بازل ۲، امنیت اطلاعات و مدیریت ریسک عملیاتی

مدیریت ریسک‌های عملیاتی با مدیریت ریسک‌های اعتبار و ریسک‌های بازار متفاوت است.در موسسات بانکی و سرمایه‌گذاری با «امنیت فن‌آوری اطلاعات» به عنوان یک موضوع ثانویه و صرفا فنی برخورد می‌شود نه به صورت یک اولویت.
به طور تخمینی ۱۲ بیلیون (میلیارد) دلار تا سال ۱۹۹۲ به علت مدیریت ریسک ضعیف و کلاهبرداری در بازارهای مالی خسارت وارد شده است.
درسال ۲۰۰۱، کمیته نظارت بر بانکداری بازل، دومین مجموعه پروپوزال‌های خود ( بازل ۲) را برای کاربرد در مدیریت ریسک در خدمات مالی منتشر نمود.
بازل ۲، ریسک عملیاتی را در محاسبات کل سرمایه مورد نیاز، دخیل می‌نماید. این موضوع، قلمرو و دامنه اولین توافقنامه را به شدت گسترده نمود و بر دپارتمان‌های فن‌آوری اطلاعات و عملیات در سازمان‌های ارایه‌د هنده خدمات مالی تاثیر گذاشت. ظهور ریسک عملیاتی، موضوعی مهم برای کسب و کارهای مالی و سازمان‌های ارایه‌دهند خدمات مالی است. این موضوع قابلیت آن را نیز دارد که متقابلا" بر درآمدها و ارزش سهامداران تاثیر بگذارد.
بازل۲ به مدیریت و پیچیدگی‌های مقتضی محصولات ساخت یافته ، فرآیندها و پردازش‌های برخط و محیط کسب و کار بلادرنگ (real-time ) پرداخته است.
چارچوب بازل۲ توسط بانک پرداخت‌های بین‌المللی (the bank for international settlements) در ماه ژانویه سال ۲۰۰۱ به منظوری پیاده‌سازی آن تا سال ۲۰۰۶ منتشر گردید. هدف این سند، کاهش ریسک در نظام مالی به وسیله بهبود سیستم‌های مدیریت ریسک، فرآیندها، سیاست‌ها، معیارها، گزارش‌دهی و ( به صورت غیرمستقیم) فن‌آوری در سازمان‌های ارایه‌دهنده خدمات مالی است. بازل ۲ ریسک عملیاتی را نیز در الزامات محاسبه کل سرمایه دخالت می‌دهد.
تغییرات برای بازل ۲: کفایت سرمایه وابسته به ریسک عملیاتی،ریسک بازار و ریسک اعتبار است.
بازبینی سال ۲۰۰۱، اندازه‌گیری ریسک (روش محاسبه مقسوم علیه نسبت سرمایه)را بهبود بخشیده است. روش‌های اندازه‌گیری «ریسک اعتبار» به نسبت آکورد ۱۹۸۸، بیشتر پرداخته و دقیقتر شده‌اند. کمیته بررسی‌کننده (BCBS )در تلاشی برای کاربرد حساسیت بیشتر درباره ریسک اعتبار، همکاری را با صنعت آغاز کرد تا یک تعهد سرمایه مناسب برای ریسک عملیاتی ( مثلا" ریسک خسارت ناشی از کارنکردن کامپیوترها، مستند سازی ضعیف یا کلاهبرداری (تقلب) ) ایجاد نماید. چارچوب جدید برای اولین بار، معیاری برای ریسک عملیاتی پیشنهاد داد. درحالی که معیارهای ریسک بازار بدون تغییر باقی ماندند.
تعریف ارایه شده برای ریسک عملیاتی، تعریفی موسع و گسترده است:
« ریسک خسارت ناشی از فرآیندها، کارکنان و سیستم‌های نامناسب، یا عمل نکرده یا ناشی از حوادث بیرون از سازمان»
برای مطابقت با بازل۲از منظر فن‌آوری اطلاعات به ریسک عملیاتی، بنگاه‌های بانکی و سرمایه‌گذاری نیازمندند که :
یک کارت امتیاز دهی با شاخص‌ها و معیارهای کمی ایجاد نمایند.
رکوردها و سوابق سه سال آخر ریسک فن‌آوری اطلاعات را پیگیری نمایند. این ریسک شامل موارد خروج سیستم از خدمات به علت زمان از کار افتادن خدمات برون‌سپاری شده یا ریسک‌های داخلی میشود.
یکی از سه رویکرد پیشنهادی بازل۲ را برای تخصیص سرمایه به ریسک عملیاتی، انتخاب کنند. این رویکردهای سه‌گانه نیازمند آنند که درصنعت از جوانب تکنیک‌های اندازه‌گیری، پایش، کمی‌سازی و تدبیر ریسک، بیشتر بسط و توسعه یابند.
