IT - GF24.pl
Transkrypt
IT - GF24.pl
45 BIZNES RAPORT GAZETA FINANSOWA 4–10 marca 2016 r. IT DLA FINANSISTÓW Ostatni dzwonek na spełnienie wytycznych IT Komisji Nadzoru Finansowego Instytucje finansowe od lat funkcjonują w oparciu o restrykcyjne przepisy, dotyczące także obszarów technologii informacyjnych. W pogoni za cyfryzacją warto wziąć pod uwagę płynące z niej cyberzagrożenia. Z końcem 2014 roku Komisja Nadzoru Finansowego zobligowała wszystkie instytucje finansowe do spełnienia wytycznych dla systemów teleinformatycznych. Najwyższy czas zaangażować kierownictwo i pracowników, poszukać firmy konsultingowej i ruszyć do pracy. Termin spełnienia wytycznych mija 31 grudnia 2016 roku. Jakub Roszewski KNF dostrzega problem zagrożeń płynących ze stosowania technologii informacyjnych. Od wielu lat banki mają obowiązek spełnienia wytycznych opisanych w Rekomendacji D, a od niedawna objęły one pozostałe instytucje z sektora finansów. Termin zapewnienia zgodności jest bliski, jednak nadal zdecydowana większość organizacji nie podjęła odpowiednich kroków. Mit: za bezpieczeństwo informacji odpowiada IT Wśród działających w Polsce przedsiębiorstw nadal krąży błędne prze- konanie, iż za cyberbezpieczeństwo odpowiadają działy IT. Takie podejście wykreowali dostawcy systemów informatycznych oraz urządzeń, wmawiając klientom, że zakup urządzeń i systemów informatycznych wystarczy. Jakkolwiek technologie odgrywają znaczącą rolę, tak ochrona przed cyberzagrożeniami powinna być wpisana w strategię organizacji, być częścią jej procesów oraz stanowić przedmiot nadzoru najwyższego kierownictwa. Takie podejście od lat jest propagowane w międzynarodowych normach i standardach. Konsekwencje cyberataków, wycieków danych ostatecznie poniesie kierownictwo, które będzie musiało tłumaczyć się przed klientami oraz jednostkami nadzorującymi, takimi jak chociażby wspomniana KNF. Stąd warto zbudować świadomość wśród wszystkich pracowników w organizacji i przekonać ich, że ich zaangażowanie jest konieczne, by chronić przetwarzane informacje, a tym samym interes całej firmy, jej reputację i zaufanie klientów. To podejście odzwierciedlają tytułowe wytyczne KNF, które jednoznacznie wskazują na takie role, jak: najwyższe kierownictwo, właściciele procesów i użytkownicy. Niezbędne jest jak najszybsze rozpoczęcie działań. Zbudowanie odporności jest zadaniem, którego nie można zrealizować z dnia na dzień. Osiągnięcie założonych celów trwa latami. i skuteczne podejście do ochrony informacji. Z czasem pozwoli to na ograniczenie kosztów chociażby incydentów bezpieczeństwa, wycieków danych oraz ataków cyberprzestępców. Skorzystanie ze standardów daje również możliwość certyfikacji przez akredytowaną jednostkę. Certyfikat stanowi jednoznaczne potwierdzenie istotności ochrony informacji dla organizacji, wpływa na zaufanie klientów oraz przewagę konkurencyjną. W tym momencie na mechanizmy cyberbezpieczeństwa patrzymy z perspektywy korzyści. Perspektywa korzyści, nie kosztów 22 wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego podzielone zostały na 4 obszary dotyczące strategii i organizacji bezpieczeństwa IT, jego rozwoju, utrzymania oraz zarządzania bezpieczeństwem. Co ważne, zapewniając zgodność z wytycznymi KNF, warto wspomóc się normami ISO serii 27000, np. ISO/IEC 27001. Jest to uznany i z powodzeniem stosowany na całym świecie standard, dzięki któremu przy wsparciu profesjonalnej firmy doradczej, można osiągnąć znakomite rezultaty oraz zbudować spójne Konsekwencje niezgodności Niewiele instytucji finansowych zdaje sobie sprawę z konsekwencji niestosowania wytycznych Komisji Nadzoru Finansowego. O ile banki zmagają się z Rekomendacją D