Planujemy kolejne badania – Plany Ciągłości Działania w BS-ach

wsh 3 bmp

Działający u mnie na Uczelni Zespół ds. Badań nad Bankowością Spółdzielczą kontynuuje swoje prace. Wkrótce będą gotowe wyniki badań dotyczących następującej tematyki:

Zakupy systemów i rozwiązań IT – indywidualne w Bankach Spółdzielczych vs. globalne, za pośrednictwem Banków zrzeszających

– w toku opracowania jest publikacja pod tym właśnie tytułem, która tym razem ukaże się tym razem w wewnętrznym wydawnictwie Wyższej Szkoły Handlowej.

Planujemy ponadto kolejne badania dot. Planów Ciągłości Działania w Bankach Spółdzielczych.

Ankieta badawcza

Ankieta badawcza zawiera zestaw pytań bardzo zbliżony to tego, którego używamy w trakcie audytów w BS-ach. Zawiera ona następujące pytania:

  1. Czy w Państwa Banku zostały opracowane i wdrożone PCD?
  2. W jaki sposób zostały wyłonione procesy krytyczne? Jakie procesy uznano za krytyczne?
  3. Czy dla każdego z procesów krytycznych jest szczegółowo określona (i spisana) minimalna lista zasobów, niezbędnych do jego realizacji (tzw. MAK – Minimalna Akceptowalna Konfiguracja)?
  4. Czy zdefiniowane są (i opisane) szczegółowe procedury re-aktywacji procesów krytycznych w alternatywnym środowisku pracy? Jeżeli nie; co wymaga doprecyzowania?
  5. Gdzie znajduje się Państwa serwerownia zapasowa?
    Warianty odpowiedzi: własna placówka, bank zrzeszający, dostawca systemu core’owego, zewnętrzne Centrum Przetwarzania Danych nie należące do dostawcy systemu core’owego, inny Bank Spółdzielczy, inne miejsce (jakie)?
  1. Gdzie znajdują się alternatywny ośrodek / alternatywne ośrodki pracy personelu (w przepadku niedostępności centrali Banku)?
    Warianty odpowiedzi: własna placówka, bank zrzeszający, dostawca systemu core’owego, zewnętrzne Centrum Przetwarzania Danych nie należące do dostawcy systemu core’owego, inny Bank Spółdzielczy, inne miejsce (jakie)?
  1. Czy jest limitowany maksymalny czas funkcjonowania Banku w oparciu o ośrodek alternatywny? Jeżeli tak – jaki to jest czas?
  2. Czy przyjęte alternatywne ośrodki pracy (serwerownia, pomieszczenia biurowe) są w Pani / Pana opinii wystarczające pod względem jakościowym, czy też wymagana jest ich modernizacja bądź zamiana na inne?
  3. Czy określone są maksymalne czasy re-aktywacji procesów krytycznych w alternatywnych ośrodkach pracy (tzw. czasy RTO)?
  4. Czy określono jak wiele danych może być utraconych w wyniku katastrofy (tzw. czasy RPO)?
  5. Czy są dokonywane okresowe przeglądy PDC i planów awaryjnych? Jak często?
  6. Czy są realizowane testy planów awaryjnych i PCD? Jak często? Jakie Bank gromadzi dowody przeprowadzania takich testów?
  7. Czy kluczowi dostawcy współuczestniczą w testach?
  8. Czy pracownicy są odpowiednio szkoleni w zakresie PCD?
  9. Czy jest weryfikowana jakość i skuteczność PCD i planów awaryjnych dostawców? Jeśli tak – w jaki sposób?

Wkrótce moi współpracownicy z Zespółu ds. Badań nad Bankowością Spółdzielczą pozwolą sobie zwrócić się do Państwa z powyższymi pytaniami. Tymczasem finalizujemy publikację Zakupy systemów i rozwiązań IT – indywidualne w Bankach Spółdzielczych vs. globalne, za pośrednictwem Banków zrzeszających.

Oczywiście o wszystkich wynikach badań będziemy Państwa na bieżąco informować – zapraszamy do śledzenia sekcji BS BLOG-a (pionowa sekcja, po prawej stronie, pod sekcją POLSKA I ŚWIAT):

BADANIA NAD BS

Tu link do sekcji: http://bsblog.pl/category/artykuly/badania-nad-bs/

Powiązane wpisy

6 komentarze na temat “Planujemy kolejne badania – Plany Ciągłości Działania w BS-ach

  1. bardzo interesująca ankieta. Chętnie wezmę udział w badaniu, jak i zobaczę późniejsze wyniki.

