1
mbuntirea cadrului de administrare a riscurilor operaionale asociate Tehnologiei Informaiei i
Comunicaiilor (TIC) din Sectorul Bancar din Romania
Analiza si propunere asupra unei abordari
-dezbatere in panelul Conferintei Cyberthreats 2012-
Calin Rangu
Dr.ing.ec. , Expert IBR 1
SECURITATEA INFORMATIC NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012 Ediia a-V-a
2
Sumar
Stadiul actual i posibile riscuri aferente
Necesitatea schimbrii i beneficii
Posibilitate - Direcii de aciune
Oportunitate
Implicaii
Propuneri
Dezbatere in panelul Conferintei Cyberthreats 2012
3
Riscul Operaional aferent TIC tratat din perspectiva Basel II/III
3
Basel III
Adecvare capitaluri
Risc crescut, capital/lichiditate in plus
Riscuri
De credit, de piata, de lichiditate,
reputational, rezidual
Risc operational
Personal calificat
IT
Parte a riscului operational
Sisteme HW, SW, Tc, Date
Structuri Guvernanta si Management
Standarde, Procese, KPI, KRI
Securitate IT
Externalizare si servicii
Personal calificat
Furnizori si partneri
Auditare si audituri
4
Riscul Operaional aferent TIC tratat din perspectiva Basel II/III
3
5
Riscul Operaional aferent TIC - exemplu austriac de normare pentru TIC-
3
6
AVIZUL
din 12 Iulie 2012 al
Comitetului Economic i Social European pe tema
Ce schimbri vor produce noile reglementri financiare n sectorul bancar european?
5.10. Evoluia canalelor de distribuie va conduce n cele din urm la o micorare a reelelor de agenii i la o contractare a ocuprii forei de munc. Aplicarea Directivei IV privind cerinele de capital va antrena o cretere a ocuprii forei de munc din bnci la nivelul departamentelor IT i al celor responsabile cu gestionarea riscurilor, n detrimentul altor activiti bancare. La toate nivelurile trebuie s se dezvolte un dialog social de calitate referitor la ocuparea forei de munc i la formarea profesional, astfel nct s se gestioneze n mod corespunztor evoluiile n curs.
6.7. Trebuie s se stabileasc norme obligatorii referitoare la accesul la profesia bancar, pentru a permite o selecie a personalului, ale crui competene s confere ncredere clienilor i investitorilor.
7
Stadiul actual si poteniale riscuri aferente (1)
Cadru de reglementare in domeniul standardelor sistemelor TIC pentru industria bancara
9 reglementari specifice cerintelor de auditare a sistemelor operationale, de IT si securitate in sistemul bancar
Cadrul de reglementare impune si alte cerinte de raportare, de monitorizare a operatiunile de tip spalare de bani, PEP, fraude informatice si fraude interne, care utilizeaza infrastructura informatica si de comunicatii
Supravegherea prudentiala (EBA European Banking Authority, BNR) pun un accent sporit pe utilizarea de tehnologii TIC (teste de stres, simulari, indicatori de risc si performanta a sistemelor TIC, raportari a caror complexitate si intercorelare a crescut semnificativ) insa lasa la latitudinea bancilor alegerea metodelor si tehnologiilor de administrare a riscurilor
Activitatea bancara utilizeaza tehnologia informatiei din ce in ce mai mult (Internet Banking, mobile banking, sisteme de plati), iar furnizorii de solutii informatice utilizeaza platforme si standarde de multe ori diferite, necesitand interfatarea diferitelor sisteme si crescand riscurile IT aferente
8
Se inregistreaza tentative de fraudare bancara, phishing, atacuri informatice, razboi industrial avand suport tehnologii TIC
Riscurile aferente activitatilor externalizate, ale activitatilor IT si de comunicatii interne nu au o determinare unitara, existand riscul unei expuneri mai mari decat cel evaluat si raportat catre BNR
Furnizorii de servicii externalizate pentru banci nu prezinta intotdeauna acelasi nivel de supraveghere si control ca cel aplicat bancilor, multi nu sunt auditati independent si au un nivel redus de guvernanta interna
Taierea bugetelor IT&C ale bancilor, sub influenta crizei economice, a redus calitatea serviciilor preventive si corective
Auditurile IT&C (solicitate de reglementari) urmeaza metodologii variate si pot avea o calitate influentata de nivelul tarifelor negociate, ceea ce poate conferi un fals sentiment de asigurare referitor la nivelul sigurantei IT
Auditurile IT nu sunt certificate de un organism independent si actioneaza in afara unui sistem de monitorizare si raportare a riscurilor
Personalul bancar este neuniform instruit, cerintele privind calificarea variaza semnificativ de la banca la banca, accesul la informatii si sisteme are loc fara un referential unic asupra certificarii, securitatii si conformitatii
Stadiul actual si poteniale riscuri aferente (2)
9
Aplicatiile software:
Nu sunt verificate/certificate pentru a preveni fraudele si riscurile de securitate.
