Σημαντικούς ρόλους στους τομείς της κανονιστικής συμμόρφωσης, της ασφάλειας πληροφοριών και της προστασίας προσωπικών δεδομένων κατέχουν τρεις γυναίκες στην Ευρωπαϊκή Πίστη.
συνέντευξη των Μαρία Σωτήρχου, Άννα Βαγιάνου και Κατερίνα Παπαδοπούλου
στη Βίκυ Γερασίμου
Πρόκειται για τις Κατερίνα Παπαδοπούλου, που είναι επικεφαλής στον τομέα Compliance & AML, Μαρία Σωτήρχου, που έχει αναλάβει τον τομέα της ασφάλειας των πληροφοριών από τη θέση της ως Information Security Officer και την Άννα Βαγιάνου, που είναι επιφορτισμένη με την εναρμόνιση της Εταιρείας με τον GDPR από τη θέση της ως Υπεύθυνη Προστασίας Δεδομένων. Βάσει της εμπειρίας και της εξειδίκευσής τους μιλούν στο ΑΜ για καίρια ζητήματα που σχετίζονται με το ρόλο τους.
Κατερίνα Παπαδοπούλου, Compliance & AML Manager
Με τη Solvency II να έχει τεθεί σε ισχύ από τον Γενάρη του 2016, ποιοι είναι οι βασικοί τομείς στους οποίους η Ευρωπαϊκή Πίστη έχει προχωρήσει σε αλλαγές;
Η εφαρμογή της νομοθεσίας για τη Φερεγγυότητα ΙΙ είναι προφανές ότι επέφερε σημαντικές αλλαγές στη λειτουργία των ασφαλιστικών εταιρειών, οι οποίες κλήθηκαν να προσαρμόσουν τις δομές τους σε ένα εντελώς νέο πολύπλοκο ευρωπαϊκό πλαίσιο, τη στιγμή που λειτουργούσαν για περισσότερες από τέσσερις δεκαετίες υπό το καθεστώς του Ν 400/70. Η Φερεγγυότητα ΙΙ, εκτός από νέα οργανωτική δομή και εφαρμογή νέων διαφοροποιημένων μεθόδων υπολογισμού των κεφαλαιακών απαιτήσεων προϋποθέτει κυρίως νέα κουλτούρα, η οποία επιβάλλεται να ξεκινάει από τη Διοίκηση κάθε ασφαλιστικής εταιρείας και να επεκτείνεται στο σύνολο του ανθρώπινου δυναμικού της. Οι ασφαλιστικές εταιρείες στη Φερεγγυότητα ΙΙ επιβάλλεται να λειτουργούν με προσαρμοσμένες διαδικασίες στην αναγνώριση, στη μέτρηση και διαχείριση του Ρίσκου.
Η Ευρωπαϊκή Πίστη, για τη συμμόρφωσή της στο νέο εποπτικό περιβάλλον άρχισε την προετοιμασία της τουλάχιστον μια πενταετία πριν την εφαρμογή του πλαισίου και στο διάστημα αυτό προχώρησε σε αρκετές αλλαγές
Η Ευρωπαϊκή Πίστη, για τη συμμόρφωσή της στο νέο εποπτικό περιβάλλον άρχισε την προετοιμασία της τουλάχιστον μια πενταετία πριν την εφαρμογή του πλαισίου και στο διάστημα αυτό προχώρησε σε αρκετές αλλαγές. Άλλωστε, ήταν μεταξύ των ασφαλιστικών εταιρειών που εκπροσωπούσαν την Ελλάδα στα Πανευρωπαϊκά stress test πριν την εφαρμογή της νομοθεσίας. Οι αλλαγές στο οργανόγραμμά της με τη δημιουργία νέων επιτροπών, όπως αυτές της Διαχείρισης Κινδύνων ή της Εταιρικής Διακυβέρνησης, Αποδοχών και Ανάδειξης Υποψηφιοτήτων, που συνεπικουρούν το έργο του Διοικητικού Συμβουλίου, η σύσταση και στελέχωση των τεσσάρων ανεξάρτητων λειτουργιών, η επικαιροποίηση του Κανονισμού Λειτουργίας της και η σαφής κατανομή ρόλων και αρμοδιοτήτων, η εφαρμογή του «4-eyes-principle» στο σύνολο των σημαντικών αποφάσεων και διαδικασιών της, είναι μόνο μερικές από τις αλλαγές που έχουν επέλθει από οργανωτικής πλευράς στη λειτουργία της Εταιρείας. Η Εταιρεία έδωσε μεγάλη έμφαση στην εκπαίδευση του προσωπικού, τόσο σε ατομικό όσο και σε συλλογικό επίπεδο, με στόχο αφενός την κατανόηση του νέου πλαισίου, αφετέρου στη διαμόρφωση της νέας κουλτούρας, ενώ για την επίτευξη της συμμόρφωσης, επένδυσε τόσο σε συστήματα και υποδομές όσο και σε ανθρώπινο δυναμικό.
