Abordari Practice ALE Evenimentelor DE Securitate In Sistemul Bancar
CUPRINS
INTRODUCERE
CAPITOLUL I. ABORDĂRI ACTUALE PRIVIND RISCURILE BANCARE
Riscul în activitatea bancară
Obiectivele și rolul managementului riscului în instituțiile bancare
Tendințe în managementul riscului bancar
Dependența de IT
CAPITOLUL II: INTERNETUL – PLATFORMĂ DE COMUNICAȚIE PENTRU
SISTEMELE BANCARE
2.1. Internetul – canal de acces la servicii on-line
2.2. Beneficiile utilizării Internetului ca mediu pentru serviciile bancare
CAPITOUL III. MANAGEMENTUL RISCULUI ÎN CONTEXTUL DEZVOLTĂRII TEHNOLOGIEI INFORMAȚIONALE
3.1. Managementului riscului sistemelor informatice bancare
3.2. Încrederea în IT
3.3. Riscurile implementării plăților electronice
3.4. Securitate informatică
CAPITOLUL IV. AUDITUL SISTEMELOR INFORMATICE
4.1. Etapele auditului sistemelor informatice
4.2. Obiectivele specifice ale auditului IT
4.3. Evaluarea riscurilor
STUDIU DE CAZ: ABORDĂRI PRACTICE ALE EVENIMENTELOR DE SECURITATE ÎN SISTEMUL BANCAR
CONCLUZII
BIBLIOGRAFIE
ANEXE
MOTO:“Cel mai mare risc pentru un bancher este să nu cunoască riscul la care este supusă banca sa.”
Anthony Santomero
INTRODUCERE
Mediul economic și financiar aflat într-o continuă schimbare generează noi oportunități de afaceri, dar presupune totodată și riscuri mai complexe și mai diverse, care sunt o provocare pentru abordările tradiționale ale managementului bancar, pe care banca trebuie să le gestioneze cât mai adecvat pentru a supraviețui concurenței și pentru a susține economia.
Societatea în care trăim a avut parte de progrese considerabile datorită asumării riscurilor. Creșterea economică nu ar fi avut loc dacă certitudinea ar fi avut prioritate în fața riscului și a incertitudinii. În aceste condiții riscul operațional a devenit un element din ce în ce mai important pentru instituțiile de credit, care sunt obligate să-și redefinească produsele și serviciile proprii pentru a-și consolida poziția pe piață și pentru a pătrunde pe piețe noi, iar pe de altă parte datorită utilizării tot mai dese a produselor financiare inovative.
Tema aleasă pentru disertație nu este deloc întâmplătoare, venind într-un fel în concordanță cu realitățile tot mai evidente din ultimii ani, dar și în virtutea deslușirii importanței pe care o are cunoașterea factorilor și a fenomenelor ce influențează securitatea bancară, dar mai ales a soluțiilor existente sau care ar trebui să se contureze în această direcție. Pe de altă parte, am decis să tratez acest subiect, ușor sensibil, și datorită incidentelor petrecute tot mai des în sectorul bancar, incidente ce au pus în discuție tot mai mult conceptul de „securitate”, într-o mulțime de valențe, deloc ușor de gestionat.
Totodată motivația alegerii acestei teme rezidă din nevoia unei analize atente a riscurilor IT în sectorul bancar, datorită importanței deosebite pe care o au băncile în economie. Situația economică actuală și recenta criza financiară globală au scos în evidență numeroase probleme ale practicilor curente legate de risc și au impus o reevaluare a tehnicilor și metodelor aplicate în managementul riscurilor, inclusiv al riscului IT în sectorul bancar.
Din aceste motive am încercat pentru lucrarea de față să culeg cele mai importante date cu ajutorul cărora să pot demonstra vulnerabilitatea acestui sistem și provocările cu care se confruntă factorii responsabili cu managementul riscului IT din sistemul bancar. Din păcate, informațiile și documentele ce țin de acest domeniu, și anume de securitatea bancară, în general și în special de securitatea sistemelor informatice bancare sunt secretizate și securizate, din cauze lesne de înțeles, motiv pentru care nu am reușit să aprofundez în cele mai mici detalii, așa cum am intenționat, în studierea propriu-zisă a managementul riscului IT și impactul acestuia asupra activității bancare.
Chiar și așa prin colectarea materialului empiric neîngrădit de legislație, asociat cu studierea conceptului de „securitate IT” în contextul general al organizațiilor, mi-a oferit șansa, sub îndrumarea doamnei profesor coordonator, de a realiza o lucrare ce o dorim deosebit de interesantă sub aspectul subiectului analizat, evident, cu amendamentul că acest domeniu este extrem de mobil, având capacitatea de a atrage de la o zi la alta noi provocări sub aspectul securității sistemelor informatice bancare, cu atât mai mult cu cât informatizarea deplină a operațiunilor și mecanismelor bancare poate genera breșe de securitate în sistemele informatice ale instituțiilor bancare în orice moment.
Instituțiile bancare se confruntă cu o problemă, care are un impact negativ asupra activităților și, în special, asupra reputației și credibilității unei bănci, și anume frauda informatică. Minimizarea și prevenirea acestei amenințări presupune mai mult decât introducerea unor mecanisme de control a fraudei informatice sau a tehnologiei de depistare a fraudei informatice, indiferent de cât de sofisticate și de avansate sunt. Cei care au intenția de a produce fraude informatice sunt în permanență cu un pas înainte și găsesc întotdeauna metodele, dar și momentul pentru a-și implementa planurile.
Conceptul de „management al riscului IT” se adresează tuturor nivelurilor de organizare a unei societăți, de la individ, organizații, state și până la alianțe politice și de securitate la nivel internațional, într-o lume tot mai informatizată și din ce în ce mai dependentă de serviciile oferite în Internet.
Astăzi, mai mult ca niciodată, desfășurarea oricărei activități economice, financiare sau bancare nu se poate imagina fără utilizarea unui puternic suport informațional care să asigure avantajul concurențial în raport cu ceilalți competitori de pe piață. A dobândi cunoaștere prin informația obținută este rolul tehnologiei informației (TI).
TI înseamnă hardware, software, comunicații, rețele, baze de date, automatizarea lucrărilor de birou precum și toate celelalte echipamente și componente software necesare prelucrării informației.
Pe măsură ce importanța tehnologiei informației crește pentru organizații, determinând modul în care își desfășoară activitatea și influențând direct succesul sau eșecul în atingerea obiectivelor stabilite, crește și importanța procesului de management al tehnologiei informației în cadrul organizației. Băncile au înțeles atât avantajele oferite de noile tehnologii, cât și riscurile aferente lor. Conform COBIT, unul din cele cinci domenii de bază pentru guvernarea TI în cadrul organizației este managementul riscurilor aferente tehnologiei informației. Acest domeniu ține de conștientizarea riscurilor TI, stabilirea clară a nivelului riscului acceptabil, a responsabilităților pentru gestiunea acestor riscuri la toate nivelurile, definirea unui proces transparent de management. Primele trei elemente sunt necesare pentru a permite derularea adecvată a celui de al patrulea element, procesul de management al riscurilor TI.
Obiectivul procesului de management al riscurilor TI este gestionarea riscurilor generate de utilizarea tehnologiei informației într-o manieră eficientă și sigură în sistemul bancar.
Managementul riscurilor TI este procesul continuu, în cadrul căruia acestea sunt identificate, evaluat impactul de realizare a lor și implementate măsurile adecvate de control al riscurilor.
Lucrarea se desfășoară pe patru capitole și un studiu de caz, care tratează importanța managementul riscului IT și impactul acestuia asupra activității bancare, plecând de la abordări actuale privind riscurile bancare, tratate în cuprinsul primului capitol, urmat de tratarea Internetului ca platformă de comunicație pentru sistemele bancare, în al doilea capitol, continuând cu managementul riscului în contextul dezvoltării tehnologiei informaționale, care este subiectul celui de-al treilea capitol și auditul sistemelor informatice, tratat în ultimul capitol.
Concluziile la care am ajuns sunt expuse la finalul lucrării și pot fi rezumate astfel: managementul riscului IT în activitățile bancare este un management în continuă transformare care trebuie să răspundă la provocările impuse de dezvoltarea tehnologiei informaționale a sistemelor și serviciilor bancare și de expansiunea Internetului.
CAPITOLUL I. ABORDĂRI ACTUALE PRIVIND RISCURILE BANCARE
Riscul în activitatea bancară – concept și tipologie
În prezent, nu există o delimitare riguroasă a tuturor tipurilor de risc bancar. Diversitatea riscurilor cu care se poate confrunta o bancă, precum și multitudinea situațiilor care generează riscuri, face imposibilă o clasificare unică a acestora. Au fost identificate unele dintre cauzele care au generat varietatea formelor riscului bancar, dintre acestea, cele mai reprezentative sunt fenomenul globalizării și procesul de inovare.
Pentru a se menține pe piață, instituțiile financiare trebuie să se conformeze standardelor și reglementărilor în vigoare, totodată trebuie să anticipeze evoluția pieței și să fie receptive la factorii semnificativi care influențează dinamica pieței pentru a putea fi competitive și profitabile.
Profesorul universitar Gheorghe Manolescu este de părere că ,,noțiunea de risc este inseparabil legată de acelea ale rentabilității și flexibilității. Rezultatul întreprinderii este supus evenimentelor neprevăzute care însoțesc activitatea sa în toate domeniile. Riscul se traduce prin variabilitatea rezultatului, afectând rentabilitatea activelor și în consecință a capitalului investit”.
Riscul bancar poate fi definit ca fiind probabilitatea de producere a unui eveniment cu consecințe nefavorabile asupra activității bancare. Riscul bancar este un fenomen care are efecte negative, astfel se pot înregistra diminuări ale profitului sau chiar pierderi, afectând întreaga funcționalitate a băncilor. Termenul de „risc bancar” se referă la acele riscuri cu care se confruntă băncile în operațiunile lor curente și nu doar riscurile aferente activității bancare clasice. Riscul bancar este generat de un număr mare de operațiuni și proceduri. Riscul însoțește fiecare activitate desfășurată în bancă producând sau nu pierderi, în funcție de condițiile în care se manifestă. Există un efect domino care în cazul producerii unui risc, poate genera în lanț alte riscuri. Riscurile bancare trebuie inventariate și definite cât mai bine cu putință în perspectiva analizării măsurării și controlării lor.
Creșterea gradului de complexitate a practicilor bancare, precum și tendința pieței financiare de a realiza tranzacții globale în timp real, implică o preocupare sporită a autorităților de a supraveghea instituțiile financiare. Această evoluție a pieței financiare determină apariția unor noi riscuri și expuneri de operare care trebuie determinate, cuantificate și gestionate, de unde și necesitatea de a crea sisteme robuste de management al riscurilor operaționale.
Orice organizație are o misiune și un set de obiective corelate la misiunea sa.
Comitetul de la Basel definește riscul operațional ca fiind riscul pierderilor generate de procese interne inadecvate sau defecte, de oameni și sisteme sau de evenimente externe, concentrându-se asupra cauzelor pierderilor pentru a diferenția pierderile operaționale de pierderile altor categorii de riscuri. Altfel spus, Comitetul de la Basel asociază riscului operațional pierderea neașteptată, care derivă din următorii factori de risc: erori umane, erori ale sistemului informatic, inadecvarea procedurilor și controalelor, evenimente externe.
Orice organizație cu o viziune contemporană în domeniul managementului riscurilor de activitate are definit și implementat un Sistem de Control Intern aferent proceselor sale de activitate. În cadrul SCI, de obicei, sunt definite riscurile generice pe care bănci le consideră în raport cu obiectivele sale de activitate. Acestea pot fi: riscul financiar, riscul operațional, riscul reputației, riscul strategic, riscul legal etc.
Riscurile IT se pot manifesta prin generarea oricăror din riscurile generice menționate. De exemplu, căderea unui sistem aplicativ criticte, de oameni și sisteme sau de evenimente externe, concentrându-se asupra cauzelor pierderilor pentru a diferenția pierderile operaționale de pierderile altor categorii de riscuri. Altfel spus, Comitetul de la Basel asociază riscului operațional pierderea neașteptată, care derivă din următorii factori de risc: erori umane, erori ale sistemului informatic, inadecvarea procedurilor și controalelor, evenimente externe.
Orice organizație cu o viziune contemporană în domeniul managementului riscurilor de activitate are definit și implementat un Sistem de Control Intern aferent proceselor sale de activitate. În cadrul SCI, de obicei, sunt definite riscurile generice pe care bănci le consideră în raport cu obiectivele sale de activitate. Acestea pot fi: riscul financiar, riscul operațional, riscul reputației, riscul strategic, riscul legal etc.
Riscurile IT se pot manifesta prin generarea oricăror din riscurile generice menționate. De exemplu, căderea unui sistem aplicativ critic va afecta procesele de activitate ce utilizează sistemul respectiv, prin urmare riscul IT se va manifesta în cazul acesta prin riscul operațional la nivelul proceselor de activitate ce utilizează sistemul aplicativ.
Compromiterea confidențialității informației cu privire la baza de clienți ai băncii poate genera riscuri financiare, de reputație și legale.
De menționat că riscurile IT implică resurse IT. Conform COBIT, resursele IT ale unei instituții sunt următoarele: informația, aplicații-program, infrastructura informațională, oamenii.
Riscurile generice, la rândul lor, se manifestă prin riscuri concrete, detaliate, aferente nemijlocit resurselor IT și proceselor IT ce implică utilizarea resurselor respective. De exemplu, o eroare în cadrul unui sistem aplicativ poate duce la blocarea sistemului, în felul acesta informația necesară businessului nu va mai fi disponibilă. Astfel, este afectat criteriul disponibilității informației, iar riscul de erori la nivelul softului aplicativ constituie un risc de compromitere a disponibilității informației.
Banca Națională a României în calitate de autoritate națională de supraveghere bancară a conștientizat importanța și necesitatea monitorizării riscului operațional de către societățile bancare. În prezent, toate societățile bancare active în România trebuie să dispună de următoarele proceduri pentru administrarea riscului operațional:
a) proceduri de evaluare;
b) proceduri de monitorizare;
c) proceduri de reducere a riscului, fie pe plan intern, prin corectarea la timp a erorilor constatate și prin introducerea unor tehnologii adecvate de procesare și asigurare a securității informațiilor, fie prin transferul riscului către alte domenii de activitate (de exemplu, asigurări împotriva unor evenimente).
De asemenea, în gestionarea riscului operațional bancar, potrivit reglementărilor legale naționale în vigoare, societățile bancare active pe teritoriul României trebuie să aibă politici privind administrarea riscului operațional. Aceste politici trebuie să ia în considerare cel puțin următoarele tipuri de evenimente generatoare ale riscului operațional:
a) frauda internă (de exemplu: raportarea cu rea-credință a pozițiilor, furtul, încheierea de către salariați de tranzacții în cont propriu);
b) frauda externă (de exemplu: tâlhăria, falsificarea, spargerea unor coduri aferente sistemelor informatice);
c) condițiile aferente efectuării angajărilor de personal și siguranța locului de muncă (de exemplu: cererile compensatorii ale personalului, nerespectarea normelor de protecție a muncii, promovarea unor practici discriminatorii);
d) practici defectuoase legate de clientelă, produse și activități (de exemplu: utilizarea necorespunzătoare a informațiilor confidențiale deținute în legătură cu clientela, spălarea banilor, vânzarea unor produse neautorizate, folosirea greșită de către clienți a produselor și serviciilor aferente sistemului "electronic banking");
e) punerea în pericol a activelor corporale (de exemplu: acte de terorism sau vandalism, incendii, cutremure);
f) întreruperea activității și funcționarea defectuoasă a sistemelor (de exemplu: defecțiuni ale componentelor hardware și software, probleme legate de telecomunicații, proiectarea, implementarea și întreținerea defectuoasă a sistemului "electronic banking");
g) tratamentul aplicat clienților și contrapartidelor comerciale, precum și procesarea defectuoasă a datelor legate de aceștia (de exemplu: înregistrarea eronată a datelor de intrare, administrarea defectuoasă a garanțiilor reale, documentația legală incompletă, accesul neautorizat la conturile clienților, litigii);
h) securitatea sistemului electronic "banking" (de exemplu: angajamente ale instituției de credit rezultate în mod fraudulos prin contrafacerea monedei electronice sau înregistrarea unor pierderi ori a unor angajamente suplimentare de către clienți în cazul unui acces defectuos în cadrul sistemului).
Existența și managementul riscurilor bancare sunt inerente în activitățile desfășurate de bănci și în rolul băncilor de intermediari financiari. Analiza aspectelor legate de dezvoltarea tendințelor actuale în managementul riscului bancar a demonstrat importanța pe care guvernanța corporatistă trebuie să o dețină precum și necesitatea implementării principiilor managementului bancar durabil.
1.2. Obiectivele și rolul managementului riscului în instituțiile bancare
Mediul în continuă schimbare, în care se află băncile prezintă oportunități majore pentru acestea, dar totodatǎ presupune riscuri complexe și variabile, care reprezintă o provocare pentru managementul bancar.
Managementul riscului este un proces decizional în urma căruia se obțin un număr de rezultate potențiale care pot sau nu pot fi benefice pentru decident. Fiecărui rezultat obținut i se asociază o anumită performanță reprezentată de diferența dintre beneficii și pierdere.
Într-un proces decizional se presupune că orice decident are interesul să identifice acele operațiuni și strategii care să conducă în final la minimalizarea pierderilor și maximizarea beneficiilor asociate riscurilor generate.
Variabilele generatoare de risc bancar care, într-o abordare globală, permit un management integrat al riscului sunt determinate de:
– Evoluțiile macroeconomice, în principal dinamica PIB pe total și pe componente, evoluția ratei inflației, precum și utilizarea instrumentelor de politică monetară.
– Modificările intervenite în legislația economică, în general și în cea financiar-bancară în special, care se repercutează asupra eficienței și siguranței activității bancare.
– Situația politică și economică actuală și de perspectivă a țării, cu implicații asupra serviciului datoriei externe.
– Perturbații provocate de deficientele structurii organizatorice a băncii, pregătirea necorespunzătoare a personalului, realizarea unor operațiuni ineficiente sau insuficient supravegheate care pot genera pierderi.
– Luarea unor decizii financiare cu efecte negative asupra masei creditului, ratei dobânzii, lichidității sau capitalului propriu al băncii.
În orice instituție bancară, managementul riscurilor reprezintă responsabilitatea conducerii sale superioare și a conducerii executive.
Principalele obiective ale unui sistem de management al riscurilor vizează:
– Stabilirea unei definiții larg acceptate a noțiunii de "risc" și a tipurilor de risc, care să determine elaborarea unei "harți a riscurilor" băncii.
– Evaluarea cuprinzătoare și continuă a surselor existente și potențiale de riscuri interne și externe.
– Stabilirea unor responsabilități clare în domeniul managementului riscurilor (de sus în jos, în ierarhie) și a sistemului de raportare (de jos în sus), pentru a evita confuziile, suprapunerea eforturilor sau pierderilor din vedere a unor aspecte importante.
– Asigurarea transparenței, printr-un sistem cuprinzător de informare a conducerii, precum și printr-un sistem de monitorizare și raportare, prin care să se prezinte, să se analizeze și să se comunice expunerile efective, câștigurile și pierderile care trebuie cunoscute și stocate pentru referiri viitoare.
– Elaborarea unui sistem de măsurare a performanței financiare care să ia în considerare pierderea prevăzută (costul activității), pierderea neprevăzută (măsurarea riscurilor), alocarea de capital pe fiecare categorie de risc acolo unde este posibil, precum și veniturile ajustate pentru fiecare risc (rentabilitatea capitalului ajustat cu riscurile).
– Evaluarea în funcție de piață a costului capitalului, a ratei minime de rentabilitate și a posibilităților și limitelor creșterii organice a expunerilor de risc.
– Definirea și utilizarea principiilor de diversificare a riscurilor și de management al portofoliului.
– Elaborarea unui sistem de clasificare a creditelor pe baza ratei anticipate de neperformanță.
– Stabilirea prețurilor produselor și serviciilor, luând în considerare toate elementele menționate anterior.
– Identificarea înclinației/toleranței în asumarea riscurilor și stabilirea limitelor de expunere în concordanță cu aceasta.
– Elaborarea unui cadru conceptual consistent, prin care să se stabilească obiectivele și să se evalueze performanțele unităților operative, produselor, relațiilor cu clienții și salariații.
– Instalarea, în toate domeniile de activitate ale băncii a unor planuri de recuperare în caz de dezastre și/sau a unor planuri de continuitate a activității, actualizarea și testarea cu regularitate a acestor planuri.
– Analiza permanentă a realizărilor și eșecurilor sistemului de management al riscurilor, separat de desfășurarea activității.
– Asigurarea unui nivel profesional și specializat al cunoștințelor în domeniul neutralizării și controlului diferitelor tipuri de riscuri bancare.
Literatura de specialitate apărută în ultimii ani în domeniul financiar, subliniază principale direcții ale managementului riscului bancar, o atenție tot mai mare fiind acordată managementul riscului bancar în condiții de criză.
În lucrarea sa Choudhry (2009) studiază problematica riscurilor bancare și propune măsuri eficiente pentru a înlătura slăbiciunile sistemului bancar constatate cu ocazia manifestării crizei economico-financiare.
Deoarece tratarea fiecărei bănci separat și nu ca parte a unui sistem a dus la previziuni greșite asupra evoluției riscurilor, în ultimii ani tot mai mulți autori și-au exprimat îngrijorarea cu privire la riscul sistemic. Astfel Kaufman (1995), Flannery (1999), Santomero and Eckles (2000), De Bandt& Hartmann (2002) sunt doar câțiva din autorii care au studiat riscul sistemic ca un eveniment care are efecte asupra întregului sistem bancar. În lucrarea sa Choudhry (2009) studiază problematica riscurilor bancare și propune măsuri eficiente pentru a înlătura slăbiciunile sistemului bancar constatate cu ocazia manifestării crizei economico-financiare.
Analiza și gestionarea riscurilor în sectorului bancar cu scopul realizării stabilității financiare a întregului sistem bancar presupune utilizarea unor metode consacrate în managementul modern al riscului. Elsinger et al. (2003) prezintă o abordare originală prin crearea unui model al rețelei împrumuturilor interbancare, analizând astfel riscul la nivelul sistemului bancar ca întreg și nu la nivelul individual al băncilor. În urma studiului efectuat, Elsinger constată existența unei corelații între portofoliile de active ale băncilor și concluzionează că aceasta reprezintă principală sursă a riscului sistematic.
Din literatura de specialitate existentă la nivel național trebuie amintite o serie de studii (Dedu și Ganea, 2006; Negrilă, 2008; Nanu et al., 2005) care argumentează necesitatea adaptării structurilor bancare în privința managementului riscului pentru a ne alinia la cerințele existente la nivelul sistemului bancar internațional. Negrilă (2008) subliniază că implementarea unui proces de evaluare a expunerii la risc și un management adecvat al capitalului reprezintă un pas important pentru stabilitatea sistemului bancar românesc. De asemenea el subliniază nevoia de a derula acest proces într-un ritm cât mai alert.
Recenta încheiata criză financiară a dezvăluie noi dimensiuni ale conceptului de risc sistemic în activitatea bancară. Această criză, a demonstrat cât de interconectată a devenit lumea financiară și a arătat modul în care un șoc care provine dintr-o regiune se poate propaga foarte rapid, având impact asupra stabilității financiare din întreaga lume.
Cu scopul de a limita efectele contagiunii bancare sunt identificate abordările internaționale și naționale privind reglementarea riscului bancar și necesitatea îmbunătățirii permanente a procesului de supraveghere bancară. Sunt surprinse obiectivele și rolul managementului riscului în instituțiile bancare fiind identificate tendințele în managementul riscului bancar și relația sa cu guvernanța corporatistă.
Criza financiară, a demonstrat anumite limite în ceea ce privește gestionarea eficientă a riscului. În acest sens autoritățile de supraveghere au dezvoltat o serie de metode și tehnici pentru a detecta, monitoriza și previziona riscul. În contextul actual, pentru a îmbunătăți stabilitatea sistemului bancar și pentru a preveni riscul sistemic, s-a propus revizuirea Acordului Basel II. A fost necesară o revizuire fundamentală a reglementărilor prudențiale existente, concretizată în Acordul Basel III. Acest nou acord aduce mai multă claritate în domeniul financiar bancar, abordează o gamă mai largă de riscuri, oferind o mai bună reglementare.
1.3. Tendințe în managementul riscului bancar
Băncile au o putere de influență nebănuită; acestea au căpătat din ce în ce mai multe drepturi și guvernează într-o anumită măsură viețile a miliarde de oameni. Acest lucru se datorează faptului că ele joacă un rol fundamental în performanța economică, precum și în toate formele de comerț și industrie.
Existența unor tehnici de management al riscurilor bancare prezintă avantaje importante pentru instituția bancară, iar lipsa acestora poate avea consecințe grave.
Tehnicile de evaluare și de management al riscurilor bancare sunt în plină dezvoltare, ele sunt utilizate tot mai des în managementul performant al instituțiilor de credit, pentru a se limita cât mai mult efectele negative ale asumării acestor riscuri care sunt generate și amplificate de schimbările permanente în plan financiar și instituțional.
Este evidentă nevoia corelării managementului riscului de credit, cu cel de piață și cu cel operațional, cu scopul de a echilibra sistemul gestionării riscurilor bancare, rezultând într-un sistem integrat al managementului riscurilor. În acest context, este nevoie de revizuirea reglementărilor internaționale în domeniul riscului bancar prin adaptarea continuă a metodelor de management al riscurilor la realitățile economice, precum și întocmirea de către fiecare instituție bancară a unui plan de lichiditate care să fie mereu supus testelor de stress, pentru a se putea identifica din timp existența unor factori perturbatori.
Băncile pot gestiona cu succes riscurile bancare doar dacă recunosc rolul strategic al gestiunii riscurilor, dacă folosesc analiza si gestiunea în vederea creșterii eficientei, dacă adoptă măsuri precise de adaptare a performanței la risc și, dacă vor crea mecanisme de raportare a performanței în funcție de risc, pentru a se asigura că investitorii înțeleg impactul gestiunii riscului asupra valorii instituției bancare.
Gestionarea riscurilor bancare este strans legată de gestionarea rentabilității băncii. Riscurile mari sunt asociate, de regulă, unor operațiuni cu rentabilitate ridicată. Banca își asumă riscuri pentru a obține rezultate bune. De exemplu, banca acceptă să crediteze clienți mai riscanți, deoarece ea obține astfel un venit în plus, care este în același timp un venit mai mare decat cel asociat de regulă clienților buni. Orice decizie de plasament trebuie judecată în același timp în termeni de risc și de performanțe.
Gestionarea riscurilor urmărește câteva scopuri principale:
Asigurarea continuității activității bancare, prin reducerea pierderilor aparute în urma manifestării riscurilor;
Extinderea controlului intern pentru creșterea performanțelor bancare și crearea posibilității comparării acestora pe diferite centre de responsabilitate, tipuri de activități, clienți;
Oferirea de date necesare persoanelor responsabile pentru luarea deciziilor de valorificare a resurselor. În acest caz se urmarește prezentarea unor consecințe cuantificabile rezultate din varianta aleasă de cel ce decide;
Generarea de informații necesare creării unor portofolii de activități echilibrate, care să permită bancii obținerea de rezultate în condiții de risc minim.
Portofoliul băncii se structurează pe ramuri economice după gradul de risc al acestora și banca își selectează clienții pentru fiecare ramură după capacitatea financiară și respectarea obligațiilor financiare. Menținerea unor clienți importanți este preferabilă unor clienți mai mici, precum și atragerea clientelei din ramurile cu randament economic superior care au un grad mai mic de risc în activitatea lor.
Banca trebuie să studieze piața și să ofere produsele și serviciile care se cer. Din contactul cu clienții, din discuțiile despre strategiile acestora se pot stabili noi orientări și încheia noi aranjamente pe termene mai lungi, deci o permanentizare și o dezvoltare a relațiilor.
Calitatea managementului este esențială pentru bancă în evaluarea riscurilor și deosebită de informațiile financiare, cele culese din discuțiile cu managementul executiv și acționarii sunt deosebit de importante în efectuarea de noi plasamente. Calitatea managementului este singurul indicator nonfinanciar care se cuantifică de către bancă pe baza unor criterii proprii și reprezintă un punct de referință în analiza de creditare.
Toate aceste informații nonfinanciare permit să se completeze informațiile financiare și să se fundamenteze mai bine deciziile de creditare.
Dependența de IT
Societatea umană cunoaște în momentul de față una din cele mai profunde transformări din întreaga ei existență, în care informatica joacă un rol determinant. Dacă deceniul trecut a fost marcat de apariția și perfecționarea calculatoarelor personale, ușor accesibile și la prețuri din ce în ce mai scăzute, deceniul anilor '90 este caracterizat de conectivitatea tot mai pronunțată, adică fuziunea dintre calculatoare și comunicații: cele mai multe calculatoare sunt folosite azi în interconectare, în rețele locale – LAN și în rețele de arie largă – WAN, ceea ce conferă informaticii un rol determinant în asigurarea legăturilor științifice, de afaceri, bancare sau de natură umană între persoane și instituții.
Trăim astăzi într-o lume în care sute de milioane de calculatoare, deservind utilizatori foarte diverși, sunt interconectate într-o infrastructură informatică globală, numită în media și Cyberspace (“Spațiul Cibernetic”). Specialiștii caută și găsesc, cu o viteză de-a dreptul incredibilă, soluții tehnice pentru dezvoltarea capacității de comunicație a calculatoarelor și pentru sporirea calității serviciilor de rețea oferite. În același timp societatea se adaptează din mers noilor tehnologii informatice, învățând să trăiască în această lume nouă, dominată de calculatoare și comunicații între acestea.
Internetul, cea mai amplă rețea de rețele de calculatoare din lume, care se apreciază că are câteva zeci de milioane de utilizatori zilnic, interconectând peste 30 de mii de rețele de pe tot globul și peste 2,5 milioane de computere, reprezintă embrionul a ceea ce se cheamă information superhighway ("autostrada informatică").
Trebuie remarcat însă că, odată cu integrarea în cotidian a tehnologiilor electronice de informare și comunicare, au apărut și probleme legate de lipsa de responsabilitate în utilizarea liberă și perfect echitabilă a facilităților din Internet.
Rețelele de calculatoare sunt structuri deschise, la care se pot conecta un număr mare și uneori necontrolat de calculatoare. Complexitatea arhitecturală și distribuția topologică a rețelelor conduc la o mărire necontrolată a mulțimii utilizatorilor cu acces nemijlocit la resursele rețelei – fișiere, baze de date, routere etc. – de aceea putem vorbi de o vulnerabilitate a rețelelor ce se manifestă pe variate planuri. Din această cauză, un aspect crucial al rețelelor de calculatoare, în special al comunicațiilor pe Internet, îl constituie securitatea informațiilor.
Nevoia de securitate și de autenticitate, apare la toate nivelele arhitecturale ale rețelelor. În contextul afacerilor, informația și procesele pe care se sprijină sistemele și rețelele informatice sunt subiecte deosebit de importante. Cele trei caracteristici de bază ale informației, anume confidențialitatea, integritatea si disponibilitatea, sunt esențiale pentru menținerea competitivității, profitabilității, legalității și imaginii comerciale ale unei organizații.
Utilizatorii situați la mari distante trebuiesc bine identificați – în mod tipic prin parole. Din nefericire, sistemele de parole au devenit vulnerabile, atât datorită hacker-ilor care și-au perfecționat metodele cât și datorită alegerii necorespunzătoare a parolelor de către utilizatori.
În tranzacțiile financiare, alături de autenticitate și confidențialitate, un loc de mare importanță îl are și integritatea mesajelor, ceea ce înseamnă că mesajul recepționat nu a fost alterat în timpul tranziției prin rețea. În tranzacțiile de afaceri este foarte important ca odată recepționată o comandă, aceasta să fie nu numai autentică, cu conținut nemodificat, dar să nu existe posibilitatea ca expeditorul să nu o mai recunoască, adică să se respecte proprietatea de nerepudiere.
În aceste circumstanțe, securitatea informatică a devenit una din componentele majore ale Cyberspace. Analiștii acestui concept au sesizat o contradicție aparentă între nevoia de comunicații și conectivitate, pe de o parte, și necesitatea asigurării confidențialității și autentificării datelor la calculatoare și rețele, pe de altă parte.
Domeniul relativ nou al securității informatice caută o serie de soluții tehnice pentru rezolvarea acestei contradicții. Viteza și eficiența pe care o aduc comunicațiile instantanee de documente și mesaje (poștă electronică, mesagerie electronică, transfer electronic de fonduri, etc.) actului decizional al managerilor care acționează într-o economie puternic concurențială, conduc la un fel de euforie a utilizării rețelelor, bazată pe un sentiment fals de securitate a comunicațiilor, care poate transforma potențialele câștiguri generate de accesul la informații, în pierderi majore cauzate de furtul de date sau de inserarea de date false sau denaturate.
În momentul de față, împotriva încercărilor de utilizare frauduloasă a facilităților din Internet sunt implementate mecanisme hard și soft care au ca obiectiv securitatea rețelei; acestea previn accesul neautorizat și furturile de informații, precum și tentativele de fraudă în procesele de informare/comunicare și mai ales în tranzacțiile financiare și comerciale desfășurate pe cale electronică.
Impactul pozitiv al mijloacelor electronice de informare și comunicare este esențial, are un rol masiv în crearea noii societăți informaționale și prevalează asupra unor neajunsuri care, în ultimă instanță, nu sunt deloc noi pe plan social ci doar au dobândit forme electronice.
Românii sunt extrem de calificați în IT și, pe lângă toți tinerii care și-au găsit drumul lor în cele mai bune companii de IT din întreaga lume sau în firme mai mici, asistăm acum la a doua generație de adolescenți care dovedesc că sunt printre cei mai buni hackeri din lume. Uni dintre ei, din păcate, angajați împreună cu hackeri străini, în organizații criminalitate informatică. Dacă până de curând, pentru aceste organizații a fost mai profitabil să jefuiască datele cardurilor de credit ale cetățenilor bogați ai lumii, acum a devenit mai interesant jocul „de acasă” și să fure baze de date întregi, vitale pentru o companie locală profitabilă sau a unor instituții bancare.
CAPITOLUL II: INTERNETUL – PLATFORMĂ DE COMUNICAȚIE PENTRU SISTEMELE BANCARE
2.1. Internetul – canal de acces la servicii on-line
Datorită extinderii sale rapide, Internetul aduce noi oportunități pentru industria bancară. Posibilitățile de dezvoltare sunt uriașe. Astfel canalele neconvenționale au dus la apariția conceptului de BANCĂ VIRTUALĂ, definită de revista Banking Technology ca „banca în care contactul poate fi făcut printr-o varietate de canale, dar menținând aceeași interfață si accesând aceleași servicii".
TI înseamnă hardware, software, comunicații, rețele, baze de date, automatizarea lucrărilor de birou precum și toate celelalte echipamente și componente software necesare prelucrării informației.
Sistemul informatic bancar are funcția de prelucrare automată a datelor pentru obținerea informațiilor necesare procesului de conducere și pentru informare.
Pornind de la funcția sa, sistemul informatic are următoarea structură generală:
INTRĂRI: totalitatea datelor supuse prelucrărilor;
PRELUCRĂRI: totalitatea operațiilor efectuate asupra datelor pentru obținerea informațiilor care stau la baza deciziilor;
IEȘIRI: rezultatele prelucrărilor efectuate asupra datelor, prin interpretarea cărora se obțin informațiile care fundamentează deciziile.
Ca arhitectură (model constructiv), sistemul informatic este alcătuit din:
HARDWARE: Sistemul de calcul (calculator și echipamente periferice);
SOFTWARE: Sistemul de Operare (SO): Windows (98,ME,2000,XP), Apple MAC,.
– programe pentru dezvoltarea de aplicații: Sisteme de Gestiune a Bazelor de Date – SGBD-uri (Access, Fox, etc.) etc.
– limbaje de programare (Visual Basic, C++ etc.);
– programe sau aplicații de utilizator (salarii, contabilitate, secretariat, conturi clienți, valuta etc.)
COLECȚII ORGANIZATE DE DATE: Baze de Date – BD;
SISTEM DE COMUNICAȚII: intranet, internet, telecomunicații etc.;
RESURSE UMANE: personal tehnic, personal de exploatare, utilizatori etc.;
CADRU ORGANIZATORIC.
Până de curând, sucursala bancară era considerată principalul canal de livrare pentru serviciile bancare. În ultimii ani însă canalele neconvenționale au câștigat teren în preferințele clienților, datorită în special:
– Costurilor crescute pentru construirea sucursalelor bancare.
– Costurilor de livrare mari prin canale convenționale.
– Scăderii costurilor comunicațiilor și echipamentelor.
– Cererii crescute pentru servicii mai bune și mai facile.
Astfel clientul are libertatea de a alege dintr-o gamă largă de canale ca: ATM, telefon, terminal la distanță, terminal POS, Video Kiosk, telefon mobil, Internet.
Internet banking, uneori este denumit serviciu bancar online și reprezintă o formă mai avansată de PC banking. Serviciile bancare de Internet sunt cunoscute ca fiind servicii virtuale (cyber, net) interactive sau web-banks (web-site-urile băncilor).
Serviciile bancare la distanță (Remote Banking), realizate pe cale electronică (e-banking), au început să se dezvolte începând cu anul 1995, an în care banca americană Prezidențial Bank din Mariland a lansat primele servicii bancare prin Internet. La jumătatea anului 2004, peste 17% dintre americani utilizau serviciile bancare electronice (e-bancă). În prezent, serviciile bancare electronice sunt folosite, în special, de europeni: 48 de milioane de europeni, față de 21 de milioane de americani și, respectiv 20 de milioane de japonezi. În anul 2004, circa 16.000 de instituții financiare din întreaga lume ofereau servicii de e-bancă, acum aceste au devenit o practică curentă a instituțiilor bancare.
Serviciile e-banking utilizează computerul și tehnologiile electronice ca suport pentru efectuarea de plăți și alte transferuri de documente. Prin utilizarea serviciului "Personal Computer Banking" nu mai este nevoie ca să te deplasezi la bancă pentru a-ți ridica extrasele de cont, pentru a efectua plăți în lei sau valută și pentru a verifica dacă debitorii și-au onorat obligațiile. Toate acestea se pot efectua de la birou, prin intermediul computerului. În plus, serviciul "Personal Computer Banking" este disponibil 24 de ore din 24, 7 zile pe săptămână.
Tranzacțiile efectuate prin intermediul instrumentelor de plată electronică și relațiile dintre participanții la aceste tranzacții sunt reglementate de Regulamentul BNR nr. 4/2002. Instrumentul de plată electronică poate fi atât un card sau un alt instrument de plată cu acces la distanță, cât și un instrument de plată de tip monedă electronică (e-money).
În România, serviciile bancare electronice s-au dezvoltat rapid în ultimii ani și sunt în continuare în curs de dezvoltare și extindere. În conformitate cu Ordinul ministrului Comunicațiilor și Tehnologiei Informației nr. 389/2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking, Ministerul Comunicațiilor și Tehnologiei Informației a eliberat avize pentru diverse servicii bancare electronice către 28 de bănci din România, ulterior numărul acestora crescând.
Serviciile bancare electronice reprezintă serviciile bancare care pot fi puse la dispoziția persoanelor fizice și a companiilor de către o bancă prin mijloace electronice sau parțial electronice, în general, prin intermediul unui telefon fix sau mobil, dar și prin Internet.
Aceste servicii permit administrarea totală sau parțială a unui cont bancar, efectuată de deținătorul contului, contul putând fi curent, la termen sau de card, fără a mai fi necesară deplasarea deținătorului de cont la ghișeul băncii.
Serviciile bancare electronice oferă acces la diverse informații de cont și financiar bancare, în general, și pot permite efectuarea de transferuri de fonduri și plăți din cont.
Deținătorii de conturi pot avea acces la aceste servicii dacă se înregistrează la bancă în acest scop și primesc, după acceptarea înregistrării, o modalitate de identificare unică (nume, parolă, PIN – Personal Identification Number, expresii de control, dispozitiv special etc.), care să le permită o utilizare sigură a serviciilor.
Sistemul bancar românesc s-a transformat continuu, absorbind o parte din inflexiunile evoluției economiei românești. Reforma profundă a dat naștere la un nou sistem bancar, diferit fundamental atât la nivel operațional, cât și structural față de sistemul care a funcționat până în 1990.
