«Η τεχνητή νοημοσύνη θα επαναπροσδιορίσει τον χώρο του IT Security και θα διαδραματίσει σημαντικό ρόλο τα επόμενα χρόνια στην ταχύτητα αντίδρασης απέναντι σε κακόβουλες επιθέσεις, επιτρέποντας στους επαγγελματίες του χώρου να λαμβάνουν καλύτερες και πιο ολοκληρωμένες αποφάσεις…». Ο Νικόλαος Μαρουλιανάκης, IT Manager, Head of Infrastructure, Security & Enterprise Data Management του Ομίλου Interamerican, συνεχίζει τον καθημερινό κύκλο συνεντεύξεων του NetFAX με CISOs και στελέχη του cyber security της ελληνικής και διεθνούς αγοράς, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Πόσο πολύπλοκος και απαιτητικός είναι ο ρόλος ενός CISO σήμερα; Ποιες είναι οι κυριότερες αρμοδιότητές του σε έναν οργανισμό που δραστηριοποιείται στην ασφαλιστική αγορά;
Η ανάγκη της μεταφοράς των επιχειρησιακών εργασιών στο “Front” (Internet), η αυξανόμενη και εντεινόμενη χρήση υποδομών cloud, η επιτακτική ανάγκη προστασίας τόσο από εξωτερικές όσο και από εσωτερικές απειλές, η συνεχής εξέλιξη και προσαρμογή των επιθέσεων απέναντι στα νέα μέτρα προστασίας, η απειλή διαρροής προσωπικών/ευαίσθητων δεδομένων, η προσαρμογή με κανονιστικά πλαίσια/νομοθεσίες κ.α. καθιστούν το ρόλο του CISO ιδιαίτερα πολύπλοκο και απαιτητικό.
Ο CISO συντάσσει και εφαρμόζει πολιτικές και διαδικασίες (προαρμοσμένες στις ανάγκες και τη λειτουργία της εταιρείας) με απώτερο σκοπό την προστασία των υποδομών, δικτύων και δεδομένων της εταιρείας.

Επίσης, συντάσσει ένα μακροχρόνιο πλάνο ασφάλειας, φροντίζει για τη συνεχή ενημέρωση/εκπαίδευση σε τεχνολογικές αλλαγές, θέματα και τάσεις στον χώρο της ασφάλειας. Τέλος, συνεργάζεται και υποστηρίζει (όπου απαιτείται) το IT στην επίλυση προβλημάτων, σε audit issues και την προμήθεια συστημάτων θωράκισης των πληροφοριακών υποδομών, διασφαλίζει την ασφαλή και ορθή χρήση των εταιρικών πόρων, φροντίζει για το security awareness του προσωπικού και διασφαλίζει την συμβατότητα του οργανισμού με νομοθεσίες και κανονισμούς. Τα παραπάνω συντελούν στην αδιάλειπτη λειτουργία της επιχείρησης και στην προστασία της από διαρροές ευαίσθητων/προσωπικών (ή ακόμα και εσωτερικών) δεδομένων και, κατά συνέπεια, οικονομικών απωλειών.

Ποιες είναι οι κυριότερες απειλές για έναν οργανισμό όπως ο δικός σας; Πώς θα πρέπει να διαχειρίζεται κανείς τις σύγχρονες απειλές (και ποιες είναι αυτές κατά την άποψή σας) γενικότερα;
Τα τελευταία χρόνια υπάρχει σημαντική αύξηση των επιθέσεων στα συστήματα/υποδομές του οργανισμού, με κυριότερα τα ransomware και γενικότερα τα malware, τα phishing attacks, τα Advanced Persistent Threats και τη διαρροή δεδομένων (data leakage) τόσο από εσωτερικές απειλές όσο και από την εκτεινόμενη χρήση εξωτερικών υποδομών και παρόχων (cloud), τις διασυνδέσεις με συνεργάτες με μη-ελεγχόμενα μέτρα ασφάλειας και φυσικά το hacking συστημάτων και το defacing websites.

Οι σύγχρονες απειλές πρέπει να αντιμετωπίζονται άμεσα με τα τελευταίας τεχνολογίας συστήματα ασφαλείας, αυστηρές και συνεχώς προσαρμοσμένες διαδικασίες πολιτικής ασφάλειας, συνεχή ενημέρωση και επαγρύπνηση σε τεχνικό αλλά και σε επιχειρησιακό επίπεδο (awareness), συνεργασίες με εξειδικευμένες εταιρείες του χώρου και υψηλό επίπεδο τεχνογνωσίας.

Πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO; Αναγνωρίζει η διοίκηση πλέον την ανάγκη επένδυσης σε υποδομές για τη θωράκιση της εταιρείας από τις σύγχρονες απειλές;
Η οικονομική κρίση έχει επηρεάσει σε μεγάλο βαθμό τα διαθέσιμα budget για την αναβάθμιση και την αγορά συστημάτων ασφαλείας και υπηρεσιών, περιορίζοντας την εξέλιξη στον τομέα της ασφάλειας πληροφοριακών συστημάτων δημιουργώντας έτσι κενά, που υπό κατάλληλες προϋποθέσεις μπορεί να δημιουργήσουν κερκόπορτες στα συστήματα.

Ο οργανισμός και η διοίκηση αναγνωρίζουν τις ανάγκες επένδυσης, εντούτοις διαθέτουν διαδικασίες και μηχανισμούς που θα αξιολογήσουν το ρίσκο, τις απειλές και το ανάλογο κόστος μιας υπηρεσίας ή ενός συστήματος, και αναλόγως θα αξιολογήσουν την ανάγκη επένδυσης. Πάγια πρακτική της εταιρείας είναι να μην συνδέει το ρίσκο με την επένδυση προστασίας.

Tι επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο Οργανισμός σας στην ασφάλεια; Θα μπορούσατε να αναφερθείτε ενδεικτικά, αν το θεωρείτε σκόπιμο, σε projects που τρέξατε πρόσφατα (ή σκοπεύετε να τρέξετε στο άμεσο μέλλον);
Ο οργανισμός, πέραν των συνεχών αναβαθμίσεων και προσαρμογών τόσο σε συστήματα ασφάλειας όσο και σε διαδικασίες, έχει ή αξιολογεί επενδύσεις σε:
• Διαχωρισμό του δικτύου επικοινωνιών/δεδομένων (Network segmentation) με την χρήση UTM Firewalls (IPS, Antibot, Application Control, Url Filtering, Antivirus, Treat Emulation, Identity Awareness)

• Εφαρμογή του Two Factor Authentication (2FA), τόσο για VPN authentication, αλλά και για computer και application authentication

• Eντατικοποίηση των Vulnerability Assessments και compliancy scans (CIS), ώστε να γίνονται σε ετήσια βάση από 3μηνιαία σήμερα

• Επέκταση της εφαρμογής Mobile Device Management (με device encryption και isolation) και αυστηροποίηση των εφαρμοσμένων πολιτικών

• Εφαρμογή συστήματος zero day protection

• Developer trainings για secure coding

• Επέκταση του προγράμματος User Awareness με sessions

• Network Access control (authorized devices και Identity based access)

• Σύστημα patch management και επέκταση της διαδικασίας για όλο το λογισμικό που βρίσκεται σε εταιρικούς υπολογιστές.

• Σύστημα Password Management / Vault

• Λύση User Behavior Analytics

• Κρυπτογράφηση Βάσεων Δεδομένων

Ο στόχος και το όραμα του ομίλου είναι να λειτουργεί σε «proactive than reactive mode».

Κατά την άποψη σας, ποια είναι τα σημαντικότερα συστατικά της επιτυχίας για ένα διευθυντικό στέλεχος του cyber security σήμερα; Τι θα πρέπει να προσέξει για να εξελίξει περαιτέρω την καριέρα του;
Ένα διευθυντικό στέλεχος του cyber security θα πρέπει να έχει αναπτύξει ένα τέτοιο πλαίσιο όπου όλη η εταιρεία να είναι εναρμονισμένη με τα μέτρα πρόληψης και εντοπισμού θεμάτων ασφαλείας και να έχει αποκτήσει την κατάλληλη κουλτούρα. Παράλληλα θα πρέπει να φροντίζει για την εμπλοκή και ενημέρωσή του στα έργα που ενδέχεται να επηρεάσουν την ασφάλεια, να φροντίζει για τη διατήρηση και βελτίωση των απαραίτητων skills & competencies των άμεσα εμπλεκόμενων συναδέλφων, να προσαρμόζει συνεχώς την πολιτική ασφάλειας του οργανισμού.

Τέλος, θα πρέπει να παρακολουθεί και να ενημερώνεται για τις νέες τάσεις, τεχνολογίες και τεχνικές (μέσω ενημερωτικών ιστοσελίδων, emails, forums και conferences), να βοηθάει στην σωστή επιλογή μέτρων ισοσταθμίζοντας κόστη με ρίσκο και να έχει στενή συνεργασία με εξειδικευμένους συνεργάτες του χώρου, χωρίς να δημιουργεί δυσλειτουργίες στην εταιρεία.

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα;
Η συνεχής επέκταση μεταφοράς εργασιών στο διαδίκτυο και σε φορητές συσκευές, τα νέα κανονιστικά πλαίσια και νομοθεσίες, οι αυξανόμενες διαρροές δεδομένων, θα συνεχίσουν να οδηγούν σε αύξηση των δαπανών για υπηρεσίες, συστήματα ασφάλειας πληροφοριακών συστημάτων, και προστασία διαρροής δεδομένων.

Οι τάσεις που προβλέπεται να έχουν αύξηση είναι η εντατικοποίηση των ελέγχων, η προστασία φορητών συσκευών, η κρυπτογράφηση βάσεων δεδομένων, η ταυτοποίηση δυο παραγόντων και τα συστήματα διαχείρισης κωδικών, τα συστήματα αυτοματισμών που θα προσφέρουν πλεονέκτημα σε οργανισμούς μειώνοντας λειτουργικά έξοδα και βελτιώνοντας την αποδοτικότητα.

Τέλος, η  τεχνητή νοημοσύνη που θα επαναπροσδιορίσει τον χώρο του IT Security και θα παίξει σημαντικό ρόλο τα επόμενα χρόνια στην ταχύτητα αντίδρασης απέναντι σε κακόβουλες επιθέσεις και θα επιτρέψει στους επαγγελματίες του χώρου να παίρνουν καλύτερες και πιο ολοκληρωμένες αποφάσεις και δράσεις.
 
Who’s Who
Ο Νικόλαος Μαρουλιανάκης κατέχει διευθυντική θέση στον Όμιλο Εταιριών Interamerican, καλύπτοντας τομείς αρμοδιοτήτων όπως Διαχείριση Επιχειρησιακών Δεδομένων, Υποδομή ΙΤ, Ασφάλεια Συστημάτων και Διακυβέρνηση Δεδομένων. Κατά τη διάρκεια της επαγγελματικής του σταδιοδρομίας συμμετείχε σε μεγάλα έργα ψηφιακού μετασχηματισμού και βελτιστοποίησης επιχειρηματικών διαδικασιών του ομίλου με ηγετικό ρόλο. Έχει επίσης μακρά εμπειρία στον τομέα της πληροφορικής και της Διοίκησης Επιχειρήσεων. Είναι κάτοχος μεταπτυχιακού Πληροφορικής του University of Wales.