Ο Γιώργος Χλωμούδης, Information Risk Security Officer της Διεύθυνσης Διαχείρισης Κινδύνου στην Marfin Egnatia Bank, εξηγεί τους κινδύνους που αντιμετωπίζει καθημερινά ένας χρηματοπιστωτικός και αναλύει τις βασικές αρχές του ΙΤ Risk Management and Compliance.

NetWeek: Ποιες είναι οι προκλήσεις που αντιμετωπίζει ένας χρηματοπιστωτικός οργανισμός σε επίπεδο κινδύνων; Πως μπορεί να τις αντιμετωπίσει;

Γιώργος Χλωμούδης: Οι κίνδυνοι που απορρέουν από τις εργασίες των χρηματοπιστωτικών οργανισμών και τις υπηρεσίες που προσφέρουν είναι πολλοί και σημαντικοί. Για παράδειγμα, υπάρχουν κίνδυνοι πιστωτικής φύσης, κίνδυνοι ρευστότητας, λειτουργικοί κίνδυνοι, κίνδυνοι ασφάλειας συστημάτων & πληροφοριών, ακόμα και κίνδυνοι βλάβης της φήμης ενός οργανισμού κ.α. Το σύνολο των κινδύνων που αντιμετωπίζει ένας οργανισμός αποτελεί ένα διαρκές σημείο απειλής ως προς τη συνέχεια παροχής των υπηρεσιών που προσφέρονται και κατά συνέπεια της αύξησης της κερδοφορίας του.

Η μελέτη και αξιολόγηση του συνόλου των κινδύνων που υπάρχουν σε έναν οργανισμό αποτελεί το πρώτο και πιο ουσιαστικό βήμα για την επιτυχή αντιμετώπιση και διαχείριση τους. Σε κάθε χρηματοπιστωτικό οργανισμό οι αρμοδιότητες αξιολόγησης και διαχείρισης κινδύνων ανατίθενται σε εξειδικευμένα στελέχη τα οποία, μεταξύ άλλων, λαμβάνουν υπόψη τους ένα σύνολο παραγόντων που δύναται να μετατρέψουν έναν κίνδυνο σε πραγματική απειλή.

Οι παράγοντες αυτοί, μεταξύ άλλων, έχουν να κάνουν με το είδος των κινδύνων, το μέγεθος και το βαθμό επίδρασης, την πιθανότητα εκδήλωσης,  τα όρια «αντοχής» του οργανισμού να επωμιστεί τον όποιο κίνδυνο, το κόστος και τον επιπλέον φόρτο εργασίας που συσσωρεύεται για την επίτευξη μείωσης των κινδύνων κ.α.

NetWeek: Η Marfin Egnatia Bank έχει προχωρήσει σε κάποιες επενδύσεις στον τομέα του IT Risk Management;

Γιώργος Χλωμούδης: Η Marfin έχει πρόσφατα ολοκληρώσει τη διαδικασία συνένωσης τριών διαφορετικών τραπεζών με διαφορετικές κουλτούρες, τεχνολογίες, πρακτικές και ανθρώπινο δυναμικό. Είναι φυσιολογικό λοιπόν, να υπάρχει αυξημένη ευαισθητοποίηση ως προς το βέλτιστο σχεδιασμό, την υλοποίηση αλλά και την αφομοίωση εκείνων των μηχανισμών που θα προσφέρουν ένα ενιαίο πλαίσιο αποτελεσματικής αντιμετώπισης και διαχείρισης κινδύνων. Η Διοίκηση της Τράπεζας έχει επενδύσει στην ασφάλεια συστημάτων και πληροφοριών και ως συνέπεια αυτής της βούλησης είναι η στελέχωση της Διεύθυνσης Διαχείρισης Κινδύνων με έμπειρο προσωπικό, με σκοπό τη δημιουργία ενός πλαισίου ασφαλούς διαχείρισης κινδύνων συστημάτων & πληροφοριών.

NetWeek: Ποιες τεχνολογίες εξασφαλίζουν την διαχείριση του ρίσκου στο τμήμα της Πληροφορικής ενός χρηματοπιστωτικού οργανισμού;

Γιώργος Χλωμούδης: Δεν υπάρχει μια συγκεκριμένη τεχνολογία που να «εξασφαλίζει» τη συνολική διαχείριση κινδύνων ενός τμήματος Πληροφορικής. Υπάρχουν, ωστόσο, διαφορετικές τεχνολογίες και υποδομές που βοηθάνε στη μείωση διαφορετικών μορφών κινδύνου.

Για παράδειγμα, η υλοποίηση μιας τεχνολογίας Identity Management, εφόσον έχει προηγηθεί λεπτομερής σχεδιασμός, θα μπορούσε να δώσει σημαντικό πλεονέκτημα σε έναν οργανισμό όσον αφορά στη μείωση των κινδύνων από έλλειψη διαδικασιών διαχείρισης προσβάσεων και διαχωρισμού καθηκόντων. Σε κάθε περίπτωση, για να πετύχουμε τη μέγιστη δυνατή ασφάλεια σε επιτρεπτά επίπεδα κόστους, θα πρέπει να συνδυάζονται και να συλλειτουργούν και οι τρεις παράγοντες επιτυχίας: τεχνολογία, πολιτικές & διαδικασίες και ανθρώπινο δυναμικό.

