- Přehledy IS
- APS (22)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (9)
- Cloud computing (SaaS) (29)
- CRM (49)
- DMS/ECM - správa dokumentů (19)
- EAM (16)
- Ekonomické systémy (68)
- ERP (87)
- HRM (27)
- ITSM (6)
- MES (32)
- Řízení výroby (51)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (36)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (80)
- Informační bezpečnost (42)
- IT řešení pro logistiku (46)
- IT řešení pro stavebnictví (25)
- Řešení pro veřejný a státní sektor (26)
Tematické sekce
ERP systémy
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Branžové sekce
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Partneři webu
IT SYSTEM 10/2001
Inovace v oblasti technologií a zvyšující se konkurence mezi bankami přinesla rozšíření nabídky bankovních služeb. Imperativem doby se stává poskytování služeb prostřednictvím elektronických distribučních kanálů jak podnikové, tak i retailové klientele. S rychlým rozvojem elektronického bankovnictví jsou však spojená i určitá rizika.
Pro zajištění bezpečných služeb elektronického bankovnictví je důležité, aby každý článek v řetězci poskytovatelů elektronického bankovnictví tato rizika identifikoval, a přijal adekvátní opatření vedoucí k jejich eliminaci resp. ke snížení možných následků.
Zjednodušeně lze rizika pojící se s oblastí elektronického bankovnictví rozdělit na obecná, která se vyskytují i v oblasti klasického bankovnictví a na rizika pro elektronické bankovnictví specifická.
Specifická rizika jsou představována jednak novými druhy rizik a jednak zvýšenou mírou rizik existujících v klasickém bankovnictví. Pro vedoucí pracovníky bank tak vyplývá nový úkol zajistit revizi stávajících postupů řízení rizik v oblasti poskytování bankovních služeb a tyto postupy event. upravit a přizpůsobit novým podmínkám.
Specifické rizikové oblasti
Charakteristické vlastnosti elektronického bankovnictví přinášejí následující skupiny rizik.
Rychlost změny vyvolaná inovacemi v technologiích i potřebou rozšířené nabídky služeb poskytovaných klientům je mnohem větší než u klasických bankovních produktů. Systémy podporující produkty klasického bankovnictví byly tradičně implementovány v průběhu relativně dlouhého implementačního cyklu po důkladných detailních testech. Naproti tomu v případě elektronického bankovnictví jsou banky mnohdy tlačeny konkurenčním bojem k co nejrychlejší implementaci nových řešení - často v době čítající pouze několik měsíců od okamžiku zrodu konceptu řešení do okamžiku jeho masivního nasazení.
Tato skutečnost klade mimořádné nároky na kvalitu strategického zhodnocení záměru a provedení analýzy rizik a kvalitu bezpečnostních posudků před samotným zahájením implementace.
Transakční webové aplikace jsou úzce svázány s tradičními bankovními systémy tak, aby bylo umožněno tzv. straight-through processing (STP) elektronických transakcí. Automatizované STP na jedné straně eliminuje možnost vzniku chyby způsobené lidským faktorem, na druhé straně dramaticky zvyšuje závislost na bezchybně navržené systémové architektuře, interoperabilitě systémů a provozní spolehlivosti jednotlivých částí komplexních informačních systémů.
Elektronické bankovnictví zvyšuje závislost banky na informačních technologiích, a tím i komplexnost technických a bezpečnostních aspektů řešení, komplexnost partnerských vztahů, aliancí, dodavatelských vztahů, outsourcingu a jiných vztahů banky se třetími stranami.
Internet má globální povahu. Jde o otevřenou síť přístupnou téměř odevšud anonymními uživateli, s routováním zpráv přes neznámá místa, někdy i přes bezdrátová pojítka. Tento fakt zvyšuje potřebu důrazu kladeného na bezpečnostní opatření, techniky autentizace uživatele a ochrany dat, standardy ochrany osobních údajů a procedury sběru a vyhodnocování auditních záznamů.
Principy řízení rizik
Mezinárodně uznávané a doporučované principy řízení rizik v oblasti elektronického bankovnictví můžeme rozdělit do tří základních, navzájem se prolínajících oblastí:
1. dohled nad elektronickým bankovnictvím prováděný vedením banky,
2. bezpečnostní opatření,
3. právní aspekty a zachování dobrého jména banky.
Uvedené principy nejsou seřazeny podle důležitosti. Důležitost resp. relevantnost určitého principu je vždy dána konkrétním prostředím banky, typem distribučního kanálu, individuálním profilem rizik, provozní a organizační strukturou, firemní kulturou a dalšími individuálními faktory.
