Η διαχείριση των κινδύνων δεν είναι μόνο τεχνολογικό ζήτημα επισημαίνει ο Βασίλειος Αξάρης, Διευθυντής Πληροφορικής & Οργάνωσης της Αttica Bank, που μίλησε στο netweek για το ΙΤ Risk Management & Compliance.

NetWeek: Ποιες είναι οι προκλήσεις που αντιμετωπίζει ένας χρηματοπιστωτικός οργανισμός σε επίπεδο κινδύνων;

Βασίλειος Αξάρης: Οι προκλήσεις αφορούν κατ’ αρχήν την αναγνώριση των πραγματικών και σημαντικών κινδύνων και εν συνεχεία την αξιολόγηση των επιπτώσεών τους με επιχειρηματικούς όρους, δεδομένου ότι κίνδυνοι ελλοχεύουν σε όλους τους τομείς δραστηριότητας του οργανισμού (επιχειρηματικό, λειτουργικό και οργανωτικό). Η μεγαλύτερη, όμως, πρόκληση αφορά την κατανόηση και τον εντοπισμό των κινδύνων που προέρχονται από την ολοένα και μεγαλύτερη εξάρτηση του οργανισμού από την τεχνολογία.

Η αντιμετώπιση αυτής της πρόκλησης επιβάλλει την ενημέρωση και καθοδήγηση της διοίκησης ώστε να γνωρίζει τις πραγματικές επιπτώσεις αυτών των κινδύνων στην επιχείρηση, καθώς και τα προκείμενα θέματα έτσι ώστε να επιληφθεί για την αντιμετώπισή τους. Τέλος, πρέπει να γίνει κατανοητό ότι η διαχείριση των κινδύνων είναι πρωτίστως ένα επιχειρηματικό θέμα (business issue) και όχι αποκλειστικά τεχνολογικό.

NetWeek: Η Attica Bank έχει προχωρήσει σε κάποιες επενδύσεις στον τομέα του IT Risk Management;

Βασίλειος Αξάρης: Η Attica Bank έχει προβεί τα τελευταία χρόνια σε σημαντικές επενδύσεις στον τομέα του IT Risk Management, αναπτύσσοντας ένα ολοκληρωμένο σύστημα διαχείρισης της  ασφάλειας πληροφοριών, το οποίο διαρκώς εμπλουτίζεται και βελτιώνεται σύμφωνα με τις ανάγκες της και τις απαιτήσεις που θέτουν τα νομοκανονιστικά πλαίσια,ενώ παράλληλα η Τράπεζα αναβαθμίζει τις τεχνολογικές υποδομές της προκειμένου να περιορίζει τον τεχνολογικό κίνδυνο.

NetWeek: Ποιες τεχνολογίες εξασφαλίζουν τη διαχείριση του ρίσκου στο τμήμα Πληροφορικής ενός Χρηματοπιστωτικού οργανισμού;

Βασίλειος Αξάρης: Η διαχείριση του ρίσκου στο τμήμα Πληροφορικής ενός Χρηματοπιστωτικού οργανισμού δεν είναι ένα αμιγώς τεχνολογικό ζήτημα και ως εκ τούτου δεν μπορεί να εξασφαλιστεί μόνο με τη χρήση τεχνολογιών. Αντιθέτως, η αποτελεσματική διαχείριση του ρίσκου βασίζεται αφενός στην δημιουργία κατάλληλων οργανωτικών και διαχειριστικών δομών για την διαχείριση της διαθεσιμότητας και της επιχειρηματικής συνέχειας (business continuity), οι οποίες θα πλαισιωθούν από τις τεχνολογίες που θα παρέχουν την απαραίτητη πληροφόρηση (metrics, reporting) για τον εντοπισμό και ανάλυση του ρίσκου (risk analysis), και εν συνεχεία θα υποστηρίξουν την διαχείρισή του (risk management).

Ενδεικτικά αναφέρουμε τις τεχνολογίες διαχείρισης των υπηρεσιών Πληροφορικής (ΙΤ service management), οι οποίες διασυνδέουν τις τεχνολογίες με τις επιχειρηματικές διεργασίες (business processes) που υποστηρίζουν, τεχνολογίες για την διασφάλιση της συμμόρφωσης με πολιτικές (policy compliance) καθώς και τις πιο «παραδοσιακές» τεχνολογίες που σχετίζονται με την ασφάλεια των συστημάτων και πληροφοριών.

NetWeek: Με ποιο τρόπο μια Τράπεζα επιτυγχάνει τη συμμόρφωση με τις κανονιστικές οδηγίες;

Βασίλειος Αξάρης: Οι αυξημένες απαιτήσεις που θέτει το κανονιστικό πλαίσιο έχει οδηγήσει τους περισσότερους Χρηματοπιστωτικούς οργανισμούς στην δημιουργία εξειδικευμένων Μονάδων Κανονιστικής Συμμόρφωσης, με στόχους την ερμηνεία των κανονισμών, τον εντοπισμό των πεδίων εφαρμογής των, την εκπόνηση οδηγιών για την ενσωμάτωσή τους στις διαδικασίες και στα συστήματα της Τράπεζας και τέλος, τον έλεγχο της πλήρους και ορθής εφαρμογής των προβλεπόμενων.

NetWeek: Ποια είναι η σημασία του ΙΤ Risk Management;

Βασίλειος Αξάρης: Η σημασία του IT Risk Management είναι να διαχειριστεί το επίπεδο κινδύνου που απορρέει από την εξάρτηση του οργανισμού από τα πληροφοριακά συστήματα στο βαθμό που θα λειτουργήσει ως αρωγός και όχι ως τροχοπέδη στην επίτευξη των επιχειρησιακών στόχων του Οργανισμού.

NetWeek: Πώς μπορεί ένας χρηματοπιστωτικός οργανισμός να αξιολογήσει την αποτελεσματικότητα αυτών;

Βασίλειος Αξάρης: Η αξιολόγηση της αποτελεσματικότητας ενός πλαισίου IT Risk Management προϋποθέτει τον καθορισμό μετρικών (metrics), την συστηματική συλλογή και ανάλυση των δεδομένων λειτουργίας της Πληροφορικής καθώς και τον συσχετισμό τους προκειμένου να υπάρχει η διοικητική πληροφόρηση που θα επιτρέψει την έγκαιρη διάγνωση προβληματικών περιοχών και την αποτελεσματική διαχείριση των κινδύνων.

Διαβάστε στο ένθετο αυτού του τεύχους: