Elektronické bankovnictví I. čtvrtek, 22. března 12

Elektronické bankovnictví I. čtvrtek, 22. března 12

• Základní komponenty ICT v bance • výčet a popis hlavních komponent ICT v bance • popis a role hlavního transakčního systému banky (zúčtování platebního styku)

• pobočkový - front office systém • vazby na služby elektronického bankovnictví • Bezpečnost bankovních systémů a služeb ELB • úvod do bezpečnosti ICT • největší rizika bankovních systémů a služeb elektronického bankovnictví

• postup tvorby bezpečnostních projektů - řešení bezpečnosti • klíčové bezpečnostní požadavky na různé typy služeb ELB • technologická řešení bezpečnostních požadavků, fyzická bezpečnost a bezpečnost aplikací

čtvrtek, 22. března 12

ICT systémy v bance



Transakční systém banky I. Nejdůležitější část celého komplexu ICT systémů v bance

• Modul informací o klientech (customer information system) • Evidence informací o klientech • Modul depozitních účtů klientů (deposit processing system) • Modul úvěrových účtů klientů (loan accounting system) • Hlavní kniha (general ledger system) • Účtování transakcí s účty klientů • Zdroj dat pro tvorbu výpisů z účtů • Výpočty úroků a poplatků a účtování o nich • Zdroj dat pro ostatní systémy banky (MIS, CRM, ELB, ...) • Zpracovatel dat z ostatních systémů banky (Front office, ELB, ...)


Transakční systém banky II. • Modul informací o klientech (customer information system) • zdrojem informací - dat je pobočkový “front office systém” • zde jsou uložena data z identifikace klienta a zde se také provádí jejich aktualizace

• klientem mohou být osoby fyzické, fyzické podnikající a osoby právnické

• každá osoba je vedena pod jednoznačným identifikátorem například označovaným jako CUID (customer unique ID), CIF (customer information file)


Transakční systém banky III. • Modul informací o klientech (customer information system) • informace identifikující osobu - zákazníka


•

FO - jméno, titul, rodné číslo, datum narození, místo narození, bydliště, číslo identifikačního dokladu, vydavatel ID, platnost ID, číslo dalšího ID, fotokopie dokladů s fotografií zákazníka atd.

•

FOP - jméno, titul, rodné číslo, IČO, sídlo, číslo identifikačního dokladu, vydavatel ID, platnost ID, druh číslo dokladu opravňujícího k podnikání, fotokopie ID s fotografií a dokladů opravňujících k podnikání atd.

•

PO - název, IČO, sídlo, relevantní dokumenty dle druhu PO (výpis z Obchodního rejstříku, stanovy, potvrzení o registraci u občanských sdružení, atd.) osobní identifikační údaje statutárních orgánů - osob (i více) jméno, titul, rodné číslo, datum narození, místo narození, bydliště, číslo identifikačního dokladu, vydavatel ID, platnost ID, číslo dalšího ID, fotokopie ID

Transakční systém banky IV. • Modul informací o klientech (customer information system) • kontaktní informace zákazníka •

FO - adresa bydliště, korespondenční adresa, e-mailová adresa, telefonní číslo, mobilní telefonní číslo, ...

•

FOP - adresa sídla, korespondenční adresa, e-mailová adresa, telefonní číslo, mobilní telefonní číslo, ...

•

PO - adresa sídla, (adresy organizačních složek),korespondenční adresa/y, adresa/y bydliště, e-mailová/é adresa/y a telefonní číslo/a statutárních orgánů, ...

• informace o produktech zákazníka v transakčním systému vedených:


•

čísla “depozitních” účtů vedených v “deposit processing system”

•

čísla “úvěrových” účtů vedených v “loan accounting system”

Transakční systém banky V. • Modul depozitních účtů(deposit processing system) • zdrojem informací - dat je pobočkový “front office systém” • zde jsou uložena data o jednotlivých depozitních účtech klienta (zákazníka) a zde se také provádí jejich aktualizace

• každý účet je veden pod jednoznačným číslem účtu, které musí v kombinaci s kódem banky být jedinečné

• tvar čísla účtu je v současné době upraven dle mezinárodní normy a používaný standard nazýváme IBAN (viz dále)