Dohled nad elektronickým bankovnictvím
. Efektivní dohled nad riziky plynoucími z aktivit elektronického bankovnictví ze strany vedení banky s cílem zavedení konkrétních odpovědností, politik a vnitřních kontrolních mechanismů. Vedení banky si musí uvědomit, že některé z hlavních částí elektronických distribučních kanálů (internet, mobilní komunikační prostředky, apod.) se nacházejí mimo přímý vliv banky a že poskytování služeb prostřednictvím internetu může podléhat jurisdikci několika zemí. V mnoha případech budou technické aspekty a komplexnost elektronického bankovnictví přesahovat dosavadní praktické zkušenosti vrcholového vedení banky. Proto je nutné jasně vymezit reportovací mechanismy a eskalační procedury při vzniku incidentů a zajistit vhodné procedury pro selekci spolupracujících třetích stran.
. Ustanovení komplexního systému řízení rizik schváleného vrcholovým vedením banky. Jedná se např. o stanovení explicitní odpovědnosti vedoucích pracovníků a zaměstnanců banky za provádění podnikové politiky informační bezpečnosti, zajištění kontroly fyzického přístupu ke kritickým prvkům distribučních kanálů, zajištění dostatečné logické kontroly, sledování systémů elektronického bankovnictví, pravidelné revize a testování bezpečnostních opatření.
. Komplexní zajištění "due diligence" a procesu dohledu nad outsourcingem a dalšími závislostmi na třetích stranách. Do této kategorie náleží např. komplexní posouzení potenciálních dodavatelů, poskytovatelů služeb nebo outsourcingu jak po odborné a technické stránce, tak i po stránce finanční síly, smluvní zajištění převzetí bankovních standardů v oblasti řízení rizik, bezpečnostních opatření, ochrany osobních údajů spolupracujícími třetími stranami, periodický nezávislý nebo interní audit těchto třetích stran a vhodné "havarijní" plány pro případ selhání třetích stran.
Nezbytná bezpečnostní opatření
. Autentizace klientů přistupujících prostřednictvím elektronického bankovnictví. Toto opatření pravděpodobně nepotřebuje bližší vysvětlení. Jde o jednoznačné a bezpečné určení identity klienta přistupujícího prostřednictvím elektronického distribučního kanálu a stanovení jeho oprávnění.
. Zajištění nezpochybnitelnosti autorství a zajištění odpovědnosti v případě transakcí elektronického bankovnictví s cílem dosažení právní odpovědnosti.
. Zajištění vhodného oddělení povinností s cílem zamezit přílišnému nebo nevhodnému kumulování oprávnění jednotlivých zaměstnanců.
. Systémy elektronického bankovnictví musejí mít implementovány vhodné a dostatečné mechanismy pro kontrolu autorizačního procesu a procesu přidělování přístupových práv.
. Zajištění integrity transakcí elektronického bankovnictví, záznamů a informací. Je potřeba si uvědomit, že STP v mnoha případech znesnadňuje proces detekce a nápravy programátorských chyb a podvodného jednání. Je proto důležité věnovat dostatečnou pozornost zabezpečení a monitorování systémů, které pracují na bázi STP.
. Vytváření jednoznačných auditních záznamů o každé jednotlivé transakci a jejich vyhodnocování.
. Důvěrnost klíčových informací. Toto opatření je potřeba zajistit jak při zpracování dat v bance, tak zejména při zpracování dat třetími stranami.
Právní aspekty elektronického bankovnictví
. Banka musí zajistit informování klienta, využívajícího elektronický distribuční kanál,
o podstatných skutečnostech vhodným a dostatečným způsobem. Mezi podstatné skutečnosti může patřit např. jednoznačná identita poskytovatele služby (banky často používají různé názvy pro některé služby, či používají outsourcované třetí strany), informace o způsobu kontaktu zákaznického centra pro poskytnutí případné podpory, informace o reklamačních procedurách a řešení stížností, informace vyžadované relevantní jurisdikcí apod.
. Ochrana osobních údajů a informací o klientech. Přijatá opatření musejí odpovídat zákonným ustanovením relevantní(ch) jurisdikce(í), klienti musí být informování o politice banky v oblasti ochrany osobních údajů a dalších údajích o klientech, a v případě spolupracujících třetích stran musí být vyžadováno dodržování bankovních standardů.
. Plánování kontinuity podnikání, havarijní plány, plánování kapacit k zajištění dostupnosti služeb elektronického bankovnictví. Důležité je, aby tyto plány a opatření byly pravidelně testovány a revidovány s cílem zajištění nepřetržité dostupnosti služeb elektronického bankovnictví a ochrany dobrého jména banky.
. Plánování reakcí na incidenty vzniklé jak v důsledku interních, tak i externích útoků a nenadálých situací. Musí být navrženy a implementovány mechanismy včasné identifikace incidentu nebo kritické situace, mechanismy jeho zhodnocení a přijmutí vhodných opatření.
Pozn.: Autor pracuje jako senior konzultant v oddělení Řízení informačních rizik společnosti KPMG.
