Každá firma, finanční i nefinanční instituce má vytvořenou svojí bezpečnostní politiku. Tato politika by měla být aktuální, měla by být implementována do interních podnikových procesů a měla by být řádně zažitá všemi zaměstnanci.
Jedině tak může být zabezpečena kontinuita procesů i samotné existence organizace. Správně navržená a fungující bezpečnostní politika také zvyšuje důvěryhodnost instituce a zvyšuje její image. Samotná bezpečnostní politika bývá v podobě písemného dokumentu, ústní forma se nedoporučuje z hlediska možnosti její modifikace. Tento dokument by neměl být pouze formulací zásad v oblasti bezpečnosti, ale mělo by se jednat o ucelený proces implementace bezpečnosti.
Tento proces je zahájen vstupním auditem.
Ze všeho nejdřív je potřeba, aby si banka odpověděla na několik otázek. Co chce chránit? Proč to chce chránit? Jak to chce chránit? Jak ověřit, že je něco opravdu chráněno? Co dělat v případě prolomení ochrany? Je potřeba identifikovat, jaká data nebo jaké prostředky se v informačním a elektronickém systému nacházejí. Ne všechna aktiva je potřeba chránit. Je rozdíl v intenzitě ochrany těchto aktiv resp. těchto dat. U již fungujících institucí je zapotřebí zhodnotit současný stav bezpečnostní politiky, charakterizovat bezpečnostní prostředí a nalézt a definovat slabé články. První fáze procesu implementace bezpečnostní politiky, tj.vstupní audit, je zakončena výběrem vhodné metody pro analýzu rizik.
V rámci analýzy rizik si banka musí stanovit, jaká aktiva (jaké informace) chce chránit. Banka musí zjistit, jaká aktiva se v informačním a elektronickém systému nacházejí a jakou mají hodnotu – musí je ocenit. Hodnotu svých dat ale nejlépe znají jejich vlastníci, banka tuto hodnotu pouze odhaduje. V každém případě je vždy nutné brát v úvahu nejvyšší cenu. Seznam aktiv je vhodné kompletovat v úzké spolupráci s IT oddělením. Jeho pracovníci vědí, jaká dat uživatelé zadávají pro přístup do sytému.
Dále v rámci analýzy rizik je potřeba identifikovat hrozby, která aktivům v systému hrozí. K identifikaci hrozeb lze použít tří základních přístupů. Intuitivní přístup je založen na důkladném promyšlení všech situací, které mohou v systému nastat. Seznam těchto hrozeb se poměrně dynamicky vyvíjí, je zde tedy riziko, že banka při jejich stanovování na něco zapomene. Takto sestavený seznam hrozeb by se měl proto často aktualizovat. Druhým přístupem je způsob inspirace jinými seznamy hrozeb. Pokud banka zvolí seznam, který byl vytvořen pro podobné prostředí, je vysoká pravděpodobnost jeho úspěšnosti. I zde samozřejmě hrozí riziko omylu, není ale tak vysoké jako v případě intuitivního přístupu. Důležité je, přizpůsobit tento přejatý seznam vlastní bezpečnostní politice. Třetí přístup využívá podrobných dotazníků. Pro různé části systému jsou vytvořeny vysoce komplexní dotazníky. Bezpečnostní expert pak prochází otázku po otázce a zjišťuje chování systému. Velkou výhodou tohoto přístupu je jeho vysoká kvalita. Při správně navrženém dotazníku banka jen stěží na něco zapomene. Nevýhodou jsou pak jeho velké časové nároky na zpracování dotazníků.
Posledním krokem analýzy rizik je vlastní analýza rizik. V tomto kroku se vytvořené seznamy (seznam aktiv a seznam hrozeb) dávají dohromady. Je zapotřebí postupně projít jednotlivá aktiva a rozhodnout o možných hrozbách, které se k nim vztahují. Ke každé takto vytvořené dvojici aktivum + hrozba je možné přiřadit pravděpodobnost, s jakou ke konkrétní hrozbě u daného aktiva dojde. Banka se tak může kvalifikovaně rozhodnout, proti jaké pravděpodobnosti se bude chránit a co ještě bude považovat za přípustné riziko Analýza hrozeb není statickou záležitostí. Mění se jednotlivá aktiva, mění se jejich finanční hodnota, mění se hrozby i jejich pravděpodobnost výskytu. Je tedy účelné provádět podobnou analýzu opakovaně nebo ji průběžně aktualizovat.