• pro TPS (tuzemský platební styk) - mezibankovní platby

v CZK v rámci ČR se používá i starší standard čísla účtu dle tzv. ABO (Systém účetnictví a platebního styku ČNB)


Transakční systém banky VI. • Modul depozitních účtů(deposit processing system) • pro každý účet je zde definována řada dalších informací

a nastaveny konkrétní parametry upravující vlastnosti:

• definice oprávnění k nakládání s účtem • osoby oprávněné s účtem nakládat • finanční a jiné limity pro osoby k nakládání s účtem • autorizační nástroje (nejčastěji podpisové vzory, razítka) • parametry upravující vlastnosti účtu • druh účtu a vlastnosti spojené s typem účtu - produktu • periodicita vyhotovování výpisu a zasílací adresa • úrokový a poplatkový předpis, úroková sazba • a řada dalších parametrů .... čtvrtek, 22. března 12

Transakční systém banky VII. • Formáty čísel účtů •

IBAN - International Bank Account Number - je formát čísla účtu definovaný mezinárodní normou ISO 13616, která byla v roce 2007 aktualizována a uvedena do souladu se standardem EBS204, který v roce 1996 vydala ECBS (European Committee for Banking Standards

•

Standard stanovuje mezinárodní formát čísla účtu takto: • • • •

IBAN může obsahovat číslice a velká písmena IBAN má následující strukturu: 2 znaky - kód země (CZ pro Českou republiku)

• •

Max. 30 znaků - kód banky a číslo účtu v rámci banky

•

Každá země si určuje vlastní strukturu s tím, že

2 znaky - kontrolní číslice - umožňuje programovou kontrolu čísla ochrana proti chybně zadanému číslu účtu (např. z důvodu překlepu) Číslo účtu ve formátu IBAN má dvě podoby - elektronickou (bez mezer) a písemnou (s mezerou za každou čtveřicí znaků pro lepší orientaci)

• • čtvrtek, 22. března 12

pevně stanoví pozice, na kterých je kód banky, popř. pobočky banky pevně stanoví pozice, na kterých je uvedeno číslo účtu

Transakční systém banky VIII. • Příklad čísla účtu v různých formátech pro Českou republiku Tuzemské bankovní spojení (ABO) 19-2000145399/0300 může být také 0000192000145399/0300 předčíslí vlastní číslo účtu kód banky (0300 = ČSOB, 0800 = Česká Spořitelna, 0100 - Komerční Banka)

kód banky a číslo účtu v rámci banky (max 30 znaků) kontrolní číslice (2 znaky) kód země (2 znaky)

IBAN - elektronická forma IBAN - písemná forma čtvrtek, 22. března 12

CZ6503000000192000145399 CZ65 0300 0000 1920 0014 539

Transakční systém banky IX. • Modul úvěrových účtů(loan accounting system) • zdrojem informací - dat je jedna nebo i více specializovaných aplikací pro řízení úvěrového procesu

• zde jsou uložena data o jednotlivých úvěrových účtech klienta (zákazníka) a zde se také provádí jejich aktualizace

• každý účet je veden pod jednoznačným číslem účtu, které musí v kombinaci s kódem banky být jedinečné a tvar čísel účtů odpovídá standardům používaným pro bankovní účty obecně (viz předchozí informace)

• otevírání, vedení a uzavírání úvěrových účtů se obvykle provádí na základě úvěrových smluv a nikoli na základě smluv o vedení účtů


Transakční systém banky X. • Modul úvěrových účtů(loan accounting system) • pro každý účet je zde definována řada dalších informací

a nastaveny konkrétní parametry upravující vlastnosti:

• definice oprávnění k nakládání s účtem • na úvěrových účtech obvykle transakce provádí systém nebo oprávněné osoby - zaměstnanci banky (ne klienti)

• parametry upravující vlastnosti účtu • druh úvěrového účtu a vlastnosti s ním spojené • periodicita vyhotovování výpisu a zasílací adresa • úrokový a poplatkový předpis, úroková sazba • limity úvěru • data splatnosti a splátkový plán čtvrtek, 22. března 12

