Bezpieczeństwo
Transkrypt
Bezpieczeństwo
Bezpieczeństwo Niebezpieczeństwu staramy się w pierwszej kolejności przeciwdziałać. Systematycznie podnosimy świadomość naszych pracowników w kwestii zarządzania ryzykiem i zapewniamy klientom ochronę środków. Prowadząc działalność bankową w dynamicznie zmieniającym się świecie, stale identyfikujemy różnego rodzaju ryzyka. Na co dzień kierujemy się wymogami wynikającymi z przepisów prawa, rekomendacji i uchwał Komisji Nadzoru Finansowego oraz naszymi wewnętrznymi regulacjami. Dzięki temu środki i dane, które powierzają nam klienci, są bezpieczne. Zarządzanie ryzykiem Chcąc przeciwdziałać incydentom naruszającym bezpieczeństwo, przyjęliśmy w banku spójny zestaw zasad odnoszących się do zarządzania ryzykiem operacyjnym oraz przeciwdziałania oszustwom. Za ich pomocą regulujemy zakres i obowiązki pracowników – tak aby ograniczyć prawdopodobieństwo i skutki wystąpienia incydentów związanych z niedostosowaniem lub zawodnością procesów, ludzi, systemów, jak również spowodowanych przez zdarzenia zewnętrzne. W latach 2013-2014 wdrożyliśmy liczne usprawnienia, które zwiększyły bezpieczeństwo środków i danych powierzonych nam przez klientów. Miały też na celu utrzymanie ryzyka operacyjnego na akceptowalnym poziomie. Polegały one między innymi na: modyfikacji systemów i procesów operacyjnych, przygotowaniach do przeciwdziałania atakom na infrastrukturę IT, realizacji projektów z zakresu bezpieczeństwa fizycznego, ciągłości działania i przeciwdziałania cyberprzestępczości, doskonaleniu mechanizmów utrzymania ciągłości kluczowych procesów oraz systemu zarządzania kryzysowego, monitorowaniu i testowaniu mechanizmów zapewniających bezpieczeństwo fizyczne osób i mienia banku, podnoszeniu świadomości pracowników w obszarze efektywnego zarządzania ryzykiem operacyjnym oraz przeciwdziałaniu oszustwom poprzez wprowadzenie nowych szkoleń obowiązkowych dla wszystkich zatrudnionych w banku. Szkolenia z zakresu bezpieczeństwa oraz przeciwdziałania oszustwom są obowiązkowe dla wszystkich pracowników banku. W ten sposób systematycznie podnosimy świadomość naszych pracowników i zapewniamy klientom większe bezpieczeństwo. Szkolenia te są prowadzone w formie e-learningowej i dotyczą: ochrony informacji, ciągłości działania, umiejętności oceny kontroli i ryzyka, bezpieczeństwa laptopów, urządzeń mobilnych, dobrych praktyk korzystania z poczty elektronicznej oraz pamięci USB. Więcej na ten temat w rozdziale Edukacja na temat ryzyka braku zgodności. Monitoring Stale dostosowujemy naszą ofertę do potrzeb klientów. Jednak każda decyzja o wdrożeniu nowych lub o zmianie istniejących produktów i usług poprzedzona jest wnikliwą analizą. Uwzględnia ona wszystkie aspekty związane z funkcjonowaniem produktu, a szczególnie mechanizmy ograniczające potencjalne zagrożenia: zgodność produktu z regulacjami prawa, dostosowanie produktu do potrzeb i możliwości klienta, zgodność ze strategią banku, zasady księgowania i raportowania, potencjalne ryzyka związane z produktem. Wdrożone już produkty i usługi stale monitorujemy. Ważną funkcję mają tu do spełnienia koordynatorzy ds. ryzyka operacyjnego. Do ich głównych zadań należą kontrole, obserwacje oraz szkolenia pracowników. W razie wystąpienia nieprawidłowości zobowiązani są do ich zgłaszania. 16 koordynatorów ds. ryzyka operacyjnego w 16 regionach w całej Polsce Koordynatorzy prowadzą też ankiety satysfakcji klientów, analizują reklamacje i sprawdzają oddziały pod kątem: fizycznego bezpieczeństwa naszych klientów, ochrony danych – przestrzeganie zasady czystego biurka, tj. zabezpieczania dokumentów i stacji roboczych, edukacji pracowników i klientów na temat korzystania z bankowości elektronicznej, a co za tym idzie, przestrzegania ich przed zagrożeniami (więcej na ten temat w rozdziale Edukacja klientów indywidualnych), usprawniania procesów bankowych, podnoszenia jakości obsługi poprzez prowadzenie audytów, po których proponują działania naprawcze. Bezpieczeństwo systemów IT Szybki wzrost znaczenia bankowości elektronicznej sprawia, że zabezpieczenia systemów IT stanowią kluczowy element strategii zarządzania ryzykiem w banku. Mamy tu na względzie zarówno ochronę przetwarzanych danych, jak i środków. Ograniczamy wystąpienie incydentów już na etapie projektowania i rozwoju systemów IT, analizujemy też ryzyka w przypadku istotnych zmian środowiska IT, a przede wszystkim stale monitorujemy bezpieczeństwo systemów. Nasze systemy i aplikacje przetwarzające dane oparte są na standardzie ISO/IEC 27002:2005. W latach 2013-2014 nie odnotowaliśmy uzasadnionych skarg dotyczących naruszenia prywatności klientów oraz utraty danych. Jednym z kluczowych aspektów bezpieczeństwa teleinformatycznego banku jest utrata lub niekontrolowana przerwa w działaniu systemów informatycznych. Zatrzymanie naszych procesów biznesowych opartych na systemach informatycznych jest niedopuszczalne. Dlatego przywiązujemy najwyższą wagę do zapewnienia ciągłości ich działania – wdrażamy odpowiednie rozwiązania technologiczne oraz tzw. Plany Zachowania Ciągłości. Te ostatnie umożliwiają odpowiednią reakcję w przypadku wystąpienia sytuacji kryzysowej. Skuteczność planów awaryjnych weryfikujemy podczas cyklicznych testów. Sprawdzamy wówczas zachowanie ciągłości pracy naszych krytycznych systemów. Testy te realizowane są według scenariuszy, które najbardziej prawdopodobnie imitują rzeczywiste sytuacje kryzysowe. Cały proces trwa kilkanaście dni i w tym czasie sprawdzamy zdolność banku do realizacji krytycznych procesów biznesowych z wykorzystaniem systemów zapasowych. Dodatkowo, dla przyspieszenia procesu odtworzenia naszych usług na systemach zapasowych, w latach 2013–2014 zautomatyzowaliśmy nasze plany awaryjne. Skróciło to w istotny sposób czas ich realizacji. Paweł Kopicki Ekspert IT Bezpieczeństwo transakcji Monitorujemy transakcje wykonywane kartami płatniczymi przez naszych klientów i wybrane potwierdzamy telefonicznie z użytkownikiem karty. Ma to na celu identyfikowanie prób nieuprawnionego użycia karty i zapobieżenie stratom. Wdrażamy także rozwiązania zwiększające bezpieczeństwo płatności kartowych. Jeżeli zdarzy się sytuacja, w której karta klienta zostanie wykorzystana w sposób przestępczy – po zawiadomieniu odpowiednich organów – zwracamy klientowi środki. Transakcje wykonane przez internet zabezpieczamy jednorazowymi kodami, wysyłanymi na potwierdzony przez klienta numer telefonu. Dbamy też o bezpieczeństwo transakcji wykonywanych za pośrednictwem systemów bankowości internetowej. Na bieżąco informujemy użytkowników o pojawiających się zagrożeniach. Informacje takie przekazujemy poprzez naszą stronę internetową oraz w formie komunikatów wysyłanych bezpośrednio do użytkowników. Aktualizowane zawiadomienia o trojanach, złośliwym oprogramowaniu czy wirusach zwiększają świadomość niebezpieczeństw i jednocześnie pomagają się przed nimi ustrzec. Stworzyliśmy również tematyczne strony, na których nasi klienci mogą się dowiedzieć o bezpiecznym mobilnym bankowaniu czy korzystaniu z kart płatnicznych. Aby jeszcze bardziej podnosić wiedzę na temat potencjalnych niebezpieczeństw, uczestniczymy w pracach zespołów bezpieczeństwa przy Związku Banków Polskich. W ramach tej współpracy wymieniamy się doświadczeniami z innymi bankami.