«Oι επιχειρήσεις πρέπει να λαμβάνουν σοβαρά υπόψη τους το θέμα της κυβερνοασφάλειας, που με τη σειρά του οδηγεί σε μετασχηματισμό της επιχειρηματικής κουλτούρας για τη λήψη αποφάσεων βάσει του ρίσκου. Η ασφάλεια της πληροφορίας αποτελεί ευθύνη όλων των εργαζομένων της επιχείρησης…». Ο Γιώργος Τσινός, CISO της Εθνικής Ασφαλιστικής, αποτυπώνει τη σημασία της κυβερνοασφάλειας για κάθε σύγχρονη επιχείρηση, δίνοντας συνέχεια στις καθημερινές συνεντεύξεις του NetFAX με CISOs και σημαντικά στελέχη της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Ποια είναι τα καθήκοντα και οι αρμοδιότητες σας ως CISO στον Οργανισμό; Ποιες είναι οι κυριότερες προκλήσεις που αντιμετωπίζετε;
Ο ρόλος του σύγχρονου CISO είναι να οδηγεί στρατηγικά την ασφάλεια της πληροφορίας του Οργανισμού. Αρχικά, τα καθήκοντα του ρόλου ήταν περιορισμένα στην παρακολούθηση και αντιμετώπιση των απειλών στον κυβερνοχώρο, καθώς και τη συμμόρφωση με τις ισχύουσες κανονιστικές απαιτήσεις, ενώ, συνήθως, υπαγόταν ιεραρχικά στην Πληροφορική.

Σταδιακά, οι νέες προκλήσεις, με την εκθετική αύξηση των δεδομένων, τις κατευθείαν υπηρεσίες προς τους πελάτες, τον ψηφιακό μετασχηματισμό των εταιρειών, το ευφυέστερο / στοχευμένο κυβερνοέγκλημα προς δεδομένα πελατών και πνευματικής ιδιοκτησίας που επηρεάζουν άμεσα τους μετόχους και τις επιχειρηματικές επιδόσεις, καθώς και τα απαγορευτικά κανονιστικά πρόστιμα, οδήγησαν το σύγχρονο CISO να αποτελεί στρατηγικό σημείο αναφοράς του Οργανισμού.

Οι νέες, αυξημένες αρμοδιότητες, περιλαμβάνουν ευθυγράμμιση του ρόλου με τις επιχειρησιακές απαιτήσεις, στρατηγική διαχείριση των κινδύνων της πληροφορίας και αλλαγή κουλτούρας στον Οργανισμό με την εμπλοκή / ευθύνη όλων, ενώ, πλέον, υπάγεται ιεραρχικά κατευθείαν στο Διοικητικό Συμβούλιο / Διευθύνοντα Σύμβουλο.

Ένα πρόβλημα που καταδεικνύεται σε πρόσφατες μελέτες είναι η έλλειψη εξειδικευμένων στελεχών για το Security. Πόσο σας έχει απασχολήσει αυτό το πρόβλημα και με ποιο τρόπο πιστεύετε ότι θα μπορούσε αυτό να επιλυθεί;
Στις μέρες μας τα ικανά, εξειδικευμένα στελέχη, βρίσκονται σε έλλειψη σε πολλούς τεχνολογικούς χώρους, όπως είναι και η ασφάλεια, απόρροια των αυξημένων απαιτήσεων λόγω των ραγδαίων τεχνολογικών εξελίξεων. Για την κάλυψη του κενού, τόσο αριθμητικά σε προσωπικό (FTEs), όσο και σε δεξιότητες (Capabilities), μπορείς να:

• Αναπτύξεις συνεργασίες με πανεπιστήμια και επαγγελματικές οργανώσεις για την ενίσχυση των δεξιοτήτων των ομάδων.

• Αξιοποιήσεις την τεχνολογία με προσομοιώσεις (simulations) ή με τη συμμετοχή σε διαγωνισμούς (όπως είναι η Εθνική Άσκηση Κυβερνοάμυνας Πανόπτης), προετοιμάζοντας την ομάδα που μπορεί να αντιμετωπίσει συμβάντα υψηλού κινδύνου.

• Αναπτύξεις ομάδα από «μη τεχνικούς» εργαζομένους που θα αποτελέσουν τους αντιπροσώπους (delegation), αποκτώντας βασικές γνώσεις στην κυβερνοασφάλεια. Αυτοί θα μειώσουν την προσπάθεια των τεχνικών, ενημερώνοντας και ανιχνεύοντας ταχύτερα θέματα ασφάλειας, ενώ παράλληλα θα μεταλαμπαδεύουν τη γνώση στους γύρω τους (awareness).

• Αναθέσεις σε εξειδικευμένες εταιρείες, μέσω παροχής εξωτερικών υπηρεσιών ασφάλειας, μια τάση που θα τη βλέπουμε όλο και περισσότερο στο μέλλον [σύμφωνα με την Gartner το 50% του security software θα παρέχεται ως υπηρεσία (as a service) έως το 2020).

Με ποια τμήματα στον Οργανισμό συνεργάζεστε για την επίτευξη των στόχων σας CISO; Πόσο σημαντική είναι η ευθυγράμμιση του cyber security με τους επιχειρηματικούς στόχους και πώς το επιτυγχάνετε αυτό στον οργανισμό σας;
Η ανάγκη για ενίσχυση του περιβάλλοντος ασφάλειας με στόχο την ανθεκτικότητα του Οργανισμού (resilience) και την ευαισθητοποίηση όλων (awareness) για τη θωράκιση κατά του κυβερνοεγκλήματος, ωθεί τον CISO να ξεπεράσει το τακτικό, τεχνικό επίπεδο για να κερδίσει αξιοπιστία και υποστήριξη από όλη την επιχείρηση, συμπεριλαμβανομένου του Δ.Σ. των Εκτελεστικών (C-Level) αλλά και όλων των επιχειρηματικών μονάδων.

Αναλυτικότερα, υπάρχει στενότερη συνεργασία με Πληροφορική, DPO, Νομική Υπηρεσία, Κανονιστική Συμμόρφωση, Εσωτερικό Έλεγχο, Λειτουργικό Κίνδυνο, Οργάνωση, Επιτροπή Στρατηγικής Πληροφορικής, κλπ. Για να μπορέσει να επιτευχθεί η ευθυγράμμιση του cyber security με τους επιχειρηματικούς στόχους είναι επιτακτικό για τον CISO να είναι επικοινωνιακός και να «μεταφράζει» το ρίσκο στην επιχειρησιακή γλώσσα αντλώντας παραδείγματα από τον επιχειρησιακό χώρο που απευθύνεται, ώστε να είναι πειστικός και κατανοητός (influencer).

Κατά το δυνατόν να αποφεύγει την κινδυνολογία και τις τεχνικές εκφράσεις με ακρωνύμια. Και το σημαντικότερο, να είναι θετικός στις προτάσεις αλλαγών της επιχείρησης (enabler), αναφέροντας όμως τις προϋποθέσεις για τη διατήρηση του ρίσκου στα αποδεκτά ορισμένα επίπεδα για τον Οργανισμό.

Κατά την άποψη σας, ποια είναι τα σημαντικότερα συστατικά της επιτυχίας για ένα διευθυντικό στέλεχος του cyber security σήμερα; Τι θα πρέπει να προσέξει για να εξελίξει περαιτέρω την καριέρα του;
Ο ρόλος του CISO πρέπει να περιέχει τέσσερις όψεις, όπως εύστοχα αναφέρει άρθρο της Deloitte. Οι δύο αφορούν το υπόβαθρο που είχε συνήθως ένας CISO που προερχόταν από τον τεχνολογικό (technologist) χώρο και αφορούν τις τεχνικές του γνώσεις, ώστε να καταλαβαίνει την τεχνολογία και να αξιολογεί τους κινδύνους και τους τρόπους διαφύλαξης / προστασίας (guardian) του Οργανισμού από το κυβερνοέγκλημα.

Οι σύγχρονες απαιτήσεις ωθούν το CISO στο να αυξήσει και να εξελίξει τις στρατηγικές (strategist) ικανότητές του, ώστε να καλύψει τις ανάγκες της Διοίκησης με ευθυγράμμιση, καινοτομίες που χρειάζονται και με επενδύσεις που δίνουν αξία στον Οργανισμό. Παράλληλα, πρέπει να βελτιώσει το επικοινωνιακό μέρος του χαρακτήρα του, ώστε ως σύμβουλος (advisor) ασφάλειας να μεταφέρει σε κατανοητή γλώσσα τους κινδύνους που πρέπει να λάβουν υπόψη τους τα επιχειρησιακά στελέχη πριν τις τελικές τους αποφάσεις.

Πόσο πιστεύετε ότι η οικονομική κρίση και το συρρικνωμένο budget μπορούν να αποτελέσουν ένα πρόσθετο εμπόδιο για ένα σημερινό CISO; Tι επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο Οργανισμός σας στην ασφάλεια;
Ποτέ το budget αλλά και τα διαθέσιμα resources και ο χρόνος δεν θα περισσεύουν στα έργα ασφάλειας! Επομένως, βάσει ρίσκου πρέπει να προτεραιοποιoύνται και να προτείνονται τα έργα ασφάλειας για χρηματοδότηση προς τη Διοίκηση. Δεν πρέπει να ξεχνάμε ότι κάποιες φορές και με ημίμετρα μπορεί να μειωθεί το ρίσκο χωρίς υψηλό κόστος (ενδεικτικά: αλλαγή διαδικασίας, controls, counter measures). Η Εθνική Ασφαλιστική επενδύει συνεχώς στην ασφάλεια. Διαθέτει σημαντικό ποσοστό του budget επενδύσεων, τόσο σε λύσεις / προϊόντα ασφάλειας, όσο και σε εξωτερικές συμβουλευτικές / ελεγκτικές υπηρεσίες, αφού αυτό θεωρείται επένδυση για το αύριο του Οργανισμού.

Ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cyber security σήμερα, ειδικά, δε, στο χώρο των επιχειρήσεων;
Η αύξηση των παραβιάσεων των δεδομένων και οι συνέπειες αυτών σε επίπεδο Δ.Σ., όπως υπαγορεύεται από τους νέους αυστηρούς κανονισμούς, η μεταφορά της πληροφορίας που δεν έχει σύνορα, η αναδυόμενη τεχνολογία του ψηφιακού μετασχηματισμού με έμφαση στις κατευθείαν υπηρεσίες προς τον πελάτη (shift left), με νέα αρχιτεκτονική, υπηρεσίες και απαιτήσεις τεχνογνωσίας του προσωπικού, η έντονη ανταγωνιστικότητα των εταιρειών (time to market), η απαραίτητη διαβεβαίωση που ζητείται από τους εξωτερικούς ελεγκτές κλπ. είναι οι κυριότερες τάσεις που αντιμετωπίζουν οι σύγχρονες επιχειρήσεις.

Πλέον, οι επιχειρήσεις πρέπει να λαμβάνουν σοβαρά υπόψη τους το θέμα της κυβερνοασφάλειας (πρόσφατη έρευνα της AON την κατατάσσει ως Νο1 κίνδυνο στις ασφαλιστικές εταιρείες της EΕ), που με τη σειρά του οδηγεί σε μετασχηματισμό της επιχειρηματικής κουλτούρας για αποφάσεις με βάση τον κίνδυνο, όπου η ασφάλεια της πληροφορίας αποτελεί ευθύνη όλων των εργαζομένων της επιχείρησης. Ο CISO πρέπει να είναι ο αξιόπιστος σύμβουλος της Διοίκησης για ολιστική και προληπτική αντιμετώπιση του cyber risk, γιατί «Κάλλιον το προλαμβάνειν ή το θεραπεύειν» (Ιπποκράτης).

Who’s Who
Ο Γιώργος Τσινός είναι ο Υπεύθυνος Ασφάλειας Πληροφορίας (CISO) της Εθνικής Ασφαλιστικής και μέλος της Στρατηγικής Επιτροπής της Πληροφορικής του Οργανισμού. Παρακολουθεί ολιστικά τα θέματα ασφάλειας της πληροφορίας και αναφέρεται στο Διευθύνοντα Σύμβουλο. Στο παρελθόν έχει διατελέσει προϊστάμενος τομέα της Πληροφορικής επί θεμάτων συμμόρφωσης και ελέγχου και επί σειρά ετών ως τεχνικός κεντρικών συστημάτων, δικτύων και βάσεων δεδομένων.

Έχει αποκτήσει ουσιαστική εμπειρία μέσω εμπλοκής σε σημαντικά έργα, όπως ενδεικτικά: Ανάπτυξη Πλαισίου Πολιτικών και Διαδικασιών, Data Classification, Solvency II, SOX, Δραχμές σε Ευρώ, “2000”, Μεταστέγαση εταιρείας, κλπ. Παλαιότερα εργάστηκε στη Γενική Τράπεζα, στο Kapatel και στον ΟΤΕ, ενώ υπήρξε ιδρυτικό μέλος εταιρείας διεξαγωγής σεμιναρίων (CONECT).
Έχει διδάξει στο Πανεπιστήμιο Αθηνών, σε επιδοτούμενα κοινοτικά προγράμματα, ως εξωτερικός συνεργάτης της ΙΒΜ σε Ελλάδα και Κύπρο, στη Μαθηματική Εταιρία, καθώς και σε φροντιστήριο μέσης εκπαίδευσης (Διευθυντής σπουδών και διδάσκων).

Έχει δημοσιεύσεις σε περιοδικά, υπήρξε ομιλητής σε συνέδρια, όπως και ημερίδες για το cyber security. Διαθέτει τίτλο (MSc) του διετούς μεταπτυχιακού Πληροφορικής του Εθνικού Καποδιστριακού Πανεπιστημίου Αθηνών (ΕΚΠΑ) και είναι πτυχιούχος Φυσικός του Πανεπιστημίου Κρήτης. Κατέχει τις πιστοποιήσεις: CII (Insurance), CISA, CISM, CRISK, Cobit5(F), ITIL(F).