Transakční systém banky XI. • Hlavní kniha(general ledger system) • tento modul slouží pro provádění souvztažných účetních transakcí mezi účty klientů a banky

• každá transakce na účtu klienta musí mít souvztažný zápis na

některém (vnitřním) účtu banky a to včetně operací platebního styku

• bezhotovostní transakce - platby jsou účtovány na vrub účtu

klienta - plátce a ve prospěch vnitřního účtu banky pro platební styk


•

vlastní zúčtování ve prospěch účtu klienta stejné banky je prováděno účtováním na vrub vnitřního účtu a ve prospěch účtu klienta - příjemce

•

pokud je příjemcem klient jiné banky v ČR je účtováno na vrub vnitřního účtu banky a ve prospěch účtu pro clearingové zúčtování ČNB

Transakční systém banky XII. • Hlavní kniha(general ledger system) • také další transakce na klientských účtech a to například povahy polatků nebo úroků musí být účtovány souvztažným zápisem na některém (vnitřním) účtu banky

• pro naší potřebu postačí tyto obecně definované příklady:


•

úrok připsaný ve prospěch depozitního účtu klienta je souvztažně účtován jako úrokový náklad banky na vrub účtu tohoto druhu nákladů

•

úrok zaúčtovaný na vrub úvěrového účtu klienta je souvztažně účtován jako úrokový výnos banky ve prospěch účtu tohoto druhu výnosů

•

hotovostní výběr z účtu klienta je nejprve účtován na vnitřních účtech banky (pokladna) a teprve následně na vrub účtu klienta

Transakční systém banky XIII. • Hlavní kniha(general ledger system) • tento modul je důležitým zdrojem dat pro vlastní účetní systém

banky (účtování o výnosech a nákladech banky - ekonomického subjektu)

• dále je zdrojem dat pro manažerský informační systém (MIS) a celou řadu dalších systémů banky zaměřených na řízení hlavních obchodních aktivit banky


Pobočkový “front office” systém


Pobočkový “front office” systém I. Pracovní nástroj klientských pracovníků na pobočkách bank

• Modul hotovostních operací • Modul bezhotovostních operací • Otevírání nových účtů • Neúčetní operace s účty klientů - správa účtů • Prodejní modul - podpora prodeje produktů a služeb banky • Zdroj dat pro ostatní systémy banky

(Transakční systém, systémy platebních karet, CRM, ELB, ...)

• Zobrazování dat z ostatních systémů banky •


Transakční systém, CRM, systémy investičního bankovnictví, systémy hodnocení bonity klienta pro úvěrové obchody, ...)

Pobočkový “front office” systém II. Pracovní činnosti pobočkových pracovníků podporované pobočkovým “front-office” systémem

• Vklady a výplaty - obvykle i ve více měnách • Ostatní hotovostní operace - směnárenské operace • Bezhotovostní platební operace •

na základě ústních nebo papírových dispozic

• Otevírání nových účtů klientů


•

Identifikace osob

•

Nastavení oprávnění k nakládání s účty

•

Nastavení a administrace přístupů k účtům prostřednictvím ELB

•

Vydávání platebních karet, nastavení limitů

•

Digitalizace podpisových vzorů a dokladů klienta

Pobočkový “front office” systém II. Pracovní činnosti pobočkových pracovníků podporované pobočkovým “front-office” systémem

• Administrace informací o klientech •

Aktualizace údajů v systémech - kontaktní údaje, oprávnění, atd.

• Podpora prodejních aktivit - informace o klientech •

Jaké produkty klient má a propenzity - sklony k nákupu určité služby

•

Kontaktní historie (CRM, Contact management

•

Úvěrové systémy hodnocení bonity a prodej úvěrových produktů

•

Investiční a spořící produkty

•

Pojistné produkty

•

Stavební spoření, ...)

