Rekomendacja D – problem utrzymania zgodności
28 sierpnia 2014
Sysnet Global Solutions
Świadczymy usługi z obszaru Bezpieczeństwa Informacji oraz
IT Governance;
Prowadzimy testy penetracyjne, testy podatności, testy
aplikacji webowych;
Prowadzimy audyty organizacji IT, audyty dojrzałości oraz
audyty certyfikujące, w tym audyty na zgodność ze
standardami PCI DSS, PA DSS, P2PE;
Szkolimy oraz pomagamy w przemodelowaniu procesów IT;
Narzędzie do zarządzania zgodnością (Sysnet.AIR);
2007
Expansion into CIS Region
2008
Compliance Management Solution
launched
Expansion into South Africa
2009
€1.27m business expansion investment
Strategic alliance with GTX Partners
2010
Expansion into US market
2012
Sysnet acquirers Panoptic Security Inc.
New Atlanta office.
Relocation of key personnel to US
€1.34m R&D Investment
1989
Founded
2012
Sysnet.airTM wins 2 Florin Awards 2011
launched
Indian office opened
PFI Status awarded by Council
HQ relocation to accommodate business
expansion
2005
QSA Programme Certification
1991
Expansion into UK
Historia firmy
Banks Service Providers Acquirers Merchants
Clients
Rekomendacja D - utrzymanie zgodności
Droga do zgodności
Składowe zapewnienia zgodności
Świadomość celów
Zrozumienie otoczenia
Identyfikacja klientów procesu
Ekosystem narzędziowy
Ludzie
Kto odpowiada za zgodność?
Uzyskanie zgodności i jej
utrzymanie jest wspólnym celem
działu IT ;
Zmiana roli działu IT GRC;
Potrzeba nowych kompetencji –
IT Compliance Manager/Officer
IT Compliance Officer / Manager
„Twarz” procesów IT GRC;
Współpracuje z wieloma klientami w ramach organizacji;
Tworzy „otoczenie” w IT na potrzeby innych działów;
Posiada unikalny zestaw kompetencji:
◦ Kompetencje techniczne;
◦ Kompetencje procesowe;
◦ Kompetencje zarządzania ryzykiem;
◦ Kompetencje compliance i audytowe;
◦ Zrozumienie procesów biznesu;
Jest bardziej trenerem i coachem niż „policjantem”;
Koniec projektu ?
Utrzymanie – od czego zacząć ?
ZACZNIJ OD SIEBIE….
Case study – Rekomendacja 6 i agile
Założenia
Klient chce wdrożyć podejście agile do realizacji projektów;
Projekty będą realizowane przez zespół scrumowy;
Klient chce mieć możliwość kontroli prac, aby zapewnić
zgodność z celami i wymogami zewnętrznymi;
Chcemy zapewnić zgodność z Rekomendacją D (tutaj wymóg 6);
Zespół IT GRC jest stosunkowo mały – liczy 2 osoby;
Zespół audytu ma wątpliwości…
Rekomendacja D – wymóg 6
obejmować wszystkie etapy projektu, od jego inicjacji i podjęcia decyzji o rozpoczęciu do
formalnego zamknięcia,
określać sposób wskazywania interesariuszy projektu, określać sposób doboru uczestników
projektu i wskazywać ich role, uprawnienia i odpowiedzialności,
uwzględniać sposób dokumentowania realizacji projektu,
określać zasady współpracy i komunikacji stron biorących udział w realizacji projektu,
określać zasady zarządzania harmonogramem, budżetem, zakresem i jakością w projekcie,
określać zasady zarządzania ryzykiem w projekcie,
określać zasady zarządzania zmianą w projekcie,
określać zasady oraz role i odpowiedzialności w zakresie odbioru i wprowadzania do
eksploatacji produktów prac projektu,
określać zasady podejmowania decyzji o zaniechaniu realizacji projektu.
Realizacja
1 Dokument opisujący proces (4 strony),
◦ Dodefiniowanie ról ;
◦ Deklaracja stosowania;
Wykorzystanie istniejących elementów (historyjki, role,
obiekty);
Coaching zespołów Scrumowych;
Elementy compliance wpisane w DoD;
◦ DoD globalne;
◦ DoD lokalne;
Ograniczona rola IT Compliance Managera;
Rekomendacja D – wymóg 6
obejmować wszystkie etapy projektu, od jego inicjacji i podjęcia decyzji o rozpoczęciu do
formalnego zamknięcia,
określać sposób wskazywania interesariuszy projektu, określać sposób doboru uczestników
projektu i wskazywać ich role, uprawnienia i odpowiedzialności,
uwzględniać sposób dokumentowania realizacji projektu,
określać zasady współpracy i komunikacji stron biorących udział w realizacji projektu,
określać zasady zarządzania harmonogramem, budżetem, zakresem i jakością w projekcie,
określać zasady zarządzania ryzykiem w projekcie,
określać zasady zarządzania zmianą w projekcie,
określać zasady oraz role i odpowiedzialności w zakresie odbioru i wprowadzania do
eksploatacji produktów prac projektu,
określać zasady podejmowania decyzji o zaniechaniu realizacji projektu.
Podsumowanie
Podsumowanie
Uzyskanie zgodności to początek drogi;
W utrzymaniu zgodności kluczowe jest zrozumienie wspólnych
celów;
W organizacji IT powstaje rola IT GRC Officera/Managera;
Wyzwaniem są kompetencje;
Szkolenie oraz podnoszenie świadomości obniża koszt
utrzymania zgodności;
Transparentność jest kluczem dla oceny sytuacji;
Dziękuję za uwagę
i zapraszam do pytań