Tegye fel kérdését
Kiemelt esettanulmányok
|
|
A támadóknak csak egyszer kell szerencsésnek lenniük, a védőknek azonban mindig.
 
Kockázatelemzés a CIB Bankban
A bankot érintő működési kockázatok feltárása és az ezek kezelésére vonatkozó kockázatkezelési rendszer kidolgozása
A 2006/2007 környékén az 1988-ban elfogadott Basel I. helyébe lépő Basel II. egyezmény az elődjénél már lényegesen jelentősebb szerepet tulajdonít a bankokon és egyéb pénzintézeteken belüli működési kockázatok meghatározásának és kezelésének.
Részben ennek, részben a külföldi tulajdonosok igényeinek való megfelelés érdekében határozott úgy a Bank vezetősége, hogy egy projektet indít a Bankot érintő működési kockázatok feltárására és kockázatkezelési rendszer kidolgozására.
A feladatot az alábbi lépések megvalósításán keresztül hajtottuk végre:
- A Bank üzleti folyamatainak beazonosítása és felmérése
- A különböző informatikai alkalmazásokhoz, szolgáltatásokhoz kapcsolódó felhasználó oldali informatikai elvárások meghatározása
- Az egyes informatikai alkalmazások, szolgáltatások informatikai sajátosságainak, jellemzőinek meghatározása
- Az informatikai alkalmazások és szolgáltatások fenyegetettségeinek meghatározása
- Az informatikai kockázatelemzés során előállított eredmények megfelelő dokumentálása
- Megfelelő kockázatkezelési intézkedések kidolgozása – és értékelése – a feltárt informatikai fenyegetettségek, problémák, hibák, hiányosságok és kockázatok megszüntetésére
- A Bank informatikai kockázatkezelési rendszerének (módszertan és szakértői rendszer) megtervezése, kialakítása, bevezetése, oktatása és tesztelése
Szakmai szempontból a legnagyobb kihívását az jelentette, hogy pénzintézetben ilyen volumenű kockázatelemzést, üzleti hatás elemzést korábban még nem csináltunk. Az üzleti és működési folyamatok legnagyobb része informatikai eszközökön keresztül valósult meg, ezért a Bank nagy, nehezen átlátható és meglehetősen komplex informatikai rendszerrel rendelkezett. Sok olyan kritikus banki alkalmazás volt, amelyek funkcióival korábban, máshol még nem találkoztunk. Mindezekből kifolyólag a kockázatelemzés hatékony és eredményes megvalósítása teljesen más megközelítésmódot igényelt, mint termelő cégeknél vagy állami szervezeteknél.
További kihívást jelentett, hogy a projektet az üzleti oldal indította és menedzselte. Azonban a munka informatika-központúsága miatt kiemelt figyelmet kellett fordítani az informatikai oldal támogatásának biztosítására és a feléjük irányuló kommunikációra is.
Szintén újdonság volt a munkánk során, hogy a teljes kockázatelemzési folyamatba be kellett vonni a Bank két munkatársát, és fel kellett őket készíteni a kockázatelemzési módszertanunk későbbi önálló használatára.
Mindezek mellett a Bank részéről határozott elvárás volt, hogy lehetőség szerint minél inkább automatizáljuk az egész kockázatelemzési és kockázatkezelési folyamatot, így tevékenységünk megfelelő támogatásához szükségessé vált egy önálló kockázatelemző és –kezelő alkalmazás kifejlesztése, bevezetése és kiindulási adatokkal való feltöltése is.
A KÜRT tanácsadói a projekt végrehajtása során értékes tapasztalatokkal gazdagodtak és sikerült az informatikai kockázatelemzés és -kezelés támogatására egy könnyen alkalmazható, a nemzetközi informatikai biztonsági szabványok követelményeit figyelembe vevő, és folyamatosan fejleszthető tudásbázissal rendelkező szakértői rendszert kifejlesztenünk.
A Bank oldaláról a projekt teljes sikerrel zárult. A kockázatelemzés sok olyan régóta létező, de rejtett szabályozási ill. folyamatszervezési problémát, hiányosságot hozott a felszínre, amelyek megoldása vagy megfelelő kezelése jelentős mértékben növelheti az informatikai rendszer biztonságát, megbízhatóságát és rendelkezésre állását.
A Bank informatikai vezetői szerint a projekt eredményeként elkészült szakértői rendszer teljes mértékben lefedi a kockázatelemzési folyamatot, átlátható, logikusan felépített és könnyen használható. Segítségével az átadott kockázatelemzési módszertan lényegesen egyszerűbben és hatékonyabban alkalmazható.
|
Nyomtatható oldal
