«Τα τελευταία χρόνια επενδύουμε πολύ στο cyber security, δίνουμε μεγάλη σημασία σε αυτό και παρακολουθούμε όλες τις εξελίξεις» Ο Στράτος Ηλίας, CISO και IT Manager του Δήμου Μεταμόρφωσης, του πρώτου Δήμου στην Ελλάδα που πήρε την πιστοποίηση ISO 27001:2013, ξεδιπλώνει τη cyber security στρατηγική του, συνεχίζοντας τις καθημερινές συνεντεύξεις του NetFAX με CISOs και σημαντικά στελέχη της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Πόσο πολύπλοκος και απαιτητικός είναι ο ρόλος ενός CISO σήμερα;
Ο ρόλος του CISO είναι εξαιρετικά πολύπλοκος κι απαιτητικός. Το γνωστικό πεδίο στο οποίο απαιτείται να υπάρχει εξειδίκευση είναι ευρύ και δυναμικό. Οι κυριότερες προκλήσεις που καλείται να διαχειριστεί είναι οι συνεχείς αλλαγές στην τεχνολογία συστημάτων, δικτύων κι επικοινωνιών κι η ενημέρωση σχετικά με αδυναμίες τους. Σε κάθε περίπτωση, προτεραιότητα του CISO είναι η προστασία της πληροφορίας που διαχειρίζεται ο Οργανισμός, η ευαισθητοποίηση του Οργανισμού και η ενημέρωση του προσωπικού σε θέματα ασφάλειας.

Ο Δήμος Mεταμόρφωσης αποτελεί τον πρώτο Δήμο στην Ελλάδα με πιστοποιημένο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ( ISO 27001:2013 ).
O Δήμος μας έλαβε το πιστοποιητικό το καλοκαίρι από την DQS Hellas. Η πιστοποίηση αυτή αποδεικνύει ότι έχουν ληφθεί τα κατάλληλα μέτρα που εξασφαλίζουν την ακεραιότητα, διαθεσιμότητα κι εμπιστευτικότητα της πληροφορίας ενισχύοντας τη φήμη του Οργανισμού, ενώ διασφαλίζει ότι υπάρχει δέσμευση ως προς την ασφάλεια πληροφοριών όχι μόνο από τη Διοίκηση αλλά και από το σύνολο του προσωπικού.

Παράλληλα, παρέχει ευκαιρίες συνεχούς βελτίωσης της αποτελεσματικότητας των ελέγχων ασφάλειας μέσω των ετήσιων επιθεωρήσεων, περιορίζει την πιθανότητα εμφάνισης κυβερνοεπιθέσεων και αυξάνει σημαντικά το επίπεδο ευαισθητοποίησης του προσωπικού σε θέματα ασφάλειας πληροφοριών, δημιουργώντας τη βάση για τη σωστή διαχείριση των κρίσιμων assets του Οργανισμού, αποδεικνύοντας στα ενδιαφερόμενα μέρη ότι ακολουθείται συστηματική προσέγγιση βάσει κινδύνου στη διαχείρισή τους.

Για να πιστοποιηθεί ο Δήμος ως προς ISO 27001:2013 έγιναν οι εξής ενέργειες: Δημιουργήθηκε ομάδα εργασίας κι ορίστηκε υπεύθυνος διαχειριστικού συστήματος ασφάλειας, ορίστηκε το πεδίο εφαρμογής του συστήματος και τα ενδιαφερόμενα μέρη, δημιουργήθηκε κατάλογος περιουσιακών στοιχείων κι αξιολογήθηκαν οι κίνδυνοι, αναπτύχθηκαν διαδικασίες και πολιτικές ασφάλειας και, τέλος, διενεργήθηκε εσωτερική επιθεώρηση κι ανασκόπηση από την Διοίκηση, όπως και επιθεώρηση του συστήματος από εξωτερικό φορέα πιστοποίησης.
 
Εκτός από την πιστοποίηση που αποκτήσατε τι άλλες επενδύσεις έχει κάνει (ή σκοπεύει να κάνει) ο Δήμος στo cyber security;
Ο Δήμος τα τελευταία χρόνια έχει δώσει και δίνει μεγάλη σημασία στο cyber security, επενδύοντας σε αυτό. Παρακολουθεί τις εξελίξεις στο χώρο του cyber security και προσπαθεί να εφαρμόζει τις καλύτερες πρακτικές από τον διεθνή χώρο. Αυτή η προσπάθεια αποτυπώνεται στη συνεχή «επένδυση», κυρίως με ιδίους πόρους, σε επιμορφώσεις του ανθρώπινου δυναμικού, αλλά και στον εκσυγχρονισμό των υποδομών Πληροφορικής, με στόχο τη θωράκισή του έναντι σε οποιαδήποτε απειλή.

Αποτέλεσμα όλης αυτής της «επένδυσης» είναι ότι ο μέσος όρος «ηλικίας» του εξοπλισμού μας (υπολογιστές, routers, switches, firewalls) και των λογισμικών μας να είναι σε αρκετές περιπτώσεις ακόμα και κάτω των τριών ετών. Και όλα αυτά με ένα ανθρώπινο δυναμικό το οποίο έχει εκπαιδευτεί ώστε να αποκτήσει τέτοιες δεξιότητες που του επιτρέπουν να μετριάζει και να ανταποκρίνεται αποτελεσματικά στις κυβερνοεπιθέσεις. Η πιστοποίηση του ISO27001:2013, ήταν η επιβεβαίωση και επιβράβευση όλου του έργου.

Πόσο σημαντικό είναι τελικά το cyber security για έναν οργανισμό τοπικής αυτοδιοίκησης;
To cyber security είναι πολύ σημαντικό για κάθε Δήμο, καθώς το Internet ως απόλυτο μέσο διασύνδεσης, επικοινωνίας κι ενημέρωσης χρησιμοποιείται ευρέως. Όλα τα συνδεδεμένα δίκτυα με το Internet θα πρέπει, πρωτίστως, να έχουν λάβει κατάλληλα μέτρα προστασίας διότι ο κίνδυνος κακόβουλης ενέργειας ή συμβάντος ασφάλειας είναι υψηλός.

Σε μια τέτοια περίπτωση υπάρχει σοβαρό ενδεχόμενο εκτεταμένης ζημιάς στο εσωτερικό δίκτυο, πράγμα που μπορεί να οδηγήσει σε σημαντικές απώλειες είτε στα δεδομένα είτε στις υπηρεσίες που παρέχει ένας οργανισμός τοπικής αυτοδιοίκησης. Η ευαισθητοποίηση, αλλά και η εφαρμογή κατάλληλων μέτρων που θα ενισχύσουν την ασφάλεια έναντι κυβερνοεπιθέσεων, θα πρέπει να αποτελούν θέματα ύψιστης προτεραιότητας για κάθε Δήμο σήμερα.