Ο Παναγιώτης Σκύρλας, Head of Information Security & Compliance και Group DPO της Kaizen, εξηγεί στο Digital Finance την κρισιμότητα και χρησιμότητα της κανονιστικής συμμόρφωσης αλλά και τις διαθέσιμες τεχνολογίες για την εφαρμογή της.

Ποιες οι απαιτήσεις για τον πλήρη κύκλο συμμόρφωσης στην ασφάλεια ΙΤ συστημάτων;

Οι απαιτήσεις ασφαλείας είναι το πρώτο βήμα που πρέπει να καθορίσει ένας οργανισμός για να είναι πλήρως συμμορφωμένος και να δημιουργήσει ένα ασφαλές περιβάλλον και μία ασφαλή εφαρμογή για τους πελάτες της. Καθορίζοντας τις συγκεκριμένες απαιτήσεις μπορούμε να πετύχουμε τους στόχους ασφάλειας που έχουμε θέσει αλλά και να μοντελοποιήσουμε απειλές για τον καλύτερο και ασφαλέστερο έλεγχο του προϊόντος μας.

Για να καλύψουμε αυτές τις αρχές διενεργούμε τακτικούς ελέγχους ασφαλείας για τη διασφάλιση των cardholder data όπως υποχρεούμαστε από τους παρόχους συστημάτων πληρωμών και την Τράπεζα της Ελλάδος και είμαστε πλήρως συμμορφωμένοι με το πρότυπο ISO27001 έχοντας δημιουργήσει ένα ασφαλές πληροφοριακό σύστημα μέσα από πολιτικές, διαδικασίες και τεχνικές λύσεις που ελέγχονται από εξωτερικούς ελεγκτές σε ετήσια βάση.

Ασφαλώς δεν μένουμε μόνο σε απαιτήσεις εξωτερικών φορέων, αλλά διενεργούμε αποτιμήσεις κινδύνου σε κάθε λύση που εφαρμόζεται στην υποδομή μας, ακολουθώντας μία ασφαλή διαδικασία διαχείρισης αλλαγών. Επιπλέον, έχουμε δημιουργήσει ένα πλήρες πρόγραμμα διαχείρισης ευπαθειών συμμορφωμένοι πάντα στις απαιτήσεις των Ρυθμιστικών Αρχών κάθε χώρας με τακτικά vulnerability scans και penetration tests κάποια από τα οποία είναι απαραίτητα ακόμη και για την αδειοδότησή μας.  Μέτρα προστασίας όπως η κρυπτογράφηση δεδομένων, το 24/7 monitoring των συστημάτων μας για ευπάθειες και απειλές, το patching των συστημάτων απέναντι σε γνωστές ευπάθειες και η χρήση εργαλείων ελέγχου ασφάλειας εφαρμογών (SAST/DAST ) είναι μερικά μόνο από όσα συνθέτουν έναν ολοκληρωμένο κύκλο συμμόρφωσης για την ασφάλεια του Πληροφοριακού μας Συστήματος.

Πώς αντιμετωπίζονται οι μεταβαλλόμενες ανάγκες σε εξειδικευμένο δυναμικό και πώς κεφαλαιοποιείται η αξιοποίηση των δεδομένων και IT Security Tests/Benchmarks από τις υπάρχουσες πρακτικές;

Οι μεταβαλλόμενες ανάγκες σε εξειδικευμένο προσωπικό είναι μία τάση που ακολουθεί την γενικότερη τάση της εποχής γύρω από το πόσο γρήγορα αλλάζουν τα δεδομένα στον τομέα του ΙΤ. Συνεχώς υπάρχουν καινούργιες ανάγκες για περισσότερη εξειδίκευση του προσωπικού μας και γι’ αυτό το λόγο επενδύουμε στο individual development των εργαζομένων μας μέσα από εκπαιδεύσεις, σεμινάρια και πιστοποιήσεις. Το προσωπικό μας εκπαιδεύεται συνεχώς με βάσει του προγραμματισμού και των αναγκών/ κινδύνων που προκύπτουν ενώ οι διάφορες μεθοδολογίες που έχουμε υιοθετήσει βοηθούν ώστε να εξασφαλίσουμε ότι είμαστε πλήρως συμμορφωμένοι με τις απαιτήσεις ασφάλειας Όπως αναφέρθηκε και παραπάνω, το πληροφοριακό μας σύστημα έχει στηθεί πάνω σε συγκεκριμένες διαδικασίες και πολιτικές.

