جمعه, ۱۴ اردیبهشت, ۱۴۰۳ / 3 May, 2024
مجله ویستا
بازل ۲، امنیت اطلاعات و مدیریت ریسک عملیاتی
به طور تخمینی ۱۲ بیلیون (میلیارد) دلار تا سال ۱۹۹۲ به علت مدیریت ریسک ضعیف و کلاهبرداری در بازارهای مالی خسارت وارد شده است.
درسال ۲۰۰۱، کمیته نظارت بر بانکداری بازل، دومین مجموعه پروپوزالهای خود ( بازل ۲) را برای کاربرد در مدیریت ریسک در خدمات مالی منتشر نمود.
بازل ۲، ریسک عملیاتی را در محاسبات کل سرمایه مورد نیاز، دخیل مینماید. این موضوع، قلمرو و دامنه اولین توافقنامه را به شدت گسترده نمود و بر دپارتمانهای فنآوری اطلاعات و عملیات در سازمانهای ارایهد هنده خدمات مالی تاثیر گذاشت. ظهور ریسک عملیاتی، موضوعی مهم برای کسب و کارهای مالی و سازمانهای ارایهدهند خدمات مالی است. این موضوع قابلیت آن را نیز دارد که متقابلا" بر درآمدها و ارزش سهامداران تاثیر بگذارد.
بازل۲ به مدیریت و پیچیدگیهای مقتضی محصولات ساخت یافته ، فرآیندها و پردازشهای برخط و محیط کسب و کار بلادرنگ (real-time ) پرداخته است.
چارچوب بازل۲ توسط بانک پرداختهای بینالمللی (the bank for international settlements) در ماه ژانویه سال ۲۰۰۱ به منظوری پیادهسازی آن تا سال ۲۰۰۶ منتشر گردید. هدف این سند، کاهش ریسک در نظام مالی به وسیله بهبود سیستمهای مدیریت ریسک، فرآیندها، سیاستها، معیارها، گزارشدهی و ( به صورت غیرمستقیم) فنآوری در سازمانهای ارایهدهنده خدمات مالی است. بازل ۲ ریسک عملیاتی را نیز در الزامات محاسبه کل سرمایه دخالت میدهد.
تغییرات برای بازل ۲: کفایت سرمایه وابسته به ریسک عملیاتی،ریسک بازار و ریسک اعتبار است.
بازبینی سال ۲۰۰۱، اندازهگیری ریسک (روش محاسبه مقسوم علیه نسبت سرمایه)را بهبود بخشیده است. روشهای اندازهگیری «ریسک اعتبار» به نسبت آکورد ۱۹۸۸، بیشتر پرداخته و دقیقتر شدهاند. کمیته بررسیکننده (BCBS )در تلاشی برای کاربرد حساسیت بیشتر درباره ریسک اعتبار، همکاری را با صنعت آغاز کرد تا یک تعهد سرمایه مناسب برای ریسک عملیاتی ( مثلا" ریسک خسارت ناشی از کارنکردن کامپیوترها، مستند سازی ضعیف یا کلاهبرداری (تقلب) ) ایجاد نماید. چارچوب جدید برای اولین بار، معیاری برای ریسک عملیاتی پیشنهاد داد. درحالی که معیارهای ریسک بازار بدون تغییر باقی ماندند.
تعریف ارایه شده برای ریسک عملیاتی، تعریفی موسع و گسترده است:
« ریسک خسارت ناشی از فرآیندها، کارکنان و سیستمهای نامناسب، یا عمل نکرده یا ناشی از حوادث بیرون از سازمان»
برای مطابقت با بازل۲از منظر فنآوری اطلاعات به ریسک عملیاتی، بنگاههای بانکی و سرمایهگذاری نیازمندند که :
یک کارت امتیاز دهی با شاخصها و معیارهای کمی ایجاد نمایند.
رکوردها و سوابق سه سال آخر ریسک فنآوری اطلاعات را پیگیری نمایند. این ریسک شامل موارد خروج سیستم از خدمات به علت زمان از کار افتادن خدمات برونسپاری شده یا ریسکهای داخلی میشود.
یکی از سه رویکرد پیشنهادی بازل۲ را برای تخصیص سرمایه به ریسک عملیاتی، انتخاب کنند. این رویکردهای سهگانه نیازمند آنند که درصنعت از جوانب تکنیکهای اندازهگیری، پایش، کمیسازی و تدبیر ریسک، بیشتر بسط و توسعه یابند.
● شیوههایی برای تخصیص سرمایه ریسک عملیاتی بر مبنای بازل ۲
▪ رویکرد شاخصِ پایه:
سرمایه با استفاده از یک شاخص نماینده (مانند درآمد خالص) برای ارایه ریسک عملیاتی کلی، تخصیص داده میشود.
