Wstęp

Spis treści
Wstęp
9
1. Ryzyko informatyczne – wprowadzenie
17
1.1. Ryzyko w nauce – krótki zarys problematyki 18
1.2. Systematyka ryzyka 27
1.3. Ryzyko informatyczne – podstawowe pojęcia 36
1.4. Ryzyko informatyczne jako element ryzyka operacyjnego 55
1.5. Zarządzanie ryzykiem informatycznym według PN-ISO/IEC 27005
1.5.1. Szacowanie ryzyka 67
1.5.2. Analiza ryzyka 69
1.5.3. Redukowanie, unikanie i transfer ryzyka 83
1.5.4. Akceptacja ryzyka 89
1.6. Zarządzanie ryzykiem a zarządzanie bezpieczeństwem 91
1.7. Ocena bezpieczeństwa i szacowanie ryzyka informatycznego 94
1.8. Podsumowanie 98
64
2. Specyfika zarządzania ryzykiem informatycznym
w działalności bankowej 102
2.1. Zastosowania rozwiązań informatycznych w bankowości 108
2.2. Prawne i rekomendacyjne uwarunkowania zarządzania
ryzykiem informatycznym 125
2.3. Zagrożenia i podatności systemów informatycznych w bankowości
2.4. Mechanizmy bezpieczeństwa 145
2.5. Obszary ryzyka informatycznego w banku 147
2.5.1. Obszar zastosowań metod kryptograficznych 151
2.5.2. Obszar kontroli dostępu 155
2.5.3. Obszar organizacyjny 160
2.5.4. Obszar wykrywania anomalii 165
2.5.5. Obszar ochrony przed atakami sieciowymi 169
2.5.6. Obszar ciągłości funkcjonowania 170
2.6. Podsumowanie 170
3. Zastosowania metod ilościowych
w szacowaniu ryzyka informatycznego
134
174
3.1. Metody algorytmiczne 181
3.1.1. Proste metody ilorazowe 181
3.1.2. Metody wykorzystujące struktury drzewiaste
3.1.3. Metoda straty oczekiwanej 189
186
7
Ryzyko informatyczne...-Wawrzyniak.indb 7
2012-12-11 07:20:25
Spis treści
3.1.4. Metody przewidywania zagrożeń 193
3.1.5. Metody macierzowe 195
3.1.6. Algorytmy immunologiczne 200
3.1.7. Metoda ISRAM 205
3.1.8. Metody wykorzystujące koncepcję rywalizacji 206
3.1.9. Algorytm GASSATA 207
3.1.10. Wskaźnik popularności poleceń systemowych lub funkcji 208
3.1.11. Metody oceny jakości haseł dostępu użytkowników 209
3.2. Metody wywodzące się z teorii matematycznych 210
3.2.1. Metody wykorzystujące metodologię bayesowską 211
3.2.2. Metody wykorzystujące podstawy teorii łańcuchów Markowa 215
3.2.3. Metody wykorzystujące zbiory rozmyte 223
3.2.4. Metody wykorzystujące teorię wartości ekstremalnych 227
3.3. Podsumowanie 229
4. Finansowe aspekty zarządzania ryzykiem informatycznym
235
4.1. Analiza ekonomiczno-finansowa jako narzędzie zarządzania
ryzykiem informatycznym 236
4.2. Finansowe obszary zarządzania ryzykiem informatycznym 240
4.2.1. Obszar zasobowy 245
4.2.2. Obszar zagrożeniowy 248
4.2.3. Obszar inwestycyjny 254
4.2.3.1. Metody statyczne 256
4.2.3.2. Return on security investments (ROSI) 258
4.2.3.3. Metody dynamiczne 263
4.3. Optymalizacja inwestycji w zarządzaniu ryzykiem informatycznym
4.4. Podsumowanie 274
5. Nowe spojrzenie na problematykę ryzyka informatycznego
5.1. Wprowadzenie 279
5.2. Propozycja metodyki szacowania ryzyka informatycznego
5.3. Ryzyko informatyczne jako funkcja czasu 290
5.4. Opis ryzyka jako narzędzie zarządzania ryzykiem 291
5.5. Krytyka 295
5.6. Podsumowanie 297
266
278
286
Zakończenie 298
Załącznik 301
Literatura 304
Inne źródła 315
Spis rysunków 317
Spis tabel 319
Summary
321
8
Ryzyko informatyczne...-Wawrzyniak.indb 8
2012-12-11 07:20:25
Wstęp
Ryzyko towarzyszy finansom od początków ich istnienia. W różnych okresach przypisywano problematyce ryzyka finansowego różne priorytety i odmienny był wpływ
tej problematyki na rozwój społeczeństwa i gospodarki. Niezmiennie jednak ryzyku każdej działalności finansowej zawsze towarzyszyło z jednej strony przekonanie
o potencjalnych korzyściach, jakie można osiągnąć, ponosząc to ryzyko, z drugiej
zaś świadomość konieczności jego ograniczania. W starożytnym Egipcie procent
od udzielonej pożyczki nie mógł przekraczać dwukrotnej wartości kapitału1. W XII
wieku w zachodniej Europie zaczął upowszechniać się weksel imienny, pozwalający na bezpieczniejsze przekazywanie kapitału na odległość2. W drugiej połowie
XVII wieku złotnicy angielscy przeprowadzali emisje kwitów depozytowych, których wartość przekraczała wartość posiadanych przez nich zasobów złota, gdyż
mało prawdopodobne było – jak uważali – że wszyscy posiadacze kwitów zgłoszą się po swoje złoto jednocześnie3. Dzisiaj, szczególnie w kontekście ostatniego
kryzysu światowych rynków finansowych, uzasadnione jest stwierdzenie, zgodnie z
którym współczesne finanse determinowane są przez zarządzanie różnego rodzaju
ryzykami. Aby jednak ryzykiem zarządzać, należy umieć dokonywać jego pomiaru.
Stwierdzić zatem można, że funkcjonowanie współczesnego systemu finansowego
warunkowane jest przez naszą umiejętność ilościowego opisu ryzyka we wszystkich
niemal jego przejawach. Znakomicie uogólnił ten problem P.L. Bernstein, pisząc, że
umiejętność formułowania precyzyjnych prognoz dotyczących możliwego przebiegu przyszłych zdarzeń i dokonywania wyborów między rozmaitymi alternatywami
jest najistotniejszym aspektem życia współczesnych społeczeństw4.
Ryzyko w potocznym znaczeniu i codziennym zastosowaniu jest konglomeratem różnorodnych problemów, które rozpatrujemy w odniesieniu do indywidualnych zjawisk czy sytuacji. Wydawać by się więc mogło, że wielość aspektów, w jakich należy analizować potocznie rozumiane ryzyko, nie pozwala na jego efektywną
formalizację czy opis ilościowy. W wielu przypadkach tak rzeczywiście jest. Czy
potrafimy bowiem podać dokładną wartość obrazującą ryzyko przegrania partii szachowej związane z wykonaniem danego posunięcia, ryzyko utraty środków zainwestowanych w zakłady bukmacherskie, ryzyko wypadku związane z rozmawianiem
przez telefon komórkowy w czasie prowadzenia samochodu czy ryzyko określonych konsekwencji wynikających z opóźnienia w złożeniu na czas tekstu pracy naukowej? Nawet gdyby w każdym z tych przykładów zdefiniować tylko jeden poten W. Morawski, Zarys powszechnej historii pieniądza i bankowości, Trio, Warszawa 2002, s. 16.
Tamże, s. 49.
3
Tamże, s. 78.
4
P.L. Bernstein, Przeciw bogom. Niezwykłe dzieje ryzyka, WIG Press, Warszawa 1997, s. XIV.
1
2
9
Ryzyko informatyczne...-Wawrzyniak.indb 9
2012-12-11 07:20:25
Wstęp
cjalny skutek przytoczonych stanów, jaki powinna uwzględnić analiza, to i tak liczba
zmiennych tej analizy praktycznie by ją uniemożliwiła. A jednak problemy tego typu
– a także wiele innych – udaje się w pewien sposób rozwiązywać. W beznadziejnym
– na pozór – starciu z nieobliczalnym ryzykiem ludzkiej działalności we wszelkich
jej wymiarach z pomocą przychodzi prawdopodobieństwo – fundamentalny instrument kontrolowania ryzyka, pozwalający podejmować decyzje w tych sytuacjach,
w których podejścia deterministyczne nie dają się w żaden sposób zastosować.
