Dla branży ubezpieczeń i asekuracji

Dla branży  ubezpieczeniowej i reasekuracji

Rosnąca rola danych w gospodarce cyfrowej oraz rosnące zagrożenie ze strony cyberprzestępczości spowodowały zaostrzenie przez legislatorów wymogów dotyczących bezpieczeństwa.

Jak sprostać wymaganiom KNF?

W grudniu 2014 Komisja Nadzoru Finansowego opublikowała dokument „Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji”. Dokument ten zawiera 22 wytyczne, które obligatoryjnie muszą być wdrożone do 31 grudnia 2016. Doświadczenie z wdrażania podobnych norm w sektorze bankowości (Rekomendacje D oraz M) uczy, że Komisja Nadzoru Finansowego nie będzie po zapadnięciu tego terminu stosowała taryfy ulgowej, tylko przystąpi do skrupulatnej weryfikacji wdrażania wytycznych.

Wytyczne opracowane przez KNF dotyczą czterech obszarów działania ubezpieczycieli:

  • strategii i organizacji obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego;
  • rozwoju środowiska teleinformatycznego;
  • utrzymania i eksploatacji środowiska teleinformatycznego;
  • zarządzania bezpieczeństwem środowiska teleinformatycznego.

Dodatkowo KNF przyjął zasadę, że wytyczne mają być stosowane wedle paradygmatu „zastosuj lub wyjaśnij”. Oznacza to, że dane towarzystwo może odstąpić od stosowania niektórych wytycznych, ale organ nadzorczy oczekiwał wówczas będzie od takiego podmiotu szczegółowych wyjaśnień powodów, które uzasadniają nieuwzględnienie wytycznych w jego działalności. KNF będzie na bieżąco znał stan wdrożenia wytycznych w poszczególnych towarzystwach dzięki informacjom przekazywanym w ramach BION, co oznacza, że realizowane przezeń kontrole będą dobrze przygotowane i bardzo skuteczne.

Proponowane rozwiązanie

Należy realnie ocenić, że wypełnienie wymogów KNF bez wsparcia dedykowanych systemów informatycznych będzie zadaniem trudnym, długotrwałym, wymagającym alokacji znacznych sił i zasobów oraz potencjalnie obarczonym znacznym ryzykiem popełnienia błędów w szacowaniu oraz analizie. Dla tego też OpenBIZ Sp. z o.o. opracowało w oparciu o system Security Center Continous View rozwiązanie wspierające towarzystwa w zakresie pomiaru, analizy oraz raportowania dla poszczególnych wytycznych.

System Security Center Continous View w sposób zautomatyzowany zbiera informacje o stanie bezpieczeństwa systemów, sieci oraz urządzeń działających w towarzystwie. Pozwala również na zbieranie informacji o zdarzeniach, które zaszły w monitorowanych systemach i korelowanie ich z informacjami o aktywności aplikacji i użytkowników. Trafne wdrożenie systemu Security Center Continous View zapewnia de facto wykonywanie pełnego, codziennego audytu wszystkich systemów towarzystwa. Można śmiało stwierdzić, że system Security Center Continous View jest dla rynku bezpieczeństwa teleinformatycznego tym, czym system SAP R/3 jest dla rynku ERP.

Oferujemy kompleksowe rozwiązanie wdrożenia systemu nadzoru, analizy i raportowania wymogów stawianych przez wytyczne Komisji Nadzoru Finansowego. Jako autoryzowany partner producenta systemu, firmy Tenable Inc, oraz polskie centrum kompetencyjne, jesteśmy w stanie zapewnić pomoc w każdej fazie uruchamiania systemu, poczynając od analizy przedwdrożeniowej, poprzez wdrożenie, szkolenia i dostawę modułów zgodnych z wymogami KNF, a  kończąc na umowie pełnego wsparcia w zakresie eksploatacji systemu w towarzystwie.

