Tην ατέρμονη προσπάθεια διαχείρισης των κινδύνων αλλά και την κανονιστική συμμόρφωση εξήγησε στο netweek o Απόστολος Καρακάσης, ,Διεύθυνση Τεχνολογίας & Πληροφορικής της Citibank.

NetWeek: Ποιες είναι οι προκλήσεις που αντιμετωπίζει ένας χρηματοπιστωτικός οργανισμός σε επίπεδο κινδύνων; Πως μπορεί να τις αντιμετωπίσει;

Απόστολος Καρακάσης: Οι κίνδυνοι μπορεί να είναι πολλοί, όπως Ασφάλεια δεδομένων (Security), Διαθεσιμότητα δεδομένων (availability), καλή/κακή απόδοση των συστημάτων (performance) και συμμόρφωση ή μη προς τις κανονιστικές διατάξεις (Compliance). Ο καθένας από αυτούς τους κινδύνους δημιουργεί και εμπεριέχει μια σειρά από ιδιαίτερες προκλήσεις που όλες όμως έχουν σαν στόχο την αξιόπιστη εξυπηρέτηση του πελάτη και την κερδοφορία του οργανισμού.

NetWeek: Η Citibank έχει προχωρήσει σε κάποιες επενδύσεις στον τομέα του IT Risk Management;

Απόστολος Καρακάσης: Οι κίνδυνοι που προαναφέρθηκαν είναι συνεχείς και εξελισσόμενοι. Κατά συνέπεια  το θέμα δεν θα πρέπει αντιμετωπίζεται σαν ένα project στο οποίο επενδύουμε μια φορά για να το λύσουμε. Η Citibank πιστεύει ότι οι επενδύσεις σε αυτό το τομέα πρέπει να είναι συνεχείς παράλληλα πρέπει να αποβλέπουν στην δημιουργία τέτοιων διαδικασιών που από την φύση τους δε θα επιτρέπουν την όποια παραβίαση των προβλεπομένων κανόνων. Υπάρχει στενή και συνεχής συνεργασία μεταξύ των τοπικών businesses κάθε χώρας και του μητροπολιτικού κέντρου για την υιοθέτηση λύσεων που θεωρούνται best in class, αλλά και best practices από την εμπειρία της κάθε χώρας. Στο πλαίσιο αυτό το risk assessment είναι μια διαδικασία που έχει ενσωματωθεί στην λειτουργία του κάθε τμήματος, άρα και του ΙΤ.

NetWeek: Ποιες τεχνολογίες εξασφαλίζουν τη διαχείριση του ρίσκου στο τμήμα Πληροφορικής ενός Χρηματοπιστωτικού οργανισμού;

Απόστολος Καρακάσης: Οι τεχνολογίες και οι εφαρμογές είναι πολλές. Μπορεί να αναφέρονται σε configuration and change management για να εξασφαλίζουν την σωστή μεταφορά ελεγμένων εφαρμογών στην παραγωγή. Επίσης, μπορεί να αναφέρονται στην εφαρμογή συστημάτων security που ελέγχουν το  authentication χρηστών και πελατών, στο encryption μηνυμάτων, που ανταλλάσσονται μεταξύ συστημάτων, στα vulnerability assessments  εφαρμογών και υποδομών, στην καταγραφή, τη διαχείριση και τον έλεγχο των διαδικασιών self assessment και πολλές άλλες.

Εδώ ακόμη εντάσσονται και διάφορες τεχνολογίες data warehousing, data mining που ανακαλύπτουν hidden patterns για πιθανότητες money laundry και fraud detection. Θα πρέπει να τονιστεί ωστόσο ότι οι τεχνολογία από μόνη της δεν μπορεί μειώσει τα ΙΤ risks, εάν δεν συνοδεύεται από δυνατές και αξιόπιστες διαδικασίες λειτουργίας του τμήματος Πληροφορικής, που είναι αρμονικά ενταγμένες στις αντίστοιχες λειτουργίες του οργανισμού.

NetWeek: Με ποιο τρόπο μια τράπεζα επιτυγχάνει τη συμμόρφωση με τις κανονιστικές οδηγίες;

Απόστολος Καρακάσης: Με την εφαρμογή κανόνων λειτουργίας,  την δημιουργία διαδικασιών που από την φύση τους δεν επιτρέπουν την παραβίαση αυτών των κανόνων καθώς και συνεχείς ελέγχους της λειτουργίας κάθε τμήματος (risk assessment and internal auditing).

NetWeek: Ποιες είναι οι βασικές αρχές του IT Risk Management and Compliance;

Απόστολος Καρακάσης: Οι βασικές αρχές διέπουν την σωστή αντιμετώπιση των κινδύνων, στις παρακάτω περιοχές: Ασφάλεια δεδομένων (Information security): Ο κίνδυνος μη σωστής προστασίας των πληροφοριών και δεδομένων μπορεί να τα κάνει προσπελάσιμα από ανθρώπους που δεν έχουν εξουσιοδοτηθεί για αυτό. Διαθεσιμότητα δεδομένων (availability) : Ο κίνδυνος να μην είναι διαθέσιμα τα δεδομένα ανά πάσα στιγμή, λόγω κακών / λανθασμένων διαδικασιών ή και φυσικών καταστροφών Απόδοση (performance) : Η μη καλή απόδοση όλων των τεχνολογικών πόρων (ανθρώπων και συστημάτων) μπορεί να επηρεάσει την καλή λειτουργία και κερδοφορία του οργανισμού. Κανονιστική συμμόρφωση: Η χρήση και επεξεργασία των πληροφοριών δεν συμμορφώνεται στους προβλεπόμενους νόμους και κανόνες.

NetWeek: Πώς μπορεί ένας χρηματοπιστωτικός οργανισμός να αξιολογήσει την αποτελεσματικότητα αυτών;

Απόστολος Καρακάσης: Με την δημιουργία και τον συνεχή έλεγχο μιας σειράς από metrics, που παρακολουθούν την οποιαδήποτε απόκλιση από τους θεσπισμένους κανόνες και τα στάνταρντ λειτουργίας. Το σύνολο αυτών των metrics πρέπει να αξιολογούνται και ανανεώνονται σε τακτά χρονικά διαστήματα για να μπορούν να αντανακλούν την τρέχουσα και πραγματική εικόνα κάθε στιγμή.

Διαβάστε στο ένθετο αυτού του τεύχους: