Bătut în cuie: riscurile IT sînt riscuri operaționale

La final de 2018 s-a promulgat Legea nr. 362/2018: Legea privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice. (transpunerea Directivei NIS).

Printre cerințele legii o regăsim și pe următoarea: operatorii de servicii esențiale implementează un sistem de management al riscului (Art. 25) alin. 5 f). (Legea mai zice și că Strategia naţională privind securitatea reţelelor şi a sistemelor informatice va include „un plan de evaluare a riscurilor pentru identificarea riscurilor„ (??????? Sînt tare curios cum va arăta.)).

În lege riscul este definit ca fiind „orice circumstanţă sau eveniment ce poate fi identificat în mod rezonabil, anterior producerii sale, care are un efect potenţial negativ asupra securităţii reţelelor şi a sistemelor informatice„

Sub incidența acestei legi intră și sectorul bancar. Acest sector are însă propriile reglementări și nu cred că s-a uitat nimeni peste acestea cînd a fost concepută legea. „PSD2„ – Payment services (PSD 2) – Directive (EU) 2015/2366, de exemplu. De sub această umbrelă extrag două ghiduri:

  • GHID PRIVIND MĂSURILE DE SECURITATE REFERITOARE LA RISCURILE OPERAȚIONALE SI DE SECURITATE CONFORM PSD2 – EBA/GL/2017/17
  • GHID PRIVIND EVALUAREA RISCURILOR ASOCIATE TIC ÎN CADRUL SREP – EBA/GL/2017/05

Prevederile primului ghid sînt obligatorii….:

Prestatorii de servicii de plată trebuie să stabilească un cadru eficient de gestionare a riscurilor operaționale și de securitate (denumit în continuare, cadru de gestionare a riscurilor), care trebuie aprobat și revizuit, cel puțin o dată pe an, de către organul de conducere și, dacă este cazul, de conducerea superioară. Acest cadru trebuie să pună accentul pe măsurile de securitate de diminuare a riscurilor operaționale și de securitate și trebuie integrat în întregime în procesele de gestionare a riscurilor generale ale prestatorilor de servicii de plată.

Sper că se va accepta egalitatea de tratatment între „cadru„ (ghidul EBA) și „sistem„ (Lege). Pe capul băncilor sînt acum două audituri pentru cam același lucru: unul cerut de CERT și unul impus de EBA….(sînt ele mai multe de fapt pentru că nu corelează nimeni cerințele…dar despre asta poate altă dată)

  • Înscrierea operatorilor de servicii esenţiale în Registrul operatorilor de servicii esenţiale se realizează prin decizia directorului general al CERT-RO care se comunică operatorului de servicii esenţiale în urma depunerii unui raport de audit care atestă îndeplinirea cerinţelor minime de securitate şi notificare, întocmit de un auditor atestat în conformitate cu prevederile art. 32 şi a evaluării informaţiilor şi documentaţiilor furnizate de operator în cadrul procesului de identificare. – Lege
  • Măsurile de securitate prevăzute în acest ghid trebuie să fie auditate de auditori cu experiență în securitatea IT și plăți și să fie independenți din punct de vedere operațional de prestatorul de servicii de plată sau în cadrul acestuia. Frecvența și punctul central al unor astfel de audituri trebuie să ia în considerare riscurile de securitate corespunzătoare. (Ghid EBA)

Să simplificăm puțin lucrurile:

  • într-o organizație se întîmplă niște procese prin care se livrează bunuri și/sau servicii
  • procesele implică oameni și aplicații/tehnologie
  • aplicațiile implică echipamente/tehnologie și oameni
  • procesele au nevoie de controale pentru ca lucrurile să se desfășoare într-un anumit fel.

Pentru a ști care sînt riscurile din IT (aplicații, echipamente și resurse umane critice) trebuie mai întîi să cunosc care sînt considerate a fi procesele/serviciile critice de către organizație. De aici ajungem la următoarea „structură„ a unui „sistem de management al riscurilor„:

Cadrul de gestionare a riscurilor pe care băncile trebuie să îl pună în practică va avea la bază „scenarii de risc„

Prestatorul de servicii de plată trebuie să ia în considerare o serie de scenarii diferite, inclusiv cele extreme sau plauzibile, la care ar putea fi expus și să evalueze impactul potențial al unor astfel de scenarii.

Al doilea Ghid EBA citat menționează negru-pe-alb:

riscul TIC va fi evaluat în cadrul riscului operațional

cuprind riscurile TIC în categoria mai amplă a riscului operațional

instituția a instituit politici și procese adecvate de gestionare a riscurilor, precum și praguri de toleranță pentru riscurile TIC semnificative identificate.
Acestea pot fi incluse în cadrul de gestionare a riscurilor operaționale sau într-un document separat

De exemplu, pentru „riscurile IT„ ce privesc „disponibilitatea„, datele de intrare vor veni din BIA – Business Impact Analysis (unde ar trebui să existe procese critice – aplicații/servicii critice), care nu este în „bucătăria„ IT-ului….Acolo avem DRP – Disaster Recovery Plan, ca „reacție„ la riscuri.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.