Prawdopodobieństwo pozwala nie tylko określić pewien poziom ryzyka związanego
z daną sytuacją, ale także umożliwia zdefiniowanie poziomu ryzyka dającego się
zaakceptować. Konstruktor rakiety, która wyniosła na orbitę misję księżycową Apollo 1, ujął to w taki oto sposób: „Potrzebny ci jest zawór, który nie przecieka, i robisz
wszystko, co w twojej mocy, żeby taki zawór skonstruować. Ale w realnym świecie
istnieją tylko nieszczelne zawory. Musisz więc określić, jaki poziom nieszczelności
jesteś w stanie tolerować”5. Czy jednak prawdopodobieństwo w każdym przypadku
jest właściwym narzędziem opisu ryzyka? Na tak postawione pytanie stara się między innymi odpowiedzieć niniejsza praca.
Ryzyko we współczesnym świecie przejawia się w wielu aspektach. Niewątpliwie jednak najwięcej starań podejmujemy, aby kontrolować ryzyko tam, gdzie od
naszych ryzykownych decyzji zależą szeroko rozumiane kwestie finansowe. Dotyczy to zarówno finansów osobistych, jak i świata wielkiego biznesu. Praca niniejsza
jest próbą odniesienia problematyki ryzyka do jednego z obszarów funkcjonowania
współczesnego biznesu, jakim jest wykorzystywanie rozwiązań informatycznych
w bankowości. Jest to obszar szczególny, z jednej strony bowiem wymaga rozwiązań o bardzo wysokim poziomie bezpieczeństwa informatycznego, z drugiej zaś –
musi umożliwiać dostęp do systemów bankowości internetowej milionom klientów.
Co więcej, w żadnym innym obszarze zastosowań informatyki incydenty związane
z bezpieczeństwem nie przekładają się w tak dużym stopniu na straty reputacyjne,
a w konsekwencji – na finansowe. Między innymi te cechy systemów informatycznych w bankowości czynią przedmiotowy obszar pracy szczególnie interesującym.
Funkcjonowanie instytucji bankowych nie jest dzisiaj możliwe bez zastosowania nowoczesnych technologii informatycznych. Stwierdzenie to można – a nawet
powinno się – rozwinąć: technologie informatyczne warunkują poprawne funkcjonowanie instytucji bankowych, których specyfika działalności wymaga stosowania
nowoczesnych, lecz jednocześnie sprawdzonych i bezpiecznych narzędzi informatycznych. Bankowość i informatyka stały się więc dziedzinami nierozerwalnie ze
sobą związanymi. Co więcej, ich ścisła integracja ma charakter dynamiczny. Z jednej strony rozwój technologii informatycznych otwiera przed bankami nowe możliwości, z drugiej zaś rosnące potrzeby banków, związane głównie z bezpieczeństwem
przetwarzania i przesyłania danych w postaci elektronicznej, stymulują rozwój i doskonalenie tych technologii. Niewątpliwie jednak właśnie problemy związane z po Tamże, s. XV.
5
10
Ryzyko informatyczne...-Wawrzyniak.indb 10
2012-12-11 07:20:25
Wstęp
ufnością, integralnością i dostępnością danych w największym stopniu spowalniają
implementację nowych, elektronicznych produktów i usług bankowych. Warty zauważenia jest również fakt, że problemy te dotyczą w równym stopniu systemów
bankowych w krajach wysoko rozwiniętych, jak i w krajach, gdzie informatyka bankowa stawia dopiero pierwsze kroki. Między innymi dlatego wśród ryzyk związanych z działalnością bankową coraz częściej na eksponowanym miejscu wymienia
się ryzyko operacyjne, a w szczególności jeden z jego elementów – ryzyko informatyczne.
Wybór obszaru tematycznego niniejszej pracy nie jest więc przypadkowy. Wolumen oraz wartość danych przetwarzanych w bankowych systemach informatycznych są wyzwaniem dla współczesnej informatyki. Bezpieczeństwo tych danych
decyduje bowiem już nie tylko o efektywności funkcjonowania banku, lecz wręcz
o jego istnieniu. Zarządzanie ryzykiem informatycznym w bankowości stało się
więc jednym z kluczowych elementów procesu zarządzania bankiem. Element ten,
nie będąc związany bezpośrednio z problematyką bankową, tworzy swego rodzaju
klamrę umożliwiającą optymalne funkcjonowanie instytucji bankowej.