Noua istorie a sectorului bancar intern a fost marcată de elemente cu o semnificație deosebită, precum apariția și consolidarea unei comunități a băncilor comerciale independente, constituirea și întărirea treptată a structurii și activității de supraveghere specifice unui mediu bancar dezvoltat, extinderea pe piața românească a activității instituțiilor bancare internaționale, formarea unei culturi bancare pe piața locală, concomitent cu apariția de noi produse și servicii adaptate cerințelor unei clientele tot mai sofisticate, intensificarea concurenței pe o piață încă insuficient consolidată, formarea și dezvoltarea piețelor financiare adiacente – de capital, de asigurări, de leasing și a fondurilor de investiții – monitorizate de instituții specifice de reglementare și supraveghere.
Pe piața bancară românească în ultimii ani au început să se simtă unele „mișcări” importante care denotă o anumită creștere a concurenței. De fapt, intrarea pe piață a unor bănci străine ca Société Générale, Raiffeisen, și extinderea activității ING Bank sau ABN AMRO Bank, au fost de natură să schimbe strategiile băncilor, să le determină să treacă la o abordare mai agresivă a pieței, să mărească nivelul investițiilor. Recent, mai ales pe piața de retail banking putem găsi ipostaze ale concurenței bancare dintre cele mai îmbucurătoare pentru clienți, însemnând de fapt practici existente deja pe piețele europene dezvoltate (de cele mai multe ori, însemnând implementarea în România, de către unele bănci străine a unor servicii și produse bancare pe care le ofereau de ceva vreme pe piețele lor de origine, întrucât printre cele mai active bănci întâlnim BRD-GSG, Unicredit România, Raiffeisen Bank, ABN Amro Bank sau ING Bank).
2.2. Beneficiile utilizării Internetului ca mediu pentru serviciile bancare
Una din problemele curente ale e-banking-ului o reprezintă impactul acestui serviciu asupra jucătorilor tradiționali bancari. Faptul că Internet-ul a revoluționat economia este un adevăr care poate fi demonstrat prin principalele avantaje ale clientului care utilizează acest serviciu e-banking:
• instalarea programului, instruirea clientului și asistența tehnică sunt gratuite;
• legătura electronică permanentă cu banca în scopul obținerii informațiilor financiar – bancare on–line;
• transfer rapid al sumelor în valută spre și dinspre România;
• beneficiarii sumelor primite nu plătesc comision;
• siguranța și confidențialitatea tranzacțiilor efectuate.
Serviciile bancare prin Internet (Internet Banking, Web Banking) sunt din ce în ce mai folosite, în special, pentru că pot avea loc în condiții de siguranță sporită și pot oferi gama completă de servicii bancare. Legătura de telecomunicații până la serverul e-băncii se asigură prin protocolul SSL/TLS (Transaction Layer Security), iar solicitantul este identificat prin nume și parolă.
Serviciile bancare electronice se pot obține și prin intermediul unui telefon mobil (Mobile Banking), în două modalități: prin utilizare de mesaje SMS și prin acces la Internet prin protocolul WAR. Se pot folosi celulare speciale, cu cipul SIM (Subscriber Identity Module) extins ca funcțiuni, rezultat în urma colaborării dintre bancă și operatorul de telefonie mobilă care furnizează și aparatul (cu SIM-ul extins), sau celularele obișnuite, care nu necesită nici o modificare. Pentru utilizarea mesajelor SMS, se formează un număr special de telefon mobil al băncii, iar pentru acces la WAP se formează o adresa de Internet a site-ului de bancă sau a unui server al operatorului mobil, care e legat și cu banca.
Fiecare bancă devenită e-bancă oferă unele dintre aceste servicii sau chiar pe toate, grupate pe pachete de servicii adecvate unor anumite canale de acces. Dacă accesul se face, de exemplu, prin SMS de la un telefon mobil, atunci, de regulă, se oferă numai informații, în vreme ce în cazul unui acces prin Internet pot fi disponibile toate serviciile, inclusiv plățile și transferurile.
În general, serviciile bancare electronice, se pot clasifica în două categorii:
– furnizarea de informații,
– efectuarea de transferuri de fonduri și de plăți.
a) Informațiile bancare furnizate electronic de bancă sunt informații cu privire la contul bancar și informații financiar-bancare generale, cum ar fi cele referitoare la cursul de schimb valutar, dobânzile sau comisioanele curente, rețeaua de ATM-uri, cele de utilitate generală. Informațiile cu privire la cont se referă la: valoarea soldului contului curent, istoricul tranzacțiilor efectuate în și din cont, situația extraselor de cont. Tot în categoria informațiilor bancare furnizate electronic se pot încadra și mesajele SMS trimise de bancă deținătorului de cont de card, la momentul efectuării unei tranzacții cu cardul.
b) Transferurile de fonduri din cont pot fi transferuri intrabancare (contul receptor e în aceeași bancă cu contul emițător) sau interbancare. Plățile ordonate se pot efectua către un cont intrabancar (între clienții băncii), către o alta bancă sau către trezorerii, în moneda țării sau în altă monedă. Se poate ordona vânzarea sau cumpărarea de valută. O companie poate ordona plata salariilor către angajații săi, pornind de la un cont de salarii al companiei, către o listă prestabilită de conturi de salariați (care pot fi și conturi de card). Se pot face plăți de facturi și de reîncărcare a cartelelor telefonice.
Activitatea de private banking are în vedere nevoile unice ale fiecărui client. În funcție de apetitul de risc, de obiective și de structura dorită are loc selectarea produselor în vederea construirii unui portofoliu coerent și personalizat pentru fiecare client. Obiectivele de investiție privesc riscul/randamentul pe total portofoliu.
Pentru utilizatorul-persoană fizică online, banking-ul prezintă următoarele avantaje:
– Costuri reduse pentru accesul și folosirea diferitelor produse și servicii bancare;
– Comoditate. Toate tranzacțiile bancare pot fi efectuate de acasă sau de la birou, fără a fi necesară deplasarea la sediul băncii.
– Viteză. Răspunsul mediului este foarte rapid, astfel încât clientul poate aștepta până în ultimul minut pentru a iniția un transfer de fonduri.
– Administrarea fondurilor.
Clientul poate avea istoricul diferitelor conturi și poate face analize pe propriul computer înainte de a realiza o tranzacție pe web.
Pentru clienții instituționali, avantajele sunt:
– Costuri reduse pentru accesarea și utilizarea diferitelor produse și servicii, solicitarea de credite, deschiderea de acreditive etc.
– Acces la informații. Corporațiile pot avea acces la informații, putând vedea situația conturilor printr-un simplu click de mouse.
– Managementul lichidităților.
Serviciile bancare prin internet permit clienților instituționali să-și transfere banii dintr-un cont într-altul pentru a face plăți, având și o imagine permanentă asupra lichidităților.
O definire exactă a ceea ce înseamnă private banking este problematică la fel cum produsele și serviciile oferite pot varia considerabil de la o țară la alta dar și în funcție de nevoile clienților. De exemplu, situația economiei naționale, funcționarea pieței de capital, taxele și legile privind moștenirile pot avea o influență puternică asupra tipurilor de servicii cerute de clienți. În plus, structura organizatorică a instituției care oferă servicii de private banking poate, de asemenea să influențeze serviciile oferite.
Globalizarea piețelor financiare a facilitat accesul clienților private banking la mai multe produse, contribuind astfel la diversificarea eficientă a portofoliului în scopul optimizării randamentului.
CAPITOLUL III. MANAGEMENTUL RISCULUI ÎN CONTEXTUL DEZVOLTĂRII TEHNOLOGIEI INFORMAȚIONALE.
3.1. Managementului riscului sistemelor informatice bancare
În desfășurarea oricărei activități economice, financiare sau bancare nu se poate imagina fără utilizarea unui puternic suport informațional care să asigure avantajul concurențial în raport cu ceilalți competitori de pe piață. A dobândi cunoaștere prin informația obținută este rolul tehnologiei informației (TI).
De aceea o atenție sporită se acordă astăzi problemelor legate de managementul sistemului informatic care se ocupă cu planificarea dezvoltării sistemului informatic la nivel de firmă, și folosirea TI cu scopul susținerii personalului specializat în prelucrarea datelor în vederea obținerii informațiilor necesare luării deciziilor.
Pentru multe organizații, informația și tehnologia informației ce o susțin sunt cele mai valoroase, însă deseori și cele mai puțin înțelese bunuri. Băncile au înțeles atât avantajele oferite de noile tehnologii, cât și riscurile aferente lor. Conform COBIT, unul din cele cinci domenii de bază pentru guvernarea TI în cadrul organizației este managementul riscurilor aferente tehnologiei informației. Acest domeniu ține de conștientizarea riscurilor TI, stabilirea clară a nivelului riscului acceptabil, a responsabilităților pentru gestiunea acestor riscuri la toate nivelurile, definirea unui proces transparent de management. Primele trei elemente sunt necesare pentru a permite derularea adecvată a celui de al patrulea element – procesul de management al riscurilor TI.
Obiectivul procesului de management al riscurilor TI este gestionarea riscurilor generate de utilizarea tehnologiei informației într-o manieră eficace și cost-eficiență. Eficacitatea procesului aici constă în diminuarea impactului riscurilor TI asupra capacității unei bănci de a-și atinge obiectivele de activitate până la nivelul acceptabil stabilit. Managementul riscurilor TI este procesul continuu, în cadrul căruia acestea sunt identificate, impactul de realizare a lor – evaluat și măsurile adecvate de control al riscurilor – implementate.
Riscul poate fi definit ca fiind combinația dintre probabilitatea de realizare a unui anumit eveniment și consecințele sale. După cum menționam mai sus, riscurile TI pot afecta capacitatea băncilor de a-și atinge obiectivele de activitate. Respectiv, riscurile TI sunt riscuri la nivelul organizației.
Orice bancă cu o viziune contemporană în domeniul managementului riscurilor de activitate are definit și implementat un Sistem de Control Intern (SCI) aferent proceselor sale de activitate. În cadrul SCI, de obicei, sunt definite riscurile generice pe care banca le consideră în raport cu obiectivele sale de activitate.
Căderea unui sistem aplicativ critic va afecta procesele de activitate ce utilizează sistemul respectiv, prin urmare riscul TI se va manifesta în cazul acesta prin riscul operațional la nivelul proceselor de activitate ce utilizează sistemul aplicativ. Compromiterea confidențialității informației cu privire la baza de clienți ai organizației poate genera riscuri financiare, reputaționale sau chiar legale.
Riscurile TI implică resurse TI. Resursele TI ale unei bănci sunt următoarele: informația, aplicații-program, infrastructura informațională, oamenii.
Riscurile generice, la rândul lor, se manifestă prin riscuri concrete, detaliate, aferente nemijlocit resurselor TI și proceselor TI ce implică utilizarea resurselor respective. De exemplu, o eroare în cadrul unui sistem aplicativ poate duce la blocarea sistemului, în felul acesta informația necesară businessului nu va mai fi disponibilă. Astfel, este afectat criteriul disponibilității informației, iar riscul de erori la nivelul softului aplicativ constituie un risc de compromitere a disponibilității informației.
Funcționarea băncilor în condiții optime a condus la structurarea unui model sistemic al băncii format din trei componente: subsistemul decizional, subsistemul informațional și subsistemul operațional.
Subsistemul decizional pune în valoare informațiile obținute de la subsistemul informațional și le folosește în derularea actului decizional. La nivelul subsistemului decizional se restructurează modul de pregătire, adoptare, aplicare și evaluare a deciziilor, astfel încât fiecare manager, după implementarea sistemului de management al calității, știe cu mai multă claritate care este poziția lui în cadrul subsistemului decizional al organizație.
Subsistemul informațional are un dublu rol:
– asigură tot suportul informațional necesar luării oricăror decizii la toate nivelurile (conducere, control) – flux ascendent.
– asigură căile de comunicare între subsistemul operațional și subsistemul decizional – flux descendent.
La nivelul subsistemului informațional se produc schimbări în modul de colectare a datelor și de structurare a informațiilor necesare pentru luarea deciziilor și pentru desfășurarea activității, apar modificări ale circuitelor și fluxurilor informaționale astfel încât să crească viteza de luare a unor decizii precum și capacitatea de răspuns a organizației la diverșii factori care influențează profitabilitatea organizației;
3.2. Încrederea în IT
Încrederea actorilor implicați în utilizarea sistemelor informatice sau în valorificarea rezultatelor furnizate de acestea în cadrul unei entități (management, utilizatori, auditori) este determinată atât de calitatea informațiilor obținute, cât și gradul în care se asigură utilizarea tehnologiilor informatice ca instrumente accesibile și prietenoase în activitatea curentă.
Factori de risc
(a) Complexitatea sistemului și documentația disponibilă.
Sunt apreciate prin percepția privind complexitatea calculelor și a proceselor controlate de către sistemele IT, prin amploarea automatizării activităților desfășurate în cadrul entității, prin calitatea și varietatea interfețelor, prin informațiile documentare aferente utilizării aplicațiilor și sistemului. De asemenea, este relevantă opinia utilizatorilor despre dificultatea operării.
Riscurile asociate unor politici neadecvate în ceea ce privește existența și calitatea documentației sunt generate de practici de lucru neautorizate adoptate de personalul IT, de creșterea numărului de erori produse din această cauză de personalul IT, la care se adaugă și dificultatea întreținerii sistemului, precum și dificultatea diagnosticării erorilor.
Politica privind documentarea impune în primul rând păstrarea și utilizarea documentației actualizate la ultima versiune și păstrarea unei copii a documentației într-un loc sigur în afara sediului entității.
(b) Integrarea/fragmentarea aplicațiilor.
Opinia privind gradul de integrare a aplicațiilor în sistem decurge din analiza arhitecturii acestuia. În cele mai multe cazuri entitatea nu deține o soluție integrată a sistemului informatic, acesta fiind constituit din implementări de aplicații insularizate, dedicate unor probleme punctuale (aplicația financiar-contabilă, aplicații dedicate activității de bază a entității etc.). Acest tip de arhitectură prezintă dezavantaje la nivelul utilizării, precum și o serie de impedimente cum ar fi: dificultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicațiilor și a evita multiplicarea informațiilor.
Tranzacțiile sunt procesate în cadrul unor aplicații informatice distincte, informațiile introduse în sistem sunt validate într-o manieră eterogenă, respectiv prin proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea și corectarea erorilor de intrare, precum și detectarea inconsistenței sau redundanței datelor.
Lipsa unei soluții integrate se reflectă de asemenea în existența unor baze de date diverse, unele instalate pe platforme hardware/software învechite, existența unor interfețe utilizator diferite și uneori neadecvate, a unor facilități de comunicație reduse și a unor probleme de securitate cu riscuri asociate.
(c) Erori sistematice/intervenții manuale.
Pentru a evalua siguranța în funcționare și pentru a detecta cauzele tipice în situația fiabilității scăzute a sistemului informatic, este necesară efectuarea unei examinări privind erorile raportate în cadrul utilizării sistemului și în ce măsură este asigurat suportul tehnic pentru analiza și corectarea acestora în mediul de producție, în ce măsură datele generate de sistem suferă prelucrări manuale adiționale din partea utilizatorilor, precum și problemele de reconciliere între diverse sisteme informatice sau din cadrul sistemului. Gradul ridicat de fragmentare al sistemului informatic implică acțiuni frecvente ale utilizatorului în procesul de prelucrare și influențe în ceea ce privește respectarea fluxului documentelor, ceea ce crește foarte mult riscul de eroare.
(d) Scalabilitatea sistemului.
În funcție de soluția arhitecturală implementată și de estimările inițiale privind dimensiunea bazei de date și complexitatea prelucrărilor, un sistem poate "rezista" sau nu la creșteri semnificative ale volumului de tranzacții generate de schimbări majore în activitatea entității. Estimarea riscului ca, în viitorul apropiat, sistemul informatic să nu poată suporta creșterea volumului de tranzacții implică decizii importante la nivelul managementului, în sensul reproiectării acestuia, și, implicit, privind alocarea unui buget corespunzător.
(e) Sisteme depășite.
Evoluțiile remarcate în activitatea organizațiilor, cât și dinamica crescută în evoluția tehnologiilor informației se reflectă frecvent în dificultatea sau imposibilitatea adecvării ritmului schimbărilor sistemelor informatice cu nivelul tehnologic. Succesul afacerii va avea de suferit în lipsa unui management al schimbării platformelor hardware/software corespunzător, prin adoptarea unor politici de înlocuire a sistemelor depășite și de creștere continuă a nivelului tehnologic.
Cu toate că în urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa de viață el trebuie întreținut, schimbat sau modificat, fapt care are impact asupra controalelor existente și poate afecta funcționalitatea de bază a acestuia. Revizuirea controalelor schimbării și schimbarea acestora sunt necesare pentru a asigura continuitatea sistemelor în ceea ce privește funcționalitatea și modul de operare.
3.3. Riscurile implementării plăților electronice
Datorită schimbărilor rapide intervenite în tehnologia informatică, băncile se confruntă cu riscuri specifice activităților de bancă electronică și monedă electronică. Dezvoltarea și utilizarea „e-money” și a diverselor forme de „e-banking” sunt într-o continuă dezvoltare.
Moneda electronică reprezintă banii depozitați prin mijloace electronice în vederea efectuării unor plați via terminal POS, transferuri directe, sau prin rețeaua calculatoarelor, așa cum este Internet-ul.
Produsul cu valoare înmagazinată cuprinde:
– „hardware” sau mecanisme care se bazează pe cartele („portofele electronice”),
– „software” sau mecanisme care se bazează pe rețea („digital cash”).
Moneda electronică îmbracă mai multe forme:
„Debit cards” – prin utilizarea acestora utilizatorul este împuternicit să cumpere mărfuri prin efectuarea unui transfer electronic de fonduri direct din contul personal de la bancă în contul comerciantului,
„Stored-Value Card” – sunt carduri care se aseamănă cu cardurile de debit și de credit, dar se disting prin faptul că ele conțin o sumă fixă de „digital cash”,
„Electronic cash” – reprezintă un exemplu din lumea reală a sistemelor electronice de plăți, care folosesc poșta electronică sau Web-ul.
„Electronic Checks” – acesta permite utilizatorului Internet-ului să-și achite facturile direct prin Internet fără să mai transmită fila de cec.
La acest nivel, se pare că riscul operațional, riscul reputațional și riscul juridic reprezintă cele mai importante categorii de riscuri, în special pentru băncile internaționale.
Riscul operațional apare dintr-o potențială pierdere datorată unor deficiențe semnificative în integritatea și viabilitatea sistemului. Considerentele de securitate sunt supreme, dacă băncile sunt subiecte de atac extern sau intern asupra produselor și sistemelor lor. Riscul operațional poate apărea din neutilizarea corectă a sistemelor de bani electronici sau bancă electronică, precum și din realizarea sau implementarea neadecvată a acestor sisteme. În această categorie se încadrează următoarele riscuri:
Riscul de securitate.
Controlarea accesului la sistemele băncii a devenit din ce în ce mai complexă datorită capacităților dezvoltate ale calculatorului, dispersării geografice a punctelor de acces și utilizării variatelor căi de comunicații incluzând rețelele publice cum ar fi Internet-ul.
Accesul neautorizat la rețea ar putea conduce la pierderi directe, adăugarea unor datorii clienților etc. Ar putea, de asemenea, avea loc o varietate a problemelor de autentificare și acces specific. De exemplu, controalele neadecvate ar putea conduce la atacuri reușite ale hacker-ilor care operează prin Internet, care ar putea accesa, salva și utiliza informații confidențiale despre clienți.
În lipsa unor controale adecvate, o terță persoană ar putea avea acces la sistemul computerizat al băncii și ar putea să-l viruseze. Pe lângă atacurile externe asupra sistemelor băncii electronice și banilor electronici, băncile sunt expuse riscului operațional în ceea ce privește frauda angajaților. Angajații ar putea achiziționa clandestin date legate de autentificare în vederea accesării conturilor clienților sau pentru furarea cardurilor cu valoare înmagazinată. Erorile datorate angajaților ar putea, de asemenea, compromite sistemele băncii.
O importanță deosebită pentru autoritățile de supraveghere o prezintă riscul contrafacerii banilor electronici, faptă care potrivit codului penal reprezintă infracțiuni. Acest risc poate fi mărit dacă băncile eșuează în incorporarea măsurilor adecvate pentru descoperirea și împiedicarea contrafacerilor. O bancă se confruntă cu riscul operațional din falsificări și devine datoare cu suma soldului banilor electronici falsificați. Mai pot apărea, de asemenea, și costuri datorate reparațiilor unui sistem compromis.
Riscuri legate de proiectarea, implementarea și întreținerea sistemelor.