▪ رویکرد استاندارد شده:
سازمان به خطوط کاری خاص تقسیم میشود. هرکدام از این تقسیمات یک شاخص برای خود دارند( مثلا" متوسط سالانه داراییها، درآمد خالص یا نرخ خطا). این روش نیازمند ردیابی و ردگیری دادههای ضررها و ارزیابی مدیریت است.
▪ رویکرد معیارهای داخلی:
این روش، از تحلیلهای ریسک کمی استفاده مینماید. سازمانهای ارایه د هنده خدمات مالی نیاز خواهند داشت باتوجه به تاثیر سوانح تبادلات بر روی کسب و کار، آنهارا دستهبندی نمایند. پایگاه دادههای « ضررها» برای محاسبه احتمال و شدت خسارت مورد انتظار در هرکدام از خطوط کسب و کار مورد استفاده قرار میگیرد. هزینه سرمایه بر مبنای تجربه خسارتهای عملیاتی در یک چارچوب ارزیابی شارژ میشوند.
تعداد اندکی از سازمانهای خدمات مالی قادر به انطباق با الزامات ریسک عملیاتی بازل ۲ هستند زیرا
الف) این سازمانها ذهنیت، سازمان و فرآیندهای مورد نیاز برای تعیین ریسکهای فنآوری اطلاعات را به عنوان جزیی از مدیریت ریسک، ندارند. از طرفی مدیران ریسک، ریسک اعتبار و ریسک بازار را درک مینمایند، از طرف دیگر مسوولان امنیت اطلاعات(CISO )، امنیت فنآوری اطلاعات را درک میکنند. امنیت اطلاعاتی که مثلا" محدود به حفاظت از دادههای سازمان در برابر دسترسیهای غیرمجاز بیرونی است. در نتیجه فاصله عمیقی بین مدیران ریسک و فعالیتهای مسوولان امنیت اطلاعات است. گویی این افراد برای یک سازمان واحد کار نمیکنند و فرهنگ و ادبیات فنی آنها با هم متفاوت است.
ب) داشتن سازمان real- time به معنی فرآیندهای real-time و ریسکهای فنآوری اطلاعات real-time است. سطوح خدمات امنیتی میبایست به صورت real-time اندازهگیری و کنترلشوند. این نیازمند رشد مناسب در فرآیند امنیت است. سازمانهای امنیت فنآ وری اطلاعات به چند راه، از هم جدا و تکه تکه میشوند. ارزیابی ریسک و آسیبپذیریها در سایتهای مختلف، فنآوریها و واحدهای کسب و کار مختلف، انجام میشود، اما فقط یکبار، آنهم در زمان آغاز پروژهه ای جدید. هنگامی که همین پروژهها نیز پیادهسازی میشوند، تهدیدها و آسیبپذیریهای جدید اصلا" به حساب نمیآیند. فرآیند استانداردی برای ردیابی و واکنش به حملات وجود ندارد. اغلب حملات درون سازمانی، به صورت تصادفی کشف میشوند. کشف حملات بیرون از سازمان نیز منابع بیشتری از متخصصین IT میطلبد و این کار برای سازمانهای ارایه دهنده خدمات مالی هفتهها به طول میانجامد. سازمان های امنیت فنآوری اطلاعات سطوح خدمات امنیت را تعریف و به روزرسانی نمیکنند – این بخش، تعریف نمیکند که سازمان با چه شرایطی ریسک حملات IT را که بر سایر فرآیندها تاثیر میگذارد، خواهد پذیرفت.
ج) از سال ۱۹۹۹، سازمانهای بانکی و سرمایهگذاری، سیستمهای جدید بسیاری را بکار گرفته و هماهنگ نمودهاند تا کیفیت عملکردی کسب و کار خود را بهبود دهند. امنیت در این زمینه موضوع ثانوی مورد توجه، بوده است. در نتیجه، معماریهای فنی، پیچیده و محصول ادغام چندین سیستم مختلف خواهند بود. از mainframe ها تا سرورهای برنامههای کاربردی تحت وب. این امر موجب ایجاد برنامههای کاربردی که درگیر با خودند، غیرقابل مدیریتاند و به راحتی امن نمیشوند، خواهد شد.در این فضا، هربرنامه کاربردی مدل امنیت مخصوص به خود داشته و مسوولهای امنیت اطلاعات هنوز متمرکز بر این فضای امنیتی هستند تا امنیت پیوستهی تبادلات و فرآیندها.
