top of page

Zarządzanie ryzykiem ICT

BCMlogic One jest platformą dedykowaną do zarządzania ryzykiem na różnych poziomach organizacji i dla różnych kategorii ryzyk.  Wśród zastosowań znajdują się zarówno obsługa ryzyk specjalizowanych (Ryzyka Ciągłości Działania, Ryzyka Bezpieczeństwa Informacji) jak i zarządzanie Ryzykami Operacyjnymi i Ryzykami Strategicznymi. Wspólny model danych, mechanizm uprawnień oraz kreator ekranów umożliwiają specjalistycznym zespołom stosowanie metodyki, która jest najbardziej odpowiednia i wymianę informacji z innymi zespołami, według wymagań organizacji.

Aplikacja prowadzi użytkowników przez pełen cykl – od identyfikacji ryzyk, poprzez ocenę ich wpływu i prawdopodobieństwa,  wprowadzenie i monitorowanie planów ograniczenia ryzyka oraz późniejszy audyt zastosowanych rozwiązań. Integralną częścią jest moduł raportowania zarządczego oraz monitorowania wskaźników KRI.

Artykuł 5
Zarządzanie i organizacja

Rozporządzenie:  Ust. 3.    Podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają funkcję w celu monitorowania ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT lub wyznaczają członka kadry kierowniczej (...)

BCMLogic:  Rejestr umów w połączeniu z modułami Ryzyko i Audyt umożliwia regularną ocenę ryzyka oraz monitorowanie ustaleń umownych z zewnętrznymi dostawcami usług ICT

Artykuł 11
Reagowanie i przywracanie gotowości do pracy

Rozporządzenie:  Ust. 3.    W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe wdrażają powiązane z ich działalnością plany reagowania i przywracania sprawności ICT, które w przypadku podmiotów (...)

BCMLogic:  Połączenie danych Modułu BCM z Modułem Audytu skutkuje dodatkowymi możliwościami w zakresie planowania czynności kontrolnych, proponowania, akceptacji i monitorowania rekomendacji i zaleceń pokontrolnych.

Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie

Moduł Zarządzania Incydentami oferuje wszystko co jest potrzebne zaawansowanej organizacji do spełnienia wymogów DORA w tym zakresie. Szczególnie należy zwrócić uwagę na wymaganie „Centralizacji zgłaszania poważnych incydentów związanych z ICT”. Organizacja może korzystać z kilku źródeł informacji o incydentach, szczególnie tam gdzie dany wycinek jest na styku z innym obszarem zarządzania (Incydenty BCM, Incydenty Bezpieczeństwa Informacji, Zdarzenia Operacyjne itd.). W takim przypadku BCMLogic pozwala na prostą integrację tych źródeł i dalsze zarządzanie incydentami w jednym miejscu. Natomiast jeśli organizacja posiada jedno, wspólne narzędzie (tzw. system zgłoszeniowy czy ticketowy) może okazać się, że nie spełnia on wymogów DORA. Wśród typowych ograniczeń można wymienić: brak dobrej  separacji informacji,  brak wsparcia dla prawidłowej klasyfikacji, utrudniona komunikacja pomiędzy różnymi jednostkami w ramach obsługi incydentu, brak spójnych formularzy i dokumentów, a przede wszystkich niedostatek narzędzi monitorujących i raportujących incydenty na poziom osób zarządzających.

BCMlogic One umożliwi połączenie i wzajemne wykorzystanie danych o szacowaniu ryzyka oraz o powiązanych incydentach (materializacja ryzyka) w celu oceny zabezpieczeń i wprowadzaniu zmian mających zwiększać odporność organizacji.

DORA

Testowanie operacyjnej odporności cyfrowej

Testowanie operacyjnej odporności oznacza regularne wykonywanie i nadzorowanie rożnego rodzaju testów: od symulacji sztabowych, poprzez testy systemów zabezpieczeń, odtworzenia i przywrócenia  kluczowych dla procesów biznesowych aplikacji, po testy penetracyjne i socjotechnikę.

Spełnienie wszystkich wymogów  w zakresie testowania operacyjne odporności, wymaga zastosowania narzędzia, które pozwala:

  • Określić jakie elementy powinny podlegać testowaniu  -(wynik wcześniejszej analizy i oceny ryzyk

  • Przygotować i zatwierdzić okresowy (np. roczny) plan testów operacyjności odporności cyfrowej

  • Określić osoby odpowiedzialne za ich wykonanie i poinformować je z odpowiednim wyprzedzeniem

  • Monitorować poziom wykonania testów, aby pod koniec okresu nie okazało się, że większość z nich nie wykonano

  • Rejestrować przebieg i wynik testów w sposób ustrukturyzowany, pozwalający na prosty wgląd w dane przez osoby zarządzające

  • Zgłaszać uwagi i rekomendacje, a przede wszystkim pozwalać na monitorowanie ich implementacji

  • Raportować wyniki testów na poziom zarządczy i nadzorczy.

BCMLogic ONE od lat obsługuje i wspiera utrzymanie odporności organizacji na zdarzenia awaryjne w ramach BCM i DRP, w szczególności u klientów finansowych. Z punktu widzenia aplikacji, zarządzanie testami operacyjnej odporności cyfrowej wymaga jedynie uzupełnienia konfiguracji o nowe typy testów oraz dostosowania niektórych formularzy.

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT

Ryzyko związane z dostawcami usług ICT z punktu widzenia aplikacji jest kolejną kategorią ryzyka, która wymaga parametryzacji, konfiguracji formularzu i uprawnień oraz wdrożenie kolejnego procesu w aplikacji. Wymagania związane z ryzykiem zewnętrznych dostawców są w pełni adresowane przez wspomniany wcześniej moduł Zarządzania Ryzykiem.

bottom of page