A GDPR, NIS2, DORA hatályba lépésével megnövekedett az igény arra, hogy a felsorolt rendeletek, direktívákat vegyük figyelembe a termékek és szolgáltatások tervezésénél. Mondhatnánk, hogy lerágott csont, de valójában egy babaököl méretű mócsingról beszélünk, amit forgat a szájában a vezetés – mert csak egy nyűg és extra költség neki –, a fejlesztők és üzemeltetők – mert ezzel csak bonyolultabb lesz minden – és a felhasználók, akik úgy érzik, hogy megnehezítik és kényelmetlenebbé teszik az életüket a munkájuk során. Úgy is érezhetjük, hogy az információbiztonsági vagy IT Security-s elvárások (használjuk most szinonimaként) a papírgyártásról, a kényelmetlenség fokozásáról és a körülményességről szólnak.
Ha ez így lenne, akkor miért foglalkozunk ezzel? Ha ez így lenne, akkor vajon azért kapja valaki a fizetését és “dolgozza ezt” heti 40 órában, hogy mások életét megkeserítse?
Dolga-e az üzleti elemzőnek az IT Security?
A felsorolásból nem véletlenül maradt ki a BA. Ąz üzleti elemzői szerepkör egyre összetettebbé válik, a vállalatok üzleti folyamatai és technológiai rendszerei között kell hidat építenie. Ennek a hídnak az egyik kiemelten fontos, de gyakran figyelmen kívül hagyott pillére az IT Security. Talán elsőre úgy tűnik, hogy a biztonság kérdése kizárólag IT-s vagy biztonsági szakértői kompetencia, azonban a gyakorlatban a helyzet jóval árnyaltabb. Egy üzleti elemzőnek is tisztában kell lennie a vállalatot érintő információbiztonsági elvárásokkal és kihívásokkal, mert ezek a kérdések jelentősen befolyásolják a követelményelemzés és az üzleti igények kialakításának folyamatát is.
Igen, dolga az üzleti elemzőnek az IT Security.
Nem csak ez és nem csak neki. Valójában mindenkinek dolga. Viszont az üzleti elemző az első, aki egy üzleti igény megjelenésekor találkozik az üzlettel, az igény gazdájával és már itt figyelembe kell venni nem-funkcionális követelményként a szabályozók által megfogalmazott elvárásokat. Már ebben a pontban meg lehet és meg is kell fogalmazni olyan követelményeket és elvárásokat, amik a megfelelőség mellett a „Business First!” szemlélettel segítik a vállalatokat.
Compliance – nem funkcionális követelmények
Az üzleti elemző egyik fontos feladata, hogy az üzleti igények mellett a jogszabályoknak és különböző compliance követelményeknek is megfeleljenek a megfogalmazott követelmények. Ez a fontos feladat többször esik az időnyomás és a „haladjunk, majd kitaláljuk menet közben” áldozatává. Amikor ez az eset valósul meg és később a felszínre kerülnek a figyelembe nem vett elvárások, elvarratlan szálak, akkor ezek hirtelen fókuszba kerülnek és közel azonnali megoldásokat követelnek. Ilyenkor már nem a megszokott mederben folyik a felmérés és tervezés, megdobva a költségeket és a projektcsapat stressz-szintjét is az egekbe emeli. A compliance követelményeket szeretjük külön csoportban kezelni, a nem funkcionális követelmények kategóriájába soroljuk ezeket. Azonban vegyük tudomásul, hogy ezen követelmények nem teljesítése meggátolja az üzleti igény megvalósítását. Egy nagyon egyszerű példát felhozva, még soha nem hangzott el az üzlet szájából, hogy „szeretném, ha lenne kétfaktoros azonosítás a CRM rendszerünkben”. Enélkül a (nem funkcionális) követelmény teljesítése nélkül a CRM rendszer sem állhat üzembe.
A compliance nem pusztán adminisztratív teher:
jól megfogalmazott nem funkcionális követelményekkel elfogadható szintre csökkenthetőek a kockázatok, elkerülhetők a szabályozási bírságok, valamint növelhető a termékek és szolgáltatások általános biztonsági szintje és minősége.
Ehhez az üzleti elemzőnek be kell vonnia a compliance területet, a security szakértőket és az üzemeltetéssel foglalkozó területe(ke)t is, hogy a lehető legpontosabban azonosítsa és dokumentálja az adott termék vagy szolgáltatás esetében releváns compliance követelményeket.
Meddig ér az üzleti elemző keze?
Fontos meghatározni, hogy az üzleti elemző felelőssége meddig terjed az információbiztonság és compliance területén.
A BA elsődleges feladata ebben az esetben az IT Security téma felszínre hozása,
annak felmérése, hogy milyen típusú és minősítésű adatokat dolgoznak fel és tárolnak, kik fogják használni, milyen rendelkezésre állással kell működnie a végleges rendszernek vagy szolgáltatásnak és további ehhez hasonló kérdés megválaszoltatása. A megoldás részleteinek kidolgozása, technikai implementálása és üzemeltetése már nem tartozik közvetlenül a feladatai közé, az így kinyert információkkal etetheti a szakterületeket. Érdekeltnek kell lennie abban, hogy a biztonsági követelmények egyértelműen megfogalmazásra kerüljenek, és a fejlesztési, valamint üzemeltetési csapatok számára érthetők legyenek. Ezzel biztosítja, hogy a projekt során későbbi fázisokban se maradjanak homályos zónák, megválaszolatlan kérdések, és az információbiztonsági elvárások teljesüljenek.
BA-ként hova forduljak a compliance témában?
Egy üzleti elemző számára a compliance kérdéskör nem lehet pusztán háttérzaj vagy egy mellőzhető terület, hanem integráns része az elemzési munkának. A probléma sokszor ott kezdődik, hogy nem világos, kihez fordulhat az üzleti elemző, ha megfelelőségi kérdések merülnek fel. Márpedig fel fognak. A „jó kérdések” sokszor túlmutatnak az üzleti logikán és belevágnak a jogszabályok, szabványok és IT kontrollok világába.
Kik lehetnek a BA szövetségesei?
- Compliance / belső kontroll csapat – Elsődleges partner, ha jogszabályi megfelelésről (GDPR, DORA, NIS2, stb.), belső szabályzatokról, szabványokról (pl. ISO 27001) van szó.
- Security szakértő / CISO – Ők segíthetnek az információbiztonsági kockázatok, technikai elvárások és kontrollok értelmezésében.
- DPO (adatvédelmi tisztviselő) – GDPR-t érintő kérdésekben kihagyhatatlan szereplő, különösen ha személyes adatok is érintettek.
- IT üzemeltetés / infrastruktúra – Az elvárások megvalósíthatóságát, technikai lehetőségeket velük érdemes egyeztetni.
Az üzleti elemző feladata tehát nem az, hogy mindenre maga tudja a választ, hanem az, hogy felismerje, hogy kérdezni kell és tudja, hogy kitől.
Egy jól működő környezetben a BA proaktívan vonja be a megfelelő szereplőket, nem pedig utólag próbálja megmenteni a projektet, amikor már késő. A megfelelő kérdések időben történő feltevésével rengeteg költség és feszültség megelőzhető, a projekt scope-jának és megvalósíthatóságával együtt.
A biztonság nem csak az a biztonság (hanem üzembiztonság is)
Amikor IT Security-ről beszélünk, sokak gondolata rögtön adatvédelmi incidensekhez, jogosulatlan hozzáférésekhez vagy hackertámadásokhoz kapcsolódik. Ez azonban csak a biztonság egyik dimenziója. A biztonság egy másik, legalább ilyen fontos oldala az üzembiztonság. Az a képesség, hogy a rendszer stabilan, megbízhatóan, megszakítás nélkül, a vele szemben megfogalmazott követelményeknek megfelelően működjön. Egy leállás, rendszerhiba vagy adatvesztés gyakran ugyanakkora, vagy akár nagyobb üzleti kárt okoz, mint egy klasszikus biztonsági incidens.