• Informace podávané klientům • Stavy účtů, zaúčtované položky, limity, atd... čtvrtek, 22. března 12

Vazby transakčního systému a pobočkového systému na služby ELB


Vazby transakčního systému a pobočkového systému na služby ELB I. Jaké požadavky mají klienti na systémy ELB

• Nepřetržitý provoz - 24 * 7 * 365 • Rychlé odezvy systémů • Malý objem přenášených dat • Jednoduché a srozumitelné používání • Možnost předpřipravení dat pro opakovaná použití - vzory • Schopnost rychlé aplikace nových technologií • PC aplikace (modem - modem), Internet, Mobilní technologie, ... • Vysoký stupeň zabezpečení • Možnosti nastavení různých stupňů přístupových oprávnění • Podpora technologických platforem po dlouhou dobu


Vazby transakčního systému a pobočkového systému na služby ELB II. Jaké požadavky mají banky na systémy ELB

• Vysoký stupeň zabezpečení vlastních informací v systémech banky • Vysoký stupeň zabezpečení dat i prostředků klienta • Konzistentní informace ve všech systémech banky v čase • Jednoduchá integrace nových služeb do stávajícího systémového celku • Schopnost rychlé aplikace nových technologií •

PC aplikace (modem - modem), Internet, Mobilní technologie, ...

• Omezení nákladů na podporu mnoha technologických platforem •

vysoké nároky na vývoj a testování menšinových platforem

•

omezení popory ze strany výrobců (zejména u OS)

• Efektivní užití nákladů na vývoj i provoz


Vazby transakčního systému a pobočkového systému na služby ELB III. Jak jsou řešeny uvedené oblasti v praxi?

• Služby ELB jsou obvykle řešeny jako separátní moduly •

Call centrum (aplikace pro podporu komunikace pracovníků s klienty)

•

Internetové bankovnictví (jen on-line)

•

PC bankovnictví pro SME / Corporate (off-line - aplikace pro přípravu dat)

•

Mobilní bankovnictví (Java, SIM Toolkit), Smartbanking, ....

• Napojení na modul dat přístupných on-line (Modul 24/7 apod.) •

zrcadlení dat z transakčních systémů

• Moduly pro správu přístupů ke službám ELB •

Oprávněné osoby, účty, limity, nástroje pro autentizaci a autorizaci

• Moduly pro ověřování autentizace (přístupy) a autorizace (transakce) • čtvrtek, 22. března 12

Systémy zajišťující ověření přístupů klientů do systémů ELB a oprávněnosti zadat dispozice s danými účty v daném rozsahu

Zjednodušené schéma napojení systémů ELB na klíčové systémy banky Pobočkový front office

Call centrum PC banking

Nastavování dat o klientech, účtech a oprávněných osobách pro obsluhu prostřednictvím ELB

Internetbanking Modul 24/7

Modul správy přístupů a oprávnění ELB

Zrcadlo dat z transakčního systému banky

Oprávněné osoby, přístupové nástroje, kódy, rozsahy oprávnění, limity, atd...

Transakční Prostorsystém

Zrcadlení dat o klientech, Z domova účtech, jejich stavech Ze světa a transakcích Z práce Zpracování dat z transakcí podaných přes ELB Z postele čtvrtek, 22. března 12

Smartbanking

Bezpečnost bankovních systémů a služeb ELB


Zásady informační bezpečnosti organizace

• 100% bezpečný systém, řešení ani technologie neexistují • Bezpečnost nepřináší zisk, ale minimalizuje ztráty • Bezpečnost je proces, ne stav • Při zavádění bezpečnostních prvků je nutné myslet jako zloděj • Všeumělé přestávají být přínosem, důležití jsou specialisté • Nejdůležitějším bezpečnostním opatřením jsou bdělí zaměstnanci • Žádná norma ani zákon nenahradí etické zásady

podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011


Ochrana informací ve firmě - legislativa • Zákon číslo 101/2000 Sb., o ochraně osobních údajů http://sy.pe/f5i8c

• Zákon číslo 227/2000 Sb., o elektronickém podpisu

a o změně některých dalších zákonů (Zákon o elektronickém podpisu) http://sy.pe/LPNcc

• Zákon číslo 412/2005 Sb. o ochraně utajovaných skutečností http://sy.pe/sPzy

• Zákon číslo 499/2004 Sb., o archivnictvví a spisové službě http://sy.pe/WP2Mb

podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011 čtvrtek, 22. března 12

Ochrana informací ve firmě - normy

• ISO 17799:2000 resp. ISO/IEC 17799:2005

IT – Code of Practice for Information (ISMS)

• ISO 13335

Guidelines for the Management of IT Security security management

• ISO 15408

Common Criteria for IT Security Evaluation

• ECMA 271

Commercially Oriented Functionality Class

• Standardy ISVS pro životní cyklus IS, atestaci IS atd.



Bezpečnost organizace

• Bezpečnost lze definovat zhruba jako proces, který zajišťuje ochranu zdrojů organizace.

• Zdrojem myslíme pro tento účel vše, co vědomě nebo svou podstatou či určením přispívá k vlastnímu chodu organizace (finanční prostředky, pracovníci, stroje, know-how firmy, její dobrá pověst, atd.)

• Takto definován je pojem bezpečnosti hodně široký a proto bezpečnost dále můžeme dělit na:

• • • • •

Fyzickou Administrativní Personální Bezpečnost IT …. podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011


Základní pojmy • To, co chráníme – aktiva (souhrnný název pro vše, co má pro firmu nějaký význam, hodnotu, spojené s vlastní činností firmy)

• To, před čím chráníme – hrozby (veškeré potenciální nepříznivé vlivy, okolnosti, které mohou způsobit ztrátu či znehodnocení aktiv)

• To, čím chráníme – protiopatření (nejrůznější způsoby ochrany před působením hrozeb)


Základní pojmy


Základní pojmy • zranitelnost (vulnerability) :

zahrnuje slabé místo aktiva nebo skupiny aktiv, které může být využito hrozbou.

• hrozba (threat) :

potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace

• protiopatření, nebo také bezpečnostní opatření (safeguard) : praxe, postup nebo mechanismus, který snižuje riziko

• následek, nebo také dopad (impact) : výsledek nežádoucího incidentu

• aktivum (asset) :

cokoliv, co má pro organizaci hodnotu


Největší hrozby z hlediska informační bezpečnosti Internet a/nebo elektronická pošta

58%

Vlastní uživatelé

51%

Vnější útočníci

32%

Nedostatek financí

27%

Nevyhovující bezpečnostní politika a/nebo bezpečnostní standardy

20%

Nedostatek lidských zdrojů

17%

Neadekvátní technická infrastruktura nebo zastaralé technologie

15%

Nedostatečná podpora ze strany nejvyššího vedení

15%

Provozované aplikace

7%

Dodavatelé produktů, služeb a řešení v oblasti IT

6%

E-business a/nebo e-commerce

6%

zdroj: prezentace NextiraOne, 2005 čtvrtek, 22. března 12

Obecné schéma řízení bezpečnosti Cíle a strategie řešení bezpečnosti IT

Analýza rizik

Bezpečnostní politika

Implementace bezpečnosti

Monitoring a audit


Cíle a strategie řešení bezpečnosti IT

• Cíle identifikují, čeho má být dosaženo, • Strategie určují, jak cílů dosáhnout • Cíle lze vyjádřit v pojmech: • integrita • důvěrnost / důvěryhodnost • dostupnost • individuální zodpovědnost • autenticita • spolehlivost podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011 čtvrtek, 22. března 12

Analýza rizik • Analýza rizik identifikuje rizika, která je třeba kontrolovat nebo akceptovat

• Riziko je potenciální možnost, že daná hrozba využije zranitelností, aby způsobila ztrátu nebo poškození aktiv nebo skupiny aktiv

• Analýza rizik systémů IT zahrnuje analýzu hodnot aktiv, hrozeb a zranitelností.

• Rizika jsou odhadnuta z hlediska možného dopadu, způsobeného narušením důvěrnosti, integrity, dostupnosti, individuální zodpovědnosti, autenticity nebo spolehlivosti (viz cíle bezpečnosti)


Způsoby provedení analýzy rizik • Základní přístup

Aplikuje se vybraná sada opatření (lze např. přejmout z ISO 17799)

• Neformální přístup

Opatření se navrhnou na základě zkušeností

• Detailní analýza rizik

Manuálně (vymezení hranic systému, ohodnocení aktiv, určení a posouzení hrozeb, odhad zranitelností, výběr protiopatření), akceptace reziduálních (zbytkových) rizik) s využitím nástrojů pro analýzu rizik (CRAMM, COBRA)

• Kombinovaný přístup

Výběrově se kombinuje základní přístup a detailní analýza rizik


Bezpečnostní politika IT

• Odráží základní bezpečnostní zásady a směrnice aplikované na používání systémů IT uvnitř organizace

• Zohledňuje výsledky analýzy rizik • Na potřebné úrovni detailu stanoví pravidla používání IT z pohledu bezpečnosti v rámci organizace

• Příklad struktury bezpečnostní politiky IT je uveden v příloze

“A - Definování rozsahu a hranic procesu řízení rizik bezpečnosti informací” dle standardu ČSN ISO/IEC 27005 (369790)



Implementace bezpečnosti

• Realizace protiopatření vycházejících z analýzy rizik a zásad přijatých v rámci bezpečnostní politiky

• Je vhodné provádět realizaci formou bezpečnostních projektů • Projekty lze zaměřit na jednotlivé oblasti, např. • Bezpečnost informací • Bezpečnost komunikace (interní / externí) • Prevence - vzdělávání v oblasti bezpečnosti informací a IT • Antivirová ochrana • …


Monitoring a audit • Monitoring • slouží k monitorování rizikových činností za účelem detekování a zachycení bezpečnostních incidentů

• jedná se o pravidelný proces • Incidenty je nutno vyhodnocovat a využívat vyhodnocení jako zpětnou vazbu pro hodnocení síly opatření

• Audit • slouží k hodnocení adekvátnosti přijatých opatření ve vztahu

k míře rizik (mohou se objevit nové zranitelnosti, nové hrozby)

• Výsledky obou procesů by měly být podkladem pro pravidelnou revizi analýzy rizik


Způsoby řešení “dodávky” bezpečnosti IT • Některé fáze ustavení a řízení bezpečnosti jsou tak složité a nákladné, že jen největší organizace si mohou dovolit řešit všechny oblasti interními týmy (např. pro analýzu rizik)

• Většina organizací řeší “bezpečnost IT” ve spolupráci útvaru IT s externí firmou a někdy dokonce kompletním outsourcingem

• I v případech outsourcingu je nutná kooperace organizace, protože bezpečnost ovlivňuje do značné míry chování uživatelů IT a tedy zaměstnanců organizace


Způsoby řešení “dodávky” bezpečnosti IT • Cíle a strategie řešení bezpečnosti •

Vhodná spolupráce expertů – mají zkušenosti s výběrem cílů a odpovídajících strategií

• Analýza rizik •

Nejlépe svěřit externí firmě – zkušenosti s AR, jistota nezatíženého pohledu

• Bezpečnostní politika •

Užitečná spolupráce expertů

• Implementace bezpečnosti •

Vzhledem k náročným technologiím spolupráce se specializovanými firmami nevyhnutelná

• Monitoring •

Lze řešit prostřednictvím vlastních týmů organizace, ale také externě přes dohledová centra apod.

• Audit •

Pravidelné audity provádí obvykle tzv. “interní” audit, velké audity doporučujeme provádět prostřednictvím externích firem podle přednášky Ing. Petra Budiše, Ph.D., Elektronické bankovnictví, 2011


Výskyt bezpečnostních incidentů a vnímání trendu

Průzkum stavu informační bezpečnosti v ČR Národního bezpečnostního úřadu, 2009 čtvrtek, 22. března 12

“Průzkum stavu informační bezpečnosti v ČR” studie společnosti Ernst & Young, Národního bezpečnostního úřadu ČR a časopisu DSM (Data security management) z roku 2007

•

Přes 80 % organizací hodnotí vlastní úroveň řešení informační bezpečnosti jako minimálně dobrou. Téměř 20% organizací jako výbornou. Nejlépe se hodnotí společnosti v oblasti IT/telekomunikací a financí/bankovnictví.

•

Tlak zákazníků má, ze všech sledovaných okolností, nejrychleji rostoucí význam na prosazování informační bezpečnosti.

•

Roste zapojení vyššího managementu do řízení informační bezpečnosti.

•

Roste role dedikovaných útvarů bezpečnosti, nicméně informační bezpečnost je v 70 % začleněna do úseků IS/IT.

•

80 % organizací nemá zaveden funkční program pro zvyšování bezpečnostního povědomí svých zaměstnanců. Přitom obecně nízké bezpečnostní povědomí je vnímáno jako nejvýznamnější překážka rychlejšího prosazování informační bezpečnosti u nás.

•

Přes polovinu společností má definovanou a nejvyšším vedením přijatou bezpečnostní politiku



•

45 % společností spoléhá při řízení informační bezpečnosti na interně vyvinuté standardy, ať již na lokální, či korporátní úrovni.

•

Stále roste výskyt nevyžádané elektronické komunikace (SPAMu). V posledních dvou letech se s ním setkalo 92 % společností.

•

Pětina společností nikdy neprovedla analýzu rizik IS.

•

Řešení problematiky informační bezpečnosti ve spolupráci s externími firmami je běžný postup pro 60 % společností.

•

Naprostá většina (80 %) společností nemá na informační bezpečnost vyhrazen finanční rozpočet.

•

U organizací nad 1000 zaměstnanců došlo ve srovnání se situací v roce 2005 k poklesu poměru celkových ročních výdajů na bezpečnost v porovnání s celkovým rozpočtem na IS/IT. U menších organizací se tento poměr naopak zvýšil.



•

Pouze 6 % společností nepředpokládá v budoucnosti využití elektronického podpisu. 20 % společností však není schopno identifikovat výhody, které používání elektronického podpisu přináší.

Většina firem si rostoucí nebezpečí uvědomuje a snaží se ho řešit. Na druhou stranu však v přímém rozporu stojí požadavky na maximální otevřenost informačních systémů:

• marketing • prezentace firmy • elektronizace obchodních procesů • elektronické bankovnictví • … • a ochrana informací čtvrtek, 22. března 12

“Vliv mobilních zařízení na bezpečnost informací” studie společnosti Check Point Software Technologies, únor 2012

•

Souvislost mezi zvyšováním počtu mobilních zařízení a bezpečnostními incidenty

•

Mnoho mobilních zařízení obsahuje citlivá zákaznická a podniková data

•

Růst počtu mobilních zařízení připojujících se do podnikových sítí

•

Chování zaměstnanců má vliv na zabezpečení mobilních dat

•

Nejběžnější mobilní zařízení a jejich bezpečnostní rizika

Přibližně 71 % oslovených podniků se domnívá, že rostoucí počty chytrých mobilních telefonů a multimediálních tabletů přispěly v posledních dvou letech k nárůstu počtu bezpečnostních událostí v jejich organizaci.

V osobních a podnikem vlastněných mobilních zařízeních jsou často uloženy a zpřístupněny různé citlivé informace, včetně e-mailů (79 %), dat zákazníků (47 %) a přihlašovacích údajů k interním databázím nebo podnikovým aplikacím (38 %).

Přibližně 94 % dotázaných organizací uvedlo, že evidují podstatně vyšší počet mobilních přístrojů, které se připojují k jejich firemní síti. V případě 78 % respondentů došlo za poslední dva roky ke zdvojnásobení počtu těchto zařízení.

Většina dotázaných podniků věří, že nedostatek odpovědnosti v oblasti bezpečnosti, který sledují u svých zaměstnanců, představuje nejzávažnější faktor ovlivňující mobilní data. Následují jej mobilní prohlížení internetu (61 %), nezabezpečená Wi-Fi připojení (59 %), ztracená nebo ukradená zařízení (58 %) a stahování škodlivých mobilních aplikací (57 %).

Apple (30 %) a BlackBerry (29 %) patřily k nejběžnějším typům mobilních zařízení, která se ve zkoumaných podnicích připojovala k firemním sítím. Další příčka patřila přístrojům s operačním systémem Android (21 %). Téměř polovina respondentů (43 %) se rovněž domnívá, že přístroje s operačním systémem Android představují největší ohrožení jejich mobilního podnikání. 13. února 2012, studie se účastnilo 750 IT odborníků z USA, Kanady, Velké Británie, Německa a Japonska


Děkuji za pozornost Další přednáška bude 20. dubna 2012


Elektronické bankovnictví I. čtvrtek, 22. března 12

Recommend Documents