Celem głównym niniejszego opracowania jest przedstawienie problematyki ryzyka informatycznego w działalności bankowej. Dyskusyjne byłoby stwierdzenie,
że jest to problematyka nowa. Ryzyko związane z zastosowaniami rozwiązań informatycznych w bankowości dostrzegane i analizowane było zarówno w rozważaniach teoretycznych, jak i praktycznych od dawna. Analizy te jednak najczęściej
pomijały szczegółowy opis najistotniejszego elementu omawianej tematyki, jakim
jest szacowanie ryzyka, prezentując je w sposób uproszczony i pozbawiony kompleksowych koncepcji ilościowych.
Realizacja celu głównego ukierunkowała zakres tematyczny pracy, tworząc jednocześnie wiązkę celów pobocznych, wśród których na szczególną uwagę zasługują:
–– przyjęcie koncepcji terminologicznej wykorzystywanej w pracy oraz wprowadzenie do problematyki ryzyka informatycznego i zarządzania tym ryzykiem,
podkreślające merytoryczną relację pomiędzy oboma pojęciami,
–– identyfikacja specyficznych dla bankowości atrybutów oraz obszarów zarządzania ryzykiem informatycznym,
–– wskazanie na problematykę ilościowego szacowania ryzyka informatycznego
jako na kluczowy czynnik warunkujący jakość procesu zarządzania ryzykiem
oraz przedstawienie wybranych metod ilościowych, które są bądź mogłyby być
wykorzystywane w procesach szacowania ryzyka informatycznego,
–– omówienie podstaw finansowych aspektów zarządzania ryzykiem informatycznym,
–– zaproponowanie nowej, oryginalnej koncepcji definiowania, szacowania i opisu
ryzyka informatycznego.
Powyższa wiązka celów została zdefiniowana na bazie następujących założeń
badawczych:
11
Ryzyko informatyczne...-Wawrzyniak.indb 11
2012-12-11 07:20:25
Wstęp
1. Ilościowe podejście do zarządzania ryzykiem informatycznym w polskojęzycznej literaturze przedmiotu praktycznie nie istnieje6. Monograficzna literatura
angielskojęzyczna rozpatruje je natomiast głównie w aspekcie standardowych, prostych metod, wykorzystujących najczęściej klasyczne podejścia, bazujące na koncepcjach straty oczekiwanej oraz jej pochodnych. Wśród wielu zagranicznych publikacji konferencyjnych znajdują się jednak bardzo wartościowe przykłady opisów
projektów badawczych, ukierunkowanych na analizę możliwości zastosowań metod
ilościowych w szeroko rozumianym zarządzaniu bezpieczeństwem informatycznym
oraz zarządzaniu ryzykiem informatycznym. Przeglądowy wybór tych publikacji
powinien być przedstawiony w postaci zwartego opracowania tak, aby zobrazować
dostępne możliwości wspomagania procesu szacowania ryzyka informatycznego.
2. Ryzyko informatyczne nie jest zjawiskiem nowym. Dotychczas ryzyko to opisywane było jednak głównie w kontekście problematyki bezpieczeństwa informatycznego. Znaczenie ryzyka informatycznego – szczególnie w bankowości – nakazuje jednak, aby nadawać mu charakter zagadnienia wiodącego, które integruje inne
obszary problemowe.
3. Terminologiczne podstawy ryzyka informatycznego nie są ujednolicone. Dyskusyjność definicji normatywnych przekłada się na wielość i brak spójności propozycji literaturowych.
4. Problematyka ryzyka informatycznego jest istotna w kontekście rekomendacji
Komisji Nadzoru Finansowego, związanych z zarządzaniem ryzykiem operacyjnym
w bankowości.
Praca ma charakter interdyscyplinarny. Łączy w sobie zagadnienia związane
z informatyką, bankowością, metodami ilościowymi, narzędziami analizy finansowej, a także praktyką tworzenia i eksploatacji rozwiązań informatycznych. Głównym obszarem zainteresowań autora jest jednak bankowość, stąd zarówno prezentacje problemów informatycznych, jak i opisy teoretycznych podstaw i praktycznych
aspektów zastosowań metod ilościowych ukierunkowane są na przedstawienie możliwości, jakimi dysponować może współczesny bank w obszarze ilościowego wspomagania zarządzania ryzykiem informatycznym. Czytelnik zainteresowany zagadnieniami wykraczającymi poza główny temat pracy może skorzystać z bogato
zaprezentowanej informacji bibliograficznej. Interdyscyplinarny charakter opracowania niewątpliwie traktować należy jako cechę, która w zależności od kontekstu
może być postrzegana jako zaleta bądź wada. Autor wszak uznał, że owa interdyscyplinarność może stanowić o nowatorskim charakterze sposobu prezentacji omawianej problematyki.
Opracowanie ukierunkowane zostało na udowodnienie przedstawionych poniżej
hipotez:
Wskazać jednak należy na wyjątki, jakimi są wielokrotnie przytaczane w niniejszej pracy opracowania A. Białasa oraz K. Lidermana. Jednak i one nie prezentują zagadnienia w ujęciu kompleksowym.
6
12
Ryzyko informatyczne...-Wawrzyniak.indb 12
2012-12-11 07:20:25
Wstęp
1. Specyfika działalności bankowej implikuje konieczność przypisywania problematyce zarządzania ryzykiem informatycznym szczególnego charakteru, odzwierciedlającego wagę i znaczenie zarządzania tym rodzajem ryzyka w banku.
2. Ilościowe szacowanie ryzyka informatycznego, wykorzystujące metody spełniające wymagania definiowane w procesie zarządzania ryzykiem, jest kluczowym
czynnikiem warunkującym jakość tego procesu.
3. Analiza finansowych aspektów zarządzania ryzykiem informatycznym w banku nie jest zadaniem prostym. Jej efektywność musi być pochodną wielu założeń
i uproszczeń analizowanego zagadnienia.
4. Ryzyko informatyczne w banku nie w każdym przypadku może być postrzegane przez pryzmat standardowych narzędzi statystycznych, dlatego na uwagę zasługują koncepcje szacowania i opisu ryzyka nie wykorzystujące pojęć prawdopodobieństwa i rozkładu zmiennej losowej, korzystające natomiast z atrybutów metod
oceny bezpieczeństwa informatycznego.
Praca składa się z pięciu rozdziałów. Rozdział pierwszy wprowadza w problematykę ryzyka informatycznego. Wprowadzenie to rozpoczyna krótki zarys merytoryczny problemu ryzyka we współczesnej nauce, wzbogacony przykładami propozycji
systematyki ryzyka w ujęciu ogólnym. W rozdziale przedstawiono także podstawowe
pojęcia związane bezpośrednio lub pośrednio z omawianym zagadnieniem. Szczególnie dużo miejsca poświęcono terminologicznym i merytorycznym analizom pojęć ryzyka, niepewności i prawdopodobieństwa. Wskazano również na rosnące we współczesnej bankowości znaczenie ryzyka operacyjnego jako pojęcia szerszego niż ryzyko
informatyczne. Dokonano także niezwykle istotnej – z punktu widzenia merytorycznej
poprawności opracowania – analizy współzależności bezpieczeństwa informatycznego i ryzyka informatycznego oraz zarządzania bezpieczeństwem informatycznym i
zarządzania ryzykiem informatycznym. Podkreślono związki i relacje istniejące pomiędzy tymi pojęciami. W ostatnim podrozdziale przedstawiono kluczową dla dalszych treści analizę współistnienia metod oceny bezpieczeństwa oraz metod szacowania ryzyka, nawiązującą do czwartej z wymienionych powyżej tez pracy. Rozdział
przedstawia także normatywno-literaturowe ujęcie problemu zarządzania ryzykiem
informatycznym. Za postawę opisu wybrano normę PN ISO/IEC 27005, niemniej opis
ten w wielu miejscach wzbogacono odniesieniami do innych norm, analizami literatury przedmiotu, a przede wszystkim krytycznym spojrzeniem autora na treść norm ISO
dotyczących omawianego zagadnienia7. Szczególnie wiele miejsca poświęcono w rozdziale problematyce analizy ryzyka.
Zakresowi wykorzystania w niniejszej pracy treści norm ISO należy się komentarz. Każda dziedzina charakteryzuje się odmiennym wpływem dokumentów normatywnych zarówno na rozważania
teoretyczne, jak i na praktykę. W dziedzinie szeroko rozumianego zarządzania finansami normy ISO
(oraz ich polskojęzyczne odpowiedniki) nie są powszechnie akceptowaną podstawą rozpraw naukowych. W dziedzinach związanych z technologiami informatycznymi sytuacja ta jest jednak wyraźnie
inna. Literatura przedmiotu zastosowań informatyki za punkt wyjścia swoich rozważań powszechnie
przyjmuje właśnie koncepcje normatywne. Praca niniejsza jest jednym z niewielu polskojęzycznych
opracowań, które treść najważniejszych dla omawianej problematyki norm poddaje krytyce.
