Managementul riscurilor operaionale

generate de utilizarea sistemelor

informatice
Calin Rangu
Director adjunct
Direcia Supraveghere Integrat

De ce?
1. Asigurrii stabilitii financiare
2. Protectia consumatorilor
3. Buna funcionare a pieei prin evitarea incidentelor de funcionare

Cum?
Aplicarea de reguli pentru analizarea, identificarea, prevenirea i reducerea impactului
potenial negativ al materializrii vulnerabilitilor generate de utilizarea tehnologiei
informaiei i a comunicaiilor la nivel de oameni, procese, sisteme i mediu extern.
Stabilirea unui cadru de supraveghere prudenial a ASF, n mod continuu, pe baza
principiilor de supraveghere plecnd de la riscuri i a creterii capacitii de analiz, prin
intermediul unui sistem de raportare,
Stabilirea unor activiti solicitate entitilor pentru creterea gradului de maturitate i a
mbuntirii mediului de evaluare i control intern ale acestora,
Alocarea difereniat a activitilor solicitate entitilor n funcie de natura,
dimensiunea, complexitatea aferente riscului operaional i sistemic,
Prevenirea riscurilor sistemice exogene (generate de teri - interese ostile naionale sau
sectoriale, concureniale, terorism i spionaj cibernetic, furnizori, personal extern, etc)
generate de criminalitatea informatic extern i a factorilor care pot afecta capacitatea
operaional sau sistemic.

Din perspectiva ASF

Supraveghea prudenial pe baz de riscuri a ASF se va realiza prin analiza ncruciat:
a rapoartelor de evaluare intern a riscurilor i a registrului de riscuri elaborate de ctre
entiti, prin definirea riscurilor, vulnerabilitilor identificate i a msurilor luate pentru
diminuare si ncadrare in profilul de risc, cu periodicitate anual,
a raportrii electronice a indicatorilor cantitativi afereni activitilor i proceselor
interne
a raportului de audit IT:
pentru entitile ncadrate n categoria de risc major, audit extern, cu periodicitate
anual,
pentru entitile ncadrate n categoria de risc important, audit extern sau cu
resurse interne, cu periodicitate la 2 ani,
pentru entitile ncadrate n categoria de risc mediu, audit extern sau cu resurse
interne cu periodicitate de 3 ani,
pentru entitile ncadrate n categoria de risc mic, audit extern sau cu resurse
interne cu periodicitate de 4 ani,

Din perspectiva entitilor supravegheate

mbuntirea mediului de control intern, a creterii gradului de maturitate a organizrii
entitilor se va realiza prin luarea de ctre entiti a unor msuri difereniate n funcie de
categoria de risc a entitii:
Evaluarea intern a riscurilor operaionale definire proprie a riscurilor referitoare la
oameni, procese, sisteme si mediul extern, cu accent pe cel de fraud intern/extern, prin:
Implementarea de puncte de msur i control la nivel general i la nivel de flux financiar
pentru eliminarea vulnerabilitilor - controale preventive si detective, pentru principiul
segregrii responsabilitilor, implementarea de fluxuri de aprobare, nregistrarea i pstrarea
jurnalelor de activiti,
Organizarea pe procese (continuitii, managementul schimbrii, al nivelului de servicii,
disponibilitii, incidentelor, configuraiilor),
Implementarea anumitor elemente ale managementului securitii
Implementarea de indicatori cheie de risc,
Participarea n cadrul planului de cooperare aferent criminalitatii cibernetice exogene

Exemple de riscuri
Exemple de riscuri aferente oamenilor:
nerespectarea proceselor/procedurilor, erori de introducere manual, lipsa de instruire,
neescaladare, incompeten, personal insuficient, personal cheie neadecvat,
management inadecvat, comunicare deficitar, conflict de interese, lipsa cooperarii,
automulumire, fraud, etc.
Exemple de riscuri aferente proceselor:
Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la managementul
schimbrii, al incidentelor, al problemelor, al nivelurilor de servicii, al versionrilor, al
capacitii, al disponibilitii, al proiectelor), erori de metodologie sau model, erori de
evaluare, disponibilitatea rezervelor pentru pierderi, complexitatea modelelor, control
inadecvat pe procese, software neadecvate scopurilor de business, insuficiena
guvernanei corporative in acest domeniu, etc.;
Riscuri tranzactionale: erori de execuie, erori de nregistrare, managementul inadecvat
al datelor i informaiilor, erori de matching, compensare, colateral, complexitatea
produselor, riscuri de capacitate, ricuri de evaluare, riscuri de disclosure, fraude, etc.;
Riscuri de control operational: lipsa segragarilor de drepturi si atributii, depasirea
limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri contabile,
control inadecvat al activitatilor externalizate, cderi ale furnizorilor de servicii.

