Στο 5ο Risk & Business Continuity Management Forum αναλύθηκαν οι σύγχρονες εξελίξεις στο Business Continuity, ενώ έγινε εισαγωγή και ανάπτυξη του πεδίου της Ανθεκτικότητας των οργανισμών και πώς αυτή οργανώνεται με βάση το πρότυπο ΙSO22316.

To Συνέδριο, που είναι το μοναδικό στο είδος του στην Ελλάδα, έλαβε χώρα στο Divani Caravel στις 29 Μαΐου και συνδιοργανώθηκε από το Netweek και την Fidel & Fortis. Το 5th Risk & BCM Forum και το IT infrastructrure & Operations Confrence, το οποίο έλαβε χώρα στις 30 Μαΐου στον ίδιο χώρο, αποτελούν την ενότητα Resillience Days, η οποία δημιουργήθηκε με στόχο να προσφέρει θεωρητικές και πρακτικές γνώσεις γύρω από την Ανθεκτικότητα των οργανισμών, η οποία λόγω του ψηφιακού μετασχηματισμού και των κινδύνων, περιλαμβανομένων εκείνων της κυβερνοασφάλειας και της Eθνικής Aσφάλειας, είναι περισσότερο επίκαιρη από ποτέ. Όπως έγινε σαφές στα δύο Συνέδρια, η Ανθεκτικότητα είναι προϋπόθεση και, ταυτόχρονα, αποτέλεσμα για κάθε επικερδή και επιτυχημένο οργανισμό.

Κατά τη διάρκεια του 5ου Risk & Business Continuity Management Forum αναλύθηκαν παράμετροι που καθορίζουν την Ανθεκτικότητα, όπως είναι ο Ανθρώπινος Παράγοντας και ο ρόλος της Διεύθυνσης Ανθρωπίνου Δυναμικού, η ευκαιρία που προσφέρει το GDPR για να αναδειχθεί η ανθεκτικότητα, η ανθεκτικότητα της φήμης ενός οργανισμού και πώς τα παραπάνω υλοποιούνται μέσα από ένα έγκυρο πλάνο Επιχειρησιακής Συνέχειας. Το Συνέδριο περιελάμβανε τέσσερα Masterclass, ζωντανές συνεντεύξεις και συζητήσεις πάνελ.

Η έννοια του Organizational Resilience στην επιχείρηση
Την εισαγωγή στο Συνέδριο έκανε ο Αρώνης Στέλιος, Υποδιευθυντής Διευθύνσεως Οργανώσεως/ Υπεύθυνος Επιχειρησιακής Συνέχειας Alpha Bank, ο οποίος ήταν ο εισηγητής του Masterclass 1. Ο κ. Αρώνης εξήγησε πώς επιτυγχάνεται η οργανωσιακή ανθεκτικότητα με το συντονισμό, την συναντίληψη και την ενσωμάτωση διαφόρων λειτουργιών. Αναλύθηκαν εργαλεία για την επίτευξη της ανθεκτικότητας και τα Διοικητικά χαρακτηριστικά, τα οποία πρέπει να διαθέτει ένας οργανισμός. Ο κ. Αρώνης τόνισε το ρόλο της κουλτούρας, της νοοτροπίας ενός οργανισμού, στην επίτευξη ανθεκτικότητας και της συνεχούς της βελτίωσης της, όπως προτείνει το ISO22316.

Κυβερνοασφάλεια και Εθνική Ασφάλεια
Η σχετική εισήγηση έγινε από τον Δρ. Λέανδρο Μαγλαρά, Διευθυντής της Εθνικής Αρχής κυβερνοασφάλειας της Ελλάδας και Επίκουρος στη Σχολή Πληροφορικής, Πανεπιστήμιο De Montfort.

Ο Δρ. Λέανδρος Μαγλαράς μίλησε για τη στρατηγική προστασίας κρίσιμων υποδομών, τα επίπεδα CyberSecurity και καθοριστικές παραμέτρους για αυτή, όπως το επερχόμενο eprivacy, το GDPR και η NIS directive, η οποία συνδέει τους ανθρώπους, την τεχνολογία και τις διαδικασίες (process). H Kυβερνοσφάλεια και η προστασία κρίσιμων υποδομών απαιτεί Εθνική Στρατηγική, ορισμό των κρίσιμων υποδομών για τις δοκιμές (Cyber Risk testing) και την εκπαίδευση, αλλά και την ανάγκη συνεργασίας κρατών και συμμετοχή σε κοινές ενέργειες.

Η επίτευξη Organizational Resilience
O Dr.Εμμανουήλ Αλβίζος, PhD IT Governance Senior Consultant, Priority AE, ξεκίνησε το Masterclass 2 θέτοντας τους ορισμούς του Περιστατικού, της Έκτακτης Κατάστασης, της Διακοπής και της Κρίσης και μίλησε για τις σχέσεις μεταξύ τους. Διαφορετικές Διοικητικές ικανότητες απαιτούνται για την αντιμετώπισή τους. Απαραίτητη είναι η προτεραιοποίησή μέσω των Risk Assessment και Risk Management, ενώ δόθηκαν χαρακτηριστικά παραδείγματα επιτυχημένης (LEGO) και μη επιτυχημένης οργανωσιακής ανθεκτικότητας (Kodak, ANA). Από την εισήγηση του Dr.Εμμανουήλ Αλβίζου και τα παραδείγματα που έδωσε, έγινε φανερή η ανάγκη διασπαστικής καινοτομίας και ικανότητας αλλαγής της νοοτροπίας, προκειμένου να επιτευχθεί αυξημένη ανθεκτικότητα.

GDPR: Ευκαιρία για το BCM και την Ανθεκτικότητα;
Η Μαρία Στεφανίδου, Οργάνωση & Ποιότητα Λειτουργίας Ομίλου Διασφάλιση Επιχειρησιακής Συνέχειας Τράπεζα Πειραιώς, μίλησε για τις ευκαιρίες και τις υποχρεώσεις που προκύπτουν από τον κανονισμό GDPR, τη σχέση με τo CyberSecurity και το ρόλο των ανθρώπων στους οργανισμούς. Επίσης, αναφέρθηκε στα βήματα που πρέπει να ακολουθηθούν για την επίτευξη προστασίας.

Στη συνέχεια, ο Σταμάτης Μαγγανιάρης, Senior Researcher – Project Manager, I-Sense Group, μέσω Skype, μίλησε από το Άμστερνταμ για τις αλήθειες και τους μύθους γύρω από το GDPR.

Στο πάνελ που ακολούθησε, ο Νίκος Κανελλόπουλος, Δικηγόρος, Εκτελεστικός Διευθυντής του Ινστιτούτου για την Προστασία της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO), τόνισε ότι ο «ρόλος του DPO δεν είναι να καλύψει, αλλά να προστατεύσει τον οργανισμό.» Ο Ιωσήφ Αβραμίδης, Διευθυντής Προστασίας Δεδομένων & Συμμόρφωσης Διεθνής Αερολιμένας Aθηνών «Ελευθέριος Βενιζέλος», είπε ότι η είναι «αυθαίρετη η προσφυγή των υποκειμένων (για τον GDPR) γιατί λείπει ο νόμος που θέτει τις προϋποθέσεις της καταγγελίας». «Το Δημόσιο, δεν έχει συμμορφωθεί», συμπλήρωσε.

Ο Παναγιώτης Αναστασάκης, CEO, Priority AE, είπε ότι «είναι πίσω στην προσαρμογή το Δημόσιο, ενώ το 2019 οι ιδιωτικές εταιρείες δείχνουν αυξημένο ενδιαφέρον.»

Η Μαρία Στεφανίδου, Οργάνωση & Ποιότητα Λειτουργίας Ομίλου, Διασφάλιση Επιχειρησιακής Συνέχειας, Τράπεζα Πειραιώς, εξήγησε ότι, «μια επιχείρηση αποδεικνύει την προσαρμογή της με το οργανωτικό και στρατηγικό της πλάνο. Πρέπει να γνωρίζει ο οργανισμός πού είναι τα δεδομένα του και να λαμβάνει μέτρα προστασίας για αυτά. To GDPR ενισχύει το Business Continuity δεν το καταλύει.»

Ανθεκτικότητα και o ανθρώπινος παράγoντας – Η κεντρική ομιλία
Ο keynote speaker Wassili Zafiris, International Resilience Coach, Developer of Meaningful Profit, Netherlands, μίλησε για το κόστος που έχει το stress των εργαζομένων σε μια επιχείρηση, αλλά και για το πώς αυτό λειτουργεί πολλαπλασιαστικά μέσα από τις δυσκολίες που αυτό προκαλεί στην προσωπική και οικογενειακή ζωή των εργαζομένων. «Η πρόληψη του άγχους από τους οργανισμούς είναι σαφώς πιο οικονομική από τη θεραπεία του», είπε ο Wassili Zafiris και μίλησε για την ανάγκη αλλαγής της κουλτούρας ενός οργανισμού και του τρόπου που η εργασία γίνεται.

