Dlaczego publikujemy to teraz?
DORA powoduje, że rynek przestaje pytać „czy warto”, a zaczyna pytać „jak wdrożyć i jak pokazać dowody”. To moment, w którym standardy stają się obowiązkowe i liczy się szybkość oraz jakość dostarczenia sprawdzonego rozwiązania.
Dlatego Servus Comp Kraków przekazuje bankom kolejną kluczową dokumentację – gotową do wdrożenia, prostą, tabelaryczną i spójną z realiami banków spółdzielczych. Celem jest to, aby bank miał nie tylko narzędzie PAM, ale również komplet zasad i dowodów, które „bronią się” w czasie audytu i kontroli.
Banki – niezależnie od wielkości – mają obowiązek wykazywać skuteczną kontrolę nad dostępem uprzywilejowanym (administratorzy, role specjalne w systemach core, serwis/dostawcy). Po DORA temat „kto i co zrobił” nie może opierać się na zaufaniu ani na ustaleniach ustnych. Musi opierać się na dowodach: zasadach, rejestrach, decyzjach, retencji nagrań i raportowaniu do Zarządu.
Dlatego Servus Comp Kraków przygotował wzorcowy pakiet dokumentacji PAM do wdrożenia w banku spółdzielczym. Dokumentacja jest uniwersalna – można ją stosować niezależnie od wybranego narzędzia PAM i niezależnie od systemu core. W materiałach jako przykładowe środowisko odniesienia uwzględniono m.in. rozwiązanie BackOnII „I SEE YOU” oraz system core Novum NUX, ale te same zasady wdraża się również przy innych narzędziach PAM i innych systemach finansowo-księgowych.
Dlaczego to jest niezbędne w banku?
Dostęp uprzywilejowany to najszybsza ścieżka do ryzyka ICT. Jedna sesja może:
nadać lub odebrać uprawnienia,
zmienić konfigurację systemu,
wykonać operacje masowe w systemie core,
otworzyć lub zamknąć dostęp do infrastruktury banku,
utrudnić odtworzenie zdarzeń, jeśli nie ma ewidencji i nagrań.
W bankach spółdzielczych dochodzi jeszcze jeden element: wielofunkcyjność stanowisk. Często nie tylko „administrator IT” ma uprawnienia o podwyższonym ryzyku. Zdarza się, że role specjalne w systemie core ma również Główny Księgowy, osoby od rozliczeń, sprawozdawczości czy zastępstwa. Z punktu widzenia kontroli liczą się nie nazwy stanowisk, tylko realne uprawnienia i możliwość wykonania czynności o wysokim wpływie.
Co bank zyskuje dzięki tej dokumentacji (język korzyści)?
1) Rozliczalność działań i spokój na audycie
Bank jest w stanie pokazać: kto miał dostęp, kiedy, do jakiego systemu, w jakim celu i co zrobił. Audyt nie opiera się na deklaracjach, tylko na dowodach.
2) Mniejsze ryzyko nadużyć i błędów
Nadzór oraz rejestracja sesji działa prewencyjnie. Ogranicza „działania na skróty”, wymusza standard i poprawia dyscyplinę operacyjną.
3) Uporządkowane dopuszczanie dostawców i serwisu
Zamiast uzgodnień telefonicznych bank stosuje jasny standard: dostęp imienny, na czas zadania, w oknie serwisowym, z rejestracją i cofnięciem dostępu. To minimalizuje ryzyko outsourcingu i ułatwia kontrolę.
4) Ułatwienie pracy ASI i ABI
ASI dostaje gotowe kroki operacyjne, checklisty i standard obsługi serwisu. ABI dostaje zasady retencji, kontroli wglądu do nagrań, rejestry i wzór raportu do Zarządu.
5) Realny nadzór Zarządu
Zarząd otrzymuje kwartalny raport: liczby sesji, sesje dostawców, odstępstwa, rekomendacje i decyzje. Dzięki temu nadzór jest „domknięty” i wykazywalny.
Co zawiera pakiet dokumentacji PAM do wdrożenia w banku?
Pakiet obejmuje sześć dokumentów, które razem tworzą kompletną ścieżkę dowodową:
PAM 01 – Polityka nadzoru nad dostępem uprzywilejowanym
Ustala zasady: kogo obejmujemy nadzorem, po co, jakie są role i odpowiedzialności.PAM 02 – Procedura typowania użytkowników objętych nagrywaniem
Określa kryteria wskazywania osób/ ról do nadzoru (również przy wielofunkcyjnych stanowiskach) oraz sposób zatwierdzania wykazu.PAM 03 – Procedura dopuszczania dostawców/serwisu
Standaryzuje dostęp „na czas zadania”, warunki dostępu, okna serwisowe, cofanie dostępów i minimalizację uprawnień.PAM 04 – Instrukcja retencji, dostępu do nagrań i raportowania
Określa jak długo przechowujemy nagrania i ewidencję sesji, kto może oglądać, jak dokumentujemy wglądy i jak raportujemy do Zarządu.PAM 05 – Instrukcja operacyjna użytkownika dla ASI i ABI
Daje prostą instrukcję utrzymania i kontroli działania PAM, obsługi dostawców oraz cyklicznych przeglądów.PAM 06 – Raport kwartalny dla Zarządu
Gotowy wzór raportu pozwalający Zarządowi zarządzać nadzorem w sposób mierzalny.
Jak bank może skorzystać z dokumentacji?
Banki współpracujące z Servus Comp Kraków otrzymują dokumentację w ramach miesięcznych ryczałtów (zgodnie z zakresem współpracy i harmonogramem).
Pozostałe banki, które chcą wdrożyć wzorcową dokumentację PAM lub dopasować ją do własnego narzędzia PAM oraz własnego systemu core, zapraszamy do kontaktu. Przygotujemy wersję dopasowaną do środowiska banku (role, systemy krytyczne, retencja, raportowanie i załączniki), zachowując spójność dowodową i praktyczną użyteczność dla ASI, ABI i Zarządu.
Jeżeli chcesz otrzymać pakiet dokumentów PAM oraz wdrożyć go w swoim banku w sposób kontrolowalny i „pod audyt” – skontaktuj się z Servus Comp Kraków.
Servus Comp Data Security, Świętokrzyska 12/403, 30-015 Kraków
tel. +48 608 407 668, +48 12 631 91 22 • biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS
#PAM #DORA #BankSpoldzielczy #Cyberbezpieczenstwo #BezpieczenstwoICT #ZarzadzanieRyzykiemICT #KontrolaDostepu #DostepUprzywilejowany #PrivilegedAccessManagement #NagrywanieSesji #NadzorNadAdministratorami #AudytIT #AudytDORA #KNF #EBA #RTS #Compliance #Governance #ABI #ASI #NovumNUX #OutsourcingICT #DostawcyICT #BezpieczenstwoInformacji #RejestryiDowody #RaportDlaZarzadu #OperationalResilience #OdpornoscCyfrowa
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.