Image Image Image Image Image Image Image Image Image Image

it-manager | 23/08/2017

Scroll to top

Top

1 wypowiedź

Komentarz: Uniwersalna Rekomendacja D

Komentarz: Uniwersalna Rekomendacja D

Cezary Piekarski, Starszy Menadżer, Cyber Risk Services, Deloitte

 

Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego przygotowane przez KNF, które sektor finansowy ma obowiązek wdrożyć do 2016 roku mogą być także zbiorem dobrych praktyk w dziedzinie bezpieczeństwa i zarządzania IT dla organizacji z innych branż.

W 2013 roku Komisja Nadzoru Finansowego przygotowała rekomendację D – zbiór zasad i regulacji przeznaczony dla banków. Dotyczyła ona zarządzania technologią informatyczną oraz bezpieczeństwem środowiska teleinformatycznego i w tych obszarach wprowadzała największe zmiany. Ze zbioru 22 zasad 14 porządkowało wiedzę i praktyki już w bankach wykorzystywane, jednak pozostałe 8 wymagało wprowadzenia fundamentalnych zmian. Najtrudniejsze obszary z jakimi przyszło się bankom zmierzyć związane były przede wszystkim z jakością danych oraz operacyjnym reagowaniem na incydenty bezpieczeństwa.

Ponieważ według regulatora wprowadzenie w życie wymaganych wytycznych przyniosło pozytywną zmianę w działalności banków w 2014 roku, podjęto decyzję o rozszerzeniu zakresu ich stosowania na cały sektor finansowy w Polsce. Oznacza to, że w 2015 i 2016 roku wszystkie istotne podmioty rynku finansowego, a w szczególności firmy ubezpieczeniowe, fundusze inwestycyjne, powszechne towarzystwa emerytalne będą przechodziły zmianę w obszarze technologicznym i procesowym w zakresie wykorzystania środowiska informatycznego. Wydaje się jednak, że tam, gdzie banki były względnie gotowe do spełnienia wymagań w momencie pojawienia się regulacji, inne podmioty sektora finansowego mogą mieć trochę niższy poziom dojrzałości, a przez to większe problemy z wprowadzeniem rekomendacji w życie. Obszar jakości danych, podobnie jak w przypadku banków, może w większości organizacji wdrążających sprawiać problemy ponieważ, poza niektórymi podmiotami, takimi jak np. firmy ubezpieczeniowe, które musiały spełnić wcześniej wymagania dyrektywy Solvency II, nie był on uporządkowany. Sporej pracy, wymagającej wieloaspektowego współdziałania z innymi podmiotami działającymi w sektorze będzie również wymagało zbudowanie polityk reagowania na incydenty. Trzecią istotną dziedziną będzie uporządkowanie spraw związanych z oprogramowaniem tzw. użytkownika końcowego- end-user computing. Sektor finansowy ma czas na wdrożenie wszystkich wytycznych do końca 2016 roku, a postępy w pracach będą szczegółowo kontrolowane przez KNF.

Analiza doświadczeń z wdrożeń rekomendacji D w bankach wskazuje, że najlepiej, ale także najmniejszym kosztem, realizowały je instytucje, które rozpoczęły prace nad projektem możliwie wcześnie. Pod uwagę bowiem trzeba wziąć także możliwość pojawienia się niespodziewanych komplikacji, jak np. ujawnienie się luki technologicznej, której czas uzupełnienia może znacznie wydłużyć i skomplikować całość procesu. Należy także odliczyć ostatni kwartał 2016 roku, który przeznaczony jest na pracę niezależnego audytu oraz audytu wewnętrznego w organizacji analizującego poprawność przeprowadzonego wdrożenia. W przypadku rekomendacji D w bankach termin dla całego sektora został przesunięty na okres audytu wewnętrznego z końca 2014 roku na I kw. 2015. Obserwowana obecnie dynamika rynku i zainteresowanie firm z sektora finansowego wdrożeniem wymagań wytycznych KNF wskazują, że podmioty podchodzą do problemu z dużą aktywnością, więc jest szansa, że tym razem nie będzie zmian w założonych terminach.

Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego mogą stanowić uniwersalny zbiór dobrych praktyk, które można polecić wszystkim przedsiębiorstwom z innych niż finansowy sektorów rynku. Naprawdę trudno jest odnaleźć w języku polskim dostępne nieodpłatnie materiały mówiące o tym jak w kompleksowy, usystematyzowany sposób zarządzać technologią informatyczną i obszarem bezpieczeństwa. A wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego stanowią źródło takich informacji. Wdrożenie jej zasad jest zatem dla wielu podmiotów szansą na wprowadzenie nowoczesnego zarządzania architekturą IT.

 

 

Comments

  1. Andrzej Krześniak

    Rekomendacja D wprowadziła wytyczne, które były podstawą do ustalenia i oceny pierwotnego stanu ryzyka obszaru technologii informacyjnej i bezpieczeństwa. Proces ten był trudnym procesem i determinował kolejne przyszłe działania prowadzące do akceptowalnego poziomu jakości rozwiązań technologicznych i organizacyjnych w instytucji. Ustalenie niezbędnych działań i koniecznych zasobów było trudnym kompromisem z kierownictwem w zakresie zakresu zmian i niezbędnych nakładów inwestycyjnych. Osiągnięty kompromis to poziom akceptowalnego ryzyka odpowiedniego dla zapewnienia ciągłości biznesu i bezpieczeństwa.
    Realizacja ustaleń to w rzeczywistości kilkanaście wzajemnie powiązanych projektów prowadzących do zmiany kultury w organizacji i jakości pracy. Zapewnienie koordynacji tych działań to bardzo trudne zadanie i wymaga od liderów zmiany dużego zaangażowania i wiedzy o wszystkich aspektach zarządzania IT i bezpieczeństwem w organizacji.
    Słusznie autor wskazuje na konieczność rozpoczęcia tych działań jak najwcześniej aby nie działać w pośpiechu, który nigdy nie jest dobrym doradcą.

Wypowiedz się

Wszelkie prawa zastrzeżone