Managing the development of secure electronic banking

Abstract

NORSK: Dette MSc prosjektet er en oppgave fra en bank. Sikkerhet har alltid vært viktig for banker. Med Nettbank har det blitt ennå viktigere etter som Internet kan overstige filial og kontornettets viktighet som distribusjonskanal for finansielle produkter og tjenester. Den videre veksten for Nettebank er avhengig av tillit fra kunder, samfunnet og media, og denne tilliten kan bli redusert ved sikkerhetshendelser og negativ publisitet. Banken har jevnlig forbedret sikkerhetsprosessen for utvikling av nye IT-systemer. Dette området fikk økt fokus ved introduksjon av Nettbank og e-handel. Visjonen for sikkerhetsprosessen er en god balanse mellom: - Forretningsbehov – inkludert Konfidensialitet, Integritet og Tilgjengelighet - Sikkerhets og risikostyringskrav - Enkel å bruke - Enkel å (sikkerhets) administrere Banken har god grunn til å tro at prosessen og sikkerhetsanalysen tidlig i prosjektfasen er en fornuftig tilnærming. Men Banken vet ikke hvilket bidrag sikkerhetsprosessen og analysen har hatt på resultatet. Banken trenger derfor å utvikle en sikkerhetsmetrikk for å måle sikkerhets status på et IT system når dette blir levert fra utviklingsprosessen. Hovedformålet for metrikken er å: -Dokumentere sikkerhets status til bruk for risikostyring og kontroll -Måle effekten av sikkerhetsprosessen og indikere forbedringsområder Hovedformålet med sikkerhetsprosessen er å styre operasjonell risiko i forbindelse med IT-systemer. Analyse av områder som har avvik fra sikkerhetskrav, den tilhørende risiko og den bakenforliggende årsak til avviket vil være viktige komponenter i Bankens risikostyring. Vi har utviklet, testet og forbedret en prototyp på metrikken som et godt grunnlag for en endelig norsk utgave, slik dette er avtalt i oppgaven fra Banken. I seksjonen Videre arbeid (Further work) har vi beskrevet de nødvendige steg for å gjøre metrikken endelig ferdig. Vi har også opparbeidet en detaljert innsikt i Bankens sikkerhetsrelaterte dokumenter, som kan brukes til forbedring av dem senere.

ENGELSK: This MSc project is an assignment from a bank. Security has always been important to banks. With Electronic banking, it has become even more important, as Internet may supersede the retail outlets as a distribution channel for financial products and services. The further growth of electronic banking is dependent on the level of trust from customers, the society and media, and this trust may be reduced by security incidents and bad publicity. The bank has regularly been improving the security process in developing new IT systems. This area got increased focus with the introduction of Internet banking and e-commerce. The vision for this security process is a proper balance between: -Business needs – including Confidentiality, Integrity and Availability -Security and risk management requirements -Ease of use -Ease of (security) administration The bank has good reasons to believe that the process and Security analysis early in the project phase constitutes a right approach. But, the Bank does not know what contribution the security process and analysis have had on that result. The Bank therefore needs to develop a security metric to measure the security status of the system when it is delivered from the development process. The primary function of the metric is to: -Document the security status for risk management and compliance purposes -Measure the effect of the security process and indicate areas of improvement The main goal of the security process is to manage operational risk associated with IT systems. Analyses of the areas of non-compliance, the associated risk and the root cause will be important parts of the Bank's risk management. We have tested and improved a prototype security metric that lays a good foundation for a final Norwegian metric according to the assignment from the Bank. In section Further work we have described the necessary steps to achieve this final metric. We have also acquired a detailed insight in the Bank's related security documents, which can be used to improve them and the related security process at a later stage.