LRM4banking Polska 2010 - "Zapewnienie bezpieczeństwa elektronicznych transakcji i zgodności normy ISO 27001 i PCI DSS"

autor: Krystyn Fok

No risk – no fun?

Jednym z bardziej interesujących zagadnień, podniesionych na konferencji dotyczącej głównie kwestiom bezpieczeństwa elektronicznych transakcji, która odbyła się 7 października br., był temat „Niepowodzeń w zarządzaniu ryzykiem” przedstawiony przez dra Piotra Dzwonkowskiego.

- Pytanie: Jeśli ignorowanie „near misses” czyli zdarzeń ocierających się o stratę nazwiemy „jazdą po bandzie” to zastanówmy się ile razy w naszym życiu i w naszym doświadczeniu „jeździliśmy po bandzie” – tak w pewnym momencie zagaił Prelegent. - Ja mam kilka takich sytuacji na swoim koncie.

Za Rene M. Stolzem, Piotr Dzwonkowski przytoczył 6 rodzajów błędów zarządzania ryzykiem:

1. Niepoprawny pomiar znanego ryzyka
2. Niewzięcie ryzyka pod uwagę
3. Błąd komunikacji o ryzyku do zarządu
4. Błąd monitorowania ryzyka
5. Błąd zarządzania ryzykiem
6. Użycie nieodpowiedniej miary ryzyka

Jako znakomity przykład skutków tego rodzaju błędów może służyć katastrofa wahadłowca „Columbia” 1 lutego 2003 r. W jej wyniku zginęła cała siedmioosobowa załoga. Przypomnijmy: w trakcie startu oderwał się niewielki fragment osłony termicznej i uderzył w skrzydło, powodując w nim niewielką wyrwę. To stało się przyczyną katastrofy w trakcie powrotu z misji. W wyniku przeprowadzonego później śledztwa okazało się, że tego rodzaju zdarzenie brało pod uwagę wielu spośród bezpośrednio obsługujący statek. Dla wyższej kadry stanowiło to absolutne zaskoczenie.

Rozwijając poszczególne „grzechy główne” w przypadku niewłaściwego pomiaru dr Dzwonkowski wskazał na niepoprawność wartości, rozkładu, niedoszacowanie korelacji, nieuzasadnione użycie danych historycznych i subiektywność

- Gdy pomiar ryzyka przestaje by pomiarem ilościowym, wtedy łatwo może ulec wewnętrznym rozgrywkom politycznym – zauważył.

W przypadku grzechu drugiego składa się nań: nieznajomość ryzyka lub nieuwzględnienie ryzyka pomimo tego, że jest znane na różnych szczeblach organizacji. Jest jeszcze jedna opcja: w pełni świadome ignorowanie znanego ryzyka

W przypadku błędów w komunikacji wyróżnić także istnieje kilka możliwości prowokowania nieszczęścia. Wpłynąć na to może nieaktualność danych, stopień ich komplikacji, skierowanie wyników pod zły adres przez nic nieznaczącego autora, nieuzasadnione filtrowanie ryzyk.

- Zarządzanie ryzykiem powinno zapewnić, że organizacja podejmuje tylko ryzyko, które chce podjąć i żadne inne – zauważa Piotr Dzwonkowski, analizując „grzech czwarty” ryzyka zarządzania. - W tym celu potrzebny jest ciągły monitoring ryzyka podejmowanego przez organizację co jest szczególnie trudne w przypadku instytucji finansowych, gdzie ryzyko może się znacznie zmienić szybko i to bez jakichkolwiek działań za strony instytucji.

W przypadku wystąpienia katastrofy konieczne jest wdrożenie w szybkim tempie planów ratunkowych. Nie da się ukryć, jednym z zasadniczych w tym momencie problemów jest zapewnienie odpowiedniej ilości pieniędzy dla funkcjonowania na rynku.

- Efektywność zarządzania ryzykiem zależy w znacznej mierze od kultury ryzyka i od polityki wynagrodzeń – zakonkludował Dzwonkowski.

Ostatni z grzechów głównych wynika w dużej mierze z niedostosowania długofalowego ryzyka firmy do miary dziennego ryzyka. Szczególnie jest to widoczne w czasach kryzysu, gdy miary skalowane danymi historycznymi tracą swą rację bytu.

Prelegent wskazał także – według raportu IRGC z ubiegłego roku – na dwie główne grupy braków w środowisku zarządzania ryzykiem. Pierwszy to jego szacowanie i zrozumienie, drugi to kwestie zarządzania ryzykiem.

Konieczne jest także zachowanie równowagi pomiędzy zarządzaniem ryzykiem a przeprowadzonymi kontrolami. Konkludując, Piotr Dzwonkowski zaproponował następujące wnioski:

„Zachować równowagę pomiędzy ilościową i jakościową analizą ryzyka. Rozumieć podstawowe problemy związane z tymi podejściami.

Odróżnić działania w kategoriach ryzyka od działań w kategoriach kontroli

Przyjrzeć się ryzyku o małym prawdopodobieństwie i o dużym impakcie.

Spojrzeć na środowisko zarządzania ryzykiem (w tym na ITGC) jak na niezbędne elementy higieny, które zabezpieczają przed nieoczekiwanymi zdarzeniami.”

Kolejni prelegenci, Michael Seifert i Thomas Wendrich, w swych wystąpieniach skupili się na kwestiach zabezpieczeń transakcji internetowych, przewidywaniami ich rozwoju i zgodności z normą ISO 27001.

Konferencja odbyła się 7 października 2010 r. w Hotelu Bristol. Jej tematem było LRM4banking Polska 2010 „Zapewnienie bezpieczeństwa elektronicznych transakcji i zgodności normy ISO 27001 i PCI DSS”

Współorganizatorami konferencji byli:

- Lumension, producenta m.in. rozwiązań Risk Manager, Device Control oraz Application Control;

- Arcot, międzynarodowa firma wyspecjalizowana w obszarach Online fraud prevention, strong authentication oraz eDocument Security;

- LINKIES MC, międzynarodowa firma doradcza m.in. w obszarach Enterprise Risk Management & Corporate Governance – SAP & Information Security oraz Regulatory Compliance & Legal Advisory