● شیوه‌هایی برای تخصیص سرمایه ریسک عملیاتی بر مبنای بازل ۲
▪ رویکرد شاخصِ پایه:
سرمایه با استفاده از یک شاخص نماینده (مانند درآمد خالص) برای ارایه ریسک عملیاتی کلی، تخصیص داده می‌شود.
▪ رویکرد استاندارد شده:
سازمان به خطوط کاری خاص تقسیم می‌شود. هرکدام از این تقسیمات یک شاخص برای خود دارند( مثلا" متوسط سالانه دارایی‌ها، درآمد خالص یا نرخ خطا). این روش نیازمند ردیابی و ردگیری داده‌های ضررها و ارزیابی مدیریت است.
▪ رویکرد معیارهای داخلی:
این روش، از تحلیل‌های ریسک کمی استفاده می‌نماید. سازمان‌های ارایه ‌د هنده خدمات مالی نیاز خواهند داشت باتوجه به تاثیر سوانح تبادلات بر روی کسب و کار، آنهارا دسته‌بندی نمایند. پایگاه داده‌های « ضررها» برای محاسبه احتمال و شدت خسارت مورد انتظار در هرکدام از خطوط کسب و کار مورد استفاده قرار می‌گیرد. هزینه سرمایه بر مبنای تجربه خسارت‌های عملیاتی در یک چارچوب ارزیابی شارژ می‌شوند.
تعداد اندکی از سازمان‌های خدمات مالی قادر به انطباق با الزامات ریسک عملیاتی بازل ۲ هستند زیرا
الف) این سازمان‌ها ذهنیت، سازمان و فرآیندهای مورد نیاز برای تعیین ریسک‌های فن‌آوری اطلاعات را به عنوان جزیی از مدیریت ریسک، ندارند. از طرفی مدیران ریسک، ریسک اعتبار و ریسک بازار را درک می‌نمایند، از طرف دیگر مسوولان امنیت اطلاعات(CISO )، امنیت فن‌آوری اطلاعات را درک می‌کنند. امنیت اطلاعاتی که مثلا" محدود به حفاظت از داده‌های سازمان در برابر دسترسی‌های غیرمجاز بیرونی است. در نتیجه فاصله عمیقی بین مدیران ریسک و فعالیت‌های مسوولان امنیت اطلاعات است. گویی این افراد برای یک سازمان واحد کار نمی‌کنند و فرهنگ و ادبیات فنی آنها با هم متفاوت است.
ب) داشتن سازمان real- time به معنی فرآیندهای real-time و ریسک‌های فن‌آوری اطلاعات real-time است. سطوح خدمات امنیتی می‌بایست به صورت real-time اندازه‌گیری و کنترل‌شوند. این نیازمند رشد مناسب در فرآیند امنیت است. سازمان‌های امنیت فن‌آ وری اطلاعات به چند راه، از هم جدا و تکه تکه می‌شوند. ارزیابی ریسک و آسیب‌پذیری‌ها در سایتهای مختلف، فن‌آوری‌ها و واحدهای کسب و کار مختلف، انجام می‌شود، اما فقط یکبار، آن‌هم در زمان آغاز پروژه‌ه ای جدید. هنگامی که همین پروژه‌ها نیز پیاده‌سازی می‌شوند، تهدید‌ها و آسیب‌پذیری‌های جدید اصلا" به حساب نمی‌آیند. فرآیند استانداردی برای ردیابی و واکنش به حملات وجود ندارد. اغلب حملات درون سازمانی، به صورت تصادفی کشف می‌شوند. کشف حملات بیرون از سازمان نیز منابع بیشتری از متخصصین IT می‌طلبد و این کار برای سازمان‌های ارایه دهنده خدمات مالی هفته‌ها به طول می‌انجامد. سازمان‌ های امنیت فن‌آوری اطلاعات سطوح خدمات امنیت را تعریف و به روزرسانی نمی‌کنند – این بخش، تعریف نمی‌کند که سازمان با چه شرایطی ریسک حملات IT را که بر سایر فرآیندها تاثیر می‌گذارد، خواهد پذیرفت.
