Największe wyzwania stojące przed security menedżerami w obiektach instytucji finansowych
Marcin Kamieniorz
Kluczowym celem działalności instytucji finansowej jest świadczenie na rzecz klienta usług finansowych. Klienci powierzają tam swoje oszczędności, są to zatem instytucje zaufania publicznego. Aby zapewnić właściwy poziom bezpieczeństwa, budzący jednocześnie zaufanie klientów, instytucje finansowe stale dokonują analiz ryzyka i możliwych zakłóceń bezpieczeństwa w wielu obszarach prowadzonej działalności i procesów biznesowych.
Pytanie fundamentalne – czym jest zarządzanie ryzykiem i dlaczego jest ono tak szczególnie istotne w banku?
Termin ryzyko wywodzi się z języka włoskiego (risico), oznaczając przede wszystkim przedsięwzięcie, którego wynik jest nieznany albo niepewny. Ryzyko jest związane z wszelką działalnością człowieka, a każdy, dokonując codziennych wyborów życiowych, podświadomie i świadomie zarządza ryzykiem. Jedna z najprostszych definicji określa zarządzanie ryzykiem jako podejmowanie działań mających na celu rozpoznanie, ocenę i sterowanie ryzykiem oraz kontrolę podjętych działań. A celem zarządzania jest ograniczanie ryzyka oraz zabezpieczanie się przed jego skutkami. Bank, jako instytucja finansowa, zarządza ryzykiem na wielu płaszczyznach – kredytowym, rynkowym i operacyjnym zgodnie z zasadami określonymi w normach polskiego prawa, regulacjami Komisji Nadzoru Finansowego oraz innych uprawnionych organów.
Jako że ryzyko jest terminem bardzo obszernym, wyróżnia się wiele jego podziałów. Są one przydatne z praktycznego punktu widzenia, gdyż pomagają odpowiedzieć na kluczowe pytania – w jaki sposób, kiedy i jak ujawnia się ryzyko. Rodzaje ryzyka wynikają z różnych źródeł i można je sklasyfikować wg różnych kryteriów. W banku proces zarządzania ryzykiem można podzielić na dwa główne obszary: ryzyka finansowego oraz niefinansowego. Cechą charakterystyczną ryzyka finansowego jest jego mierzalność, np. możliwość bezpośredniego uchwycenia jego wpływu na wynik finansowy. W artykule przyjrzymy się bliżej ryzyku niefinansowemu, które dużo trudniej opisać w jednym zdaniu.
Ryzyko niefinansowe obejmuje funkcje zarządzania ryzykiem operacyjnym i ryzykiem braku zgodności (compliance). Ryzyko operacyjne jest rozumiane jako możliwość wystąpienia bezpośredniej lub pośredniej straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub ze zdarzeń zewnętrznych. Podstawowym celem w zarządzaniu ryzykiem operacyjnym jest ciągła poprawa bezpieczeństwa banku i jego klientów. Kluczem do efektywnego zarządzania obszarem ryzyka niefinansowego jest dogłębne poznanie i rozumienie tego obszaru, pozwalające zidentyfikować procesy, a następnie ryzyka, które im towarzyszą.
Skuteczne zarządzanie ryzykiem operacyjnym wymaga podziału zadań i odpowiedzialności. Najczęściej cały obszar można podzielić na minimum dwie linie obrony:
− jednostki wykonawcze (1LO),
− jednostki nadzorujące (2LO).
Dla instytucji finansowej istotnym obszarem ryzyka jest bezpieczeństwo fizyczne. Uzyskuje się je poprzez kombinację środków zabezpieczeń: pasywnych i aktywnych. Należy ono do 1LO (linii obrony), a jego zadaniem jest zapewnienie ochrony pomieszczeń, sprzętów, infrastruktury i personelu przed bezpośrednim działaniem czynników fizycznych oraz zdarzeń, takich jak:
− zagrożenia środowiskowe: pożar, powódź,
− kradzież, wandalizm, terroryzm.
Jaką rolę pełni security manager w obszarze bezpieczeństwa?
Obrazowo działania w obszarze bezpieczeństwa fizycznego pierwszej linii obrony (1LO) można porównać do linii frontu, a security menedżer jest tu dowódcą. Jego rolą jest organizacja skutecznej pracy jednostki. On odpowiada za strategię procesu zapewnienia bezpieczeństwa oraz jego realizację. W zakresie jego obowiązków jest odpowiedzialność za bezpieczeństwo oraz organizacja współpracy z biznesem wewnątrz instytucji i na zewnątrz, z szeroko rozumianymi organami ścigania.
Jakie są cechy dobrego i skutecznego security menedżera?
To osoba bardzo dojrzała emocjonalnie, pewnie radząca sobie w sytuacji kryzysowej i potrafiąca bezzwłocznie ją rozwiązywać. Ze względu na złożoność działań powinna mieć dużą łatwość komunikacji werbalnej by precyzyjnie obrazować i uzasadniać ryzyko, co wiąże się również z dużą świadomością w obszarze technologicznym.
Jednak jedną z głównych cech jest zdolność kierowania zespołem i licznymi projektami jednocześnie – często pod presją czasu. Niezastąpiona jest umiejętność autorefleksji, gdyż jedynie częsta analiza wniosków może prowadzić do ulepszania procesów bezpieczeństwa.
W jaki sposób security menedżer w instytucji finansowej powinien podejść do zbudowania strategii bezpieczeństwa i jej wdrożenia?
Istnieje wiele standardów zarządzania ryzykiem. Do najpopularniejszych należą FERMA, COSO. Szczegóły ich dotyczące można znaleźć w wielu publikacjach i materiałach źródłowych, tym niemniej trudno w tym miejscu pominąć ich etapy:
− zidentyfikowanie i opisanie wszystkich procesów bezpieczeństwa w kontekście procesów biznesowych,
− ocena ryzyka wszystkich zidentyfikowanych procesów bezpieczeństwa,
− ewaluacja ryzyka – wypracowanie decyzji, czy wartość oceny ryzyka jest akceptowalna, czy nie,
− mitygacja ryzyka – postępowanie wobec ryzyka, skutkujące jego zmniejszeniem (obniżeniem) do poziomu akceptowalnego
– zgodnego z zaakceptowanym „apetytem” na ryzyko,
− raportowanie ryzyka,
− monitorowanie ryzyka.
Aby zminimalizować skutki dynamiki procesów biznesowych oraz zagrożeń, konieczne są następujące działania:
− okresowy (generyczny) przegląd procesów biznesowych i ryzyka już zidentyfikowanego,
− bieżące reagowanie na incydenty/zdarzenia mogące być skutkiem nowego źródła ryzyka.
Na ocenę ryzyka składają się: analiza ryzyka, identyfikacja ryzyka, opis ryzyka, pomiar ryzyka.
Czym jest mapowanie procesów i jaki jest jego cel w aspekcie bezpieczeństwa bankowego?
Działania w obszarze bezpieczeństwa z czasem komplikują się i rozbudowują. Dlatego ich fundamentem jest stworzenie przejrzystej mapy, która zobrazuje podstawowe założenia, prowadzone działania i wszystkie zależności. Mapowanie procesu to metoda identyfikacji nieprawidłowego działania procesu oraz zrozumienia, co należy poprawić. Jednocześnie uzmysławia uczestnikom procesu, że powinny zostać wdrożone działania naprawcze, aby w przyszłości działał on lepiej i sprawniej.
Oczywiście nigdy nie mamy i nie będziemy mieli pewności, że cały proces został „zmapowany” w kontekście oceny ryzyka. o więcej, w dowolnym czasie, każdego dnia, pojawiają się nowe zagrożenia i tego nie zmienimy.
Wyzwania w zakresie nowych technologii
Istotnym wyzwaniem jest stałe poszukiwanie nowych, skutecznych środków hamowania, tj. mitygacji ryzyka. Specyficznym wyzwaniem w tym obszarze jest zderzenie tradycyjnego podejścia uznającego ochronę czynną (fizyczną) za jedyny skuteczny środek mitygacji ryzyka, z podejściem nowoczesnym, polegającym na technicznej ochronie obiektów. W tym obszarze widać nadal „twarde” decyzje i warunki stawiane przez policję w procesie uzgadniania planów ochrony.
Realizacja „twardego” podejścia do ochrony czynnej w obiektach nie wyklucza oczywiście stosowania nowoczesnych technologii w tym obszarze. Co więcej, można zdecydowanie podnieść skuteczność takiej ochrony, stosując odpowiednie interfejsy prezentacji/obrazowania oraz sterowania dla pracowników ochrony.
Trzeba podkreślić, że nowoczesne rozwiązania techniczne polegają przede wszystkim na maksymalnej automatyzacji procesów, w tym procesów bezpieczeństwa. A szeroko rozumiana automatyzacja pozwala na ograniczenie błędów ludzkich, przez to wymuszając poprawny proces, w tym zachowania osób chronionych i chroniących. Uzyskanie tego wymaga zdigitalizowania procesów bezpieczeństwa, cyfryzacji systemów i ich integracji.
Na drodze w kierunku nowoczesnej technologii w obszarze bezpieczeństwa istotnym wyzwaniem są skutki tej rewolucji technologicznej w obszarze ryzyka fizycznego.
Wyzwania te można pogrupować na dwie kategorie:
- Kompetencje personelu
Mając na uwadze technologie komputerowe stosowane w nowoczesnych zintegrowanych systemach bezpieczeństwa, istotnym wyzwaniem jest pozyskanie osób z nowymi kompetencjami, a w szczególności obszerną wiedzą z obszaru IT. Na początku tego procesu jest analiza realnych kompetencji wewnątrz oraz na zewnątrz organizacji (firmy).
Kolejnym istotnym wyzwaniem jest analiza i decyzja, czy nowe „kompetencje” powinno się budować w organizacji, czy też pozyskać z zewnątrz. W ten sposób dochodzi się do kolejnych wyzwań:
− jaki zakres procesu lub czynności można bezpiecznie dla organizacji „outsorcować”?
− jakie są dodatkowe ryzyka związane z outsourcingiem procesu lub czynności w procesie?