Poslední fází je navržení vhodné ochrany. Ochrana by měla být navržena pro každou dvojici aktivum + hrozba. Po schválení bezpečnostní politiky nastává etapa její implementace. Správně implementovaná bezpečnostní politika znamená účelné využití stávajících prostředků a nástrojů bezpečnosti a jejich rozvoj na základě nově definovaných požadavků. V této fázi vznikají nové bezpečnostní projekty a
normy a dochází k technickému doplnění zabezpečení (nové technické prostředky) a zvýšení efektivnosti jednotlivých bezpečnostních opatření.
Kromě vlastního zavedení a řízení bezpečnosti je potřeba provádět její kontrolu. Kontrola by měla být prováděna periodicky. Tímto se zajistí, že bezpečnost nebyla omylem či záměrně odstraněna, případně zda neztratila svojí účinnost. Pravidelně by měl být také prováděn bezpečnostní audit, jehož cílem je ověření účinnosti a kvality zavedených bezpečnostních opatření. Je-li zajištěn nesoulad nebo systémové chyby, dochází ke korekci opatření i zpracovaných uvážlivě. Pro tyto situace by měla mít každá banka vytvořený havarijní plán. Jeho hlavním úkolem je obnova narušeného bezpečnostního sytému a obnova poškozených dat. V první fázi je nutné odstranit akutní nebezpečí, např.odpojení systému od počítačové sítě, apod. Ve druhé fázi dochází k obnově důležitých částí systému, např. výměna bezpečnostní technologie, výměna hardwaru, instalace nových aktualizovaných verzí programů, nové nastavení systému. Ve třetí fázi se obnovují poškozená data. Banka by proto měla mít k dispozici záložní kopii.
Uživatelé by také měli být informováni, o jaká data přišli a jaká jim budou obnovena. Při obnovování sytému je třeba dávat pozor, aby znovu nevznikly podmínky pro vznik havárie. Pokud došlo k havarijnímu stavu například útokem hackera, není nejvhodnější ihned znovu připojit systém k internetu. V poslední fázi havarijního plánu se zavádí příslušná protiopatření, kdy se banka snaží předejít podobným situacím v budoucnu. Instalují se nové bezpečností technologie, případně se ty staré aktualizují, mění se konfigurace vybraných programů apod.
Po zavedení protiopatření může být systém znovu zpuštěn v původním rozsahu.
V počátcích je ale vhodná zvýšená kontrola, která odhalí a napraví nedokonalosti protiopatření. Mělo by také dojít k aktualizaci bezpečnostní politiky banky.
V rámci bezpečnostní politiky by banka neměla zapomenout na její personální zajištění. Z historie útoků na oblast elektronického bankovnictví je možné zjistit, že nemalá část útoků byla úspěšná díky chybám lidského faktoru, díky chybám nebo nedodržením povinností zaměstnanců bank. Chování zaměstnanců a sledování jejich životního cyklu je totiž velmi často opomíjenou oblastí elektronické bezpečnosti. Oblast personální bezpečnosti by měla být zvláštní kapitolou bankovní politiky. Cesta zaměstnance z hlediska bezpečnosti začíná jeho přijetím do pracovního poměru, pokračuje běžným užíváním bezpečnostního sytému a končí ukončením pracovního poměru. Zaměstnanci by měli být seznámeni se všemi směrnicemi týkajícími se jejich odpovědnosti. V rámci školení by měli být informováni o principech bezpečnostního chování. Řada zaměstnanců dost dobře nechápe, že heslo je důležitá věc, a především tajná informace, která se nikomu nesděluje, ani spolupracovníkům, ani nepoznamenává na kousek papíru přilepený na monitor. Pokud banka pro své zaměstnance pořádá počítačové kursy, je dobré, je-li alespoň malá část takovéhoto kursu věnována základním bezpečnostním principům.