Ο Βαγγέλης Παρθενιάδης , ΙΤ Manager της Millennium bank, μίλησε στο netweek για την στρατηγική της τράπεζας στον τομέα της διαχείρισης κινδύνων αλλά και της συμμόρφωσης.

NetWeek: Ποια είναι η σημασία του IT Risk Management και ποιες οι προκλήσεις, σε αυτό το επίπεδο,  που καλείται να αντιμετωπίσει μια τράπεζα;

Βαγγέλης Παρθενιάδης: Στη σημερινή ψηφιακή εποχή, σε κάθε ένα οργανισμό που χρησιμοποιεί πληροφοριακά συστήματα για να υποστηρίξει τις δραστηριότητές του, το ΙΤ Risk Management έχει πρωτεύοντα ρόλο για τη προστασία των «πληροφοριακών περιουσιακών στοιχείων» του οργανισμού.

Οι κίνδυνοι που αντιμετωπίζει ένας οργανισμός μπορεί να οφείλονται σε εξωτερικούς παράγοντες όπως η αύξηση των επιτοκίων, ο ανταγωνισμός κ.α. ή εσωτερικούς παράγοντες, όπως η ρευστότητα της εταιρείας, κανονιστικά οικονομικά μέτρα, οι ίδιοι οι εργαζόμενοι και βεβαίως τα πληροφοριακά συστήματα της εταιρείας.

Το IT Risk Management καλείται να κατανοήσει τα πιθανά οφέλη και τις απειλές από όλους τους παράγοντες που μπορούν να επηρεάσουν τα πληροφοριακά συστήματα της τράπεζας, να αυξήσει τη πιθανότητα επιτυχίας και παράλληλα  να μειώσει τη πιθανότητα αποτυχίας της επίτευξης των συνολικών στόχων της τράπεζας, χρησιμοποιώντας ελεγκτικούς μηχανισμούς  αποφυγής λαθών στα έργα και στις διαδικασίες τις οποίες καλείται να φέρει εις πέρας το ΙΤ.  Οδηγός των δραστηριοτήτων του ΙΤ Risk Management είναι διάφορες κανονιστικές οδηγίες όπως η πράξη 2577 παράρτημα 2 της Τράπεζας της Ελλάδας, η Βασιλεία ΙΙ καθώς και οι εσωτερικοί κανονισμοί του κάθε οργανισμού και διεθνή πρότυπα ασφαλείας (ITIL, COBIT κ.α.). Το IT Risk Management μελετώντας σε βάθος τις κανονιστικές οδηγίες καθώς και τις διεθνείς αρχές δημιουργεί τις βέλτιστες πρακτικές για μια ολοκληρωμένη καθοδήγηση αντιμετώπισης των σχετικών κινδύνων.

NetWeek: Ποιες κινήσεις έχει κάνει η Millennium Bank στο τομέα της διαχείρισης κινδύνου;

Βαγγέλης Παρθενιάδης: Καθώς το IT Risk Management καλείται να διαχειριστεί τις επιπτώσεις των αποτελεσμάτων μιας ενέργειας (αιτιατό), οι επενδύσεις της Millennium Bank αναφορικά με το IT Risk Management είναι έμμεσες και σκοπό έχουν τόσο τη πρόληψη κινδύνων στο μέτρο του δυνατού, όσο και την άμεση και πιθανή αποκατάσταση προβλημάτων που προέκυψαν από κάποια αιτία. Η διοίκηση της τράπεζας έχει προχωρήσει σε μια σειρά επενδύσεων και ενεργειών.

Ενδεικτικά στο τομέα της πρόληψης κινδύνων μπορούμε να αναφέρουμε τα εξής: Όλοι οι σταθμοί εργασίας της τράπεζας λειτουργούν σε SPRINT περιβάλλον, το οποίο αποτελεί σημαντικό παράγοντα στην ασφαλή διαχείριση των πληροφοριών του οργανισμού, το Disaster Recovery Site της τράπεζας σε περίπτωση αδυναμίας λειτουργίας του πρωτεύοντος Data Center, τα Firewall συστήματα που προστατεύουν το δίκτυο της τράπεζας από κακόβουλες διαδικτυακές επιθέσεις, τα antivirus συστήματα κ.α.

Παράλληλα, σε επίπεδο λογισμικού έχουν εγκατασταθεί ειδικά προγράμματα φιλτραρίσματος κακόβουλων συναλλαγών, αλλά και καθορισμού προφίλ και επιπέδου πελατών με σκοπό την αποτροπή κινήσεων που ενέχουν ρίσκο για την τράπεζα αλλά και τους πελάτες και δεν είναι σύμφωνες με της αρχές συμμόρφωσης έναντι των οδηγιών της Τράπεζας της Ελλάδος για άνομες πράξεις οικονομικής φύσεως. Επίσης, στο τομέα της άμεσης αποκατάστασης προβλημάτων που προέκυψαν από κάποια εξωτερική αιτία, παράδειγμα αποτελεί το Business Continuity Plan που έχει εκπονηθεί από τη τράπεζα για την αντιμετώπιση φυσικών κυρίως καταστροφών.

NetWeek: Με ποιο τρόπο επιτυγχάνεται η συμμόρφωση σε κανονιστικές οδηγίες, και πως αξιολογείται η αποτελεσματικότητα των ενεργειών αυτών;

Βαγγέλης Παρθενιάδης: Αυτό που μπορούμε να πούμε είναι ότι, στο μέτρο του δυνατού, η τράπεζα έχει λάβει όλα τα απαραίτητα μέτρα για την απρόσκοπτη και αδιάλειπτη λειτουργία όλων των πληροφορικών συστημάτων της, ούτως ώστε οι παρεχόμενες υπηρεσίες προς τους πελάτες της να είναι πάντα οι υψηλότερες δυνατές. Για τη πιστοποίηση της καλής λειτουργίας των εναλλακτικών συστημάτων της τράπεζας γίνονται σε όλη τη διάρκεια του χρόνου συνεχείς έλεγχοι και tests και μια φορά το χρόνο και για διάρκεια μιας εβδομάδας η τράπεζα λειτουργεί και παρέχει υπηρεσίες προς τους πελάτες της λειτουργώντας αποκλειστικά από το Disaster Recovery Site.

Σε επίπεδο εφαρμογών αλλά και διαδικασιών, η τράπεζα, μέσω της Διεύθυνσης Επιθεώρησης και εσωτερικού ελέγχου, συνεχώς ελέγχει, αξιολογεί, ενισχύει, αυτοματοποιεί, και εφαρμόζει νέες τεχνικές και διαδικασίες που ελαχιστοποιούν τον κίνδυνο από λάθη και άλλες πιθανές αθέμιτες συναλλαγές μέσω των συστημάτων της, επιδιώκοντας έτσι πιστοποίηση αλλά και συμμορφούμενη με τα διεθνή standards.

Διαβάστε στο ένθετο αυτού του τεύχους: