Νέες κατευθυντήριες γραμμές σχετικά με τη διαχείριση κινδύνων Τεχνολογίας Πληροφοριών και ασφάλειας

12:01 - 11 Σεπτεμβρίου 2020

Απόψεις InBusiness

Η διαχείριση κινδύνων σχετικά με την Τεχνολογία Πληροφοριών και Επικοινωνία (ΤΠΕ) αλλά και την ασφάλεια πληροφοριών, αποτελούν τα βασικά στοιχεία, ώστε να καταφέρει ένα χρηματοοικονομικό ίδρυμα να πετύχει τους στρατηγικούς, εταιρικούς και επιχειρησιακούς του στόχους και να “χτίσει” την εταιρική του φήμη. Στο πλαίσιο της ολοένα και μεγαλύτερης εξάρτησης στην ψηφιακή οικονομία, της αυξημένης πολυπλοκότητας κινδύνων ασφαλείας, αλλά και του μεγαλύτερου αριθμού σύνθετων περιστατικών κυβερνοεπιθέσεων (άλλοτε απόπειρες και άλλοτε επιτυχημένες προσπάθειες), η Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ) έχει δημοσιεύσει κατευθυντήριες γραμμές για τον τομέα διαχείρισης κινδύνων ΤΠΕ και ασφάλειας πληροφοριών (ΕΑΤ/ GL /2019/04). 'Related articles' position

Οι κατευθυντήριες γραμμές που τέθηκαν σε εφαρμογή στις 30 Ιουνίου 2020, αποτελούν ουσιαστικά το ρυθμιστικό πρότυπο της ΕΑΤ στον συγκεκριμένο τομέα. Είναι συμβατές με το μοντέλο τριών γραμμών άμυνας, με τα λειτουργικά τμήματα ΤΠΕ να αποτελούν την πρώτη γραμμή άμυνας, εστιάζοντας κυρίως στις ευθύνες του Διοικητικού Οργάνου και τη δεύτερη γραμμή άμυνας, η οποία συνήθως περιλαμβάνει τις υπηρεσίες ασφάλειας των πληροφοριών.

Οι συγκεκριμένες κατευθυντήριες γραμμές θα πρέπει να διαβαστούν σε συνδυασμό με τις κατευθυντήριες γραμμές της ΕΑΤ σχετικά με την εξωτερική ανάθεση δραστηριοτήτων (ΕΑΤ/GL/2019/02), οι οποίες ορίζουν τον τρόπο διαχείρισης της εξωτερικής ανάθεσης δραστηριοτήτων από χρηματοοικονομικά ιδρύματα, λαμβάνοντας υπόψη τον κρίσιμο ρόλο που αναλαμβάνουν οι τρίτοι πάροχοι, για την προστασία της ασφάλειας και της ανθεκτικότητας των χρηματοοικονομικών ιδρυμάτων. Σημειώνεται πως οι κατευθυντήριες γραμμές στόχο έχουν να αποσαφηνίσουν τις εποπτικές προσδοκίες και να εναρμονίσουν τα ιδρύματα με τις απαιτήσεις που απορρέουν από την οδηγία για τις Κεφαλαιακές Απαιτήσεις (CRD) και την οδηγία για τις Υπηρεσίες Πληρωμών 2 (PSD2).

Κατά την εφαρμογή των συστάσεων, θα πρέπει να ληφθεί υπόψη η αρχή της αναλογικότητας (π.χ. σε σχέση με το μέγεθος, την πολυπλοκότητα, τις υπηρεσίες / τα προϊόντα που προσφέρονται).

Οι κατευθυντήριες γραμμές παρουσιάζουν τις προσδοκίες της ΕΑΤ σχετικά με τον τρόπο με τον οποίο τα χρηματοπιστωτικά ιδρύματα (π.χ. πάροχοι υπηρεσιών πληρωμών, χρηματοπιστωτικά ιδρύματα, επιχειρήσεις επενδύσεων) πρέπει να διαχειρίζονται τους κινδύνους ΤΠΕ και ασφάλειας, προκειμένου να μειώσουν τη συχνότητα των κινδύνων και τη σοβαρότητα των ενδεχομένων περιστατικών. Συγκεκριμένα καλύπτουν τους εξής κρίσιμους τομείς:

Διακυβέρνηση και Στρατηγική
Πλαίσιο διαχείρισης κινδύνων ΤΠΕ και ασφάλειας
Διαχείριση Λειτουργιών ΤΠΕ
Διαχείριση Έργων και Αλλαγών ΤΠΕ
Διαχείριση της Επιχειρησιακής Συνέχειας
Διαχείριση σχέσεων με χρήστες υπηρεσιών πληρωμών

Τα χρηματοοικονομικά ιδρύματα οφείλουν να ενσωματώσουν τις οδηγίες στο γενικό πλαίσιο διαχείρισης κινδύνων του οργανισμού τους. Σε πρώτο στάδιο, πρέπει να προβούν σε αξιολόγηση της κατάστασης/ετοιμότητας τους, ώστε να εντοπίσουν οποιεσδήποτε ελλείψεις. Αυτή η άσκηση δεν πρέπει να αντιμετωπίζεται αποκλειστικά ως έλεγχος συμμόρφωσης, αλλά ως μια σημαντική άσκηση για τον εντοπισμό, την ανάλυση και την αξιολόγηση των κινδύνων. Δεδομένης της σημασίας αυτού του βήματος, ορισμένα χρηματοπιστωτικά ιδρύματα επιζητούν ανεξάρτητη διαβεβαίωση. Με βάση το αποτέλεσμα της αξιολόγησης της ετοιμότητας του οργανισμού, τα χρηματοοικονομικά ιδρύματα θα πρέπει να καταρτίζουν σχέδια αντιμετώπισης κινδύνων και πλάνα αποκατάστασης με συγκεκριμένες προτεραιότητες. Στο πλαίσιο της συνεχούς διαχείρισης κινδύνων, τα ιδρύματα πρέπει να δημιουργήσουν τις κατάλληλες δομές και διαδικασίες για την υποβολή περιοδικών αναφορών, ώστε τα εκτελεστικά στελέχη και το διοικητικό συμβούλιο να ενημερώνονται και να λαμβάνουν τεκμηριωμένες αποφάσεις.

*Διευθυντής
Ελεγκτικές Υπηρεσίες
PwC Κύπρου

Νέες κατευθυντήριες γραμμές σχετικά με τη διαχείριση κινδύνων Τεχνολογίας Πληροφοριών και ασφάλειας

Ροη Ειδησεων

Δειτε Επισης