od dłuższego czasu, o tyle dla pozostałych przedstawicieli sektora finansów wytyczne te stanowią nowość. Tym bardziej należy potraktować je poważnie. Konsekwencją ich niespełnienia mogą być negatywne wyniki kontroli KNF, kary finansowe, czy nawet odebranie licencji na prowadzenie działalności. Warto jednak pójść o krok dalej. Klienci są coraz bardziej świadomi zagrożeń płynących z korzystania z dobrodziejstw techniki, a co za tym idzie, oczekują od usługodawców odpowiedniego poziomu ochrony powierzonych danych. Jego brak poskutkuje naruszeniem bezpieczeństwa danych, a tego klienci nie wybaczą. Prasa i Internet z chęcią opisują każdy incydent bezpieczeństwa, z jakim stykają się instytucje finansowe. Skuteczne i ciągle doskonalone procesy zarządzania bezpieczeństwem informacji pozwolą zatem uchronić się przed skutkami prawnymi, finansowymi oraz ochronią reputację i zaufanie klientów. Zwłaszcza to ostatnie utracone może już nigdy nie powrócić. Aby być zgodnym z wytycznymi KNF, należy pamiętać o kilku zasadach: • Nie wystarczą systemy i urządzenia – konieczne jest zaangażowanie i uświadamianie ludzi, • Warto skorzystać z usług firmy doradczej, • Konieczna jest współpraca pomiędzy biznesem a IT • Cyberbezpieczeństwo powinno być elementem strategii organizacji • Zarządzanie bezpieczeństwem to proces, który należy ciągle monitorować i doskonalić. Autor jest starszym specjalistą w firmie doradczej IMMUSEC Sp. z o.o. 46 IT DLA FINANSISTÓW GAZETA FINANSOWA 4–10 marca 2016 r. SYSTEMY BPM BIZNES RAPORT jak pomagają pracodawcom zarządzać zespołem Zarządzanie przedsiębiorstwem oparte jest obecnie na efektywnym wykorzystaniu wszystkich działań występujących w procesie wytwarzania dóbr lub usług rynkowych. Wskazany jest zatem podział przedsiębiorstwa na szereg następujących po sobie wzajemnie zazębiających się działań, czyli procesów biznesowych. W zdecydowanej większości przypadków nie chodzi o wyodrębnienie w sensie organizacyjnym, ale głównie pod względem podziału na kluczowe elementy wytwórcze przedsiębiorstwa. Janusz Kaszuba Po s zc ze g ó l n e procesy przedsiębiorstwa mogą zachodzić na wielu poziomach organizacyjnych i być dość trudne do wyodrębnienia oraz opisania dla kierownictwa przedsiębiorstwa. Podejście do procesów biznesowych wymaga analizy produktywności. Ta zaś powinna opierać się o jasno skonstruowane wskaźniki. Opisywane procesy w danym obszarze działania przedsiębiorstwa powinny być czytelne i jasno określone, czyli efekt danego procesu winien być przeliczony na jednostkę odniesienia. Każde przedsiębiorstwo charakteryzują specyficzne procesy biznesowe i często w różnych firmach nawet tej samej branży istniejące procesy mogą znacznie się różnić. Jednak w zdecydowanej większości organizacji kluczowe procesy są porównywalne i można wskazać ich cechy wspólne. Podstawa – stałe procedury Ważna jest powtarzalna jakość i utrzymanie przewidywalnego poziomu funkcjonalnego. W wielu przypadkach, zwłaszcza małych firmach cechy produktu osiąga się tradycją wytwarzania, doświadczeniem lub rutyną. Procedury wy- twarzania są wypracowane przez lata i przekazywane często z pokolenia na pokolenie, podobnie jak procesy zarządzania, relacje z pracownikami i ogólnie funkcjonowanie przedsiębiorstwa. Jednak w przypadku profesjonalnych przedsiębiorstw, oferujących skomplikowane produktu lub usługi o dużej skali oddziaływania, proste systemy zarządzania nie wystarczają. Sięgamy wówczas po narzędzia, bardziej wyrafinowane, czyli BPM (Business Process Management) – systemy zarządzania procesami przedsiębiorstwa. nia jakości i ich powtarzalności, ale z drugiej strony ogranicza inwencje twórcze pracowników prowadząc do ograniczania ich roli do odtwarzania zadań zdefiniowanych w mniej lub bardziej szczegółowo opisanych procedurach. Niewątpliwie wdrożenie systemów BPM, nie zależnie od jej skali, prowadzi do usprawnienia procesów biznesowych, co często przekłada się na konkretne oszczędności w działaniu przedsiębiorstwa, zarówno w wymiarze finansowym, jak również poprzez zmniejszenie utylizacji innych zasobów. W wielu organizacjach jednak wdrożenie systemów BPM jest czynnością jednorazową. Procesy są identyfikowane, modelowane i opisywane, a następnie dość pokaźna dokumentacja wędruje do szuflady i tam leży jako kawał dobrej, ale nikomu nie potrzebnej roboty. Jednak podejście do systemów BPM zmienia się na lepsze. Część przedsiębiorców pragmatycznie podchodzi do systemów zarządzania procesami, widząc w nich narzędzia do oszczędności, zwiększenia wydajności i podniesienia własnej konkurencyjności. Świadomość przedsiębiorców Pozytywne zmiany można zaobserwować również w zasadach przyznawania dofinansowania ze środków unijnych. Wiele instytucji wdrażających programy unijne w warunkach konkursu wprowadza wymogi co do konieczności przedstawienia w dokumentacji aplikacyjnej opisu i modelu procesów biznesowych w planowanym projekcie. Przykładowo, w Regionalnym Programie Operacyjnym Województwa Mazowieckiego 2014-2020, w naborach e-zdrowie i e-administracja, wprowadzony został fakultatywny wymóg przedstawienia „Analizy procesów biznesowych związanych ze świadczeniem usług” punktowany na poziomie ok. 10 proc. wszystkich możliwych do zdobycia punktów. W ramach kryterium, aby zdobyć te punkty, wnioskodawca musi przed- stawić analizę procesów biznesowych związanych ze świadczeniem usług, z uwzględnieniem stanu aktualnego i docelowego. Jak również przedstawić analizę uwzględniającą mapę procesów biznesowych, modele kluczowych procesów biznesowych, zakres zmian w procesach biznesowych, właścicieli procesów biznesowych. Dla kluczowych procesów biznesowych usługi wnioskodawca musi wskazać cel, czas, koszt realizacji procesu oraz korzyści dla jego uczestników, a także wykazać, że przenoszone w całości lub części do sfery elektronicznej procesy biznesowe są lub w ramach projektu zostaną zoptymalizowane pod kątem świadczenia usług drogą elektroniczną. Jest to znaczna zmiana w wymaganiach wprowadzająca konieczność podejścia procesowego w planowanych projektach, co potwierdza, że systemy BPM mogą być pomocne w zarządzaniu organizacją. Autor jest dyrektorem pionu consultingu Engave sp. z o.o. BPM drogą do optymalizacji działań BPM jest to dość szerokim pojęciem. Ogólnie koncentruje się procesach biznesowych zachodzących w przedsiębiorstwach. Zidentyfikowanie procesów biznesowych jest pierwszym krokiem w systemach zarządzania organizacją. Opisanie i zamodelowanie procesów jest już zadaniem poważniejszym. Natomiast optymalizacja procesów, projektowanie i nadzorowanie ich wdrożenia świadczy o dużej dojrzałości organizacji. Dobrze zamodelowane procesy zmniejszają poczucie chaosu i niedookreślenia na rzecz właściwego przyporządkowania zasobów. Niewątpliwą zaletą wdrożenia systemów BPM jest automatyzacja i standaryzacja procesów, co z jednej strony prowadzi do zapewnienia utrzyma- Szkolenie pracowników a nowe technologie Choć nowe technologie nie są już tak nowe, pracownicy, ale i przełożeni, wciąż nie do końca ufają rozwiązaniom, dzięki którym wykonywanie obowiązków może ulec uproszczeniu, a niezbędne informacje staną się osiągalne z urządzenia mobilnego niezależnie od lokalizacji. Jakub Bejnarowicz Przykładem nie p r z y s t o s ow a nia do nowych rozwiązań jest chociażby technologia chmurowa, która wciąż nie budzi całkowitego zaufania przedsiębiorców. Oczywiście to, na ile jesteśmy w stanie przejść do chmury zależy od tego, w jakiej branży działamy. Przyjmuje się, że najmniej chętnie korzystają z niej finansiści, najchętniej natomiast branża handlowa, logistyczna i produkcyjna. Z naszych badań „Effect of cloud computing on management accounting” wynika, że jedynie 25 proc. wszystkich firm korzysta z rozwiązań chmurowych, z czego 66 proc. preferuje modele prywatne lub hybrydowe. Już sam wybór świadczy o ograniczonym zaufaniu względem tej technologii. Ochrona danych a brak zaufania do technologii Obawy dotyczą głównie bezpieczeństwa danych i lęku przed ich wyciekiem. W ostatnich latach faktycznie obserwowaliśmy tego typu problemy. Na przestrzeni minionej dekady mieliśmy do czynienia z wykradaniem informacji z sektora bankowego, wojskowego, a nawet rządowego. Dwa lata temu hakerzy nie oszczędzili również gwiazd show-biznesu. Tymczasem, jak twierdzą specjaliści IT, zabezpieczenia chmurowe są wbrew pozorom o wiele bardziej solidne niż te, które chronią typowe biurowe oprogramowanie. Głównie dlatego, że za rozwiązaniem chmurowym stoi jego dostawca, zapew- niający dodatkowy backup i służący ekspertyzą. Rezygnując z chmury, przedsiębiorcy zapominają o jej zbawiennym wpływie na funkcjonowanie biznesu. Raport CIMA wskazuje chociażby łatwiejsze administrowanie systemem, zwiększenie efektywności procesów biznesowych, a także oszczędność czasu i pieniędzy. Edukacja pracowników Z badań SC Magazine, tytułu skierowanego do specjalistów IT zajmujących się systemami zabezpieczającymi, wynika, że najpopularniejszą metodą ochrony informacji przechowywanych w chmurze jest szyfrowanie danych i sieci. Na dalszych miejscach plasują się kontrola dostępu i szkolenia z zakresu bezpieczeństwa – czyli niezbędne działanie w momencie wprowadzania do firmy nowego narzędzia. Równie ważne jest poinformowanie pracowników o zmianach, które zajdą, dlatego spotkania wyjaśniające, dlaczego decydujemy się wprowadzić w życie firmy rozwiązania chmurowe i co dzięki temu zyskamy należałoby przeprowadzić jeszcze przed podjęciem faktycznych kroków. To przygotuje pracowników na niewątpliwie trudniejsze momenty, kiedy jeszcze nie wszystko będzie działać tak jak powinno lub kiedy trzeba będzie pozbyć się starych przyzwyczajeń. Autor jest szefem CIMA w Europie Środkowo-Wschodniej IT DLA FINANSISTÓW BIZNES RAPORT 47 GAZETA FINANSOWA 4–10 marca 2016 r. BIG DATA SIŁA NAPĘDOWA DLA FIRM „Data is the new oil” to chyba jeden z najczęściej powtarzanych cytatów w kontekście Big Data. Firmy technologiczne już dawno to zrozumiały i budują swoją strategię na bazie danych, które przetwarzają. W nich szukają przewagi konkurencyjnej, budują produkty w oparciu o wartość, którą daje analiza danych. Rafał Małanij Zupełnie inaczej wygląda sytuacja pozostałych firm, które przyglądając się branży (teraz każdy mówi o Big Data) zastanawiają się nad implementacją bądź prowadzą już pierwsze eksperymenty. Przechowywanie danych jest coraz tańsze, a decydenci uważnie śledzą sukcesy firm, które korzystają z danych. Zwykle rozmowa z działem analitycznym banku czy firmy ubezpieczeniowej sprowadza się do dyskusji nad przypadkami użycia. Przykłady są, ale częściej z zagranicy niż z naszego rodzimego podwórka. Niby wszyscy zdają sobie sprawę, że Big Data to w gruncie rzeczy eksperyment badawczy i poza oczywistym przyspieszeniem niektórych analiz, które umożliwia nam technologia, reszta jest wielką niewiadomą. Trudno przewidzieć, co zobaczymy w naszych danych, ale sukces może stać się przewagą konkurencyjną organizacji. Innowacyjne rozwiązania Zaczynając od początku – Big Data daje nam wiele mniej lub bardziej dojrzałych narzędzi do szybkiego przetwarzania danych. Większość to rozwiązania Open Source, więc dla skostniałych środowisk IT może być to spore wyzwanie. Mamy szereg gotowych środowisk typu Hortonworks czy MapR bądź Datastax Enterprise, ale bazują one na stabilnych wersjach darmowych rozwiązań. Niemniej właśnie środowisko Open Source jest głównym innowatorem w obszarze przetwarzania i analizy danych. Jednocześnie rozwój technologii jest niezwykle dynamiczny – pierwsze wydanie Hadoopa pojawiło się niespełna 5 lat temu, a już teraz mamy kilka alternatywnych rozwiązań. Planując strategię adopcji Big Data, należy brać pod uwagę ogromne tempo rozwoju technologii. Często innowatorem w zakresie Big Data w organizacjach jest departament IT, który sam wewnętrznie przetwarza duże ilości danych. Monitoring i detekcja zdarzeń w infrastrukturze, czyli systemy klasy SIEM (Security Information and Event Management), to nie jest nic nowego. Je- Narzędzia sektora IT – komputery, sprzęt biurowy, jakiego dostawcę wybrać, aby firma działała sprawnie i bez przerw? Wybór sprzętu, z jakiego będzie korzystać firma, zależy od rozmiaru przedsiębiorstwa oraz liczby użytkowników. Odpowiednie narzędzia zminimalizują czas pracy, a w dłuższej perspektywie również koszty. Leszek Bareja Ważnym elementem wyposażenia biurowego jest sprzęt drukujący. W niewielkich firmach i tych z segmentu SOHO (small office/home office) dobrze sprawdzają się zazwyczaj urządzenia o małej szybkości druku z tonerami o niewielkiej wydajności. Jeżeli chodzi jednak o średnie i duże przedsiębiorstwa, gdzie z jednego urządzenia korzysta nawet kilkadziesiąt osób, zdecydowanie lepiej postawić na sprzęt umożliwiający szybkie wykonanie wydruku i minimalizujący czas przestoju. Wymierne korzyści inwestycji Nie bez znaczenia pozostaje również kwestia wydajności materiałów eksploatacyjnych. W urządzeniach formatu A3, używanych najczęściej przez duże firmy, koszt wydruku kolorowego może być niższy nawet o kilkanaście groszy w stosunku do urządzeń A4. W przypadku urządzenia, które drukuje kilka tysięcy stron miesięcznie, przekłada się to na oszczędności rzędu kilkudziesięciu tysięcy w całym okresie eksploatacji. Dla dużych przedsiębiorstw Rozwiązaniem dla dużych firm i korporacji, które przywiązują wagę do bezpieczeństwa danych, są systemy zarządzania drukiem, zapewniające poufność danych i możliwość wygenerowania raportów z informacją o użytkownikach i wykonywanych przez nich operacjach. Mogą się one okazać skutecznym uzupełnieniem standardowego wyposażania urządzeń w szyfrowany twardy dysk i program zamazujący dane. Autor jest product managerem w Xerox Polska śli już gromadzimy logi techniczne, to dlaczego nie zacząć gromadzić logów biznesowych? Po stronie biznesu wielu organizacji z sektora finansowego pojawiają się pomysły jakie dane można zbierać i udostępniać w organizacji tworząc, tzw. data lake, tak, aby w przyszłości poddać je analizie. Dosyć ciekawa jest również koncepcja stworzenia jednolitego źródła danych dla aplikacji biznesowych i w ten sposób uproszczenie infrastruktury bazodanowej oraz optymalizacja kosztów licencji obecnych rozwiązań. Zmiana myślenia Szybsze przetwarzanie danych („data crunching”) i bardziej efektywne przechowywanie danych to sposób na obniżenie kosztów, ale dopiero wgląd w te dane i ich analiza z wykorzystaniem metod statystycznych („data science”) daje rzeczywistą wartość dla biznesu. Tutaj kluczowe jest określenie stopnia adopcji rozwiązań analitycznych w organizacji. Jeśli biznes przyzwyczajony jest do oglądania wykresów pochodzących z tradycyjnych rozwiązań klasy Business Intelligence oraz relatywnie prostej analityki z wykorzystaniem popularnych pakietów analitycznych to przekonanie decydentów do eksperymentów z połączenia danych biznesowych z danymi nieustrukturyzowanymi, pochodzącymi dodatkowo spoza organizacji, może być nie lada wyzwaniem. Tutaj trzeba pamiętać o ograniczeniach w przetwarzaniu danych objętych tajemnicą bankową, szczególnie, jeśli chcemy je przetwarzać poza wewnętrznym środowiskiem IT. Zwykle dział compliance w ogóle nie chce o czymś takim słyszeć, chociaż pojawiają się już pierwsze implementacje. Szerokie możliwości Mimo że branża finansowa jest raczej konserwatywna, w wielu ob- szarach poziom analityki jest dosyć wysoki. Jednym z naturalnych obszarów, w których wykorzystuje się obecnie analizę danych jest zarządzanie ryzykiem i detekcja nadużyć. Z jednej strony technologia Big Data daje możliwości technologiczne do analizy danych strumieniowych w czasie rzeczywistym i podejmowania akcji praktycznie natychmiast po zaistnieniu podejrzanego zdarzenia, a z drugiej umożliwia również analizę danych nieustrukturyzowanych. Warto również zwrócić uwagę na fakt, że coraz częściej reguły biznesowe, na podstawie których podejmowane były decyzje, są zastępowane modelami statystycznymi, które powstają w wyniku wykorzystania uczenia maszynowego (Machine Learning). W tym momencie ta dziedzina staje się bardzo popularna i wiele organizacji pracuje nad rozwojem swoich algorytmów, które będą podejmowały decyzje na podstawie danych. Inwestycja w poprawę efektywności zarządzania ryzykiem daje wymierne korzyści finansowe w postaci niższych kosztów ryzyka, bardziej szczegółowych scoringów czy szybszej reakcji na próby nadużyć. Widoczna poprawa kontaktów z klientami Drugi z obszarów, który wraz z rozwojem analityki zyskał na znaczeniu, to wszystkie aktywności związane z klientem. Przede wszystkim narzędzia Big Data oraz praca z danymi pochodzącymi z wewnątrz, jak i z zewnątrz organizacji pozwalają nam lepiej tego klienta opisać i zrozumieć. Te informacje pozwalają na przygotowanie modeli predykcyjnych – dwa najbardziej popularne to Next Best Action oraz Churn. Wiele organizacji już robi takie analizy, ale raczej z wykorzystaniem tradycyjnych narzędzi. Big Data daje nam możliwość poszerzenia spektrum analizowanych cech o np. analizę behawioralną, czy dane pochodzące z Internetu (np. analiza sentymentu). Branża finansowa co najwyżej eksperymentuje w tym obszarze, chociaż odważne wykorzystanie Machine Learning na pewno przyniesie innowatorom przewagę konkurencyjną. Od strony biznesu ważnym aspektem jest wizualizacja wyników analiz. W najbliższym czasie ten aspekt będzie stawał się coraz ważniejszy – proste wykresy już nie spełniają swojej roli. Praca zespołowa – klucz do sukcesu Big Data wymaga unikalnych kompetencji. Data Scientist łączy ze sobą umiejętności programistyczne, statystyczne i wiedzę dziedzinową. Mimo że branża finansowa nie jest specjalnie hermetyczna i mamy wielu świetnych specjalistów, to raczej będziemy się borykali z brakiem takich kompetencji. Dobrym rozwiązaniem jest łączenie tych trzech obszarów w postaci autonomicznych zespołów, które wspólnie mogą pracować nad danymi i modelami analitycznymi. Nieuchronna jest również demokratyzacja Big Data, czyli oddanie w ręce biznesu uproszczonych narzędzi do analizy danych. Aktualnie pytaniem, które nurtuje wielu w branży nie jest „czy”, tylko „co” i „jak” analizować oraz… „od czego zacząć?”. Jest pewne, że organizacje, które nie zaczną analizować swoich danych w pewnym momencie, staną w miejscu, a peleton zniknie za zakrętem. Tym bardziej, że stoimy przed kolejną rewolucją, którą niesie ze sobą Internet of Things oraz ilość danych, które będziemy mogli analizować. Autor jest practice sales managerem w Sii Polska