W grudniu ubiegłego roku Komisja Nadzoru Finansowego (KNF) opublikowała wytyczne dotyczące bezpieczeństwa oraz zarządzania obszarem IT. Są one adresowane do towarzystw funduszy inwestycyjnych i emerytalnych oraz zakładów ubezpieczeń i reasekuracji.
Rekomendacje nadzoru koncentrują się na wymaganiach dotyczących zarządzania obszarami IT i zapewnienia bezpieczeństwa środowiska informatycznego przez instytucje finansowe. Wskazują oczekiwane poziomy stosowanych rozwiązań, zwracają uwagę na kwestie bezpieczeństwa, w tym na proces zarządzania dostępami, bezpieczeństwo wytwarzania oprogramowania - również w sytuacjach gdy te procesy odbywają się z udziałem podwykonawców. Dużo kontrowersji przysparza szczególnie kwestia zarządzania danymi (wytyczna nr 8), która wydaje się być przełożona bezpośrednio z rekomendacji D dla banków. Wiele TFI interpretuje niektóre zapisy jako wymóg stworzenia dedykowanego zespołu jakości danych podobnego do tych, które stworzyły banki. To oczywiście wiązałoby się z koniecznością zwiększenia zasobów osobowych, by stworzyć dedykowane zespoły, co z kolei miałoby wpływ na zwiększenie kosztów. Należy jednak pamiętać, że już w samym dokumencie wytycznych KNF wskazał, iż ich zastosowanie przez poszczególnych uczestników rynku powinno odbywać się z zachowaniem zasady proporcjonalności do indywidualnych uwarunkowań, specyfiki i profilu ryzyka oraz odpowiedniego stosunku kosztów do korzyści wynikających z zastosowania przyjętych rozwiązań. Te postulaty wybrzmiały również na konferencji w dniu 22 czerwca br. Apel o zdroworozsądkowe podejście do tematu oraz wyrażenie intencji regulatora rynku odnośnie zwiększania bezpieczeństwa bez ponoszenia nadmiarowych kosztów zdaje się to potwierdzać.
Warto zaznaczyć, że wytyczne nadzoru w wielu aspektach odwołują się do normy PN-ISO/IEC 27000, która jest wzorowana na brytyjskim standardzie BS 7799-2. Stwarza to warunki do potraktowania zaleceń KNF jako okazji do wprowadzenia w organizacji ISO 27001. Na przykładzie PKO BP Finat, który w roku 2008 zdecydował się na certyfikację ISO mogę stwierdzić, że wprowadzenie tego rozwiązania przynosi wiele korzyści zarówno spółce jak i jej klientom. Znacząco poprawiło się bezpieczeństwo informatyczne, między innymi dzięki zwiększeniu świadomości pracowników spółki oraz rozbudowie procesów biznesowych i IT o aspekty bezpieczeństwa. Przeprowadzany corocznie audyt ISO daje możliwość zweryfikowania poprawności procesów dotyczących bezpieczeństwa oraz stwarza warunki do systematycznego doskonalenia organizacji w tym zakresie.Należy zaznaczyć, że zmiany te wprowadzano przy minimalnych nakładach inwestycyjnych. Udało się to osiągnąć poprzez wykorzystywanie oprogramowania open source, tworzenie własnych rozwiązań, a także dzięki łączeniu metodyk takich jak Prince2 oraz Scrum w realizacji projektów.
Z naszych obserwacji wynika, że wdrożenie zaleceń KNF powinno zapewnić istotny wzrost bezpieczeństwa danych Klientów nie powodując jednocześnie znacznego wzrostu kosztów operacyjnych - a w niektórych obszarach, dzięki ustrukturyzowaniu poszczególnych działań i decyzji, pozwalając je nawet optymalizować.
Zbigniew Styś - Dyrektor Departamentu Informatyki PKO BP FINAT sp. z o.o.