کد QR مطلبدریافت صفحه با کد QR

آيا همه بانک‌ها به امنيت سايبري توجه دارند (بخش دوم)

همگامي با تهديدات متغير امنيتي

20 فروردين 1395 ساعت 10:08

بانک‌هاي داراي متخصص ريسک در هيئت‌مديره‌شان يا افراد اختصاص‌يافته به اين امر معيارهاي عملکردي مالي قوي‌تري از خود نشان مي‌دهند.


بانک‌هاي داراي متخصص ريسک در هيئت‌مديره‌شان يا افراد اختصاص‌يافته به اين امر معيارهاي عملکردي مالي قوي‌تري از خود نشان مي‌دهند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هودا مي‌گويد: «تهديدهاي امنيت مجازي پيوسته تغيير مي‌کنند، مسيرها و بازيگرهاي جديد به‌سرعت ظهور مي‌کنند.» بانک‌ها بايد فرض کنند که رخنه‌اي رخ خواهد داد و سناريوهايي براي مشاهده اينکه اين طرح واقعاً چگونه کار مي‌کند ايجاد کنند. آيا کارمندان به‌طور مناسب و به شيوه‌اي زمان‌مند واکنش نشان مي‌دهند؟ او مي‌گويد: «قسمت آزمايش کردن واقعاً کليدي است و بايد اتفاق بيفتد.» 

سه‌چهارم شرکت‌کنندگان در بررسي مي‌گويند که موسسه‌شان به‌طور منظم طرح پاسخ‌گويي و مديريت حوادث مجازي‌شان را آزمايش مي‌کنند. با وجود داشتن حفاظ‌هاي امنيتي در محل، تيم مديريت شرکت بروکلين متوجه مي‌شود که احتمالاً حادثه‌اي در زمينه امنيت مجازي رخ خواهد داد.

مک کوردي مي‌گويد: «اگر اين حادثه رخ دهد، شما بايد طرحي براي واکنش نشان دادن و پاسخ دادن به آن داشته باشيد.»

هيئت مديره بروکلين طرح پاسخگويي به حادثه و چگونگي آزمايش آن را با کارمند ارشد امنيت اطلاعات بانک بازبيني کرد. در اين بازبيني رئيس فناري اطلاعات که هيئت مديره را با مثال‌هايي از رخنه در داده‌ها و تأثير احتمالي آنها و اينکه چه کاري براي مديريت اين ريسک‌ها در حال انجام است و چگونه بانک بر تهديدهاي مجازي مسلط است آماده کرده بود، آنها را همراهي مي‌کرد.

۶۸درصد آشکار ساختند که بانک‌شان ارزيابي ريسک امنيت مجازي و بررسي فاصله عملکرد با برنامه ايده آل (گپ) در راستاي توقعات شوراي فدرال بازرسي مؤسسات مالي، خود ارزيابي از آمادگي در زمينه امنيت مجازي با تمرکز بر عرصه‌هايي همچون نظارت هيئت مديره، مديران و کنترل‌هاي ريسک امنيت مجازي، طرح‌ريزي حادثه مجازي و وابستگي شخص ثالث را انجام داده است. نوزده درصد براي انجام دادن طرح در آينده‌اي نزديک برنامه‌ريزي مي‌کنند.

۴۳ درصد پاسخ‌دهندگان آشکار ساختند که ايجاد فرهنگي که از ارتباط و ارزيابي ريسک بين تمام بانک‌ها حمايت کند چالش بزرگي است – (که) رشدي قابل توجه از ۲۰۱۴ (داشته است)؛ اما پاسخ‌دهندگان درباره عناصر لحاظ‌شده در فرهنگ بانک‌هاي خودشان براي حمايت از مديريت ريسک لحاظ شده است اجماعي نشان نمي‌دهند.

هودا تاکيد مي‌کند که فرهنگ ريسک از بالا ايجاد مي‌شود و گفت‌وگوهاي منظم ميان مديران خط و رئيس بانک يا رئيس کميته ريسک، چنان‌که توسط ۴۴ درصد پاسخ‌دهندگان آشکار شده است، مي‌تواند اثرگذار باشد.

هودا مي‌گويد: «اين کار به وضعيت نظام مي‌بخشد و همچون اساس براي ايجاد کردن فرهنگ ريسک به کار مي‌آيد چون کساني که واقعاً کارها را انجام مي‌دهند و با مشتري‌ها تعامل مي‌کنند پيام درست را دريافت مي‌کنند؛ مديريت ريسک وظيفه همه است و مديريت کردن ريسک براي موفقيت سازمان حياتي است.»

