IT@BANK 2014: Uczyć trzeba się od najlepszych

Obecnie bankowość znalazła się pod silną presją regulacyjną. Stress-testy, stale zmieniające się wymagania raportowe. Jak to wszystko wpływa na sektor IT?

– Elastyczność i sprawność działania to teraz dla IT sprawa życia lub śmierci. Do niedawna jeśli zbyt wolno wprowadzało się produkt na rynek, traciło się szansę na zarobek. Jest to, oczywiście, frustrujące, ale to jeszcze nie tragedia. Teraz, przy nasileniu regulacji, niedotrzymanie terminu może wiązać się z ogromnymi karami, a nawet utratą licencji na prowadzenie działalności! Oznacza to, że banki potrzebują zupełnie nowego, ulepszonego paradygmatu rozwoju i wdrażania. Musimy wyjść poza hasła „iteracyjny”, „sprawny” i „stały”. W Ab Initio uważamy, że sposobem na sprostanie wciąż zmieniającym się regulacjom jest całkowita zmiana współpracy IT z biznesem. Zmienić się musi model – chodzi nie tylko o JAD (joint application design – współtworzenie aplikacji), ale raczej o holistyczny proces specyfikacji, budowania oraz testów jednostkowych, w którym biznesmeni i informatycy pracują razem.

Kolejnym wymogiem jest zapewnienie lepszej cyberochrony. Dziś nie wystarcza jedynie obrona przed zagrożeniami zewnętrznymi. Musimy również pamiętać o zagrożeniach wewnętrznych. Na czym należy się skupić?

– Tak dużo zdarza się ostatnio ataków na banki, że nie należy się dziwić, iż informatycy skupiają się na zagrożeniach zewnętrznych – hakerach, cyberprzestępcach, błędach w zaporach sieciowych, protokołach SHH, wirusach, r o b a k a c h itd. Czasem nawet zapomina się, że w banku równie ważne, jeśli nie ważniejsze, jest bezpieczeństwo wewnętrzne. Nie chodzi tylko o nieuczciwych pracowników. Wewnętrzne procedury bezpieczeństwa, zarządzanie użytkownikami, pozwolenia i upoważnienia, możliwości pojedynczego logowania – wszystko to jest ważne. Ale równie istotne jest zarządzanie własnymi danymi. Zdarza się, że są one rozproszone lub niewłaściwie przechowywane. Analitycy mają napędzać marketing, uławiać podejmowanie trafnych decyzji kredytowych, zapobiegać oszustwom i ulepszać windykację. Wyciągają zatem dla własnych potrzeb i własnego użytku dane produkcyjne. IT z kolei musi zapewnić zewnętrznym specjalistom dane niezbędne do testów jednostkowych. W ten sposób poufne informacje mogą albo zostać ujawnione, albo też znaleźć się na słabiej zabezpieczonych serwerach.

A przecież bank nie może przeznaczać nieograniczonych środków na ochronę każdego środowiska komputerowego. Dla nas najważniejsza jest odpowiednia procedura przy dostawie oprogramowania i dobry audyt. Chodzi o regularne profilowanie danych po to, by wykryć pola i kolumny zapełnione informacjami wyglądającymi jak identyfikatory podatkowe albo numery kart kredytowych. Powinno się to robić nawet wtedy, gdy znajdują się one na komputerach firmowych, w środowisku SAS. Skalowalny, wielopoziomowy sposób maskowania informacji umożliwia uzyskanie oczyszczonych danych testowych, które nie tylko są zaszyfrowane, ale mogą także przejść walidację, chroniąc przy tym informacje o klientach. Niezwykle istotne jest zarządzanie informacjami w przestrzeni metadanych, w ten sposób można ustalić, ...