Κ. Αργυρόπουλος: O DPO αποκτά διακριτό και ιδιαίτερα σημαντικό ρόλο

Κώστας Αργυρόπουλος, Υπεύθυνος Ασφάλειας Πληροφοριών & Συντονιστής Επιχειρησιακής Συνέχειας στην Υδρόγειο

Σημαντικές παρεμβάσεις σε ανθρώπινο δυναμικό, εκπαίδευση και υλικοτεχνική υποδομή απαιτεί ο κανονισμός GDPR. Ο κ. Αργυρόπουλος, Υπεύθυνος Ασφάλειας Πληροφοριών & Συντονιστής Επιχειρησιακής Συνέχειας στην Υδρόγειο μιλά για τις κινήσεις της Εταιρείας στον τομέα προστασίας δεδομένων και τον τρόπο με τον οποίο ο GDPR επηρεάζει τη λειτουργία των εταιρειών.

Σε ποιο βαθμό έχετε προετοιμαστεί για την εναρμόνισή σας με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR);

Η Υδρόγειος Ασφαλιστική έχει τα τελευταία χρόνια επενδύσει ιδιαίτερα στον τομέα της προστασίας δεδομένων και ασφάλειας πληροφοριών, αναπτύσσοντας μία σειρά από σχετικές πολιτικές, διαδικασίες, εργασιακούς ρόλους καθώς και προγράμματα εκπαίδευσης και ευαισθητοποίησης του προσωπικού. Έχει επίσης εγκαταστήσει συστήματα και εργαλεία για την αποτροπή, τον εντοπισμό και την αποκατάσταση τεχνολογικών προβλημάτων. Τα παραπάνω, καλύπτουν απόλυτα τα απαιτούμενα του Κανονισμού και βελτιώνουν τις υπάρχουσες διεργασίες. Ιδιαίτερη έμφαση έχουμε δώσει στους εξής τομείς:

• Αποδεκτή Χρήση συστημάτων και δεδομένων που αφορά τις υποχρεώσεις του προσωπικού για τη χρήση του ηλεκτρονικού ταχυδρομείου (email) και διαδικτύου (internet) σχετικά με τα ευαίσθητα και προσωπικά δεδομένα που αποστέλλονται και κοινοποιούνται καθώς επίσης και τη διαδικασία διαβάθμισης των δεδομένων σε εμπιστευτικά και δημόσιας χρήσης για την προστασία τους από κατάχρηση ή απώλεια.

• Διαχείριση Κινδύνου Πληροφοριών που περιλαμβάνει: Α) τη δημιουργία ρόλου «Ιδιοκτήτη Συστημάτων & Εφαρμογών» για την προστασία και ορθή διαχείριση των δεδομένων καθώς και την απογραφή των ψηφιακών περιουσιακών στοιχείων για να γνωρίζουμε πού βρίσκονται και ποιοι τα διαχειρίζονται. Β) Τη διαχείριση και αντιμετώπιση περιστατικών ασφάλειας δεδομένων και τη δημιουργία ομάδων για την επίλυσή τους. Γ) Διαδικασίες ασφαλούς διαγραφής και απόρριψης πληροφοριών.

• Διαδικασίες πρόσβασης σε συστήματα και βάσεις δεδομένων, επιθεώρηση δικαιωμάτων πρόσβασης χρηστών για διαχωρισμό καθηκόντων, διαδικασίες ασφαλούς απομακρυσμένης πρόσβασης χρηστών και συνεργατών.

• Ασφάλεια, αξιολόγηση και επιλογή προμηθευτών, συμβάσεις εμπιστευτικότητας και παροχής υπηρεσιών.

• Ασφάλεια Κύκλου Ανάπτυξης Συστημάτων, απαιτήσεις ασφάλειας για το σχεδιασμό, ανάπτυξη, δοκιμή, συντήρηση συστημάτων.

• Ασφάλεια Εφαρμογών, απαιτήσεις ασφάλειας για το σχεδιασμό, ανάπτυξη, δοκιμή, συντήρηση εφαρμογών (WEB, ecommerce, mobile phone applications).

• Ασφάλεια Υποδομών Πληροφορικής, κρυπτογραφία, εικονική διαμόρφωση (virtualization). • Ασφάλεια Δικτύου, συνδέσεις εξωτερικού δικτύου, ασύρματη σύνδεση, παρακολούθηση (monitoring).

• Επιχειρησιακή Ασφάλεια, προστασία από κυβερνοεπίθεση, διαχείριση ευπαθειών, αντίγραφα ασφαλείας.