شرکت بنر فرهنگ ريسک مستحکمي دارد. به‌گفته تايرون بليس، کارمند ارشد ريسک، فرهنگي که براي حفظ کردن ادامه امتزاجش با شرکت هلدينگ مسئوليت محدود SKBHC مستقر در سياتل برنامه‌ريزي مي‌کند. پس از آنکه امتزاج مطابق انتظار در يک‌ چهارم دوم سال ۲۰۱۵ کامل شود، اندازه شرکت بنر با سرمايه‌اي حدود ۹.۷ ميليارد دلار، دوبرابر خواهد شد. به‌گفته بليس فرهنگ ريسک از بالا به پايين چکه مي‌کند، از ميز مديران و مديرعامل و عوامل اجرايي ارشد. نگهداري نماي ريسکي متعادل يکي از پنج رکن راهبردي بانک است. او مي‌گويد: «ما زمان و منابع قابل توجهي را براي انضمام فرهنگ ريسک مطلوب مان در شرکت خود صرف مي‌کنيم.»

نقش آموزش و فرهنگ‌سازي
بخشي از اين فرهنگ‌سازي در شرکت بنر شامل سرمايه‌گذاري بر روي آموزش و جهت‌دهي نيروهاي استخدام شده است. سياست‌گذاري‌هاي کليدي بانک در هر استخدام تازه مرور مي‌شود. همچنين مديران به‌طور منظم مباحثاتي را درباره اهداف راهبردي، شامل نماي ريسک، رهبري مي‌کند و هر سه‌ماه يک‌بار با نيروها گفتگو مي‌کند که آنها بتوانند ببينند اهداف راهبردي چگونه محقق شده‌اند. بانک همچنين بر روي آموزش پيوسته درباره طيفي از موضوعات مرتبط با ريسک سرمايه‌گذاري مي‌کند. بسياري بانک‌ها چنين شکلي از سرمايه‌گذاري را بر روي فرهنگ ريسک بانک‌شان انجام نمي‌دهند: تنها ۵۱ درصد پاسخ‌دهندگان گزارش کردند که موسسه‌شان تمام نيروهاي استخدام شده را در مورد ريسک آموزش مي‌دهد.

ريسک‌پذيري
کمتر از يک‌سوم پاسخ‌دهندگان، عملکرد در زمينه مديريت ريسک را به پاداش مرتبط مي‌کنند، چيزي که هودا مي‌گويد ضعفي کليدي در اين صنعت است، چراکه ارتباط دادن پاداش به کارهاي دقيق در زمينه ريسک انگيزه‌اي براي مديريت ريسک فراهم مي‌کند.

طرح پاداش مشوق شرکت بنر شامل جوايز ملموس و مقادير مشخص ريسک پيرامون هرکدام است، که به تمام کارمندان واجد شرايط فرا فرستاده مي‌شود. بليس مي‌گويد: «اين هوشياري، به‌ويژه زماني که به دلار و سنت تغيير حالت مي‌دهد، وجه کليدي ديگري براي دروني‌سازي اين فرهنگ است.»

بانک از کارمندان قسمت‌هاي غيرتوليدي غفلت نمي‌کند. «فرايند مديريت عملکرد کلي ما ملاحظه مديريت ريسک که مناسب آن موقعيت است را يکي مي‌کند.»

ريسک‌پذيري همچنان به گيج کردن بسياري مديران بانکي ادامه مي‌دهد؛ ۴۲ درصد نظارت بر ريسک‌پذيري را به‌عنوان عرصه‌اي که هيئت مديره به بهره‌مندي از آموزش اضافي تمايل دارند ذکر کردند، کمي کمتر از ۴۹ درصد بررسي سال ۲۰۱۴. تقريباً ۶۰ درصد پاسخ‌دهندگان مي‌گويند که بانک‌شان بيانيه‌اي در زمينه ريسک‌پذيري دارد، روشي که به‌طور مشخص در بانک‌هايي با سرمايه‌اي بيش از ۵ ميليارد دلار برجسته است و ۲۷ درصد ديگر براي پياده‌سازي بيانيه‌اي طي ۱۲ ماه آينده برنامه مي‌ريزند. براي آنهايي که بيانيه‌اي در زمينه ريسک‌پذيري دارند، اکثريت غالب‌شان، ۸۴ درصدشان، سالانه آن را بازبيني مي‌کنند.