Nu sunt stabilite metodologii de dezvoltare software transparente si controlabile. Riscurile vin din dezvoltarile personalizate si din utilizarea necorespunzatoare a aplicatiilor
Sistemele hardware:
procesele de achizitii IT nu contin proceduri si/ sau conditii pentru asigurarea controlului riscurilor generate de echipamente hardware neconforme
Protectia Datelor: Nu exista definite clar responsabilitati asupra datelor, sistemele de protectie a datelor varieaza, categoriile de
date, drepturile si metodele de acces la ele nu sunt clar definite
Serviciile de comunicatii:
utilizarea de operatori de comunicatii care nu asigura, din perspectiva juridico-contractuala si a infrastructurii, securitatea serviciilor de comunicatii furnizate
Sisteme si servicii de securitate:
solutiilor de securitate achizitionate nu li se impun standarde de calitate omogene, nu sunt dimensionate conform nevoilor organizatiei sau nu sunt configurate astfel incat sa fie atins nivelul de securitate necesar controlului riscurilor operationale
Sistemele de procesare carduri bancare
externalizarea catre procesatori neauditati conform unor reglementari nationale;
se evita certificarea PCI-DSS care ar reduce semnificativ riscurile operationale
Stadiul actual si poteniale riscuri aferente (3)
10
Necesitatea schimbarii si beneficii
Necesitatea si beneficiile imbunatatirii cadrului de administrare a riscurilor IT&C n sistemul bancar se intrepatrund:
Utilizarea unui cadru unic de referinta corelat cu cele mai bune practici, cu reglementari in domeniul riscurilor operationale specifice TIC si a unor repere comune si comparabile (KPIs, KRIs, definire, evaluare, acreditare si instruire competente TIC)
Stimularea inovarii de business prin TIC si a reglementarii prin oferirea unui cadru benefic
Activitate bancara mai sigura, cresterea nivelului de incredere a clientilor in infrastructura de securitate a bancilor
Economii realizate de banci prin transferarea unor responsabilitati non-bancare catre o entitate nationala (instruire, evaluare si certificare personal, evaluare furnizori, standardizare etc)
Monitorizare si evaluare a sistemelor de control si audit ale furnizorilor externi
Instruirea personalului furnizorilor in tehnici de prevenire si combatere a fraudelor, raspuns la incidente de securitate, protejare a datelor etc.
Standardizarea proceselor si aplicatiilor IT&C va redirectiona atentia si concurenta intre banci catre aspecte cu valoare adaugata superioara pentru clienti si benefice pentru stabilitatea industriei bancare
11
Directii de actiune propuse (1)
Se pot prelua practici de succes din tari europene sau din SUA, prin definirea unui program de tip Information Assurance pentru sistemul bancar
Se poate defini o perspectiva de 360 grade pentru sistemul bancar:
Intern
Definire standarde ocupationale (competente, functii, atributii, calificari)
Definire referential de practici, indicatori de performanta (KPI)
Definire sistem unitar de auditare, monitorizare si raportare a riscurilor
Definire sistem instruire, evaluare, certificare personal
Extern
Definirea unui sistem de instruire, evaluare si acreditare/certificare pentru furnizorii de servicii IT&C catre banci pe baza unor standarde specifice sistemului bancar
Crearea unei entitati de standardizare, evaluare, acreditare si instruire profesionala
Formarea/constituirea unei comunitati independente de specialisti recunoscuti in domeniu pentru evaluarea independentei auditorilor si a cerintelor privind auditurile IT
12
Instruire, evaluare si certificare profesionala in mod specializat pe profil bancar pentru a atinge eficienta necesara in special legat de managementul riscurilor (inclusiv fraude); o entitate non-profit (IBR) sa ofere cunostintele necesare de specialitate (nu doar securitate generala) in domeniul bancar romanesc;
Standardizarea competentelor si proceselor din mediul bancar in domeniul securitatii informatice, definirea explicita a fluxurilor de informatii cu elementele de control minimale necesare din perspectiva riscului operational care ar diminua considerabil frauda din banci;
Definirea unei entitati de acreditare/certificare profesionala - IBR, sub forma unui centru de specialitate, pe competente si fluxuri de informatii, pentru intreg sistemul bancar romanesc (pe procesele bancare/fluxurile de informatii/indicatori performanta, agregare indicatori in raportarea riscului operational si in adecvarea capitalului ).
