«Όλο και περισσότεροι έχουν αρχίσει, πλέον, να αποδέχονται το γεγονός ότι τα συμβάντα κυβερνοασφάλειας είναι αναπόφευκτα, ίσως και φυσιολογικά. H κυβερνοασφάλεια σήμερα έχει να κάνει περισσότερο με την επιβίωση μιας εταιρείας…». Ο Aνδρέας Αμές, Global Security & Client IT Manager στον Όμιλο Teleperformance, δίνει το δικό του στίγμα για την κυβερνοασφάλεια, συνεχίζοντας το καθημερινό μαραθώνιο των συνεντεύξεων του NetFAX με CISOs της ελληνικής και διεθνούς αγοράς, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.
Πόσο πολύπλοκος και απαιτητικός είναι ο ρόλος ενός CISO σήμερα;
Ο ρόλος ενός CISO σήμερα δεν τόσο απαιτητικός, όσο κρίσιμος – λαμβάνοντας υπόψη ότι έχει επωμιστεί τη διαχείριση του ρίσκου της επιχείρησής του, μεριμνώντας για τις υποδομές ασφαλείας, τη θωράκιση των επιχειρηματικών πόρων και την προστασία των συσκευών των εργαζομένων (κάτι που περιλαμβάνει και το Internet of Things).
Πιστεύω ότι αν θέλει ένας CISO να παίξει ένα σημαντικότερο ρόλο στην επιχείρησή του, δεν θα πρέπει μόνο να περιορίζεται στην, αναμφίβολα απαραίτητη, τεχνολογική εξειδίκευση και τις διοικητικές δεξιότητες, αλλά, συνάμα να κατανοεί την επιχειρηματική λειτουργία και να καθορίζει τις προτεραιότητές του από μια επιχειρηματική σκοπιά.
Πολύ σημαντικά για τη δουλειά μας είναι η ποιότητα και η ταχύτητα ανταπόκρισης σε συμβάντα. Στις σύγχρονες επιχειρήσεις οι άνθρωποι έχουν αρχίσει να αποδέχονται το γεγονός ότι τα συμβάντα σε θέματα κυβερνοασφάλειας δεν αποτελούν …αποτυχία. Είναι ευχάριστο να βλέπει κανείς ότι περισσότεροι έχουν αρχίσει, πλέον, να συνειδητοποιούν ότι τα συμβάντα είναι αναπόφευκτα, θα τολμούσα να πω και φυσιολογικά.
Σήμερα, η κυβερνοασφάλεια έχει κάνει κυρίως με την επιβίωση της εταιρείας. Εν κατακλείδι, οι CISOs θα πρέπει κατά κύριο λόγο να κατανοήσουν την επιχείρησή τους ώστε να μπορέσουν να «μεταφράσουν» ότι χρειάζεται μεταξύ του ΙΤ, της επιχείρησης και της ασφάλειας.
Υπάρχει μια γενική στρατηγική που θα μπορούσε να ακολουθήσει ένας CISO;
Δεν υπάρχει μια γενική θεώρηση που θα μπορούσε να δώσει λύση σε όλα. Οι περισσότεροι CISOs αναπτύσσουν στρατηγικές ασφαλείας υιοθετώντας το μοντέλo του βασισμένου σε project Risk Assessment, ενώ κάποιοι άλλοι συνδυάζουν το “top-down” Risk Management με μια προσέγγιση που ξεκινά από τη βάση και πάει προς τα πάνω (bottom-up).
Και οι δύο μέθοδοι απαιτούν τη συμμετοχή των ενδιαφερομένων μερών (stakeholders) και εφαρμόζονται σε επιχειρηματικές δραστηριότητες υψηλού επίπεδου. Από τότε που το Information Security άρχισε να ανταγωνίζεται άλλους επιχειρηματικούς στόχους, η στρατηγική ασφάλειας ενός οργανισμού χρειάζεται να επικυρώνεται από ένα διοικητικό συμβούλιο ή μια επιτροπή, που περιλαμβάνει ανώτερα στελέχη από την Πληροφορική και το μάνατζμεντ της επιχείρησης.
Πόσο πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO;
Το budget, από τη μία, παίζει ένα κρίσιμο ρόλο, αλλά από την άλλη οι απειλές για την ασφάλεια τείνουν να αυξάνουν όταν το budget μειώνεται. Με άλλα λόγια, όσο λιγότερο επενδύει κανείς στην ασφάλεια, τόσο περισσότερο πιθανό είναι να αποτελέσει θύμα μιας κυβερνοεπίθεσης.
Αναγνωρίζει η διοίκηση πλέον την ανάγκη επένδυσης σε υποδομές για τη θωράκιση της εταιρείας από τις σύγχρονες απειλές;
Πιστεύω ότι, γενικά, εκτός από το γεγονός ότι οι εταιρείες επενδύουν εν γένει σημαντικά σε συστήματα και τεχνολογίες για να ελαχιστοποιήσουν τα συμβάντα ασφάλειας, επενδύουν, επίσης, στην κατάρτιση κι ενημέρωση των στελεχών τους σχετικά με την κυβερνοασφάλεια. Είναι κρίσιμο για το ρόλο μας να συνεργαστούμε με άλλα τμήματα και στελέχη στην εταιρεία, στο πλαίσιο του να γίνουμε όσο πιο πολύ proactive γίνεται – από το να περιμένουμε να δράσουμε αφού συμβεί κάτι.
Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα;
Κατά τη γνώμη μου η κυβερνοασφάλεια ή η ασφάλεια γενικότερα χαρακτηρίζονται από τις ίδιες τάσεις: Risk Assessments, GDPR, Enterprise-based IT management & IT governance και, τέλος, Disaster recovery/Business continuity.
Who’s Who
O Ανδρέας Αμές ασκεί από το Φεβρουάριο του 2017 το ρόλο του Global Security & Client IT Manager στον Όμιλο Teleperformance, έχοντας επωμιστεί, μεταξύ άλλων, την ευθύνη για την παροχή client IT & Security (GDPR) υπηρεσιών σε όλες τις περιοχές δραστηριοποίησης του Ομίλου.
Διαθέτει 20ετή εμπειρία στο χώρο της Πληροφορικής, έχοντας ολοκληρώσει με επιτυχία μια σειρά τεχνολογικών projects μέσα από τις διευθυντικές θέσεις που έχει αναλάβει κατά καιρούς σε διάφορους κλάδους. Στο παρελθόν έχει ασκήσει διευθυντικούς ρόλους σχετικούς με την Πληροφορική στις Ellinair (IT Director), Excaliber (IT Consultant), Printec (Group IT Manager), Eurobank EFG Financial Planning Services (IT Manager και CRM & Contact Center Director) και την άλλοτε TIM (Decision Support & CRM Manager)