ج) از سال ۱۹۹۹، سازمان‌های بانکی و سرمایه‌گذاری، سیستم‌های جدید بسیاری را بکار گرفته و هماهنگ نموده‌اند تا کیفیت عملکردی کسب و کار خود را بهبود دهند. امنیت در این زمینه موضوع ثانوی مورد توجه، بوده است. در نتیجه، معماری‌های فنی، پیچیده و محصول ادغام چندین سیستم مختلف خواهند بود. از mainframe ها تا سرورهای برنامه‌های کاربردی تحت وب. این امر موجب ایجاد برنامه‌های کاربردی که درگیر با خودند، غیرقابل مدیریت‌اند و به راحتی امن نمی‌شوند، خواهد شد.در این فضا، هربرنامه کاربردی مدل امنیت مخصوص به خود داشته و مسوول‌های امنیت اطلاعات هنوز متمرکز بر این فضای امنیتی هستند تا امنیت پیوسته‌ی تبادلات و فرآیندها.
د) تجزیه و تحلیل کمّی ریسک برای امنیت فن‌آوری اطلاعات ناکاراست، زیرا محیط امنیت فن‌آ وری اطلاعات، پایدار نیست. آسیب‌پذیر‌ی‌های جدید فن‌آوری اطلاعات در تکنولوژی‌های قدیمی و جدید مدام کشف شده و مورد بهره‌برداری قرار می‌گیرند. داده‌های قابل اطمینانی از حادثه‌ها، تقلب‌ها یا سوانح امنیت شبکه وجود ندارد. دسته‌بندی رخدادها، مشکل زاست و سازمان‌های اندکی، اقرار به رخنه‌های امنیتی جدی می‌نمایند. در غیاب داده‌های قابل اطمینان، مدل‌های آماری کاربرد اندکی دارند. تجزیه و تحلیل‌های کمّی توجیه ملموسی برای هزینه‌کردن در امور امنیتی ارایه نمی‌کنند.
ه) فن‌آوری‌های جریان‌ساز و اصلی تهیه شده توسط تامین‌کنندگان پیشرو کالاها و راه‌حل‌ های امنیتی، کمک ویژه‌ای نخواهند کرد. فایروال‌ها، شبکه‌های شخصی مجازی، زیرساخت کلید عمومی، تعیین هویت قوی و نرم‌افزارهای آنتی ویروس محدود، به امنیت زیرساخت می‌شوند تا امنیت تبادل اطلاعات. امنیت تبادل اطلاعات بهتر، نیازمند فن‌آوری‌های کاملا" بومی‌سازی شده ( سفارشی) هستند. در بسیاری موارد کل سیستم‌ها نیازمند توسعه دوباره هستند.
موسسه گارتنر پنج اقدام پیشنهاد می‌نماید تا
▪ توجیه‌گر هزینه‌های امنیتی باشد
▪ امکان انطباق با چارچوب ریسک عملیاتی بازل فراهم شود.
۱) اقدام شماره یک: درون سازمان مدیریت ریسک، یک جایگاه مدیر ریسک فن‌آوری اطلاعات تعریف شود و بین او و مسوول امنیت اطلاعات (CISO ) رابطه‌ای ایجاد شود.
مدیر ریسک فن‌آوری اطلاعات برای هرکدام از فرآیندهای بحرانی کسب و کار، باید
الزامات تنظیمی (regulatory) و مولفه‌های داخلی وخارجی را که متوجه امنیت اطلاعات هستند تعریف کند.
باتضمین وفاداری همکاران تجاری، ارایه‌دهندگان خدمات و مؤسساتی که خدمات سازمان به آن‌ه ا برون سپاری شده،به سطوح امنیت سازمان، زنجیره اطمینان ایجاد نماید.
ارزیابی پویای ریسک را هدایت نموده و برای تمام اطلاعات در دسترس برنامه‌های کاربردی فعال در فرآیندهای بحرانی، طبقه بندی اطلاعات را به اجرا در‌آورد.
ایجاد « موافقت‌نامه‌های عدم افشای اسناد اطلاعاتی» مربوط به بازرسی‌ها، ممیزی‌ها، فرآیندهای کسب و کار و شراکت‌ها.
انجام پایش انطباق با استاندارد‌ها و فعالیت‌های دو جانبه (همراه با ممیز خارجی) برای ممیزی
۲) اقدام شماره دو :
واگذاری مالکیت و مسوولیت برای مدیریت ریسک فن‌آوری اطلاعات. در صورتی‌که فعالیت‌های مرتبط با مدیریت ریسک، درخصوص مسایل و برای شرکت و سازمان به نحوی گسترده‌شودکه شرکای تجاری خارجی و یا داخلی(سیربخش‌ها یا سایت‌ها)را نیز در برگیرد،این فعالیت‌ها بسیار زیاد خواهد شد. با تخصیص مالکیت مدیریت ریسک به مدیران، ذی‌نفعان را تحت تاثیر ریسک مربوطه قرار ‌دهید.