«Οι υπεύθυνοι ανθρώπινου δυναμικού δεν βάζουν τους ανθρώπους στο σωστό λεωφορείο και δεν αφιερώνουν χρόνο σε αυτούς», είπε ο Σωτήρης Πέτρουλας, Finance & HR Manager Total Rewards and Policy Specialist for Region Europe Μan Energy Solutions Ελλάς ΕΠΕ, στη ζωντανή συνέντευξη με τη Dr.Μαριλένα Φατσέα, Fidel & Fortis. «Πίσω από τα νούμερα είναι οι άνθρωποι», είπε ο Σωτήρης Πέτρουλας.

Business Continuity και CSR – Ανθεκτικότητα φήμης
O Δημήτρης Σπέντζας, Group Business Continuity & Risk Manager, εξήγησε την προσέγγιση της Temenos Hellas SA στην υλοποίηση της ης στρατηγικής επιχειρησιακής συνέχειας και τη διασύνδεσή της με το Πρόγραμμα Εταιρικής Κοινωνικής Ευθύνης.

Η Τάνια Χαδούλη, Group Legal Counsel & Compliance Director, Όμιλος Olympia περιέγραψε κατά τη ζωντανή συνέντευξή της με την Dr.Μαριλένα Φατσέα, το μηχανισμό που έθεσε σε εφαρμογή η Sunlight, μέλος του Ομίλου Olympia όταν το εργοστάσιο καταστράφηκε από πυρκαγιά. Η Sunlight κατάφερε και επέστρεψε ισχυρότερη στις διεθνείς αγορές.


Η αξιολόγηση των παραγόντων που συμβάλλουν στην Ανθεκτικότητα
Το Συνέδριο έκλεισαν με τις ομιλίες τους στο Masterclass 4, ο Δημήτρης Πολύμερος, Υποδιευθυντής Εσωτερικού Ελέγχου Πληροφοριακών & Τηλεπικοινωνιακών Συστημάτων Ομίλου ΟΤΕ και ο Κωνσταντίνος Προβατάρης, Υποδιευθυντής Διαχείρισης Εταιρικών Κινδύνων Ομίλου ΟΤΕ. Σχετικά με τον Έλεγχο Εγκυρότητας Πλάνου Επιχειρησιακής Συνέχειας, ο Κωνσταντίνος Προβατάρης είπε, ότι «οι κίνδυνοι πρέπει να έχουν ιδιοκτήτες» κατά την ανάλυση του ERM (Enterprise Risk Management). O Δημήτρης Πολύμερος με τη σειρά του τόνισε, κατά την ανάλυση των απαιτήσεων του προτύπου ISO22301 ότι, «ο εσωτερικός ελεγκτής πρέπει να δώσει κάτι παραπάνω σε έναν οργανισμό από αυτά που δίνει ο εξωτερικός».

    Στυλιανός Αρώνης,
    Υποδιευθυντής Διευθύνσεως Οργανώσεως,
    Υπεύθυνος Επιχειρησιακής Συνέχειας Ομίλου Alpha Bank

Κατά την ομιλία σας αναφερθήκατε στην αλληλοεπικάλυψη των ρόλων, σε ό,τι αφορά την ανθεκτικότητα του οργανισμού. Μάλιστα φάνηκε ότι το ακροατήριο να μοιράζεται την ίδια πεποίθηση μαζί σας…

