Profit: Dle Iuraş, la prima vedere, criza economică impune băncilor alte sarcini decît implementarea standardelor internaţionale. Această activitate nu a sustras cumva atenţia conducerii băncii de la problemele stringente ale instituţiei?
      I.I.: Considerăm că nu. Proiectul de aliniere a managementului securităţii informaţiei la standardele internaţionale se înscrie armonios în tot ce face banca, inclusiv pentru a rezista crizei. Totodată, menţionăm că proiectul a fost început înaintea declanşării crizei şi trebuia finalizat indiferent de situaţia de moment. Pe de altă parte, în anumită măsură realizarea acestui proiect a fost favorizată de circumstanţele crizei, diminuarea volumului de operaţiuni bancare, precum şi de amînarea altor proiecte. Ori, într-o perioadă de criză, cînd în cadrul companiilor, inclusiv a băncilor, ca urmare a reducerii volumului de lucrări, apar posibilităţi de implicare a personalului în activităţi noi, este potrivit ca eforturile să fie orientate spre ridicarea calităţii serviciilor şi securizarea băncii.
     V.N.: Activitatea oricărei organizaţii financiare depinde în mare măsură de calitatea Sistemului de Management al Securităţii Informaţiei (SMSI). Elaborarea unui SMSI, adaptat cerinţelor standardelor de securitate, este o condiţie pentru obţinerea unei poziţii competitive pe piaţa financiar–bancară. Valoarea unei bănci nu constă doar din capitalul clienţilor săi pe care a reuşit să-l adune şi-l administrează, ci şi din instrumentele şi cunoştinţele pe care aceasta le are şi care garantează clienţilor şi mediului de afacere că banii investiţi în această bancă nu vor putea fi compromişi în nici o împrejurare. Banca ce dispune de o astfel de infrastructură este mai pregătită pentru ziua de mîine, are mai mare credibilitate pe piaţă şi reprezintă un element de stabilitate important pentru ţară.
     Profit: Totuşi, prin ce se explică necesitatea implementării acestui standard internaţional şi care sînt avantajele băncii de la obţinerea lui?
     I. I.: Trebuie spus că, de fapt, nimeni nu ne obligă să implementăm acest standard. Pe de altă parte, în condiţiile concurenţei acerbe de pe piaţa bancară şi tendinţei de creştere a numărului de infracţiuni în sectorul bancar ca urmare a breşelor existente în aplicaţiile şi sistemele folosite, procedurilor de lucru neadecvate, introducerea standardului băncii elimină multe riscuri de compromitere a securităţii informaţionale şi contribuie direct la funcţionarea adecvată şi eficientă a băncii. Menţionăm că SMSI se integrează în managementul general al proceselor de afaceri al băncii ceea ce permite îmbunătăţirea protecţiei informaţiei bancare nu numai la nivelul aplicaţiilor şi/sau echipamentului, ci şi la nivelul managementului băncii. Banca operează cu volume tot mai mari de informaţii, gestionează baze de date enorme cu valoare deosebită şi sensibilă, inclusiv şi pentru clienţi. Această realitate impune dezvoltarea unui sistem eficient şi sigur de management al securităţii informaţiei, capabil să asigure protecţia necesară activelor informaţionale ale băncii şi să garanteze că măsurile şi mijoacele de securitate sînt adecvate şi proporţionale impactului posibil pentru bancă. În rezultat se diminuează riscurile de a prejudicia banca din cauza încălcărilor cerinţelor de securitate a informaţiei.
     V.N.:  Implementarea unui SMSI conform ISO presupune trecerea la o structură calitativ nouă de organizare a securităţii informaţiei în bancă. Astfel se asigură securitatea la toate nivelele organizaţionale ale instituţiei, se reduce semnificativ numărul breşelor de securitate, riscurile care ar putea afecta continuitatea afacerii în situaţii excepţionale. Putem spune fără exagerare că o bancă ce a implementat şi certificat un SMSI a fost transformată profund, nu mai activează cum a activat pînă la implementarea acestui standard. Şi asta se observă, bunăoară, începînd cu felul în care este asigurată intrarea în sediile băncii a personalului şi clienţilor săi şi terminînd cu procedurile noi privind derularea tranzacţiilor.
     Profit: Din experienţa însuşită, cum ar trebui de implementat un sistem de management al securităţii informaţiei conform ISO 27001? Ce dificultăţi întîmpină realizarea unui astfel de proiect?
     I.I.: Realizarea proiectului SMSI cu obiectivul de a susţine certificarea la general include două etape consecutive: prima - dezvoltarea sistemului de management al securităţii informaţiei pentru o companie concretă, inclusiv a cadrului normativ complex, cu politici, proceduri şi instrucţiuni, adică integrarea lui în managementul general al companiei; a doua - acţiunile de funcţie asigurate zilnic de personalul postat la locurile respective de muncă, informaticieni, administratori de sistem, utilizatori şi beneficiari ai tehnologiilor informaţionale.
     V.N.: Implementarea standardului obligatoriu impune realizarea unor lucrări dar şi ataşamentul managementului băncii în: a)instruirea managementului superior şi al echipei de implementare în domeniul securităţii informaţiei; b)evaluarea compatibilităţii SMSI existent în bancă cu cerinţele standardului ISO 27001; c) definirea rolurilor şi responsabilităţilor angajaţilor privind securitatea informaţiei; d) crearea şi aplicarea metodologiei de analiză a riscurilor în domeniul securităţii informaţiei; e) elaborarea strategiilor şi metodelor de control în vederea diminuării riscurilor aferente securităţii informaţiei şi programului de implementare a măsurilor de tratare a acestor riscuri în domeniul securităţii informaţiei; f) elaborarea politicilor şi procedurilor aferente securităţii informaţiei; g) implementarea managementului continuităţii afacerii bazate pe planul de continuitate. Echipa MAIB a făcut faţă cu succes acestei sarcini inedite. Atît pentru mine, cît şi pentru compania pe care o reprezint, care avem conturi în această bancă, cele menţionate înseamnă foarte mult – noi avem o siguranţă mult mai mare că banii noştri se găsesc în mîini de încredere!