Exemple (2)
Exemple de riscuri aferente sistemelor/tehnologiei:
sistem inadecvat de management al tehnologiei si securitatii informatice, lipsa
medodologiilor de dezvoltare si testare, capacitate insuficienta de procesare, caderi ale
sistemelor (hardware, software, stocare, telecomunicatii), caderi de retea, caderi ale
furnizorilor externi, sisteme inadecvate, protectie inadecvata fa de malware, riscuri de
compatibilitate, riscuri generate de furnizori/vanzatori, erori de programare, coruperea
datelor, riscuri de recuperare dupa dezastre, testare necorespunzatoare a recuperarii in
caz de dezastru, sistem neadecvat de actualizare tehnologica, sisteme invechite,
serviciile de suport pentru sisteme necorespunztoare.
Exemple de riscuri externe:
pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de
oameni, caderi ale furnizorilor externi, fraude si activitati criminale externe, expuneri
externe ale securitatii sistemelor, atacuri teroriste clasice sau informatice, criminalitate
informatica, caderi ale alimentarii cu electricitate.

Organizarea managementului sistemelor informatice pe procese

Entitile trebuie sa organizeze managementul sistemelor informatice pe procese, in
funcie de profilul, tolerana si apetitul de risc, de natura, dimensiunea i
complexitatea activitilor entitatii, precum si de categoria de risc alocata de catre
autoritate .
In aceasta categorie o atentie special se va acorda procesului de implementare a
aplicaiilor informatice, a ciclului de viata a acestora, specificand: modul de colectare a
cerintelor de la business, analizarea lor, redactarea specificatiilor de business si
tehnice, alocarea resurselor, dezvoltarea propriu-zisa, testarea, promovarea si suportul
post-implementare.

Managementul securitii informatice

Sistemele informatice utilizate trebuie s ndeplineasc anumite cerine, de exemplu:
s asigure integritatea, confidenialitatea, securitatea, disponibilitatea datelor.
identificarea exact a timpului, la care au fost efectuate nregistrrile i identificarea
utilizatorilor sistemului la acel moment;
s asigure confidenialitatea i protecia informaiilor i a programelor prin parole,
coduri de identificare pentru accesul la informaii, precum i realizarea de copii de
siguran pentru programele i informaiile deinute;
s asigure documentaia complet i actualizat a programelor informatice utilizate;
mecanisme de securitate i control al sistemelor informatice, pentru asigurarea
pstrrii n siguran a datelor i informaiilor stocate, a fiierelor i bazelor de date,
inclusiv n situaia unor evenimente deosebite.
s asigure elemente de identificare i nerepudiere a datelor supuse prelucrrii i
verificrii.

Managementul Continuitii
Continuitatea activitatii in caz de avarie sau dezastru, necesita existenta unui Centru pentru
Recuperare in caz de Dezastru (CRD) al entitii.
In ceea ce priveste conditia de continuitate a activitatii sistemelor in caz de intrerupere a
functionarii centrului primar, se ia in considerare un centru de procesare alternativ, astfel
incat operarea sa poata fi reluata intr-un interval de timp foarte scurt, care sa nu perturbe
activitatea serviciilor entitatii, asa cum sunt ele definite chiar de entitate.

CRD va asigura continuitatea operarii sistemelor informatice critice sau importante, si va fi

dotat cu echipamente care sa asigure continuarea activitatii serviciilor, realizandu-se
replicarea datelor intre cele doua locatii, astfel incat in ambele locatii sa existe aceeasi
informatie.

Puncte de control si msurare

Controale preventive blocheaz ncercrile de violare a politici de securitate i includ
controale cum ar fi: implementarea controlului/restricionrii accesului, criptarea i
autentificarea.
Controale de avertizare (detective): avertizeaz asupra violrilor sau ncercrilor de
violare a politicii de securitate i includ controale cum ar fi audit trail, metode pentru
detectarea intruziunilor etc.

Administratorul trebuie s controleze eficient riscurile implicate de utilizarea sistemelor

informatice, prin implementarea de ctre el sau de furnizorul de servicii de obiective i
puncte de control, prin monitorizarea acestora si a indicatori cheie de risc.
se vor implementa att controale generale la nivelul sistemului informatic, ct i
controale specifice la nivelul fiecrui sistem de aplicaii informatice din componena
acestuia, dup caz.
Informaiile din punctele de control vor fi colectate periodic, i vor fi pstrate pentru a fi
puse la dispoziia Autoritii si raportate ctre Autoritate pe baza unor instructiuni
specifice.

Puncte de control si msurare

Controalele generale specifice sistemelor informatice, la nivelul entitilor sau al furnizorilor
de servicii externi de tip outsourcing, vor fi proiectate proiectate astfel ca informaiile
financiare generate de sistemele informatice ale organizatiei s fie de ncredere, reale,
corecte i nerepudiabile.
Controalele generale includ, dup caz:
controale referitoare la sincronizarea temporal la o unitate de timp recunoscut
naional sau internaional;
controale asupra operrii centrului de date (programri activiti, aciuni operatori,
procedurile de salvare date i recuperare dup dezastru);
controale asupra sistemelor de aplicaii (implementare i ntreinere sistemelor
software, managementului bazelor de date, software-ului de securitate i utiliti);
controale asupra securitii accesului (prevenirea accesului necorespunztor sau
neautorizat la sistemele informatice);
controale asupra dezvoltrii, administrrii i ntreinerii aplicaiilor informatice (asupra
metodologiilor de proiectare, dezvoltare, versionare, testare, implementare, cerinelor
de documentare, managementul schimbrii, evoluia activitilor de proiect).

Indicatori de risc aferenti punctelor de control

Indicatorii de risc sunt parametrii care urmaresc riscurile operationale din perspectiva
expunerii si schimbarilor in profilul de risc operational.

Indicatorii de risc:
au rolul i genereaz informaii relevante n cadrul unui sistem de avertizare timpurie
pentru profilul de risc operational.
permit managementului sa documenteze si sa analizeze tendintele, furniznd o
perspectiv de viitor si semnaliznd aciuni necesare inainte ca riscul sa determine o
pierdere concret.
Indicatorii de risc ajuta la definirea apetitului la risc prin definirea unor limite.

Asftel, Indicatorii cheie de risc (KRI) trebuie sa fie parte a procesului de monitorizare si
msur, mai mult decat un simplu semnal pentru o interventie de management.

Plan de cooperare in domeniul securitii cibernetice

Necesitatea unui CERT sectorial, financiar
CERT - o structur independent de expertiz n domeniul proteciei infrastructurilor
cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i
reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur
funcionaliti de utilitate public ori asigur servicii ale societii informaionale.

Printre atribuiile CERT-FIN, regsim:

- organizeaz i ntreine un sistem de baze de date privind ameninrile, vulnerabilitile i
incidentele de securitate cibernetic identificate sau raportate, tehnici i tehnologii folosite
pentru atacuri, precum i bune practici pentru protecia infrastructurilor cibernetice;
- asigur cadrul organizatoric i suportul tehnic necesar schimbului de informaii dintre diverse
echipe de tip CERT, utilizatori, autoriti, productori de echipamente i soluii de securitate
cibernetic, precum i furnizori de servicii n domeniu;
- asigur puncte de contact pentru colectarea sesizrilor i a informaiilor despre incidente de
securitate cibernetic att automatizat, ct i prin comunicare direct securizat, dup caz;
- constituie Sistemul de alert timpurie i informare n timp real privind incidentele cibernetice
n scopul avertizrii n timp real
- Ofer servicii publice de tip preventiv, reactiv i de consultan n domeniul securitii
cibernetice

Q&A
Mulumesc,
Clin Rangu
Calin.rangu@asfromania.ro