بيشتر بانک‌ها بیانيه ريسک‌پذيري را به‌عنوان راهنمايي براي هيئت رئيسه و مديران استفاده مي‌کنند، بر اساس پاسخ ۷۴ درصد شرکت‌کنندگان، اما کمتر از نيمي‌شان بيانيه مديريت ريسک را براي تعيين حدود واقعي استفاده مي‌کنند. هودا مي‌گويد که هيئت مديره نبايد از محدود کردن تيم مديريت بانک بترسد. اگر مديريت تمايل دارد که از گاردريل‌هاي تعيين شده درون بيانيه ريسک‌پذيري تجاوز کند، اين تمايل بايد مباحثه‌اي را با هيئت مديره، درباره اينکه چرا مديريت مي‌خواهد از از مرزهاي بيانيه ريسک‌پذيري فراتر رود و اين کار چه منافعي مي‌تواند براي بانک داشته باشد، برانگيزاند. بيانيه ريسک‌پذيري «ديدگاه هيئت مديره به‌عنوان امانت‌دار سهام‌دارها درباره اين است که ما قرار است چگونه رشد کنيم و چگونه درون مرزهاي مشخص ريسک درآمد داشته باشيم» را بازگو مي‌کند.

تنها ۴۱ درصد بيانيه ريسک‌پذيري را براي نظارت بر توافق‌ها استفاده مي‌کنند و يک‌سوم چگونگي تأثير ريسک‌پذيري بر عملکرد بانک اهداف راهبردي بانک در سال را تجزيه‌وتحليل مي‌کنند. يازده درصد اقرار مي‌کنند که ريسک‌پذيري تنها تمريني سالانه براي هيئت مديره است و کاملاً استفاده نمي‌شود.

۷۹ درصد آشکار مي‌سازند که بانک بيانيه ريسک‌پذيري‌اش را با تمام کارمندان خود در ميان نمي‌گذارد. هودا مي‌گويد:« قرار است چگونه همه به چيز مشابهي فکر کنند؟»

مک کوردي مي‌گويدکه بروکلين براي ارتباط بهتر کارمندان در زمينه ريسک، شامل سخنراني‌هايي در سطح شرکت درباره مديريت ريسک، کار مي‌کند. بانک همچنين شوراهايي براي تقويت ارتباطات در قسمت‌هايي، همچون اعتبار و عمليات که ممکن است با ريسک مرتبط باشند و واحدهاي کاري مختلف را بهتر درباره تحمل ريسک‌هاي مشخص مطلع مي‌سازند تأسيس کرده است.

بررسي مذکور تمايل پيوسته‌اي را به تخصص بيشتري در زمينه ريسک در موسسه‌هاي مالي و ارزش کلي دانش و آموزش براي هيئت مديره‌هايشان را آشکار مي‌سازد. کارمندان ارشد ريسک مورد تقاضاي بانک‌هايي با سرمايه کمتر از حدود ۵۰ ميليون دلار نيستند اما ۹۴ درصد موسسه‌هايي با حدود يک‌ميليارد دلار سرمايه يا بيشتر که در بررسي مشارکت داشتند يکي دارند. ۷۱ درصد موسسه‌هاي شرکت‌کننده با سرمايه کمتر از يک ميليارد دلار گزارش مي‌دهند که بانک‌شان يک CRO دارد.

ضرورت وجود متخصص ريسک در بانک
بانک‌هاي داراي متخصص ريسک در هيئت‌مديره‌شان يا افراد اختصاص‌يافته به اين امر معيارهاي عملکردي مالي قوي‌تري از خود نشان مي‌دهند. بانک‌هايي با کارمند ارشد ريسک معيار بازگشت سهام متوسط بالاتري، ۹.۲، را در مقايسه با متوسط ۷.۳ بانک‌هاي بدون چنين کسي و همچنين بازگشت سرمايه متوسط برابر با ۱.۰ را در مقايسه با ۰.۸ بانک‌هاي بدون کارمند ارشد ريسک به رخ مي‌کشند. براي هيئت مديره، آنهايي که از گزارش کارشناس ريسک بهره مي‌برند متوسط بازگشت سهام ۹.۲ است، در مقايسه با متوسط ۹.۰ براي آنهايي از آن بي‌بهره‌اند و متوسط بازگشت سرمايه‌شان در مقايسه با ۰.۹ براي بانک‌هاي فاقد کارشناس ريسک، ۱.۰ است. 

بانک‌هايي با سرمايه کمتر از ۱ ميليارد دلار بسيار کمتر محتمل است که حضور کارشناس ريسکي در هيئت مديره را گزارش کنند. تقريباً سه‌چهارم پاسخ‌دهندگان از بانک‌هايي با بيش از يک ميليارد دلار سرمايه گزارش مي‌دهند که هيئت مديره بانک‌شان داراي کارشناس ريسکي است که به‌طور مشخص در ارتباط با موسسه‌هاي مالي است. اين مقدار براي بانک‌هاي با سرمايه زير يک ميليارد دلار به ۳۹ درصد افت مي‌کند.