Řízení rizik v elektronickém bankovnictví
Marek Fialka
Inovace v oblasti technologií a zvyšující se konkurence mezi bankami přinesla rozšíření nabídky bankovních služeb. Imperativem doby se stává poskytování služeb prostřednictvím elektronických distribučních kanálů jak podnikové, tak i retailové klientele. S rychlým rozvojem elektronického bankovnictví jsou však spojená i určitá rizika.
Pro zajištění bezpečných služeb elektronického bankovnictví je důležité, aby každý článek v řetězci poskytovatelů elektronického bankovnictví tato rizika identifikoval, a přijal adekvátní opatření vedoucí k jejich eliminaci resp. ke snížení možných následků.
Zjednodušeně lze rizika pojící se s oblastí elektronického bankovnictví rozdělit na obecná, která se vyskytují i v oblasti klasického bankovnictví a na rizika pro elektronické bankovnictví specifická.
Specifická rizika jsou představována jednak novými druhy rizik a jednak zvýšenou mírou rizik existujících v klasickém bankovnictví. Pro vedoucí pracovníky bank tak vyplývá nový úkol zajistit revizi stávajících postupů řízení rizik v oblasti poskytování bankovních služeb a tyto postupy event. upravit a přizpůsobit novým podmínkám.
Specifické rizikové oblasti
Charakteristické vlastnosti elektronického bankovnictví přinášejí následující skupiny rizik.
Rychlost změny vyvolaná inovacemi v technologiích i potřebou rozšířené nabídky služeb poskytovaných klientům je mnohem větší než u klasických bankovních produktů. Systémy podporující produkty klasického bankovnictví byly tradičně implementovány v průběhu relativně dlouhého implementačního cyklu po důkladných detailních testech. Naproti tomu v případě elektronického bankovnictví jsou banky mnohdy tlačeny konkurenčním bojem k co nejrychlejší implementaci nových řešení - často v době čítající pouze několik měsíců od okamžiku zrodu konceptu řešení do okamžiku jeho masivního nasazení.
Tato skutečnost klade mimořádné nároky na kvalitu strategického zhodnocení záměru a provedení analýzy rizik a kvalitu bezpečnostních posudků před samotným zahájením implementace.
Transakční webové aplikace jsou úzce svázány s tradičními bankovními systémy tak, aby bylo umožněno tzv. straight-through processing (STP) elektronických transakcí. Automatizované STP na jedné straně eliminuje možnost vzniku chyby způsobené lidským faktorem, na druhé straně dramaticky zvyšuje závislost na bezchybně navržené systémové architektuře, interoperabilitě systémů a provozní spolehlivosti jednotlivých částí komplexních informačních systémů.
Elektronické bankovnictví zvyšuje závislost banky na informačních technologiích, a tím i komplexnost technických a bezpečnostních aspektů řešení, komplexnost partnerských vztahů, aliancí, dodavatelských vztahů, outsourcingu a jiných vztahů banky se třetími stranami.
Internet má globální povahu. Jde o otevřenou síť přístupnou téměř odevšud anonymními uživateli, s routováním zpráv přes neznámá místa, někdy i přes bezdrátová pojítka. Tento fakt zvyšuje potřebu důrazu kladeného na bezpečnostní opatření, techniky autentizace uživatele a ochrany dat, standardy ochrany osobních údajů a procedury sběru a vyhodnocování auditních záznamů.
Principy řízení rizik
Mezinárodně uznávané a doporučované principy řízení rizik v oblasti elektronického bankovnictví můžeme rozdělit do tří základních, navzájem se prolínajících oblastí:
1. dohled nad elektronickým bankovnictvím prováděný vedením banky,
2. bezpečnostní opatření,
3. právní aspekty a zachování dobrého jména banky.
Uvedené principy nejsou seřazeny podle důležitosti. Důležitost resp. relevantnost určitého principu je vždy dána konkrétním prostředím banky, typem distribučního kanálu, individuálním profilem rizik, provozní a organizační strukturou, firemní kulturou a dalšími individuálními faktory.
Dohled nad elektronickým bankovnictvím
. Efektivní dohled nad riziky plynoucími z aktivit elektronického bankovnictví ze strany vedení banky s cílem zavedení konkrétních odpovědností, politik a vnitřních kontrolních mechanismů. Vedení banky si musí uvědomit, že některé z hlavních částí elektronických distribučních kanálů (internet, mobilní komunikační prostředky, apod.) se nacházejí mimo přímý vliv banky a že poskytování služeb prostřednictvím internetu může podléhat jurisdikci několika zemí. V mnoha případech budou technické aspekty a komplexnost elektronického bankovnictví přesahovat dosavadní praktické zkušenosti vrcholového vedení banky. Proto je nutné jasně vymezit reportovací mechanismy a eskalační procedury při vzniku incidentů a zajistit vhodné procedury pro selekci spolupracujících třetích stran.
