Analiza ryzyka to kolejny obszar związany z wdrażaniem normy. Zespół projektowy musiał określić jak szacować i dzielić ryzyka w organizacji w zależności od obszaru operacyjnego oraz opisać sposób postępowania. Pracę nad wdrożeniem normy ułatwiło stosowane w Fortisie zarządzanie procesowe, zarządzanie projektami, modelowanie i standaryzacja produktów. Zestandaryzowana struktura i architektura IT miała również kluczowe znaczenie dla wdrożenia wymagań normy w obszarze bezpieczeństwa IT.

Wsparcie ze strony IT

"Informatycy odruchowo dbają o bezpieczeństwo informacji, więc projekt ISO 27001 nie stanowił dla nas skomplikowanego wyzwania. Na pewno musieliśmy przyzwyczaić się do pracy z klasyfikowaną informacją" - mówi Tomasz Kuźmierz, CIO Fortis Banku Polska. Dział IT - oprócz certyfikowania samego siebie - brał udział w każdym etapie wprowadzania normy 27001. CIO był członkiem zespołu odpowiedzialnego za wdrożenie ISO 27001.

Każdy audyt kontroluje w banku uprawnienia pracowników w systemach IT. W ramach projektu ISO, Fortis dokonał dużych zmian. Wdrożono system Identity Access Management (IDM) do zarządzania uprawnieniami dostarczony przez Compfort Meridian i zintegrowano go z Access Directory, systemem bankowym i kadrowym. Wykorzystywana przez Fortis aplikacja składa się z trzech modułów: worfklow - służącego do wnioskowania i akceptacji uprawnień; password manager - do zarządzana hasłami użytkowników w systemach IT oraz compliance - wykorzystywanego do kontroli zgodności posiadanych przez użytkowników uprawnień w systemach IT zgodnie z opracowanymi standardami.

W systemie bankowości elektronicznej Pl@net wprowadzono zmiany zapewniające klientom większą poufność ich danych oraz bezpieczeństwo środków. Każde logowanie czy transakcja w systemie jest podpisywana cyfrowo. "Był to efekt wzrostu świadomości, który dał nam certyfikat ISO" - mówi Tomasz Kuźmierz. Z kolei system Websense monitoruje odwiedzane przez pracowników strony internetowe i blokuje te niezwiązane z wykonywaną pracą. Przy okazji zmniejszył się o 50% ruch wychodzący po uruchomieniu tej aplikacji.

Nie akceptujemy USB

Devicelock ogranicza zaś na komputerach pracowników dostęp do zewnętrznych nośników danych. Do użytku dopuszczone są tylko zabezpieczone kryptograficznie pamięci USB. Wymiana danych z zewnętrznymi dostawcami jest oczywiście konieczna, np. w dziale marketingu. W razie kradzieży czy zagubienia dysku przenośnego nie ma możliwości wycieku danych. Administratorzy mogą sprawdzić, w którym porcie USB i na którym komputerze doszło do przekopiowania konkretnych danych.

Fortis Bank stanie się częścią francuskiej grupy finansowej BNP Paribas. Pod koniec kwietnia holenderscy i belgijscy akcjonariusze Fortisu wydali zgodę na transakcję. W połowie maja transakcja została sfinalizowana. Szczegóły dotyczące przyszłej współpracy pomiędzy BNP Paribas a Fortis Bankiem Polska nie są jeszcze znane. Ten ostatni połączy się z Dominet Bankiem 31 lipca br. Nowy właściciel popiera integracje obu banków.