Zalecenia dla ubezpieczycieli i reasekuratorów, które wydała Komisja Nadzoru Finansowego (KNF) na ostatnim posiedzeniu, przeszły prawie bez echa. Szkoda, bo są nie mniej ważne niż wytyczne KNF w sprawie OC, czy zarządzania ryzykiem powodzi. Spełnienie wymagań nadzoru daje nadzieję, że liczba awarii i incydentów bezpieczeństwa będzie zdecydowanie mniejsza.
KNF zwraca uwagę, że systemy informatyczne należy dostosować do rozwoju technologicznego. Dodaje, że technologie mają coraz większe znaczenie dla ryzyka działalności nadzorowanych podmiotów. Zalecenia wpisują się w dostosowaną do potrzeb poszczególnych sektorów wersję Rekomendacji D, wydanej w 2013 r. i dotyczącej zarządzania technologiami informatycznymi i bezpieczeństwa.
Regulator wydał 22 wytyczne dla sektora ubezpieczeniowego, dzieląc je na 4 obszary. Wyraźnie wskazuje potrzebę systematyzacji i kompleksowego podejścia do inicjatyw związanych z bezpieczeństwem i jakością używanych rozwiązań teleinformatycznych, co jest w interesie zarówno klientów, jak i samych ubezpieczycieli. KNF oczekuje, że firmy zadbają o obiektywną weryfikację i usprawnienie swoich procesów i operacji IT. Podkreśla także rolę zaangażowania w tym celu zarówno własnych zasobów technicznych i biznesowych firm ubezpieczeniowych, jak i dostawców rozwiązań teleinformatycznych oraz niezależnych audytorów zewnętrznych. Istotne są także zalecenia szczegółowe – na przykład to, że weryfikacje środowiska teleinformatycznego powinny być przeprowadzane każdorazowo po wprowadzeniu znaczących zmian.
Według KNF towarzystwa powinny posiadać sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn. Firmy z branży mają czas na wdrożenie zaleceń do 31 grudnia 2016 r.
Tomasz Szadkowski, prezes Soflab Technology
Więcej o zaleceniach na stronie KNF: http://www.knf.gov.pl/regulacje/praktyka/wytyczne_IT.html