Wytyczne KNF – konieczność czy szansa?
wtorek, 08 marca 2016 09:41

Istotą wydania przez Komisję Nadzoru Finansowego wytycznych IT jest wdrożenie w organizacjach finansowych – towarzystwach ubezpieczeniowych i emerytalnych, funduszach inwestycyjnych, itp. – najlepszych rynkowych praktyk w zakresie bezpieczeństwa teleinformatycznego. Mają one również na celu wskazanie nadzorowanym jednostkom oczekiwań KNF wobec zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Jednym z najistotniejszych elementów zarządzania bezpieczeństwem informacji oraz IT w organizacji są cykliczne, sprofilowane szkolenia pracowników. Obejmują one wszystkie szczeble zarządzania – od kierownictwa po pracowników szeregowych.

Każda osoba zatrudniona w firmie codziennie styka się z potencjalnie niebezpiecznymi sytuacjami, przez co, mniej lub bardziej świadomie, bierze udział w zarządzaniu bezpieczeństwem. By skuteczniej chronić organizację, warto tę świadomość sukcesywnie zwiększać.

Dzięki szkoleniom z bezpieczeństwa informacji można dostrzec, że zarządzanie bezpieczeństwem to nie tylko konieczność wynikająca z wytycznych organu nadzorczego, ale również znaczące korzyści. Ponieważ odpowiedzialne podejście do zagrożeń bezpieczeństwa informacji skutkuje znacznym ograniczeniem potencjalnych strat (finansowych czy wizerunkowych), jak również buduje pożądany wizerunek organizacji jako rzetelnej i bezpiecznej.

Czy należy wdrażać wszystkie wytyczne?

Implementacja wytycznych IT wymaga często istotnych zmian w organizacji, warto je wprowadzić, gdy mamy przekonanie, że przyniosą wymierne korzyści. Aby owego przekonania nabrać, wdrożenie należy poprzedzić pogłębioną analizą.

Część wytycznych komisja oznaczyła jako wytyczne „do rozważenia”. Oznacza to, że decyzja o ich implementacji należy do organizacji i powinna wynikać ze wspomnianej analizy. Dobrym przykładem jest tu wytyczna nr 3, dotycząca strategii IT. W zależności od skali działalności i wielkości organizacji, strategia może zawierać się na kilku lub kilkuset stronach. Należy przy tym pamiętać, że każda decyzja o nieuzyskaniu pełnej zgodności z wytycznymi musi być poparta racjonalnym uzasadnieniem.

Co zmieniają wytyczne KNF?

Zdecydowana większość wytycznych wiąże się z koniecznością opracowania i wdrożenia odpowiednich strategii, procesów, procedur i instrukcji. Tylko części z nich nakłada na organizację obowiązek implementacji zabezpieczeń technicznych i organizacyjnych, tj. wdrożenia mechanizmów bezpieczeństwa w postaci aplikacji lub systemów czy też dostosowania infrastruktury teleinformatycznej.

Stopień zmian zależy od punktu, w jakim znajduje się firma, rozpoczynając implementację wytycznych. Tam, gdzie dotychczas nie było stosownych procedur i zabezpieczeń związanych z bezpieczeństwem informacyjnym organizacji, zmiany mogą okazać się systemowe.

Dowodami na wdrożenie wytycznych IT są:


  • raporty oraz analizy przedstawiane zarządowi oraz radzie nadzorczej w ramach Systemu informacji zarządczej,
  • strategia rozwoju obszaru bezpieczeństwa technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zwana Strategią IT, 
  • wyznaczenie osób odpowiedzialnych za bezpieczeństwo technologii informacyjnej oraz bezpieczeństwo środowiska teleinformatycznego, 
  • aktualna dokumentacja systemów teleinformatycznych, 
  • procedura zarządzania jakością danych, 
  • przeprowadzanie testów penetracyjnych systemów oraz infrastruktury teleinformatycznej,
  • raporty współpracy z zewnętrznymi dostawcami usług informatycznych, 
  • okresowa zmiana haseł, zgodnie z polityką haseł i uprawnień, 
  • szkolenia z zakresu bezpieczeństwa informacji i bezpieczeństwa środowiska teleinformatycznego,  
  • powstanie aplikacji do wsparcia użytkownika, tzw. help desk, 
  • raporty z testów ciągłości działania, 
  • wyniki analizy ryzyka bezpieczeństwa środowiska teleinformatycznego wraz z planem postępowania, 
  • raport z klasyfikacji informacji wraz z opisem mechanizmów zabezpieczających, 
  • raport z naruszenia bezpieczeństwa środowiska teleinformatycznego, 
  • raporty z audytów wewnętrznych.

Listę tę można wykorzystać sprawdzając jakość wdrożenia w swojej organizacji.

Podniesienie poziomu ochrony danych

Wdrożenie wytycznych IT to w przypadku wielu przedsiębiorstw znaczące obciążenie finansowo-organizacyjne. Jest to również doskonała okazja do uporządkowania i profesjonalizacji procesów związanych z bezpieczeństwem informacji. Konieczność implementacji wytycznych warto więc potraktować nie jako kosztowny obowiązek, lecz szansę na podniesienie poziomu ochrony przetwarzanych informacji do standardów międzynarodowych.

Maciej Kaczmarski
prezes zarządu ODO 24 sp. z o.o.


 

TUW PZUW: Jakub Papuga nowym członkiem zarządu

W skład władz Towarzystwa Ubezpieczeń Wzajemnych Polskiego Zakładu Ubezpieczeń Wzajemnych (TUW PZUW) wejdzie nowa osoba. Od 1 lutego funkcję...


czytaj dalej

Pramerica Życie: Borys Kowalski nowym członkiem zarządu

Rada nadzorcza Pramerica Życie powołała w skład zarządu Borysa Kowalskiego. Nowy członek władz towarzystwa będzie odpowiedzialny za Pion...


czytaj dalej

Turcja: Talanx przejmuje Liberty Sigorta

23 stycznia Talanx poinformował o zawarciu porozumienia w sprawie nabycia 99,4% udziałów w Liberty Sigorta A.S., tureckim oddziale amerykańskiej...


czytaj dalej

Hippo: Inwestorzy finansują ekspansję insurtecha

Kalifornijska firma z sektora insurtech Hippo pozyskała 25 mln dol. z emisji Serii B od Comcast Ventures i Fifth Wall oraz innych inwestorów.

...


czytaj dalej

rankomat.pl: Stabilizacja cen OC

Ceny OC pomiędzy 2015 a 2016 rokiem wzrosły o 45%. Pomiędzy 2016 a 2017 tempo wzrostu było już niższe (24%). W ostatnim kwartale minionego roku...


czytaj dalej

Kasia Moś i The Chance będą nadal reklamować Link4

Powstaną kolejne muzyczne reklamy z udziałem Kasi Moś i zespołu The Chance. Link4 przedłużył kontrakt reklamowy z artystkami, które obecnie można...


czytaj dalej

Sprzedaż



 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Partnerzy