Πιστεύω ότι έχει επέλθει ένα βομβαρδισμός από νέα πράγματα. Υπάρχουν πολλά regulations, έχουν έλθει πολλές καινούργιες έννοιες. Παλαιότερα λέγαμε, «δεν πειράζει, ας πετάξω και ένα χαρτί με δεδομένα στον κάδο, δεν έγινε και τίποτα». Ξαφνικά εμφανίζονται ρόλοι όπως Business Continuity Manager, DPO, Disaster recovery, Information Security και ξαφνικά η κάθε εταιρεία δεν μπορεί να έχει ένα pool εξειδικευμένων ανθρώπων, ή να κάνει μερικές προσλήψεις για να διαχειριστεί την απαίτηση που είναι και κανονιστική, πολλές φορές. Έτσι, υποχρεωτικά, δημιουργείται μια επιβάρυνση σε ανθρώπους που μπορούν να έχουν μια εξειδίκευση, η να τείνουν προς αυτό το κομμάτι. Νομίζω δεν είναι θέμα της Ελλάδας, είναι θέμα παγκόσμιο. Η συγκέντρωση ρόλων, λόγω και της οικονομικής κρίσης, τείνει να είναι ο κανόνας. Όσο οι συνθήκες ωριμάζουν, η οικονομική διοίκηση κάθε εταιρείας διαθέτει τους πόρους που χρειάζονται. Είμαστε σε φάση προσαρμογής. Σε αυτή τη φάση, οι ρυθμιστικές αρχές ζητούν κάποια βασικά πράγματα και είναι επιεικείς, γιατί και οι ίδιες δεν είναι έτοιμες.

    Παναγιώτης Αναστασάκης,
    CEO & Founder,
    PRIORITY

Πώς θα μπορούσαμε να συνδέσουμε την ανθεκτικότητα με την πρόβλεψη και την πρόληψη; Πώς θα μπορούσε να υπάρξει μια διδαχή μέσω των διαδικασιών BC, έτσι ώστε να προληφθούν κάποια γεγονότα που θα μπορούσαν να εξελιχθούν σε κρίση;

Ενδιαφέρουσα ερώτηση. Ας το πάρουμε από την αρχή: Ως Ανθεκτικότητα ορίζεται η ικανότητα του οργανισμού να ανταποκρίνεται σε βίαιες και σε σταδιακές αλλαγές. Είναι αυτονόητο ότι η πρόληψη και η προνοητικότητα μας επιτρέπουν να σχεδιάζουμε το πώς θα ανταποκριθούμε σε αυτές τις αλλαγές. Πιο συγκεκριμένα, για τα δύο χαρακτηριστικά, θα πρέπει να έχουμε τις ικανότητες για emergency planning, Business Continuity Management και Crisis Management, όπου για αυτά – κυρίως για τα δύο πρώτα – υπάρχουν βασικές μεθοδολογίες. Για τις σταδιακές αλλαγές, τα πράγματα είναι πιο σύνθετα, απαιτούνται πιο σύνθετες ικανότητες από τον οργανισμό, οι οποίες στην ουσία συνίστανται σε ένα αποτελεσματικό governance όλων των τμημάτων του οργανισμού.

    Ιωσήφ Αβραμίδης,
    Διευθυντής Προστασίας Δεδομένων & Συμμόρφωσης,
    Manager, Data Protection & Compliance,
    Διεθνής Αερολιμένας Αθηνών (ΑΙΑ)

Μπορείτε να μας δώσετε κάποιο insight για τον τρόπο εφαρμογής του GDPR στον Διεθνή Αερολιμένα Αθηνών. Έχουν υπάρξει συμβάντα και πώς αντιμετωπίστηκαν;

Είμαστε πάρα πολλοί συνυπόλογοι – jointly accountable – στην περίπτωση που συμβεί κάτι και οι ρόλοι εναλλάσσονται, δεν είναι ένας ο data controller. Άλλοτε είναι ο handler, άλλοτε είμαστε εμείς, ως αεροδρόμιο. Όλοι είναι σαφέστατα συμμορφούμενοι με τον κανονισμό και εμείς, πέρα από ένα καλό IT department και τα σωστά μέτρα πληροφορικής, έχουμε και τα αντίστοιχα policies, τα κατάλληλα τεχνικά και οργανωτικά μέτρα δηλαδή, έχουμε και τα συμβόλαια που εξασφαλίζουν ότι η οποιαδήποτε διαβίβαση θα γίνει με το σωστό τρόπο. Οπότε, λογικά, η αλυσίδα είναι καλή.

Συμβάντα παραβίασης προσωπικών δεδομένων υπάρχουν στο παρελθόν:
Στη British Airways έγινε, για ένα δεκαήμερο, μια μη εξουσιοδοτημένη πρόσβαση ενός υπαλλήλου και εκτέθηκαν δεδομένα, περίπου, μισού εκατομμύριου επιβατών-χρηστών. Τα δεδομένα έγιναν διαθέσιμα στο Internet. Επίσης, στην Cathay Pacific, χάκερ, σύμφωνα με την επίσημη εκδοχή, υπέκλεψαν δεδομένα περισσοτέρων από ένα εκατομμύριο χρήστες, των πιστωτικών καρτών συμπεριλαμβανομένων.