NetWeek: Με ποιο τρόπο μια τράπεζα επιτυγχάνει την συμμόρφωση με τις κανονιστικές οδηγίες;

Γιώργος Χλωμούδης: Θα πρέπει να τονίσουμε ότι οι χρηματοπιστωτικοί οργανισμοί έχουν, ούτως η άλλως, τη βούληση να προστατέψουν τις καθημερινές διεργασίες και τις υπηρεσίες που προσφέρουν. Οι εκάστοτε ρυθμιστικές και κανονιστικές οδηγίες και απαιτήσεις αποτελούν χρήσιμο αρωγό σε αυτήν τους την προσπάθεια.

Το πρώτο βήμα για την επίτευξη της συμμόρφωσης με τις ρυθμιστικές και κανονιστικές αρχές είναι η εκπόνηση λεπτομερούς μελέτης αξιολόγησης κινδύνων και η αποτύπωση / καταγραφή των διαφορών και ελλείψεων ως προς τη συμμόρφωση με τις σχετικές οδηγίες. Η αποτύπωση και αξιολόγηση των πραγματικών κινδύνων ενός οργανισμού προσφέρει την κατάλληλη βάση πληροφοριών για να προχωρήσει κανείς στη δημιουργία των πιο ουσιαστικών μηχανισμών αντιμετώπισης αυτών.

Διαβάστε στο ένθετο αυτού του τεύχους:

NetWeek: Ποια είναι η σημασία του IT Risk Management;

Γιώργος Χλωμούδης: Σε ένα δυναμικό εργασιακό περιβάλλον, όπου οι βασικότερες (αν όχι όλες) υπηρεσίες ενός χρηματοπιστωτικού οργανισμού εξαρτώνται από την απρόσκοπτη και ομαλή λειτουργία των πληροφορικών συστημάτων και την ακεραιότητα των πληροφοριών που διακινούνται, η δραστηριότητα ενός μοντέλου αξιολόγησης & αντιμετώπισης κινδύνων δεν μπορεί παρά να είναι πολλή σημαντική.  Η ύπαρξη ενός τμήματος διαχείρισης ασφάλειας συστημάτων & πληροφοριών ουσιαστικά διαμορφώνει το πλαίσιο κάτω από το οποίο επιτυγχάνεται η αξιολόγηση και αντιμετώπιση των κινδύνων σε συνεργασία με τις υπόλοιπες επιχειρησιακές μονάδες που επηρεάζονται.

NetWeek: Ποιες είναι οι βασικές αρχές του IT Risk Management και Compliance;

Γιώργος Χλωμούδης: Θα μπορούσε κανείς να φανταστεί το IT Risk Management σαν ένα μεγάλο και δυναμικό project που έχει αρχή, αλλά δεν έχει τέλος:
1. Αξιολόγηση: σε πρώτη φάση έχουμε την αξιολόγηση των κινδύνων και της επίδρασης αυτών στις λειτουργίες της τράπεζας.

2. Σχεδιασμός & Ανάπτυξη: οι πληροφορίες που θα συλλέξουμε από την αξιολόγηση των κινδύνων θα μας επιτρέψουν να σχεδιάσουμε και να αναπτύξουμε τις πιο κατάλληλες πολιτικές, διαδικασίες και μηχανισμούς ασφάλειας για να μειώσουμε ή ακόμα και να εξαλείψουμε τους σχετικούς κινδύνους.

3. Εφαρμογή / Υλοποίηση: η υλοποίηση των πιο πάνω πολιτικών, διαδικασιών και μηχανισμών ασφάλειας αποτελεί την επόμενη σημαντική φάση του project που όμως επιτυγχάνεται μόνο εφόσον έχουν προηγηθεί ακριβής αξιολόγηση και κατάλληλος σχεδιασμός.

4. Παρακολούθηση: τέλος, η παρακολούθηση αποτελεί εκείνη τη φάση που ελέγχει την ορθή εφαρμογή των ενεργοποιημένων πολιτικών, διαδικασιών και μηχανισμών ασφάλειας, καταγράφει τα περιστατικά μη συμμόρφωσης, αλλά και γενικότερα τις δυσκολίες συμμόρφωσης και ουσιαστικά δίνει υλικό για να ξεκινήσει μια νέα μελέτη αξιολόγησης κινδύνων.

NetWeek: Πως μπορεί ένας χρηματοπιστωτικός οργανισμός να αξιολογήσει την αποτελεσματικότητα αυτών;

Γιώργος Χλωμούδης: Κατά τη φάση παρακολούθησης της συμμόρφωσης ενός οργανισμού εφαρμόζονται συγκεκριμένες μεθοδολογίες και διαδικασίες αξιολόγησης των μηχανισμών που τέθηκαν σε εφαρμογή συγκρίνοντας τα πραγματικά αποτελέσματα με τα αναμενόμενα. Η διαδικασία αυτή προϋποθέτει την προηγούμενη δημιουργία ενός πλάνου παρακολούθησης και εποπτείας των μηχανισμών που θέτουμε σε εφαρμογή, καθώς και τη συνεχή καταγραφή των περιστατικών απόκλισης από τις διαδικασίες που παρατηρούνται.Διαβάστε στο ένθετο αυτού του τεύχους: