscuri aferente oamenilor pot fi, fără a se limita la acestea: nerespectarea proceselor/procedurilor, erori de introducere manuală, cunoștințe, experiență și pregătire insuficientă, personal insuficient, angajați cheie, lipsă de comunicare și cooperare, neraportare, conflict de interese, automulțumire, fraudă, operațiuni suspecte de spălare a banilor și finanțarea actelor de terorism, nerespectarea regimului de sancțiuni internaționale.
Riscuri aferente proceselor pot fi, fără a se limita la acestea:
Cum evaluăm?
Evaluarea de risc va identifica și evalua natura riscului operațional plecând de la, fără a se limita la:
Riscurile cheie se identifică prin chestionare de evaluare internă.
Materialele și informațiile suport pentru evaluarea internă sunt, după caz:
Riscurile se colectează pe o structură de șablon, pe baza unor criterii standard și se evaluează luând în considerare riscurile inerente (înaintea aplicării controalelor) şi riscurile reziduale (după ce controalele au fost aplicate). Se alocă responsabilități de risc persoanelor cu atribuții în administrarea riscurilor.
Entitățile evaluează frecvenţa apariției riscurilor și severitatea eventualelor pierderi în cadrul registrului riscurilor. Evaluarea frecvenţei apariţiei riscurilor se bazează pe rapoartele interne și externe, precum, fără a se limita la: rapoarte de audit, solicitări ale autorității, deviaţii față planul de afaceri, planuri operaţionale, bugete, opinii ale experţilor și cele mai bune practici. Evaluarea severităţii pierderilor potențiale se poate stabili pe baza, fără a se limita la: interviurile cu angajați cheie, ex ante și ex post, variațiile bugetelor, sesizările externe, istoria pierderilor. Evaluarea de risc va ține cont de probabilitatea ca riscul să apară în următoarele 12 luni și de impactul, respectiv consecințele asupra îndeplinirii strategiei și obiectivelor de afaceri. Probabilitățile se împart în categorii exprimate în marje procentuale, iar impactul se împarte pe niveluri, precum: fără impact material, impact material fără risc major, risc semnificativ, risc major care afectează entitatea.
Evaluarea de risc se efectuează regulat, dar cel puţin anual. Funcția de administrare a riscului integrează toate riscurile semnificative pentru entitate pe o hartă ce reprezintă profilul de risc al entității. Profilul de risc este analizat şi discutat oricând au loc schimbări importante în entitate. În cazul unei expuneri la risc mai mare decât apetitul pentru oricare riscuri, se elaborează strategii și planuri de acțiune pentru reducerea riscurilor și implementarea de controale suplimentare.
Ce măsuri luăm?
Puncte de control și măsurare
Entitățile ar trebui să implementeze următoarele tipuri de controale, putând utiliza metodologiile COBIT ca punct de reper:
Entităţile care utilizează sisteme informatice de prelucrare automată a datelor trebuie să dispună de un sistem informatic evaluat intern, testat sau/și auditat intern sau/și extern, care este supus la teste de penetrare, după caz, în funcție de tipul entității, care să certifice adecvarea acestuia la specificul şi volumul activităţii, gradul de securitate a informaţiei, capacitatea de stocare/arhivare/replicare a datelor, îndeplinirea de către sistemele informatice a criteriilor pentru prelucrarea automată a datelor în domeniul financiar-contabil.
Entitățile:
Controale generale
Controalele generale, la nivelul entităţilor sau al furnizorilor de servicii externi, sunt proiectate astfel ca informaţiile financiare generate de sistemele informatice ale entității să fie de încredere, reale și corecte. Controalele generale includ:
Entitățile adoptă măsuri pentru identificarea şi gestionarea evenimentelor care pot prejudicia continuitatea activităţii, precum ar fi, dar fără a se limita la incendii, defecţiuni la sistemele hardware sau software, erori operaţionale din partea utilizatorilor, introducere involuntară de componente străine care să creeze daune sistemului informatic sau reţelei. Entitățile asigură condiţii de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial.
Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a politicilor de aprobare și efectuare a achiziţiilor, a externalizărilor serviciilor informatice, inclusiv prevenirea riscului sistemic datorat criminalităţii informatice.
Controale programe informatice
Entitățile implementează controale la nivelul programelor informatice prin proceduri de validare şi control incluse în codul software utilizat, prin includerea punctelor de control în codul software pentru prevenirea și detectarea tranzacţiilor neautorizate, precum și proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor.
Entitățile:
Controlul programelor informatice urmărește:
Securitatea cibernetică este un cumul de cunoștințe, experiențe care trebuie coborâte de la nivelul principiilor la nivelul practic și ridicate din nou la nivelul înțelegerii generale pentru a putea fi înțelese corect de către toți actorii implicați.
Planificarea examenelor de certificare pentru distribuitori
Noua platformă pentru examinări online
Specialiștii constatare daune își desfășoară activitatea profesională în domeniul asigurărilor, în conformitate cu prevederile legale în vigoare și cu respectarea cerințelor privind pregătirea profesională....Click aici pentru detalii >
ANUNȚ PRIVIND ÎNSCRIEREA LA EXAMENE ORGANIZATE LA SALĂ Vă informăm că, pentru a asigura posibilitat...vezi tot
În vederea simplificării procesului de validare și alocare a creditelor anuale de pregătire profesională conti...vezi tot
ANUNT IMPORTANT Institutul de Studii Financiare va informeaza ca examenele online pentru pregatirea continua a ...vezi tot
Institutul de Studii Financiare a devenit membru afiliat al OECD/INFE (Rețeaua Internațională pentru Educa...vezi tot
Cea de-a doua editie a Conferintei nationale organizate de Biroul Asigura...vezi tot