Καταλαβαίνουμε ότι, ναι μεν το σύστημα είναι δυνατό, αλλά αν τυχόν κάποια εταιρεία συνεργάζεται με ένα software house και ένας χάκερ βρει ένα κενό ασφαλείας σε έναν από τους εμπλεκομένους, για παράδειγμα, σε ένα γραφείο ενοικίασης αυτοκινήτων, τότε η αλυσίδα μπορεί να σπάσει. Στο βαθμό που εγώ γνωρίζω, σε ό,τι αφορά το δικό μας αεροδρόμιο, δεν υπάρχει κάτι, μέχρι στιγμής – και δεν θα υπάρξει, ελπίζω.

    Wassili Zafiris,
    Developer of Meaningful Profit

Στην keynote ομιλία σας, είπατε ότι εμείς, ο κάθε εργαζόμενος, είμαστε σε θέση να ελέγχουμε το πώς θα αισθανθούμε σε μια δεδομένη κατάσταση, απέναντι σε κάποιον. Υποθέτουμε ότι έχουμε έναν συνάδελφο και είμαστε υποχρεωμένοι να συνεργαστούμε με αυτόν, χωρίς άλλη επιλογή. Αυτός ο συνάδελφός είναι αρνητικός και κάνει την εργασία δύσκολη και δυσάρεστη – μας σχολιάζει, δεν συνεργάζεται. Το ίδιο μπορεί να ισχύει με οποιονδήποτε μπορεί να έχουμε μια σχέση. Τι θα πρέπει να κάνουμε για να μην μας επηρεάσει η επίδρασή του; Είναι καλή λύση να διατηρήσουμε τα συναισθήματα μας θετικά υποχωρώντας με όποιο κόστος – οικονομικό, προσωπικό;

Η βασική απάντηση εξαρτάται από το ποιο θέλουμε να είναι το αποτέλεσμα για εμάς, από το τι θέλουμε να επιτύχουμε. Μπορεί, συνειδητά, να θέλουμε να αποφύγουμε τις συγκρούσεις και να επιτύχουμε «ειρήνη» με κάθε κόστος. Αρχικά λοιπόν, θα πρέπει να καθορίσουμε τι θέλουμε να επιτύχουμε. Κατά δεύτερο λόγο, θα πρέπει να σκεφτούμε πώς θα το επιτύχουμε.

Μια καλή ιδέα είναι να προσπαθήσουμε να καταλάβουμε ποιο είναι το νόημα αυτής της συμπεριφοράς που αντιμετωπίζουμε. Θα μπορούσαμε να αρχίσουμε να απαντάμε στο νόημα πίσω από αυτή τη συμπεριφορά. Έτσι, αν κάποιος, για παράδειγμα, είναι ισχυρογνώμων, θα μπορούσαμε να του πούμε, ότι καταλαβαίνουμε τους λόγους που θέλει να κάνει ευρύτερα αποδεκτή την άποψη του και να χτίσουμε αόρατες γέφυρες επικοινωνίας για διαφορετικά νοήματα. Ένα άλλο σημείο που θεωρώ ότι είναι ιδιαίτερα σημαντικό για τη σύγκλιση είναι η ευπάθεια, γιατί η ευπάθεια, στην πραγματικότητα δημιουργεί εμπιστοσύνη μεταξύ των ανθρώπων. Έτσι, θα χρησιμοποιούσα τα δικά μου τρωτά σημεία. Έχω ένα δικό παράδειγμα, σχετικά, όπου ένας νέος και μεγαλόσωμος γείτονας πάρκαρε το αυτοκίνητό του σε σημεία όπου ενοχλούσε.

Όταν του μίλησα σχετικά και με κάποια ένταση, έκανε σαφές ότι δεν τον ενδιέφερε καμία άποψη, δεν θα έδινε σημασία σε κανέναν. Οπότε, τον πλησίασα πάλι, καθώς απομακρυνόταν, και του είπα: “Θέλω να σου ζητήσω συγνώμη που αντέδρασα συναισθηματικά πριν. Στην πραγματικότητα, σε εκτιμώ πολύ ως άτομο. Αλλά, αυτό προσωπικά σκέφτομαι για σένα είναι εντελώς διαφορετικό από το πού παρκάρεις το αυτοκίνητο (γέλια)».