UniCredit Bank Slovakia, a. s., vznikla fúziou UniBanky, a. s., a HVB Bank Slovakia, a. s., v apríli 2007. Obe banky už predtým pôsobili na slovenskom trhu vyše 17 rokov a vybudovali si výnimočné renomé v niekoľkých oblastiach. Zlúčením dvoch bánk s rozdielnou stratégiou a zameraním sa vyprolovala nová univerzálna banka so silným zameraním na retailové bankovníctvo, s pevnou pozíciou v oblasti remného bankovníctva a s ambíciou stať sa značkou pre oblasť privátneho bankovníctva na Slovensku. Spojenie sa pozitívne prejavilo vo všetkých oblastiach, čím banka potvrdila svoju silnú a stabilnú pozíciu kľúčového hráča na trhu. UniCredit Bank patrí na slovenskom trhu medzi banky s najvyššou kapitálovou primeranosťou.
Case Study: Systém riadenia kontinuity obchodných činností (pdf, 125 KB)
Riešenie
Spoločnosť TEMPEST pripravila a zaviedla v prostredí UniCredit Bank Slovakia, a. s. (ďalej UCBSK alebo banka), systém riadenia kontinuity obchodných činností – business continuity management (BCM). Projekt pozostával z viacerých etáp, počnúc zhodnotením aktuálneho stavu cez prípravu stratégie obnovy, návrhu plánov kontinuity až po návrh typových plánov revízie a údržby vytvorených plánov a typového plánu školení pre vybrané skupiny zamestnancov. Do projektu boli zainteresované tímy banky i TEMPEST-u pozostávajúce z viacerých odborníkov na rôzne oblasti analytickej, aplikačnej i sieťovej bezpečnosti.
Benefity
Výsledkom projektu je banka kvalitne pripravená na vznik mimoriadnej, neočakávanej udalosti alebo havárie a záruka, že kritické procesy nebudú v prípade katastrofy narušené, resp. budú obnovené v čo najkratšom čase, ktorý bol definovaný biznis garantmi ako akceptovateľný, a negatívne dopady na banku budú minimálne.
Prínosom implementácie systému riadenia obchodnej kontinuity pre banku je:
-
schopnosť rýchlo reagovať na neočakávanú udalosť, ktorá má alebo by mohla mať negatívny dopad na kritické procesy,
-
minimalizovanie prípadných strát vyplývajúcich z prerušenia kritických procesov,
-
pripravenosť zamestnancov banky na krízové situácie,
-
zvýšená odolnosť banky voči hrozbám, ktoré ovplyvňujú kritické procesy,
-
schopnosť zabezpečiť návrat do bežnej prevádzky, do stavu pred vznikom mimoriadnej udalosti,
- splnenie právnych požiadaviek a noriem.
Analýza dopadov a analýza (ohodnotenie) rizík
Východiskovým krokom projektu bola analýza dopadov (Business Impact Analysis – BIA) a ohodnotenie rizík (analýza rizík).
Cieľom BIA bola identifikácia a kvantifikácia dopadov na banku v prípade straty alebo prerušenia jej kritických procesov. Súčasťou analýzy bolo aj stanovenie časového intervalu, dokedy je potrebné dané procesy obnoviť, aby bol prípadný negatívny dopad na banku minimálny. Analýza dopadov je východiskovým bodom pre navrhnutie stratégie obnovy, plánov kontinuity činností, definovanie havarijných tímov a rozpracovanie ich úloh a povinností.
Na základe výsledkov analýzy dopadov boli identifikované kritické procesy banky, ktoré boli následne rozdelené podľa požiadaviek na obnovu a zahrnuté do prípravy plánov kontinuity.
Stratégia obnovy
Stratégia obnovy vychádza z analytických záverov prvej etapy, a to najmä z analýzy dopadov. Na jej základe bola stanovená vhodná stratégia obnovy v súlade s požiadavkami a potrebami banky tak, aby bola zachovaná kontinuita kritických procesov v prípade, že nastane mimoriadna udalosť. Z viacerých variantov bola po zhodnotení požiadaviek a možností banky vybraná stratégia, ktorá bola podkladom pre tvorbu detailných plánov kontinuity činností. Táto stratégia bola schválená predstavenstvom banky. V rámci stratégie obnovy boli definované konkrétne východiská a princípy realizácie jednotlivých činností v havarijnom stave a k tomu prislúchajúce nevyhnutné zdroje (materiálne, personálne a pod.).
Cieľom stratégie obnovy bolo definovanie základného rámca na zaistenie kontinuity činností v banke metódou „Worst Case Scenario". Stratégia sa zamerala predovšetkým na:
-
výber alternatívnych metód, ktoré budú použité v prípade narušenia alebo mimoriadnej udalosti na zabezpečenie kontinuity kritických procesov v súlade so stanovenou prioritou počas analýzy dopadov,
-
zraniteľnosti a kritické prvky zlyhania (single points of failure) v kritických procesoch, ktoré boli identifikované počas analýzy rizík.
Tvorba plánov kontinuity
Nasledujúcim krokom projektu bol návrh detailných plánov kontinuity činností. Tieto plány konkretizujú schválenú stratégiu obnovy, dokumentujú jednotlivé kroky reakcie a obnovy a ďalšie potrebné informácie nevyhnutné na zachovanie alebo obnovenie kontinuity kritických procesov banky.
Riadiace dokumenty BCM
Primárnym cieľom tejto etapy bolo vypracovanie metodiky pre tvorbu plánov kontinuity činností. Navrhnutá metodika špecifikuje požiadavky na riadenie procesov súvisiacich s plánovaním kontinuity, ako aj základné požiadavky na riadenie kontinuity. Obsahom metodiky sú najmä:
-
základné požiadavky na obsah plánov kontinuity,
-
zodpovednosti pri tvorbe plánov kontinuity činností,
-
požiadavky na údržbu, revíziu a testovanie plánov kontinuity,
-
požiadavky na školenia o systéme kontinuity obchodných činností,
-
metodika na analýzu dopadov.
Záver
Všetky etapy projektu a jednotlivé výstupy boli vypracované v zhode s požiadavkami noriem pre oblasť riadenia kontinuity činností a oblasť informačnej bezpečnosti:
-
BS 25999-1 – Manažment kontinuity činností – Kódex praxe,
-
BS 25999-2 – Manažment kontinuity činností – Požiadavky,
-
ISO/IEC 27001:2005 – Systém manažérstva informačnej bezpečnosti (ďalej len ISO 27001),
- ISO/IEC 27002:2005 (ISO/IEC 17799:2005) – Kódex praxe manažérstva informačnej bezpečnosti (ďalej len ISO 27002).
„Banka prešla v posledných rokoch značnými zmenami v organizačnej aj technologickej oblasti, preto bol nutný nezainteresovaný pohľad na všetky interné procesy, ktoré ovplyvňujú dostupnosť poskytovaných služieb. Realizácia projektu BCM bola strategicky správnou voľbou, nakoľko výsledky mali zásadný vplyv na zmeny v havarijnom plánovaní našej spoločnosti,"
hovorí Peter Vrbovský, IT Security Officer UniCredit Bank Slovakia, a. s.
„Zavedením BCM v UniCredit Bank je zabezpečená nepretržitá činnosť kritických procesov, a to aj v prípade vzniku neočakávanej udalosti, prípadne havárie. Okrem tohto hlavného prínosu môžeme identifikovať aj iné benefity, ktoré projekt banke priniesol. Napríklad identifikáciu všetkých činností banky kritických z pohľadu poskytovania služieb zákazníkom alebo zvýšenie odolnosti banky voči hrozbám,"
vraví Peter Ferianček, konzultant analytickej bezpečnosti TEMPEST, a. s.
Plány kontinuity navrhnuté a implementované spoločnosťou TEMPEST umožnili v primeranom čase efektívne splniť všetky stanovené ciele projektu. Riešenie je prínosom pre banku i jej zákazníkov a slúži ako kľúčový materiál pre obnovu obchodných činností v prípade havarijnej udalosti.