Ο σύγχρονος CISO, ως στρατηγικός σύμβουλος της διοίκησης, καλείται να γεφυρώσει την τεχνολογία με τις επιχειρησιακές προτεραιότητες και, κυρίως, να αναδείξει τους πραγματικούς κινδύνους που συχνά παραμένουν «ο ελέφαντας στο δωμάτιο».

 

Γράφει η Αλέξια Χριστοφή
CEO, Cysoft
www.cysoft.gr

 

 

Πρόσφατα, στο πλαίσιο μιας επαγγελματικής παρουσίας γύρω από την κυβερνοασφάλεια και τη διαχείριση της πληροφορικής, ετοίμασα ένα μικρό έντυπο με έναν ελέφαντα στο εξώφυλλο. Η επιλογή δεν ήταν τυχαία. Αρχικά, ο ελέφαντας συμβόλιζε για μένα δύναμη, μνήμη, σταθερότητα και ανθεκτικότητα. Είναι ένα ζώο που δεν χρειάζεται να κάνει θόρυβο για να επιβληθεί. Η παρουσία του από μόνη της δηλώνει βαρύτητα, διάρκεια και ήρεμη ισχύ.

Η Κυβερνοασφάλεια Απαιτεί Ειλικρίνεια και Στρατηγική

Στην πορεία, όμως, σκέφτηκα και μια δεύτερη διάσταση: τη γνωστή έκφραση «the elephant in the room». Δηλαδή το μεγάλο, προφανές, άβολο ζήτημα που όλοι γνωρίζουν ότι υπάρχει, αλλά λίγοι τολμούν να το πουν καθαρά. Τελικά, οι δύο έννοιες συνδέονται απόλυτα με τον σύγχρονο ρόλο του CISO. Γιατί η κυβερνοασφάλεια χρειάζεται και ανθεκτικότητα και θάρρος να μιλήσουμε για τα δύσκολα.

Σήμερα, ο «ελέφαντας στο δωμάτιο» υπάρχει σχεδόν σε κάθε οργανισμό. Μπορεί να είναι η ψευδαίσθηση ότι «σε εμάς δεν θα συμβεί». Μπορεί να είναι η πεποίθηση ότι επειδή αγοράστηκαν εργαλεία, ο οργανισμός είναι αυτομάτως ασφαλής. Μπορεί να είναι η έλλειψη πραγματικής εικόνας για το τι συμβαίνει στα συστήματα. Μπορεί να είναι η απόσταση ανάμεσα στη διοίκηση, το IT, την ασφάλεια και τα επιχειρησιακά τμήματα. Μπορεί, επίσης, να είναι η γνώση ότι υπάρχουν αδυναμίες, αλλά κανείς δεν θέλει να τις φέρει στο τραπέζι.

Εδώ αρχίζει ο σύγχρονος ρόλος του CISO. Για πολλά χρόνια, ο υπεύθυνος ασφάλειας πληροφοριών αντιμετωπιζόταν κυρίως ως τεχνικός ρόλος. Ήταν ο άνθρωπος που θα πρότεινε firewalls, antivirus, SIEM, MFA, endpoint protection και πολιτικές πρόσβασης. Όλα αυτά εξακολουθούν να είναι απαραίτητα. Όμως σήμερα δεν αρκούν. Ο CISO δεν μπορεί να περιορίζεται στον ρόλο του τεχνικού φύλακα. Πρέπει να μεταφράζει την τεχνική πολυπλοκότητα σε επιχειρηματική πραγματικότητα. 

Από την Τεχνολογία στην Επιχειρησιακή Ανθεκτικότητα

Η κυβερνοασφάλεια δεν είναι πλέον απλώς θέμα συστημάτων. Είναι θέμα λειτουργικής συνέχειας, φήμης, συμμόρφωσης, εμπιστοσύνης πελατών και επιχειρησιακής ανθεκτικότητας. Μια κυβερνοεπίθεση δεν σταματά μόνο έναν server. Μπορεί να σταματήσει παραδόσεις, πληρωμές, εξυπηρέτηση πελατών, παραγωγικές διαδικασίες και κρίσιμες υπηρεσίες. Μπορεί να δημιουργήσει νομικές υποχρεώσεις, οικονομική ζημιά και απώλεια εμπιστοσύνης που χτίστηκε με κόπο επί χρόνια.

Γι’ αυτό ο CISO πρέπει να έχει θέση στη συζήτηση της διοίκησης. Όχι για να φοβίζει, αλλά για να εξηγεί. Όχι για να παρουσιάζει μόνο τεχνολογίες, αλλά για να παρουσιάζει κινδύνους, επιλογές και συνέπειες. Πρέπει να μπορεί να πει: αυτός είναι ο κίνδυνος, αυτή είναι η πιθανότητα, αυτή είναι η επίπτωση και αυτές είναι οι επιλογές που έχουμε. Κυρίως, πρέπει να εξηγεί ποιο είναι το κόστος της αδράνειας.

Ένας από τους μεγαλύτερους «ελέφαντες» στην αγορά είναι η σύγχυση ανάμεσα στην αγορά προϊόντων και στην ανάπτυξη πραγματικής ικανότητας. Ένας οργανισμός μπορεί να διαθέτει πολλά εργαλεία και παρ’ όλα αυτά να μην έχει ώριμη ασφάλεια ή ώριμη λειτουργική εικόνα. Αν δεν υπάρχουν σωστές διαδικασίες, παραμετροποίηση, παρακολούθηση, εκπαίδευση, σαφείς ρόλοι και σχέδιο αντίδρασης, η τεχνολογία από μόνη της δεν προστατεύει. Τα εργαλεία είναι σημαντικά, αλλά δεν αντικαθιστούν τη στρατηγική, την ευθύνη και την κουλτούρα.

Εξίσου σημαντικό είναι ότι ο CISO δεν μπορεί να λειτουργήσει αποτελεσματικά όταν η ασφάλεια είναι αποκομμένη από το υπόλοιπο IT. Η πραγματική ανθεκτικότητα απαιτεί ενιαία εικόνα: endpoints, χρήστες, ταυτότητες, προνομιακά δικαιώματα, εφαρμογές, υποδομές, tickets, αλλαγές, συμβάντα και υπηρεσίες που υποστηρίζουν την καθημερινή λειτουργία.

Η ασφάλεια συνδέεται με το IT operations, το service management, το identity and access management, το endpoint management, το privileged access management, το monitoring, το reporting και τη συμμόρφωση. Όταν αυτά λειτουργούν αποσπασματικά, ο οργανισμός βλέπει μόνο κομμάτια της εικόνας. Όταν συνδέονται, ο CISO και η διοίκηση κατανοούν καλύτερα τον πραγματικό κίνδυνο.

AI, Κουλτούρα και Διακυβέρνηση

Σήμερα, η τεχνητή νοημοσύνη φέρνει έναν ακόμη πιο σύγχρονο ελέφαντα στο δωμάτιο. Όλοι μιλούν για AI. Πολλοί τη χρησιμοποιούν ήδη, με ή χωρίς επίσημη πολιτική. Όμως το ερώτημα δεν είναι μόνο αν πρέπει να χρησιμοποιούμε τεχνητή νοημοσύνη. Το πραγματικό ερώτημα είναι πώς τη χρησιμοποιούμε, με ποια δεδομένα, με ποια όρια και με ποια ευθύνη.

Ο CISO δεν πρέπει να αντιμετωπίσει την τεχνητή νοημοσύνη φοβικά, ούτε να την αφήσει να εξαπλωθεί άναρχα. Πρέπει να βοηθήσει στη δημιουργία κανόνων, στην αξιολόγηση πλατφορμών, στην προστασία ευαίσθητων πληροφοριών και στην εκπαίδευση των χρηστών. Πρέπει να εξηγήσει ότι η ταχύτητα δεν σημαίνει πάντα ορθότητα και ότι η ευκολία δεν σημαίνει απαραίτητα ασφάλεια. Κυρίως, πρέπει να θέσει το ερώτημα που πολλοί αποφεύγουν: ποιος έχει την ευθύνη όταν η τεχνητή νοημοσύνη χρησιμοποιείται στην επιχείρηση;

Το ίδιο ισχύει και για την ανάπτυξη ομάδων. Κανένας οργανισμός δεν μπορεί να στηρίζεται σε έναν μόνο άνθρωπο. Η κυβερνοασφάλεια και η ανθεκτική λειτουργία του IT χρειάζονται ανθρώπους, ρόλους, δεξιότητες, εκπαίδευση, συνεργασία και συνέχεια. Χρειάζονται ομάδες που καταλαβαίνουν όχι μόνο την τεχνολογία, αλλά και την επιχείρηση. Χρειάζονται χρήστες που δεν αντιμετωπίζονται ως το αδύναμο σημείο, αλλά ως μέρος της άμυνας.

Για μένα, ο σύγχρονος CISO είναι ο άνθρωπος που ενώνει τη δύναμη με τη διαύγεια. Πρέπει να έχει την ανθεκτικότητα του ελέφαντα: σταθερότητα, μνήμη, παρουσία και διάρκεια. Αλλά πρέπει να έχει και το θάρρος να δείχνει τον ελέφαντα στο δωμάτιο. Να λέει την αλήθεια χωρίς υπερβολή, αλλά και χωρίς ωραιοποίηση.

Ο CISO δεν είναι πλέον απλώς φύλακας της τεχνολογίας. Είναι διαχειριστής κινδύνου, σύμβουλος της διοίκησης, γέφυρα με τα επιχειρησιακά τμήματα και συνομιλητής του IT operations. Και ίσως η πιο σημαντική του αποστολή είναι να βοηθήσει τον οργανισμό να γίνει πραγματικά ανθεκτικός απέναντι στις απειλές που βλέπει, αλλά και σε εκείνες που αποφεύγει να συζητήσει.