Choć, jak podkreślają eksperci, już teraz banki stosują zaawansowane rozwiązania w tym zakresie. Nowe zasady wejdą w życie pod koniec 2014 roku.
– Banki stosują coraz nowsze kanały dostępu dla klientów. Są to elektroniczne kanały dostępu, jest to bankowość mobilna. Jest szereg nowych elementów w tym zakresie, które musiały być jakoś zaadresowane przez tę rekomendację – podkreśla w rozmowie z Agencją Informacyjną Newseria Tomasz Piwowarski, dyrektor departamentu inspekcji bankowych, instytucji płatniczych i spółdzielczych Komisji Nadzoru Finansowego.
Nowe obszary, które obejmie nowa rekomendacja D, to między innymi jakość zarządzania danymi, architektura danych w banku, obszar informacji zarządczej na wszystkich szczeblach organizacyjnych oraz ogólnie ujęty proces współpracy biznesu z branżą IT. Piwowarski podkreśla, że obszar IT jest bardzo istotny dla banków. Nowoczesne technologie są wykorzystywane do niemal wszystkiego, dlatego dobre praktyki w tym obszarze przekładają się na bezpieczeństwo funkcjonowania banków, a co za tym idzie – pieniędzy klientów.
Rekomendacja D zacznie obowiązywać dopiero 31 grudnia 2014 r.
– Musimy pamiętać, że mamy do czynienia z bardzo złożonym obszarem, który jest uregulowany przez tę rekomendację. Stąd w ramach konsultacji termin wejścia w życie został wydłużony, bo pierwotnie był przewidywany na 31 grudnia 2013 – podkreśla Tomasz Piwowarski.
KNF liczy, że dzięki dłuższemu czasowi wprowadzania w życie zmian banki lepiej i rzetelniej dostosują się do nowej rekomendacji.
Jacek Siemiończyk z Microsoftu uważa jednak, że nowa rekomendacja nie przynosi rewolucyjnych zmian. Mówi ona o praktykach, które największe organizacje finansowe mają już w różnym stopniu wdrożone. Siemiończyk dodaje, że dzięki działaniu KNF-u wzrośnie ciężar gatunkowy tych procedur. To powinno prowadzić do ich „dojrzewania”, a to z kolei będzie oznaczać większe bezpieczeństwo operacyjne.
Według niego problemem nie są jednak złe rozwiązania IT, lecz niewłaściwe procedury oraz błędy ludzkie, czyli strona operacyjna.
– Z naszych doświadczeń wynika, że obszar zarządzania usługami, obszar IT operations – czyli miejsce, o którym mówi rekomendacja D – tam w dalszym ciągu jest wiele rzeczy, które można by usprawnić. Systemy można by skonfigurować tak, żeby one były bezpieczne – tłumaczy Siemiończyk. – Najczęściej zawodzą procedury i ludzie. Procesy, które są bądź źle zdefiniowane, bądź nie są przestrzegane wystarczająco poprawnie.
Siemiończyk podkreśla jednak, że nie należy obawiać się o bezpieczeństwo banków od strony IT. Zwłaszcza w największych organizacjach, które oceniał Microsoft, strona operacyjna wygląda bardzo dojrzale.
To właśnie od liczby potrzebnych zmian będzie zależał koszt wdrożenia nowej rekomendacji KNF. Szczegółowe kwoty poznamy najwcześniej za około pół roku, bo tyle czasu mają banki na przeprowadzenie analizy luk i niezbędnych dostosowań.
– To będą pieniądze dla każdej organizacji bardzo różne w zależności od stopnia ich dojrzałości, wielkości tej organizacji. Trudno mówić o jednej, okrągłej sumie dla każdej, która byłaby jakaś reprezentatywna dla każdego podmiotu – mówi Siemiończyk.
– Banki muszą dokonać szczegółowej analizy luk i dostosowań, mają na to około 6 miesięcy. Dopiero po tym okresie banki będą mogły podsumować, czy rzeczywiście i z jaką skalą wydatków wiążą się dostosowania.Musimy pamiętać, że te wszystkie dostosowania mają przede wszystkim zapewnić bezpieczeństwo funkcjonowania w tym obszarze banków czyli bezpieczeństwo zdeponowanych przez klientów środków – dodaje Tomasz Piwowarski.
