Connect with us

Hirdetés

technokrata

Információbiztonság a pénzügyi szektorban

Dotkom

Információbiztonság a pénzügyi szektorban

A tisztességes és megbízható üzleti környezet megteremtése nagy kihívás az IT szakértők számára.

A Deloitte & Touche nemrégiben közzétett felmérése (Global Security Survey) segítséget nyújt a pénzügyi intézményeknek, hogy felmérjék a náluk tárolt információk és adatok biztonságát, összehasonlítva más pénzintézetekkel. A felmérés a következő kérdésre keresi a választ: ”Miben hasonlít vagy tér el egy adott pénzintézet adatbiztonsági rendszere a versenytársakétól?”

A kutatás a Deloitte Touche Tohmatsu információbiztonsággal és titoktartással foglalkozó szakemberei és globális pénzügyi intézmények információtechnológiai (IT) vezetői között lezajlott megbeszélések eredményeit közli. A válaszadók 22%-a európai, közel-keleti és afrikai országokból került ki (EMEA), 14% ázsiai és csendes-óceáni ország (APAC). 12% képviselte a latin-amerikai és karibi államokat (LACRO), 16%-uk kanadai, 36%-uk pedig az Egyesült Államokból való.

A felmérés legfontosabb következtetései

A válaszadók aggódva figyelik, hogy a számítógépes rendszereiket fenyegető veszélyek egyre kifinomultabbak – és e félelmeik valósak. A Global Security Survey-re válaszolók jelentős hányada – 39%-a – elismerte, hogy az elmúlt évben valamilyen módon veszélyeztették a rendszerüket.
A résztvevők tisztában vannak a munkaerő tudatosságnövelésének és oktatásának fontosságával. Egy erőteljes és hatékony tudatosságnövelő és oktató programra – amely irányítja a vezetés és a dolgozók tevékenységét is – úgy tekintenek, hogy az pozitívan járul hozzá olyan problémák kezeléséhez, mint személyes információk kiszolgáltatása, illetve azokkal való visszaélés, vagy bizalmas dokumentumok veszélyeztetése.
A jelentési relációk kulcsszerepet játszanak az információbiztonsági funkció fontosságának megítélésében. Napjainkig az információbiztonsági feladatkör felelőse az IT osztályon belül tett jelentést egy, a hatalmi létra viszonylag alacsony fokán álló személynek. A kilencvenes évek közepén innovatív gondolkodású szervezetek megalapították az első olyan információbiztonsági egységeket, amelyek függetlenek voltak az IT-től, és azzal azonos szinten tartoztak jelentéssel az információért felelős igazgatónak. A felmérésben résztvevő intézmények több mint 61%-a válaszolta, hogy alkalmaznak biztonsági-, illetve információbiztonsági igazgatót, további 14%-uknál pedig egynél többen dolgoznak ilyen beosztásban.
Az IT-biztonságra fordított pénzek a teljes IT költségvetés százalékában elenyésző, többnyire egyszámjegyű százalékot képviselnek.
Az információbiztonsági funkciókból hiányoznak a kulcsfontosságú teljesítményjelzők (Key Performance Indicators – KPI). Amíg az adatbiztonsági, illetve biztonsági igazgatóknak megvannak a saját elképzeléseik ezen teljesítményjelzőkről, addig véleményük szerint az üzleti vezetésnek nincsenek világos elvárásai.
A személyzeti munka hagyományos megközelítése elavult, és egy újabb modellnek kell a helyére lépnie. Ezeknek az intézményeknek az információ-készlete nagy értéket képvisel (kutatás-fejlesztés, pénzügyi tranzakciók stb.). Ennek ellenére sok esetben, és minden ipari szektorban, az információbiztonsági személyzetet jelentősen leépítették a komoly gazdasági visszaesés következményeként.
A biztonsági eszközök sokfélesége hozzájárul az egységesített védelmi programok hiányához. Adatbiztonsági szakértők elismerik, hogy jó néhány új megoldás létezik azon problémák megoldására, amelyekkel a szervezeteknek szembe kell nézniük. A legtöbb azonban nem eléggé integrált ahhoz, hogy egy komoly megoldáscsomagot alkosson.
Nem világos, hogy milyen hatással vannak a szaporodó vállalatirányítási kezdeményezések az információbiztonságra. Számos vállalatvezetési kezdeményezés születik szerte a világon. Míg ezek nagy része nagyobb hangsúlyt fektet új szabályozók bevezetésére, és a vezetésre hárítja a feladatot, hogy kifejezze pénzügyi információik sértetlenségét és értelmezését, nem világos, hogy az információbiztonsági funkciótól milyen szerepet várnak el ennek támogatásában.

Regionális megfigyelések

Valamennyi válaszadó közül az EMEA régióbeli szervezeteknek okoznak a legtöbb fejtörést az eltérő törvények és szabályozások, ami nem meglepő, tekintve a nyelvek sokféleségét és az országok számát a térségben. A válaszadók szerint ebben a régióban a minősített biztonsági erőforrások hiánya okozza a legnagyobb gondot. Szintén az EMEA régió az, ahol az eltérő biztonsági funkciók összehangolása a legnagyobb hangsúlyt kapta.

A LACRO régióban tevékenykedő intézményekhez hasonlóan a legkisebb aktivitást mutatták olyan területeken, mint az etikai vétségek, a hálózatba való illetéktelen behatolás vizsgálatának módszerei, az üzleti folytonosság tervezése (BCP), a válság utáni helyreállítás tervezése (DRP) és vizsgálata. Ezzel szemben az amerikai vállalatok a BCP és DRP területén a legmagasabb pontszámokat érték el – ez érthető a 2001. szeptember 11-i események után.

Az ázsiai és csendes-óceáni országok fordítanak legtöbb gondot a biztonságra szánt költségvetésre. Noha élen járnak az igazgatósági szolgáltatási technológiák bevezetésében, a legkevésbé fontos számukra a különböző termékek interoperabilitása, és a legkevésbé érdeklik őket az úgynevezett „egyszeri szerződtetések” és az ellátási megoldások. E tekintetben nagyban hasonlítanak a LACRO országokból származó intézményekre.

Az utóbbiak utaltak egyébként leggyakrabban az információbiztonságért, illetve biztonságért felelős igazgató hiányára az intézményen belül, ami jelzi, hogy ez a régió még kevéssé fejlett az adat- (információ) védelem terén. Meglepő módon a válaszadók közül ezek a szervezetek alkalmazzák leggyakrabban a biometria módszereit és a biztonsági keretszabványokat (például BS7799), míg az USA-beli intézményeknél a legkevésbé elterjedt a biometria és az alapvető közösségi infrastruktúra (public key infrastructure – PKI), valamint a fizikai biztonsági eszközök használata.

Az észak-amerikai intézmények meglehetősen nagy különbségeket mutattak a többi térséghez képest. A kanadai és egyesült államokbeli válaszadók egyaránt magas értéket értek el az eszközhasználat és az új technológiák adaptálása, valamint az etikai vétségek és az illetéktelen behatolások ellenőrzése terén, viszont a legkisebb arányban alkalmazzák a Veszélykockázati Elemzés szabályait.

A kanadai válaszadók jelentették a legnagyobb mértékű együttműködést a pénzügyi intézmények között, köszönhetően elsősorban az Interac-nak, amely egy, az öt legnagyobb bank és két másik szerv, a Confédération des caisses populaires et d’économie, és a Credit Union Central of Canada által irányított szervezet, amelyen keresztül a tagok hozzáférhetnek az ABM (aszinkron szimmetrizált üzemmód) és EFTPOS (elektronikus átutalás) hálózatokhoz. Meglepő módon a kanadai válaszadók képviselték az egyetlen régiót, ahol a vírusellenes eszközöknek lényegesen kevesebb, mint 100%-át használják. Nem véletlenül, az USA-beli szervezetek képviselik a fejlettség legmagasabb fokát, néhány kivétellel, mint például a biztonsági szabványok adaptálása, a titoktartás és bizonyos technológiák alkalmazása.

A fent említett eredmények egy, a Deloitte Touche Tohmatsu információbiztonsággal és titoktartással foglalkozó szakemberei által készített kérdőívből származnak. Annak érdekében, hogy a nagy pénzügyi intézmények vezetői kijelölhessék azokat a területeket, amelyekre különös figyelmet kell fordítaniuk, a Deloitte Touche Tohmatsu a kérdéseket egy jellegzetes pénzügyi szolgáltató szervezet működésének és kultúrájának következő nyolc szempontja alapján csoportosította:

– vállalatirányítás (Vállalati politika, Felelősség, Vezetéstámogatás, Mérések)
– befektetés (Költségvetés, Személyzeti politika, Vezetés)
– értékek (A menedzsment nézőpontja, Alkalmazások / Felhasználások, Biztonsági infrastruktúra, Eredményességmérés, Visszacsatolás, Szabályok betartása)
– kockázat (Iparági mérőszámok, Kiadások, Célok, Verseny, Nyilvános hálózatok, Szabályozók, Kódolás, Szoftverengedélyeztetés)
– reakcióképesség (Alkalmazások fejlesztése, Technológiai változások, Innováció)
– biztonsági technológiák alkalmazása (Technológia, Tudásbázis)
– a tevékenységek minősége (Teljesítménymérés, Irányítás, Felderítés, Reakció, Privilegizált felhasználók, Hitelesítés, Szabályozók)
– titoktartás (Szabályok betartása, Etika, Adatgyűjtési eljárások, Kommunikációs technikák, Biztonsági berendezések, Személyes adatvédelem)

Simor András, a magyarországi Deloitte & Touche elnök-vezérigazgatója a következőket fűzte a felmérés eredményeihez: „Az üzleti élet globalizálódása, a technológia rohamos fejlődése, az attól való függés és a pénzügyi intézményeket elősegíteni hivatott megbízható és biztonságos környezet fenntartása mind azt követelik a pénzügyi szolgáltató szervezetektől, hogy a megfelelő mechanizmusokkal biztosítsák az egészséges és megbízható védelmet és titoktartást.

Azért végeztük el ezt a felmérést, hogy egy globális képet adjunk arról, hogy a vezető pénzügyi szervezetek hogyan kezelik a biztonság és a titoktartás kritikus területeit, és hogy elismertessük ezen információ fontosságát a pénzügyi szolgáltató ipar számára.”



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés