Η έντονη διαφοροποίηση του πλαισίου λειτουργίας των επιχειρήσεων για περισσότερο από ένα έτος ήδη έχει θέσει νέα δεδομένα και απαιτήσεις. Σε κεντρικό θέμα έχει αναδειχθεί η Κυβερνοασφάλεια, η οποία ανέκαθεν αποτελούσε ένα από τα κύρια σημεία ενδιαφέροντος των επαγγελματιών στο IT και των επιχειρήσεων.

Για περισσότερο από ένα χρόνο οι καταστάσεις που έχουν να διαχειριστούν οι CISO είναι διαφορετικές από ό,τι στο παρελθόν. Αιτία δεν είναι άλλη από την COVID-19 και τις ιδιαίτερα αυξημένες απαιτήσεις για απομακρυσμένη πρόσβαση, που στην ουσία καταργούν την έννοια της περιμέτρου.

Η έντονη διαφοροποίηση του πλαισίου λειτουργίας των επιχειρήσεων για περισσότερο από ένα έτος ήδη έχει θέσει νέα δεδομένα και απαιτήσεις. Σε κεντρικό θέμα έχει αναδειχθεί η Κυβερνοασφάλεια, η οποία ανέκαθεν αποτελούσε ένα από τα κύρια σημεία ενδιαφέροντος των επαγγελματιών στο IT και των επιχειρήσεων. Μετά το πρώτο κύμα άμεσων αντιδράσεων άρχισε να διαφαίνεται η ανάγκη για σημαντικότερες μεταρρυθμίσεις, οι οποίες έχουν άμεση ή έμμεση σχέση με την επιτυχημένη Διαχείριση Κινδύνων και Κυβερνοασφάλειας. Τομείς που παίζουν καθοριστικό ρόλο στην επιτυχία των ανωτέρω είναι τομείς όπως η διακυβέρνηση των οργανισμών και η οργανωτική δομή καθενός από αυτούς, η εξεύρεση εργαζομένων με ταλέντο και γνώσεις για να συνεισφέρουν στη διαχείριση των αυξημένων απαιτήσεων, αλλά και αξιολόγηση των δεδομένων, όπως αυτά προκύπτουν, σε πραγματικό χρόνο. Είναι περισσότερο ξεκάθαρο από κάθε άλλη φορά ότι οι επικεφαλής στη διαχείριση κινδύνων και στην ασφάλεια είναι επιφορτισμένοι με νέους ρόλους οι οποίοι απαιτούν ευελιξία σε κάθε βαθμίδα λειτουργίας. Ανάμεσα στις νέες απαιτήσεις περίοπτη θέση έχει η παρακολούθηση των τάσεων, όπως αυτές διαμορφώνονται σε χρόνο πυκνό είναι προϋπόθεση για την επιτυχία.

Με ιδιαίτερα εύστοχο τρόπο συνοψίζει τα παραπάνω για το netweek ο Νικόλαος Γρηγοριάδης, Group Information Security Officer στην Archirodon NV, τονίζοντας ότι η πανδημία «ανάγκασε πολλούς οργανισμούς να αναθεωρήσουν λειτουργικά στερεότυπα χρόνων και να ξαναγράψουν την εργασιακή και λειτουργική τους κουλτούρα».
Οι επιπτώσεις από την κρίση COVID-19 σε πολλές χώρες, φέρνουν αντιμέτωπες τις επιχειρήσεις με έντονο disruption. Η πανδημία υποχρεώσε πολλές από αυτές να επιταχύνουν σημαντικά τις πρωτοβουλίες τους προς την κατεύθυνση της ψηφιοποίησης. Ανάμεσα σε αυτές τις πρωτοβουλίες ξεχωρίζουν, η εφαρμογή εργασίας από το σπίτι, η χρήση, τεχνητής νοημοσύνης (AI), ρομποτικής, Data & Analytics για την προσαρμογή των αλυσίδων εφοδιασμού και τις διαδικασίες κατασκευής, όπως επίσης ανάπτυξη νέων εφαρμογών για φορητές συσκευές για συναλλαγές και επικοινωνία με πελάτες.

Απαίτηση για διαφορετική διακυβέρνηση
Η κυβερνοασφάλεια μπορεί με σιγουριά να θεωρηθεί ως ο κύριος παράγοντας από τον οποίο αναδύονται κίνδυνοι. Η ασφάλεια στον κυβερνοχώρο ήταν ήδη ένα καίρια σημασίας ζήτημα για τους οργανισμούς, χωρίς πολλά περιθώρια για ολιγωρία στην πρόληψη, στην πρόβλεψη και στην αντίδραση. Όμως, η πανδημία COVID-19 έχει προκαλεί σημαντική αναστάτωση.
Οι ομάδες ασφαλείας αντιμετωπίζουν προκλήσεις κινούμενες προς τον στόχο να συμβαδίσουν με τις μεταβαλλόμενες απειλές, τους κινδύνους και την κανονιστική συμμόρφωση στις ποικίλες επιχειρηματικές δραστηριότητες και στα διαφορετικά «τοπία» πληροφορικής. Τα δεδομένα χρησιμοποιούνται σε περισσότερα μέρη, για περισσότερους επιχειρηματικούς σκοπούς και από περισσότερους συνεργάτες στο ψηφιακό επιχειρηματικό οικοσύστημα.

Οι επικεφαλής SRM πρέπει να κατανοήσουν τις κύριες τάσεις στην ασφάλεια για να παραμείνει έγκυρος ο σχεδιασμός τους και οι πρωτοβουλίες τους το 2021.
Για να επιτευχθούν τα παραπάνω, «η συζήτηση για την Κυβερνοασφάλεια θα πρέπει να ανέβει στο επίπεδο της Γενικής Διεύθυνσης και Διοικητικού Συμβουλίου», τονίζει ο Βασίλειος Βασιλείου, Chief Information Security & Data Protection Officer στην Groupama Ασφαλιστική. Αυτή είναι μια κρίσιμη παράμετρος, καθοριστική για την αποτελεσματικότητα, καθώς «με αυτό τον τρόπο θα καταστεί εφικτή η ευθυγράμμιση των ενεργειών για την Κυβερνοασφάλεια με τους επιχειρηματικούς στόχους και τις απαιτήσεις της εκάστοτε Διοίκησης, ποσοτικά και ποιοτικά».

Δεν θα μπορούσε κανείς να διαφωνήσει στο ελάχιστο με αυτή την πρόταση, καθώς η αναγνώριση της Κυβερνοασφάλειας ως κύριας πηγής κινδύνου για τις επιχειρήσεις είναι καθοριστική, τη στιγμή που οι δραστηριότητες με στόχο την «αύξηση της παραγόμενης αξίας» λαμβάνουν χώρα με έντονους ρυθμούς, σχεδόν επιτακτικά σε ορισμένες περιπτώσεις.
Το σημείο αυτό θα μπορούσε να αποδειχθεί η αχίλλειος πτέρνα μιας ολοκληρωμένης στρατηγικής για την κυβερνοασφάλεια. Όπως αναφέρει η Gartner σε σχετικό οδηγό της, οι περισσότεροι CISOs -περισσότεροι από τους μισούς- πιστεύουν ότι υπερκαλύπτουν τις προσδοκίες, ενώ είναι σε θέση να ασκούν αποτελεσματική ηγεσία. Όμως, τα θέματα κυβερνοασφάλειας πρέπει να γίνουν κατανοητά και από τις διοικήσεις και τα μέλη των διοικητικών συμβουλίων.

Όμως, οι αιτίες που προκαλούν την προσαρμογή και υιοθέτηση διαφορετικών πρακτικών από αυτές που έως σήμερα ακολουθούνταν είναι ακόμη περισσότερες. Η ίδια η φύση των ομάδων Κυβερνοασφάλειας απαιτεί πειθαρχία και μυστικότητα, καθώς επιβάλλεται να υπάρχουν τα στεγανά πληροφόρησης που, ως γνωστόν, τις χαρακτηρίζουν, Όμως, αυτό ακριβώς το χαρακτηριστικό από πλεονέκτημα μετατρέπεται σταδιακά και με γρήγορο ρυθμό σε ευπάθεια του ίδιου του συστήματος. Ο λόγος είναι η σύγκλιση ανάμεσα στο IT και στο OT. Οι εργασίες πληροφορικής ήταν για χρόνια σαφώς διαχωρισμένες από τις Operational, σήμερα όμως ο διαχωρισμός τους γίνεται ολοένα και περισσότερο δυσδιάκριτος. Αν σε αυτή την εξέλιξη προσθέσουμε την αύξηση του αριθμού των Συστημάτων Cyber-Physical (CPS) και IoT, τα οποία διασυνδέουν τον φυσικό με τον ψηφιακό κόσμο, γίνεται κατανοητό ότι οι εώς τώρα αποτελεσματικές πρακτικές θα πάψουν να χαρακτηρίζονται ως τέτοιες – αν αυτό δεν έχει συμβεί ήδη.

Κρίσιμες υποδομές
H προ μηνός Κυβερνοεπίθεση στο εργοστάσιο επεξεργασίας νερού στη Φλόριντα, δύο ημέρες πριν το Super Bowl, είναι ίσως το καλύτερο παράδειγμα που μπορούμε να παραθέσουμε σχετικά με όσα αναφέραμε στην προηγούμενη παράγραφο. Ο επιτιθέμενος επιχείρησε -και κατάφερε εν μέρη- να εκατονταπλασιάσει τα επίπεδα υπεροξειδίου του νατρίου στο νερό. Αν είχε καταφέρει να ολοκληρώσει την επίθεσή του, αυξάνοντας στο δίκτυο ύδρευσης το υπεροξείδιο του νατρίου σε τόσο απίστευτα επικίνδυνο για τη δημόσια υγεία επίπεδο, θα κάναμε λόγο για τραγωδία. Τέτοιες εγκαταστάσεις αποτελούν μάλλον εύκολο στόχο για τους χάκερ, ακριβώς γιατί οι κίνδυνοι που διατρέχουν, σε πολλές περιπτώσεις, δεν εκτιμώνται σωστά από τις ίδιες τις διοικήσεις τους, τις τοπικές αρχές και την κεντρική κρατική διοίκηση. Για την ιστορία, η επίθεση στο εργοστάσιο νερού στη Φλόριντα απέτυχε χάρη σε έναν ευσυνείδητο υπάλληλο που παρατήρησε την αλλαγή και τη σταμάτησε έγκαιρα. Η επιφάνεια επίθεσης που είχαν στη διάθεσή τους οι χάκερ για να εισβάλουν στην εν λόγω υποδομή, μέσω απομακρυσμένης πρόσβασης, ήταν τεράστια. Μια αναδρομή στις λεπτομέρειες που έχουν δημοσιοποιηθεί σχετικά με την επίθεση, δικαιολογημένα προκαλεί μεγάλη ανησυχία.

Ενώ αυτά συμβαίνουν στην Αμερική, εδώ στην Ελλάδα έχουμε λόγους να νιώθουμε περισσότερο ασφαλείς. Αυτή είναι η αίσθηση που μας προκαλεί η δήλωση της Χριστίνας Μπούρα, Υπεύθυνης Ασφάλειας Πληροφοριών και Δικτύων ΔΕΗ ΑΕ, έτσι όπως την παραθέτει για τους αναγνώστες του netweek. «Η Κυβερνοασφάλεια ως αιχμή του δόρατος της τεχνολογικής αυτής έκρηξης μετεξελίσσεται και αλλάζει οπτική γωνία εφαρμόζοντας τεχνικές τεχνητής νοημοσύνης και συμπεριφορικής ανάλυσης. Η ολοένα και μεγαλύτερη ανάγκη για τηλεργασία και χρήση των υπηρεσιών Νεφοϋπολογιστικής, καταργεί την έννοια της περιμέτρου», τονίζει η κυρία Μπούρα.
Είναι κάτι περισσότερο από φανερό ότι αν είχαν την ίδια οπτική οι υπεύθυνοι του εργοστασίου νερού στη Φλόριντα δεν θα επέτρεπαν απομακρυσμένη διαχείριση των υποδομών, μέσω μη ασφαλούς σύνδεσης με πρόγραμμα screen sharing και θα αντιλαμβάνονταν την επίθεση νωρίτερα, εκτιμούμε.

Απομακρυσμένη εργασία
Καθώς οι οργανισμοί μετέβησαν υποχρεωτικά σε λειτουργικά μοντέλα απομακρυσμένης εργασίας, οι επικεφαλής αντέδρασαν, ως όφειλαν, με τα καλύτερα όπλα που είχαν στη διάθεσή τους εκείνη τη στιγμή. Η μετάβαση στην εξ αποστάσεως εργασία, απέδειξε ότι ορισμένες, αν όχι όλες, από τις δυνατότητες ασφαλείας μπορούν να παραδοθούν από απόσταση. Όμως, οι συνθήκες δεν είναι ίδιες. Αυτό σημαίνει ότι τα δεδομένα χρησιμοποιούνται σε περισσότερα μέρη, για περισσότερους επιχειρηματικούς σκοπούς και από περισσότερους συνεργάτες στο ψηφιακό επιχειρηματικό οικοσύστημα. Εφαρμογές και API επεκτείνονται για να κάνουν εφικτή ή να διευκολύνουν την πρόσβαση σε επιχειρηματικές λειτουργίες. Η χρήση του Cloud καθιστά κρίσιμες εφαρμογές, όπως είναι, για παράδειγμα, το e-mail και η κοινή χρήση περιεχομένου, προσβάσιμες σε ένα ευρύ φάσμα εισβολέων.

Η απομακρυσμένη εργασία και οι επιταχυνόμενες ψηφιακές επιχειρηματικές πρωτοβουλίες δημιουργούν πρόσθετο κίνδυνο. Στο τοπίο αυτό, η οικονομική κάμψη που συνοδεύει την πανδημία, προκαλεί τους οργανισμούς να αναζητήσουν πιο οικονομικές λύσεις για την ασφάλεια. Έρευνα της Gartner δείχνει ότι το 74% των οργανισμών που ρωτήθηκαν αναμένεται εφαρμόσουν μόνιμα περισσότερη απομακρυσμένη εργασία μετά την COVID-19.
«Ζούμε σε μια εποχή που για να διασφαλίσουμε την περίμετρο κάθε εταιρείας πρέπει να επεκτείνουμε τις ενέργειες μας στο “εκτεταμένο δίκτυό” της που περιέχει πλέον και τις οικίες των εργαζομένων της», τονίζει ο Νικόλαος Χαραλαμπίδης, Group ICT Security Officer / Administrator στην Kleemann. Αυτή η δράση έχει και παράπλευρα οφέλη, στα οποία δεν παραλείπει να αναφερθεί ο κύριος Χαραλαμπίδης. «Με αυτή την πρακτική, επωφελούνται όλοι από αυτά τα μέτρα, ακόμα και άνθρωποι που θεωρούν ότι δεν κινδυνεύουν από κάποιο δικτυακό εισβολέα στην οικία τους». Πράγματι, το enterprise level security στις κατοικίες είναι κάτι νέο και χρήσιμο, θα προσθέσουμε εμείς, με δεδομένο ότι -τουλάχιστον- οι IoT οικιακές συσκευές αποτελούν, επί του παρόντος, όχι μόνο δέλεαρ για τους εισβολείς, αλλά και ιδιαίτερα εύκολη λεία.

Προβλέψεις και προτάσεις
Η Gartner προβλέπει ταχεία εξέλιξη και αύξηση των κυβερνοεπιθέσεων που στοχεύουν στο σημαντικά μεγαλύτερο πλέον ψηφιακό αποτύπωμα των οργανισμών, σήμερα. Η πανδημία ενίσχυσε την ανάγκη για προγράμματα ασφάλειας στον κυβερνοχώρο, τα οποία να είναι αρκετά ευέλικτα έτσι να μπορούν να ανταπεξέλθουν σε μικρά και μεγάλα σοκ. Οι ηγέτες στην ασφάλεια των οργανισμών, παράλληλα με την ενεργή προσαρμογή των δράσεων στις διάφορες φάσεις της πανδημίας, οφείλουν να επανασχεδιάσουν τις δικές τους συμπεριφορές, νοοτροπίες, αλληλεπιδράσεις και πρακτικές για την επίτευξη της ευελιξίας. Θα πρέπει να δημιουργήσουν πλάνα για την ανταλλαγή μηνυμάτων και για την επικοινωνία βασισμένα στα στοιχεία του οργανισμού με στόχο τη δημιουργία αξίας και τη διαχείριση κόστους. Παράλληλα, θα πρέπει να εγκαθιδρύσουν σχέσεις με σημαντικούς συνεργάτες και παράγοντες στην αγορά, οι οποίοι θα συμβάλλουν στην ανάδειξη τους ως ένα συνεργάτη που μπορούν να εμπιστευτούν και ο οποίος μπορεί να παράξει αξία. Σημαντικό είναι να γίνει μια αναλυτική επιθεώρηση σχετικά με την κυβερνοασφάλεια και τη διακυβέρνησή της, έτσι ώστε να επισημανθούν τυχόν κενά, αλληλεπικαλύψεις ή και ευκαιρίες για την καλύτερη ευθυγράμμιση μεταξύ IT, OT, αλυσίδας εφοδιασμού και CPS για τον τελικό πελάτη. Είναι καίριας σημασίας να γίνει κατανοητό ότι αν οι αλλαγές γίνουν αποκλειστικά σε επίπεδο IT, χωρίς την επιδίωξη και επίτευξη εμπλοκής του συνόλου του οργανισμού, η προσέγγιση δεν θα είναι επιτυχημένη.

Ο ανθρώπινος παράγοντας είναι όχι απλά σημαντικό, αλλά απαραίτητο συστατικό για την όποια αλλαγή που αποσκοπεί στην καλύτερη ασφάλεια κάθε οργανισμού. Όπως χαρακτηριστικά αναφέρει στο άρθρο της η κυρία Μπούρα, το οποίο μπορείτε να διαβάσετε στις επόμενες σελίδες, «μέσα από μία ισχυρή κουλτούρα Κυβερνοασφάλειας ο ίδιος ο εργαζόμενος γίνεται ανάχωμα ασφάλειας, «human firewall», και θέτει τον εαυτό του ως τον ακρογωνιαίο λίθο μίας Εταιρικής ψηφιακής διαφύλαξης».
Σε αυτές τις συνθήκες, η Gartner αναμένει ότι η ζήτηση για επαγγελματίες με ταλέντο στον τομέα της ασφάλειας θα συνεχίσει να αυξάνεται και η υψηλή δυναμική για μόνιμη
απομακρυσμένη εργασία θα παραμείνει. Σε απάντηση, οι ηγέτες Security & Risk Management θα πρέπει να εξετάσουν το ενδεχόμενο προσαρμογής των μοντέλων που αφορούν τις λειτουργίες ασφάλειας, αλλά και να χρησιμοποιήσουν έντονα το marketing για να προσελκύσουν υποψήφιους εργαζόμενους εκτός της γεωγραφικής περιοχής που είναι εγκατεστημένος ο οργανισμός τον οποίο υπηρετούν.

Χριστίνα Μπούρα, Υπεύθυνη Ασφάλειας Πληροφοριών και Δικτύων, ΔΕΗ ΑΕ

Η ψηφιακή εξέλιξη των επιχειρήσεων μέσα από μοντέλα ψηφιοποίησης διαδικασιών και ψηφιακού μετασχηματισμού και η ολοένα αυξανόμενη χρήση νέων τεχνολογιών και καινοτόμων ψηφιακών λύσεων σε όλους τους τομείς, μέσα από το πρίσμα του ψηφιακού εκμοντερνισμού είναι μία πραγματικότητα της εποχής που διανύουμε.
Ο ψηφιακός κόσμος είναι ζωτικό σημείο για κάθε επιχείρηση και δίνει ανταγωνιστικό πλεονέκτημα τόσο για τις εσωτερικές όσο και για τις εξωτερικές δραστηριότητές της. Αφενός ο ψηφιακός μετασχηματισμός των εταιρειών και η ιλιγγιώδης ανάπτυξη του τεχνολογικού τομέα και αφετέρου η πανδημία θέτουν ως απαραίτητη συνιστώσα την επαφή με τον κυβερνοχώρο, την Νεφοϋπολογιστική, τις έξυπνες διασυνδεδεμένες μηχανές σε ένα Διαδίκτυο των πάντων και της συμπεριφοράς (ΙοΤ/ΙοΒ) και έχουν αλλάξει άρδην τον τρόπο λειτουργίας των επιχειρήσεων. Η Κυβερνοασφάλεια ως αιχμή του δόρατος της τεχνολογικής αυτής έκρηξης μετεξελίσσεται και αλλάζει οπτική γωνία εφαρμόζοντας τεχνικές Τεχνητής Νοημοσύνης και Συμπεριφορικής Ανάλυσης.

Η ολοένα και μεγαλύτερη ανάγκη για τηλεργασία και χρήση των υπηρεσιών Νεφοϋπολογιστικής, καταργεί την έννοια της περιμέτρου. Καθημερινά ανακαλύπτουμε το πόσο είναι εξαρτημένος και άρρηκτα συνδεδεμένος με την τεχνολογία ο άνθρωπος. Ολοένα και μεγαλύτερο πλήθος εργαζομένων εκτελεί τα καθήκοντά του με τηλεργασία καθιστώντας την τεχνολογία αναπόσπαστο μέρος της σύγχρονης ζωής. Η έννοια των εργασιακών ψηφιακών μεταναστών είναι πραγματικότητα. Η ασφάλεια στο Cloud αφορά στρατηγική πρώτης επιλογής. Παραδοσιακά μέτρα ασφαλείας ενδυναμώνονται με τη χρήση αντίμετρων νέας εποχής «Cyber Security Mesh» με βασικό πυλώνα την ανοικτή περίμετρο «open perimeter», την μηδενική εμπιστοσύνη «zero trust» την συμπεριφορική ανάλυση και την τεχνητή νοημοσύνη.

Το Κανονιστικό πλαίσιο για την Κυβερνοασφάλεια δίνει το έναυσμα για την ενδυνάμωση κάθε Εταιρικής Ψηφιακής Στρατηγικής, η οποία για τις Κρίσιμες Υποδομές γίνεται Εθνική Υπόθεση. Παρόλο που η τεχνολογία έχει πρωταγωνιστικό ρόλο στην Ψηφιακή Επανάσταση που διανύουμε, ο άνθρωπος είναι το κλειδί για το καθορισμό της επιτυχίας της. Εν δυνάμει θα μπορούσε, κάτω από ιδιαίτερες συνθήκες, να είναι η αχίλλειος πτέρνα ενός ψηφιακού κόσμου. Είναι γνωστό στον κόσμο της Κυβερνοάμυνας ότι μέσα από μία ισχυρή κουλτούρα Κυβερνοασφάλειας, ο ίδιος ο εργαζόμενος γίνεται ανάχωμα ασφαλείας «human firewall» και θέτει τον εαυτό του ως τον ακρογωνιαίο λίθο μίας εταιρικής ψηφιακής διαφύλαξης. Κυβερνοάμυνα δεν υλοποιείται μόνο με υπερσύγχρονες τεχνολογικές επενδύσεις αλλά και με σωστά εκπαιδευμένους εργαζόμενους. Δεν αρκούν μόνο οι επενδύσεις των επιχειρήσεων σε υπερσύγχρονες τεχνολογικές λύσεις Κυβερνοασφάλειας, αλλά χρειάζεται και η ανάπτυξη της κουλτούρας Κυβερνοασφάλειας των εργαζομένων έτσι ώστε να αφορούν έναν ισχυρό κρίκο και όχι έναν αδύναμο κρίκο για την επιχείρηση.’

Βασίλειος Βασιλείου,Chief Information Security & Data Protection Officer, Groupama Ασφαλιστική