A felhasználók és az üzlet számára a „biztonság” gyakran abban nyilvánul meg, hogy a rendszer mindig elérhető, az adatok soha nem vesznek el, és a szolgáltatás zavartalanul működik a nagyobb terheléssel járó időszakokban is. Ha a rendszer leáll egy kampány közepén, vagy egy adatbázis hiba miatt elvész az ügyfélinformáció, az a biztonság, megbízhatóság meghiúsulása a felhasználó szemszögéből. Emiatt az üzleti elemző szempontjából az üzembiztonság figyelembevétele nemcsak technikai részletkérdés, hanem alapvető üzleti elvárás.
Ezért a BA feladata, hogy a biztonsági követelmények megfogalmazásakor az üzembiztonságot is ugyanúgy beépítse a tervekbe, mint az adatvédelmi vagy hozzáférési kontrollokat. Ez magában foglalja a rendelkezésre állásra, hibakezelésre, mentési és visszaállítási folyamatokra, valamint kapacitás- és terheléskezelésre vonatkozó elvárások rögzítését. Mindezeket az igényeket úgy kell az érintett területekkel egyeztetnie, hogy a megvalósítás üzletileg és technikailag is reális legyen.
Az üzembiztonság tehát nem különálló, technikai mellékszál, hanem a biztonság szerves része.
Az üzleti elemző ebben a kérdésben is híd szerepet tölt be: az üzlet igényeit, a technikai lehetőségeket és a biztonsági szempontokat összehangolva segít biztosítani, hogy a rendszer hosszú távon is stabil, biztonságos és üzletileg fenntartható legyen.
Végszóul
Az IT Security és az üzleti elemzés kapcsolata sokkal szorosabb, mint elsőre gondolnánk. Nem arról van szó, hogy az üzleti elemzőnek mély technikai tudással kell rendelkeznie a biztonsági mechanizmusokról, hanem arról, hogy felismerje ezek üzleti jelentőségét, és képes legyen a megfelelő pillanatban a megfelelő kérdéseket feltenni.
A BA szerepe abban rejlik, hogy az üzleti igények megfogalmazásán túl gondoskodjon arról is, hogy a biztonsági és megfelelőségi szempontok már a kezdetektől beépüljenek a folyamatba. Ez nem csupán a szabályozásoknak való megfelelést szolgálja, hanem hosszú távon csökkenti a költségeket, mérsékli a kockázatokat és növeli a vállalat működési stabilitását. Az üzleti elemző tehát kulcsszereplő abban, hogy a vállalat rendszerei és szolgáltatásai ne csak megfeleljenek a jogszabályoknak és biztonsági követelményeknek, hanem üzletileg is fenntarthatók és megbízhatóak legyenek.
Az IT Security nem elszigetelt IT-probléma:
minden érintett szereplő közös felelőssége, amelyben a BA az egyik legfontosabb kapocs az üzlet és a technológia világa között.
Végül érdemes szem előtt tartani: az IT Security beépítése nem akadály, nem eredmény nélkül elégetett erőforrás vagy költség, hanem befektetés. Ennek hasznát az üzlet, a felhasználók és a vállalat hosszú távon egyaránt élvezik.
Ha szeretnél ebben az üzleti elemzői szerepben is fejlődni, megtanulni, hogy mikor, kitől, és milyen kérdéseket kell feltenned, hogy minden fontos részlet a felszínre kerüljön és a folyamat bökkenőmentesen haladjon, vegyél részt a képzéseinken és válj még hatékonyabb üzleti elemzővé!
Nézd meg aktuális eseményeinket és csatlakozz hozzánk!
