Jestem ABI Banku Spółdzielczego – co mam robić?

love-abi-png

(re-edycja art. z marca 2016). Przede wszystkim nie należy obawiać się pełnienia funkcji ABI; nie taki diabeł straszny, jak go malują. To oczywiście kolejna pula zadań i odpowiedzialności, ale przy pewnej organizacji pracy i wsparciu współpracowników można sobie z tym poradzić. Jak pokazuje praktyka, wiele spośród osób, pełniących w BS-ach funkcję ABI, odnosi się do tego zadania niechętnie i z obawą. Jest naturalne, że otrzymanie nowego obowiązku bez zwiększenia gratyfikacji oraz bez redukcji obowiązków dotychczasowych nie wzbudza entuzjazmu, ale chodzi tu o coś innego. Otóż często osoby, którą są, bądź mają zostać ABI, mają odczucie typu: „ja się na tym nie znam”. Zważywszy na fakt, iż przeważnie są to specjaliści bez głębszego przygotowania informatycznego (główne księgowe, członkowie zarządów, specjaliści ds. ryzyk, audytorzy wewnętrzni itd.), taką obawę można zrozumieć, natomiast trzeba stwierdzić, że obowiązki ABI może zupełnie przyzwoicie pełnić osobą nie będąca informatykiem. Będę o tym dokładniej mówił na Seminarium „Podstawy informatyki i bezpieczeństwa dla ABI Banku Spółdzielczego”, 6 kwietnia 2016, w Instytucie Biocybernetyki Polskiej Akademii Nauk (www.kerberos.pl/seminaria.pdf).

Modele funkcji ABI w Bankach Spółdzielczych

Najczęściej spotykane w BS-ach modele pełnienia funkcji ABI są następujące:

  • ABI-m jest Główna Księgowa,

  • ABI-m jest nie-informatyk, a przedstawiciel innej specjalności (członek zarządu, specjalista ds. ryzyk, „kredytowiec”, pracownik działu kadr itp.),

  • informatyk, w szczególności – szef działu informatyki,

  • dedykowana osoba, z przygotowaniem informatycznym, ale niebędąca administratorem żadnego z bankowych systemów.

Oczywiście idealne rozwiązanie to przypadek ostatni; rozwiązanie idealne, ale jako takie bardzo rzadko spotykane. Ja osobiście, po wizytach audytorskich na ok. 120 projektach, przypadek taki spotkałem, zdaje się, jedynie 3 razy i dotyczył on naprawdę dużych Banków Spółdzielczych.

Również rzadkim, bo trudnym do sensownej implementacji jest przypadek, w którym ABI-m jest członek bądź szef działu informatyki. O ile mnie pamięć nie myli, model taki spotkałem w góra 5 bankach, ale niemal wszędzie planowano z niego rezygnować (i być może do chwili obecnej – już zrezygnowano). Dlaczego? Bo łączenie funkcji ABI i ASI nie jest wskazane, ponieważ ABI kontroluje m.in. ASI, a więc trudno byłoby tu uniknąć efektu samokontroli.

Ponad 90% przypadków to takie, w których funkcję ABI pełni bądź Główna Księgowa bądź inny, nie-informatyczny specjalista. Takie są realia BS-ów z uwagi na strukturę kadrową. A model ten może się sprawdzić, i to zupełnie przyzwoicie.

Co ma robić ABI?

ABI ma trzy rodzaje zadań:

  • zadania kreatywne, czyli tworzenie bądź współtworzenie mechanizmów bezpieczeństwa (np. projektowanie procedur, czy opracowywanie bankowej dokumentacji zwiazanej z ochroną informacji),

  • partycypacja w procesach bezpieczeństwa, czyli uczestniczenie w procedurach bezpieczeństwa poprzez wykonywanie pewnych czynności, zapewniających utrzymanie odpowiednio wysokiego poziomu ochrony informacji w Banku (np. udział w procedurze nadawania czy modyfikacji uprawnień w systemach),

  • zadania audytorsko – kontrolne, czyli kontrolowanie bezpieczeństwa, realizowane poprzez sprawdzanie czy w Banku wykonywane są odpowiednie procedury bezpieczeństwa i czy mechanizmy bezpieczeństwa działają poprawnie (np. sprawdzanie czy robione są i testowane kopie zapasowe, kontrolowanie adektwatności uprawnień w systemach).

Zadania kreatywne

Przykłady (podkreślam – przykłady – w ogólności zadań tych może być istotnie więcej) działań kreatywnych to:

  • tworzenie bądź współtworzenie oraz aktualizacja dokumentacji związanej z bezpieczeństwem – dokumentów polityk bezpieczeństwa, instrukcji zarządzania systemami, ewidencji zbiorów danych osobowych i innych dokumentów wymaganych przez Ustawę o ochronie danych osobowych i rozporządzenia, itp.,

  • tworzenie bądź współtworzenie oraz aktualizacja procedur związanych z bezpieczeństwem – procedur nadawania / modyfikacji uprawnień, procedur ochrony antywirusowej, procedur sporządzania kopii zapasowych (nie chodzi o kwestie techniczne a organizacyjne), zasad restrykcjonowania dostępu do internetu, zasad wstępu do newralgicznych pomieszczeń w Banku, itp.,

  • wypracowywanie zasad wyboru i wdrażania systemów i rozwiazań informatycznych w aspekcie bezpieczeństwa ich funkcjonowania.

Oczywiście przykładów można podać więcej.

Zadania partycypacji w procesach bezpieczeństwa

Przykłady zadań partycypacyjnych to:

  • udział w procedurach nadawania / modyfikacji / odbierania uprawnień,

  • udział w procesach wyboru nowych technologii, planowanych do wdrożenia w Banku,

  • udział w realizowanych w Banku zewnętrznych audytach informatycznych,

  • udział w różnorodnych formach edukacji związanej z bezpieczeństwem IT (konferencje, seminaria, szkolenia, lektury własne).

Oczywiście tu również przykładów można podać więcej.

Zadania kontrolno – audytorskie

Przykłady zadań kontrolno – audytorskich to:

  • sprawdzanie funkcjonowania w praktyce zasad sporządzania kopii zapasowych,

  • okresowe kontrole uprawnień w systemach,

  • okresowe kontrole bezpieczeństwa wykonywania pracy przez personel (zasada „czystego biurka”, ustawienie monitorów w punktach obsługi klientów, stosowanie się do zasad kończenia i przerywania pracy w systemie, itp.)

  • wykonywanie wewnętrznych audytów bezpieczeństwa, o charakterze proceduralno – formalnym (przynajmniej; ABI może też wykonywac techniczne audyty, o ile posiada odpowiednie kompetencje informatyczne).

I tu, rzecz jasna, można podać więcej przykładów.

Inne zadania wynikające z Ustawy o ochronie danych osobowych

Obowiązków formalnych, wynikajacych z Ustawy i towarzyszących jej rozporządzeń, jest wiele – polegają one na prowadzeniu w Banku odpowiedniej dokumentacji i odpowiednich ewidencji. Nie chcę się tu zbytnio nad tym rozwodzić, bo nie to jest głównym tematem publikacji.

Chcę jednak zwrócic uwagę na jeden obowiązek; obowiązek dokonywania tzw. „sprawdzeń”. Ja owe „sprawdzenia” nazywam auto-inspekcją, czyli takim samodzielnym audytem wewnętrznym, dokonywanym przez ABI. Ma on być robiony okresowo (z zapisów prawa wynika, że przynajmniej raz w roku) oraz na żadanie GIODO. To, że w przypadku zaistnienia takiej potrzeby (np. w wynku skargi klienta na Bank do GIODO), sprawdzenie takie dokonuje lokalny ABI, a nie inspektorzy z GIODO, ma w moim odczuciu, dla Banku same plusy.

Jednak warto zgłosić ABI do GIODO

Pisałem już na ten temat dość obszernie w BS BLOGU (artykuł „Dlaczego warto zgłosić ABI do GIODO?” – https://bankispoldzielcze.wordpress.com/2015/11/03/dlaczego-warto-zglosic-abi-do-giodo/) oraz wygłaszałem wykłady na ten temat na 2 lub 3 konferencjach (tu nagranie z jednej z nich: https://bankispoldzielcze.wordpress.com/2015/11/03/wideo-z-wykladu-lepiej-zglosic-abi-do-giodo/), więc nie będę przytaczał tu całego uzasadnienia. W skrócie; po przeanalizowaniu „za” i „przeciw”, doszedłem do wniosku, że jednak warto zgłosić ABI do GIODO, a głównym (choć nie jedynym) powodem jest wspomniana auto-inspekcja, nazywana w Ustawie „sprawdzeniem”. Przytoczę tu swoje pytanie z w/w publikacji:

Zadam więc Państwu pytanie: czy wolą Państwo, żeby kontrolę przestrzegania przepisów ochrony danych osobowych zrobił na miejscu Państwa kolega / koleżanka z Banku (będący / będąca bankowym ABI), czy też wolą mieć Państwo na głowie inspektorów GIODO, kręcących się po Banku i przeszkadzających w pracy?”

Odpowiedź nasuwa się sama.

Obawy ABI

Jeśli chodzi o obawy ABI dotyczące merytoryki pracy, to wynikają one głównie z faktu, że najczęściej osoby pełniące tę funkcję w Banku czują deficyt wiedzy informatycznej. Coż – nic bardziej sensownego, niż ten deficyt wyelimnować.

Zaktualizowany program konf. „Głos Inspektorów Ochrony Danych (ABI)”

Powiązane wpisy