د) تجزیه و تحلیل کمّی ریسک برای امنیت فنآوری اطلاعات ناکاراست، زیرا محیط امنیت فنآ وری اطلاعات، پایدار نیست. آسیبپذیریهای جدید فنآوری اطلاعات در تکنولوژیهای قدیمی و جدید مدام کشف شده و مورد بهرهبرداری قرار میگیرند. دادههای قابل اطمینانی از حادثهها، تقلبها یا سوانح امنیت شبکه وجود ندارد. دستهبندی رخدادها، مشکل زاست و سازمانهای اندکی، اقرار به رخنههای امنیتی جدی مینمایند. در غیاب دادههای قابل اطمینان، مدلهای آماری کاربرد اندکی دارند. تجزیه و تحلیلهای کمّی توجیه ملموسی برای هزینهکردن در امور امنیتی ارایه نمیکنند.
ه) فنآوریهای جریانساز و اصلی تهیه شده توسط تامینکنندگان پیشرو کالاها و راهحل های امنیتی، کمک ویژهای نخواهند کرد. فایروالها، شبکههای شخصی مجازی، زیرساخت کلید عمومی، تعیین هویت قوی و نرمافزارهای آنتی ویروس محدود، به امنیت زیرساخت میشوند تا امنیت تبادل اطلاعات. امنیت تبادل اطلاعات بهتر، نیازمند فنآوریهای کاملا" بومیسازی شده ( سفارشی) هستند. در بسیاری موارد کل سیستمها نیازمند توسعه دوباره هستند.
موسسه گارتنر پنج اقدام پیشنهاد مینماید تا
▪ توجیهگر هزینههای امنیتی باشد
▪ امکان انطباق با چارچوب ریسک عملیاتی بازل فراهم شود.
۱) اقدام شماره یک: درون سازمان مدیریت ریسک، یک جایگاه مدیر ریسک فنآوری اطلاعات تعریف شود و بین او و مسوول امنیت اطلاعات (CISO ) رابطهای ایجاد شود.
مدیر ریسک فنآوری اطلاعات برای هرکدام از فرآیندهای بحرانی کسب و کار، باید
الزامات تنظیمی (regulatory) و مولفههای داخلی وخارجی را که متوجه امنیت اطلاعات هستند تعریف کند.
باتضمین وفاداری همکاران تجاری، ارایهدهندگان خدمات و مؤسساتی که خدمات سازمان به آنه ا برون سپاری شده،به سطوح امنیت سازمان، زنجیره اطمینان ایجاد نماید.
ارزیابی پویای ریسک را هدایت نموده و برای تمام اطلاعات در دسترس برنامههای کاربردی فعال در فرآیندهای بحرانی، طبقه بندی اطلاعات را به اجرا درآورد.
ایجاد « موافقتنامههای عدم افشای اسناد اطلاعاتی» مربوط به بازرسیها، ممیزیها، فرآیندهای کسب و کار و شراکتها.
انجام پایش انطباق با استانداردها و فعالیتهای دو جانبه (همراه با ممیز خارجی) برای ممیزی
۲) اقدام شماره دو :
واگذاری مالکیت و مسوولیت برای مدیریت ریسک فنآوری اطلاعات. در صورتیکه فعالیتهای مرتبط با مدیریت ریسک، درخصوص مسایل و برای شرکت و سازمان به نحوی گستردهشودکه شرکای تجاری خارجی و یا داخلی(سیربخشها یا سایتها)را نیز در برگیرد،این فعالیتها بسیار زیاد خواهد شد. با تخصیص مالکیت مدیریت ریسک به مدیران، ذینفعان را تحت تاثیر ریسک مربوطه قرار دهید.
اگر سازمان دارای شعب و پایگاههای متعددی است. برای هرکدام یک جایگاه مسؤول امنیت اطلاعات محلی ایجاد شود که به مدیر ریسک فنآوری اطلاعات گزارش دهد. این به معنای آن نیست که مسئولان امنیت اطلاعات، مسئول پیادهسازی اقدامات اصلاحی هستند (زیرا ممکن است تغییرات خارج از حیطه کاری آنها باشد). بر اساس توزیع محلی، مسوولان امنیت اطلاعات محلی به نقاطی که قابلیت تاثیر از مخاطرات را دارند، نزدیکترند و معمولا" در بهترین موقعیت برای درک شرایط و نحوه تاثیر ریسک بر فرآیندها هستند و در این موقعیت میتوانند تشخیص دهند که اقدامات انجام شده همانطور که قرار بود، ریسکها را کاهش دادهاند یا خیر.
۳) اقدام شماره سه :
برای مدیریت بلادرنگ ریسکهای فنآوری اطلاعات، عملیات امنیت پیادهسازی کنید. در صورتی که سازمان در حال آغاز کمّیسازی ریسک فنآوری اطلاعات است، پویش و پایش (scanning & surveillance) روزانه، الگو برداری منظم از سطوح امنیت در فضای عمومی کسب و کار، استفاده از مؤسسات مورد اطمینان امنیتی و ارزیابی سناریوهای امنیتی برای آینده الزامیاند.