Directii de actiune propuse (2)
13
Definirea programului Information Assurance (IA)
Definire standarde profesionale si competente in domeniu
Programe de training si certificare
Acreditare personal si activitati
Integrare reglementari, aplicare si monitorizare integrata
Auditare conform reglementarilor
Colectare incidente si propunere masuri pentru noi standarde, competente si programe de instruire.
Programe de certificare IA
Formarea de personal IA cu o intelegere a principiilor si practicilor fundamentale
Fiecare functie, aptitudine si indemanare (skill) au anumite cerinte de training si certificare. Indeplinirea acestor cerinte necesita o combinatie de instruiri formale si activitati practice (training-on-the-job si educare continua)
Certificarile demonstreaza corelarea stransa intre categoriile IA, specialitati, niveluri si functiuni si vor demonstra portabilitatea in banci.
Directii de actiune propuse (3)
14
Proiect cercetare/implementare: Contabilizarea Riscurilor (Risk Accounting)
Contabilizarea riscurilor este o metoda structurata pentru masurarea, gestiunea si contabilizarea riscurilor la nivelul intregii organizatii abordand o serie de operatiuni financiare relative proceselor, personalului implicat, calitatii datelor si tehnologiei de suport a operatiunilor.
Contabilizarea riscurilor este un concept ce a trezit deja interesul celor mai importante banci centrale si autoritati de reglementare din intreaga lume fiind prezentat catre FED, SEC, BIS, Banca Centrala Europeana, FSA, Autoritatea Bancara Europeana, Banca Nationala a Angliei, Banca Nationala a Canadei etc.
Permite masurarea parametrilor de risc cunoscuti atat la nivel de produse bancare precum si la nivelul proceselor aferente acestora.
Furnizeaza infrastructura informationala necesara pentru crearea unui nou cadru de reglementare independent, uniform si standardizat.
Directii de actiune propuse (4)
15
Potentiale implicatii ale neaplicarii unui model integrat al administrarii riscului operational in TIC
Neadecvarea corespunzatoare a capitalurilor conform Basel III
Expunere majora - Risc de sistem si reputational in cazul aparitiei incidentelor de risc operational si securitate TIC
Lipsa unui sistem de indicatori de performanta unitari, raportari diferite pentru riscuri similare, neomogenitate, inducere in eroare, prezentare nereala a realitatii
Nedefinire standarde ocupationale de aptitudini si competente profesionale in domeniu
Instruire inadecvata a personalul, lipsa unui referential
14
16
Necorelarea competentelor profesionale cu politicile si standardele in domeniile IT, comunicatii si securitate, necorelarea cu standardele internationale (ISO 27001, ISO 20000, CIMM, etc)
Neasigurare unei baze minimale obligatorii pentru instruirea , evaluarea, certificarea atat a departamentelor si activitatilor specifice din banci, cat si a furnizorilor.
Furnizarea de solutii si servicii TIC, servicii de audit si servicii externalizate neavizate conform unor standarde independente, fara monitorizarea riscurilor operationale
Neasigurara de audituri eficiente si controlate referitoare la calitatea serviciilor externalizate si la certificarile de securitate.
15
Potentiale implicatii ale neaplicarii unui model integrat al administrarii riscului operational in TIC (2)
17
Initierea unui proiect de cercetare cu scopul de:
A identifica o modalitate noua si performanta de a gestiona riscul TIC la nivelul bancilor din piata
A concepe modalitati de masurare efectiva si directa a tuturor tipurilor de risc si nu doar de estimare a acestora.
A furniza autoritatilor de reglementare un cadru nou, uniform de reglementare a pietei
A furniza limbajul comun pentru a usura activitatile autoritatilor de reglementare si supraveghere a pietei bancare romanesti
Propuneri (1)
18
Propuneri (2)
Centralizarea reglementarilor referitoare la TIC intr-o singura norma care sa fie extinsa la un standard de specialitate in domeniul bancar
Demararea unui program de tip Information Assurance Crearea unei unitati de instruire, evaluare, certificare si autorizare
profesionala a furnizorilor si auditorilor in domeniul TIC, posibil n cadrul
IBR
Crearea unei structuri de analiza a aspectelor semnalate formate din specialisti BNR si experti independenti (IBR, ARB, firme consultanta si
audit, experti independenti, experti din banci)
17
19
Qua Vadis?
18
INSTITUTUL BANCAR ROMN
www.ibr-rbi.ro
www.cyberthreats.ro
SECURITATEA INFORMATIC
NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012, Ediia a V-a
PARTENERI STRATEGICI
ACADEMIA NAIONAL DE
INFORMAII
MIHAI VITEAZUL
CU SPRIJINULORGANIZATOR
PARTENERI SILVER
PARTENER GOLD
PARTENERI
PARTENERI MEDIA
www.ibr-rbi.ro www.cyberthreats.ro
Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO
www.ibr-rbi.ro www.cyberthreats.ro
20 18
SECURITATEA INFORMATIC
NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012, Ediia a V-a
PARTENERI STRATEGICI
ACADEMIA NAIONAL DE
INFORMAII
MIHAI VITEAZUL
CU SPRIJINULORGANIZATOR
PARTENERI SILVER
PARTENER GOLD
PARTENERI
PARTENERI MEDIA
www.ibr-rbi.ro www.cyberthreats.ro
Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO
www.ibr-rbi.ro www.cyberthreats.ro
SECURITATEA INFORMATIC
NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012, Ediia a V-a
PARTENERI STRATEGICI
ACADEMIA NAIONAL DE
INFORMAII
MIHAI VITEAZUL
CU SPRIJINULORGANIZATOR
PARTENERI SILVER
PARTENER GOLD
PARTENERI
PARTENERI MEDIA
www.ibr-rbi.ro www.cyberthreats.ro
Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO
www.ibr-rbi.ro www.cyberthreats.ro
SECURITATEA INFORMATIC
NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012, Ediia a V-a
PARTENERI STRATEGICI
ACADEMIA NAIONAL DE
INFORMAII
MIHAI VITEAZUL
CU SPRIJINULORGANIZATOR
PARTENERI SILVER
PARTENER GOLD
PARTENERI
PARTENERI MEDIA
www.ibr-rbi.ro www.cyberthreats.ro
Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO
www.ibr-rbi.ro www.cyberthreats.ro
SECURITATEA INFORMATIC
NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012, Ediia a V-a
PARTENERI STRATEGICI
ACADEMIA NAIONAL DE
INFORMAII
MIHAI VITEAZUL
CU SPRIJINULORGANIZATOR
PARTENERI SILVER
PARTENER GOLD
PARTENERI
PARTENERI MEDIA
www.ibr-rbi.ro www.cyberthreats.ro
Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO
www.ibr-rbi.ro www.cyberthreats.ro
SECURITATEA INFORMATIC
NTRE MANAGEMENTUL RISCURILOR OPERAIONALE I NEVOILE DE BUSINESS
16 Octombrie 2012, Ediia a V-a
PARTENERI STRATEGICI
ACADEMIA NAIONAL DE
INFORMAII
MIHAI VITEAZUL
CU SPRIJINULORGANIZATOR
PARTENERI SILVER
PARTENER GOLD
PARTENERI
PARTENERI MEDIA
www.ibr-rbi.ro www.cyberthreats.ro
Conferina Cyberthreats 2012 a IBR a fost inclus n programul European Cyber Security Month (ECSM) al ENISA (European Network and Information Security Agency), ca urmare a parteneriatului cu CERT-RO
www.ibr-rbi.ro www.cyberthreats.ro
PANEL I - DEZBATERE INTERACTIV -
asupra implicaiilor generate de riscurile operaionale i de securitate aferente activitilor de IT i comunicaii n sistemul bancar
Clin M. RANGU, Moderator Institutul Bancar Romn Gabriel MAZILU, Director Adjunct Centrul de Management al Cunoasterii, Serviciul Romn de Informaii Liviu NICOLESCU, Director General, CERT-RO
Valentin VANCEA, CEO, Asociaia Naional pentru Securitatea Sistemelor Informatice (ANSSI) Dumitru ZAMFIR - Expert soluii i metode de securitate strategic Rzvan GRIGORESCU, CISO/ Chief Information Security Officer, CEC Bank SA Preedinte al Comisiei de securitate IT&C , Asociaia Romn a Bncilor
Joanna BANKOWSKA, Jacek REBACZ - The British Standards Institute
Sorin VIAN, IBM Romnia Vasile VOICU, Director Coordonator Managementul Produsului, Segment Business, Romtelecom
Ivaylo LAMBREV, Director, Risk Assurance Solutions, PwC Romnia
Adrian FLOAREA, COO, CERTSIGN Romnia
Matija VERIC, Territory Account Manager, WEBSENSE
Adrian FURTUN, Senior Security Consultant Florin GOGOASA Expert auditor sisteme TIC - BlueLab
INVITAT SPECIAL
Ruxandra AVRAM, ef serviciu BNR-Serviciul monitorizare sisteme de pli i sisteme de decontare, BNR
Top Related