„Bank” változatai közötti eltérés
Jkv5 (vitalap | szerkesztései) (→Ajánlások megfogalmazása (KÖVETKEZTETÉS)) |
Jkv5 (vitalap | szerkesztései) (→Az információ többletérték lehetőségének levezetése (VITA)) |
||
| 144. sor: | 144. sor: | ||
=Az információ többletérték lehetőségének levezetése (VITA)= | =Az információ többletérték lehetőségének levezetése (VITA)= | ||
| − | A | + | A Bank1 esetében a kiemelkedő eredmény nagyobb költséget jelentett a bankinak, mint az elmaradása esetén várható büntetés mértéke. Egyes bankoknál azonban sürgős beavatkozásra van szükség. |
| + | |||
| + | Több bank, a megoldást egy huszárvágással inkább a kiszervezéssel oldja meg. | ||
=Kapcsolódó, ill. konkurens megoldások, dokumentumok= | =Kapcsolódó, ill. konkurens megoldások, dokumentumok= | ||
A COCO módszer alkalmas arra, hogy pontosabb képet adjon a vizsgált bankok közötti Informatikai biztonsági szintek különbségéről. A bank a jelenlegi állapotában teljes értékűen megfele a Magyarországon érvényes előírásoknak. Sajnos több bank azonban elbukna egy PSZÁF vizsgálaton! Ez egy elgondolkoztató mutató. Másik mutató, hogy a visszaélések száma, a felderítés is a magas reputációnknak köszönhető. Valószínűleg máshol a belső visszaélések még nem kerültek feltárásra létszám és erre alkalmas megoldások hiányában. Összességében kijelenthető, hogy nem volt felesleges a 2006-os szemlélet váltás, és az erre fordított összeg. | A COCO módszer alkalmas arra, hogy pontosabb képet adjon a vizsgált bankok közötti Informatikai biztonsági szintek különbségéről. A bank a jelenlegi állapotában teljes értékűen megfele a Magyarországon érvényes előírásoknak. Sajnos több bank azonban elbukna egy PSZÁF vizsgálaton! Ez egy elgondolkoztató mutató. Másik mutató, hogy a visszaélések száma, a felderítés is a magas reputációnknak köszönhető. Valószínűleg máshol a belső visszaélések még nem kerültek feltárásra létszám és erre alkalmas megoldások hiányában. Összességében kijelenthető, hogy nem volt felesleges a 2006-os szemlélet váltás, és az erre fordított összeg. | ||
A lap 2013. január 10., 16:13-kori változata
Tartalomjegyzék:
- Adatok - Feldolgozott adatok - Coco.online - Pivot
Tartalomjegyzék
- 1 Forrás
- 2 Általános helyzetkép 11 bank információbiztonságáról
- 3 A feladat előtörténete
- 4 A feladat megoldásának jelenlegi helyzete (best practice) és ennek értékelése/kritikája
- 5 A tervezett megoldás adatvagyonának bemutatása (ANYAG)
- 6 Objektumok (sorok)
- 7 Attribútumok (X, Y oszlopok)
- 8 A feladat által érintett célcsoportok
- 9 A feladat megválaszolása kapcsán várható hasznosság
- 10 A saját megoldás bemutatása (MÓDSZER)
- 11 Az eredmények értelmezése (EREDMÉNY)
- 12 Ajánlások megfogalmazása (KÖVETKEZTETÉS)
- 13 Az információ többletérték lehetőségének levezetése (VITA)
- 14 Kapcsolódó, ill. konkurens megoldások, dokumentumok
Forrás
http://miau.gau.hu/oktatas/2012osz/anonim.xls
Általános helyzetkép 11 bank információbiztonságáról
Az elemzésben 11 bankot vizsgáltunk meg. A vizsgálat arra vonakozott, hogy megállapítsuk, a bankokra vonatkozó előírásokat mely bankok, hogyan teljesítik.
A feladat előtörténete
Egy hazai banknál dolgozom, mint Információ Biztonsági szakértő. Egy 2006-os PSZÁF vizsgálat után első szempont az információ biztonság lett. Egy éves ŐSZÁF megfelelőségi projekt vette kezdetét, aminek eredményeképp a legtöbb biztonsági területen piacvezetővé váltunk. Amit, azóta is sikeresen szinten tart. Ezt az eredményt szerettem volna összehasonlítani más bankok adataival.
A feladat megoldásának jelenlegi helyzete (best practice) és ennek értékelése/kritikája
Az összehasonlítás eddig mindig egy-egy feladat, megoldás kapcsán merült csak fel. Teljes, átfogó képet a bankok megfelelőségéről eddig csak konferenciákon kaptunk, például, egy-egy bemutatott új megoldásra adott kérdések, válaszok alapján, vagy a partnerektől való visszajelzések alapján tudtuk megbecsülni "ott még nem vezették be", "ajánlatadási stádumban vannak" stb.
Egy 11 bankot átfogó vizsgálatra eddig a különböző területek egyenkénti összehasonlítása, majd ezek összegzése során kaphattunk, azonban nagy fokú szubjektivitás jellemezte ezeket az összegzéseket.
A GI nagyban segítette mérhetővé tenni az összehasonlítást.
A tervezett megoldás adatvagyonának bemutatása (ANYAG)
A felméréshez szükséges adatokat sikerült teljes kürűen összegyűjteni, bár némely adat nem publikus, vagy egyenesen Banktitok körébe tartozik.
Objektumok (sorok)
Operating income
Net income
Fiók
ISD team
ISD budget
Dolgozó
Ügyfél
Belső visszaélés
Kárérték
Fraud vizsg
Users with administrator privileges/Total number of accesses
Number of opened tickets for security incidents/Number of opened tickets (security and not)
Number of antivirus client agents successfully updated/Number of antivirus client agents managed by antivirus platform
Number of applications that use centralized mechanism for authentication and authorization of users/Total number of applications
Security Systems
Attribútumok (X, Y oszlopok)
Operating income, (M euro), minél nagyobb annál jobb
Net income, (M euro), minél nagyobb annál jobb
Fiók, (db), minél nagyobb annál jobb
ISD team, (fő), minél nagyobb annál jobb
ISD budget, (Ezer EURO), minél nagyobb annál jobb
Dolgozó, (fő), minél nagyobb annál jobb
Ügyfél, (Ezer fő), minél nagyobb annál jobb
Belső visszaélés, (db), minél nagyobb annál jobb a felderítés, de a cél a 0!
Kárérték,(Euro), minél kisebb annál jobb
Fraud vizsg,(db),minél nagyobb annál jobb
Users with administrator privileges/Total number of accesses, (%), minél kisebb annál jobb
Number of opened tickets for security incidents/Number of opened tickets (security and not), (%), minél kisebb annál jobb
Number of antivirus client agents successfully updated/Number of antivirus client agents managed by antivirus platform, (%), minél nagyobb annál jobb
Number of applications that use centralized mechanism for authentication and authorization of users/Total number of applications, (%), minél nagyobb annál jobb
Security Systems, (db), minél nagyobb annál jobb
A feladat által érintett célcsoportok
Bankok vezetői. Parner vállalatok. PSZÁF.
A feladat megválaszolása kapcsán várható hasznosság
A Bank Információ Biztonsági osztályán dolgozók számának és budgetének alátámasztása.
Egy esetleges funkció összeolvasztás során a szerepünk kiemelése, kompetencia centerben történő gondolkozás, és ezáltal kiadás csökkentés.
Érintett bankokra inspirálóan hathat.
PrePSZÁF audit végzése, hiányosságok feltárása az alulminősített bankoknál. Egy ilyen tanulmány elkészítése közelít a milliós tételhez, de a hiányosságok feltárásával, és a feltárt hiányosságok időben történő pótlásával több milliós büntetés előzhető meg.
Négy banknál prePSZÁF előfelmérés készítése, amely felmérés bankoknént négy munkanapot jelentene (költség 4x4x200(napi mérnöki óradíj)=2.4M Ft,-), de bevételi oldalon 4x1=4Millió Ft,- (a tanulmányért) bevétellt jelent, aminek az adózás előtti eredménye 800 ezer Ft,-
A saját megoldás bemutatása (MÓDSZER)
Kimutatáskészítés során két kimutatást készítettem, egyet az eredeti értékekkel (összeg nézetben), egyet pedig darab nézetben Ezek a PIVOT táblák.
Meghatároztam az Y értéket, ami a alul-fölülértékeltséget mutatja ki.
COCO elemzéssel az adatokból összeállítottam az elemzéshez szükséges tartalomban és formában az adatokat, illetve ellenőriztem az adatgyűjtés teljességét (helyes adatbázisban minden objektum minden tulajdonságához egy értéket rögzítettünk).
Inverz függvény készítésével ellenőriztem az adatok helyességét.
Az eredmények értelmezése (EREDMÉNY)
Egyes bankok az információbiztonság területén élen járnak.
Vannak olyan bankok, amik nem ütik meg a minimálisan előírt elvárásokat sem.
A bankok közötti igen jelentős információ biztonsági különbségek külső nyomásra jöttek létre.
Jellemzően a bankok a rájuk vonatkozó szabályozások után kullognak.
Ajánlások megfogalmazása (KÖVETKEZTETÉS)
A hasonlóság elemzés az egyik legjobb módszerek az összehasonlításra, és valós képet mutat a bankokról.
A best practice és hasonlóságelemzés jellemzően azonos végkövetkeztetésre jutott.
A Bank1 jelentősen túlteljesíti az elvárásokat.
Az információ többletérték lehetőségének levezetése (VITA)
A Bank1 esetében a kiemelkedő eredmény nagyobb költséget jelentett a bankinak, mint az elmaradása esetén várható büntetés mértéke. Egyes bankoknál azonban sürgős beavatkozásra van szükség.
Több bank, a megoldást egy huszárvágással inkább a kiszervezéssel oldja meg.
Kapcsolódó, ill. konkurens megoldások, dokumentumok
A COCO módszer alkalmas arra, hogy pontosabb képet adjon a vizsgált bankok közötti Informatikai biztonsági szintek különbségéről. A bank a jelenlegi állapotában teljes értékűen megfele a Magyarországon érvényes előírásoknak. Sajnos több bank azonban elbukna egy PSZÁF vizsgálaton! Ez egy elgondolkoztató mutató. Másik mutató, hogy a visszaélések száma, a felderítés is a magas reputációnknak köszönhető. Valószínűleg máshol a belső visszaélések még nem kerültek feltárásra létszám és erre alkalmas megoldások hiányában. Összességében kijelenthető, hogy nem volt felesleges a 2006-os szemlélet váltás, és az erre fordított összeg.
