Το NetFAX ξεκινά τον μαραθώνιο των καθημερινών συνεντεύξεων με σημαντικά στελέχη και CISOs της ελληνικής και διεθνούς αγοράς cyber security στο πλαίσιο εορτασμού του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας, με τον Μιχαήλ Μαυροφοράκη, Group CISO της Εθνικής Τράπεζας.

Ποια είναι τα καθήκοντα και οι αρμοδιότητες σας ως Group CISO;
Τα κύρια καθήκοντα και οι αρμοδιότητες του CISO είναι ο σχεδιασμός και η υλοποίηση προγράμματος διαχείρισης ασφάλειας των πληροφοριών (Information Security Management System) σε ολόκληρη την επιχείρηση, το οποίο διασφαλίζει ότι τα πληροφοριακά αγαθά του Οργανισμού προστατεύονται επαρκώς, η συνεργασία με τη διοίκηση του Οργανισμού για τον καθορισμό του αποδεκτού επιπέδου κίνδυνου των πληροφορικών συστημάτων, η παρακολούθηση των εξελίξεων σε θέμα Κυβερνοασφάλειας και Κυβερνοαπειλών, ο καθορισμός κατευθύνσεων για την αντιμετώπιση απειλών σε θέματα ασφάλειας πληροφοριών, η παρακολούθηση των σχετικών με την ασφάλεια πληροφοριών Κανονιστικών θεμάτων, η δημιουργία προτάσεων και καινοτόμων λύσεων προς τη Διοίκηση για θέματα ασφάλειας πληροφοριών, η διαχείριση του προϋπολογισμού για την ασφάλεια πληροφοριών, η δημιουργία και παρουσίαση επιτελικών αναφορών,  με δείκτες αποδοτικότητας (KPIs), στη Διοίκηση και ο σχεδιασμός και η υλοποίηση προγράμματος ενημέρωσης του Οργανισμού σε θέματα ασφάλειας πληροφοριών.

Ποιες είναι οι κυριότερες προκλήσεις που αντιμετωπίζετε στο καθημερινό έργο σας;
Oι κυριότερες προκλήσεις είναι oι περιορισμοί στον προϋπολογισμό για την ασφάλεια πληροφοριών, η έλλειψη εξειδικευμένων στελεχών, η επαρκής προστασία από κυβερνοεγκληματίες οι οποίοι εξελίσσονται συνεχώς, κάτι που τους καθιστά δύσκολα εντοπίσιμους, η επαρκής προστασία από κυβερνοαπειλές οι οποίες ανανεώνονται και μεταμορφώνονται με ταχείς ρυθμούς και με τρόπο που τις καθιστά δύσκολο να αναγνωριστούν και να αντιμετωπιστούν, οι απαιτήσεις και η πολυπλοκότητα του κανονιστικού πλαισίου σε εθνικό και πανευρωπαϊκό επίπεδο και η κατανόηση των κινδύνων της ασφάλειας πληροφοριών από την ανώτατη διοίκηση του Οργανισμού.

Tι επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο Οργανισμός σας στην ασφάλεια; Μπορεί το περιορισμένο budget -ένεκα οικονομικής κρίσης- να αποτελέσει ανασταλτικό παράγοντα σε αυτές τις επενδύσεις;
Η οικονομική κρίση έχει περιορίσει τα ποσά των προϋπολογισμών για επενδύσεις και προμήθειας υπηρεσιών για την ασφάλεια των πληροφοριών. Παρά ταύτα, επενδύσεις σε συστήματα και υπηρεσίες για την προστασία των πληροφοριακών αγαθών των Οργανισμών συνεχίζουν να πραγματοποιούνται, διότι οι κυβερνοαπειλές (cyber-threats) και οι μέθοδοι που χρησιμοποιούν οι κυβερνοεγκληματίες (cyber-criminals)  έχουν πολλαπλασιαστεί, όπως επίσης αντίστοιχα και οι κανονιστικές απαιτήσεις, σε εθνικό και ευρωπαϊκό επίπεδο.