Gdy znajdziemy odpowiedzi na powyższe pytania, pojawiają się kolejne wyzwania:
− zakres i jakość usług oferowanych przez zewnętrznych dostawców,
− jak skutecznie ocenić potencjalną jakość usług?
− czy wystarczą prezentacje, wizytacje?
− jakie audyty należy przeprowadzić, aby mieć pewność, że jakość usług jest na akceptowalnym poziomie?
− jak zapewnić długofalowe relacje z partnerem outsourcingowym,
− jakie parametry kontroli jakości usługi należy uzgodnić?
Na to nakłada się kwestia zakresu usług, czyli na ile aktualne doświadczenie i kompetencje wykonawcy pokrywają się z oczekiwaniami kupującego usługę. Każda organizacja (firma) ma różne procesy, wobec tego doświadczenia stron są zawsze inne. Konieczna jest precyzyjna analiza procesów i usług wykonawcy w celu wykrycia różnic. Następnie należy precyzyjnie uzgodnić sposób ich realizacji.
- „Kompetencje sprzętu” rozumiane jako jakość sprzętu i aplikacji (systemów)
Dużym wyzwaniem jest znalezienie systemu spełniającego oczekiwane funkcjonalności oraz parametry użytkowe. Mając na uwadze oczekiwaną integrację wielu systemów, nie jest to łatwe. Obecnie, mimo dużego już rozwoju rozwiązań technologii IT w obszarze systemów zabezpieczeń, znalezienie kompletnie zintegrowanego systemu, który będziemy potrafili sprawnie zastosować z wykorzystaniem istniejących już rozwiązań technicznych w zajmowanych budynkach, jest bardzo trudne, a nawet – zaryzykuję stwierdzenie – prawie niemożliwe. Skutecznym rozwiązaniem może być integracja istniejących już technicznych systemów na wyższej warstwie, z wykorzystaniem dostępnych API komunikacyjnych systemów lub urządzeń i przenosząc istotną logikę biznesową na ten poziom architektury systemu. Alternatywą jest zakup zintegrowanego systemu z dużą kastomizacją do posiadanych lokalnych systemów i urządzeń oraz procesów.
Budowanie własnego systemu lub duża kastomizacja istniejącego, dzięki jego unikalności wnosi istotną wartość w postaci poufności tego konkretnego rozwiązania. Jest to niezmiernie istotne w kontekście bezpieczeństwa całego systemu. Ponadto ważne jest sprawdzenie i zapewnienie właściwych parametrów wydajnościowych tych systemów, w szczególności w kontekście technologii dopuszczonej w danej organizacji (firmie).
Mając na uwadze szeroko rozumiany obszar technologii IT, naturalnym kolejnym wyzwaniem jest zapewnienie bezpieczeństwa systemowi bezpieczeństwa, tj.: odporności na włamania, integralności, poufności oraz dostępności. Zakładając, że sobie poradzimy z powyższym, nie zapominajmy o wymogach związanych z elastycznością wybranego rozwiązania. Musimy pamiętać, że wyboru dokonujemy na podstawie aktualnej wiedzy, doświadczenia i bieżących procesów. Jednak dynamika biznesu wymaga sprawnego reagowania na zmiany procesów biznesowych i nowe ryzyka.
Nie można oczywiście pominąć konieczności stałego podnoszenia świadomości nowych zagrożeń, skutków niewłaściwego zachowania oraz zastosowanych środków technicznych. Zintegrowany system bezpieczeństwa gromadzi centralnie olbrzymią ilość danych, przede wszystkim nt. aktywności personelu, procesów biznesowych, zdarzeń bezpieczeństwa oraz zdarzeń technicznych. Trudno ten potencjał przecenić. Daje on ogromne możliwości przekształcenia na wiedzę i wartość biznesową.
Podsumowując
W sektorze bankowym kluczową kwestią jest bezpieczeństwo środków i danych klientów oraz partnerów, na które należy zwracać szczególną uwagę w codziennych działaniach. Na bieżąco trzeba obserwować zagrożenia i analizować ich wpływ na infrastrukturę teleinformatyczną (aplikacje, systemy, sieci), a także procesy biznesowe oraz ich potencjalny wpływ na klientów. Na tej podstawie należy projektować i wdrażać odpowiednie rozwiązania organizacyjne i techniczne, z naciskiem na systemy cyberbezpieczeństwa. Stałym wyzwaniem dla security menedżera jest utrzymanie świadomości personelu w zakresie bezpieczeństwa – konieczne są bieżące szkolenia i zmiana niewłaściwych nawyków.
Instytucje finansowe, ze względu na realizowane procesy przetwarzania środków pieniężnych, są instytucjami zaufania publicznego. Ich reputacja jest podstawą zaufania klientów. Security menedżer jest odpowiedzialny za realizację wszystkich podstawowych „liniowych” procesów w obszarze ryzyka niefinansowego. Jego działania i sukcesy lub zaniechania i porażki mają bezpośredni wpływ na reputację instytucji.
Materiały źródłowe: Zintegrowany Raport Roczny ING Banku Śląskiego 2018