Από την εμπειρία σας στην ασφαλιστική αγορά θεωρείτε ότι αντιμετωπίζεται επαρκώς το φαινόμενο του ξεπλύματος βρόμικου χρήματος;
Η νομοθεσία που αφορά στο ξέπλυμα βρόμικου χρήματος στην ασφαλιστική αγορά μετράει περίπου δέκα χρόνια εφαρμογής. Στο διάστημα αυτό οι εταιρείες εξοικειώθηκαν με τη νομοθεσία και κατάφεραν να συμμορφωθούν πλήρως στις απαιτήσεις της, ενώ παράλληλα οι πελάτες είχαν το χρόνο να αναγνωρίσουν την αναγκαιότητα ύπαρξης των ελεγκτικών μηχανισμών που έχουν τεθεί και να συνεργαστούν για την παροχή των απαραίτητων πληροφοριών τόσο για την πιστοποίηση της ταυτότητάς τους, όσο και για την προέλευση των κεφαλαίων επένδυσης. Οι εταιρείες παράλληλα ανέπτυξαν τις απαραίτητες μηχανογραφικές εφαρμογές προκειμένου να επεξεργάζονται και να παρέχουν στοιχεία που διευκολύνουν την αντιμετώπιση του φαινομένου. Ο έλεγχος του «ξεπλύματος βρόμικου χρήματος» μέσω επενδυτικών ασφαλιστηρίων συμβολαίων κλάδου ζωής έχει γίνει πλέον μια τυποποιημένη ελεγκτική διαδικασία στην καθημερινή λειτουργία μιας ασφαλιστικής εταιρείας.
Μαρία Σωτήρχου, Information Security Officer
Οι ειδικοί στο cyber security λένε ότι υπάρχουν δύο τύποι εταιρειών. Αυτές που έχουν ήδη παραβιαστεί τα συστήματά τους και αυτές που θα χακαριστούν μελλοντικά. Πόσο πραγματική είναι με βάση την εμπειρία σας η άποψη αυτή; Έχει χρειαστεί η Ευρωπαϊκή Πίστη να αντιμετωπίσει κάποια διαδικτυακή απειλή;
H «ψηφιακή επανάσταση» επηρεάζει πλέον όλες τις πτυχές της σύγχρονης καθημερινότητας, καθώς η τεχνολογία και το διαδίκτυο συγκεκριμένα έχουν εισχωρήσει σε όλες τις ημερήσιες δραστηριότητες. Η ενισχυμένη τεχνολογία αποτελεί πλέον τον κεντρικό άξονα γύρω από τον οποίο περιστρέφονται χώρες, εταιρείες, κοινωνικές οργανώσεις και οικογένειες. Οι εταιρείες έχουν αγκαλιάσει τις ψηφιακές τεχνολογίες, αναδιαμορφώνοντας τον τρόπο εργασίας τους και αλλάζοντας τα επιχειρηματικά και λειτουργικά τους μοντέλα. Το σύγχρονο όμως αυτό τοπίο πέραν των ωφελειών που προσφέρει, εγκυμονεί ταυτόχρονα αυξημένες απειλές και κινδύνους.
Συνυπολογίζοντας κάνεις το προφίλ, τα κίνητρα, το διαθέσιμο χρόνο, τους οικονομικούς πόρους και τα εξελιγμένα χρησιμοποιούμενα μέσα των εγκληματιών του κυβερνοχώρου, μπορεί εύκολα να επιβεβαιώσει τον ισχυρισμό αυτό των ειδικών.