Jakie korzyści niesie wdrożenie Security Center Continous View?

Czytelność przekazywanych informacji

System Security Center Continous View przystosowany jest do pracy w organizacji posiadającej jasno określoną hierarchię, o dobrze zdefiniowanych zakresach kompetencji.

Zarząd i Rada nadzorcza

Na poziomie raportowania dla rady nadzorczej i zarządu system oferuje karty realizacji celów strategicznych (Assurance Reports Cards), pozwalające w szybki sposób, bez wchodzenia w szczegóły techniczne, określić rzeczywisty poziom spełnienia wymogów poszczególnych wytycznych KNF. Pozwala to władzom towarzystwa na szybką i trafną ocenę stanu poziomu bezpieczeństwa, a co za tym idzie na podejmowanie decyzji dotyczących delegowania zadań lub konieczności podejmowania inwestycji w danym obszarze.

Zarząd i Rada nadzorcza. Na poziomie raportowania dla rady nadzorczej i zarządu system oferuje karty realizacji celów strategicznych (Assurance Reports Cards), pozwalające w szybki sposób, bez wchodzenia w szczegóły techniczne, określić rzeczywisty poziom spełnienia wymogów poszczególnych wytycznych KNF. Pozwala to władzom towarzystwa na szybką i trafną ocenę stanu poziomu bezpieczeństwa, a co za tym idzie na podejmowanie decyzji dotyczących delegowania zadań lub konieczności podejmowania inwestycji w danym obszarze.

Szefostwo IT, pionu bezpieczeństwa oraz audytu wewnętrznego

Na tym poziomie raportowania dostępne są informacje dotyczące konkretnych problemów istniejących w ramach obszarów wyznaczonych przez poszczególne wytyczne KNF. Pozwala to na trafne określenie: przyczyny powstania danego problemu, jego wpływu na działanie organizacji oraz środków zaradczych, które należy podjąć, wraz z jasnym określeniem zakresu odpowiedzialności. Na tym poziomie raportowania można również w łatwy sposób śledzić efektywność usuwania problemów i podatności przez służby IT lub zewnętrzne firmy działające na zasadzie outsourcingu.

Szefostwo IT, pionu bezpieczeństwa oraz audytu wewnętrznego Na tym poziomie raportowania dostępne są informacje dotyczące konkretnych problemów istniejących w ramach obszarów wyznaczonych przez poszczególne wytyczne KNF. Pozwala to na trafne określenie: przyczyny powstania danego problemu, jego wpływu na działanie organizacji oraz środków zaradczych, które należy podjąć, wraz z jasnym określeniem zakresu odpowiedzialności. Na tym poziomie raportowania można również w łatwy sposób śledzić efektywność usuwania problemów i podatności przez służby IT lub zewnętrzne firmy działające na zasadzie outsourcingu.

Pracownicy IT, firmy outsourcingowe

Na tym poziomie pracownicy otrzymują wykazy konkretnych problemów lub podatności bezpieczeństwa, które mają usunąć. Żelazną zasadą systemu Security Center Continous View jest, że każdy raport podatności zawsze zawiera informacje o sposobie jego usunięcia. Nie istnieje zatem ryzyko, że pracownik nie będzie wiedział jakie działania ma podjąć żeby rozwiązać dany problem.

Pracownicy IT, firmy outsourcingowe Na tym poziomie pracownicy otrzymują wykazy konkretnych problemów lub podatności bezpieczeństwa, które mają usunąć. Żelazną zasadą systemu Security Center Continous View jest, że każdy raport podatności zawsze zawiera informacje o sposobie jego usunięcia. Nie istnieje zatem ryzyko, że pracownik nie będzie wiedział jakie działania ma podjąć żeby rozwiązać dany problem.

Czytelność przekazywanych informacji  System Security Center Continous View przystosowany jest do pracy w organizacji posiadającej jasno określoną hierarchię, o dobrze zdefiniowanych zakresach kompetencji.