Ακολουθούμε μεθοδολογίες όπως η Agile ώστε να ξέρουμε εξαρχής πότε πρέπει να παραδοθεί κάθε έργο και ποια η πρόοδος του project σε κάθε φάση  του development. Κατά τη διάρκεια της ανάπτυξης εφαρμογών έχουμε προσθέσει και προσαρμόσει συστήματα ασφάλειας, όπως SAST και DAST tools για τον έλεγχο του κώδικα ,ώστε να προστατέψουμε την εφαρμογή μας από τυχόν ευπάθειες και να διασφαλίσουμε ότι αναπτύσσεται με βάσει της αρχής του security by design.

Ποιες οι προκλήσεις και οι προοπτικές ως προς το συνολικό πλεονέκτημα της κανονιστικής συμμόρφωσης σε εταιρικό επίπεδο και στο επίπεδο των προϊόντων και υπηρεσιών προς την αγορά και η μετάλλαξη του κόστους σε επένδυση;

Για εμάς όλα ξεκινούν και τελειώνουν με τους πελάτες μας.  Είμαστε ένας οργανισμός στον οποίο οι πελάτες εμπιστεύονται σημαντικά προσωπικά  δεδομένα και τα δεδομένα πιστωτικών καρτών προκειμένου να ψυχαγωγηθούν και να απολαύσουν μερικές στιγμές ασφαλούς και υπευθύνου παιχνιδιού.

Η στρατηγική κανονιστική συμμόρφωση είναι η βάση για την εμπιστοσύνη των πελατών, την ευρωστία και μακροβιότητα ενός οργανισμού που δραστηριοποιείται στις τεχνολογίες παιχνιδιών στο διαδίκτυο τόσο βραχυπρόθεσμα όσο και μακροπρόθεσμα, τόσο εσωτερικά σε επίπεδο οργανωτικών δομών, ιεραρχίας, κατανομής εργασίας και αποτελεσμάτων, όσο και σε σχέση με την ποιότητα των υπηρεσιών προς το κοινό και την αξιοπιστία της εταιρείας προς τις ρυθμιστικές αρχές και την κοινωνία ειδικά αν ο οργανισμός δραστηριοποιείται σε περισσότερες από μία χώρες στην Ευρώπη αλλά και διεθνώς.

Προκλήσεις που ενδέχεται να δυσκολεύουν την εύρυθμη και νόμιμη λειτουργία του οργανισμού εντοπίζονται συνήθως στην ταχύτατη ανάπτυξη καινοτόμων εφαρμογών τεχνολογίας σε βιομηχανίες με έντονη ψηφιακή διάσταση, στην τροποποίηση εθνικών νομοθεσιών σε θέματα που δεν άπτονται της αρμοδιότητας της ΕΕ, όπως π.χ. Η ρύθμιση και αδειοδότηση διεξαγωγής παιγνίων μέσω διαδικτύου, αλλά και στον ίδιο το οργανισμό, όπως π.χ. η ανάγκη ανάπτυξης και τήρησης κουλτούρας συμμόρφωσης σε ένα οργανισμό που μεγαλώνει με ταχύτατους ρυθμούς μέρα με τη μέρα. Οι προκλήσεις αυτές ωστόσο παρέχουν εξαιρετικές ευκαιρίες εξέλιξης μιας επιχείρησης η οποία προστατεύει το πελάτη και προσφέρει υπηρεσίες ακολουθώντας το νόμο, τις βέλτιστες πρακτικές, και σεβόμενη την ιδιωτικότητα του ατόμου. Το αποτέλεσμα για τον καταναλωτή είναι η εξασφάλιση ποιότητας στη παροχή υπηρεσιών, η προστασία του έναντι κακών πρακτικών. Το αποτέλεσμα για την εταιρεία είναι η αναγνώριση της ως αξιόπιστη και επιτυχημένη στο επιχειρησιακό κόσμο και η περαιτέρω ανάπτυξη της που τελικά επιφέρει καλή φήμη, περισσότερους πελάτες και αύξηση κερδών.

Κλείνοντας θα ήθελα να σημειώσω πως σύμφωνα με μία μελέτη της Cisco το 2020, η οποία ζήτησε από επαγγελματίες της ιδιωτικής ζωής σε διάφορους κλάδους σε 13 χώρες να εκτιμήσουν τα οικονομικά οφέλη των επενδύσεων σε θέματα προστασίας δεδομένων,  σημειώθηκε πως για κάθε 1 $ που ένας οργανισμός επενδύει σε δαπάνες συμμόρφωσης, λαμβάνει μέση απόδοση επένδυσης 2,70 $. Είναι σαφές λοιπόν πως η συμμόρφωση είναι προϋπόθεση για μία εταιρεία να ανθίσει τόσο προς αποφυγή επιβολής και πληρωμής προστίμων, αρνητικής φήμης και απώλειας πελατών, όσο και επειδή το προφίλ του αξιόπιστου παρόχου υπηρεσιών συνιστά μοχλό ανάπτυξης στο επιχειρησιακό κόσμο και στη συνείδηση του κοινού.