    Profit: Din certificatul de conformitate la ISO atribuit băncii se vede că acesta acoperă domeniul tehnologiilor informaţionale...
     V.N.: Introducerea sistemului ISO 27001 concomitent pentru toate procesele de afaceri nu este deloc un lucru simplu, acesta cere resurse şi timp. Practica indică că este mai eficientă metoda de realizare graduală, pas cu pas, cînd implementarea sistemului se realizează într-un domeniu, pentru un proces bine definit. În cazul Moldova Agroindbank – iniţial este vorba de Departamentul Tehnologii Informaţionale,  ca apoi domeniul de aplicare a acestui sistem să fie extins pe alte activităţi şi structuri ale băncii. S-a stabilit că domeniul de certificare va fi acest Departament avînd în vedere rolul sistemului informaţional şi că personele mai pregătite pentru a iniţia un asemenea proiect sînt cele din sfera IT.
     Profit: De ce a fost necesară atragerea companiei Endava la realizarea acestui proiect?
     I.I.: Probabil cauza a fost faptul că, la momentul deciziei băncii de a asigura un management al securităţii informaţiei conform celor mai bune practici, compania Endava deja era certificată în conformitate cu acest Standard ISO 27001, dispunea de experienţă şi principalul – de specialiştii  necesari.
     V.N.: Este adevărat că la momentul negocierilor privind consultanţa pe implementarea acestui standard, Endava deţinea certificatul respectiv de la British Standard Institution. Această organizaţie, autor al standardului Endava, s-a impus prin realizarea cu succes în domeniul consultanţei IT şi standardelor ISO 9001 şi 27001, prin experienţă bogată în managementul proiectelor conform metodologiei PRINCE 2. Acest lucru a permis ca MAIB nu numai să implementeze SMSI-ul performant, dar şi să beneficieze de un know how valoros pentru managementul altor proiecte.
     Profit: Este cunoscut faptul că conlucrarea companiilor de soft cu băncile nu întotdeauna se soldează cu proiecte de succes. Dvs. cum aţi  reuşit acest lucru?
     V.N.: După cum am menţionat, Endava, ca membru al grupului Endava din Londra, în debutul proiectului cu MAIB avea deja experienţă de prestare a serviciilor de elaborare soft, inclusiv unor bănci din Marea Britanie. Specialiştii grupului din Londra aveau la activ proiecte de consultanţă pentru bănci mari. Apoi, pentru MAIB am alocat cei mai buni consultanţi, unii avînd doctoratul în IT, cu certificări internaţionale în domeniu. Deprinşi să lucrăm cu clienţi mari, ne-am străduit să învăţăm împreună cu MAIB cum să depăşim dificultăţile, inevitabile în asemenea proiecte.
     Profit: Totuşi ce nu s-ar spune despre calificarea specialiştilor implicaţi în proiect, la sigur că rolul decisiv în crearea sistemului de management al securităţii informaţiei aparţine conducerii băncii...
     V.N.: Într-adevăr, condiţia de bază ca orice proiect să fie unul de succes, este poziţia activă a executivului companiei în realizarea proiectului, implementarea cadrului normativ aferent sistemului, acţiunilor de întreţinere a acestuia în stare actuală. În cazul MAIB-ului, cu satisfacţie menţionăm colaborarea strînsă cu preşedintele băncii, Natalia Vrabie, alţi factori de decizie, care ne-au surprins plăcut prin interesul manifestat, modul de abordare a problemelor, priceperea de a le soluţiona şi mobiliza resursele necesare pentru atingerea scopului final.
     I.I.: Participarea conducerii băncii la realizarea sistemului a fost una decisivă, care şi-a impus rolul său chiar de la debutul lucrărilor. Este foarte important ca angajaţii băncii să cunoască faptul că măsurile de securitate ale informaţiei sînt iniţiate de conducere şi sînt obligatorii spre executare. De asemenea, este important ca însăşi conducerea băncii nu doar să ţine sub control funcţionarea sistemului de securitate, dar personal să urmeze aceleaşi reguli de securitate a informaţiei ca şi toţi angajaţii băncii.
    

     Profit: Care este procedura de obţinere a certificării şi care companii au dreptul de a realiza asemenea audit?
     V.N.: Procedura obţinerii certificării include fazele definirii scopului/ariei de acoperire a sistemului ce va fi supus certificării, elaborării procedurilor şi documentaţiei necesare trecerii la un nou nivel de prestare a serviciilor conform cerinţelor standardului în cauză (ISO 27001), adaptarea proceselor de business la cerinţele stadardului, susţinerea unui preaudit privind pregătirea băncii (companiei) pentru a fi auditată de o companie terţă împuternicită să recunoască conformitatea proceselor din bancă la cerinţele standardului 27001. În final, în cazul auditului pozitiv, prezintă dosarul auditării companiei de certificare recunoscută pe plan intenaţional care eliberează certificatul.
     I.I.: Certificarea băncii a fost executată de  compania SRAC (România), care este şi partener IQNet – cea mai mare reţea internaţională a organismelor naţionale de certificare. Selectarea companiei de certificare a avut loc în corespundere cu procedura internă a băncii de achiziţie a serviciilor, în bază de concurs.