Ο κίνδυνος αποτυχίας της Κυβερνοασφάλειας αποτελεί σήμερα έναν από τους δέκα (10) πιο σημαντικούς, άμεσους, κινδύνους για τις επιχειρήσεις παγκοσμίως. Σε αυτό συμβάλλουν αφενός μεν ο ραγδαίος ψηφιακός μετασχηματισμός υπηρεσιών και διεργασιών, και αφετέρου οι προκλήσεις που εισάγει το νέο μοντέλο εργασίας εξ αποστάσεως (και από οπουδήποτε). Παράλληλα, οι παραβιάσεις δεδομένων, οι καταστροφικές επιθέσεις σε πληροφοριακές υποδομές και οι συγκεντρωτικές οικονομικές επιπτώσεις, ως απόρροια Κυβερνοεπιθέσεων, συνεχίζουν να καταγράφουν πολύ υψηλά νούμερα. Λαμβάνοντας υπόψη τα παραπάνω και εστιάζοντας στην καρδιά της ψηφιακής οικονομίας, δηλαδή στην ψηφιακή εμπιστοσύνη, η στρατηγική μιας επιχείρησης θα πρέπει να σχεδιάζεται με γνώμονα τη διασφάλιση της αξιοπιστίας, της ιδιωτικότητας, της ασφάλειας, και της ηθικής χρήσης των δεδομένων. Φυσικά, όλα αυτά προϋποθέτουν στοχευμένες επενδύσεις για την ανάπτυξη ή/και απόκτηση των κατάλληλων οργανωτικών και τεχνολογικών δυνατοτήτων και δεξιοτήτων. Την ίδια στιγμή, διανύουμε μία ιδιαίτερα κρίσιμη περίοδο, δυναμική, ρευστή, εν μέσω πρωτοφανών εξελίξεων σε πολιτικό, νομικό, κανονιστικό, οικονομικό, κοινωνικό και τεχνολογικό επίπεδο. Για τις περισσότερες επιχειρήσεις, η μείωση και ο εξορθολογισμός των λειτουργικών εξόδων αποτελούν επιτακτική ανάγκη.

Χρειαζόμαστε μια αλλαγή προσέγγισης. Η Κυβερνοασφάλεια δε θα πρέπει να αντιμετωπίζεται ως άλλο ένα κέντρο κόστους αλλά ως καταλύτης για την επίτευξη των επιχειρηματικών στόχων μιας επιχείρησης, καθώς και ως παράγοντας-κλειδί για τη δημιουργία ανταγωνιστικού πλεονεκτήματος. Προς αυτή την κατεύθυνση, η συζήτηση για την Κυβερνοασφάλεια θα πρέπει να ανέβει στο επίπεδο της Γενικής Διεύθυνσης και Διοικητικού Συμβουλίου. Με αυτό τον τρόπο θα καταστεί εφικτή η ευθυγράμμιση των ενεργειών για την Κυβερνοασφάλεια με τους επιχειρηματικούς στόχους και τις απαιτήσεις της εκάστοτε Διοίκησης, ποσοτικά και ποιοτικά. Απαραίτητη προϋπόθεση αποτελεί η εισαγωγή κατάλληλων μεθοδολογιών και εργαλείων, βασισμένων σε αναγνωρισμένα πρότυπα και βέλτιστες πρακτικές, τα οποία θα διέπουν και θα διευκολύνουν τη διαδικασία λήψης αποφάσεων. Ενδεικτικά, μια μεθοδολογία εκτίμησης κινδύνου, ένα σύστημα διαχείρισης των κινδύνων που σχετίζονται με την Κυβερνοασφάλεια, μια φόρμουλα υπολογισμού της απόδοσης των επενδύσεων στην Κυβερνοασφάλεια, όπως επίσης και μια δομημένη μέθοδος για την εκτίμηση του επιπέδου ωριμότητας της Κυβερνοασφάλειας. Όλα αυτά θα πρέπει να αποτελούν τη βάση για μια ουσιαστική συζήτηση, στην κατάλληλη «γλώσσα», με τη Διοίκηση. Οι μορφές, η πολυπλοκότητα και η αποτελεσματικότητα των κυβερνοεπιθέσεων θα συνεχίσουν να αυξάνονται. Μέσω ενός πλαισίου συνεχούς αξιολόγησης, αναθεώρησης και βελτίωσης, θα πρέπει και η αποτελεσματικότητα και η ωριμότητα των μηχανισμών ασφαλείας να ακολουθήσει, κυρίως όσον αφορά στην ελαχιστοποίηση του χρόνου αντίδρασης και αντιμετώπισης επιθέσεων. Για τον Επικεφαλής Ασφάλειας Πληροφοριών η διατήρηση αυτής της ισορροπίας θα συνεχίσει να αποτελεί μια διαρκή μάχη στο πλαίσιο ενός άνισου πολέμου.