. Ustanovení komplexního systému řízení rizik schváleného vrcholovým vedením banky. Jedná se např. o stanovení explicitní odpovědnosti vedoucích pracovníků a zaměstnanců banky za provádění podnikové politiky informační bezpečnosti, zajištění kontroly fyzického přístupu ke kritickým prvkům distribučních kanálů, zajištění dostatečné logické kontroly, sledování systémů elektronického bankovnictví, pravidelné revize a testování bezpečnostních opatření.
. Komplexní zajištění "due diligence" a procesu dohledu nad outsourcingem a dalšími závislostmi na třetích stranách. Do této kategorie náleží např. komplexní posouzení potenciálních dodavatelů, poskytovatelů služeb nebo outsourcingu jak po odborné a technické stránce, tak i po stránce finanční síly, smluvní zajištění převzetí bankovních standardů v oblasti řízení rizik, bezpečnostních opatření, ochrany osobních údajů spolupracujícími třetími stranami, periodický nezávislý nebo interní audit těchto třetích stran a vhodné "havarijní" plány pro případ selhání třetích stran.
Nezbytná bezpečnostní opatření
. Autentizace klientů přistupujících prostřednictvím elektronického bankovnictví. Toto opatření pravděpodobně nepotřebuje bližší vysvětlení. Jde o jednoznačné a bezpečné určení identity klienta přistupujícího prostřednictvím elektronického distribučního kanálu a stanovení jeho oprávnění.
. Zajištění nezpochybnitelnosti autorství a zajištění odpovědnosti v případě transakcí elektronického bankovnictví s cílem dosažení právní odpovědnosti.
. Zajištění vhodného oddělení povinností s cílem zamezit přílišnému nebo nevhodnému kumulování oprávnění jednotlivých zaměstnanců.
. Systémy elektronického bankovnictví musejí mít implementovány vhodné a dostatečné mechanismy pro kontrolu autorizačního procesu a procesu přidělování přístupových práv.
. Zajištění integrity transakcí elektronického bankovnictví, záznamů a informací. Je potřeba si uvědomit, že STP v mnoha případech znesnadňuje proces detekce a nápravy programátorských chyb a podvodného jednání. Je proto důležité věnovat dostatečnou pozornost zabezpečení a monitorování systémů, které pracují na bázi STP.
. Vytváření jednoznačných auditních záznamů o každé jednotlivé transakci a jejich vyhodnocování.
. Důvěrnost klíčových informací. Toto opatření je potřeba zajistit jak při zpracování dat v bance, tak zejména při zpracování dat třetími stranami.
Právní aspekty elektronického bankovnictví
. Banka musí zajistit informování klienta, využívajícího elektronický distribuční kanál,
o podstatných skutečnostech vhodným a dostatečným způsobem. Mezi podstatné skutečnosti může patřit např. jednoznačná identita poskytovatele služby (banky často používají různé názvy pro některé služby, či používají outsourcované třetí strany), informace o způsobu kontaktu zákaznického centra pro poskytnutí případné podpory, informace o reklamačních procedurách a řešení stížností, informace vyžadované relevantní jurisdikcí apod.
. Ochrana osobních údajů a informací o klientech. Přijatá opatření musejí odpovídat zákonným ustanovením relevantní(ch) jurisdikce(í), klienti musí být informování o politice banky v oblasti ochrany osobních údajů a dalších údajích o klientech, a v případě spolupracujících třetích stran musí být vyžadováno dodržování bankovních standardů.
. Plánování kontinuity podnikání, havarijní plány, plánování kapacit k zajištění dostupnosti služeb elektronického bankovnictví. Důležité je, aby tyto plány a opatření byly pravidelně testovány a revidovány s cílem zajištění nepřetržité dostupnosti služeb elektronického bankovnictví a ochrany dobrého jména banky.
. Plánování reakcí na incidenty vzniklé jak v důsledku interních, tak i externích útoků a nenadálých situací. Musí být navrženy a implementovány mechanismy včasné identifikace incidentu nebo kritické situace, mechanismy jeho zhodnocení a přijmutí vhodných opatření.
Pozn.: Autor pracuje jako senior konzultant v oddělení Řízení informačních rizik společnosti KPMG.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
Časopis IT Systems / Odborná příloha
Archiv časopisu IT Systems
Oborové a tematické přílohy
Kalendář akcí
Formulář pro přidání akce
květen - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | 1 | 2 |
3 | 4 | 5 | 6 | 7 | 8 | 9 |
IT Systems podporuje
22.5. | Cloud Computing Conference 2024 |
5.6. | IT mezi paragrafy 2024 |
20.6. | Cybernity 2024 |
Formulář pro přidání akce
Další vybrané akce