Connect with us

technokrata

Információbiztonság a pénzügyi szektorban

Dotkom

Információbiztonság a pénzügyi szektorban

A tisztességes és megbízható üzleti környezet megteremtése nagy kihívás az IT szakértők számára.

A Deloitte & Touche nemrégiben közzétett felmérése (Global Security Survey) segítséget nyújt a pénzügyi intézményeknek, hogy felmérjék a náluk tárolt információk és adatok biztonságát, összehasonlítva más pénzintézetekkel. A felmérés a következő kérdésre keresi a választ: ”Miben hasonlít vagy tér el egy adott pénzintézet adatbiztonsági rendszere a versenytársakétól?”

A kutatás a Deloitte Touche Tohmatsu információbiztonsággal és titoktartással foglalkozó szakemberei és globális pénzügyi intézmények információtechnológiai (IT) vezetői között lezajlott megbeszélések eredményeit közli. A válaszadók 22%-a európai, közel-keleti és afrikai országokból került ki (EMEA), 14% ázsiai és csendes-óceáni ország (APAC). 12% képviselte a latin-amerikai és karibi államokat (LACRO), 16%-uk kanadai, 36%-uk pedig az Egyesült Államokból való.

A felmérés legfontosabb következtetései

A válaszadók aggódva figyelik, hogy a számítógépes rendszereiket fenyegető veszélyek egyre kifinomultabbak – és e félelmeik valósak. A Global Security Survey-re válaszolók jelentős hányada – 39%-a – elismerte, hogy az elmúlt évben valamilyen módon veszélyeztették a rendszerüket.
A résztvevők tisztában vannak a munkaerő tudatosságnövelésének és oktatásának fontosságával. Egy erőteljes és hatékony tudatosságnövelő és oktató programra – amely irányítja a vezetés és a dolgozók tevékenységét is – úgy tekintenek, hogy az pozitívan járul hozzá olyan problémák kezeléséhez, mint személyes információk kiszolgáltatása, illetve azokkal való visszaélés, vagy bizalmas dokumentumok veszélyeztetése.
A jelentési relációk kulcsszerepet játszanak az információbiztonsági funkció fontosságának megítélésében. Napjainkig az információbiztonsági feladatkör felelőse az IT osztályon belül tett jelentést egy, a hatalmi létra viszonylag alacsony fokán álló személynek. A kilencvenes évek közepén innovatív gondolkodású szervezetek megalapították az első olyan információbiztonsági egységeket, amelyek függetlenek voltak az IT-től, és azzal azonos szinten tartoztak jelentéssel az információért felelős igazgatónak. A felmérésben résztvevő intézmények több mint 61%-a válaszolta, hogy alkalmaznak biztonsági-, illetve információbiztonsági igazgatót, további 14%-uknál pedig egynél többen dolgoznak ilyen beosztásban.
Az IT-biztonságra fordított pénzek a teljes IT költségvetés százalékában elenyésző, többnyire egyszámjegyű százalékot képviselnek.
Az információbiztonsági funkciókból hiányoznak a kulcsfontosságú teljesítményjelzők (Key Performance Indicators – KPI). Amíg az adatbiztonsági, illetve biztonsági igazgatóknak megvannak a saját elképzeléseik ezen teljesítményjelzőkről, addig véleményük szerint az üzleti vezetésnek nincsenek világos elvárásai.
A személyzeti munka hagyományos megközelítése elavult, és egy újabb modellnek kell a helyére lépnie. Ezeknek az intézményeknek az információ-készlete nagy értéket képvisel (kutatás-fejlesztés, pénzügyi tranzakciók stb.). Ennek ellenére sok esetben, és minden ipari szektorban, az információbiztonsági személyzetet jelentősen leépítették a komoly gazdasági visszaesés következményeként.
A biztonsági eszközök sokfélesége hozzájárul az egységesített védelmi programok hiányához. Adatbiztonsági szakértők elismerik, hogy jó néhány új megoldás létezik azon problémák megoldására, amelyekkel a szervezeteknek szembe kell nézniük. A legtöbb azonban nem eléggé integrált ahhoz, hogy egy komoly megoldáscsomagot alkosson.
Nem világos, hogy milyen hatással vannak a szaporodó vállalatirányítási kezdeményezések az információbiztonságra. Számos vállalatvezetési kezdeményezés születik szerte a világon. Míg ezek nagy része nagyobb hangsúlyt fektet új szabályozók bevezetésére, és a vezetésre hárítja a feladatot, hogy kifejezze pénzügyi információik sértetlenségét és értelmezését, nem világos, hogy az információbiztonsági funkciótól milyen szerepet várnak el ennek támogatásában.

Regionális megfigyelések

Valamennyi válaszadó közül az EMEA régióbeli szervezeteknek okoznak a legtöbb fejtörést az eltérő törvények és szabályozások, ami nem meglepő, tekintve a nyelvek sokféleségét és az országok számát a térségben. A válaszadók szerint ebben a régióban a minősített biztonsági erőforrások hiánya okozza a legnagyobb gondot. Szintén az EMEA régió az, ahol az eltérő biztonsági funkciók összehangolása a legnagyobb hangsúlyt kapta.