Ο νέος Κανονισμός συνεπάγεται και αλλαγή των τεχνολογικών μέσων προστασίας δεδομένων;

Ο νέος Κανονισμός θέτει πιο αυστηρές προϋποθέσεις για την τεχνολογική προστασία των συστημάτων και των δεδομένων των εταιρειών. Σήμερα, μέτρα όπως ο λογαριασμός χρήστη (User-Id) και ο κωδικός ασφαλείας (password) για πρόσβαση σε συστήματα και εφαρμογές δεν είναι πλέον αρκετά. Επιπλέον, πρέπει να τονίσουμε ότι στο σύγχρονο επιχειρηματικό περιβάλλον, τα συστήματα πληροφοριών μιας εταιρείας αντιμετωπίζουν πολλαπλές απειλές, όχι μόνο από – τα πλέον γνωστά σε όλους – κακόβουλα λογισμικά και τους ιούς, αλλά από σειρά παραγόντων όπως οι εσωτερικές απειλές (insider threats), οι λανθασμένες ρυθμίσεις παραμέτρων (configuration setup errors), η αποτυχία υλικού, τα σφάλματα και η κλοπή λογισμικού, μεταξύ άλλων. Είναι επιτακτική ανάγκη, τα συστήματα διαχείρισης πληροφοριών των εταιρειών να λαμβάνουν υπόψη όλα τα παραπάνω. Στο πλαίσιο αυτό, η Υδρόγειος Ασφαλιστική, εκτός από τις πολιτικές και διαδικασίες για την προστασία του τεχνολογικού δικτύου και των βάσεων δεδομένων της, χρησιμοποιεί μια σειρά από προηγμένα μέτρα προστασίας όπως firewall, antivirus, PC port blocking (κλείδωμα θυρών υπολογιστών), Δοκιμές Παρείσφρησης (pen-tests), κρυπτογράφηση, κ.λπ.

Είναι η ασφάλιση Cyber Privacy Insurance απαραίτητη για τη διαχείριση του κινδύνου;

Οι παραβιάσεις δεδομένων από επιθέσεις στον κυβερνοχώρο έχουν αυξηθεί δραματικά σε όγκο και έχουν γίνει ιδιαίτερα επίμονες. Η Ασφάλιση Κυβερνοχώρου προσφέρει μία σημαντική ασπίδα προστασίας για έναν οργανισμό ή μία επιχείρηση, ιδιαίτερα ως προς τον περιορισμό των επιβλαβών οικονομικών συνεπειών που προκύπτουν από πιθανές κυβερνοεπιθέσεις. Θεωρούμε ωστόσο ότι η αξιοποίηση των προγραμμάτων Ασφάλισης Κυβερνοχώρου από τις εταιρείες βρίσκεται ακόμη σε αρχικό στάδιο. Στο άμεσο μέλλον πιστεύω ότι θα δούμε όλο και περισσότερες επιχειρήσεις να στρέφουν την προσοχή τους σε αυτή, καθώς μάλιστα οι παρεχόμενες καλύψεις των Cyber privacy προγραμμάτων συνεχώς εξελίσσονται και βελτιώνονται.

Τι είδους δεδομένα συλλέγουν και επεξεργάζονται οι ασφαλιστικές;

Ανάλογα με τον κλάδο ασφάλισης στον οποίο δραστηριοποιούνται και το είδος των ασφαλιστικών προϊόντων που παρέχουν –ασφαλίσεις περιουσίας, ζωής, επενδυτικά προϊόντα, κ.λπ.– οι ασφαλιστικές εταιρείες συλλέγουν και επεξεργάζονται διαφορετικά ευαίσθητα και προσωπικά δεδομένα, τα οποία και αντιστοιχούν σε διαφορετικά επίπεδα νομικών υποχρεώσεων (π.χ. PCI, SoX, HIPAA, κ.λπ.) και σε διαφορετικά επίπεδα κινδύνου. Κατά συνέπεια, μία από τις σημαντικότερες λειτουργίες κάθε ασφαλιστικής επιχείρησης – όπως και κάθε ανάλογου οργανισμού – είναι η δημιουργία έμπειρης και αξιόπιστης ομάδας διαχείρισης κινδύνου και η εφαρμογή ενός αποδοτικού συστήματος αντιμετώπισης κινδύνου. Ένα από τα γνωστότερα πρότυπα διαχείρισης κινδύνου, το οποίο χρησιμοποιεί η Υδρόγειος Ασφαλιστική είναι το ISO27005 Information Security Risk Management.

Πώς το GDPR θα επηρεάσει τη λειτουργία τους και ποιος θα είναι ο ρόλος του Data Protection Officer στις ασφαλιστικές εταιρείες;

Η εφαρμογή του Κανονισμού συνεπάγεται δραστικές αλλαγές σε όλο το εύρος και τον τρόπο λειτουργίας των οργανισμών και απαιτεί σημαντικές αλλά απαραίτητες επενδύσεις σε υλικοτεχνικό επίπεδο, ανθρώπινο δυναμικό και εκπαίδευση. Στο πλαίσιο αυτό, ο Data Protection Officer – ένας ρόλος αναγνωρισμένος στον ευρύτερο χρηματοοικονομικό κλάδο τα τελευταία χρόνια – αποκτά διακριτό και ιδιαίτερα σημαντικό ρόλο. Ο Data Protection Officer είναι υπεύθυνος για τον ορθό έλεγχο και την επεξεργασία των δεδομένων της εταιρείας ενώ η ανεξαρτησία του ρόλου του από τις επιχειρησιακές λειτουργίες εξασφαλίζει την αντικειμενικότητα και αμερόληπτη αναφορά προς τη διοίκηση.

Πηγή: Ασφαλιστικό Marketing – τεύχος Μαρτίου 2017