اگر سازمان دارای شعب و پایگاه‌های متعددی است. برای هرکدام یک جایگاه مسؤول امنیت اطلاعات محلی ایجاد شود که به مدیر ریسک فن‌آوری اطلاعات گزارش دهد. این به معنای آن نیست که مسئولان امنیت اطلاعات، مسئول پیاده‌سازی اقدامات اصلاحی هستند (زیرا ممکن است تغییرات خارج از حیطه کاری آنها باشد). بر اساس توزیع محلی، مسوولان امنیت اطلاعات محلی به نقاطی که قابلیت تاثیر از مخاطرات را دارند، نزدیک‌ترند و معمولا" در بهترین موقعیت برای درک شرایط و نحوه تاثیر ریسک بر فرآیندها هستند و در این موقعیت می‌توانند تشخیص دهند که اقدامات انجام شده همانطور که قرار بود، ریسک‌ها را کاهش داده‌اند یا خیر.
۳) اقدام شماره سه :
برای مدیریت بلادرنگ ریسک‌های فن‌آوری اطلاعات، عملیات امنیت پیاده‌سازی کنید. در صورتی که سازمان در حال آغاز کمّی‌سازی ریسک‌ فن‌آوری اطلاعات است، پویش و پایش (scanning & surveillance) روزانه، الگو برداری منظم از سطوح امنیت در فضای عمومی کسب و کار، استفاده از مؤسسات مورد اطمینان امنیتی و ارزیابی سناریوهای امنیتی برای آینده الزامی‌اند.
۴) اقدام شماره چهار :
فرآیند مدیریت سوانح تبادل اطلاعات (TIM ) را پیاده‌سازی نمایید. TIM هنر و فعالیت مرتبط با تضمین اطمینان، امنیت، محرمانگی و خصوصی بودن انجام تبادلات اطلاعاتی تجاری توسط کارکنان، مشتریان و تامین‌کنندگان سازمان است. این تضمین برمبنای توافق‌نامه سطوح خدمات و ویژگی‌های هر کسب و کار است. هدف TIM ، ردیابی بلادرنگ هرگونه سانحه غیر معمولی و حل سریع آنها به تناسب نیاز کسب و کار است. « سانحه غیرمعمولی» می‌تواند به معنای « از کار افتادن تجهیزات، از کار افتادن فعالیت تبادلات کسب و کار و یا حتی کاهش سرعت این تبادلات باشد. فعالیت‌‌های غیر مجاز و یا خرابکارانه هم جزء «سانحه‌های غیرمعمولی» طبقه بندی می‌شوند.
۵) اقدام شماره پنج :
آزمایش و تست مکرر بسیار حیاتی است. هنوز اغلب از این موضوع چشم‌پوشی شده و در انجام آن طی «برنامه‌ریزی بازیابی سوانح و امنیت» اهمال می‌شود. بدون این اقدام، تمام برنامه‌ریزی بی‌ارزش خواهد بود.
به امنیت باید به عنوان بخشی از محیط لازم برای فعالیت توجه شود. سیستم‌های تجاری باید طوری طراحی شوند که امن باشند. پیاده‌سازی یکبار و نه بیشتر سطوح امنیت، تضمین‌کننده نخواهد بود. بنابراین سطوح امنیت نیازمند کنترل شدن، آزمایش شدن، اندازه‌گیری شدن و اصلاح و تنظیم مجدد طی تمام طول عمر سیستم، از طراحی تا تعمیرات هستند.
● خط پایان :
با بازل ۲، سازمان مدیریت ریسک یک شرکت ارایه دهند خدمات مالی، مسؤول تضمین تمامیت تبادلات مطمئن، قابلیت بازرسی سیستم‌های فن‌آوری اطلاعات، استحکام و مقاومت در برابر تقلب و خصوصی بودن اطلاعات مشتریان تمام فرایندهای بحرانی و حیاتی کسب و کار است.
گارتنر پنج اقدام زیر را توصیه می‌نماید:
▪ ایجاد یک موقعیت سازمانی جدید – مدیر ریسک فن‌آوری اطلاعات
▪ تخصیص (واگذاری) مالکیت و مسوولیت برای مدیریت ریسک فن‌آوری اطلاعات
▪ پیاده سازی عملیات امنیتی برای مدیریت بلادرنگ ریسک فن‌آوری اطلاعات
▪ پیاده سازی فرآیند مدیریت سوانح تبادل اطلاعات
▪ آزمایش و اندازه‌گیری منظم و مداوم سطوح امنیتی
این اقدامات، سازمان‌های ارایه دهنده خدمات مالی را قادر می‌سازد تا مدیریت ریسک عملیاتی را بوسیله ارتباط و همراهی ریسک‌های عملیاتی و ریسک‌های فن‌آوری اطلاعات، پیاده‌سازی نمایند.