官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
目前,商业银行交易渠道已由传统的柜面渠道逐渐向互联网、自助设备等多种渠道发展。特别是掌上银行(以下简称掌银)已经成为商业银行第一大交易渠道,为客户提供方便快捷的服务。
随着业务种类和业务量的不断增加,与掌银系统相关的生产事件也不断出现。近日,笔者电话访谈了与产品流程相关的人员,结合前期互联网系统事件审计情况,识别潜在的风险要素,分析可能引起风险的原因。
电话访谈的人员包括:掌银渠道项目经理、架构管理员、系统支持人员、应用管理人员、网络金融人员、个人金融人员、数据中心人员、IT审计人员。
经过对访谈内容的梳理,对潜在的风险因素进行了分析,具体如下:
一、缺乏明确的流程所有者,导致流程整体绩效无明确的负责人,流程相关方各自为阵。
如果没有流出所有者,流程中的各个部门只对所管辖的那一段任务负责,没有人对流程整体结果负责。同时,流程所有者要理解业务,要理解业务的本质与关键控制点,知道关键需求是什么,知道业务应当采取什么样的策略与原则,对流程设计、流程管控、流程优化很清楚关键节点所在。
二、缺乏企业级业务架构,技术和业务难以在短时间融合,风险薄弱点识别不充分。
企业级业务架构以实现企业战略为目标,构建企业整体业务能力规划并将其传导给技术实现端的结构化企业能力分析方法。
业务架构是IT人员与业务人员的桥梁,可以帮助业务人员整体化、结构化地思考问题,从整体视角理解业务和系统;同时帮助技术人员理解、归纳业务人员的想法和目标,从而让业务和技术能够处于同一个语境之下,使用同一种“语言”工作。
三、内部服务水平管理不到位,责任和义务定义不够清晰。
产品部门与维护部门内部服务水平协议主要针对正常服务情形,对特定情况下的服务水平定义不足。如,在生产事件调查中发现,内部服务水平协议中未明确产品部门的通知和提醒义务,在进行秒杀、抢购等营销活动时可能会造成短时间内的资源大量消耗,导致系统性现问题,从而造成生产事故,影响客户使用。
四、业务系统流程再造过程中缺乏对风险的评估。
业务处理流程由线下转为线上后,业务系统经过互联网直接与客户进行对接,缺少了柜员在系统和客户间的隔离,原有在线下使用的控制手段、技术和防范措施无法满足线上业务的安全与风险管理要求。
目前,业务部门对风险的评估主要是在合规方面,对关键业务要素可能带来的风险更多的依赖员工个人的理解,应用系统的安全风险防范更多依赖目前的信息安全管理体系。
五、内部控制更关注设计的有效性,对实施的有效性关注不足,部分控制措施缺乏监控和检查。
技术管理部门针对不同的管理要求开发了各类工作手册,以此规范研发部门开发管理工作。实施的效果主要通过在各类评审进行审查,该类评审的局限性在于控制措施更多的是评价其存在性而非实施有效性。
可以通过控制自评估和内部审计检查等方式来加强内部控制措施实施的有效性。建立流程优化手段和措施,通过不断的迭代逐步提高内部控制水平。