CyberbezpieczeństwoBiznesAnalitykaBEST100 edycja 2021

Nasze systemy wspierają działania Compliance w organizacjach

Advertorial

Automatyzacja procesów to jeden z najpopularniejszych i najważniejszych trendów na rynku. Poza wieloma korzyściami niesie ona jednak ze sobą także wyzwania dotyczące bezpieczeństwa realizowanych procesów oraz ich zgodności z przepisami prawa, tzw. Compliance. W sprostaniu wyzwaniom związanym z kontrolowanym i bezpiecznym dostępem do systemów IT pomaga oprogramowanie SaraNext zarządzające tożsamością i dostępem – Identity & Access Management (IAM). Korzysta z niego blisko 160 tys. użytkowników – system został wdrożony m.in. w międzynarodowym koncernie specjalizującym się w automatyce przemysłowej. Teraz wchodzimy na rynek rozwiązań dla sygnalistów zgłaszających nieprawidłowości w firmach z aplikacją whiblo.

Nasze systemy wspierają działania Compliance w organizacjach

Nasi klienci potrzebowali rozwiązania integrującego zarządzanie dostępami do systemów i aplikacji ze zróżnicowanymi rolami w organizacji oraz poziomem odpowiedzialności, z równoczesnym uwzględnieniem procesowania nadawania dostępów. Istotne było także, aby nowe rozwiązanie dawało realne wsparcie w procesie audytowym poprzez mechanizmy kontrolne czy możliwość generowania raportów. Stworzyliśmy nie tylko rozwiązanie odpowiadające potrzebom biznesowym klienta, ale też łatwo skalowalne i nowoczesne.
Rafał Barański, CEO braf.tech

Kontrola dostępu i uprawnień jest koniecznością wynikającą z przepisów prawa, m.in. takich jak ustawa Sarbanes-Oxley regulująca praktyki finansowe i zasady ładu korporacyjnego. Systemy typu IAM pozwalają spełniać te wymogi, wspierając nie tylko kontrolę zarządczą wynikającą z wewnętrznych procedur, lecz także zewnętrzne audyty realizowane przez niezależne organy. Posiadają również mechanizmy kontrolne ułatwiające raportowanie i dostarczają dowody audytowe.

Szybko rosnące potrzeby klientów

Według raportu „Identity and Access Management Market”, przygotowanego przez Markets and Markets, światowa wartość rynku rozwiązań klasy IAM w roku 2020 wyniosła 12,3 mld USD, a według prognoz analityków do roku 2025 urośnie do poziomu 24,1 mld USD. Za ten znaczący wzrost inwestycji odpowiada nie tylko rozwój internetu rzeczy, upowszechnienie chmury obliczeniowej i efekt pandemii, która zmieniła model pracy w wielu organizacjach, ale także wyraźny trend w automatyzacji procesów biznesowych oraz stale zmieniające się przepisy prawa i regulacje, które muszą spełniać przedsiębiorstwa.

Jak z kolei wynika z badania Cybersecurity Insiders, aż 89% specjalistów ds. bezpieczeństwa uważa systemy klasy Identity & Access Management za bardzo istotne. Według respondentów, kluczowe czynniki decydujące o ich wdrożeniu to bezpieczeństwo (71%), zwiększenie sprawności operacyjnej organizacji (52%) i przeciwdziałanie włamaniom do sieci firmowej (47%). Systemy zarządzania tożsamością oraz dostępem systematycznie zyskują coraz większe znaczenie. Stają się absolutnym „must have” w firmach rozwijających infrastrukturę IT zgodnie z najnowszymi standardami.

Zabezpieczenie danych i wsparcie audytów wewnętrznych oraz zewnętrznych

Automatyzacja procesów biznesowych wiąże się z ich digitalizacją i przeniesieniem do firmowych systemów IT. Dostęp do nich oraz do danych organizacji, często wrażliwych i poufnych, wymaga zabezpieczenia, monitorowania i kontroli. Zapobiega to zarówno atakom zewnętrznym, jak i wyciekom wynikającym z nadużyć czy błędów popełnianych przez samych pracowników. Taką ochronę gwarantują systemy klasy IAM i nasza aplikacja SaraNext, wdrożona u naszych dwóch największych klientów dla blisko 160 tys. użytkowników.

Nasi klienci potrzebowali rozwiązania integrującego zarządzanie dostępami do systemów i aplikacji ze zróżnicowanymi rolami w organizacji oraz poziomem odpowiedzialności, z równoczesnym uwzględnieniem procesowania nadawania dostępów. Istotne było również, aby nowe rozwiązanie dawało realne wsparcie w procesie audytowym poprzez mechanizmy kontrolne czy możliwość generowania raportów. Stworzyliśmy nie tylko rozwiązanie odpowiadające potrzebom biznesowym klienta, ale też łatwo ska-lowalne i nowoczesne.

IAM główną bazą informacji o użytkownikach, ich rolach i uprawnieniach

Istotą wdrożenia IAM jest uniknięcie sytuacji zbyt szerokiego dostępu pracowników do systemów IT, zawartych w nich danych lub obszarów spoza ich kompetencji. Ważne jest, aby proces kontroli nadawania uprawnień przebiegał w sposób ciągły i firma mogła szybko i elastycznie reagować na zmiany, np. odejście pracownika, wdrożenie nowych procedur czy nowej aplikacji w ekosystemie IT firmy. Daje to organizacji gwarancję, że działa zgodnie z przyjętym ładem korporacyjnym, zewnętrznymi przepisami, a przede wszystkim potrafi to dowieść podczas audytu.

Nasze systemy wspierają działania Compliance w organizacjach

Inną korzyścią dla firmy, płynącą z wdrożenia systemu zarządzania tożsamością i kontroli uprawnień, jest uświadomienie jej słabych stron lub luk w procedurach. Często na etapie projektowania czy dostosowywania takiego rozwiązania nasi specjaliści wychwytują niespójności w wewnętrznych przepisach i korygują je. Kolejną zaletą jest unifikacja informacji o uprawnieniach i rolach. Rozwiązania klasy IAM przejmują po wdrożeniu rolę głównej bazy informacji o użytkownikach, ich rolach i uprawnieniach. System łączy się z szyną danych, pozyskuje je i prowadzi aktywną wymianę. Określone role i uprawnienia otrzymują ustalone atrybuty, które są wykorzystywane w poszczególnych aplikacjach czy systemach. Następnie wszystkie aplikacje stosowane w organizacji są integrowane z naszym systemem IAM. Od tego momentu nie ma przeszkód, aby zarządzać dostępami z jednego miejsca, wykorzystując najbardziej aktualne dane.

Systemy klasy IAM oznaczają wiele korzyści nie tylko dla dużych przedsiębiorstw, ale właściwie dla firmy o dowolnej wielkości, np. zatrudniającej 200 lub więcej osób i działającej tylko na jednym rynku. Warto również podkreślić, że samo wdrożenie systemu klasy IAM zazwyczaj nie wymaga prac programistycznych, a jedynie konfiguracji w nowym środowisku i integracji z różnymi źródłami danych o pracownikach i ich rolach.

whiblo – bezpieczne i anonimowe zgłaszanie nadużyć

Obecnie ci sami pracownicy będą pełnić w organizacji nową dla większości z nas rolę sygnalisty. Polska ma bowiem czas do grudnia 2021 roku na wdrożenie założeń Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 o ochronie osób zgłaszających naruszenia prawa, która ujednolica przepisy dotyczące ochrony sygnalistów na terenie Unii Europejskiej. Do 17 grudnia 2021 roku powstać ma w Polsce regulacja prawna dotycząca tzw. whistleblowingu. Do naszego portfolio rozwiązań wspierających działy Compliance w zarządzaniu ryzykiem dołączyliśmy także aplikację whiblo, umożliwiającą bezpieczne i anonimowe zgłaszanie naruszeń i nieprawidłowości. Wskazane przez unijną dyrektywę firmy i instytucje zobowiązane są do stworzenia wewnętrznych procedur, zapewnienia komunikacji, szkoleń czy przypisania zadań i odpowiedzialności, a także wdrożenia środków technicznych, czyli utworzenia wewnętrznych kanałów do zgłaszania nieprawidłowości. Zgodnie z dyrektywą mają być one zaprojektowane i obsługiwane tak, aby zapewnić ochronę poufności tożsamości osoby zgłaszającej (sygnalisty) oraz umożliwiać obsługę zgłoszeń anonimowych. Temu właśnie służy nasza aplikacja whiblo.

Nasze systemy wspierają działania Compliance w organizacjach

Zbudowana została ona w środowisku chmury obliczeniowej i jest udostępniona klientom w modelu SaaS. Prosta w obsłudze aplikacja whiblo zapewnia bezpieczeństwo i komfort anonimowego zgłaszania nieprawidłowości, jakich nie dają inne kanały wykorzystywane w tym celu, np. skrzynka na listy, adres e-mail czy formularz kontaktowy. Co ważne, komunikacja pomiędzy sygnalistą a odbiorcą zgłoszenia jest w pełni szyfrowana. Natomiast dostęp do sytemu mają jedynie osoby wyznaczone przez pra-codawcę. Aplikacja umożliwia również komunikację dwukierunkową bez konieczności podawania danych kontaktowych. Dodajmy, że oprogramowanie zgodne jest także z wymogami ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) oraz ustawy o ofercie publicznej. Podmioty nimi objęte również muszą posiadać kanały do anonimowego zgłaszania nieprawidłowości.

Aplikację whiblo stworzyliśmy w oparciu o doświadczenia działów Compliance w odbieraniu i obsłudze zgłoszeń oraz oczekiwania pracowników i pracodawców względem warunków, jakie powinny być zapewnione, aby pracownicy zgłaszali nieprawidłowości. Z badania, które w kwietniu 2021 roku przeprowadziliśmy razem z agencją ARC Rynek i Opinia wynika, że aż 70% pracowników i 56% pracodawców uważa, że najważniejszym kryterium, jakie powinien spełniać kanał dla sygnalistów, jest jego anonimowość. Oczywiście organizacja powinna zadbać również o odpowiednie procedury i działać transparentnie, jednakże jestem pewien, że dzięki udostępnieniu pracownikom aplikacji whiblo i odpowiedniej reakcji na zgłoszenia, zaufanie do firmy wzrośnie, a wraz z nim jej stabilność oraz reputacja.

Rafał Barański, CEO braf.tech

Artykuł ukazał się na łamach Raportu ITwiz BEST100 edycja 2021. Zamów poniżej:

Raport ITwiz BEST100 edycja 2021

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *