Η ανάγκη για μια αποτελεσματική διαχείριση κινδύνων του τμήματος IT έχει αναδειχτεί σε κυρίαρχο ζητούμενο για τους χρηματοπιστωτικούς οργανισμούς καθώς "ποντάρουν" στα συστήματα και τις εφαρμογές Πληροφορικής για την επιτυχία τους.

<‘Σελίδα 1: Οι απειλές και οι κίνδυνοι που απειλούν το σύστημα της Πληροφορικής αλλά και της ίδιας της επιχειρηματικότητας’>
Αν και οι τράπεζες ισχυρίζονται ότι αντιμετωπίζουν με τη δέουσα προσοχή τους κινδύνους του τμήματος Πληροφορικής, πολύ συχνά η διαχείριση κινδύνων του ΙΤ έχει κενά και αδυναμίες, εξαιτίας της έλλειψης ολιστικής αντίληψης επί του θέματος. Ενα αποτελεσματικό ΙΤ risk management απαιτεί συνολική προσέγγιση και περιλαμβάνει τους εξής τομείς: ασφάλεια, διαθεσιμότητα, απόδοση και συμμόρφωση. Απαιτεί ένα πρόγραμμα διαχείρισης ρίσκου-κινδύνων που υπακούει σε ένα εγκεκριμένο μοντέλο και φυσικά λαμβάνει υπόψη την κουλτούρα και την συνολική πολιτική του κάθε οργανισμού.

Ενα αποτελεσματικό μοντέλο για τη δημιουργία ενός προγράμματος ΙΤ risk management πρέπει: να περιγράφει τις βέλτιστες πρακτικές για την οργάνωση ενός προγράμματος διακυβέρνησης,  να καθορίζει τομείς και πολιτικές ελέγχου, να διαθέτει ένα καταγραφέα κινδύνων και φυσικά να μπορεί να αντιμετωπίζει του κινδύνους που απειλούν το ΙΤ και τον ίδιο των χρηματοπιστωτικό οργανισμό.

Οταν οι τράπεζες βασίζονται σε τέτοια μοντέλα για το δικό τους πρόγραμμα ΙΤ risk management, όχι μόνο περιορίζουν το ρίσκο αλλά επίσης απολαμβάνουν τα προστιθέμενα οφέλη από την αυξανόμενη λειτουργική επάρκεια, τη βελτίωση της ποιότητας των υπηρεσιών και ταυτόχρονα μειώνουν το κόστος υποδομής του ΙΤ.

Απειλές και κίνδυνοι
Καθώς οι χρηματοπιστωτικοί οργανισμοί εξαρτώνται από το ΙΤ για την αποτελεσματική τους λειτουργία, πρέπει να αυξήσουν την επίγνωση του ρίσκου που απειλεί ολόκληρο το σύστημα της Πληροφορικής αλλά και της ίδιας της επιχειρηματικότητας. Ο διεθνής τύπος, συχνά, αποκαλύπτει αρκετούς από τους κινδύνους που μαστίζουν το εταιρικό ΙΤ: αυξανόμενες και στοχευμένες απειλές cybercrime, κατάρρευση υπολογιστών που επηρεάζουν το παγκόσμιο εμπόριο, μείωση της απόδοσης των υπολογιστών που αντανακλάται στην παραγωγικότητα και τις πωλήσεις.

Και σαν να μην φτάνουν όλα αυτά, κατά καιρούς αποκαλύπτεται και η επιβολή βαρύτατων προστίμων εξαιτίας της μη συμμόρφωσης με κανονιστικά πρότυπα. Αν και η επιχειρηματική πλευρά μιας τράπεζας, ενδεχομένως, δεν σπουδαιολογεί την ανάμειξη της τεχνολογίας στην επιχειρηματική ανάπτυξη, πρέπει να είναι κατανοητό ότι οι κίνδυνοι που δεν λαμβάνονται σοβαρά υπόψη μπορεί να έχουν -και πράγματι έχουν- άμεσο και σημαντικό αντίκτυπο στον χρηματοπιστωτικό οργανισμό.

Το θετικό στην υπόθεση είναι ότι ολοένα και περισσότερες τράπεζες αλλά και επιχειρήσεις αντιλαμβάνονται την ανάγκη για ένα αποτελεσματικό ΙΤ risk management, το οποίο τα τελευταία χρόνια έχει αναδειχθεί σε κορυφαία προτεραιότητα. Πλέον, το ενδιαφέρον για αυτό δεν έχουν μόνο τα στελέχη της Πληροφορικής αλλά και τα υπόλοιπα στελέχη της τράπεζας.

Διαβάστε στο ένθετο αυτού του τεύχους:

<‘here’>


<‘Σελίδα 2: Οι τέσσερις κατηγορίες του IT risk management’>
Το αποτέλεσμα μετράει

Αν και το ΙΤ risk manager έχει, κατά κοινή ομολογία προτεραιότητα, σε αρκετές περιπτώσεις διαπιστώνεται σύγχυση ανάμεσα στην εκτέλεση ενός τέτοιου σχεδίου και στην αποτελεσματικότητά του. Η σύγχυση αυτή προκύπτει αρχικά από βασικές παρανοήσεις σχετικά με το τι περιλαμβάνει ένα αποτελεσματικό ΙΤ risk management και πώς να συμπεριλάβει όλους τους τομείς της επιχειρηματικής δραστηριότητας. Αρκετές τράπεζες λαμβάνουν σοβαρά υπόψη τους κινδύνους του ΙΤ αλλά παρολαυτά η αντιμετώπισή τους δεν είναι ευρεία.

Για παράδειγμα, αρκετοί οργανισμοί καταβάλλουν τεράστιες προσπάθειες για να διασφαλίσουν το πληροφοριακά τους συστήματα, και υποθέτουν λανθασμένα ότι αντιμετωπίζουν με ασφάλεια όλους τους κινδύνους του ΙΤ. Το να διασφαλιστεί η υποδομή του τμήματος Πληροφορικής είναι σημαντικό κομμάτι του ΙΤ risk management, αλλά αποτελεί μία μόνο πλευρά του. Το ΙΤ risk management εμπίπτει σε τέσσερις κατηγορίες που όλες πρέπει να τύχουν προσεκτικής διαχείρισης:

  • Ασφάλεια: προστασία ενάντια σε μη εξουσιοδοτημένη πρόσβαση ή χρήση πληροφοριών. Διαρροή δεδομένων, μυστικότητα δεδομένων, απάτη, κλοπή ταυτότητας και καταστροφή της φήμης, του ονόματος και ενδεχομένως των περιουσιακών στοιχείων. Περιλαμβάνει ισχυρές εξωτερικές απειλές και στοχευμένες επιθέσεις σε συγκεκριμένες εφαρμογές, χρήστες, πληροφορίες και συγκεκριμένα συστήματα στα οποία οι οργανισμοί βασίζονται κάθε μέρα.
  • Διαθεσιμότητα: προστασία ενάντια στην εγκατάλειψη των πελατών και την απώλεια των πωλήσεων. Πλήγμα στην εμπιστοσύνη των πελατών, των συνεργατών και των υπαλλήλων. Μείωση της παραγωγικότητας των υπαλλήλων που οφείλεται στην διακοπή κρίσιμων επιχειρηματικών συστημάτων και διαδικασιών. Στην πραγματικότητα η διαθεσιμότητα σημαίνει τη διασφάλιση της επιχειρησιακής συνέχειας με το να είναι τα συστήμα μονίμως διαθέσιμα. Περιλαμβάνει την ανάγκη να μετριαστεί ο κίνδυνος αποτυχίας των εφαρμογών, της απώλειας των δεδομένων. Σε περιπτώσεις καταστροφής, απαιτείται ετοιμότητα στην ανάκτηση των επιχειρηματικών διαδικασιών ή στην ανάκτηση δεδομένων σε χρονοδιάγραμμα που ορίζει ο εκάστοτε χρηματοπιστωτικός διαγωνισμός.
  • Απόδοση: διευθέτηση απαιτήσεων σε επίπεδο όγκου και απόδοσης για πρόσβαση σε κρίσιμες επιχειρηματικές διαδικασίες -ακόμα και σε ώρες αιχμής- για να διασφαλιστούν τα υψηλότερα επίπεδα παραγωγικότητας των χρηστών, η αφοσίωση των πελατών αλλά και για να αποτραπεί η απώλεια των πωλήσεων και η μείωση της ικανοποίησης των πελατών εξαιτίας της παράτασης του χρόνου ή της μη έγκαιρης πρόσβασης.
  • Συμμόρφωση: αποφυγή ποινών για παραβίαση κανονισμών, διακοπή εμπιστοσύνης πελατών, αντιδικία για το χρόνο και τα έξοδα, μείωση της παραγωγικότητας των στελεχών, και καταστροφή της φήμης του οργανισμού. Η συμμόρφωση με τις κανονιστικές οδηγίες είναι θεμελιώδους σημασίας για την εύρυθμη λειτουργία μιας τράπεζας.
    Ένα επιτυχημένο ΙΤ risk management προϋποθέτει ο χρηματοπιστωτικός οργανισμός να διευρύνει τους ορίζοντες του, να αποκτήσει μια συνολική θεώρηση των κινδύνων που υπάρχουν στο εργασιακό περιβάλλον και να δοθεί προτεραιότητα στις εξειδικευμένες ανάγκες τους. Η αποτυχία εφαρμογής μιας ολιστικής θεώρησης ΙΤ risk management μπορεί να εκθέσει ανεπανόρθωτα και να κάνει ευάλωτο έναν τραπεζικό οργανισμό.

Διαβάστε στο ένθετο αυτού του τεύχους:

<‘here’>


<‘Σελίδα 3: Οι παγίδες της διαχείρισης του ρίσκου και τα θέματα που θα απασχολήσουν την ατζέντα του ΙΤ risk manager, το τρέχον έτος’>
Προσοχή στις παγίδες
Αλλη μία παγίδα της διαχείρισης του ρίσκου, στην οποία αρκετές τράπεζες είναι επιρρεπείς, είναι να υιοθετούν μια συγκεκριμένη τακτική στο ΙΤ risk management. Οταν μια νέα δέσμη απειλών κυριαρχεί στα πρωτοσέλιδα, δεν κεντρίζει μόνο τη γνώση των στελεχών για ενδεχόμενο ρίσκο αλλά επίσης αναδεικνύει το γεγονός ότι δίνεται πολύ έμφαση στη διαχείριση του συγκεκριμένου κινδύνου. Αυτό μπορεί να σημαίνει ότι μπορεί να δαπανάται περισσότερος από τον απαιτούμενο χρόνο στις συγκεκριμένες απειλές και έτσι να αποπροσανατολίζονται οι οργανισμοί από λανθάνοντες κινδύνους.

Μια αποτελεσματική διαχείριση ρίσκου απαιτεί, καταρχήν, την κατανόηση του συνόλου των κινδύνων και στη συνέχεια να ευθυγραμμιστούν οι συνολικές δαπάνες στις κατάλληλες περιοχές. Η αντιμετώπιση των καθημερινών κινδύνων ορισμένες φορές έρχεται σχεδόν φυσικά. Αντί να υπάρχει μια δομημένη στρατηγική, συχνά, οι τράπεζες χρησιμοποιούν ξεχωριστά projects για να αντιμετωπίσουν νεο-εμφανιζόμενες απειλές.

Το αρνητικό σε αυτές τις περιπτώσεις είναι ότι όταν συμβαίνουν αυτά τα «έκτακτα περιστατικά» οι οργανισμοί δεν είναι έτοιμοι να τα διαχειριστούν αποτελεσματικά και δεν είναι λίγες οι φορές που προκαλείται μεγάλη καταστροφή. Οι προληπτικές προσεγγίσεις έχουν ως αποτέλεσμα να βρίσκονται σε καλύτερη θέση να προστατέψουν την επιχείρηση.

Αλλη μια αποτυχημένη προσέγγιση είναι όταν τα προγράμματα διαχείρισης κινδύνων του τμήματος Πληροφορικής λειτουργούν απομονωμένα όχι μόνο μεταξύ τους αλλά και από διαφορετικά groups των χρηματοπιστωτικών οργανισμών που θα έπρεπε να έχουν συμμετοχή στην όλη διαδικασία. Ετσι δημιουργείτε έλλειψη διασύνδεσης ανάμεσα στις ανάγκες της επιχείρησης και του ΙΤ με όρους risk management.

Επιπλέον τα project συχνά τα διαχειρίζονται σε τοπικό επίπεδο ή από ένα συγκεκριμένο ΙΤ γκρουπ με μικρή ή καθόλου συνολική αντίληψη. Φυσικά κάτι τέτοιο οδηγεί σε ανεπάρκεια, απειλητικά κενά και ασαφή εικόνα του τοπίου των κινδύνων. Πέρα από αυτό τα projects έχουν αρχή και τέλος ενώ το ΙΤ risk management πρέπει να είναι μια αδιάλειπτη προσπάθεια.

Οδηγίες προς ναυτιλλομένους
Σύμφωνα με τη Gartner υπάρχουν 5 βασικά θέματα που θα απασχολήσουν την ατζέντα του ΙΤ risk manager, το τρέχον έτος. Στο πλαίσιο των καθηκόντων ενός ΙΤ risk manager είναι η συνολική ευθύνη για τον συντονισμό των δραστηριοτήτων του τμήματος Πληροφορικής αλλά και των κινδύνων που απειλούν το ΙΤ.  Επίσης είναι οι πλέον  αρμόδιοι να διασφαλίσουν ότι οποιοσδήποτε κίνδυνος είναι υπό έλεγχο και αντιμετωπίζεται αποτελεσματικά.

Σε κάποιες περιπτώσεις, οι χρηματοπιστωτικοί οργανισμοί απλά αλλάζουν τον επαγγελματικό τίτλο του ανθρώπινου δυναμικού και σε περιπτώσεις όπως για παράδειγμα στον τίτλο του “information security manager” προσθέτουν το risk. Μια αλλαγή στον τίτλο δεν συνεπάγεται και τα επιθυμητά αποτελέσματα. Οι ίδιοι οι risk managers πρέπει να πιέσουν για να υπάρξει αλλαγή στις παραδοσιακές συμπεριφορές και να δοθεί η δέουσα σημασία στη διαχείριση των κινδύνων.

Διαβάστε στο ένθετο αυτού του τεύχους:

<‘here’>


<‘Σελίδα 4: Ο σκοπός και οι ευθύνες που συνεπάγεται ο ρόλος ενός IT risk manager’>
Ξεκαθάρισμα «λογαριασμών»
Αρκετοί εργαζόμενοι που αναλαμβάνουν τη θέση ή παραπλήσια καθήκοντα με αυτά του ΙΤ risk manager είναι νέοι σε αυτόν το ρόλο. Επιπρόσθετα ο ρόλος περιγράφεται πλημμελώς στους κόλπους ενός οργανισμού. Η έλλειψη διαφάνειας σχετικά με τον σκοπό και τις ευθύνες που συνεπάγεται ο ρόλος ενός IT risk manager σχεδόν αυτόματα οδηγεί σε δυσκολίες, ιδιαιτέρως όταν οι προσπάθειες των ατόμων να εφαρμόσουν νέες πολιτικές φαίνονται ως προσπάθειες να μπουν σε ξένα χωράφια.