7
13
Ryzyko informatyczne...-Wawrzyniak.indb 13
2012-12-11 07:20:25
Wstęp
Rozdział drugi prezentuje praktyczne problemy zarządzania ryzykiem informatycznym w banku, koncentrując swoją uwagę na takich zagadnieniach, jak prawne
i rekomendacyjne aspekty bezpieczeństwa informatycznego oraz zagrożenia, podatności i środki ochrony w bankowych systemach informatycznych. W rozdziale
przedstawiono w ramowym ujęciu specyficzne cechy rozwiązań informatycznych
wykorzystywanych we współczesnej bankowości. Przybliżono takie zagadnienia,
jak zakres funkcjonalny systemów informatycznych w bankowości oraz ich architektura techniczno-aplikacyjna. Wskazano również na specyficzne atrybuty użytkowników bankowych systemów informatycznych oraz środowiska, w którym funkcjonują. Istotnym elementem rozdziału jest także krótka dyskusja terminologiczna
nad pojęciem bankowości elektronicznej. Nieco więcej miejsca poświęcono w rozdziale opisowi obszarów ryzyka informatycznego w bankowości, podkreślając ich
specyfikę oraz wpływ na funkcjonowanie współczesnych banków. W ramach opisu
wybranych obszarów znalazły się między innymi prezentacje takich zagadnień, jak
zastosowania kryptografii, problemy kontroli dostępu i wykrywania anomalii czy
organizacyjne aspekty zarządzania ryzykiem informatycznym. Identyfikacji obszarów ryzyka informatycznego w działalności bankowej dokonano między innymi na
podstawie analizy konstrukcji i zawartości systemu ZORO (Zdarzeń z Obszaru Ryzyka Operacyjnego) zarządzanego przez Centrum Prawa Bankowego i Informacji.
Rozdział trzeci przedstawia przegląd wybranych metod ilościowych wspomagających proces szacowania ryzyka informatycznego w banku. Przegląd poprzedzono
podstawowym wprowadzeniem do problematyki teorii pomiaru. Za podstawę prezentacji metod uznano podział na metody wykorzystujące teorie matematyczne
oraz metody będące prostymi algorytmami, tworzonymi na potrzeby szacowania ryzyka. Wszystkie metody prezentowane w rozdziale zostały scharakteryzowane przez
zestaw atrybutów istotnych z punktu widzenia możliwości implementacji tych metod w praktyce bankowej. W podsumowaniu rozdziału wskazano na możliwości zastosowań poszczególnych metod w zdefiniowanych wcześniej obszarach ryzyka informatycznego działalności bankowej.
W rozdziale czwartym przedstawione zostały najważniejsze informacje dotyczące finansowych aspektów zarządzania ryzykiem informatycznym. W rozdziale podkreślono nierozerwalny związek praktyki tworzenia, implementowania i użytkowania systemów zabezpieczeń z ich ekonomicznymi atrybutami. Zdefiniowane zostały
trzy finansowe obszary zarządzania ryzykiem informatycznym: zasobowy – związany z szacowaniem wartości zasobów systemowych, zagrożeniowy – związany z szacowaniem potencjalnych strat z punktu widzenia banku, wynikających z realizacji
zagrożeń bezpieczeństwa, oraz inwestycyjny – związany z analizami efektywności
inwestycji w obszarze zarządzania ryzykiem informatycznym. W ramach tak zidentyfikowanych obszarów dokonano prezentacji metod finansowej analizy problemu.
Wyboru dyskutowanych koncepcji dokonano pod kątem możliwości ich zastosowań
w praktyce bankowej.
