Bezpieczeństwo informacji

Schenker rozpoczął współpracę z konsultantami IBM w obszarze bezpieczeństwa informacji w 2001 r. Wykonano analizy poświęcone działaniu IT. W raporcie znalazły się rekomendacje krótko- i długookresowe, jak tym obszarem zarządzać. Wspólnie opracowano politykę bezpieczeństwa informacji, która definiuje cele systemu, kluczowe procesy, zadania i odpowiedzialności oraz w dużej mierze koncentruje się na zapewnieniu dobrej współpracy pomiędzy osobami z obszarów biznesowych, IT i bezpieczeństwa. Następnie został powołany szef bezpieczeństwa informacji, którego pierwszym zadaniem było wdrażanie tej polityki i który stale odpowiada za zapewnienie skuteczności całego systemu zarządzania bezpieczeństwem.

Pełne wdrożenie polityki bezpieczeństwa informacji trwało kilka lat. Jak mówi Norbert Bączyk, pierwszym bardzo pozytywnym sygnałem był wynik audytu, który został przeprowadzony w 2006 r. przez specjalistów bezpieczeństwa informacji z Deu-tsche Bahn. W opinii audytorów, Schenker w Polsce był najlepszą organizacją w całej międzynarodowej grupie w obszarze zarządzania bezpieczeństwem informacji. Na bazie wyników audytu podjęto decyzję, żeby system certyfikować w oparciu o normę ISO 27001. "Zbudowaliśmy system, który jest zgodny ze wszystkimi powszechnie uznanymi za najlepsze praktykami po to, by świadomie zarządzać ryzykiem związanym z przetwarzaniem informacji oraz wykorzystaniem technologii informatycznych do wspierania procesów biznesowych. Decyzję o certyfikacji na zgodność z normą ISO 17001:2005 podjęliśmy po to, aby dać jasny sygnał naszym klientom, że skuteczność systemu została potwierdzona przez niezależnych audytorów. Uzyskaliśmy ten certyfikat jako piętnasta organizacja w Polsce i pierwsza w branży.

Zakres systemu zarządzania bezpieczeństwem informacji nie jest ograniczony tylko do działu IT. Obejmuje wszystkie występujące w firmie procesy, czyli ma bezpośredni wpływ na jakość wszystkich usług, które Schenker świadczy klientom" - mówi Norbert Bączyk. O tym, na ile firma jest poważnie zainteresowana skutecznym zarządzaniem bezpieczeństwem informacji, można przekonać się analizując umiejscowienie komórki bezpieczeństwa w organizacji. Jej szef nie powinien raportować do dyrektora IT, a prosto do prezesa spółki - wtedy uzyskuje pełną niezależność - przekonują przedstawiciele Schenkera, gdzie właśnie w ten sposób zostało to zorganizowane. "W naszej firmie system zarządzania bezpieczeństwem informacji nie jest budowany jedynie wewnątrz działu bezpieczeństwa"- zastrzega Norbert Bączyk. Organizacja bezpieczeństwa informacji w Schenkerze bazuje na zdefiniowanych, kluczowych z punktu widzenia bezpieczeństwa informacji rolach. Są one przypisane do osób, które pracują w różnych miejscach organizacji. Dla przykładu, kluczową z punktu widzenia bezpieczeństwa jest rola właściciela systemu komputerowego, czyli osoby, która definiuje wszelkie wymogi bezpieczeństwa informacji dla swojego systemu. "Wymogi te w zakresie dostępności, integralności i poufności z biznesowego punktu widzenia są postrzegane jako wymogi jakościowe tych systemów" - podsumowuje Norbert Bączyk.

Schenker koncentruje się na tym, żeby zapewnić bezpieczeństwo obsługi swoim klientom, którzy wymagają od firmy zdolności do obsługi zleceń niezależnie od wystąpienia różnego rodzaju zakłóceń, trudności czy anomalii. Takie trudności mogą pojawić się np. w pewnych okresach szczytowych, w których nasi klienci nadają większą liczbę przesyłek. Obok niezawodnej oraz efektywnej kosztowo realizacji usługi, od operatora logistycznego oczekują również szybkiej i wiarygodnej informacji o wszelkich odchyleniach. Klienci nie są skłonni do finansowania dużego poziomu niewykorzystanych zasobów sieci. "Musimy znaleźć kompromis pomiędzy kosztami niewykorzystanych zasobów sieci a ryzykiem związanym z brakiem zasobów do obsługi zleceń. Z jednej strony musimy posiadać pewien nadmiar zasobów, a z drugiej nie może on być zbyt duży. Aby tym skuteczniej zarządzać, dostępność wiarygodnych informacji jest kluczowa" - mówi Norbert Bączyk.

Najważniejsze systemy

Przez minione trzy lata główny wysiłek działu IT firmy Schenker koncentrował się wokół projektów, które podnoszą efektywność procesów, zapewniają odpowiednią informację w odpowiednim miejscu i możliwość dzielenia się nią w sposób elektroniczny. Jeszcze wcześniej Schenker zakończył centralizację systemu informatycznego wspierającego główny biznes, poprzedzoną intensywną rozbudową infrastruktury.

"Ponieważ jesteśmy operatorem logistycznym, mamy różnych klientów o różnych możliwościach informatycznych, o różnym stopniu rozwoju informatycznego, technologicznego, o różnej wiedzy na temat procesów, z różnych branż. Musimy być bardzo elastyczni, czyli mieć rozwiązania dla każdego klienta" - tłumaczy Przemysław Głębocki. Powstały przynajmniej trzy niezależne rozwiązania służące do komunikacji z systemem informatycznym Schenkera. Operator współpracuje z firmami zewnętrznymi przy tego typu projektach, dział IT obok opracowania wymagań, dba o uzyskanie kompetencji do zarządzania tymi systemami oraz integruje je z własnymi aplikacjami. "Zaczęliśmy od systemu Spedcust3000, czyli systemu, który jest instalowany na komputerze klienta i pozwala oprócz tworzenia dokumentacji transportowej, na elektroniczną komunikację z naszym systemem. Następnie zbudowaliśmy całą infrastrukturę centralną, która pozwoliła nam rozwinąć ten obszar" - wyjaśnia Przemysław Głębocki.

Kolejnym systemem był MessageWay - system pozwalający na bezpośrednią wymianę informacji pomiędzy systemami klientów a systemem Schenkera. Równolegle do wdrożenia tego systemu realizowana była organizacja dedykowanego działu ds. integracji z klientami i opracowywane standardy współpracy i wymiany danych. Następnie wdrożono internetowy system e-connect dla klientów, którzy preferują tę formę komunikacji przy składaniu krajowych zleceń. Najnowszy projekt operatora to e-connect Premium - platforma komunikacji dla wszystkich klientów, którzy mogą na bieżąco śledzić jakość współpracy z operatorem logistycznym i rozliczeń finansowych. Docelowo będzie to jedyna platforma informacyjna i zarządcza dla klienta, niezależnie od stopnia jego zaawansowania informatycznego.

Dawać dobry przykład

Spółka jest częścią globalnej grupy logistycznej DB Schenker, dlatego korzysta również z narzędzi globalnych, zapewniających integrację firmy w Polsce na poziomie międzynarodowym. Są to przede wszystkim systemy do obsługi biznesu międzynarodowego w ramach globalnej sieci logistycznej DB Schenker. "Nasza rola w przypadku tych systemów sprowadza się do konfiguracji i utrzymania" - mówi Przemysław Głębocki. Trwają prace, w których Schenker w Polsce bierze aktywny udział, nad centralnym systemem, który wspierałby także obszar biznesu krajowego. "Będzie to rozwiązanie globalne, przygotowane do wdrożeń lokalnych, przy uwzględnieniu specyfiki danego kraju" - objaśnia.

Dział IT firmy Schenker w Polsce, dzięki doświadczeniom i kompetencjom, bierze udział w uruchamianiu nowych placówek m.in. na Ukrainie lub w Rosji. "Dzielimy się naszą wiedzą, tak jak inne placówki dzieliły się z nami w momencie, kiedy my wchodziliśmy na rynek" - mówi Przemysław Głębocki. "Nasz system jest wykorzystywany przez organizacje DB Schenker w innych krajach. W 2005 r. był realizowany duży projekt wdrożenia tego systemu w Rosji, a następnie na Ukrainie. Jest to główny system wspierający krajowy biznes lądowy. Jest on rozwijany i utrzymywany w całości przez Dział IT w Polsce, mamy też w strukturze organizacji help desk dla użytkowników systemu pracujących poza granicami" - wyjaśnia Przemysław Głębocki.

Wysiłek włożony w odpowiednią organizację pracy działu IT i rozwoju systemów biznesowych został dostrzeżony przez korporację. Specjaliści z Deutsche Bahn po wspomnianym wcześniej, wysoko ocenionym audycie bezpieczeństwa IT, uznali jako referencyjną organizację i strategię IT polskiego oddziału. "Zgłaszają się do nas koledzy z innych Schenkerów w grupie po wiedzę na temat strategii i organizacji działu IT. Jesteśmy dumni, że możemy podzielić się nie tylko systemami, ale także wiedzą z zakresu organizacji i strategii, wizji rozwoju IT" - podsumowuje Przemysław Głębocki.