Rekomendacja D – problem utrzymania zgodności

28 sierpnia 2014

Sysnet Global Solutions

Świadczymy usługi z obszaru Bezpieczeństwa Informacji oraz

IT Governance;

Prowadzimy testy penetracyjne, testy podatności, testy

aplikacji webowych;

Prowadzimy audyty organizacji IT, audyty dojrzałości oraz

audyty certyfikujące, w tym audyty na zgodność ze

standardami PCI DSS, PA DSS, P2PE;

Szkolimy oraz pomagamy w przemodelowaniu procesów IT;

Narzędzie do zarządzania zgodnością (Sysnet.AIR);

2007

Expansion into CIS Region

2008

Compliance Management Solution

launched

Expansion into South Africa

2009

€1.27m business expansion investment

Strategic alliance with GTX Partners

2010

Expansion into US market

2012

Sysnet acquirers Panoptic Security Inc.

New Atlanta office.

Relocation of key personnel to US

€1.34m R&D Investment

1989

Founded

2012

Sysnet.airTM wins 2 Florin Awards 2011

launched

Indian office opened

PFI Status awarded by Council

HQ relocation to accommodate business

expansion

2005

QSA Programme Certification

1991

Expansion into UK

Historia firmy

Banks Service Providers Acquirers Merchants

Clients

Rekomendacja D - utrzymanie zgodności

Droga do zgodności

Składowe zapewnienia zgodności

Świadomość celów

Zrozumienie otoczenia

Identyfikacja klientów procesu

Ekosystem narzędziowy

Ludzie

Kto odpowiada za zgodność?

Uzyskanie zgodności i jej

utrzymanie jest wspólnym celem

działu IT ;

Zmiana roli działu IT GRC;

Potrzeba nowych kompetencji –

IT Compliance Manager/Officer

IT Compliance Officer / Manager

„Twarz” procesów IT GRC;

Współpracuje z wieloma klientami w ramach organizacji;

Tworzy „otoczenie” w IT na potrzeby innych działów;

Posiada unikalny zestaw kompetencji:

◦ Kompetencje techniczne;

◦ Kompetencje procesowe;

◦ Kompetencje zarządzania ryzykiem;

◦ Kompetencje compliance i audytowe;

◦ Zrozumienie procesów biznesu;

Jest bardziej trenerem i coachem niż „policjantem”;

Koniec projektu ?

Utrzymanie – od czego zacząć ?

ZACZNIJ OD SIEBIE….

Case study – Rekomendacja 6 i agile

Założenia

Klient chce wdrożyć podejście agile do realizacji projektów;

Projekty będą realizowane przez zespół scrumowy;

Klient chce mieć możliwość kontroli prac, aby zapewnić

zgodność z celami i wymogami zewnętrznymi;

Chcemy zapewnić zgodność z Rekomendacją D (tutaj wymóg 6);

Zespół IT GRC jest stosunkowo mały – liczy 2 osoby;

Zespół audytu ma wątpliwości…

Rekomendacja D – wymóg 6

obejmować wszystkie etapy projektu, od jego inicjacji i podjęcia decyzji o rozpoczęciu do

formalnego zamknięcia,

określać sposób wskazywania interesariuszy projektu, określać sposób doboru uczestników

projektu i wskazywać ich role, uprawnienia i odpowiedzialności,

uwzględniać sposób dokumentowania realizacji projektu,

określać zasady współpracy i komunikacji stron biorących udział w realizacji projektu,

określać zasady zarządzania harmonogramem, budżetem, zakresem i jakością w projekcie,

określać zasady zarządzania ryzykiem w projekcie,

określać zasady zarządzania zmianą w projekcie,

określać zasady oraz role i odpowiedzialności w zakresie odbioru i wprowadzania do

eksploatacji produktów prac projektu,

określać zasady podejmowania decyzji o zaniechaniu realizacji projektu.

Realizacja

1 Dokument opisujący proces (4 strony),

◦ Dodefiniowanie ról ;

◦ Deklaracja stosowania;

Wykorzystanie istniejących elementów (historyjki, role,

obiekty);

Coaching zespołów Scrumowych;

Elementy compliance wpisane w DoD;

◦ DoD globalne;

◦ DoD lokalne;

Ograniczona rola IT Compliance Managera;

Rekomendacja D – wymóg 6

obejmować wszystkie etapy projektu, od jego inicjacji i podjęcia decyzji o rozpoczęciu do

formalnego zamknięcia,

określać sposób wskazywania interesariuszy projektu, określać sposób doboru uczestników

projektu i wskazywać ich role, uprawnienia i odpowiedzialności,

uwzględniać sposób dokumentowania realizacji projektu,

określać zasady współpracy i komunikacji stron biorących udział w realizacji projektu,

określać zasady zarządzania harmonogramem, budżetem, zakresem i jakością w projekcie,

określać zasady zarządzania ryzykiem w projekcie,

określać zasady zarządzania zmianą w projekcie,

określać zasady oraz role i odpowiedzialności w zakresie odbioru i wprowadzania do

eksploatacji produktów prac projektu,

określać zasady podejmowania decyzji o zaniechaniu realizacji projektu.

Podsumowanie

Podsumowanie

Uzyskanie zgodności to początek drogi;

W utrzymaniu zgodności kluczowe jest zrozumienie wspólnych

celów;

W organizacji IT powstaje rola IT GRC Officera/Managera;

Wyzwaniem są kompetencje;

Szkolenie oraz podnoszenie świadomości obniża koszt

utrzymania zgodności;

Transparentność jest kluczem dla oceny sytuacji;

Dziękuję za uwagę

i zapraszam do pytań