14
Ryzyko informatyczne...-Wawrzyniak.indb 14
2012-12-11 07:20:25
Wstęp
Rozdział ostatni zawiera propozycję nowego spojrzenia na problematykę ryzyka
informatycznego w działalności bankowej. Zaproponowano w nim nową definicję
ryzyka informatycznego, krytyce poddano opisywane w poprzednich rozdziałach
klasyczne podstawy analizy i oceny problemu, w szczególności interpretacje prawdopodobieństwa wystąpienia zdarzenia oraz możliwości szacowania strat w ujęciu
pieniężnym. Na potrzeby prowadzonej w rozdziale dyskusji zdefiniowano cztery tezy8, które poddano próbie uzasadnienia. Najistotniejszym elementem koncepcji jest
propozycja nowej metody szacowania ryzyka informatycznego na potrzeby zarządzania tym ryzykiem w działalności bankowej.
Realizacja celów i weryfikacja hipotez badawczych wymagały zastosowania odpowiednich metod badawczych. Zwłaszcza osiągnięcie celu głównego możliwe było
dzięki analizie i krytyce piśmiennictwa, wzbogaconym analizami porównawczymi.
Weryfikacja hipotez została natomiast zrealizowana z użyciem eksperymentów myślowych. Uzupełnieniem tych metod była analiza danych empirycznych, pozyskanych dzięki uprzejmości Związku Banków Polskich.
W pracy wykorzystano zarówno polską, jak i obcojęzyczną literaturę przedmiotu, ze zdecydowaną przewagą tej drugiej w rozdziałach trzecim i czwartym. Znaczny
udział w spisie literatury mają publikacje pochodzące z materiałów specjalistycznych konferencji poświęconych zagadnieniom ewaluacyjnych i ekonomicznych
aspektów bezpieczeństwa i ryzyka informatycznego. Warto także podkreślić, że praca nie dokonuje podziału na literaturę związaną z bezpieczeństwem informatycznym
oraz ryzykiem informatycznym. Pojęcia te bowiem przenikają się w opracowaniach
naukowych, a ich wzajemne relacje nie są jednoznacznie zdefiniowane. Dyskusja
nad tym problemem jest także jednym z wątków pracy.
Do najważniejszych elementów pracy, stanowiących oryginalny wkład w literaturę przedmiotu, zaliczyć należy:
–– krytyczne spojrzenie na terminologiczne aspekty omawianej problematyki,
szczególnie w kontekście definicji normatywnych (rozdział 1),
–– zdefiniowanie relacji pomiędzy bezpieczeństwem informatycznym i ryzykiem
informatycznym w różnych obszarach merytorycznych (podrozdział 1.7),
–– próbę stworzenia podstaw klasyfikacji metod ilościowych możliwych do wykorzystania w procesach szacowania ryzyka informatycznego (rozdział 3),
–– wieloaspektową ocenę wybranych metod szacowania ryzyka informatycznego
(rozdział 3),
–– krytykę powszechnie cytowanych koncepcji finansowej analizy problematyki
ryzyka informatycznego (rozdział 4),
–– propozycję nowego spojrzenia na problematykę ryzyka informatycznego, w szczególności dotyczącego metodyki szacowania i opisu tego ryzyka w działalności
bankowej (rozdział 5).
Są to tezy rozwijające hipotezy przedstawione powyżej.
8
15
Ryzyko informatyczne...-Wawrzyniak.indb 15
2012-12-11 07:20:25
Wstęp
Obszerne fragmenty książki są wynikiem prac badawczych prowadzonych
w ramach projektu 1 H02B 016 30, zatytułowanego Zastosowanie metod ilościowych
w zarządzaniu ryzykiem informatycznym w bankowości z wykorzystaniem systemu
SAP ERP, realizowanego w latach 2006-2008 i finansowanego przez Ministerstwo
Edukacji i Nauki.
***
Składam szczególne podziękowania prof. dr hab. Małgorzacie Iwanicz-Drozdowskiej oraz dr. hab. Krzysztofowi Jackowiczowi za niezwykle cenne i wzbogacające wartość merytoryczną rozprawy uwagi zawarte w recenzjach wydawniczych
oraz prof. dr. hab. Andrzejowi Gospodarowiczowi za życzliwość, wsparcie merytoryczne i motywowanie do pracy. Dziękuję także Prezesowi Związku Banków
Polskich Krzysztofowi Pietraszkiewiczowi za pomoc w uzyskaniu dostępu do zawartości baz danych zarządzanych przez Centrum Prawa Bankowego i Informacji.
Dariusz Wawrzyniak
16
Ryzyko informatyczne...-Wawrzyniak.indb 16
2012-12-11 07:20:25