فقدان تخصص در زمينه ريسک در هيئت مديره بانک‌هاي کوچک‌تر ممکن است با انتخاب بسياري از آنها براي ايجاد نکردن کميته ريسک جداگانه‌اي در سطح هيئت مديره اشتراک داشته باشد. ۲۷ درصد پاسخ‌دهندگان از موسسه‌هايي با سرمايه کمتر از يک ميليارد دلار نشان مي‌دهند که بانک‌شان کميته ريسکي جداي از هيئت مديره دارند. ۳۰ درصد در اين بانک‌هاي کوچک‌تر درون کميته مرکب حسابرسي و ريسک، و ۲۱ درصد از طريق کميته حسابرسي هيئت مديره ريسک را مديريت مي‌کنند. بيست و يک درصد به منزله هيئت مديره بر ريسک نظارت مي‌کنند. براي روي هارمون، مديرعامل بانک تنسي با ۹۱۷ ميليون دلار سرمايه که در گينگزپورت تنسي مستقر است، جدا کردن حسابرسي و ريسک به کميته‌هاي مجزا تخصص هيئت مديره را بسط مي‌دهد، چنان‌که رئيس فعلي کميته حسابرسي نامزدي احتمالي براي رياست کميته ريسک خواهد بود. 

او مي‌گويد: «ما در هيئت مديره به تعداد کافي کارشناس نداريم که لزومي را براي جداسازي اين کميته‌ها تحميل کنيم» و اين را اضافه مي‌کند کارشناس‌هاي ريسک بانک درون کميته‌هاي وام و سرمايه-بدهي و کميته حسابرسي و ريسک قرار گرفته‌اند. به هر حال، هرچه بانک بزرگ‌تر شود، به‌گفته هارمون «انتظار اين است که ما آوردن عناصر مديريت ريسک به بانک را با عبورمان از آستانه يک ميليارد دلار آغاز خواهيم کرد.»
 
بسياري موسسه‌هاي کوچک‌تر ممکن است احساس کنند که يافتن تخصص در زمينه ريسک دشوار است، اما هودا مي‌گويد که بانک‌هايي که خلاقانه مي‌انديشند مي‌توانند شخص درست را براي اين کار پيدا کنند. هودا مي‌گويد: «به‌طور ايده‌آل، شما مي‌خواهيد به‌دنبال افرادي که فهم وسيع‌تري از مديريت ريسک دارند بگرديد.» مديران بانکي مي‌توانند به تنظيم‌کننده (رگولاتور)هاي سابق، کارمند ارشد ريسک يا عضو کميته ريسک صنايع ديگر بنگرند. بيشتر از يک سوم پاسخ‌دهندگان گزارش مي‌دهند که هيئت‌مديره‌شان آموزش منظم درباره موضوعات مرتبط با ريسک نمي‌بينند و پاسخ‌دهندگاني که دانش کلي هيئت مديره‌شان از مديريت ريسک را قوي ارزيابي مي‌کنند متوسط بازگشت سهام ۱۰ را، در مقايسه با ۸.۶ براي آنهايي که نيازي به ارتقا مي‌بينند، گزارش مي‌دهند.

چه انتظاري از کارمند ارشد ريسک داريم
کمتر از نيمي از پاسخ‌دهندگان مي‌گويند که هيئت مديره‌شان با کارمند ارشد ريسک در هر جلسه ديدار مي‌کند، اما هودا تماس با تناوب کمتر با کارمند ارشد ريسک ممکن است به هيئت مديره‌اي که در مسائل مربوط به ريسک از قافله عقب افتاده است منجر شود. او مي‌گويد: «تنظيم‌کنندگان از کارمند ارشد ريسک انتظار دارند که تعادل‌کننده‌اي حقيقي براي کار باشد. کارمند ارشد ريسک بايد در صورت لزوم پرسش‌گري باورپذير باشد و اگر راهبردها يا روش‌ها قرار باشد ريسک بي‌مورد به‌وجود آورند ابراز نگراني کند.» 

همان‌طور که بليس، کارمند ارشد ريسک شرکت بنر در جلسه‌هاي هيئت مديره شرکت مي‌کند و به‌طور منظم تغييراتي در سياست‌گذاري‌ها و برنامه‌ها را به‌علاوه آماده‌سازي گزارش‌هايي براي هيئت مديره در موضوع‌هايي همچون دادن وام عادلانه، امنيت اطلاعات و موافقت مشتري، پيشنهاد مي‌کند. او همچنين با رئيس کميته ريسک و مديرعامل درباره موضوع جلسه آن کميته همکاري مي‌کند که شامل به‌روزسازي‌هاي منظم در مورد موضوعات ظاهر شده داراي ريسکي است که توسط تنظيم‌کننده‌ها آشکار شده‌اند. 

مديريت مشتري ديگر عرصه مرتبط با ريسکي است که مشغله ذهني اصلي تنظيم‌کنندگان است. در بولتني در سال ۲۰۱۳، اداره حسابرسي پولي بيان داشت که استفاده از مشتري‌ها از مسئوليت بانک چيزي نمي‌کاهد اگر چيزي دچار انحراف شود و مديريت مؤثر ريسک شامل مناسب مشتري است. شوراي فدرال بازرسي مؤسسات مالي نيز در به‌روز رساني فوريه ۲۰۱۵ در کتابچه بازرسي خود در زمينه پيوستگي کاري بر اين امر تاکيد کرد و پيشنهاد داد که موسسه‌ها راهکارهايي براي موقعيتي داشته باشند که مشتري‌شان کوتاهي مي‌کند.

امنيت مجازي و مديريت مشتريان
بانک‌ها هنوز به شکل فزاينده‌اي به مشتري‌ها وابسته‌اند، به‌طور مشخص زماني که مسئله فناوري مطرح است. پاسخ‌دهندگان به بررسي مي‌گويند که بانک‌شان به شکلي متوسط (۵۰ درصد) يا به‌شدت (۴۴ درصد) براي حفاظت امنيت مجازي به مشتري‌ها وابسته است. کيسي، کارمند ارشد ريسک در بانک آمبوي مي‌گويد: «مديريت مشتري‌ها در حال حاضر واقعاً مشکل بزرگي است و در امنيت مجازي، اين مسئله چگونه با طرح پيوستگي کاري ما جور در مي‌آيد.» بانک‌ها نه‌تنها در مورد هک نشدن خودشان، بلکه در مورد اين که آيا مشتريان‌شان هم امنيت دارند نگران باشند. 

کيسي مي‌گويد: «آيا خيال ما راحت است که مشتري‌هايمان امنيت کافي دارند به‌طوري‌که هک نمي‌شوند، چگونه به شکل رسمي اطمينان حاصل کنيم که آنچه براي آنها رخ مي‌دهد بر طبقات پايين‌تر اثر نمي‌گذارد.» 

مطابق گفته کيسي، به‌روزرساني‌هاي تنظيمي، به‌طور مشخص از اداره حفاظت مالي مشتري، نه‌تنها بانک‌ها بلکه مشتري‌هايشان را هم رها مي‌کند که هماهنگ شوند. او مي‌گويد: «ما به سمت مشتري‌هايمان مي‌دويم و مي‌گوييم که آيا براي تمامي اين تغييرات حاضري؟ و آنها مي‌گويند نه. آنها نيز تقلا مي‌کنند.» 

بانکدارها پيوسته به توفعات تنظيمي به‌عنوان چالش اصلي (۶۱ درصد) براي مديريت ريسک اشاره مي‌کنند. تنظيم‌هايي که بر بانک‌هاي بزرگ‌تر اثر مي‌گذارند و تبعاتش از طريق ارزياب‌هايشان که اغلب به بانک مي‌گويند درحالي‌که ممکن است روش‌هاي معين موردنياز نباشد اما اين کاري است که بانک بايد انجام دهد، به موسسه‌هاي کوچک‌تر مي‌رسد. هودا مي‌گويد: «اتفاقا اين توقع است و بنابراين شما بايد براي آن برنامه‌ريزي کنيد.» اما نهادهايي که مديريت ريسکي دارند در موقعيت بهتر عمل مي‌کند؛ کارمند ارشد ريسک، کميته ريسک مجزا، بيانيه ريسک‌پذيري که مرزهايي را در کل سازمان فراهم مي‌کند و فرهنگي متمرکز بر ريسک و نظارت مناسب بر امنيت مجازي؛ يک گام از تنظيم‌کننده‌ها جلو خواهد بود و براي روبه‌رو شدن با چالش‌هاي پيش رو آماده خواهد بود.
مرجع: ماهنامه دیده‌بان فناوری- شماره ششم


کد مطلب: 10981

آدرس مطلب :
https://www.aftana.ir/article/10981/آيا-همه-بانک-ها-امنيت-سايبري-توجه-بخش-دوم

افتانا
  https://www.aftana.ir