Όντως, υφίστανται εταιρείες που τα συστήματά τους έχουν ήδη παραβιαστεί, εταιρείες που θα παραβιαστούν και θα τολμήσω να προσθέσω και έναν επιπλέον τύπο «εταιρείες που έχουν παραβιαστεί χωρίς να το γνωρίζουν». Στο σύγχρονο αυτό περιβάλλον, όλες οι ασφαλιστικές εταιρείες που βρίσκονται στο δρόμο προς τον ψηφιακό μετασχηματισμό, καλούνται να δραστηριοποιηθούν. Η Ευρωπαϊκή Πίστη, χρησιμοποιεί την τεχνολογία και το διαδίκτυο αναπτύσσοντας σύγχρονες ψηφιακές εφαρμογές. Είναι αναμενόμενο επομένως, όπως και κάθε εταιρεία, να απειλείται από παραβιάσεις. Γι’ αυτό και έχει λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να θωρακιστεί έναντι των απειλών και με τη χρήση τεχνολογιών αιχμής να είναι σε θέση να τις ανιχνεύει άμεσα, να παρακολουθεί την εξέλιξή τους και να τις αναχαιτίζει.
Πώς αντιμετωπίζεται η παραβίαση των συστημάτων μίας εταιρείας; Ποια είναι τα πρώτα βήματα που κάνει ένας security officer όταν αντιλαμβάνεται ότι κάποιος εισέβαλε στα συστήματα της εταιρείας;
Η Ευρωπαϊκή Πίστη αναγνωρίζει την αναγκαιότητα διασφάλισης των πληροφοριακών αγαθών που βρίσκονται στην κατοχή της και απόδειξη αυτού είναι ότι συμπεριλαμβάνεται στις πρώτες ελληνικές ασφαλιστικές εταιρείες που έχει πιστοποιηθεί με το διεθνώς αναγνωρισμένο πρότυπο ασφάλειας πληροφοριών ISO 27001:2013, για το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών που έχει εγκαθιδρύσει.
Βασικός πυλώνας των συστημάτων αυτών, είναι η θέσπιση Incident Response Plan για τη διαχείριση των πιθανών παραβιάσεων. Η διαδικασία αντιμετώπισης παραβιάσεων ενδεικτικά μπορεί να περιλαμβάνει στάδια όπως λήψη ενημέρωσης παραβίασης, καταγραφή στοιχείων, ενέργειες περιορισμού επιδράσεων, κατηγοριοποίηση συμβάντος, συλλογή στοιχείων και παρακολούθηση, αντιμετώπιση, έλεγχος αποκατάστασης, αξιολόγηση αντιμετώπισης και διορθωτικές ενέργειες. Κρίσιμοι παράγοντες επιτυχίας στην αντιμετώπιση εισβολών θεωρούνται η κατάλληλη προετοιμασία, η οργανωμένη προσέγγιση, η θέσπιση Incident Response Team και ο σαφής καθορισμός ρόλων και αρμοδιοτήτων των μελών της ομάδας.
Η Ευρωπαϊκή Πίστη συμπεριλαμβάνεται στις πρώτες ελληνικές ασφαλιστικές εταιρείες που έχει πιστοποιηθεί με το διεθνώς αναγνωρισμένο πρότυπο ασφάλειας πληροφοριών ISO 27001:2013
Ο Security Officer σε μια ενδεχόμενη εισβολή, είναι αρμόδιος για το συντονισμό όλων των απαραίτητων ενεργειών για την αντιμετώπισή της, εξασφαλίζοντας αρχικά ότι όντως πρόκειται για εισβολή και όχι για κάποιο false positive και θέτοντας στη συνέχεια άμεσα σε εφαρμογή τη διαδικασία αντιμετώπισης περιστατικών βάσει του Incident Response Plan, ενημερώνοντας ταυτόχρονα τους εμπλεκόμενους. Απώτερος στόχος είναι η αντιμετώπιση της κατάστασης με τρόπο που η ζημιά θα διατηρηθεί στο ελάχιστο και ταυτόχρονα να μειωθεί ο χρόνος και το κόστος ανάκτησης, όσο και οι παράπλευρες αλλά πολύ σημαντικές απώλειες, όπως για παράδειγμα η εταιρική φήμη.
Άννα Βαγιάνου, Data Protection Officer
H εφαρμογή του GDPR κατέστησε τον DPO έναν από τους πλέον περιζήτητους επαγγελματίες στην Ευρώπη. Ποιος είναι ο πυρήνας των εργασιών σας και πόσο σημαντικός είναι ο ρόλος του DPO στην ασφαλιστική αγορά;
Ο Κανονισμός GDPR εισάγει ένα νέο –τουλάχιστον για την ελληνική πραγματικότητα– ανεξάρτητο θεσμό, τόσο στον ιδιωτικό όσο και στο δημόσιο τομέα, αυτόν του Υπευθύνου Προστασίας Δεδομένων (DPO). Ο Υπεύθυνος Προστασίας Δεδομένων, πλήρους ή μερικής απασχόλησης, εσωτερικός υπάλληλος ή εξωτερικός συνεργάτης, νομικός ή μη, έχει ως κύρια αρμοδιότητα τη συμμόρφωση της οντότητας, στην οποία διορίζεται, με το νέο αυστηρό νομοθετικό πλαίσιο, μέσω της συνεχούς εκπαίδευσης και καθοδήγησης των στελεχών και του προσωπικού της.
Βασικός στόχος του έργου του είναι να μετριάσει τον κίνδυνο παραβίασης των προσωπικών δεδομένων των υποκειμένων που επεξεργάζεται η οντότητα, στο πλαίσιο των δραστηριοτήτων της, προκειμένου να προφυλάξει τόσο το ίδιο το υποκείμενο, όσο και την ίδια την οντότητα από την επιβολή διοικητικών προστίμων. Κάτι τέτοιο μπορεί να επιτευχθεί μόνο μέσω της αλλαγής της κουλτούρας του οργανισμού και η συμβολή του DPO είναι καθοριστική.
Ήδη από την περιγραφή του ρόλου που δίνει ο ίδιος ο Κανονισμός, γίνεται αντιληπτό ότι ένας DPO δεν αρκεί να διαθέτει μόνο το απαιτούμενο γνωστικό αντικείμενο, αλλά θα πρέπει να αντιλαμβάνεται το περιβάλλον που δραστηριοποιείται και να μπορεί να επικοινωνεί αποτελεσματικά με όλα τα εμπλεκόμενα μέρη. Επομένως, ο διορισμός ενός «αχυράνθρωπου», μόνο και μόνο για την εκπλήρωση της υποχρέωσης που θέτει ο Κανονισμός GDPR, θα ήταν καταστροφικός για την οντότητα. Ειδικά στην ασφαλιστική αγορά, όπου η επεξεργασία των δεδομένων προσωπικού χαρακτήρα (και ειδικής κατηγορίας δεδομένων) αποτελεί τον σκληρό πυρήνα δράσης μιας ασφαλιστικής εταιρείας, η παρουσία του καθίσταται καταλυτική.
Ποιες είναι στην πράξη οι δυσκολίες του νέου Κανονισμού για τα προσωπικά δεδομένα;
Ο νέος Κανονισμός παρουσιάζει δυσκολίες τόσο στην ερμηνεία του όσο και στην πρακτική εφαρμογή του, δεδομένου ότι αποτελεί ένα γενικό νομοθέτημα που αποσκοπεί στο να διαμορφώσει ένα ενιαίο πλαίσιο προστασίας των προσωπικών δεδομένων σε όλα τα ευρωπαϊκά κράτη και παράλληλα να αφομοιωθεί από κάθε είδους επιχείρηση που επεξεργάζεται προσωπικά δεδομένα. Παρόλα αυτά, σε πολλά σημεία του, αφήνει στα κράτη μέλη την ευχέρεια να νομοθετήσουν διαφορετικά.
Το γεγονός όμως ότι, λίγο πριν την 25/05, δεν έχει ψηφιστεί ο πολυαναμενόμενος εθνικός νόμος και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δεν φαίνεται να είναι ακόμη έτοιμη να παράσχει επαρκή ενημέρωση και υποστήριξη, η προετοιμασία των Υπευθύνων και Εκτελούντων την Επεξεργασία και η συμμόρφωσή τους με αυτόν δυσχεραίνει σε μεγάλο βαθμό. Και ενώ συμβαίνουν όλα αυτά, τα υποκείμενα των δεδομένων είναι έτοιμα να ασκήσουν τα δικαιώματα που τους επιφυλάσσει ο Κανονισμός.
Παράλληλα, μια σειρά από ερωτήματα παραμένουν αναπάντητα όπως, το τι γίνεται σε περίπτωση λήψης αιτήματος ενός υποκειμένου να ασκήσει το δικαίωμά του στη λήθη και πόσο εφικτό είναι από τον οργανισμό να το πράξει αυτό όταν προσκρούει σε άλλες νομικές του υποχρεώσεις, ή και ποιο είναι το ανώτερο χρονικό διάστημα διατήρησης των δεδομένων. Καθίσταται, επομένως, επιτακτική η ανάγκη να δοθούν άμεσα κατευθυντήριες οδηγίες και λεπτομερής καθοδήγηση στους οργανισμούς, ανάλογα με το είδος της δραστηριότητάς τους και το εύρος της επεξεργασίας προσωπικών δεδομένων που ασκούν.
Πηγή: Ασφαλιστικό Marketing τεύχος Ιουνίου 2018