Περισσότερο ακόμα και από την ασάφεια σχετικά με τους τομείς δράσεις, αυτό το θολό τοπίο οδηγεί σε σύγχυση ανάμεσα στον ΙΤ risk manager και τους συναδέλφους του. Για αυτό το πρώτο και ενδεχομένως το πιο κρίσιμο κεφάλαιο για το διαχειριστή κινδύνων του τμήματος Πληροφορικής είναι να ξεκαθαρίσει το ρόλο και τις αρμοδιότητές του. Επειδή οι κίνδυνοι που αντιμετωπίζει μια τράπεζα είναι πολλοί πρέπει να ξεκαθαριστεί ο τομέας ευθύνης του κάθε ΙΤ risk manager.

Αναμέτρηση με τον αντίπαλο
Και στην συγκεκριμένη περίπτωση, ο αντίπαλος είναι ο κίνδυνος, πάσης φύσεως. Η διαχείριση των κινδύνων συνεπάγεται τον εντοπισμό τους, ώστε να λαμβάνονται οι αντίστοιχες αποφάσεις. Το θεμέλιο της καταμέτρησης είναι το risk assessment. Η επιτυχία ενός IT risk manager θα εξαρτηθεί από την αποτελεσματική διαδικασία καταμέτρησης των κίνδυνων, οι οποίοι χωρίζονται σε 4 κατηγορίες:

  • τεχνικοί: για παράδειγμα οι κίνδυνοι που προέρχονται από το internet
  • προγράμματα: για παράδειγμα οι κίνδυνοι που προκύπτουν από διαδικασίες που δεν είναι σωστά καθορισμένες ή εκτελεσμένες
  • πόροι: για παράδειγμα οι κίνδυνοι που σχετίζονται με συγκεκριμένα IT projects
  • συνεργάτες: υπάρχουν κίνδυνοι που εμφανίζονται από εξωτερικούς συνεργάτες, που όμως έχουν πρόσβαση στα αρχεία του χρηματοπιστωτικού οργανισμού.

Η αποτελεσματική αποτίμηση των κινδύνων είναι κρίσιμη για το συνολικό πλάνο αντιμετώπισης τους. Το risk assessment δίνει τη δυνατότητα στους ΙΤ risk managers και συνολικά στην όποια επιχείρηση, να καθορίσει σε ποιο βαθμό οι κίνδυνοι υπάρχουν και τι μπορεί να γίνει για την αντιμετώπισή τους. Πρόκειται, ίσως, για το πιο δύσκολο έργο του ΙΤ risk manager, γιατί μόλις οι κίνδυνοι αναγνωριστούν ενδέχεται να υπάρχει έλλειψη προθυμίας από την πλευρά των συναδέλφων να αναλάβουν την αναμφισβήτητη ευθύνη που τους αναλογεί.

Διαβάστε στο ένθετο αυτού του τεύχους:

<‘here’>


<‘Σελίδα 5: Τα επικοινωνιακά προσόντα του IT risk manager και ο διαχωρισμός της διακυβέρνησης κινδύνων από ολόκληρη τη διακυβέρνηση του ΙΤ’>
Η επικοινωνία είναι το κλειδί
Τα προηγούμενα χρόνια όλοι οι επαγγελματίες που σχετίζονταν με την ασφάλεια είχαν καταλήξει στο συμπέρασμα ότι πρέπει να εναρμονίσουν τις προσπάθειές τους με τις πραγματικές ανάγκες της τράπεζας. Οι ΙΤ risk managers δέχονται ανάλογες πιέσεις για να συλλέξουν και να εγκαταστήσουν ελέγχους που υποστηρίζουν κρίσιμες επιχειρηματικές διαδικασίες, οι οποίες γίνονται ακόμα πιο εντατικές από την ανάγκη να δίνουν λόγο στις κυβερνητικές επιτροπές.

Οπως είναι λογικό, κάτι τέτοιο απαιτεί πλούσια επικοινωνιακά προσόντα, απαραίτητα για τον IT risk manager. Η επικοινωνία ξεκινάει με το να μπορεί να ακούει και να καταλαβαίνει τις ανάγκες των διαφορετικών τμημάτων του οργανισμού. Επίσης πρέπει να είναι πρόθυμος και ικανός να επικοινωνήσει αποτελεσματικά τους κινδύνους που κρύβει ο κάθε επαγγελματικός τομέας.

Κάμψη των αντιστάσεων
Η αποδοχή των ενδεχόμενων κινδύνων που διατρέχει ένας χρηματοπιστωτικός οργανισμός αποτελεί το θεμέλιο λίθο ενός αποτελεσματικού risk management. Ενα από τα βασικά στοιχεία είναι ο ΙΤ risk manager να πείσει τους ιδιοκτήτες των πληροφοριακών συστημάτων, των πληροφοριών και των εταιρικών διαδικασιών που είναι πιθανό να επηρεάζονται από τους ενδεχόμενους κινδύνους, να δεχτούν την ευθύνη αυτών των κινδύνων. Και αυτό γιατί κάτι τέτοιο σημαίνει την εγκατάλειψη της παλαιάς νοοτροπίας που ήθελε την ομάδα ασφαλείας να είναι υπεύθυνη για τέτοια θέματα.

Και σε αυτήν την περίπτωση ο ΙΤ risk manager πρέπει να χρησιμοποιήσει και τα επικοινωνιακά του προσόντα  για να πείσει τους υπεύθυνους να αναλάβουν την ευθύνη των κινδύνων στο επαγγελματικό πεδίο δράσης τους. Ο ΙΤ risk manager δεν μπορεί να αλλάξει την προυπάρχουσα κουλτούρα μόνος του. Πρέπει να υπάρχουν ξεκάθαρες οδηγίες από τη διεύθυνση.

Ανεξαρτησία αποφάσεων
Τα τμήματα Πληροφορικής και οι ομάδες ασφαλείας ήταν σε μεγάλο βαθμό ανεξάρτητες και ταυτόχρονα είχαν την ευθύνη και τη δικαιοδοσία να παίρνουν αποφάσεις μόνες τους χωρίς εξωγενείς παρεμβάσεις. Αντιθέτως, οι σημερινοί ΙΤ risk managers είναι πιθανό να κληθούν να εργαστούν κάτω από μια ευρύτερη επιχειρηματική υποδομή. Η Gartner εκτιμά ότι περίπου το 75% των εταιρειών έχει κάποιου είδους δομής διακυβέρνησης. Η διακυβέρνηση έχει γίνει μία από τις ταχέως αναπτυσσόμενες παραμέτρους  της διαχείρισης κινδύνων.

Ο διαχωρισμός της διακυβέρνησης κινδύνων από ολόκληρη τη διακυβέρνηση του ΙΤ και η διαστρωμάτωση των συστατικών του risk governance έχουν αναδειχθεί σε βέλτιστες πρακτικές μόλις τα τελευταία χρόνια και συνεχίζουν να αναπτύσσονται. Στο πλαίσιο των βημάτων που ο ΙΤ risk manager πρέπει να ακολουθήσει είναι να αναγνωρίσει τις πρακτικές διακυβέρνησης που ο χρηματοπιστωτικός οργανισμός έχει εγκαταστήσει και να εργαστεί προς την κατεύθυνση να υιοθετήσει αυτές τις αρχές με τον πλέον αποτελεσματικό τρόπο. Στην περίπτωση που δεν υπάρχει υποδομή διακυβέρνησης τότε αυτό γίνεται καθήκον του ΙΤ risk manager.

Διαβάστε στο ένθετο αυτού του τεύχους:

<‘here’>