Cel i marzenie

Cel i marzenie
Michał Stankiewicz, dyrektor Obszaru Ryzyka i Bezpieczeństwa IT

Misją Obszaru Ryzyka i Bezpieczeństwa IT w Grupie PZU jest przede wszystkim dostosowanie technicznych możliwości systemów bezpieczeństwa do nowych wymagań w zakresie zarządzania bezpieczeństwem i ryzykiem technologicznym w PZU 2.0.

W czasie transformacji PZU napotyka wyzwania, które wymagają stosowania nowych metodologii i technologii ochrony zasobów informatycznych spółki oraz naszych klientów.

Zobacz również:

  • 9 cech wielkich liderów IT
  • CIO "bumerangi": liderzy IT awansują, powracając
  • 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

Obszar Ryzyka i Bezpieczeństwa IT docelowo będzie liczył 14 osób i składał się z dwóch ściśle współpracujących zespołów, z których jeden będzie koncentrował się na kwantyfikacyjnym wyliczeniu aktualnego ryzyka technologicznego i raportowaniu jego aktualnego poziomu do zarządu Grupy PZU oraz do Biura Ryzyka Operacyjnego.

Drugi z zespołów będzie koncentrował się stricte na technicznych aspektach bezpieczeństwa IT poprzez implementację istniejących i nowych elementów infrastruktury bezpieczeństwa i zarządzanie nimi. Zakres działań Zespołu Bezpieczeństwa rozpoczyna się od nadzoru procesu tworzenia rozwiązań informatycznych, poprzez nadzór nad prawidłową ich implementacją, bezpieczną obsługą systemów informatycznych, a kończąc na monitorowaniu stanu bezpieczeństwa systemów IT spółki.

Planujemy centralizację i ujednorodnienie zarządzania bezpieczeństwem i ryzykiem dla wszystkich spółek Grupy PZU. Centralizacja bezpieczeństwa to proces długofalow, podzielonym na etapy. Obejmuje standaryzację procesów i technologii, opierając się na połączeniu najlepszych praktyk wypracowanych w PZU ze standardami z rynków polskiego i międzynarodowego. Pierwszym krokiem na drodze centralizacji jest rozpoczęta w latach ubiegłych budowa centrum monitorowania bezpieczeństwa obejmująca swoim zakresem wszystkie zasoby informatyczne spółki. Kolejne kroki to modernizacja istniejących systemów bezpieczeństwa i implementacja nowych w miarę potrzeb spółki, stworzenie nowego modelu zarządzania tożsamością i nadzór nad jego wdrożeniem.

Obecnie zespół wspiera istniejące procesy technologiczne, które wymagają specjalistycznej wiedzy, np. dotyczącej kryptografii, lub szczególnego poziomu poufności przetwarzania danych. Bierzemy udział w prawie każdym toczącym się projekcie informatycznym w PZU poprzez doradztwo, tworzenie nowych standardów oraz weryfikację i w razie potrzeby modyfikacje istniejącego stanu zabezpieczeń.

Wspieramy Biuro Bezpieczeństwa przy obsłudze i rozwiązywaniu incydentów z zakresu bezpieczeństwa technologicznego oraz wspomagamy rozwiązywanie incydentów biznesowych, korzystając z naszej wiedzy lub narzędzi. Jesteśmy odpowiedzialni za audyty technologiczne nowych oraz istniejących platform informatycznych i nadzorujemy ewentualne usuwanie podatności technologicznych zidentyfikowanych podczas audytów. Merytorycznie wspieramy inne biura w przypadku kontroli regulatora lub współpracy z podmiotami zewnętrznymi.

Zespół Bezpieczeństwa i Ryzyka bierze udział we wszystkich elementach transformacji, określając bezpieczne ramy, w których powinno mieścić się nowe IT, jednocześnie zwracając uwagę na jak najlepsze wspieranie elementów biznesowych - chcemy rozumieć potrzeby biznesowe spółki i wspomagać całe IT w zakresie bezpiecznej realizacji tych potrzeb.

Cel i marzenie
Robert Pławiak, dyrektor Biura Strategii i Zarządzania IT

Misja Pionu IT w Grupie PZU to najlepsze IT w Polsce. W tym kontekście misja Biura Strategii i Zarządzania IT to efektywne, nastawione na wartość i korzyść dla klienta wewnętrznego zarządzanie relacjami z dostawcami IT.

Rola Biura Strategii i Zarządzania IT obejmuje trzy zespoły.

Ważne zadania wykonał zespół zajmujący się zarządzaniem dostawcami IT (IT Vendor Management Office). Przygotowuje on plany zakupowe - ocenia, w jaki sposób wpisują się w długofalowy budżet z perspektywy efektywnego wykorzystania zasobów wewnątrz Grupy PZU i na rynku. Odpowiada za strategię sourcingu IT i poszukiwanie synergii we współpracy z dostawcami. W tym celu posługuje się modelem alokacji kosztów 2.0. Nie patrzymy przez pryzmat ceny i czasu dostawy, ale efektywności dla całej grupy klientów wewnętrznych. Na tej podstawie powstaje statyczny model TCO. Kierunkiem rozwoju jest automatyzacja, rozumiana jako stałe, procesowe poszukiwanie i poprawianie efektywności, synergii w skali całej grupy. To połączone jest z procesami zarządzania pojemnością (capacity planning) w odniesieniu do architektury. Następny etap to strategia architektury.

Zadaniem Zespołu Zarządzania Finansami i Zasobami IT jest zarządzanie majątkiem IT w kontekście długofalowych budżetów - projektowego i bieżącej działalności.

Komórka Zarządzania i Strategii IT to grupa sztabowa, monitorująca, czy akcenty zmiany są odpowiednio rozłożone. Kładzie nacisk na procesy i jest zorientowana na długofalowe cele, takie jak utrzymanie wzrostu satysfakcji klienta, monitorowanie stopnia realizacji celów strategicznych, np. równoważenia i poprawy zarzadzania zasobami. Tu decyduje się, na podstawie modelu alokacji i procesu zarządzania dostawcami IT, o tym, jakie kompetencje należy przejmować i rozwijać wewnętrznie poprzez budowę centrów kompetencyjnych.

Skuteczność modelu, podobnie jak w przypadku całego IT, w dużej mierze wynika z uzyskanej stabilności osobowej, menedżerskiej, wypracowanej przez CIO z zarządem na początku zmiany.

Elementy, które wymieniam, stanowią ujęcia zgodne ze standardami. Także w naszym dążeniu do obejmowania i zarządzania systemowo, procesowo - wskroś całej organizacji, ze zrozumieniem wszystkich konsekwencji i poprzez opisywanie rezultatów wspólną "walutą" organizacyjną, tzn. satysfakcją klientów czy efektywnością kosztową z poziomu całej grupy, wyrażamy chęć posługiwania się dobrymi, sprawdzonymi metodami. Nowa i wyjątkowa jest skala, do której przykładamy standardy i narzędzia.

BSiZ IT to nie grupa operacyjna, ale sztabowa. Liczy około 35 osób o mocnych kompetencjach z IT, finansów i zarządzania. Docelowo przekształcamy się w organizację analityczno-procesową, zajmującą się tym, jak modelować procesy na przyszłość. Dążymy do tego, aby przedstawiać biznesowi usługi IT, wycenione, zgranulowane i modułowe.


TOP 200