26 Jun Effective risk management and IT security

Posted at 15:27h in Publications by
0 Likes

Gazeta Finansowa, 27 sierpnia 2010, Michał Wiatr, CISA
Od wielu lat kluczowym aspektem świadczącym o zadowoleniu z oprogramowania było zaspokojenie przez technologie IT założonych celów biznesowych. Dopasowanie strategiczne oprogramowania jakkolwiek bezsprzecznie ważne jest dzisiaj niewystarczające.
W obliczu rosnących oczekiwań względem niezawodności działania systemów konieczne jest wdrożenie skutecznych metod zarządzania ryzykiem oraz bezpieczeństwem IT. Trend ten odnajduje swoje odzwierciedlenie w zyskujących coraz większą popularność zasadach zarządzania ładem korporacyjnym IT, zasadach audytu IT w oparciu o analizę ryzyk oraz w planowaniu ciągłości działania.
Rozwój oprogramowania
Świadomość ryzyka, na jakie wystawione są organizacje w związku ze stosowaniem zaawansowanych technologii IT, prowadzi do rozwoju oprogramowania w kierunku zaimplementowania w nich skutecznych mechanizmów kontrolnych. Celem jest zmniejszenie podatności technologii na ataki zewnętrzne i wewnętrzne oraz ograniczenie możliwości dostępu do informacji osób nieuprawnionych. Nowoczesne oprogramowanie musi wspierać istniejące w organizacji wymogi bezpieczeństwa. Dopiero w przypadkach gdy jest to niepraktyczne, konieczne jest zastosowanie organizacyjnych mechanizmów kompensujących. Ich celem jest zapobieganie przypadkom niewłaściwego wykorzystania systemu lub ich detekcja, przy założeniu świadomej akceptacji prawdopodobieństwa wystąpienia ryzyk, których nie da się w całości wyeliminować.
Zasięg mechanizmów kontrolnych
Kluczowe mechanizmy kontrolne implementowane w ramach systemów IT obejmują:

  • Kontrolę dostępu – zapewnienie dostępu do zasobów zgodnie z uprawnieniami.
  • Podział obowiązków – mechanizmy zatwierdzania transakcji przez osoby uprawnione.
  • Aplikacyjne mechanizmy kontrole – zmniejszające prawdopodobieństwo popełnienia błędu przez operatora poprzez zastosowanie odpowiednich formatów danych, sum kontrolnych oraz mechanizmy weryfikacji danych z zewnętrznymi rejestrami.
  • Audytowalność – mechanizmy przechowywania i archiwizacji logów z informacjami o dostępie do systemu i realizowanych przez użytkowników transakcjach.

Zastosowanie wymienionych mechanizmów powinno podlegać regularnym audytom. Audyty takie obejmują weryfikację dostępu do zasobów IT, skuteczności procedur operacyjnych, zasad rozwoju aplikacji informatycznych itp.
Ustawa Sarbanes-Oxley
Wdrożenie zabezpieczeń przeciwko nadużyciom jest podstawowym warunkiem niezbędnym do realizacji w ramach ścisłego nadzoru korporacyjnego wymaganego na podstawie regulacji prawnych takich jak ustawa Sarbanes-Oxley. Dotyczy to przede wszystkim organizacji działających w branżach finansowej i ubezpieczeniowej oraz spółek notowanych na giełdach papierów wartościowych. Obecny trend pokazuje jednak, że wymogi te będą dotykać w kolejnych latach coraz większej liczby organizacji, poczynając od sektora administracji publicznej po prywatne firmy o wszelkiego rodzaju działalności.