Οι επενδύσεις στην ασφάλεια των πληροφοριών βασίζονται στην εκτίμηση των κινδύνων και στα μέτρα που πρέπει να ληφθούν για τον περιορισμό τους, τα οποία περιλαμβάνουν είτε αγορά εξειδικευμένου λογισμικού, είτε προμήθεια των σχετικών υπηρεσιών στις εγκαταστάσεις του Οργανισμού, είτε χρήση υπηρεσιών στο cloud, είτε κάποιο συνδυασμό των προηγούμενων επιλογών. Επιπλέον διενεργείται ανάλυση κόστους/οφέλους (cost/benefit) η οποία λαμβάνεται υπόψη κατά τη διαδικασία της απόφασης υλοποίησης της επένδυσης.

Επίσης, ιδιαίτερη σημασία δίδεται για την κατανόηση των κινδύνων της Πληροφορικής και των κυβερνοαπειλών με επιχειρηματικούς όρους από την Διοίκηση με στόχο την ποσοτικοποίηση των κινδύνων, ώστε οι αποφάσεις για τον έγκριση του προϋπολογισμού της ασφάλειας πληροφοριών να είναι  ορθολογικές και στοχευμένες.    

Ένα πρόβλημα που καταδεικνύεται σε μελέτες είναι η έλλειψη εξειδικευμένων στελεχών για το  cyber security. Πόσο σας έχει απασχολήσει αυτό το πρόβλημα και με ποιον τρόπο πιστεύετε ότι θα μπορούσε αυτό να επιλυθεί;
Πράγματι, υφίσταται έλλειψη εξειδικευμένων και έμπειρων στελεχών στον τομέα της ασφάλειας πληροφοριών, σε παγκόσμιο επίπεδο. Το πρόβλημα παρουσιάζεται ιδιαίτερα αυξημένο στη χώρα μας, παρότι διαθέτουμε πολύ καλού επιπέδου ανώτατα εκπαιδευτικά ιδρύματα από τα οποία αποφοιτούν ικανότατοι επαγγελματίες και στελέχη  ως μηχανικοί ασφάλειας πληροφοριών. Λόγω της παγκόσμιας ζήτησης αυτής της ειδικότητας και της εκροής πολλών τέτοιων επιστημόνων και στελεχών από την Ελλάδα στο εξωτερικό (brain drain) κατά την τελευταία δεκαετία, έχουν δημιουργηθεί σημαντικές ελλείψεις στον συγκεκριμένο τομέα. Ο επαναπατρισμός τους προς το παρόν δεν φαίνεται εύκολος και τα κίνητρα για να συμβεί πρέπει να είναι ισχυρά.

Για την επίλυση του προβλήματος χρειάζεται συνεργασία των πανεπιστημιακών ιδρυμάτων (μέσω καταλλήλων προγραμμάτων σπουδών) με την αγορά εργασίας, κίνητρα από τις εταιρείες για να δελεάσουν και να πείσουν τους υποψήφιους εργαζόμενους να τις επιλέξουν παραμένοντας στη χώρα, προγράμματα συνεχούς εκπαίδευσης σε νέες μεθόδους, συνεργασία των μεγάλων εταιριών με startups και αλλαγή εταιρικής κουλτούρας με στόχο οι αρχές διαφάνειας και αξιοκρατίας να κυριαρχούν.

Με ποια τμήματα στον Οργανισμό συνεργάζεστε για την επίτευξη των στόχων σας ως Group CISO; Πόσο σημαντική είναι η ευθυγράμμιση του cyber security με τους επιχειρηματικούς στόχους και πώς το επιτυγχάνετε αυτό στον Οργανισμό σας;
Απαραίτητη προϋπόθεση για την επίτευξη των στόχων του CISO ενός Οργανισμού είναι η συνεχής και στενή συνεργασία μου με όλες τις Μονάδες της Τράπεζας και ιδιαιτέρως με τις προϊοντικές Μονάδες, τις Μονάδες Πληροφορικής, Εσωτερικού Ελέγχου, Διαχείρισης Κινδύνων και Κανονιστικής Συμμόρφωσης.
Η ασφάλεια των εταιρικών και των προσωπικών δεδομένων των πελατών αποτελεί προτεραιότητα για τα Πιστωτικά Ιδρύματα και τις Τράπεζες.

