Do końca 2014 roku, wszystkie banki w Polsce powinny dostosować swoje środowisko teleinformatyczne do zaleceń zawartych w nowelizacji do Rekomendacji D Komisji Nadzoru Finansowego. Oprócz dostosowania infrastruktury, banki zobowiązane są do sformalizowania zasad dotyczących bezpieczeństwa informacji i sprawnego zarządzania obszarem IT.
Postęp technologiczny jaki dokonał się od momentu wprowadzenia Rekomendacji D w 2002 roku, oraz systematyczny wzrost znaczenia obszaru technologii informacyjnej dla działalności banków sprawiły, że dotychczasowe rozwiązania w zakresie bezpieczeństwa stały się niewystarczające. Zaistniała zatem konieczność nowego uregulowania ochrony przed ryzykiem związanym z procesami IT w bankach. Dotyczy to przede wszystkim bezpieczeństwa środowiska teleinformatycznego i przepływu informacji.
Co nowego?
Kiedy w styczniu 2002r. weszła w życie pierwsza wersja Rekomendacji D, rachunek internetowy był postrzegany jako ekstrawagancki dodatek do właściwej obsługi w banku. Nikt nie myślał jeszcze o bankowości mobilnej, płatnościach zbliżeniowych czy przechowywaniu danych w chmurze. Obecnie dzięki rozwojowi technologii i zmianie stylu życia, zmieniły się również przyzwyczajenia klientów, a banki poszukują integracji swoich usług ze smartfonami i zaczynają wykorzystywać potencjał serwisów społecznościowych. Wraz z tymi zmianami pojawiły się jednak nowe, nieznane dotąd zagrożenia, które dotyczą coraz szerszego zakresu danych przetwarzanych przez banki.
Nowa wersja dokumentu zawiera 22 rekomendacje dotyczące m.in. zasad współpracy pomiędzy obszarami biznesowymi i technicznymi, zarządzania obszarem technologii informacyjnej i bezpieczeństwem środowiska IT.
Przed bankami został postawiony szereg nowych wymagań dotyczących bezpieczeństwa IT oraz zastosowania narzędzi umożliwiających obserwację procesów zachodzących w sieci – mówi Grzegorz Oleksy, dyrektor firmy Axence oferującej oprogramowanie Axence nVision do monitorowania bezpieczeństwa sieci firmowej. – Rekomendacja wymaga m.in. stworzeniaodpowiedniej architektury wewnętrznych powiązań i podkreśla konieczność współpracy departamentów banku w tworzeniu spójnego oraz bezpiecznego systemu wykorzystującego nowoczesne technologie – tłumaczy.
Największe wyzwania stojące przed bankami
Nowe wytyczne największy nacisk kładą na sformalizowanie i wdrożenie zasad dotyczących zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją. Nowelizacja dokumentu w pewien sposób „wymusza” więc na Zarządzie Banku rzetelną weryfikację, czy aktualnie stosowane rozwiązania teleinformatyczne efektywnie wspierają działalność placówki. Rekomendacja D wzywa banki do opracowania i wdrożenia procedur obejmujących obszar technologii wspólnie ze strategią działania banku. W związku z jej wprowadzeniem, zaleca się również sformalizowanie procedur związanych z tworzeniem systemów, a także dostępem do technologii i baz danych. Nowe przepisy wskazują, że banki powinny podejść do tych kwestii poprzez tworzenie spójnej struktury systemu, a nie rozwiązania tymczasowe, powstające na zasadzie „łatania” istniejącego już środowiska kolejnymi aplikacjami lub funkcjonalnościami.
Okazuje się bowiem, że banki często realizują zalecenie do rekomendacji właśnie jako szereg niepowiązanych ze sobą inicjatyw. Tymczasem, wdrożenie jej jako całościowego projektu, może przynieść znacznie większe korzyści. Dla niektórych banków spółdzielczych, wdrożenie nowych zasad jest szansą na wprowadzenie nowoczesnego zarządzania zasobami IT. Traktując proces zmian jako kompleksowy projekt, bank może nie tylko spełnić zalecenia KNF, ale też dostosować się do wymogów stawianych przed GIODO, ISO27001, a nawet audytów finansowych SarOX.
Rekomendacja D to nie tylko sprawa działu IT
Choć zapisy dokumentu dotyczą spraw związanych z obszarami teleinformatyki, jej treść skierowana jest nie tylko do działu IT, ale przede wszystkim Zarządu Banku. Rekomendacja nakłada na Radę Nadzorczą obowiązek kontroli funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa IT, natomiast na Zarząd zapewnienie poprawnego i efektywnego administrowania powyższymi obszarami. Wyzwaniem stojącym przed bankami, jest bowiem nie tylko skoordynowanie wielu równolegle wykonywanych czynności, ale także zorganizowanie sprawnego systemu raportowania dla kierownictwa, na podstawie którego możliwe będzie szybkie reagowanie i podejmowanie decyzji. Zarząd może zatem zlecić swoim pracownikom ocenę stanu rzeczy i wystosowanie sugestii odnośnie proponowanych działań naprawczych, dostosowujących infrastrukturę do wymogów. Jednak nie należy bagatelizować również kwestii przeprowadzenia niezależnego audytu przez firmę zewnętrzną. W tym przypadku działania komplementarne dadzą znacznie lepsze efekty niż powierzenie całej odpowiedzialności działowi IT.
Praktyczne korzyści wynikające z wdrożenia nowych zasad
Świadomość, jak ważna jest gwarancja bezpieczeństwa teleinformatycznego w nieustannie zmieniającym się świecie, sprawiła, że część banków, w zgodzie z zaleceniami Rekomendacji D, dokonała już wdrożenia nowych systemów zarządzania infrastrukturą IT.
Dobrym przykładem może być Bank Spółdzielczy w Raciążu – mówi Grzegorz Oleksy. – Zarząd banku, mając na uwadze potrzebę podniesienia bezpieczeństwa danych, postanowił zgłosić się do nas w sprawie dokonania analizy potrzeb w zakresie bezpieczeństwa środowiska IT. Na podstawie konsultacji, Zarząd podjął decyzję o wdrożeniu oprogramowania Axence nVision Pro. Postawiono na wdrożenie wszystkich modułów funkcjonalnych aplikacji, aby tym lepiej spełnić wytyczne KNF zawarte w Rekomendacji D. Zgodnie z oczekiwaniami, administratorzy zyskali wiedzę na temat urządzeń podłączanych w sieci, zcentralizowana została baza danych o zainstalowanym sprzęcie i oprogramowaniu, a zgłaszane problemy są szybciej i sprawniej rozwiązywane – wyjaśnia.
Wszystko to w rzeczywistości ma niebagatelny wpływ na prestiż banku i jego funkcjonowanie. Wdrożenie w bankach zaleceń KNF pozwoli również zagwarantować klientom większe poczucie bezpieczeństwa oraz zwiększyć ich zaufanie do jednostek finansowych, a także oferowanych przez banki udogodnień opartych o systemy teleinformatyczne.
Zarząd banku powinien zatem patrzeć na zalecenia Rekomendacji D nie, jak na dodatkowe koszty, obowiązki i obostrzenia, ale jak na możliwość uporządkowania i zmodernizowania struktury wewnętrznej firmy, widząc w tym przede wszystkim korzyść dla siebie. Tym samym warto wprowadzać zmiany i podejmować inwestycje w sposób strategiczny i długofalowy, a nie na zasadzie rozwiązań tymczasowych.
Źródło: nVision, PlanetPR