Νικόλαος Γρηγοριάδης, Group Information Security Officer, Archirodon NV
Το οικοσύστημα της ασφάλειας πληροφοριών αποτελεί ένα ζωντανό οργανισμό στον οποίο επιτελούνται καθημερινά πληθώρα ενεργειών είτε προς την προστασία των δεδομένων και υποδομών είτε προς την εκμετάλλευση τους. Η πανδημία ήρθε να μας σπρώξει απότομα ίσως και βίαια σε μια μεταβολή προς τον ψηφιακό μετασχηματισμό αναγκάζοντας πολλούς οργανισμούς να αναθεωρήσουν λειτουργικά στερεότυπα χρόνων και να ξαναγράψουν την εργασιακή και λειτουργική τους κουλτούρα. Οι εταιρείες υιοθέτησαν ευέλικτα μοντέλα οργάνωσης και διοίκησης επιτρέποντας στους εργαζόμενους να μπορούν να παράγουν απομακρυσμένα αναδιοργανώνοντας τις υποδομές τους προς το σκοπό αυτό. Ο ρόλος του Information Security Officer αναδείχθηκε αυτό το διάστημα ως καίριος μιας και πλέον καλείται να χρησιμοποιήσει τεχνολογίες, οι οποίες θα πρέπει να προστατεύουν τις υποδομές από απειλές. Οι τελευταίες προέρχονται από μια πληθώρα διασκορπισμένων σημείων π.χ. απομακρυσμένη εργασία & συννεφοϋπολογιστική (cloud computing), καθώς και να εφαρμόσει έξυπνα μοντέλα παρακολούθησης τους συνδυάζοντας πολλές πηγές πληροφοριών και καταλήγοντας σε, κατά το δυνατόν, ασφαλέστερα αλλά και ακριβέστερα συμπεράσματα σε σύντομο χρόνο.

Η εφαρμογή ενός αποτελεσματικού μοντέλου διαχείρισης των κινδύνων αποτελεί επίσης μια από τις προκλήσεις που καλείται ο ρόλος αυτός να αντιμετωπίσει μιας και απαιτείται άμεση αναγνώριση τους και αποτελεσματική προτεραιοποίηση τους, ώστε να αντιμετωπιστούν επαρκώς και σε εύλογο χρόνο.
Με τον ψηφιακό μετασχηματισμό να επιταχύνει τον ανταγωνισμό στην αγορά, οι Information Security Officers καλούνται να πραγματοποιήσουν ισχυρές επενδύσεις σε εργαλεία δυναμικής ανάλυσης, ενώ αυτοματοποιούν προηγουμένως μη αυτόματες εργασίες και επενδύουν περαιτέρω σε τεχνητή νοημοσύνη και ανάλυση δεδομένων. Επίσης, μετατοπίζονται προς το DevSecOps, καθώς δεν αναζητούν μόνο ασφαλείς εφαρμογές, αλλά πρέπει να ενσωματώνουν την ασφάλεια από την αρχή σε ό,τι δημιουργείται.

Ακόμα οι εσωτερικές απειλές μπορεί να περάσουν «κάτω από το ραντάρ» μιας και με εξουσιοδοτημένη πρόσβαση στο δίκτυο, τις πληροφορίες και τα περιουσιακά στοιχεία της εταιρείας, κακόβουλοι εσωτερικοί χρήστες μπορεί να αποτελούν τόσο μεγάλη απειλή όσο και οι εξωτερικοί εισβολείς. Εσωτερικοί χρήστες με υπάρχοντες λογαριασμούς και δικαιώματα έχουν πρόσβαση σε κρίσιμα δεδομένα, ενώ τους επιτρέπεται ορισμένες φορές να παρακάμπτουν τους ελέγχους ασφαλείας. Ωστόσο, δεν είναι σκόπιμες όλες οι εσωτερικές απειλές – λάθη όπως η αποτυχία εφαρμογής επαρκών ελέγχων ή η χρήση παλαιών τεχνολογιών μονής αυθεντικοποίησης (SFA) μπορούν εξίσου εύκολα να αφήσουν τον οργανισμό ευάλωτο σε επιτυχείς κυβερνοεπιθέσεις.
Όπως γίνεται αντιληπτό ο ρόλος του Information Security Officer είναι πολυεπίπεδος μιας και καλείται να αναγνωρίζει και να αντιμετωπιζει όλους τους παραπάνω κινδύνους διατηρώντας την εύθραυστη ισορροπία μεταξύ λειτουργικότητας και ασφάλειας, σε μια ατέρμονη πάλη μεταξύ διευκόλυνσης της εργασίας και συνάμα προστασίας της.