Η ευθυγράμμιση των επιχειρηματικών στόχων με τους στόχους της ασφάλειας πληροφοριών είναι αναγκαία και απαραίτητη, δεδομένου ότι η ασφάλεια θεωρείται υπηρεσία η οποία συμπεριλαμβάνεται στον πυρήνα των παρεχόμενων υπηρεσιών προς τους πελάτες μιας Τράπεζας και αποτελεί το βασικό στοιχείο δημιουργίας βαθιάς σχέσης εμπιστοσύνης του πελάτη με την Τράπεζα του. Μια άρτια σχεδιασμένη και τεκμηριωμένη στρατηγική ασφάλειας είναι το πρώτο βήμα για τη διασφάλιση της  ευθυγράμμισης των στόχων της ασφάλειας πληροφοριών με τους εξελισσόμενους επιχειρηματικούς στόχους του Οργανισμού.

Κατά την άποψη σας, ποια είναι τα σημαντικότερα συστατικά της επιτυχίας για ένα διευθυντικό στέλεχος του cyber security σήμερα; Τι θα πρέπει να προσέξει για να εξελίξει περαιτέρω την καριέρα του;
Με την εξέλιξη των κινδύνων από τις κυβερνοαπειλές και τον ψηφιακό μετασχηματισμό των Οργανισμών, ο ρόλος του CISO εξελίσσεται αναπόφευκτα και παράλληλα σε ρόλο ηγεσίας (Leadership Role). Ο CISO είναι αυτός ο οποίος έχει την τεχνογνωσία, την εμπειρία αλλά και την ευθύνη και την αρμοδιότητα να αξιολογεί τους κινδύνους του κυβερνοχώρου, να τους εξηγεί και να προτείνει κατάλληλες λύσεις για τον περιορισμό τους στην ανώτατη Διοίκηση του Οργανισμού.

Συνεπώς, για να είναι σε θέση να επιτελέσει το ρόλο του αποτελεσματικά, θα πρέπει να  αποτελεί στέλεχος της ανώτατης Διοίκησης (ως C-level executive). Παράγοντες της επιτυχίας, μεταξύ άλλων, είναι η δυνατότητα καλής επικοινωνίας με τα ανώτατα στελέχη της Διοίκησης και σφαιρικής αντίληψης των κινδύνων αλλά και των επιχειρηματικών προκλήσεων, ώστε να συμβάλει θετικά στη διαμόρφωση της βέλτιστης στρατηγικής του Οργανισμού. Απαραίτητη βεβαίως είναι η γνώση των εσωτερικών διαδικασιών και της κουλτούρας του Οργανισμού, και η ικανότητά του να προωθεί και να επιτυγχάνει την εφαρμογή των πολιτικών ασφάλειας.

Κλείνοντας, ποιες πιστεύετε ότι είναι οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cybersecurity σήμερα, ειδικά, δε, στο χώρο των επιχειρήσεων;
Σύμφωνα με τις τελευταίες μελέτες από κορυφαίες εταιρείες στην ασφάλεια πληροφοριών οι κυριότερες τάσεις που χαρακτηρίζουν το χώρο του cybersecurity είναι: Artificial Intelligence for Network Threat Identification, Email Monitoring, Antivirus Softwareα και User Behavior Modeling, Machine Learning Pattern Recognition for Cybersecurity, Blockchain for Cybersecurity, Biometrics for Cybersecurity, Cryptography, Multi-layered Security and Deep Defense, Security Incident and Event Management (SIEM), Real Time Internet Traffic Scanning and Zero Day Attack Ιdentification, και IT Risk Assessment.