    1. Albert Sadowski

      Bardzo nas cieszy Pański akces. Uprzejmie proszę o przesłanie swoich namiarów na mój mail : albert.sadowski@kerberos.pl

  2. dawid

    PCD – kolejna bzdura, nie mająca pokrycia w rzeczywistości, oczywiście wymagana przez KNF/ BFG itd. Szkoda, że BSy muszą pisać te brednie i określać czasy reakcji, na które nie mają wpływu. Prawda jest taka, że w tak małej organizacji nawet nie ma odpowiednich zastępstw (chodzi o pracowników) , a co dopiero mówić o lokalizacjach zapasowych. Oczywiście na papierze wszystko gra i buczy, audyt łyka te wypociny jak „pelikan kluchę” 🙂
    Pierwsze co to niech padnie serwer DHCP / AD ….albo serwer VOIP ….i paraliż 🙂
    A gdzie tu mowa o atakach terrorystycznych, pożarach, hakerach, albo poirytowanych pracownikach. I w tej chwili wracamy do tematu „niedoinwestowania”.
    Proszę zapytać SGB jakie mają plany na wypadek upadku Asseco …..odpowiedzą dostaną przecież kody źródłowe 🙂 powodzenia życzę 🙂 Kolejny temat Orange ….pierwsza lepsza awaria i kolejny paraliż (System Scentralizowany) kilkanaście Banków bez kontaktu z SGB – niby są backupy łącz, ale to „pic na wodę fotomontaż”.
    Ale idąc dalej PCD są przepastne na 100 stron z instrukcjami i analizami….pytanie….kto to przeczytał w całości….albo kto przeczyta jak coś walnie, zwłaszcza zasób sieciowy na którym są pliki z PCD 😛 a jedyna kopia planów jest w wielkiej metalowej szafie chronionej przez 100 dobremanów.
    Proszę mnie nie zrozumieć źle, że PCD są zbędne, one są przydatne pod warunkiem, że są łatwe do zrozumienia, pracownicy są szkoleni i uświadamiani częściej niż co 4-5 lat bo przypomina się o szkoleniach jak ma zawitać kontrola … a tu znowu wracamy z tematem niedoinwestowania.
    BSy mają naprawdę wielki kłopot aby spełnić wszystkie wymagania nadzoru. Zaplecze robi się większe niż front …. nawet mogę powiedzieć że klient przeszkadza w pracy 🙂

    1. Albert Sadowski

      Dokładnie tak. Widziałem na audycie w jednym TFI / Domu Maklerskim PCD. Objętość – JEDNA STRONA (tak, 1!). I było tam wszystko. Te elaboraty, które widuję w BS-ach, oparte na tzw. „wzorcach” ze zrzeszeń czy z innych źródeł… Przepraszam, ale to absurd. Tak się nie pisze użytecznych dokumentów!
      Wiele, wiele razy prowadziłem w BS-ach indywidualne konsultacje „Warsztaty PCD”. Dokument, który w ich wyniku powstawał miał kilka stron (zwykle poniżej 5). I było tam wszystko co potrzeba.

      1. Bibeusz

        Potwierdzam Panów obserwacje. Byliśmy ofiarami planów dostarczonych nam przez BZ, które niewiele miały wspólnego z rzeczywistością (cytując klasyka:”sztuka jest sztuka”), ale po wizycie audytora i stwierdzeniu tej bolesnej prawdy zmieniło się to diametralnie. Audytor wskazał na kompletną nieprzydatność dotychczasowych PCD i nakazał stworzenie nowych. Poproszony o dostarczenie wzorców, audytor stwierdził, iż takowych nie ma, ponieważ każdy bank jest inny. Na pracowników zobligowanych do stworzenia PCD padł blady strach, jeszcze przez kilka dni kombinowali od kogo „pożyczyć” wzorcową regulację. Odpowiednio zmotywowani (terminami) napisali PCD szyty na miarę naszego Banku. Plany mają kilka stron, wszystkie założenia zostały zweryfikowane w praktycznych testach (ilość stanowisk, sposoby transportu, uruchamianie zapasu, itp.) przy aktywnym udziale dostawców systemów. Można? Można.

    2. Albert Sadowski

      Dlatego ja prawie zawsze na audytach powtarzam: zredukujcie Państwo dokumentację IT do objętości ok. 10-20% tego co teraz macie. Najlepiej – zredykujcie 10-krotnie. Albo wyrzućcie to, co macie do kosza i napiszcie od nowa. SAMODZIELNIE.
      Na szkoleniu „Warsztaty tworzenia dok. IT zgodnej z Rek.D” (były chyba ze 3 edycje) pisaliśmy wspólnie dok. Rekomendacji D. Całość zajmowała ok 10 – kilkunastu stron (plus załączniki stricte technicze). I było tam WSZYSTKO CO POTRZEBA – proszę mi uwierzyć.
      Jak robimy audyt w sektorze kapitałowym, to tam cała dok. Rek. D ma zwukle ok. kilunastu stron. Góra 20. I jest tam wszystko co trzeba. Ktoś powie: KNF! Ale oni (TU. TFI, DM) TEŻ mają inspekcje KNF!
      Można? – można.
      Tylko trzeba – przepraszam za wyrażenie – wyrzucić w diabły te wszystkie „szablony”!