Zarządzający ryzykiem w instytucjach finansowych często preferują dyskretne podejście do zarządzania cyberbezpieczeństwem, aby chronić swoje aktywa, klientów i reputację. Ze względu na chęć zachowania przewagi konkurencyjnej Bank polski, który rozpoczął wdrożenie wymagań rozporządzenia DORA według naszej metodyki RED INTO GREEN występuje w tym case study jako podmiot anonimowy.
Nasz Klient uporządkował wiedzę o ryzykach w organizacji, w pierwszej kolejności gromadząc informacje w formie czytelnych macierzy. Za ich pomocą opisano 3322 relacje pomiędzy poszczególnymi kategoriami informacji, niezbędnymi do zarządzania ryzykiem.
Już po tym, pierwszym etapie wdrożenia, narzędzie umożliwiło pracownikom zainteresowanych działów tj.: Biura Ochrony Danych Osobowych, Biura Zarządzania Bezpieczeństwem, Security Operation Center czy Biura Ciągłości Działania, uporządkowany dostęp do wszystkich danych na temat ryzyka.
Kim jest nasz Klient?
To polska instytucja finansowa, która początkowo specjalizowała się w obsłudze bankowej klientów indywidualnych oraz małych i średnich przedsiębiorstw. Bank oferuje różnorodne produkty i usługi bankowe, w tym konta osobiste, oszczędnościowe, kredyty hipoteczne oraz karty kredytowe. Jego klientami są zarówno osoby prywatne, jak i przedsiębiorcy, a instytucja ta cieszy się popularnością ze względu na rozwiniętą sieć bankomatów i usług internetowych.
Wyzwania biznesowe związane z zarządzaniem bezpieczeństwem
Bank jako instytucja finansowa zdecydował się włączyć jeden z elementów zwinnego Data Governance, jakim jest narzędzie usprawniające obszar zarządzania danymi i ich jakością. RED INTO GREEN wspiera takie wartości zwinnego zarządzania danymi jak współpraca, efektywność, elastyczność, ciągłe doskonalenie. W szczególności umożliwia zaangażowanie w proces zarządzania większej liczby interesariuszy z różnych obszarów organizacji i zsynchronizowanie ich pracy. Dzięki wspólnej platformie, uczestniczące zespoły mogą lepiej zrozumieć potrzeby i oczekiwania innych departamentów, w efekcie czego system zarządzania ryzykiem staje się spójny i czytelny dla wszystkich zaangażowanych stron.
Włączenie elementów zwinnego Data Governance przez Biuro Zarządzania Bezpieczeństwem wynikało z wielu wyzwań operacyjnych, m.in.:
- Potrzeby usprawnienia zarządzania bezpieczeństwem w organizacji.
- Konieczności zachowania zgodności z rekomendacjami KNF w w/w zakresie oraz dyrektywami – DORA, PSD2/TPP, MiFID, MAR, PCI DSS, ISO 27001:27005, 27017:27018, ISO 22301.
- Potrzeby zwiększenia efektywności planów postępowania z ryzykiem.
Rozwiązanie – w pierwszej kolejności mapa relacji w narzędziu RED INTO GREEN
W celu wzmocnienia obszaru zarządzania danymi i ich jakością Bank wybrał narzędzie RED INTO GREEN, w którym zmapowano relacje między krytycznymi elementami zarządzania bezpieczeństwem. Bank zdecydował się na zastosowanie metodyki oceny ryzyka opartej o zasoby.
Na tym etapie wdrożenia powstała mapa 3322 powiązań pomiędzy poszczególnymi kategoriami informacji, niezbędnymi do zarządzania ryzykiem. Liczba ta dobrze obrazuje skalę zarządzania ryzykiem w tego typu organizacji.
Opisane powiązania dotyczyły relacji, m.in. pomiędzy:
- procesami i wykorzystywanymi w nich aktywami informacyjnymi i wspierającymi
- aktywami wspierającymi i ich zabezpieczeniami
- aktywami wspierającymi i dotyczącymi ich zagrożeniami.
Przykładowa macierz powiązań w narzędziu RED INTO GREEN
Macierz powiązań krytycznych aktywów i ich zabezpieczeń pozwoliła uporządkować i uspójnić wiedzę o tym, które zabezpieczenia obejmują poszczególne rodzaje aktywów. Podobnie przyporządkowano zagrożenia, a następnie odnotowano, które z posiadanych zabezpieczeń tym zagrożeniom odpowiadają. Pozwoliło to w efekcie na wygenerowanie w sposób zautomatyzowany wszystkich kombinacji ryzyka, które dotyczą aktywów krytycznych, z już uwzględnionymi zabezpieczeniami.
Mapa to rezultat zwinnej współpracy, na zasadach iteracyjnych, wielu działów: Biura Ochrony Danych Osobowych, Biura Zarządzania Bezpieczeństwem, Biura Security Operation Center, Specjalisty ds. Procesów – kolejni interesariusze dołączali systematycznie do projektu wdrożenia RED INTO GREEN.
Interesariusze ci, dodawali kolejno potrzebne zasoby wiedzy do projektu:
- jakie są aktywa wspierające w organizacji i które z nich są krytyczne,
- jakie informacje są przetwarzane na aktywach wspierających i w jakich procesach one uczestniczą,
- ile jest procesów w organizacji w kontekście aktywów krytycznych i jaka jest ich architektura.
- jak zabezpieczone są poszczególne aktywa wspierające oraz jakie zagrożenia mogą na nie oddziaływać.
Oprogramowanie RED INTO GREEN nie dopuszcza wielokrotnego wprowadzania tych samych wartości do słowników i tworzy pomiędzy tymi wartościami automatycznie aktualizowane powiązania, w związku z czym stanowi ona jedno, spójne źródło aktualnych informacji o ryzyku.
Poza ujednoliceniem nazewnictwa i usunięciem powtórzeń, ułatwia to także tworzenie standardów zabezpieczeń i monitorowanie ich stosowania. Dzięki RED INTO GREEN użytkownik może w ciągu jednej chwili wygenerować kompletną, wymaganą przez normy z obszaru bezpieczeństwa informacji, deklarację stosowania.
Efekty biznesowe pierwszego etapu wdrożenia w Banku
Stworzenie map powiązań uporządkowało dane na temat ryzyka. Opracowane macierze stały się jedynym, aktualnym źródłem informacji niezbędnych do zarządzania ryzykiem. Korzystają z nich wszystkie działy zajmujące się kontrolą ryzyka, zarządzaniem danymi ochroną danych osobowych i bezpieczeństwem organizacji. W efekcie pracy z narzędziem, zaangażowani pracownicy mogą tworzyć standardy i poruszać się na poziomie katalogów, zamiast pojedynczych wartości. Dzięki sporządzonym mapom, Dyrektor Biura Zarządzania Bezpieczeństwem będzie mógł w przyszłości dynamicznie, w jednym narzędziu przeglądać ryzyka dla aktywów organizacji i tworzyć raporty dostosowane do szczegółowo wyspecyfikowanych potrzeb, co istotnie wspomaga podejmowanie świadomych i adekwatnych decyzji o dalszym postępowaniu.