23.1.08

COBIT: temelj za provedbu smjernica HNB

U završnom zapisu iz 2007. godine naveo sam najznačajnije događaje u informacijskoj sigurnosti za Hrvatsku. Jedan od događaja je i objava odluke Hrvatske narodne banke o primjerenom upravljanju informacijskim sustavom iz kolovoza 2007. Ova odluka osnažuje Smjernice HNB-a iz 2006. propisujući pojedinačne rokove realizacije za svako područja upravljanja informacijskim rizicima. Naravno, bankari su ove zahtjeve dočekali na različite načine. S jedne strane, neki su ukazali na dodatno opterećenje - ionako opterećenih - informatičkih službi u bankama. S druge strane, dalekovidniji/optimističniji se nadaju da bi ovi propisi mogli unijeti dodatnog reda u, ponekad, kaotično i improvizirajuće upravljanje informacijskim sustavima.

Tko bi trebao biti nositelj incijative za provedbu smjernica HNB-a? Kandidata ima nekoliko. IT služba se nameće nekako prirodno. No, smjernice prelaze okvire informatičkih odjela. Upravljanje rizikom informacijskog sustava, barem po imenu, ulazi u područje odgovornosti sektora koji se bave rizicima. Upravljanje kontinuitetom poslovanja obuhvaća posebene stručne timove ali dodiruje i poslovanje banaka u cjelini. Nemojte zaboraviti ni internu reviziju koja će ovim smjernicama dobiti nove obveze - reviziju informacijskog sustava.

Da bi provedba smjernica postala zajednički zadatak svih spomenutih strana, banke moraju izabrati zajednički radni okvir utemeljen na opće prihvaćenom standardu.

Čemu se treba okrenuti?
Ja sam namjere smjernica HNB-a komentirao u studenom prošle godine na CIO konferenciji u Zagrebu i Ljubljani, te sam istaknuo da se smjernice moraju pročitati kao inovativni poticaj koji će pomoći u provedbi IT Governance incijativa. Zapravo, IT Governance mora biti opći okvir čije bi donošenje i provedba trebalo ako ne prethoditi, onda barem olakšati provedbu samih smjernica. Stoga se kao najbolje rješenje za radni okvir kod provedbe smjernica HNB-a nameće COBIT. COBIT u sebi sadrži mehanizam za izbor i praćenje provedbe kontrolnih mjera. Dakle, biti će od velike pomoći u početnoj fazi provedbe smjernica - upravljanju rizikom informacijskog sustava. Izbor kontrolnih mjera poslužiti će odjelu interne revizije za uspostavu metodologije revizije informacijskog sustava, ali i za provedbu same revizije. Nadalje, COBIT sadrži i mnoge alate pomoću kojih je
moguće provesti potrebne mjere. Mislim prije svega na publikacije koje objavljuje ITGI Institute, a posebno su inspirativni IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance i IT Control Objectives for Sarbanes-Oxley. Pogledajte svakako i COBIT Mapping: ISO/IEC 177995:2005 With Cobit 4.0 zato što jako dobro ilustrira komplementarnost dviju općeprihvaćenih normi, te ukazuje područja u kojima je uloga COBIT-a nenadomjestiva (mislim na procese praćenja uspješnosti provedbe i kontinuiranog nadzora sigurnosnih procesa).

(NAPOMENA: Neki od gornjih dokumenata su dostupni samo članovima ISACA-e)

Primjenom COBIT-a postiže se nekoliko doprinosa. Prvo, snizuju se troškovi postupka provedbe. Drugo, ugrađuje se mehanizam za djelotvornu provjeru provedenih mjera, čime se već sada stvaraju preduvjeti za niže troškove budućih redovitih revizija. Treće, uprava će moći u kratkom roku primjeniti neophodne IT Governance procese. Pored toga, treba predvidjeti da će se s vremenom pojaviti i dodatni regulatorni zahtjevi. Primjenom COBITA već u ovoj fazi obavili ste skoro polovicu budućih zadataka.

Nema komentara: