«Η πρόκληση για όλους τους CISO, πέραν από το αυτονόητο που είναι να προστατέψουν τον οργανισμό και τα δεδομένα, είναι η «βέλτιστη εξισορρόπηση» ανάμεσα στο Security και το Business Efficiency …». Ο Κωνσταντίνος Ανδρεόπουλος, Director, IT Operations & Security, ICAP, δίνει το δικό του στίγμα για την κυβερνοασφάλεια, συνεχίζοντας το καθημερινό μαραθώνιο των συνεντεύξεων του NetFAX με CISOs της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Ποια είναι τα καθήκοντα και οι αρμοδιότητες σας ως CISO στον Οργανισμό; Ποιες είναι οι κυριότερες προκλήσεις που αντιμετωπίζετε;
Ο όμιλος εταιρειών ICAP κατέχει ηγετική θέση στην Ελλάδα και προσφέρει μία σειρά από υψηλού επιπέδου υπηρεσίες όπως: Business Information/ Credit Risk Services, Υπηρεσίες Call Center, Διαχείρισης Απαιτήσεων (Receivables Management), Υπηρεσίες Ανθρώπινου Δυναμικού (Executive Training, Recruitment, Outsourcing, Outplacement), Υπηρεσίες Συμβούλων, κα.

Ως Chief Information Security Officer του ομίλου για τα τελευταία τέσσερα χρόνια ο ρόλος είναι ιδιαίτερα απαιτητικός και περιλαμβάνει τεχνικές γνώσεις αλλά και βαθιά γνώση του οργανισμού, που, όπως σας ανέφερα παραπάνω, προσφέρει διαφορετικού είδους υπηρεσίες με σημαντικές ιδιαιτερότητες στον τομέα της ασφάλειας.

Για παράδειγμα, διαφορετικά μέτρα προστασίας (security controls) εφαρμόζονται για την προστασία μίας βάσης δεδομένων που περιλαμβάνει έρευνα, ανάλυση, καταχώρηση, παρουσίαση και διαφορετικά για ένα περιβάλλον Call Center που έχει λειτουργία 24×7, VOIP συνομιλίες, ηχογραφήσεις, στατιστικά κλήσεων. Συνοπτικά, τα καθήκοντα μου ως CISO κυρίως αφορούν:

α) την αδιάλειπτη/συνεχόμενη λειτουργία όλων των υπηρεσιών/συστημάτων του ομίλου προς τους πελάτες και την κοινωνία [Αφορά υποδομές: Business Continuity/ Disaster Recovery, High Availability set ups (Clusters and Virtualization)/ Backup-restore systems, Health Monitoring Systems, UPS, Power Generators, Environmental Controls, Computer Emergency Response Team (CERT)]

β) την προστασία των ευαίσθητων πληροφοριών του ομίλου από μη εξουσιοδοτημένη πρόσβαση ώστε αφενός να μην διαρρεύσουν (Confidentiality) αλλά και να μην αλλοιωθούν (Integrity) [Αφορά υποδομές – Perimeter Firewalls, WAF, Pen. Tests, Vulnerability Scanning, Secure File Exchange, Central Antivirus, Passwords Management, DLP, DB Monitoring, SIEM, Security awareness training, data encryption, physical security]

γ) τη συμμόρφωση του ομίλου με πρότυπα ασφάλειας (ISO27001, PCI) και με τη νομοθεσία (GDPR, ΑΔΑΕ), το οποίο όμως στην πραγματικότητα συμπληρώνει τα πρώτα δύο «καθήκοντα» του ρόλου.

δ) Τη συνεργασία με όλα τα στελέχη του οργανισμού ώστε οι υπάρχουσες διαδικασίες μας αλλά και όλα τα έργα να γίνονται με τρόπο που προστατεύουν την Πληροφορία μας -Security By Design.

Η πρόκληση για όλους τους CISO, πέραν από το αυτονόητο που είναι να προστατέψει τον οργανισμό και τα δεδομένα, είναι η «βέλτιστη εξισορρόπηση» ανάμεσα στο Security και το Business Efficiency. Η δουλειά μας αφορά σε πολύ μεγάλο βαθμό Διαχείριση Κινδύνου/Risk Management.

Ένας CISO πρέπει να επιτρέψει στο Business να εργαστεί με τέτοιο τρόπο ώστε ο κίνδυνος να είναι αποδεκτός. Από την άλλη το Business επιθυμεί πάντα να κάνει την εργασία του γρήγορα και εύκολα. Η διαχείριση/ εξισορρόπηση της ικανοποιητικής ασφάλειας σε συνδυασμό με το Business Enablement και Efficiency είναι αυτό που κάνει τη διαφορά.

Ένα πρόβλημα που καταδεικνύεται σε πρόσφατες μελέτες είναι η έλλειψη εξειδικευμένων στελεχών για το Security. Πόσο σας έχει απασχολήσει αυτό το πρόβλημα και με ποιο τρόπο πιστεύετε ότι θα μπορούσε αυτό να επιλυθεί;
Προσωπικά διαφωνώ με αυτή την διαπίστωση. Θεωρώ ότι υπάρχουν πολύ ικανά νέα άτομα που βγαίνουν από τα Πανεπιστήμια ή έχουν μία μικρή εμπειρία 1-5 χρόνων. Το πρόβλημα που αναφέρετε έγκειται στην νοοτροπία της αγοράς να θέλει στελέχη 100% έτοιμα που θα έρθουν και θα αποδώσουν από την 1η ημέρα.

Πρέπει να έχουμε την διάθεση και το χρόνο να εκπαιδεύσουμε τα άτομα στις απαιτήσεις και τις ιδιαιτερότητες του κάθε οργανισμού. Επιπλέον συμβουλεύω τις εταιρείες να έχουν τμήμα Security και όχι ένα άτομο που θα κάνει τα πάντα. Τo cyber security αφορά θέμα επιχειρησιακής συνέχειας. Εάν δεν υπάρχει το budget θα πρέπει να οδηγηθούν σε λύσεις outsourcing.

Με ποια τμήματα στον Οργανισμό συνεργάζεστε για την επίτευξη των στόχων σας CISO; Πόσο σημαντική είναι η ευθυγράμμιση του cyber security με τους επιχειρηματικούς στόχους και πώς το επιτυγχάνετε αυτό στον οργανισμό σας;
Ένας επιτυχημένος CISO συνεργάζεται με όλα τα τμήματα του οργανισμού. Πέραν του ότι επιβάλλεται από το ετήσιο Risk Assessment, είναι αναγκαίο να μιλήσεις με τους συναδέλφους όλων των τμημάτων και να ξέρεις τις διαδικασίες τους ώστε να μπορείς να προστατέψεις τα δεδομένα του οργανισμού. Για την επίτευξη των στόχων του CISO υποστηρικτικά τα τμήματα κλειδιά είναι: ΙΤ, Legal, HR, Compliance, Privacy (εάν υπάρχει).

H ευθυγράμμιση του IT Security με τους επιχειρηματικούς στόχους είναι απαραίτητη. Για παράδειγμα, δεν γίνεται να υπάρχουν συμβόλαια με πελάτες μας για επιχειρησιακή συνέχεια (Business Continuity) σε «Χ» ώρες και ο οργανισμός μέσω του Information Security/ Disaster Recover Procedures να μην μπορεί να τα υποστηρίξει. Διαβάζοντας τους επιχειρηματικούς στόχους, ο CISO θα πρέπει να ερμηνεύσει τις δυνατότητες που πρέπει να υλοποιηθούν μέσα από επενδύσεις σε Information Security, ώστε να είναι εφικτοί αυτοί οι στόχοι και να ενημερώσει τη διοίκηση.

Ο όμιλός μας για την ευθυγράμμιση του ΙΤ Security με τα Business Goals έχει θεσπίσει ειδική επιτροπή Risk and Data Privacy Committee στελεχωμένη από μέλη του C-Level Management, IT, Security, Privacy και Internal Audit. Με συχνές περιοδικές συνεδριάσεις επιβλέπει, επικυρώνει και κατευθύνει στρατηγικά όλα τα Security Activities του ομίλου. Η λειτουργία μίας τέτοιας επιτροπής βοηθάει απεριόριστα των CISΟ να επιτύχει στο ρόλο του.

Κατά την άποψη σας, ποια είναι τα σημαντικότερα συστατικά της επιτυχίας για ένα διευθυντικό στέλεχος του cyber security σήμερα; Τι θα πρέπει να προσέξει για να εξελίξει περαιτέρω την καριέρα του;
Θεωρώ ότι ένα διευθυντικό στέλεχος ασφάλειας πληροφοριών θα πρέπει να έχει γνώση για όλα τα κομμάτια του Information Security. Υπάρχουν στελέχη security που γνωρίζουν πολύ καλά διαδικασίες και πρότυπα αλλά έχουν λίγη γνώση σε encryption ή penetration test techniques. Οπότε η συμβουλή μου για τους επίδοξους CISO είναι να μάθουν σε βάθος όλο το εύρος του Information Security.

Επιπλέον όπως σας ανέφερα και σε προηγούμενη ερώτηση το Information Security απαιτεί την δημιουργία τμήματος. Απαραίτητο skill για τον Δ/ντή CyberSecurity/ CISO είναι να μπορεί να διαχειριστεί την ομάδα του ώστε συλλογικά να παράγεται ένα άριστο αποτέλεσμα.

Πόσο πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO; Tι επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο Οργανισμός σας στην ασφάλεια;
Η οικονομική κρίση και ο περιορισμός του budget πράγματι αποτελούν ένα εμπόδιο στο CISO ώστε να επιτελέσει αποτελεσματικά το έργο του. Παρόλα αυτά, στην δική μου περίπτωση ο οργανισμός μέσω και της επιτροπής που σας προ-ανέφερα είναι ενημερωμένος και αντιλαμβάνεται τους κινδύνους από εκπτώσεις στην ασφάλεια.

Έτσι στον όμιλό μας, παρόλη την κρίση, το τμήμα Security συνέχισε με ακόμα πιο ενισχυμένο budget, καλύψαμε όλα τα θέματα του GDPR, αποκτήσαμε το PCI Compliance ενώ διατηρήσαμε και το παγκόσμιο πρότυπο ασφάλειας ISO27001:2013.

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα, ειδικά, δε, στο χώρο των επιχειρήσεων;
Η κυριότερη τάση σήμερα βρίσκεται στα Security Analytics. Οι επιθέσεις είναι τόσο εξελιγμένες (βλέπε επιθέσεις APT – Advanced Persistent Threats) που μόνο με analytics και συστηματικό user profiling και network profiling μπορούν να αποκαλυφθούν σε κάποιες περιπτώσεις.