۴) اقدام شماره چهار :
فرآیند مدیریت سوانح تبادل اطلاعات (TIM ) را پیادهسازی نمایید. TIM هنر و فعالیت مرتبط با تضمین اطمینان، امنیت، محرمانگی و خصوصی بودن انجام تبادلات اطلاعاتی تجاری توسط کارکنان، مشتریان و تامینکنندگان سازمان است. این تضمین برمبنای توافقنامه سطوح خدمات و ویژگیهای هر کسب و کار است. هدف TIM ، ردیابی بلادرنگ هرگونه سانحه غیر معمولی و حل سریع آنها به تناسب نیاز کسب و کار است. « سانحه غیرمعمولی» میتواند به معنای « از کار افتادن تجهیزات، از کار افتادن فعالیت تبادلات کسب و کار و یا حتی کاهش سرعت این تبادلات باشد. فعالیتهای غیر مجاز و یا خرابکارانه هم جزء «سانحههای غیرمعمولی» طبقه بندی میشوند.
۵) اقدام شماره پنج :
آزمایش و تست مکرر بسیار حیاتی است. هنوز اغلب از این موضوع چشمپوشی شده و در انجام آن طی «برنامهریزی بازیابی سوانح و امنیت» اهمال میشود. بدون این اقدام، تمام برنامهریزی بیارزش خواهد بود.
به امنیت باید به عنوان بخشی از محیط لازم برای فعالیت توجه شود. سیستمهای تجاری باید طوری طراحی شوند که امن باشند. پیادهسازی یکبار و نه بیشتر سطوح امنیت، تضمینکننده نخواهد بود. بنابراین سطوح امنیت نیازمند کنترل شدن، آزمایش شدن، اندازهگیری شدن و اصلاح و تنظیم مجدد طی تمام طول عمر سیستم، از طراحی تا تعمیرات هستند.
● خط پایان :
با بازل ۲، سازمان مدیریت ریسک یک شرکت ارایه دهند خدمات مالی، مسؤول تضمین تمامیت تبادلات مطمئن، قابلیت بازرسی سیستمهای فنآوری اطلاعات، استحکام و مقاومت در برابر تقلب و خصوصی بودن اطلاعات مشتریان تمام فرایندهای بحرانی و حیاتی کسب و کار است.
گارتنر پنج اقدام زیر را توصیه مینماید:
▪ ایجاد یک موقعیت سازمانی جدید – مدیر ریسک فنآوری اطلاعات
▪ تخصیص (واگذاری) مالکیت و مسوولیت برای مدیریت ریسک فنآوری اطلاعات
▪ پیاده سازی عملیات امنیتی برای مدیریت بلادرنگ ریسک فنآوری اطلاعات
▪ پیاده سازی فرآیند مدیریت سوانح تبادل اطلاعات
▪ آزمایش و اندازهگیری منظم و مداوم سطوح امنیتی
این اقدامات، سازمانهای ارایه دهنده خدمات مالی را قادر میسازد تا مدیریت ریسک عملیاتی را بوسیله ارتباط و همراهی ریسکهای عملیاتی و ریسکهای فنآوری اطلاعات، پیادهسازی نمایند.
مترجم:
محمد تقی رمضان زاده؛ مدیر بازاریابی و فروش
شرکت پیشتاز پردازش پارس (سهامی خاص)
فاطمه صالحی
محمد تقی رمضان زاده؛ مدیر بازاریابی و فروش
شرکت پیشتاز پردازش پارس (سهامی خاص)
فاطمه صالحی
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
تعمیر جک پارکینگ
خرید بلیط هواپیما
مجلس شورای اسلامی جنگ حسن روحانی حماس نیکا شاکرمی دولت سیزدهم دولت رهبر انقلاب معلمان مجلس بابک زنجانی شهید مطهری
ایران هواشناسی بارش باران هلال احمر یسنا قوه قضاییه روز معلم تهران سیل معلم پلیس شهرداری تهران
سهام عدالت قیمت خودرو قیمت طلا بازار خودرو قیمت دلار حقوق بازنشستگان خودرو ایران خودرو سایپا بانک مرکزی کارگران تورم
سریال تلویزیون مهران مدیری صداوسیما عفاف و حجاب تئاتر مسعود اسکویی سینمای ایران سینما
رژیم صهیونیستی اسرائیل غزه فلسطین آمریکا جنگ غزه روسیه ترکیه اوکراین چین نوار غزه انگلیس
فوتبال استقلال پرسپولیس علی خطیر سپاهان باشگاه استقلال تراکتور لیگ برتر لیگ قهرمانان اروپا لیگ برتر ایران رئال مادرید بایرن مونیخ
هوش مصنوعی کولر گوگل اینترنت اپل تلفن همراه تبلیغات اینستاگرام ناسا
فشار خون کبد چرب دیابت چاقی