W której to podkreśliła istotę właściwego bezpieczeństwa informatycznego. Narzędziem, które pomaga w realizacji polityki bezpieczeństwa w bankach jest specjalistyczny audyt zewnętrzny.
Wytyczne Rekomendacji D
Dzisiejsza bankowość opiera się na systemach informatycznych. Codziennie, dane i informacje poddawane są przetwarzaniu drogą elektroniczną, przez co zostają narażone na różnego rodzaju ryzyko. Dlatego tak istotny jest zapis Rekomendacji D, która wyraźnie reguluje kwestię zabezpieczeń systemów informatycznych w bankach i wskazuje, jak odpowiednio wdrażać politykę bezpieczeństwa IT.
Odpowiedzialność zarządu
Proces zarządzania bankiem powinien odnosić się również do zadbania o bezpieczeństwo całej instytucji oraz systemów elektronicznych, na których wykonywane są bankowe operacje. Toteż kierownictwo każdej jednostki bankowej ma za zadanie wdrożyć w swojej placówce, politykę bezpieczeństwa zgodną z wytycznymi Rekomendacji D.
Wyraźnie zaleca się, by kwestię bezpieczeństwa powierzyć zewnętrznym specjalistom w dziedzinie zabezpieczeń IT. Administrowanie systemem bankowym a administrowanie jego bezpieczeństwem powinno być od siebie przejrzyście oddzielone, by system mógł działać bez zarzutu.
Rola audytora
Raport o bezpieczeństwie systemów, przeprowadzony w banku przez wewnętrzną kontrolę, nie zawsze może okazać się wystarczający dla prawidłowej oceny ryzyka zagrożeń. Nieoceniona jest tu pomoc zewnętrznych audytorów, których działania znacznie wzmacniają bezpieczeństwo funkcjonowania systemów informatycznych. Specjalistyczny audyt sporządza niezależną ekspertyzę opartą na międzynarodowych standardach ISO i wedle ustalonego z Bankiem zakresu.
Audytorzy zajmują się także zebraniem i stworzeniem pełnej dokumentacji systemów informatycznych. Dzięki temu każdy program użytkowany przez bank jest prawidłowo opisany ze wskazaniem jego przeznaczenia. Kontroli poddawane jest również oprogramowanie użytkowane przez bank, co pozwala na stwierdzenie jego prawidłowego wykorzystania. To z kolei ogranicza ryzyko utraty danych i niepożądanych zmian w systemie.
Testy bezpieczeństwa
Do kompetencji audytorów nie należy tylko zapewnienie niezbędnych narzędzi do ochrony systemu i uporządkowanie umów licencyjnych i dokumentacji o funkcjonowaniu systemu. Niezwykle ważne są tu niezależne testy bezpieczeństwa. Tego typu kontrole przeprowadzane są systematycznie, a ich częstotliwość i intensywność dostosowywana jest do poziomu ryzyka. Pozwala to na dogłębne monitorowanie, czy polityka bezpieczeństwa jest odpowiednio przestrzegana. Wykrycie wszelkich naruszeń i odstępstw od ustalonych zasad bezpieczeństwa, raportowane jest kierownictwu banku.