A LACRO régióban tevékenykedő intézményekhez hasonlóan a legkisebb aktivitást mutatták olyan területeken, mint az etikai vétségek, a hálózatba való illetéktelen behatolás vizsgálatának módszerei, az üzleti folytonosság tervezése (BCP), a válság utáni helyreállítás tervezése (DRP) és vizsgálata. Ezzel szemben az amerikai vállalatok a BCP és DRP területén a legmagasabb pontszámokat érték el – ez érthető a 2001. szeptember 11-i események után.

Az ázsiai és csendes-óceáni országok fordítanak legtöbb gondot a biztonságra szánt költségvetésre. Noha élen járnak az igazgatósági szolgáltatási technológiák bevezetésében, a legkevésbé fontos számukra a különböző termékek interoperabilitása, és a legkevésbé érdeklik őket az úgynevezett „egyszeri szerződtetések” és az ellátási megoldások. E tekintetben nagyban hasonlítanak a LACRO országokból származó intézményekre.

Az utóbbiak utaltak egyébként leggyakrabban az információbiztonságért, illetve biztonságért felelős igazgató hiányára az intézményen belül, ami jelzi, hogy ez a régió még kevéssé fejlett az adat- (információ) védelem terén. Meglepő módon a válaszadók közül ezek a szervezetek alkalmazzák leggyakrabban a biometria módszereit és a biztonsági keretszabványokat (például BS7799), míg az USA-beli intézményeknél a legkevésbé elterjedt a biometria és az alapvető közösségi infrastruktúra (public key infrastructure – PKI), valamint a fizikai biztonsági eszközök használata.

Az észak-amerikai intézmények meglehetősen nagy különbségeket mutattak a többi térséghez képest. A kanadai és egyesült államokbeli válaszadók egyaránt magas értéket értek el az eszközhasználat és az új technológiák adaptálása, valamint az etikai vétségek és az illetéktelen behatolások ellenőrzése terén, viszont a legkisebb arányban alkalmazzák a Veszélykockázati Elemzés szabályait.

A kanadai válaszadók jelentették a legnagyobb mértékű együttműködést a pénzügyi intézmények között, köszönhetően elsősorban az Interac-nak, amely egy, az öt legnagyobb bank és két másik szerv, a Confédération des caisses populaires et d’économie, és a Credit Union Central of Canada által irányított szervezet, amelyen keresztül a tagok hozzáférhetnek az ABM (aszinkron szimmetrizált üzemmód) és EFTPOS (elektronikus átutalás) hálózatokhoz. Meglepő módon a kanadai válaszadók képviselték az egyetlen régiót, ahol a vírusellenes eszközöknek lényegesen kevesebb, mint 100%-át használják. Nem véletlenül, az USA-beli szervezetek képviselik a fejlettség legmagasabb fokát, néhány kivétellel, mint például a biztonsági szabványok adaptálása, a titoktartás és bizonyos technológiák alkalmazása.

A fent említett eredmények egy, a Deloitte Touche Tohmatsu információbiztonsággal és titoktartással foglalkozó szakemberei által készített kérdőívből származnak. Annak érdekében, hogy a nagy pénzügyi intézmények vezetői kijelölhessék azokat a területeket, amelyekre különös figyelmet kell fordítaniuk, a Deloitte Touche Tohmatsu a kérdéseket egy jellegzetes pénzügyi szolgáltató szervezet működésének és kultúrájának következő nyolc szempontja alapján csoportosította:

– vállalatirányítás (Vállalati politika, Felelősség, Vezetéstámogatás, Mérések)
– befektetés (Költségvetés, Személyzeti politika, Vezetés)
– értékek (A menedzsment nézőpontja, Alkalmazások / Felhasználások, Biztonsági infrastruktúra, Eredményességmérés, Visszacsatolás, Szabályok betartása)
– kockázat (Iparági mérőszámok, Kiadások, Célok, Verseny, Nyilvános hálózatok, Szabályozók, Kódolás, Szoftverengedélyeztetés)
– reakcióképesség (Alkalmazások fejlesztése, Technológiai változások, Innováció)
– biztonsági technológiák alkalmazása (Technológia, Tudásbázis)
– a tevékenységek minősége (Teljesítménymérés, Irányítás, Felderítés, Reakció, Privilegizált felhasználók, Hitelesítés, Szabályozók)
– titoktartás (Szabályok betartása, Etika, Adatgyűjtési eljárások, Kommunikációs technikák, Biztonsági berendezések, Személyes adatvédelem)

Simor András, a magyarországi Deloitte & Touche elnök-vezérigazgatója a következőket fűzte a felmérés eredményeihez: „Az üzleti élet globalizálódása, a technológia rohamos fejlődése, az attól való függés és a pénzügyi intézményeket elősegíteni hivatott megbízható és biztonságos környezet fenntartása mind azt követelik a pénzügyi szolgáltató szervezetektől, hogy a megfelelő mechanizmusokkal biztosítsák az egészséges és megbízható védelmet és titoktartást.

Azért végeztük el ezt a felmérést, hogy egy globális képet adjunk arról, hogy a vezető pénzügyi szervezetek hogyan kezelik a biztonság és a titoktartás kritikus területeit, és hogy elismertessük ezen információ fontosságát a pénzügyi szolgáltató ipar számára.”



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek