W ciągłej drodze do doskonałości, czyli co w FINGO zmieniła certyfikacja ISO 27001

Przez lata wskazówka w kompasie FINGO była skierowana w stronę turkusowego software house-u. Miejsca, gdzie od zajmowanych stanowisk istotniejszy jest zakres obowiązków oraz pełnione funkcje, a każdy pracownik czuje się współodpowiedzialny za sukces projektów klientów i wynik finansowy firmy.

Takie zarządzanie organizacją szybko procentuje. Co objawia się w długoletnich relacjach z klientami, którzy doceniając wiedzę inżynierów FINGO, jednocześnie podkreślają ich pełną zaangażowania postawę.

Jednak w branży finansowej podstawą jest bezpieczeństwo informacji. Z uwagi na zakres przetwarzanych danych, czyli zasobów wymagających rzetelnej ochrony, banki i instytucje firmowe preferują dostawców, którzy świadomie stosują mechanizmy bezpieczeństwa oparte o branżowe standardy i normy.

Certyfikacja stała się zatem pożądaną koniecznością. Co zmieniło się w FINGO w trakcie przechodzenia kolejnych rygorystycznych audytów, które w listopadzie 2023 zakończyły się otrzymaniem certyfikatu ISO 27001?  

Ewolucja, a nie rewolucja

Stawiając na specjalizację w obszarze dostarczania usług IT dla ściśle regulowanej branży finansowej FINGO przestało rozwijać turkusowe zarządzanie firmą. Jednak wybrane, dobrze oddziałujące na pracowników, elementy tej kultury pozostały w organizacji do dziś. Są to transparentna komunikacja oraz zaufanie do ludzi i ich sposobu realizacji wyznaczanych celów.  

Taka partnerska relacja sprawia, że zatrudnione osoby są bardziej otwarte na zmiany zachodzące w organizacji, przez co łatwiej im zaangażować się w realizację tych zmian. Owocowało to podczas tworzenia i kodyfikacji procesów obowiązujących w FINGO – wszystkim zależało, aby były one rzeczywistym odzwierciedleniem sposobu działania firmy. Aby to procesy służyły ludziom, a nie na odwrót.

Celem strategicznym nie była wyłącznie certyfikacja ISO, ale przede wszystkim doskonalenie się samego FINGO – mówi Kinga Brzozowska, Information Compliance Officer w FINGO.

Moim zdaniem, najlepszą inwestycją był czas poświęcony na pracę nad rozwojem świadomości w organizacji - szkolenia, konsultacje i rozmowy na temat tego co, po co i dlaczego robimy. Proces certyfikacji trwał ponad półtora roku, pochłonął tysiące godzin pracy, ale dziś możemy ze spokojem otwierać się na nowe wyzwania.

Mamy świadomy Zespół fachowców, którzy o bezpiecznym przetwarzaniu danych wiedzą niemal wszystko i wciąż zdobywają nowe umiejętności. Nasz System Bezpieczeństwa Informacji jest realnym, żywym bytem, a zdobyty certyfikat - zgodny z najnowszą wersją normy ISO 27001:2022 - jest tego najlepszym dowodem. Nasze wysiłki doceniane są przez klientów, wybitnych prawników oraz znakomitych ekspertów, którzy zaliczają nas do awangardy w świecie IT – dodaje.

Drogowskaz na drodze łączącej dwie firmy

Na rynku rozwoju oprogramowania (software developmentu) zmiany postępują wykładniczo, a rosnący trend rozwiązań chmurowych sukcesywnie wypiera tradycyjne systemy softwarowe. To też wzmaga oczekiwania rynku wobec inżynierów IT – powinni oni dobrze rozumieć problemy klientów i dzięki znajomości technologii potrafić je rozwiązywać (skutecznie i korzystnie kosztowo).

Dlatego świadome firmy z sektora finansowego mają dobrze znających branżę, kompetentnych partnerów technologicznych, którzy pomagają im szybciej dostosowywać się do realiów zmieniającego się świata. Takie wieloletnie partnerstwo łączyło FINGO z firmą GPM Systemy, dla której rozwijane były systemy do sprawozdawczości obligatoryjnej.

Strategiczna decyzja FINGO o większej koncentracji na rynku finansowym pchnęła obie firmy do połączenia sił w sierpniu 2022 r. To skutkowało wieloma zmianami np. wyrównaniem poziomu zabezpieczeń, wprowadzeniem mocniejszych procedur kontroli czy chociażby utworzeniem jednego działu marketingu, który odpowiada za promocję usług i gotowych produktów dla branży finansowej.