Astfel, o bancă este expusă riscului unei întreruperi sau încetiniri a sistemelor sale, dacă banca electronică sau banii electronici aleși de bancă nu sunt compatibile cu cerințele utilizatorului.
Riscuri care apar datorită folosirii necorespunzătoare de către clienți a produselor și serviciilor bancare.
Riscul este mărit atunci când o bancă nu își educă corespunzător clienții cu privire la precauțiile de securitate. În plus, în lipsa existenței unor măsuri adecvate de verificare a tranzacțiilor, clienții ar putea să respingă tranzacțiile pe care le-au autorizat în trecut, creându-i astfel băncii numeroase pierderi financiare.
Clienții care folosesc informații personale într-o transmitere electronică neasigurată poate permite persoanelor rău intenționate să obțină accesul la conturile clienților. Ca urmare, banca poate suferi pierderi financiare din cauza tranzacțiilor neautorizate. Spălarea banilor poate fi o altă sursă de îngrijorare.
Procesul de gestionare și control al riscurilor include:
– Politici și măsuri de securitate. Securitatea reprezintă o combinație de sisteme, aplicații practice și control intern utilizate pentru a pune la adăpost integritatea, autenticitatea și confidențialitatea datelor și procedeelor de operare. Politica de securitate enunță intențiile managementului firmei de a susține securitatea informațiilor, dă o explicație cu privire la organizarea securității unei bănci, precizează direcțiile principale care definesc toleranța riscului de securitate al unei bănci. Politica conturează responsabilitățile pentru modelarea, implementarea și întărirea măsurilor de securitate a informației, ea mai poate stabili procedurile pentru evaluarea rezultatelor politicii, pentru întărirea măsurilor disciplinare și pentru raportarea violării securității. Măsurile de securitate includ: criptarea, parolarea, depistarea virușilor etc.
– Comunicarea internă. Conducerea trebuie să comunice personalului cu atribuțiuni cheie cum prevederile sistemelor de bancă electronică și bani electronici intenționează să susțină scopurile generale ale băncii. În același timp, personalul tehnic trebuie să comunice clar conducerii cum sunt proiectate sistemele să funcționeze, care sunt punctele tari și slabe ale sistemului. Pentru asigurarea unei comunicări interne adecvate, toate procedurile trebuie prevăzute în scris. În scopul limitării riscului operațional, conducerea trebuie să adopte o politică comună de educare continuă a cunoștințelor personalului cu noutățile tehnologice.
– Evaluarea produselor și serviciilor înainte ca ele să fie introduse pe o scară largă poate limita riscurile operaționale și de reputație. Testarea validează faptul că echipamentul și sistemele funcționează și produc rezultatele dorite. Programele pilot sau prototipurile pot fi, de asemenea, de ajutor în dezvoltarea unor aplicații informatice noi.
În vederea reducerii riscurilor enumerate este necesară reglementarea tuturor activităților, stabilirea unei infrastructuri adecvate, precum și precizarea celor care trebuie să autorizeze și supravegheze aceste activități. Ca orice operațiune comercială, comerțul electronic are nevoie de o infrastructură specifică. În acest caz, aceasta se compune din trei elemente: infrastructura tehnică, interfața cu componentele comerciale clasice și sistemul juridic specific.
Infrastructura tehnică este constituită din sistemele hardware, software-ul aferent și rețeaua de comunicații. Aceasta constituie de fapt și componenta care a determinat apariția și dezvoltarea comerțului electronic.
Este, de asemenea, necesară o interfață majoră cu sistemele clasice de comerț. Elementul cheie îl reprezintă banca, întrucât orice operațiune comercială este mijlocită de bani. Inserarea unei bănci în sistemul de comerț electronic presupune o conexiune securizată între bancă și utilizator, prin intermediul căreia să se poată efectua operațiunile în timp real.
Chiar dacă în activitatea e-banking sunt riscuri, sunt, de asemenea, oportunități și importante beneficii potențiale pentru clienți, bănci și pentru cei care reglementează domeniul.
3.4. Securitate informatică
Securitatea cibernetică este starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și nonrepudierea informațiilor în format electronic, a resurselor și serviciilor publice sau private, din spațiul cibernetic.
Din păcate, legile UE, sunt complet depășite de era digitală, nu există un concept clar definit, nici chiar cu privire la semantica definirii cuvintelor utilizate – criminalitate informatică, atac cibernetic, război cibernetic, securitate cibernetică. Este pentru prima dată în istorie când, de cele mai multe ori, un criminal știe mai multe decât un specialist în domeniu informatic, să nu mai vorbim despre factorii politici care, în majoritatea lor, pur și simplu nu iau în considerare acest lucru ca fiind o problemă, în timp ce misiunea lor, ca reprezentanți ai noștri, este de a concepe legi și de a elabora planuri strategice de combatere a criminalității informatice.
Strategia în domeniul securității cibernetice, „Un spațiu cibernetic deschis, sigur și securizat”, reprezintă viziunea globală a UE asupra celor mai bune modalități de a preveni și de a gestiona perturbările și atacurile cibernetice. Scopul său este acela de a promova valorile europene de libertate și democrație și de a garanta o creștere a economiei digitale în condiții de siguranță. Sunt prevăzute o serie de acțiuni specifice care au ca obiectiv creșterea nivelului de reziliență a infrastructurilor cibernetice, reducerea criminalității informatice și consolidarea politicii internaționale a UE în materie de securitate cibernetică și de apărare împotriva atacurilor cibernetice.
Strategia definește viziunea UE în materie de securitate cibernetică prin intermediul a cinci priorități:
Obținerea unei reziliențe a infrastructurilor cibernetice,
Reducerea drastică a criminalității informatice,
Dezvoltarea unei politici de apărare împotriva atacurilor cibernetice și a capacităților necesare în contextul politicii de securitate și apărare comună (PSAC),
Dezvoltarea resurselor industriale și tehnologice necesare pentru securitatea cibernetică,
Stabilirea unei politici internaționale coerente a Uniunii Europene privind spațiul cibernetic și promovarea valorilor fundamentale ale UE.
Ideea este de a proteja două lucruri: datele stocate în rețea și echipamentele hardware, conectate la rețea. Intrușii sau hackerii pot intra în rețea și pot modifica orice, pot accesa orice fel de date sau chiar pot cauza deteriorări fizice ale sistemelor.
Protecția împotriva software-ului malițios este un aspect important întrucât cea mai mare amenințare a activelor informatice este dată de pierderea sau indisponibilitatea datelor ca urmare a infestării cu viruși informatici. În toate sondajele, virușii se află printre primele locuri ca sursă a incidentelor de securitate. Milioane de viruși informatici sunt raportați anual. Protecția împotriva virușilor nu o asigură doar administratorul sistemului, ci și utilizatorul.
De exemplu, Malware reprezintă un program sau un fișier care este dăunător pentru calculator, termenul incluzând aici viruși, worm, troieni și spyware (programe care colectează informații despre utilizatori fără permisiune). Programele de tip malware devin din ce în ce mai sofisticate și pot fi folosite pentru a compromite calculatoare, pentru a instala programe zombie de tip DOS (denial of service) sau alte programe dăunătoare.
Programele de tip troian (trojan horse) – numite așa deoarece ascund un cod dăunător în spatele unor documente sau programe "inocente" – au o gamă largă de capabilități. O dată instalate pot fi folosite pentru a executa funcții precum:
colectarea username-ului și a parolelor folosite pentru conturile de e-mail și conturilor bancare,
colectarea de informații privind sistemul și scanarea discurilor,
încărcarea documentelor sau a datelor pe calculatoare aflate la distanță,
descărcarea de programe (de exemplu troieni mai sofisticați),
inițierea unor altor atacuri împotriva unor calculatoare sau rețele de calculatoare.
Un calculator infectat se poate afla sub controlul atacatorului și poate fi direcționat de către acesta spre îndeplinirea unor funcții care în mod normal nu ar fi putut fi disponibile decât deținătorului sistemului.
Exista multe metode prin care programe de tip malware pot ajunge în sistemul unui calculator și nu exista o metoda sigură de a preveni o asemenea infecție. Cu toate acestea, exista câțiva pași cheie care duc la minimizarea riscului:
asigurarea că software-ul antivirus precum și firewall-ul care gestionează drepturile de acces ale aplicațiilor sunt implementate, configurate și actualizate,
instalarea ultimilor actualizări are patch-urilor de securitate disponibile (care au fost deja supuse testărilor),
blocarea rulări fișierelor executabile fără acces explicit, incluzând aici și fișierele executabile arhivate,
implementarea un serviciu de filtrare a spam-urilor,
asigurarea că toate permisiunile de acces ale utilizatorilor reflectă privilegiile acordate,
implementarea un sistem de prevenire al intruziunilor.
Asigurarea integrității datelor și a aplicațiilor software necesită măsuri de protecție prin care să se prevină și să se detecteze introducerea unor aplicații ilegale în sistemul bănci.
Aplicațiile tip antivirus trebuie instalate pe toate calculatoarele din sistem iar utilizatorii trebuie instruiți cu privire la folosirea acestora.
Alte aspecte ce fac obiectul managementului operării și comunicațiilor vizează:
• întreținerea sistemului, incluzând realizarea copiilor de siguranță, întreținerea jurnalelor de operare, menținerea înregistrărilor cu erori de operare și execuție.
• managementul rețelei, necesar asigurării rețelelor de calculatoare.
• manipularea și securitatea mediilor de stocare, pentru a preveni întreruperea activităților afacerii.
• schimbul de aplicații și date între organizații, pentru a preveni pierderea, alterarea sau utilizarea improprie a informației.
Pentru protecția rețelei sunt disponibile tehnologii specializate ce pot fi folosite în implementarea măsurilor de securitate și atingerea obiectivelor de control:
• filtru – set de reguli implementate la nivelul unui router sau firewall prin care acesta permite tranzitarea sau nu a traficului către și dinspre rețeaua unei băncii;
• firewall – dispozitiv prin care este controlat traficul dintre rețeaua bănci și rețelele externe acesteia;
• Sistem pentru Detectarea Intruziunilor (IDS – Intrusion Detection System), dispozitiv (hardware sau software) dedicat inspectării traficului unei rețele cu scopul identificării automate a activităților ilicite;
• criptare comunicații – procesul prin care datele sunt aduse într-o formă neinteligibilă persoanelor neautorizate;
• Rețea Virtuală Privată (VPN – Virtual Private Network) – o rețea care permite comunicarea între două dispozitive prin intermediul unei infrastructuri publice (nesigure)
• zona demilitarizată (DMZ) este o parte a rețelei care permite accesul controlat din rețeaua Internet. Mașinile dependente de accesul direct la rețeaua Internet, cum ar fi serverele de email și cele de web sunt adesea plasate în astfel de zone, izolate de rețeaua internă a bănci.
Prevenirea distrugerii mediilor de stocare al cărei efect s-ar concretiza în întreruperea serviciilor sistemului informatic se putea asigura prin controlarea și protejarea mediilor de stocare. Trebuie dezvoltate proceduri prin care este controlat accesul la orice mediu de stocare și la documentația sistemului.
Din punct de vedere al securității, un sistem este divizat în straturi, prin linii orizontale, realizându-se așa-zisa securitate pe nivele multiple (multinivel) prin care se realizează o delimitare netă între diferite categorii de informații din sistem. Această delimitare asigură certitudinea accesării informațiilor numai de persoanele care au autorizație pentru informațiilor accesate.
Programul de securitate al unei companii trebuie să se supună unor elemente constitutive, și anume: efectuarea structurării programului de securitate, definirea politicilor de securitate, a standardelor, normelor și a procedurilor.
E-banking-ul poate fi oferit, în principal, prin două căi. Prima, o bancă existentă care are, în mod fizic, birouri, poate să înființeze un site online și să ofere servicii bancare electronice clienților săi. De exemplu, Citibank este leader în e-banking, oferind servicii bancare tradiționale prin sucursalele sale sau servicii e-banking prin Internet). Clienții Citibank își pot accesa conturile bancare prin Internet și, în plus, pot beneficia de servicii ca: interogarea contului, transfer de fonduri și plata electronică a facturilor.
E-banking-ul este distribuit clienților prin Internet și prin paginile web utilizând Hypertext Markup Language (HTML). În vederea utilizării serviciilor e-banking, clienții au nevoie de acces la Internet și de un program care să permită navigarea pe Internet (web browser software).
Contul clientului băncii și informația cu privire la tranzacție sunt depozitate într-o bază
de date.
Una dintre principalele probleme cu care se confruntă e-banking-ul o reprezintă securitatea. Fără încrederea clienților în securitatea sistemului, ei nu doresc utilizarea unei rețele publice, cum ar fi Internet-ul, pentru a-și vizualiza informațiile financiare online și pentru a efectua tranzacții financiare. Unele dintre amenințările securității sunt furtul și violarea intimității individului și a confidențialității informațiilor. Băncile care utilizează e-banking-ul oferă mai multe metode pentru a asigura un nivel ridicat de securitate:
identificare și autentificare: utilizarea numelui de utilizator și a unei parole pentru a putea accesa conturile,
criptare: chiar dacă informația este interceptată, hacker-ul să nu o poată vizualiza,
firewall: bariere pentru protejarea servere-lor și a bazelor de date ale băncilor.
Firewall-urile și serverele proxy, ca și criptarea și autentificarea, sunt proiectate pentru asigurarea securității datelor. Motivația este simplă: dacă se dispune de o conexiune la Internet, teoretic, oricine, oriunde s-ar afla în lume, poate accesa rețeaua. Dacă nu există nici un mecanism de securitate, orice persoană care are acces la Internet, de oriunde din lume, poate folosi TCP/IP pentru a trece prin gateway-ul rețelei locale, către orice mașina din rețea.
Spre exemplu, Phishing-ul descrie un proces de manipulare care are drept scop înșelarea clienților unei bănci în așa fel încât aceștia să dezvăluie informații confidențiale precum parole, date personale sau detalii financiar-bancare. Metoda consta în convingerea victimei să efectueze o serie de acțiuni care vor duce în mod neintenționat la dezvăluirea informațiilor căutate de atacator. În toate cazurile, atacatorul trebuie să impersoneze o sursă de încredere, precum o bancă sau un birou de suport IT de la care victima se așteaptă să i se ceară informații. Impersonarea ia forma unui e-mail, pagină web, reclamă sau mesaj care arată similar sau identic cu metoda de comunicație a băncii, în plus, atacatorul încercând să forțeze victima să ia acțiuni imediate prin raportarea unei fraude sau a unei falsificări.
O dată cu trecerea timpului atacurile de tip phishing au devenit tot mai sofisticate și mai eficiente, dar urmărind unele principii de bază probabilitatea de a descoperi un astfel de atac crește foarte mult.
Clienții băncilor doresc să-și utilizeze cardurile bancare pentru a face cumpărături, plăți de facturi sau rezervări direct de pe Internet, în condiții de maximă siguranță. Persoanele ce efectuează astfel de operațiuni bancare sunt expuse la riscuri, dar există asigurări din partea băncilor că dacă vor respecta minimele reguli de securitate (de genul a nu îți da altcuiva PIN-ul), băncile își asumă riscul, vor prelua pierderile iar clienții nu vor avea de suferit. Fiecare utilizator al sistemului informatic este responsabil, într-un fel sau altul, cu asigurarea securității datelor pe care le manipulează.
Se presupune că băncile contracarează fraudele informatice prin îmbunătățirea permanentă a securității sistemelor informatice, nu numai prin (teoretica) preluare a riscurilor și informarea clienților despre riscurile la care se expun ( ANEXELE 1 și 2).
Numărul total de incidente de securitate cibernetică detectate în companii în anul 2014 a crescut cu 48% față de anul precedent, atingând 42,8 milioane de evenimente la nivel global, pe baza răspunsurilor a 9.700 de manageri responsabili de securitatea informatică, iar pierderile cauzate de astfel de incidente au fost estimate la 2,7 miliarde de dolari, în creștere cu 34% față de anul 2013.
Numărul incidentelor de securitate detectate a crescut cu 41% față de anul precedent în Europa, cu 11% în America de Nord, în timp ce în Asia s-a înregistrat o creștere de 5%. America de Sud este singura regiune care a înregistrat o scădere din acest punct de vedere, de aproximativ 9%, tendință care este justificată de reducerea cu 24% a bugetelor alocate securității cibernetice în regiune.
Fraudele bancare sunt în continuă dezvoltare și extindere, infractorii apelând la diferite metode de fraudare a cardurilor și a conturilor clienților.
Cu siguranță tehnologia este cea mai importantă armă în lupta împotriva fraudelor bancare. Sistemele anti-skimming montate pe bancomate, cardurile cu cip sau dispozitivele "card reader" sunt metode eficiente de prevenire a fraudelor bancare.
Aproape jumătate dintre companiile care activează în segmentul comerțului online (48%) sau care au ca activitate serviciile financiare (41%) sunt predispuse la pierderi de date bancare în urma atacurilor cibernetice cu țintă predefinită, din cauza vulnerabilităților din software sau în urma altor forme de incidente.
Cele două segmente au atitudini diferite, la nivel global, legat de securitatea IT. Astfel, numai 53% dintre organizațiile din segmentul de e-commerce sau retail online fac toate eforturile pentru ca măsurile antifraudă să fie actualizate constant, cu 10% sub media globală.
Pe de altă parte, modelul de business al comercianților online se concentrează aproape în totalitate pe procesarea plăților. Drept urmare, lipsa investițiilor în măsuri de protecție împotriva fraudelor poate cauza pierderi semnificative în cazul unui incident de securitate.
Companiile din domeniul serviciilor financiare au o abordare proactivă în ceea ce privește securizarea datelor financiare: 64% au afirmat că fac toate eforturile să își păstreze toate masurile de securitate antifraudă la zi. De asemenea, 52% dintre furnizorii de servicii financiare și-au manifestat intenția de a implementa tehnologii noi pentru a proteja tranzacțiile financiare, comparativ cu 46% din segmentul e-commerce sau retail online.
În ciuda procentului relativ ridicat de adoptare a soluțiilor de protecție specializată împotriva fraudelor pentru dispozitive endpoint – 71%, pentru sectorul de servicii financiare, si 62%, pentru e-commerce procentul rămas neprotejat este îngrijorător.
Cercetările din industria securității IT arată că business-urile care colectează și procesează informațiile de plată ale clienților sunt vizate, în mod activ, de infractori cibernetici.
Companiile trebuie să utilizeze soluții de securitate complexe care asigură protecție în fața atacurilor cu malware, tentativelor de phishing și altor amenințări cibernetice.
CAPITOLUL IV. AUDITUL SISTEMELOR INFORMATICE
4.1 Etapele auditului sistemelor informatice
Auditul informatic reprezintă o formă esențială prin care se verifică dacă un sistem informatic își atinge obiectivul pentru care a fost elaborat. Standardele definesc clar domeniul, activitățile, etapele, conținutul auditării și formele de finalizare. Respectând cerințele standardelor, rezultatul procesului de auditare informatică este eliberat de riscurile contestării. Auditul informatic reprezintă un domeniu cuprinzător în care sunt incluse toate activitățile de auditare pentru : specificații, proiecte, software, baze de date, procesele specifice ciclului de viață ale unui program, ale unei aplicații informatice, ale unui sistem informatic pentru management și ale unui portal de maximă complexitate, asociat unei organizații virtuale.
Auditul bazelor de date, este un domeniu de maximă complexitate având în vedere că, de regulă, lucrul cu bazele de date presupune atât datele ca atare însoțite de relațiile create între ele, cât și programele cu care datele se gestionează.
Auditul datelor vizează definirea acelor elemente prin care se stabilește măsura în care datele stocate îndeplinesc cerințele de calitate: corectitudine, completitudine, omogenitate, comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare caracteristică există o metrică elaborată, iar auditorul de date trebuie să evalueze nivelul atins de caracteristică, pentru setul de date supus auditării. În final, auditorul de date certifică faptul că datele stocate în baze de date constituie intrări valabile pentru a obține rezultate corecte.
Etapele auditului sistemelor informatice sunt:
planificarea activității de audit intern;
examinarea și evaluarea informațiilor;
comunicarea rezultatelor;
monitorizarea implementării recomandărilor date.
Planificarea este prima etapă din ciclul de viață al auditului, corectitudinea acesteia asigurând eficiența și execuția efectivă a tuturor celorlalte etape ale auditului. Planificarea presupune obținerea de informații privind entitatea auditată și de informații despre sistemul de control intern al acesteia. De asemenea, și foarte important, planificarea trebuie să includă o evaluare a riscurilor care decurg din funcționarea acestor sisteme.
Planificarea auditului are la bază o strategie de audit, care se formulează pornind de la definirea abordării auditului și precizează elemente legate de coordonarea misiunii de audit, echipa implicată în această misiune, atribuțiile în cadrul echipei, orizontul de timp și direcțiile principale de acțiune.
Scopul planificării auditului IT / IS este acela de a obține o înțelegere a mediului în care funcționează sistemul informatic în cadrul entității auditate, de a evalua riscul de eroare sau de fraudă, de a elabora o abordare eficientă a auditului prin care să se colecteze probe suficiente și de încredere în scopul formării unei opinii, și de a aloca resursele necesare pentru realizarea acestor activități. Planificarea activităților are în vedere minimizarea costurilor auditului.
Planificarea auditului sistemelor informatice trebuie să includă toate fazele necesare atingerii obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditată, programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea procedurilor de audit și a tehnicilor aferente, a metodelor de sintetizare, analiză și interpretare a probelor de audit, identificarea și evaluarea riscurilor generate de furnizarea serviciilor electronice.
Auditul informatic se poate referi la evaluarea riscurilor informatice ale securității fizice, securitatea logică, managementul schimbărilor, planul de asistență etc. În cazul general, auditul informatic se referă la un ansamblu de procese informatice pentru a răspunde la o cerere precisă a clientului. De exemplu, aprecierea disponibilității informațiilor și a sistemului. În acest caz se controlează care dintre procesele informatice răspund cel mai eficient la o asemenea cerere.
Auditul sistemelor informatice reprezintă activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menține integritatea datelor prelucrate și stocate, permite atingerea obiectivelor strategice ale organizații și utilizează eficient resursele informaționale.
În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operații sunt verificările, evaluările și testările mijloacelor informaționale, astfel:
identificarea și evaluarea riscurilor din sistem;
evaluarea și testarea controlului din sistem;
verificarea și evaluarea fizică a mediului informațional;
verificarea și evaluarea administrării sistemului informatic;
verificarea și evaluarea aplicaților informatice;
verificarea și evaluarea securității rețelelor de calculatoare;
verificarea și evaluarea planurilor și procedurilor de recuperare în caz de dezastre și continuare a activității;
testarea integrității datelor.
Auditul intern în sistemul bancar are la baza 5 principii fundamentale, și anume:
1. Permanența auditului intern
Auditul intern reprezintă o activitate cu caracter permanent. Conducătorii instituțiilor de credit sunt responsabili pentru asigurarea unei activități de audit intern adecvate, corespunzătoare dimensiunii și naturii operațiunilor lor.
2. Independența auditului intern
Instituțiile de credit trebuie să asigure independența activității de audit intern de activitățile auditate și de activitățile zilnice pe care le implică controlul intern.
Activitatea de audit intern este subordonată Consiliului de administrație.
Coordonatorul activității de audit intern trebuie sa aibă competența de a comunica, direct și din proprie inițiativă, cele constatate în cadrul activității desfășurate, Consiliului de administrație, Comitetului de audit, precum și auditorilor financiari ai instituțiilor de credit.
3. Obiectivitatea și imparțialitatea auditului intern
Auditorii interni trebuie să fie obiectivi și imparțiali, astfel încât să fie evitat orice conflict de interese.
Orice situație prin care se prejudiciază obiectivitatea și imparțialitatea auditului intern, trebuie adusă imediat la cunoștința conducerii instituției de credit.
Persoanele care sunt soți, rude sau afini până la gradul al patrulea inclusiv cu conducătorii unei instituții de credit nu pot fi auditori interni ai instituției de credit.
Auditorii interni nu vor putea audita activități sau funcții desfășurate și, respectiv, deținute decât după trecerea unei perioade de cel puțin un an și nu vor putea fi angrenați în operațiuni ale instituțiilor de credit ori în proiectarea sau implementarea oricăror proceduri de control.
La cererea conducătorilor instituției de credit, auditorul intern poate să exprime opinii legate de modul în care principiile de control intern sunt respectate în unele situații specifice.
Fără a prejudicia obiectivitatea și imparțialitatea auditului intern, auditorii interni vor putea acorda consultanță asupra unor operațiuni pentru care au avut anterior responsabilități.
4. Integritatea și competența profesională
Auditorii interni trebuie sa fie corecți, onești și incoruptibili, să respecte prevederile legale și ale Codului privind conduita etică în activitatea de audit intern.
Instituțiile de credit trebuie să se asigure ca auditorii interni sunt competenți din punct de vedere profesional, la evaluarea competenței profesionale a acestora trebuie avute în vedere complexitatea activităților instituției de credit ce fac obiectul auditului intern, iar aceștia răspund din punct de vedere profesional obiectivelor prevăzute de statutul auditului intern.
5. Confidențialitatea
Auditorii interni trebuie să fie prudenți în utilizarea informațiilor colectate și să asigure protejarea acestor informații, totodată, nu vor utiliza informațiile colectate pentru obținerea unor avantaje personale.
4.2. Obiectivele specifice ale auditului IT
Conform standardelor internaționale de audit intern, obiectivul unui angajament de audit al situațiilor financiare este de a da posibilitatea auditorului să exprime o opinie cu privire la situațiile financiare, dacă acestea sunt întocmite potrivit cadrului aplicabil de raportare financiară.
Utilizatorul nu trebuie să considere opinia de audit drept o garanție a viabilității viitoare a entității sau a eficienței ori productivității cu care managementul a condus activitățile entității.
Principala reglementare legală referitoare la auditul intern în domeniul bancar este Norma BNR nr. 18/2009 privind organizarea și controlul intern al activității instituțiilor de credit și administrarea riscurilor semnificative, precum și organizarea și desfășurarea activității de audit intern a instituțiilor de credit.
Potrivit prevederilor acestei reglementari legale, instituțiile de credit trebuie sa organizeze auditul intern ca o componentă a activității de monitorizare a sistemului de control intern și a evaluării gradului de adecvare a nivelului fondurilor proprii în funcție de riscurile la care instituțiile de credit sunt expuse, în vederea asigurării unei evaluări independente a adecvării politicilor și procedurilor stabilite și a modului în care acestea sunt respectate.
Obiectivul auditului intern îl reprezintă, după caz, îmbunătățirea activității instituțiilor de credit. Auditul intern trebuie să acopere toate activitățile instituțiilor de credit, inclusiv activitățile sediilor secundare din țară și din străinătate.
Auditul intern al instituțiilor de credit va include, în principal, următoarele activități:
evaluarea eficienței și a gradului de adecvare a sistemului de control intern;
evaluarea modului de aplicare și a eficacității procedurilor de administrare a riscurilor și a metodologiilor de evaluare a riscurilor semnificative;
analizarea relevanței și integrității datelor furnizate de sistemele informaționale financiare și de gestiune;
evaluarea acurateței și credibilității înregistrărilor contabile și situațiilor financiare;
evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanțiere și extrabilanțiere și identificarea metodelor de prevenire a fraudelor și pierderilor de orice fel;
evaluarea gradului de adecvare a nivelului fondurilor proprii ale instituțiilor de credit în funcție de riscurile la care acestea sunt expuse;
testarea atât a operațiunilor, cât și a funcționării procedurilor specifice de control;
evaluarea eficienței operațiunilor instituțiilor de credit;
evaluarea modului în care sunt respectate dispozițiile cadrului legal, cerințele codurilor de conduită, precum și evaluarea modului în care sunt implementate politicile și procedurile instituției de credit;
testarea integrității, credibilității și, după caz, a oportunității raportărilor, inclusiv a celor destinate utilizatorilor externi.
Auditul intern va urmări și eficacitatea procesului de administrare a riscurilor și a sistemului de control intern.
4.3. Evaluarea riscurilor
După obținerea unei înțelegeri asupra mediului informatizat al entității, auditorul va evalua riscul inerent și riscul de control, factori care se iau în considerare la determinarea riscului de audit.
Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat în termenii următoarelor trei componente:
Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra resurselor controlate de sistemul informatic: furt material, distrugere, dezvăluire, modificări neautorizate, incompatibilitate, în lipsa controalelor interne asociate.
Riscul de control, care reprezintă riscul ca erorile materiale din datele entității să nu fie prevenite sau detectate și corectate în timp util de structura controlului intern al entității.
Riscul de nedetectare, care reprezintă riscul ca auditorul să nu detecteze erorile existente în sistem.
Factori care afectează riscul inerent
Operațiile informatizate pot introduce factori adiționali de risc inerent. Auditorul trebuie să ia în considerare acești factori și să evalueze impactul prelucrărilor pe calculator asupra riscului inerent.
Pentru sistemele informatice financiar-contabile, cei mai relevanți factori induși de mediul informatizat sunt menționați în continuare:
– Prelucrarea uniformă a tranzacțiilor: favorizează propagarea erorilor pentru tranzacțiile similare și reduce substanțial posibilitatea prelucrării selective a erorilor.
– Prelucrarea automată: probele aferente acestor operațiuni pot sau nu pot fi vizibile.
– Potențial crescut de nedetectare a greșelilor: se datorează implicării umane în prelucrare mai puțin decât în sistemele manuale, ceea ce crește potențialul obținerii accesului neautorizat al indivizilor la informațiile sensibile și al alterării datelor fără probe vizibile. Datorită formatului electronic, schimbările programelor și datelor sunt dificil de detectat. De asemenea, este probabil ca utilizatorii să poată interveni mai ușor asupra formei electronice decât asupra rapoartelor manuale.
– Existența, completitudinea și volumul parcursului auditului: parcursul auditului financiar reprezintă proba care demonstrează modul în care a fost inițiată, prelucrată și agregată o tranzacție specifică și reprezintă o cerință fundamentală. Anumite sisteme informatice sunt proiectate pentru a reține parcursul auditului numai pentru o perioadă scurtă, numai în format electronic și numai într-o formă sintetică. De asemenea, informația generată poate fi prea voluminoasă pentru a putea fi analizată cu eficacitate.
Tranzacțiile pot rezulta dintr-o agregare a informației din numeroase surse. Fără utilizarea unor produse software de regăsire și prelucrare, extragerea tranzacțiilor ar putea deveni extrem de dificilă. Fără un parcurs al auditului, poate să nu fie fezabilă formularea unei opinii categorice privind situațiile financiare. Sistemele financiare trebuie să permită auditorului să urmărească tranzacțiile începând cu intrarea inițială, tranzacțiile generate de sistem și tranzacțiile cu alocare internă; până la reflectarea lor corectă în situațiile financiare.
Toate datele relevante și informațiile de parcurs al auditului financiar trebuie reținute un timp suficient pentru finalizarea auditului. Documentele sursă trebuie de asemenea să facă parte din parcursul auditului financiar, și acestea trebuie și ele să fie păstrate până la finalizarea auditului.
– Natura configurației hardware și software utilizate: tipul de prelucrare (locală, online, distribuită); dispozitivele periferice, interfețele sistem sau conexiunea la Internet; rețelele distribuite, furnizarea serviciilor IT. Riscurile tipice sunt: accesul neautorizat la resursele sistemului, posibila alterare a datelor, dezvăluirea informațiilor sensibile, dependența de furnizorul de programe.
– Tranzacții neuzuale: Programele dezvoltate pentru prelucrarea tranzacțiilor neuzuale sau la o cerere specială a managementului pentru extragerea unor informații specifice se plasează în afara sistemului standard.
STUDIU DE CAZ: ABORDĂRI PRACTICE ALE EVENIMENTELOR DE SECURITATE ÎN SISTEMUL BANCAR
Rapoartele tehnice întocmite asupra încălcării securității informatice, prezentate de Departamentul de inovare în afaceri și calificare al Marii Britanii guvernului acestei țări, reafirmă importanța producerii de informații despre încălcarea securității informatice și necesitatea punerii acestor informații la dispoziția utilizatorilor, firme, instituții, inclusiv bancare.
Într-un studiu statistic despre încălcarea securității informatice, efectuat de firma PWC, în colaborare cu Infosecurity Europe, se precizează că și la această dată un număr important de organizații economice continuă să înregistreze situații de încălcare a securității informatice, un rol important al studiului fiind alocat impactului și consecințelor riscurilor I.T. asupra sectorului bancar.
Peste 76% dintre marile organizații economice investigate și peste 86% din organizațiile economice mici susțin că securitatea reprezintă o prioritate de rang înalt și foarte înalt. O mare parte din bugetul IT al unei organizații este alocat schimbării tehnologiei IT și securității informației.
Printre tipurile de incidente de securitate aduse în atenție în studiu remarcăm furtul de date prin intermediul calculatorului și frauda.
Plecând de la tipurile de incidente de securitate prezentate în studiu, ținând cont de concluziile studiului menționat, am încercat să completez demersul teoretic printr-o cercetare practică realizată în câteva unități bancare din România și în cazul unei unități bancare din Franța, respectiv cazul Société Générale.
Obiectul studiului de caz l-a reprezentat:
prezentarea evenimentului de securitate în cazul Société Générale din anul 2008;
identificarea vulnerabilităților de securitate și valorificarea acestora;
comentarii asupra factorilor de risc și a deficiențelor procedurilor, activităților de control/audit intern, care au permis producerea evenimentului de securitate analizat în cazul Société Générale. Analiză SWOT;
abordările practice a evenimentelor de securitate din sistemul bancar;
elaborarea unor recomandări stabilirea obiectivelor/domeniilor misiunilor de audit, implementarea recomandărilor misiunilor de audit pentru întărirea securității și prevenirea evenimentelor de securitate în sistemul bancar.
Studiul s-a realizat prin analiza situațiilor din unitățile bancare analizate, prin discuții cu specialiști, auditori bancari, în scopul clarificării problemelor de cercetare, precum și o documentare directă în vederea cunoașterii specificului fenomenelor cercetate.
Cazul Société Générale
A1)Descrierea evenimentului de securitate în cazul Société Générale din anul 2008 prin prisma prezentării vulnerabilităților sistemului bancar.
Un exemplu de management al riscului, mai exact un defectuos management al riscului, implicațiile acestuia și modul cum gestionează banca momentele de criză, este dat de un răsunător incident bancar, cel al Société Générale când în anul 2008 un broker a reușit să fraudeze banca cu 4,9 miliarde de euro, prin diverse operațiuni pe piața instrumentelor derivative din Europa.
Jérôme Kerviel, angajat la Société Générale din 2000, a lucrat la departamentul de monitorizare a tranzacțiilor, iar din 2005 a fost transferat la echipa Delta-One, unde se ocupa de tranzacționarea acțiunilor tip futures, bazate pe indicii bursieri europeni, din date provenite de la conducerea băncii a rezultat că Jérôme nu era un ”star” la bancă, cu un master obținut la Universitatea din Lyon, era departe de a fi cunoscut ca un ”geniu informatic” așa cum a fost descris de conducerea băncii Société Générale pentru a explica cum a reușit să înșele toate procedurile de control.
Este de neînțeles cum, superiorii săi nu au observat ce se întâmplă. Kerviel a declarat că a efectuat tranzacțiile deoarece dorea ca reputația sa de trader să crească, și nu din dorința de a provoca pagube băncii. „Mai presus de toate vroiam să câștig bani pentru banca mea”, recunoscând că a ținut ascunse activitățile sale față de superiori, însă a precizat că regulile băncii sunt încălcate și de alți angajați.
Paguba a fost descoperită cu ocazia unui control de rutină în sala tranzacțiilor de piață inspectorii de risc detectează o anomalie. Direcțiunea băncii este alertată când Kerviel a comis o greșeală, trimițând un ordin de cumpărare fără a-i adaugă garanția fictivă. Prin continuarea investigației inspectorii descoperă ordine de cumpărare de mai multe zeci de miliarde de euro care pun banca în fața unui risc financiar calculat la 7 miliarde de euro cât și pierderea stabilității și reputației.
Pentru a gestiona criza Société Générale îl avertizează pe Guvernatorul Băncii Naționale a Franței duminică 20 ianuarie în același timp cu secretarul general al AMF (Autoritatea de Supraveghere a Piețelor Financiare). Se convoacă un comitet de criză pentru elaborarea unui plan salvator care să minimalizeze pierderile. Comitetul decide păstrarea secretului pentru a permite băncii să revândă discret în piață produsele cumpărate de Kerviel. Cele 48 de miliarde sunt lichidate în tranșe, în intervalul 21 -23 ianuarie.
Pentru săvârșirea fraudei, conform băncii, Jérôme Kerviel, a dejucat toate sistemele de securitate timp de 12 luni. Modul de a proceda părea empiric: dădea un ordin de cumpărare și îl ascundea cu un alt ordin fictiv de vânzare, ca în final, banca să nu poată vedea decât soldul acestor două operațiuni, adică nimic.
În opinia specialiștilor francezi, exprimată în media, aceștia au fost contrariați în privința procedeelor folosite de către traderul de la Société Générale, fără a alerta serviciul de control al băncii, cu atât mai mult cu cât băncilor franceze au cheltuit cu programele și serviciile informatice suma de 12,8 miliarde de euro, numai la nivelul anului 2007.
Christophe Pérignon, profesor la Hautes Etudes Commerciales din Paris nu crede că Jérôme Kerviel ar fi putut să facă toate astea singur, dat fiind sumele uriașe pe care le-a angajat, de zeci de miliarde de euro. El mai afirmă că Société Générale este cunoscută ca o instituție etalon în ceea ce privește gestiunea riscurilor și a ingineriilor financiare. Dispune de sisteme de control obligatorii, multiple și redundante pentru ca nimic să nu-i scape.
Este bine știut faptul că la sfârșitul fiecărei zile băncile sunt obligate să-și calculeze valoarea riscului (pierderile maxime scontate) și că Société Générale (cunoscută pentru aceasta bună practică) are tendința de a exagera propriile riscuri, aplicând din plin principiul prudenței. De aceea pare curios ca nu a observat nimic în ceea ce privește acest caz.
Autorul fraudei, Jérôme Kerviel lucra cu un portofoliu de acțiuni, în mare, avea misiunea să cumpere acțiuni pentru a le revinde la un curs mai ridicat. Toți dealerii au o limită de investiție fixată de departamentul de control al riscului care depinde direct de directorul general. Limita este fixată în funcție de experiența fiecărui dealer.
Nici un dealer, chiar senior, nu este autorizat să angajeze riscuri atât de mari, este imposibil, pentru că fiecare ordin pe care îl emite este înregistrat de un sistem informatic care declanșează o alertă dacă sumele investite sunt depășite. Ceea ce înseamnă ca traderul Jérôme Kerviel a găsit o modalitate de a păcăli sistemul. De exemplu, a putut trimite ordine pe contul colegilor. O altă anomalie este că el a lucrat mult timp în middle-office, serviciul în care se înregistrează ordinele. Se întâmplă foarte rar, ca dealerii să treacă mai întâi pe la acest serviciu, de regula, aceștia intră direct în front office și nu stăpânesc sistemul informatic, foarte complex, al înregistrării ordinelor. Această experiență profesională i-a dat posibilitatea să știe când și cum să acționeze. În momentul critic în care cumpărătorul ar fi putut alerta banca, ordinul era șters și înlocuit cu unul nou.
Mecanismul de fraudă era aproape perfect. Prin manipularea sistemul informatic și utilizarea codurilor de acces care nu îi aparțineau, a putut masca o parte din tranzacțiile pe care le făcea, părând mai puțin riscante decât erau de fapt. Jérôme Kerviel a acumulat poziții de aproape 50 de miliarde de euro, o sumă exorbitantă pentru o bancă a cărei capitalizare bursieră este de 35,9 miliarde de euro.
Jérôme Kerviel a explicat anchetatorilor o tehnică ilegală utilizată de traderi pentru a disimula luările de poziții hiper speculative, numită tehnica « saltelei », prin care un manager estimează la un moment dat că și-a atins obiectivele de profit și pierdere și poate decide să raporteze restul pentru exercițiul următor, disimulându-l prin diverse mijloace. „Atâta timp cât câștigăm și nu bate la ochi, nu se spune nimic” spune Jérôme Kerviel, afirmând că superiorii îl încurajau să-și ia anumite riscuri. Rezumând postura ipocrită a șefilor săi, el conchide: „Cât timp nu se observă, este în regulă. Daca ești prins, ești spânzurat”.
Kerviel susține că prima sa motivație pentru a face astfel de operațiuni a fost să câștige bani pentru bancă și nu pentru profitul personal. Totuși, și perspectiva obținerii unui bonus l-a motivat. A recunoscut că a declarat 55 de milioane de euro la finele lui 2007 pentru a-și negocia bonusul. Jérôme Kerviel este convins că șefii erau la curent cu pozițiile luate de el deoarece au existat alerte de la serviciul de control al băncii către colegii săi în care li se cereau explicații.
Prin operațiuni succesive în noiembrie 2007, a investit în indicele DAX și văzând că este profitabil a luat poziții folosind și posturile automatizate ale colegilor săi, lucru văzut și știut de toți cei de față. O altă avertizare, neluată în calcul a fost calcularea proporției dintre rezultatul de 55 de mil euro raportat pe 2007 și numărul de operații pe care Kerviel le-a procesat.
Eurex Germania în Noiembrie 2007 a cerut de două ori informații băncii Société Générale despre volumul operațiilor pe care le procesa Jérôme Kerviel, iar acesta a fost chestionat de banca reușind să justifice toate operațiunile, dar în ianuarie 2008 a depășit limita și a primit emailuri cu întrebări. Pentru a se justifica a creat un email fals.
A2) Comentarii asupra factorilor de risc și a deficiențelor procedurilor, activităților de control/audit intern, care au permis producerea evenimentului.
Analiză SWOT
Ce a făcut la Société Générale serviciul de control bancar al riscului în tot acest timp?
Kerviel credea că era și în interesul lor să fie lăsat să facă bani, cu alte cuvinte, era în interesul Société Générale să închidă ochii.
Potrivit specialiștilor, premisele acestei fraude ar trebui căutate în modul în care banca și-a definit controlul riscurilor.
Pentru a putea realiza comentarii asupra factorilor de risc și a deficiențelor procedurilor, activităților de control/audit intern, care au permis producerea evenimentului asupra, am efectuat o analiză SWOT efectuată asupra instituției bancare.
Din analiza SWOT efectuată asupra instituției bancare, reținem în analiza noastră:
Puncte tari:
În sistemul bancar francez se cheltuiesc sume însemnate cu programele și serviciile informatice (suma de 12,8 miliarde de euro, numai la nivelul anului 2007);
la sfârșitul fiecărei zile băncile sunt obligate să-și calculeze valoarea riscului (pierderile maxime scontate) și că Société Générale (cunoscută pentru aceasta bună practică) are tendința de a exagera propriile riscuri, aplicând din plin principiul prudenței;
Motivația personalului băncii pentru a face operațiuni bancare care să determine creșterea profitului băncii și nu pentru profitul personal.
Puncte slabe :
Deși Société Générale este cunoscută ca o instituție etalon în ceea ce privește gestiunea riscurilor și a ingineriilor financiare și dispune de sisteme de control obligatorii, multiple și redundante pentru prevenirea fraudelor și nimic să nu-i scape, totuși frauda a fost depistată relativ greu, cu mare întârziere;
Procedurile de control au fost inadecvate pentru identificarea cu rapiditate a fraudei;
Vulnerabilități atât pe partea controlului financiar, cât și al managementului direct și al auditului intern;
Identificarea fraudei s-a realizat numai pe baza unui control de ,,rutină,, în sala tranzacțiilor și nu pe baza procedurilor de control;
Nu au fost impuse limite de tranzacționare operabile în sistemul bancar francez;
Identificarea fraudei s-a realizat numai pe baza unei erori a angajatului;
Manipularea sistemul informatic de către angajat și utilizarea codurilor de acces care nu îi aparțineau, a putut masca o parte din tranzacțiile pe care le făcea, prin trimiterea unor ordine de vânzare/cumpărare pe contul colegilor;
Sistem informatic de control al operațiunilor financiare , care declanșează o alertă dacă sumele investite sunt depășite, a fost anulat de persoane care stăpânesc sistemul informatic, foarte complex, al înregistrării ordinelor. Această experiență profesională i-a dat posibilitatea să știe când și cum să acționeze
Politica relațională de repartizare pe posturi a angajaților favorizează dezvoltarea unei experiențe profesionale legate de înregistrarea în sistemul informatic al ordinelor, care i-a dat posibilitatea să știe când și cum să acționeze pentru anularea sistemelor de control al tranzacțiilor;
În momentul critic în care cumpărătorul ar fi putut alerta banca, ordinul de vânzare era șters și înlocuit cu unul nou;
Politicile managerilor îi încurajau pe subordonați să-și asume anumite riscuri.„Cât timp nu se observă, este în regulă. Dacă ești prins, ești spânzurat”;
Sistemul informatic al băncii permitea emiterea unui ordin de cumpărare care putea fi ascuns cu un alt ordin fictiv de vânzare, ca în final, direcțiune băncii să nu poată vedea rulajul tranzacțiilor ci doar soldul acestor două operațiuni, adică nimic-0;
Atitudinea duplicitară a colegilor de lucru care au permis folosirea de către autorul fraudei a posturile automatizate ale acestora, lucru văzut și știut inclusiv de șefi;
Acceptarea tacită a modului de lucru al angajatului de către șefi, care erau la curent cu pozițiile luate de el deoarece au existat alerte de la serviciul de control al băncii către colegii săi în care li se cereau explicații;
Nu s-a realizat avertizarea generată de calcularea proporției dintre rezultatul de 55 de mil euro raportat pe 2007 și numărul de operații pe care Kerviel le-a procesat.
regulile băncii sunt încălcate și de alți angajați.
Amenințări
Regulile băncii pot fi încălcate și de alți angajați.
Pierderea credibilității băncii.
Oportunități
Alocarea de sume însemnate cu achiziționarea de noi programe și servicii informatice în sistemul bancar francez.
A3) Măsuri necesare a fi implementate de unitatea bancară – cazul Société Générale
Din analiza efectuată propunem câteva măsuri necesare a fi implementate de unitatea bancară, în scopul prevenirii unor noi incidente de securitate similare:
Interzicerea schimbului de parole între traderi;
Reanalizarea și refacerea viziunii asupra structurii controlului intern, în sensul stabilirii unui număr de controale eficiente/suficiente la sfârșitul zilei de tranzacționare precum și la sfârșitul exercițiului financiar și al perioadelor de plasament
Refacerea politica relațională de repartizare pe posturi a angajaților care să nu favorizeze dezvoltarea unei experiențe profesionale legate de înregistrarea în sistemul informatic al ordinelor de tranzacționare, care ar da posibilitatea angajatului să știe când și cum să acționeze pentru anularea sistemelor de control al tranzacțiilor
Reducerea nivelului de risc pe care și-l pot asuma angajații băncii
Stabilirea unor limite de tranzacționare operabile în sistemul bancar analizat
Metode de amenințare informatică – Cazul Băncii Transilvania
Deși prezentarea aspectelor legate de metodele de amenințare informatică identificate vizează în special cazul Băncii Transilvania, trebuie subliniat faptul că astfel de evenimente nu sunt singulare în sistemul bancar românesc.
Una din cele mai utilizate metode de amenințare informatică, este Phising-ul care este o metodă de furt de identitate prin care se încearcă obținerea, de la clienții unei organizații – indiferent de aria sa de activitate –a unor date personale sau confidențiale.
Acestea pot fi folosite ulterior în mod ilegal de către răufăcători, pentru a efectua tranzacții în contul clientului respectiv. Pentru aflarea lor, atacurile de phishing se folosesc de un canal electronic de comunicate(e-mail, telefon) sau de un program rău intenționat, care exploatează vulnerabilitățile sistemului pentru a fura date.
a) Phising-ul prin intermediul e-mail-ului, este un mesaj electronic trimis către sute de mii de destinatari (adresele lor fiind colectate prin diverse metode, prin intermediul Internetului), pretinzând a fi din partea unei surse legitime, cum ar fi Banca Transilvania, în cazul nostru. Unii dintre acești destinatari vor fi clienți ai Băncii Transilvania, cei vizați în primul rând de acest tip de atac. De multe ori, subiectul mesajului va fi unul conceput în așa fel încât să atragă atenția (Exemplu ,,Mesaj important – Actualizarea datelor personale”).
De obicei, în conținutul mesajului sunt specificate măsuri punitive în cazul în care nu se va da curs solicitării (Ex.,, Imposibilitatea de a confirma detaliile contului online va duce la suspendarea definitivă a acestuia”).
Cel mai frecvent, se solicită introducerea de date confidențiale folosind un link către un site indicat în textul mesajului. Acest link direcționează clienții către un site fals, dar care reproduce foarte bine pagina originală – în cazul nostru, website-ul Băncii Transilvania sau a produsului e-Banking folosit. Dacă mesajul e-mail este trimis și vizualizat în format HTML, link-ul vizibil poate fi URL-ul legitim al aplicației, însă link-ul propriu-zis codat în HTML va direcționa utilizatorul către site-ul fals.
De exemplu:
Link vizibil: https://ib.btrl.ro/BT24/
Link propriu-zis către site-ul fals:http://site-fals.co.kr/conținut/logon.htm
Prin introducerea datelor personale confidențiale și validarea lor atacatorii intră în posesia acestora și le pot folosi pentru a derula operațiuni în contul identității furate.
b) Phising-ul prin intermediul telefonului :
Este o modalitate prin care o persoană pretinde că sună din partea băncii și, invocând probleme tehnice (ex. În sistemul de plăți), solicit informații confidențiale cum sunt codul PIN, numărul contului, parola, etc.
Măsurile adoptate de Banca Transilvania sunt de a înștiința clienții că:
Banca nu va trimite niciodată informații confidențiale utilizând un canal informatic,
Banca nu va transmite niciodată mesaje e-mail în care să fie incluse link-uri către site-uri unde li se solicită clienților să introducă informații cu privire la identitatea personală, conturile, numărul de card, data expirării, codul PIN sau alte produse și servicii bancare deținute.
Banca Transilvania nu va solicita niciodată clienților săi să confirme, utilizând un canal electronic, informații confidențiale personale (ex. numărul cardului, data la care expiră, PIN-ul, parola, ID-ul de logare, codul tpken, etc.). În cazul în care clienții băncii utilizează produse sau servicii bancare ale băncii, se recomandă verificarea autenticității paginilor în care se completează date cu caracter personal sau financiar, prin consultarea valabilității certificatelor digitale și a adresei de internet la care acestea sunt localizate.
Analizând consecințele atacurilor de securitate ale sistemelor informatice în cazul analizat subliniem că:
Divulgarea credentialelor de către client permite atacatorului acces deplin la conturile clientului;
Intrarea în sistem prin identitate falsă permite construirea unor alte identități, sursă a unor noi riscuri pentru sistemul bancar
Apariția unor riscuri reputaționale ale băncii, cu afectarea imaginii și încrederii în rândul clienților și acționariatului.
Îmbunătățirea securității sistemelor informatice, în cazul Băncii Comerciale Române prin utilizarea serviciului de comerț electronic securizat numit în continuare 3D-Secure de la BCR sub brand-urile Verified by Visa și MasterCard Secure Code, oferit tuturor deținătorilor de carduri Visa și MasterCard.
Actuala realitate a sistemului bancar se caracterizează prin extinderea și necesitatea serviciilor de acces la distanță. Un punct forte al practicării acestui tip de serviciu îl reprezintă avantajul majorării veniturilor băncii utilizând linia de business.
Pornind de la aceste aspecte Banca Comercială Română (BCR) pune la dispoziție serviciul e-commerce 3D-Secure care da posibilitatea efectuării tranzacțiilor de comerț electronic în condiții de strictă securitate numai în conformitate cu prevederile prezentelor Se permite accesul la ultima versiune a acestora oricând, pe pagina web a BCR.
Serviciul 3D-Secure pune la dispoziția clienților un standard de securitate a tranzacțiilor e-commerce care înglobează tehnologii de ultima ora în acest domeniu, reducând șansele de fraudă pe Internet. Înrolarea pentru acest serviciu necesită furnizarea on-line a datelor personale ale clienților care vor fi folosite ulterior pentru confirmarea identității dvs. în timpul efectuării tranzacțiilor e-commerce. Informațiile furnizate nu vor fi dezvăluite comercianților de pe Internet, sub nicio formă.
Pentru utilizarea serviciului 3D-Secure BCR ale clienții trebuie să furnizeze anumite informații care vor permite verificarea identității acestora cu datele existente în bazele noastre de date, pentru a determina că sunt deținătorii reali al contului din care ale clienții doresc să efectueze plățile pentru tranzacții de e-commerce. BCR își rezervă dreptul de a refuza înrolarea ale clienților pentru acest serviciu dacă nu sunt furnizate informațiile necesare pentru verificarea identității acestora. De asemenea, clienții garantează ca informațiile furnizate sunt corecte și adevărate și că au dreptul de a utiliza cardurile pe care le vor înrola în acest serviciu.
Pentru utilizarea serviciului 3D-Secure ale clienții trebuie să aibă abilitatea de a accesa Internet-ul, să plătească taxele asociate acestui acces și să dețină echipamentul necesar
Datele personale furnizate cu ocazia înrolării nu vor fi dezvăluite comercianților de pe Internet, sub nicio formă.
Parola de acces pe care clienții o vor introduce în timpul înrolării la serviciul 3D-Secure este cunoscută numai de aceștia. De aceea ale clienții trebuie să păstreze confidențialitatea asupra acesteia și a datelor de identificare folosite pentru a tranzacționa pe Internet, fiind pe deplin responsabili în acest sens. Se va notifica imediat BCR dacă sunt suspiciuni privind confidențialitatea parolei și utilizarea ei pe Internet. De asemenea, clienții acceptă să nu divulge, sub nicio formă, informații legate de parola și de datele de identificare.
Sunt interzise următoarele:
(a) Substituirea unei alte persoane sau entități care utilizează serviciul 3D-Secure.
(b) Trimiterea pe orice cale a unor programe tip virus care să întrerupă, distrugă sau să limiteze funcționalitatea oricărei componente hard/soft (inclusiv de comunicații) a serviciului accesat.
(c) Trimiterea de spam, pe orice cale, și invadarea site-urilor Verified by Visa și MasterCard Secure Code accesate.
(d) Modificarea, adaptarea, decompilarea sau dezasamblarea, sub-licențierea, traducerea, vânzarea oricărei porțiuni a serviciului 3D-Secure.
(e) Ștergerea oricărei notificări privind drepturile de proprietate (copyright, trademark) întâlnite prin accesul la acest serviciu.
(f) Utilizarea oricăror mijloace (aplicații de căutare, device-uri, procese) pentru regăsirea sau reproducerea structurii de navigare, prezentare și conținutul site-urilor afișând brand-urile Verified by Visa si MasterCard Secure Code.
(g) Întreruperea accesului altor utilizatori la acest serviciu, la servere sau rețele conectate la acesta.
Clienții au deplina libertate de a cumpăra bunuri / servicii de pe Internet prin accesarea acestui serviciu. Totuși, corespondența cu comercianții aleși, participarea la promoții on-line, plata și livrarea bunurilor / serviciilor cumpărate, orice alte condiții și garanții asociate cu acestea sunt numai de domeniul relației personale cu comerciantul. BCR, Visa International, Mastercard nu pot fi făcute responsabile sub nicio formă de eventuale pagube apărute în urma relații clienților direct cu comercianții.
În concluzie, apreciem că nu putem renunța la astfel de produse bancare, ținând cont de avantajele oferite atât clienților cât și băncii, iar politicile de securitate trebuie să fie adaptate evenimentelor și impactului acestora asupra sectorului bancar.
Recomandări privind obiectivele și domeniile pentru misiunile de audit al sistemelor informaționale, în cadrul unităților bancare, în scopul reducerii evenimentelor de securitate I.T.
În opinia mea, din cele prezentate în acest caz rezultă cu claritate problematica amplă pe care o ridică evaluarea riscurilor, pornind de la marea lor diversitate, evoluția lor permanentă, dar mai ales din perspectiva evaluării implicațiilor pe care riscurile le induc, în pregătirea managementului, în politicile de securitate, în imagine care se transmit și au un mare efect asupra instituției bancare , asupra celor care se confruntă sau putem spune chiar se luptă cu ,,perfidia riscurilor”.
În acest context, extrem de dur, constatăm că evaluarea riscurilor, respectând fazele pe care trebuie să le parcurgă, recurge la argumentele clasice împotriva riscurilor, respectiv activitățile de control, punând accentul pe autocontrolul celor implicați, fixarea controalelor cheie pe fluxul tranzacțiilor și, deosebit de relevant, adaptarea în permanență a activităților de control în funcție de evoluția riscurilor.
Printre factorii de risc identificați în cazul nostru remarcăm o serie de factori deja consacrați, și anume:
Neînțelegerea sau necunoașterea strategiei de către angajații instituției;
Lipsa de fluiditate a circuitului informațional(informatic);
Nerespectarea reglementărilor;
Lipsa controlului posturilor;
Incompetența managementului general sau a celui de linie;
Probleme de imagine personală a angajaților și la nivel global, a instituției bancare;
Sistemul de control al tranzacțiilor insuficient dezvoltat pentru identificarea posibilelor fraude;
Fraude repetate identificate cu întârziere.
Pornind de la accepțiunile teoretice, în funcție de capacitatea disponibilă a auditului intern și a cunoștințelor de IT, grupul de audit intern în sistemul bancar trebuie să realizeze audituri referitoare la IT pentru următoarele domenii/ proceduri:
securitatea fizică a sistemelor informatice,
auditul profilului utilizatorilor de sisteme informatice,
verificarea păstrării datelor și a sistemului de salvare concretă a datelor,
măsurile de recuperare după dezastre,
controalele aplicației informatice,
securitatea tranzacțiilor electronice.
Plecând de la concluziile identificate cu ocazia intervenției la fața locului în cadrul unităților bancare analizate și de la aspectele teoretice prezentate legate de activitatea de audit, încercăm să stabilim și să prezentăm în continuare rolul pe care îl poate juca misiunile de audit intern în cazul unităților bancare analizate, pentru întărirea securității și prevenirea unor evenimente de securitate.
În acest sens am intenționat să elaborez, din perspectiva auditorului, câteva activități preliminare colectării informațiilor, ce se pot constitui în recomandări posibile de implementat de auditorii interni din cadrul sistemului bancar, care urmăresc în princiapal: identificarea principalelor domenii de auditat, prezentarea elementelor de conținut ale listelor de verificări și chestionarelor, ce pot fi utilizate în cadrul misiunilor de control/audit intern, în cadrul unităților bancare, având ca scop consilierea managementului instituției bancare în scopul reducerii evenimentelor de securitate I.T. , pe următoarele domenii:
Domeniul – Auditul profilului utilizatorilor
Utilizatorii sistemelor informatice trebuie să fie adecvat identificați și angajații care au acces autorizat și obligatoriu trebuie să-și realizeze îndatoririle stabilite. În plus, trebuie să existe și menținute accesări și piste de audit pentru a reflecta accesul utilizatorului și modificările realizate la fișierele de date sensibile. În acest sens auditorul :
cere o copie a politicilor de securitate a accesului;
întreabă directorul de IT dacă există o procedură scrisă ca să controleze adăugările sau modificările la restricțiile de acces ale utilizatorilor curenți;
obține copii ale unor formulare de autorizare a accesului și se verifică acuratețea autorizărilor și accesului ;
întreabă directorul de IT cum este notificat departamentul de IT atunci când un angajat își termină contractul de muncă sau își schimbă responsabilitățile;
întreabă directorul de IT dacă există utilizatori care au capabilitatea de supraveghetori sau care au acces nelimitat;
verifică cum sunt aprobate și documentate tranzacțiile sau acțiunile atunci când au fost inițiate de acești angajați. În acest sens auditorul:
1. întreabă directorul de IT dacă modificările rețelei sunt autorizate și documentate (trebuie să existe o pistă de audit a modificărilor echipamentului de rețea);
2. întreabă directorul de IT dacă etichetele de sistem sunt păstrate;
3. verifică existența etichetelor de acces la sistem care să înregistreze accesul la calculator sau la rețeaua de comunicare;
4. verifică existența etichetelor de tranzacții/piste de audit pentru a înregistra adăugările, ștergerile și modificările realizate datelor;
5. întreabă directorul de IT dacă etichetele problemă sunt păstrate de centrul de date/operațiuni;
6. întreabă directorul de IT dacă etichetele activității sistemului sunt utilizate pentru a captura utilizarea resurselor de hardware asociate serverelor, CPU, activității de salvare a accesului;
întrebă directorul de IT care proces/procedură asigură conformitatea cu contractele de licență pentru software;
întreabă directorul de IT dacă accesul în sistemul informatic este împărțit între utilizatori. Accesul împărțit cât și parolele trebuie să fie interzise dacă câțiva utilizatori nu solicită acces doar la interogări de date/informații neconfidențiale;
întreabă directorul de IT dacă modemurile sunt atașate la server (oferă acces la distanță);
intervievează administratorii de sistem pentru a se determina dacă li s-au oferit secțiuni de pregătire referitoare la securitizarea serverelor;
întreabă directorul de IT dacă este cineva responsabil pentru contabilizarea tuturor hardware-urile și softurile din cadrul companiei;
întreabă directorul de IT cum sunt protejate de viruși computerele și serverele;
determină ce proceduri există pentru a preveni sau detecta prezența unui virus in servere și se verifică cine este responsabil pentru realizarea acestor proceduri;
verifică dacă sunt încărcate softuri anti-virus pe stațiile de lucru și cunosc utilizatorii cum să ruleze programul?
întreabă câțiva utilizatori pentru a se determina dacă cunosc care sunt pașii ce trebuie urmați dacă un virus este detectat sau suspectat pe calculatorul lor?
2. Domeniul de acțiune – Controalele aplicației
2.1.Utilizatorii-finali. Conținutul listele de verificare cuprinde :
determinarea mijloacelor primare de introducere și procesare de date;
determinarea dacă organizația practică dreptul de proprietate asupra datelor. Dacă da, se identifică și intervievează proprietarul datelor pentru a se determina dacă a înțeles rolul și responsabilitățile sale;
intervievarea unui eșantion de directori – utilizatori finali pentru a se determina atitudinile conducerii-utilizatoare finală cu privire la calitatea și efectivitatea sistemului;
verificarea conducerii ca și utilizatoare finală asupra a ceea ce înțeleg ei că reprezintă riscurile, expunerile și limitările asociate cu sistemul;
determinarea numărul de utilizatori finali ce lucrează cu sistemul, locațiile lor și responsabilitățile asociate sistemului. Se obține o organigramă pentru aceste poziții și oameni.
determinarea dacă această aplicație generează date pentru agenții legale sau reglementare;
evaluarea calității documentelor utilizatorului final;
identificarea programelor de pregătire disponibile pentru utilizatorii finali. Se evaluează această pregătire pentru a se determina dacă este adecvată, actuală și disponibilă pentru oamenii noi;
verificarea activității utilizatorului final, dacă este adecvat supervizată.
2.2.Interfațele sistemului. Auditorul:
determină ce alte aplicații interferează (manual sau electronic) cu această aplicație;
determină cum verifică sau asigură utilizatorul final că interfețele furnizează date complete, adecvate și autorizate.
2.3.Administrarea fișierelor. Auditorul:
determină perioadele de păstrare pentru diferitele fișiere de date ale aplicațiilor cheie;
evaluează dacă perioadele de păstrare satisfac raportarea către conducere, raportarea către autoritățile fiscale și cerințele interne de contabilitate;
determină dacă utilizatorul final, conducerea și proprietarii de date sunt conștienți de perioadele de păstrare ale diferitelor fișiere de date ale aplicațiilor cheie și dacă acești directori sunt satisfăcuți cu durata de păstrare.
3. Domeniul de acțiune – Securitatea tranzacțiilor
Auditorul identifică toate tranzacțiile din cadrul fiecărui subsistem.
3.1.Controalele introducerii
Controalele introducerii asigură că tranzacțiile sunt introduse și acceptate de către calculator, procesate doar o dată, fără duplicate și erorile în câmpurile de date financiare și nefinanciare sunt identificate, separate de tranzacțiile valide, corectate în timp util, și returnate procesării primare. Auditorul verifică:
Cum sunt inițiate tranzacțiile;
Cum este tranzacția autorizată;
Cine introduce datele sursă;
Sunt aceste persoane separate de acelea care reconciliază rezultatele procesării;
Cum sunt datele sursă introduse în aplicație;
După ce datele sursă sunt introduse în aplicație, sunt ele marcate cu verificat sau semnate într-un fel care să indice că au fost introduse, reducând riscul duplicării accidentale sau reutilizarea documentului;
Există o separare de îndatoriri adecvată pentru cei autorizați să actualizeze datele;
Cum sunt controlate documentele de date sursă pentru completitudine și acuratețe;
Există o perioadă de păstrare pentru datele sursă;
Identifică controalele existente care asigură completitudinea și acuratețea introducerii datelor;
Dacă controalele introducerii include utilizarea de totaluri de control, sunt comparate totalurile generate de calculator cu totalurile stabilite independent;
Ce rapoarte obțin utilizatorii pentru a verifica și monitoriza operarea aplicației;
Cum sunt evitate sau identificate tranzacțiile duplicat;
Dacă și cum sunt datele primite de la alte aplicații validate pentru completitudine și acuratețe.
3.2.Controalele de procesare
Controalele de procesare asigură că tranzacțiile sunt acceptate de către calculator, procesate cu o logică validă, trecându-se prin toate fazele procesării și actualizate în fișierele de date corecte. Auditorul :
identifică controalele existente pentru asigurarea acurateței procesării;
se documentează procedurile de reconciliere ale utilizatorului final care facilitează acuratețea procesării;
verifică ce rapoarte obțin utilizatorii pentru a verifica și monitoriza operarea aplicației?
descrie cum se verifică totalurile de control;
descrie orice comparare a rezultatelor acțiunilor la cele anterioare pentru verificări rezonabile;
determină dacă procedurile de reconciliere speciale trebuie să fie aplicate la sfârșitul lunii, anului fiscal, etc.
3.3.Corectarea erorii. Auditorul:
determină impactul pe care datele și erorile de procesare le au asupra procesării;
determină dacă erorile sunt separate într-un fișier suspensiv;
determină dacă acest fișier este cumulativ sau nu;
verifică rapoartele de erori pentru a determina dacă sunt de mărime rezonabilă;
determină cum sunt corectate erorile;
determină dacă tranzacțiile corectate sunt autorizate;
verifică dacă tranzacțiile corectate sunt reintroduse în procesarea principală fie la punctul inițial de introducere fie printr-un proces de corectare a erorii speciale;
determină dacă procesul de corectare a erorii înlocuiește articolele din fișierul suspensiv;
determină promptitudinea corectării erorii;
identifică cum monitorizează utilizatorii finali erorile rămase și desfășoară în timp util investigațiile suplimentare;
stabilește dacă există o separare adecvată a sarcinilor (custodie, autorizare, înregistrare și reconciliere periodică) pentru cei autorizați să actualizeze datele;
determină dacă toate reconcilierile și procedurile de corecție a erorilor sunt documentate în documentele utilizatorului final;
verifică dacă există un raport de excepții generat pentru tranzacțiile eronate de mult timp nerezolvate.
3.4.Controalele rezultatului.
Controalele rezultatului asigură că datele rezultatului sunt raportate în manieră corectă, disponibilă doar personalului autorizat, adecvat reținute sau distruse, supuse procesării necesare pistelor de audit și dacă sunt eronate, separate de tranzacțiile valide, corectate și reintroduse în procesarea principală. Auditorul:
identifică dacă rezultatul este distribuit;
determină dacă distribuirea reduce expunerile la vizualizarea neautorizată a informațiilor sensibile fie prin implicarea imprimantelor de la locația utilizatorului final fie prin utilizarea listelor de verificare a distribuirii rezultatului;
verifică cum asigură organizația ca rapoartele și fișierele sunt distribuite la utilizatorii finali corespunzători;
verifică cine primește rapoartele de rezultat, dacă ele sunt separate de acelea de desfășurare a introducerii;
stabilește cum verifică utilizatorul final că toate rapoartele au fost primite și că toate paginile rapoartelor au fost incluse;
verifică dacă rapoartele de rezultat includ următoarele informații de identificare:
a) titlul raportului,
b) numele/numărul programului de procesare,
c) a fost produsă data și ora raportului, perioada acoperită.
verifică cum evidențiază utilizatorul final primirea rapoartelor și fișierelor;
verifică dacă există o separare adecvată a sarcinilor;
verifică cum sunt identificate și distribuite rapoartele confidențiale;
identifică toate formularele speciale utilizate în procesare și raportare. Determină dacă formularele sensibile sunt protejate;
verifică dacă oamenii responsabili cu protecția documentelor sensibile sunt diferiți de cei care păstrează înregistrările contabile respective;
verifică existența procedurilor speciale de generare a rapoartelor sensibile;
3.5. Documentele utilizatorului final
Documentele utilizatorului sunt sursele primare de informare pentru tot personalul responsabil pentru utilizarea zilnică a aplicației. Auditorul verifică dacă:
există documente ale utilizatorului final ce explică inițierea adecvată a documentului sursă, autorizația, colectarea de date, pregătirea introducerii, administrarea rapoartelor, corectarea erorii și păstrarea rapoartelor/datelor;
sunt păstrate documentele sursă în așa fel încât datele pierdute sau distruse în timpul procesării ulterioare pot fi recreate;
fiecare tip de document sursă are o perioadă specifică de păstrare.
3.6. Autorizarea
Controalele de autorizare asigură că toate informațiile și datele introduse sau utilizate în procesare sunt autorizate de către conducere și reprezentanții evenimentului care de fapt are loc. Auditorul :
verifică dacă tranzacțiile sunt autorizate manual, ce controale asigură că nu are loc nici o modificare neautorizată după autorizare, ci înainte de stabilirea controalelor de introducere?
determină dacă nivelul conducerii corespunzător autorizează activitatea;
stabilește dacă autorizarea tranzacției este facilitată de către restricții de acces logic. Selectează un eșantion de reguli de acces la introducerea și actualizarea tranzacțiilor și verifică dacă persoana adecvată care are aceste capacități;
identifică orice depășire permisă sau trecere pe lângă validarea datelor și dacă se editează verificările;
determină cine poate face depășiri și verifică dacă acele persoane sunt în poziția de conducere care trebuie să aibă această autoritate;
verifică cum sunt înregistrate automat toate depășirile așa încât aceste acțiuni să poată fi ulterior analizate pentru acuratețe.
3.7. Separarea îndatoririlor. Auditorul verifică dacă:
– Sunt separate îndatoririle astfel încât nici o persoană să nu realizeze mai mult de una dintre următoarele operații:
1. autorizarea tranzacției,
2. inițierea tranzacțiilor,
3. introducerea tranzacției,
4. distribuirea rezultatului.
Sunt corectate tranzacțiile respinse necauzate de introducerea de erori de către utilizatorul care a inițiat tranzacția;
Are utilizatorul final responsabilitatea ultimă pentru completitudinea și acuratețea tuturor datelor aplicației;
4. Domeniul de acțiune – Securitatea informației
Poziția entității referitoare la securitatea informației trebuie exprimată în Politica de securitate TI, care stabilește cu claritate politicile, principiile și standardele specifice privind securitatea, precum și cerințele de conformitate cu acestea, controalele detaliate privind securitatea, responsabilitățile și sarcinile personalului în ceea ce privește securitatea TI, modalitățile de raportare în caz de incidente.
Politica de securitate se exprimă într-o formă concisă, narativă, se aprobă de managementul de vârf, trebuie să fie disponibilă pentru toți funcționarii responsabili cu securitatea informației și trebuie să fie cunoscută de toți cei care au acces la sistemele de calcul.
Auditorul verifică dacă politica de securitate conține următoarele elemente:
O definiție a securității informației, obiectivele sale generale și scopul;
O declarație de intenție a managementului prin care acesta susține scopul și principiile securității informației;
O detaliere a politicilor, principiilor și standardelor specifice privind securitatea, precum și a cerințelor de conformitate cu acestea:
conformitatea cu cerințele legale și contractuale;
educație și instruire în domeniul securității;
politica de prevenire și detectare a virușilor;
politica de planificare a continuității afacerii.
O definire a responsabilităților generale și specifice pentru toate aspectele legate de securitate;
O descriere a procesului de raportare în cazul apariției incidentelor privind securitatea.
Auditorul verifică dacă entitatea a implementat metoda de monitorizare a conformității cu politica de securitate și dacă se furnizează asigurarea că politica este de actualitate, dacă responsabilitatea pentru securitatea TI este asignată unei funcții de administrare a securității.
Riscuri asociate politicii de securitate
(a) Motivația pentru fraudă / infracțiuni (internă și externă). Se analizează care sunt tipurile de informații gestionate de către sistemele TI, din punctul de vedere al confidențialității și în ce măsură ar fi afectată reputația entității în caz de fraudă.
(b) Senzitivitatea datelor. Având în vedere că tentativele de fraudă asupra datelor din sistemul informatic sunt stimulate de interesul manifestat pentru informațiile confidențiale, se apreciază cât de confidențiale sunt datele gestionate de către sistemele TI, pentru a evalua probabilitatea de atac asupra acestora și pentru a stabili dacă controalele implicate de politica de securitate sunt suficient de riguroase.
(c) Legislație și regulamente. Se evaluează modul de aliniere a entității la contextul legislativ și de reglementare, prin prisma caracterului informațiilor gestionate de sistemele TI (de exemplu privind protecția datelor cu caracter personal).
Riscurile asociate cu controale ale accesului logic neadecvate
Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt:
Dezvăluiri neautorizate prin acces la informații confidențiale;
Modificări neautorizate;
Afectarea integrității sistemului.
(a) Atacatorii pot fi hackeri, funcționari, foști funcționari, competitori, spioni, vânzători și consultanți.
(b) Consecințele violării securității accesului logic:
Calificarea opiniei de audit: interesează cel mai mult pe auditorul extern, având în vedere că datele din sistemul informatic nu pot fi auditate întrucât nu oferă probe de încredere, și pot conține erori materiale datorate alterării lor.
Pierderi financiare: pot fi directe, decurgând dintr-o fraudă, sau indirecte, decurgând din costurile modificărilor și corectării datelor și programelor.
Obligații legale: entitatea poate avea obligații legale privind stocarea și dezvăluirea datelor. De exemplu, informațiile dezvăluite pot intra sub incidența legii protecției datelor cu caracter personal, sau, pierderea integrității într-un mediu bancar poate produce încălcarea regulilor bancare și acțiuni disciplinare pentru aceasta.
Pierderi ale acțiunilor pe piață și/sau a credibilității: sunt foarte grave în special în sectorul serviciilor financiare (bănci, fonduri de investiții) unde pot conduce la pierderea afacerii.
Distrugerea activităților afacerii: de exemplu, dacă un hacker pătrunde în sistemul de fabricație asistată de calculator al unei organizații și schimbă toate dimensiunile produselor.
Riscuri asociate rețelelor și conexiunilor la Internet
Prin conectarea sistemelor entității în rețea apare potențialul unor riscuri majore generate de accesul unor utilizatori anonimi externi sau al unor funcționari neautorizați care conduce la:
Pierderea datelor prin ștergere intenționată sau în timpul transmisiei;
Alterarea datelor de către utilizatori sau datorate erorilor de transmisie;
Fraudă generată de surse interne sau externe;
Indisponibilitatea sistemului: legăturile în rețea pot fi deteriorate cu ușurință. Liniile de comunicație se extind în general în afara granițelor de control ale entității (de exemplu, clientul se poate lega pe o rețea telefonică locală prin linii ISDN ( Integrated Services Digital Network );
Dezvăluirea neautorizată a informațiilor confidențiale accidentală sau deliberată;
Infectarea cu viruși și viermi. Infecțiile cu viermi sunt proiectate special pentru a fi răspândite în rețele. Infecțiile cu viruși sunt cu mult mai posibile întrucât măsurile tradiționale de protecție (scanarea) sunt mai puțin eficace.
Contravenții la legislația privind drepturile de proprietate intelectuală, și de protecție a datelor private.
Protecția securității are aspecte specifice acestui tip de comunicație: educarea utilizatorilor proprii privind consecințele unui comportament neadecvat sau ale neglijării unor precauții legate de utilizarea rețelei Internet, utilizarea serviciilor unui provider în locul conexiunii fizice la Internet, în scopul evitării expunerii directe a sistemului de calcul propriu la atacuri din rețeaua Internet.
După efectuarea testelor specifice și analizarea probelor, auditul se încheie cu întocmirea unui Raport de audit care cuprinde opiniile auditorilor, constatările și recomandările ce urmează să fie implementate.
Raportul de audit intern este și trebuie să fie un document de informare pentru conducere. La simpla lectură a raportului, superiorii ierarhici trebuie să știe dacă există un bun control asupra domeniului auditat și care sunt, eventual, măsurile importante ce trebuie luate pentru a îmbunătăți situația.
Raport de audit este întocmit în doua exemplare și are ca anexe:
– Fișele de identificare si analiza a problemelor;
– Fișa de urmărire a recomandărilor.
Pornind de la raportul de audit, responsabilii auditați vor întreprinde acțiuni corective, ceea ce nu s-ar putea face numai cu indicații generale. Așadar, documentul trebuie să analizeze și să prezinte în mod obligatoriu detaliile constatărilor și observațiilor. Recomandările trebuie să fie concrete și precise, pentru ca responsabilii să nu rămână nelămuriți, și să fie în măsură să definească cu exactitate acțiunile ce trebuie întreprinse.
În concluzie, putem spune că instituțiile bancare se confruntă cu o problemă, care are un impact negativ asupra activităților și, în special, asupra reputației și credibilității unei bănci, și anume frauda informatică.
Minimizarea și prevenirea acestei amenințări presupune mai mult decât introducerea unor mecanisme de control a fraudei informatice sau a tehnologiei de depistare a fraudei informatice, indiferent de cât de sofisticate și de avansate sunt. Cei care au intenția de a produce fraude informatice sunt, în general cu un pas înainte, găsesc întotdeauna metodele, dar și momentul pentru a-și implementa planurile.
Studiul efectuat ne permite a trage următoarele concluzii referitoare la problematica analizată, după cum urmează:
în general, băncile sunt preocupate doar să facă bani, nu să se protejeze.
Sistemul bancar este vulnerabil, operațiunile necinstite se întâmpla probabil în fiecare zi, dar băncilor nu le convine să le facă publice pentru că asta ar zdruncina încrederea clienților în aceste instituții bancare.
este foarte greu de crezut că operațiunile frauduloase din sistemul bancar s-au putut întâmpla fără știrea conducerii băncii.
Implementarea recomandărilor rezultate din derularea misiunilor de audit bancar, pot conduce, în mod cert la diminuarea riscurilor de producere a fraudelor, întărirea securității și prevenirea evenimentelor de securitate în sistemul bancar.
CONCLUZII
Progresul tehnologiei în afaceri, combinat cu creșterea explozivă în toate domeniile de activitate a sistemelor informatice și conectivitatea de date, a alterat în mod definitiv și în multe privințe business-ul și mediul de consum.
Din păcate, conectivitatea și accesul la internet motivează infractori sofisticați, capabili de a opera la un nivel superior celor din sistemele de securitate existente. Frauda informatică este greu de preîntâmpinat, de aceea multe bănci realizează că sunt țintele unor astfel de atacuri, la multă vreme după ce daunele s-au produs.
Din parcurgerea lucrărilor și studiilor de specialitate și a cercetării personale întreprinse pentru elaborarea prezentei lucrări, am ajuns la concluzia că fraudele informatice nu mai sunt o problemă de tehnologie ci una strategică, o problemă de resurse umane și procese de business, pentru că, în cele din urmă, banca nu este atacată de un calculator ci de oameni, care încearcă să exploateze fragilitatea umană, la fel de mult ca și vulnerabilitatea tehnologică. De aceea, această problemă necesită o abordare fundamentală, ancorată în strategie, judecata proceselor de business, accesul, nivelele de autorizare, de delegare, supervizare și conștientizare și nu doar în echipamente și instrumente.
De asemenea, este de necontestat faptul că la nivel organizațional, securitatea informatică nu ar trebui să se limiteze la departamentul IT, ci să devină un principiu și un obiectiv de business pentru echipa de management. Este firesc, ca echipa de IT să știe care sunt cele mai bune și eficiente instrumente și tehnologii, dar aceste informații nu vor ajuta afacerea dacă nu există focus la nivelul întregii instituții bancare pentru a proteja bunurile și informațiile acesteia.
Riscul de vulnerabilitate a sistemului informațional de la nivelul băncii, modul de organizare și viteza de reacție a echipei de management a riscului IT, poate avea un impact evident asupra valorii unei instituții bancare, fie sub forma un impact cauzat de efectele asupra personalului, partenerilor, clientelei sau asupra autorității bancare, fie sub forma pierderilor directe suportate. În sectorul bancar, riscul de securitate IT trebuie privit ca un conglomerat de pericole, adeseori interdependente, ce au cauze comune, ivirea unui breșe în sistemul informațional al băncii poate genera apariția unei succesiuni de alte riscuri.
Concluzia mea este că majoritatea riscurilor bancare țin de organizarea sau, de fapt, de lipsa organizării interne a băncilor, marile prejudicii sunt produse din interior, nu țin doar de atacurile informatice externe.
Întrebând orice client ce așteptări are de la instituția bancară cu care lucrează, două cerințe sunt rostite în mod evident: securitatea operațiunilor sau informatică și confidențialitatea informațiilor.
Odată conectate la internet, instituțiile bancare devin mai accesibile publicului larg, dar și vulnerabilităților, în fața unor atacuri neprevăzute prin pătrunderea neautorizată în sistemul informatic.
Nivelul de specialitate al domeniului, respectiv costurile de a lua măsuri individuale sunt foarte mari. Nu întotdeauna instituțiile financiare care interacționează cu băncile sunt dispuse să investească în tehnologii de ultimă oră și oameni cu înaltă specializare în securitate informatică, periclitând astfel indirect sistemele informatice ale instituțiilor bancare.
Vulnerabilitățile sistemelor informatice sunt practic slăbiciuni care ar putea fi oricând exploatate de o posibilă amenințare.
Este recunoscut faptul că odată cu dezvoltarea tehnologică s-a dezvoltat și securitatea sistemelor informatice, dar în același timp, este de necontestat că posibilii atacatori au reușit să-și dezvolte abilitățile și oportunitățile de pătrundere, mai profund și mai rapid, în sistemele informatice, efectele fiind de cele mai multe ori deosebit de grave.
Peste tot în lume, securitatea informatică a devenit una din cele mai mari provocări la care societatea noastre trebuie să le facă față. Acest lucru înseamnă că numărul de evenimente dedicate acestui subiect este în creștere constantă, atât în țările cu putere economică și geopolitică ridicată, cât și în țările în care sectorul IT devine unul dintre cele mai dinamice și prospere, cum ar fi în Polonia și România. Numărul de atacuri cibernetice au crescut în ultima perioadă în România.
Atacurile și pierderile cresc constant. Atacatorii vor fi întotdeauna înaintea măsurilor, în general reactive. Din acest motiv, în opinia mea este nevoie de o entitate profesionalizată de prevenire și combatere a criminalității informatice în mediul bancar. Schimbul de informații, anonimizate, este foarte important. Când o entitate financiară e atacată, va urma alta.
Atacurile cibernetice devin din ce în ce mai sofisticate și sunt ațintite tot mai mult către sistemul financiar-bancar. Flagelul este în extindere. Se iau masuri la nivel statal, la nivelul NATO, deci este o îngrijorare care se extinde. Pe măsură ce știi mai multe, înțelegi implicațiile și riscurile majore asupra vieții fiecăruia dintre noi.
Nevoia de reglementare este foarte urgentă, deoarece măsurile care vor trebui aplicate vor lua timp, nu își pot arăta beneficiile imediat și din acest motiv trebuie sa ne apucăm din timp pentru a putea fi pregătiți într-o perspectivă de timp mediu. Lupta cu criminalitatea informatica e de termen lung. Din acest motiv autoritățile au un rol de a impune măsuri și nu a aștepta ca băncile să le ia, deoarece nu le vor lua decât după ce prejudiciile sunt mari. Cei mai afectați sunt de fapt clienții instituțiilor bancare, consumatorii de servicii financiare. Din acest motiv autoritățile trebuie să le protejeze prin reglementari, supraveghere și control.
Chiar dacă a fost înființat CSIRT – centru de răspuns la incidente de securitate cibernetică – entitate organizațională specializată care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea și reacția la incidentele cibernetice, aceasta nu poate rămâne singura soluție, chiar dacă la nivel general s-a dovedit până acum o soluția optimă, cu tot ce înseamnă el, plus partea de specializare financiară.
Chiar dacă este insuficient dotată cu personal și mijloace din cauza deciziilor politice greșite, CERT-RO constituie un exemplu de bune practici de către întreaga CERT UE și de către ITU.
Trebuie organizate evenimente la care să participe toate autoritățile țării în domeniu (CERT-RO, servicii de informații, BNR-ul, poliție, justiție, comunicații, servicii de reglementare etc.). care să accepte – nu în cuvinte, ci și în fapte, conștientizarea riscurilor la care sunt expuse instituțiile bancare în mediul virtual.
Aceste evenimente pot fi un pas important în direcția încrederii și construirea unei relații umane solide între ofițerii specialiști în criminalitatea informatică și manageri băncilor, așa cum nicio întâlnire virtuală nu va înlocui vreodată sinceritatea unei strângeri de mână și impresiile umane care rezultă după o discuție personală.
Orice încercare de a construi un stat mai sigur, fără a avea un sistem bancar mai sigur, este un contradictoriu în termeni și poate conduce doar la o țară care va fi pusă în fața pierderilor financiare grave.
Printr-o instruire continuă a angajaților, o verificare mai atentă a personalului propriu, angajarea de specialiști care să aibă abilitățile și calificările necesare și prin exemple concrete, care pot fi obținute prin solicitarea permanentă de teste de penetrare, de ethical hacking, care să evidențieze cum se pot fura bani, sau se pot substitui identități, echipele manageriale ale băncilor vor putea să fie pregătit pentru evenimente critice.
Din păcate răspunsul la întrebarea: „dacă managementul riscului IT poate ține pasul cu infracționalitatea informatică din sistemul bancar?” este „NU!”.
Este un domeniu în care mereu apar lucruri noi, iar la nivelul protecției consumatorilor de servicii financiare sunt foarte multe de făcut, trebuie crescut nivelul de educație practică, comportamentală, atât a entităților furnizoare de servicii bancare, cât și a clienților beneficiari. Cred că pe zona prevenirii prin abordare și educație comportamentală sunt multe lucruri încă nespuse.
În final, putem concluziona că:
managementul riscului IT, respectiv securitatea informatică bancară, sunt procese fără sfârșit, deoarece, pentru a crește siguranța, întotdeauna trebuie să ne întoarcem la punctul de la care am plecat, iar
noile tehnologii și idei solicită, în permanență, o actualizare a politicii de management al riscului IT.
BIBLIOGRAFIE
CĂRȚI ȘI ARTICOLE
ALEXANDRU, F., „Procesul de concentrare economică în lumea contemporană”, Sesiunea internațională de comunicări științifice – Integrare și globalizare – organizată de Universitatea Pitești, aprilie 2005.
BASNO, C., DARDAC, N., (1996) Operațiuni bancare – Instrumente și tehnici de plată, Editura Didactică și Pedagogică, București.
BASNO, C., DARDAC, N., (1999) Riscurile bancare, Editura Didactică și Pedagogică, București.
BASNO, C., DARDAC, N., (2002) Management bancar, Editura Economica, București.
BESSIS, J. (2005) – Risk Management in Banking, John Wiley & Sons, Ltd., Chichester.
CHERNOBAI, A. S., Rachev, S. T. și Fabozzi, F. J.,(2007), Operational Risk. A Guide to Basel II Capital Requirements, Models, and Analysis, John Wiley & Sons, Ltd, New Jersey.
CROUHY, D., Robert M. (2006), The Essentials of Risk Management, Editura McGraw Hill Companies.
DARDAC, N., GRIGORE, A., (2011), Modelarea riscului de piață în contextul Acordului Basel III, Academia de Studii Economice, București.
DARDAC, N., VISCU, T., (2002), Moneda – Credit, Editura ASE, București.
DASCĂLU, C., BOTEA, M., (1999), Contabilitatea principalelor operațiuni ale băncilor comerciale, Editura ASE, București.
DASCĂLU, C., BOTEA, M., (2005), Contabilitate și tehnică bancară, InfoMega, București.
DEDU, V., (2008) Produse și servicii bancare, Editura ASE, București.
DEDU, V., STANCIU, V.,(2008). Considerații privind cooperarea dintre autoritatea de supraveghere bancara, auditorul extern si comitetul de audit privind situațiile financiare. Revista Audit Financiar nr.11.
DEDU, V., STANCIU, V., GANEA T., DUMITRESCU, B.A., (2009), „Web Portal Specialized In Providing Education And Financial Assisstance To The Bank Product And Service Consumer”, Theoretical and Applied Economics, Asociația Generală a Economiștilor din România – AGER, vol. 12(12(541)(s), pages 606-612, December.
DE BANDT, O., HARTMANN, P., (2000), Systemic Risk: A Survey, ECB Working Paper No. 35, Frankfurt.
DOBROTEANU L., DOBROTEANU L.,( 2008), Aspecte esențiale in aplicarea strategiei de audit intern bazate pe riscuri, Audit financiar, nr.11.
DUMITRESCU, B., ENCIU, A., Assessments and controversies on the role of the International Financial Iinstitutions – IFI’s – within a globalized market, "Integrarea Europeană – noi provocări pentru economia României" – ediția a V-a sub patronajul Modulelor "Jean Monnet", “European Economic Integration”, Jean Monnet Project 2004, Agreement 2004-3205 / 001-001 JMO, Conferință organizată de Univ. Oradea, mai 2009.
EDEN, A., STANCIU, V., (2004), Auditul sistemelor informatice. Editura Dual Tech, București.
FLANNERY, M. (1996), Financial Crises, Payment System Problems, and Discount Window Lending, Journal of Money, Credit and Banking 28(4).
GEORGESCU, F. (2007a), Provocări pentru supravegherea sectorului financiar-bancar, Institutul Bancar Român, București.
GEORGESCU-GOLOȘOIU, L., (2002), Business of banking, Editura ASE, București.
GHEORGHE M. (coordonator) & colectiv (2008), Metodologie pentru securitatea si auditul sistemelor informatice de gestiune, Editura ASE, Bucuresti.
GREEN, P.S. (1992), Reputation Risk Management, Pitman Publishing, London.
HEFFERNAN, S.,(2007), Modern Banking, Editura John Wiley and Sons, Ltd. England.
ISAIC-MANIU, I.(2006) – Caracterizarea statistică a riscului: concepte, tehnici, aplicații, Editura ASE, București.
MANOLESCU, Gh., (1995), Managementul financiar, Editura Economică, București.
MATIȘ, E.A., (2009), Managementul performanțelor și riscului în băncile comerciale din România, Ed. Casa Cărții de Știință, Cluj Napoca.
NASTASE P.(coordonator), ( 2007), Auditul și controlul sistemelor informaționale, Editura Economică, București.
NIȚU, I. (2000) Managementul riscului bancar, Editura Expert, București.
ROBINSON, P., Dicționar de securitate internațională, Cluj-Napoca, Editura CA Publishing, 2010;
SCHOENMAKER, Dirk, The European Banking Landscape after the Crisis, DSF Policy Paper, No. 12, April 2012;
SHELAGH Heffernan, (2007), Modern Banking, Editura John Wiley and Sons, Ltd.
STANCIU, V., (coordonator), (2002), Proiectarea sistemelor informatice. Editura Dual Tech, București.
STANCIU, V., (coordonator), (2004), Informatică generală. Editura Dual Tech, București.
STANCIU, V., (2004), Soluții informatice moderne suport al realizării strategiilor băncii. Revista Finanțe, Bănci, Asigurări nr. 5. pag 58-59.
STANCIU V., „Considerații privind strategia auditului intern”, Revista Audit Financiar nr. 1/2008.
STANCIU, V., EDEN, A., (2008), Auditing operational risk and security in banking institutions. Accounting and Management Information Systems. Supplement/2008,
STANCIU, V., Sisteme informatice financiar-monetare, Note de curs – A.S.E. București.
TĂNĂSESCU, P., ȘERBĂNESCU, C., „Actualități în managementul riscului”, Conferința Economică Internațională „BINOMUL SĂRĂCIE-BOGĂȚIE ȘI INTEGRAREA ROMÂNIEI ÎN UNIUNEA EUROPEANĂ”, Universitatea Lucian Blaga, Sibiu, 2005.
TĂNĂSESCU, P., ȘERBĂNESCU, C., NOVAC, L., „Metode practice de analiză a riscului”, Conferința Economică Internațională „BINOMUL SĂRĂCIE-BOGĂȚIE ȘI INTEGRAREA ROMÂNIEI ÎN UNIUNEA EUROPEANĂ”, Universitatea Lucian Blaga, Sibiu, 2005.
TAMAS I., NASTASE P., BERBEC F., IONESCU B., (2004) Bazele Tehnologiei Informațiilor și Comunicații, Editura INFOMEGA, București.
RAPOARTE ȘI LUCRĂRI
PwC – The Global State of Information Security Survey, Analiză 2014.
Curtea de Conturi a României, Ghidul de audit al sistemelor informatice, 2012, București. Curtea de Conturi a României, Manual – Auditul sistemelor informatice, 2012, București.
Kaspersky Lab & B2B International, Studiu 2014.
Revista Business Week, colecția 2010 – 2014
Revista Capital, colecția 2009 – 2014
Revista Banking Technology, colecția 2008-2014
Norma Băncii Naționale a României nr. 18/2009
Banca Națională a României, Rapoarte anuale 2008 – 2013, București.
SURSE DE INFORMARE ACCESIBILE PE INTERNET
http://www.biblioteca-digitala.ase.ro
http://ec.europa.eu
www.securityportal.ro
https://www.banca transilvania.ro/securitatea-informațiilor/despre-phishing/
http://moldova.cc/fraude/Fraude%/20prin%20Bancomate.htm
http://www.gov.uk/bis
ANEXE.
BIBLIOGRAFIE
CĂRȚI ȘI ARTICOLE
ALEXANDRU, F., „Procesul de concentrare economică în lumea contemporană”, Sesiunea internațională de comunicări științifice – Integrare și globalizare – organizată de Universitatea Pitești, aprilie 2005.
BASNO, C., DARDAC, N., (1996) Operațiuni bancare – Instrumente și tehnici de plată, Editura Didactică și Pedagogică, București.
BASNO, C., DARDAC, N., (1999) Riscurile bancare, Editura Didactică și Pedagogică, București.
BASNO, C., DARDAC, N., (2002) Management bancar, Editura Economica, București.
BESSIS, J. (2005) – Risk Management in Banking, John Wiley & Sons, Ltd., Chichester.
CHERNOBAI, A. S., Rachev, S. T. și Fabozzi, F. J.,(2007), Operational Risk. A Guide to Basel II Capital Requirements, Models, and Analysis, John Wiley & Sons, Ltd, New Jersey.
CROUHY, D., Robert M. (2006), The Essentials of Risk Management, Editura McGraw Hill Companies.
DARDAC, N., GRIGORE, A., (2011), Modelarea riscului de piață în contextul Acordului Basel III, Academia de Studii Economice, București.
DARDAC, N., VISCU, T., (2002), Moneda – Credit, Editura ASE, București.
DASCĂLU, C., BOTEA, M., (1999), Contabilitatea principalelor operațiuni ale băncilor comerciale, Editura ASE, București.
DASCĂLU, C., BOTEA, M., (2005), Contabilitate și tehnică bancară, InfoMega, București.
DEDU, V., (2008) Produse și servicii bancare, Editura ASE, București.
DEDU, V., STANCIU, V.,(2008). Considerații privind cooperarea dintre autoritatea de supraveghere bancara, auditorul extern si comitetul de audit privind situațiile financiare. Revista Audit Financiar nr.11.
DEDU, V., STANCIU, V., GANEA T., DUMITRESCU, B.A., (2009), „Web Portal Specialized In Providing Education And Financial Assisstance To The Bank Product And Service Consumer”, Theoretical and Applied Economics, Asociația Generală a Economiștilor din România – AGER, vol. 12(12(541)(s), pages 606-612, December.
DE BANDT, O., HARTMANN, P., (2000), Systemic Risk: A Survey, ECB Working Paper No. 35, Frankfurt.
DOBROTEANU L., DOBROTEANU L.,( 2008), Aspecte esențiale in aplicarea strategiei de audit intern bazate pe riscuri, Audit financiar, nr.11.
DUMITRESCU, B., ENCIU, A., Assessments and controversies on the role of the International Financial Iinstitutions – IFI’s – within a globalized market, "Integrarea Europeană – noi provocări pentru economia României" – ediția a V-a sub patronajul Modulelor "Jean Monnet", “European Economic Integration”, Jean Monnet Project 2004, Agreement 2004-3205 / 001-001 JMO, Conferință organizată de Univ. Oradea, mai 2009.
EDEN, A., STANCIU, V., (2004), Auditul sistemelor informatice. Editura Dual Tech, București.
FLANNERY, M. (1996), Financial Crises, Payment System Problems, and Discount Window Lending, Journal of Money, Credit and Banking 28(4).
GEORGESCU, F. (2007a), Provocări pentru supravegherea sectorului financiar-bancar, Institutul Bancar Român, București.
GEORGESCU-GOLOȘOIU, L., (2002), Business of banking, Editura ASE, București.
GHEORGHE M. (coordonator) & colectiv (2008), Metodologie pentru securitatea si auditul sistemelor informatice de gestiune, Editura ASE, Bucuresti.
GREEN, P.S. (1992), Reputation Risk Management, Pitman Publishing, London.
HEFFERNAN, S.,(2007), Modern Banking, Editura John Wiley and Sons, Ltd. England.
ISAIC-MANIU, I.(2006) – Caracterizarea statistică a riscului: concepte, tehnici, aplicații, Editura ASE, București.
MANOLESCU, Gh., (1995), Managementul financiar, Editura Economică, București.
MATIȘ, E.A., (2009), Managementul performanțelor și riscului în băncile comerciale din România, Ed. Casa Cărții de Știință, Cluj Napoca.
NASTASE P.(coordonator), ( 2007), Auditul și controlul sistemelor informaționale, Editura Economică, București.
NIȚU, I. (2000) Managementul riscului bancar, Editura Expert, București.
ROBINSON, P., Dicționar de securitate internațională, Cluj-Napoca, Editura CA Publishing, 2010;
SCHOENMAKER, Dirk, The European Banking Landscape after the Crisis, DSF Policy Paper, No. 12, April 2012;
SHELAGH Heffernan, (2007), Modern Banking, Editura John Wiley and Sons, Ltd.
STANCIU, V., (coordonator), (2002), Proiectarea sistemelor informatice. Editura Dual Tech, București.
STANCIU, V., (coordonator), (2004), Informatică generală. Editura Dual Tech, București.
STANCIU, V., (2004), Soluții informatice moderne suport al realizării strategiilor băncii. Revista Finanțe, Bănci, Asigurări nr. 5. pag 58-59.
STANCIU V., „Considerații privind strategia auditului intern”, Revista Audit Financiar nr. 1/2008.
STANCIU, V., EDEN, A., (2008), Auditing operational risk and security in banking institutions. Accounting and Management Information Systems. Supplement/2008,
STANCIU, V., Sisteme informatice financiar-monetare, Note de curs – A.S.E. București.
TĂNĂSESCU, P., ȘERBĂNESCU, C., „Actualități în managementul riscului”, Conferința Economică Internațională „BINOMUL SĂRĂCIE-BOGĂȚIE ȘI INTEGRAREA ROMÂNIEI ÎN UNIUNEA EUROPEANĂ”, Universitatea Lucian Blaga, Sibiu, 2005.
TĂNĂSESCU, P., ȘERBĂNESCU, C., NOVAC, L., „Metode practice de analiză a riscului”, Conferința Economică Internațională „BINOMUL SĂRĂCIE-BOGĂȚIE ȘI INTEGRAREA ROMÂNIEI ÎN UNIUNEA EUROPEANĂ”, Universitatea Lucian Blaga, Sibiu, 2005.
TAMAS I., NASTASE P., BERBEC F., IONESCU B., (2004) Bazele Tehnologiei Informațiilor și Comunicații, Editura INFOMEGA, București.
RAPOARTE ȘI LUCRĂRI
PwC – The Global State of Information Security Survey, Analiză 2014.
Curtea de Conturi a României, Ghidul de audit al sistemelor informatice, 2012, București. Curtea de Conturi a României, Manual – Auditul sistemelor informatice, 2012, București.
Kaspersky Lab & B2B International, Studiu 2014.
Revista Business Week, colecția 2010 – 2014
Revista Capital, colecția 2009 – 2014
Revista Banking Technology, colecția 2008-2014
Norma Băncii Naționale a României nr. 18/2009
Banca Națională a României, Rapoarte anuale 2008 – 2013, București.
SURSE DE INFORMARE ACCESIBILE PE INTERNET
http://www.biblioteca-digitala.ase.ro
http://ec.europa.eu
www.securityportal.ro
https://www.banca transilvania.ro/securitatea-informațiilor/despre-phishing/
http://moldova.cc/fraude/Fraude%/20prin%20Bancomate.htm
http://www.gov.uk/bis
ANEXE.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Abordari Practice ALE Evenimentelor DE Securitate In Sistemul Bancar (ID: 134880)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.