W ankiecie 2010 Global Financial Services Security Survey przeprowadzonej przez firmę Deloitte wzięło udział ponad 350 głównych instytucji finansowych z całego świata.
Z badań wynika, iż w porównaniu z ubiegłym rokiem prawie połowa badanych zwiększy budżet przeznaczony na bezpieczeństwo informacyjne.
Badanie wykazało, że priorytetem będzie zwiększenie bezpieczeństwa danych poprzez usprawnienie narzędzi – legislacyjnych, technicznych i organizacyjnych.
“Polskie firmy również aktywnie włączyły się w spełnianie wymagań regulatorów w zakresie ochrony danych. Regulacje prawne i branżowe, także te dotyczące bezpieczeństwa płatności elektronicznych, będą miały znaczny wpływ na kluczowe inicjatywy podejmowane przez polskie instytucje finansowe w tym i następnym roku” – podkreśla Cezary Piekarski, Manager w Zespole Zarządzania Ryzykiem Deloitte. I zaznacza, że bezpieczeństwo informacji wreszcie awansowało z zagadnienia informatycznego do poziomu inicjatywy całej firmy.
Pełny raport dostępny jest tutaj

Z raportu “Bezpieczeństwo Procesów Biznesowych 2010″ przygotowanego przez firmę SEENDICO Doradca, we współpracy z BKK Inwest oraz Brokerzy i Konsultanci jasno wynika, że polskie przedsiębiorstwa słabo radzą sobie z zarządzaniem ryzykiem nadużyć.
Pomimo tego, że ankietowani menadżerowie bardzo wysoko oceniają swoją wiedzę dotyczącą niebezpieczeństw – zagrożenie jest duże.
Chartered Institute of Management Accountants szacuje, że starty wynikające z korupcji i defraudacji mogą sięgnąć nawet 7% przychodów.
Przy czym niewielki procent firm (16%) jest w stanie odzyskać utracone fundusze.
Pespektywy również, nie są optymistyczne – co trzeci badany (32%) prognozuje, że liczba zagrożeń w ciągu najbliższych trzech lat wzrośnie.

Główni podejrzani: menadżerowie średniego i wyższego szczebla, dobrze wykształceni,
w wieku 35-55lat, głownie mężczyźni (wg ACFE).
Najbardziej narażone na ryzyko: sprzedaż (65%), produkcja (55%) i IT (48%).

Wobec narastającego zagrożenia SID Group przychodzi z pomocą.
Spójne zasady postępowania, audyt wewnętrzny , optymalizacją kontroli wewnętrznej oraz wdrożenie narzędzi informatycznych, automatyzujących proces kontroli – gwarantuje stworzenie efektywnego systemu kontroli nadużyć.
Wspólnymi siłami, możemy zapobiec korupcji i defraudacji w Twojej firmie.

Więcej informacji o źródłach ryzyka i sposobach jego minimalizacji można znaleźć w raporcie Bezpieczeństwo Procesów Biznesowych 2010.:

http://www.procesybiznesowe.com/BPBRAPORT2010.pdf

Lubię kiedy potwierdzają się moje intuicje i doświadczenia. Kilka miesięcy temu pisałem o wzroście roli audytu (http://blog.sidgroup.pl/rosnie-rola-audytora-na-szczescie-i-niestety-zarazem/). Jak się okazało niemal w tym samym czasie temat ten rozważali autorzy znacznie bardziej znamienici ode mnie.

“Komitety audytu powinny zmienić swoją optykę, skupiając się na zarządzaniu ryzykiem, wspieraniu strategii i działaniom na rzecz odzyskania nadwyrężonego zaufania opinii publicznej”, piszą autorzy artykułu “The Audit Committee?s New Agenda” z lipca 2009 roku http://hbr.org/2009/06/the-audit-committees-new-agenda/ar/1.

Znalazły się dziś w wyjątkowo dogodnej sytuacji, by: oceniać ryzyko, jakie towarzyszy prowadzeniu działalności biznesowej; opiniować wycenę i rezultaty transakcji fuzji i przejęć oraz zagwarantować zbieżność strategii firmy z jej sytuacją finansową, a także w szerszym zakresie informować rady nadzorcze o wszelkich kwestiach związanych z zarządzaniem ryzykiem i z decyzjami w obszarze sprawozdawczości finansowej, a także wpływające na na zwiększanie zaufania do nadzorowanych przez nich firm ze strony ich interesariuszy ? zwłaszcza akcjonariatu.

To wyzwanie do osób odpowiedzialnych za funkcjonowanie komórek audytu. Będą oni musieli poszerzyć swoje kompetencje. Zmiana priorytetów komitetu audytu musi znaleźć odzwierciedlenie w jego składzie. Jego członkowie będą, rzecz jasna, nadal potrzebowali rozległego doświadczenia w zakresie kontroli finansowej i rachunkowości, ale komitetowi mogą się przydać również opinie, umiejętności i doświadczenia osób z różnych branż i pionów funkcyjnych . Czy osoby odpowiedzialne dziś za audyt podołają tym zmianom? Przekonamy się już wkrótce.

Wszystkie firmy konsultingowe zwracają uwagę na wzrost zagrożeń wyciekiem danych, związany z koniecznością zwolnień pracowników. To abstrakcyjne do tej pory zagrożenie ma coraz bardziej realny wymiar. Jak napisał niedawno tygodnik Computerworld, nawet 1/4 zwalnianych pracowników zamierza ukraść dane ze swojej firmy. “Z analiz firmy Cyber-Ark Software wynika również, że jeden na czterech pracowników biurowych przyznaje, że byłby skłonny przekazać konkurencji niejawne informacje związane z działalnością własnego pracodawcy gdyby miały one pomóc rodzinie lub znajomym w zdobyciu albo utrzymaniu pracy. Kolejne 28 proc. ankietowanych nie wyklucza, że wykorzystałoby takie informacje w trakcie negocjacji związanych z podwyżką lub poszukiwaniem nowego miejsca pracy. Co czwarty ankietowany z grona osób, które przyznają że byłyby skłonne do kradzieży takich informacji twierdzi, że w pierwszej kolejności postarałby się wyprowadzić poza firmę szczegółowe dane o klientach. Dalsze 11 proc. ankietowanych zamierzałoby wykraść dane dostępowe do systemów biznesowych. Według analityków tylko nieliczne firmy zabezpieczają się przed takimi działaniami – przy wykorzystwaniu systemów informatycznych lub regulacji prawnych”. (Link do materiału źródłowego: http://www.itsecurityportal.com/itsecurity_news.asp?articleid=263974).

Przykładem takich działań jest afera, która wybuchła niedawno w T-Mobile UK. Pracownicy operatora sprzedawali dane nt. swoich klientów jednemu z brokerów, pracujących na rzecz innych dostawców telefonii mobilnej (co zwłaszcza na tak silnie konkurencyjnym rynku jak brytyjski stanowi poważny problem).  Więcej na ten temat: http://www.computerworld.com/s/article/9141033/T_Mobile_UK_employees_sold_customer_data?source=CTWNLE_nlt_mgmt_2009-11-23

Co zrobić by zapobiec tego typu działaniom? Eksperci z PricewaterhouseCoopers zalecają przygotowanie strategii dotyczącej ochrony danych, zawierającej:

 1) Szczegółowy plan ochrony danych i informacji

2) Opis podstawowych źródeł danych firmowych uwzględniającyich znaczenie przechowywanych informacji z punktu widzenia firmy (sensitivity) i ryzyko związane z ich utratą

3) Opis zagrożeń typowych dla organizacji i rodzaju przechowywanych danych

4) Wdrożenie kompleksowych mechanizmów ochrony danych

5) Stworzenie planu monitoringu i testów bezpieczeństwa

6) Plan awaryjny na wypadek wystąpienia incydentów związanych z utratą danych

Więcej na ten temat w materiale z serii “10 minutes” (http://www.pwc.com/en_US/us/10minutes/assets/pwc_10minutes_102008_idm.pdf)

Koniec roku zawsze obfituje w sporo projektów stąd zaniedbaliśmy ostatnio naszego bloga. Bardzo za to przepraszamy i wracamy do regularnej korespondencji.

Na początek ciekawostka przeoczona przez media popularne. Amerykański rząd uchwalił właśnie największy budżet na obronę. Jego sporą część stanowią wydatki na bezpieczeństwo IT. Jak pisze tygodnik Computerworld: ”z prognozy przygotowanej przez firmę analityczną Input wynika, że w 2014 r. zsumowane wydatki USA na produkty i usługi związane z bezpieczeństwem informatycznym sięgną 11,7 miliarda USD (w roku bieżącym ta kwota nie przekroczy 7,9 mld USD). “To oznacza wzrost o ponad 8 % rocznie – dla porównania, ogólne wydatki amerykańskiej administracji na IT będą w najbliższych pięciu latach rosły najwyżej o 3,5% rocznie” – mówi Kevin Plexico, wiceprezes Input”.

Na razie nie wiadomo, jakie dokładnie produkty i usługi z zakresu bezpieczeństwa zamierzają wykorzystać władze – ale przedstawiciel Input ma kilka wskazówek dla firm chcących startować w przetargach. Jego zdaniem rząd postawi na dość mocno scentralizowany układ – prawdopodobnie powstanie kilka głównych agencji ds. cyberbezpieczeństwa, które przejmą zadania będące obecnie rozproszone po wielu różnych instytucjach. “Wydaje mi się, że głównymi hasłami tej operacji będą: konsolidacja i centralizacja” – tłumaczy Plexico.

Wiadomo też, że rząd chce raczej skupić się na stałym monitorowaniu zasobów oraz wykrywaniu i blokowaniu ataków w czasie rzeczywistym. Kiedyś było inaczej – agencje nastawiały się raczej na namierzanie przestępców już po tym, jak dokonali ataków. “Widzimy już, że rząd stawia na rozwiązania pozwalające na działanie gdy tylko zostanie wykryty jakiś problem – analizy i audyty przeprowadzane po incydentach odchodzą w niepamięć. To zresztą nie wszystko – widzimy również, że sporo środków przeznaczono na technologie pozwalające na przewidywanie ataków zanim te nastąpią” – wyjaśnia analityk.

Cytat za: http://www.computerworld.pl/news/351808/Amerykanie.inwestuja.w.bezpieczenstwo.html

Może to oznaczać silny bodziec dla rozwoju branży IT i high-tech, która zostanie zaangażowana w rozwój tzw. technologii podwójnego zastosowania (szerzej o problematyce wychodzenia z kryzysu przy wykorzystaniu budżetów na obronność w wywiadzie dla witryny Business Dialog mówi prof. Jadwiga Staniszkis http://www.businessdialog.pl/ [wideo po lewej stronie witryny]).

We wtorek 20 października zorganizowaliśmy pierwszy panel dyskusyjny poświęcony tematyce bezpieczeństwa. W spotkaniu udział wzięli Radosław Frańczak i Jacek Bugajski (SID Group), Czesław Janus (Novell), Rafał Chyży (CSO firmy Onet), Maciej Jankowski (konsultant IT w Telewizji Polsat), Piotr Bartoszewski (dyrektor biura informatyki i strategii IT w ZWiK w Łomiankach) i Andrzej Sadłowski (Rhino Business Solutions).  Wkrótce na naszych stronach ukaże się obszerna relacja z tego spotkania. Na razie jednak kilka refleksji wstępnych.

Wszyscy uczestnicy spotkania zgodzili się co do tego, że w kryzysie rola bezpieczeństwa, i to nie tylko bezpieczeństwa IT, ale także tego rozumianego szerzej, jako ochrona i zapewnienie ciągłości działania organizacji.  Na razie to bezpieczeństwo postrzegane jest bardzo wybiórczo, albo przez pryzmat zabezpieczeń fizycznych, albo jako zabezpieczenie stacji roboczych i aplikacji działających w firmie.

Zmiana tego nastawienia w zarządach wymaga porozumienia pomiędzy wszystkimi osobami odpowiedzialnymi w firmie za bezpieczeństwo. Argumentacja, którą powinni posługiwać się w rozmowach z zarządem, powinna mieć silne uzasadnienie biznesowe . I właśnie opracowanie wewnętrznie spójnego zestawu argumentów, które pomogłyby w przekonaniu zarządów, że sprawy bezpieczeństwa (w tym bezpieczeństwa IT) mają fundamentalne znaczenie dla funkcjonowania organizacji jest podstawowym wyzwaniem przed którym stają dziś specjaliści z zakresu security w niemal każdej polskiej organizacji. Znacznie większym niż decyzja o zakupie rozwiązań pozwalających na integrację funkcji związanych z zabezpieczaniem aplikacji i sieci teleinformatycznych, które dziś są już na tyle zaawansowane, że mogą zwrócić się w kilka miesięcy po wdrożeniu.

Pierwsze wieści z SAP Tech Ed, potwierdzają to co przeczuwaliśmy już od dawna. SAP AG i Novell, Inc. poinformowały o rozszerzeniu współpracy pomiędzy firmami w celu dostarczenia klientom zintegrowanych rozwiązań wspomagających nadzór nad przedsiębiorstwem, ograniczanie ryzyka i zapewnianie zgodności z wymogami przepisów (governance, risk, compliance ? GRC). Firmy planują wspólne działania rynkowe oraz dostosowanie swych strategii dotyczących rozwiązań GRC. Obejmuje to integrację rozwiązań GRC z rodziny SAP BusinessObjects z produktami Novella do zarządzania bezpieczeństwem i tożsamością, a także wspólny marketing i sprzedaż zintegrowanych rozwiązań. Połączenie ofert GRC firm SAP i Novell pozwoli lepiej powiązać procesy biznesowe ze sprawami bezpieczeństwa informatycznego, umożliwiając klientom ograniczenie ryzyka, obniżenie kosztów i poprawę efektywności działania. (więcej : www.sdn.sap.com/irj/scn/sapteched).

Zdaniem przedstawicieli SAP zintegrowana oferta obu firm ułatwi klientom ograniczanie ryzyka w zakresie procesów biznesowych i środowisk informatycznych. SAP i Novell mają dużą bazę wspólnych klientów. Współpraca obu firm może uławić zarządzanie politykami bezpieczeństwa i zapewnienia zgodności z wymogami przepisów w eksploatowanych aplikacjach biznesowych.

• Czy funkcje audytu i kontroli wewnętrznej mogą pomóc w dostarczaniu korzyści biznesowych dla przedsiębiorstwa?
• Czy w obecny realiach (rosnącej presji na optymalizację struktur i zasobów) efektywny nadzór i kontrola jest w ogóle możliwa?
• Jakie są podstawowe bariery organizacyjne i technologiczne, które utrudniają wdrożenie efektywnych metod i narzędzi do audytu
  i kontroli?
• Jak uzasadnić ekonomicznie inwestycje w bezpieczeństwo? Jak budować koalicję wokół zadań z tym związanych?

Odpowiedź na te i szereg innych pytań udzielimy już 20 października w warszawskim hotelu Mariott, podczas zorganizowanego wspólnie z firmą Novell spotkania z udziałem dyrektorów informatyki z wiodących polskich firm.

Jesteś dyrektorem IT i chcesz wziąć udział w spotkaniu? Prosimy zainteresowani udziałem w spotkaniu prosimy o kontakt z naszą firmą.

Na prośbę osób, które nie dotarły na wczorajszą prezentację o wirtualizacji środowisk SAP w Transfer Multisort Elektronik (TME) kilka szczegółów o projekcie.

TME jest znaczącym europejskim dostawcą elementów elektronicznych, aparatury pomiarowej, wyposażenia warsztatowego oraz automatyki przemysłowej, oferującym ponad 50 tysięcy produktów od kilkuset producentów. Obsługuje kilkadziesiąt tysięcy firm i klientów indywidualnych w ponad 30 krajach na całym świecie, wysyłając prawie 1000 paczek dziennie. Kluczem do funkcjonowania firmy jest nowoczesny system logistyczny zarządzający zautomatyzowanym magazynem.

TME od 2 lat używało fizycznych serwerów pod aplikacje SAP. Widząc rosnącą komplikację utrzymania i ilość nowych instancji zdecydowało się jednak przejść na platforme wirtualną opartą o rozwiązania VMware HA. Obecnie w firmie działają dwa klastry:

Ostatnie rozmowy z kilkoma zaprzyjaźnionymi dyrektorami finansowymi dowodzą, że obecny kryzys przyczynia się do wzrostu znaczenia audytu i kwestii zgodności z regulacjami (compliance) w nowoczesnych organizacjach. Przedstawiciele wewnętrznych komórek audytu wreszcie zostali docenieni, a w przypadku niektórych organizacji (banki!) dostrzeżono w ich działaniach wręcz wartość biznesową, chociażby poprzez wsparcie i usprawnienie procesów związanych z windykacją, zapewniających płynność finansową przedsiębiorstw.