To było dla nas duże wyzwanie operacyjne. Musieliśmy nauczyć się razem pracować, łącząc dwie kultury organizacyjne, przeszliśmy podwójny rebranding, stworzyliśmy nowe strony internetowe, zmieniliśmy sposób działania, formę i sposób komunikacji – mówi Maciej Nikodemski, Head of Marketing w FINGO.

ISO natomiast było dla nas dużym wysiłkiem organizacyjnym, ponieważ nie wystarczyło, aby te wszystkie rzeczy posuwały się do przodu, one musiały się toczyć zgodnie z najwyższymi standardami, RODO oraz naszymi politykami i procedurami bezpieczeństwa.

Dla mnie osobiście oznaczało to intensywną współpracę z naszą ICO, konieczność opisania wielu procesów i spełnienia szeregu wymogów w obszarze bezpieczeństwa i ochrony danych. Pogodzenie tego z codziennymi obowiązkami nie było łatwe, ale z perspektywy czasu widać, że było warto. Wiele z tych wytycznych, które na pierwszy rzut oka wydawać się mogą niepotrzebne, naprawdę ma sens i powodują, że firma staje się przygotowana na wszelkie możliwe scenariusze – dodaje.

Silniejsze zabezpieczenia wewnątrz organizacji

Monitorowanie bezpieczeństwa zasobów jest kluczowe, gdy wytwarza się oprogramowanie dla instytucji finansowych. Jest to wymóg rynku, któremu trzeba bezwarunkowo sprostać, zwłaszcza gdy oferuje się usługi chmurowe. Dlatego nasi inżynierowie od lat sięgają po standardy powszechnie akceptowane w sektorze finansowym wytwarzając produkty do sprawozdawczości obligatoryjnej. Proces certyfikacji spowodował, że procedury zostały rozszerzone na całą organizację.

Przygotowując się do certyfikacji skupiliśmy się na bezpieczeństwie aplikacji, infrastruktury i przetwarzanych informacji we wszystkich etapach cyklu wytwarzania oprogramowania.
Wprowadziliśmy szereg procedur oraz kontroli, których przestrzeganie jest krytyczne dla utrzymania należytego stanu bezpieczeństwa (Security Posture) naszej organizacji. Liczne zmiany, z początku nieco uciążliwe do egzekwowania, z czasem wniknęły w nasze wewnętrzne struktury. Pozwoliły nam stworzyć bardziej świadomy i odpowiedzialny zespół – mówi Maciej Bała Security Operations Engineer w FINGO.

Rzetelnie sprawdzony system zarządzania bezpieczeństwem informacji

Certyfikat ISO 27001 to tak naprawdę potwierdzenie, że ktoś kompetentny i niezależny zweryfikował dostawcę usług IT. Tym samym podczas przeprowadzania konkursu ofert, decydent po stronie instytucji finansowej może spokojnie odznaczyć na liście rzeczy do sprawdzenia kryterium, pt. System Zarządzania Bezpieczeństwem Informacji.

Certyfikat ma też znaczenie dla klientów, którzy już od lat korzystają z produktów FINGO Systems do sprawozdawczości obligatoryjnej. Jak sami twierdzą, to ułatwia im decyzję o przejściu na chmurowe odpowiedniki naszych systemów do raportowania.

Banki i instytucje finansowe, które na co dzień korzystają z naszych rozwiązań do sprawozdawczości obligatoryjnej, entuzjastycznie zareagowały na wiadomość o naszej certyfikacji. Jak sami stwierdzili ich przedstawiciele, certyfikat ISO/IEC 27001:2022 jest solidną gwarancją bezpieczeństwa naszych rozwiązań chmurowych i na pewno zmniejszy czasochłonność analizy ryzyka związanego z przejściem na usługi chmurowe, nawet o 70% – mówi Michał Stawniak Business Development Manager w FINGO Systems.

Kolejny krok w stronę doskonałych usług i produktów dla branży finansowej

Mahatma Gandhi powiedział: Jeżeli chcesz zmienić świat, zacznij od siebie, a świat zmieni się dla Ciebie.

Droga do uzyskania certyfikatu ISO 27001 była długa i wymagająca. Sprostaliśmy temu wyzwaniu, tak jak zrobiliśmy to, starając się o certyfikaty partnera Google Cloud i Microsoft Azure. Jako organizacja byliśmy świadomi wyzwania, jakie przed nami stało — co się z tym wiąże i dlaczego musimy to zrobić.  

Czujemy satysfakcję i radość, natomiast w FINGO nie spoczywamy na laurach. Wiemy, że codziennie musimy stawiać kolejne kroki ku doskonałości, jeśli chcemy pozostać wziętym partnerem technologicznym i najlepszym dostawcą gotowych rozwiązań do raportowania obligatoryjnego dla zmieniającego się sektora finansowego.