Ze względu na uzależnienie się wszystkich sektorów gospodarki, a w szczególności rynku finansowego, od technologii informacyjnej, kluczowe jest zapewnienie poprawnego funkcjonowania IT. Wiele porażek przy wdrożeniu nowych systemów, ale też zdarzające się wykorzystanie luk w zabezpieczeniach systemów informatycznych, świadczy o konieczności przywiązania większej uwagi do tych zagadnień.
Potwierdzeniem istotności tych kwestii dla sektora finansowego było wydanie 16 grudnia 2014 roku przez Komisję Nadzoru Finansowego regulacji („Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego”) skierowanych do podmiotów rynku finansowego, a w szczególności do firm inwestycyjnych, towarzystw funduszy inwestycyjnych, zakładów ubezpieczeń i zakładów reasekuracji, podmiotów infrastruktury rynku kapitałowego oraz powszechnych towarzystw emerytalnych.
Intencją Wytycznych jest odpowiednie zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Wytyczne wskazują jedynie cele, natomiast sposób ich osiągnięcia powinien być w założeniu dostosowany do konkretnego podmiotu.
Zasady przy wdrożeniu Wytycznych
Przy wdrożeniu Wytycznych należy stosować zasadę proporcjonalności – podejmowane działania muszą być uzależnione od specyfiki, profilu działalności i charakterystyki środowiska teleinformatycznego oraz od relacji kosztów wprowadzenia zabezpieczeń do korzyści z nich wynikających. Wymogi te wskazują, że proces zarządzania obszarami technologii informacyjnej i środowiska teleinformatycznego powinien być adekwatny do poziomu ryzyka. Co więcej, wskazanie w Wytycznych zasady „zastosuj lub wyjaśnij”, implikuje przeprowadzenie analizy adekwatności zastosowania konkretnego elementu Wytycznych, a w przypadku stwierdzenia, że jest on niedopasowany do specyfiki podmiotu należy udokumentować stosowną argumentację wyjaśniającą odstąpienie od danego elementu Wytycznych.
Doświadczenia Audytela z wdrożeń Wytycznych
W praktyce wdrożenie Wytycznych nastręcza podmiotom wielu trudności, w szczególności dla niewielkich podmiotów (kilkunasto- lub kilkudziesięcioosobowych). Jak pokazuje nasze doświadczenie, interpretacja Wytycznych nie jest jednoznaczna. Szczególne wątpliwości budzi stosowanie zasady proporcjonalności w praktyce i co za tym idzie podejścia KNF do oceny zgodności funkcjonowania podmiotu z Wytycznymi. Szczególnie istotne przy ocenie, które elementy Wytycznych wymagają implementacji i w jakim zakresie, jest przeprowadzenie kompleksowej, metodycznej analizy ryzyka w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji. Przeprowadzenie takiej analizy jest zadaniem niełatwym, w szczególności ze względu na trudności w inwentaryzacji aktywów informacyjnych, czyli wszystkich zasobów związanych z przetwarzaniem informacji i technologią informacyjną (takich jak: zbiory danych, nośniki danych, sprzęt służący przetwarzaniu informacji, procesy, usługi zewnętrzne, personel itd.). Dodatkowo proces określenia konsekwencji niedostępności danego aktywa dla działalności biznesowej powinien być także usystematyzowany.
