Ο ρόλος του Chief Information Security Officer έχει μετασχηματιστεί όσο λίγοι στον σύγχρονο επιχειρηματικό κόσμο. Από υπεύθυνος της τεχνικής ασφάλειας των πληροφοριακών συστημάτων, ο CISO έχει εξελιχθεί σε στρατηγικό συνεργάτη της διοίκησης, διαχειριστή επιχειρηματικού κινδύνου, ηγέτη ομάδων και καταλύτη της ψηφιακής ανθεκτικότητας.

Ο σύγχρονος CISO δεν προστατεύει μόνο πληροφοριακά συστήματα. Προστατεύει την ικανότητα του οργανισμού να καινοτομεί, να αναπτύσσεται και να λειτουργεί με εμπιστοσύνη.

Στο πλαίσιο του αφιερώματος του IT Security Pro, ζητήσαμε από κορυφαίους CISOs και υψηλόβαθμα στελέχη κυβερνοασφάλειας από την ελληνική και διεθνή αγορά να μοιραστούν τις εμπειρίες και τις απόψεις τους γύρω από τις σημαντικότερες προκλήσεις που αντιμετωπίζει σήμερα ο σύγχρονος ηγέτης της κυβερνοασφάλειας.

Από τη σχέση με τη διοίκηση και τη διαχείριση του επιχειρηματικού κινδύνου, μέχρι την επιλογή τεχνολογιών, τη δημιουργία ισχυρών ομάδων και την επίδραση της Τεχνητής Νοημοσύνης, οι παρακάτω τοποθετήσεις αποτυπώνουν τις διαφορετικές διαδρομές αλλά και τις κοινές προτεραιότητες που διαμορφώνουν το μέλλον του ρόλου του CISO.


Ο CISO ως Στρατηγικός Εταίρος της Επιχειρηματικής Ανάπτυξης

Σταυρούλα Καραγιάννη
Global Cyber security director
OPENBET

 

 

 

Ο ρόλος του Cyber Security Director έχει εξελιχθεί σημαντικά, ξεπερνώντας τα όρια της τεχνικής διαχείρισης της κυβερνοασφάλειας. Σήμερα λειτουργεί ως στρατηγικός σύμβουλος της διοίκησης, συμβάλλοντας σε αποφάσεις που επηρεάζουν την ανάπτυξη, τη λειτουργία και τη φήμη του οργανισμού.

Στον κλάδο του betting και του iGaming, η κυβερνοασφάλεια συνδέεται άμεσα με την εμπιστοσύνη των πελατών, τη συμμόρφωση και τη βιωσιμότητα της επιχείρησης. Για έναν B2B platform provider, ο κίνδυνος είναι ακόμη μεγαλύτερος, καθώς ένα περιστατικό ασφάλειας μπορεί να επηρεάσει ταυτόχρονα πολλούς αδειοδοτημένους operators, δημιουργώντας ένα εντελώς διαφορετικό προφίλ κινδύνου από εκείνο ενός μεμονωμένου brand. Η διαχείριση του κινδύνου εκτείνεται σε ένα ευρύ οικοσύστημα operators, ρυθμιστικών αρχών, παρόχων πληρωμών και συνεργατών, καθιστώντας την ασφάλεια της εφοδιαστικής αλυσίδας (supply chain security) στρατηγική προτεραιότητα.

Παράλληλα, ο Cyber Security Director αποτελεί τον εσωτερικό πρεσβευτή της ασφάλειας, εκπαιδεύοντας τη διοίκηση και ενισχύοντας μια κουλτούρα όπου η ασφάλεια αποτελεί κοινή ευθύνη. Λειτουργεί ως συνδετικός κρίκος μεταξύ διοίκησης, επιχειρησιακών μονάδων και τεχνικών ομάδων, μεταφράζοντας σύνθετους κυβερνοκινδύνους σε σαφείς επιχειρηματικές επιπτώσεις για τα έσοδα, τη συμμόρφωση και τη φήμη της εταιρείας.

Σε ένα περιβάλλον πολλαπλών κανονιστικών πλαισίων, όπως WLA, UK Gambling Commission και PCI DSS, συμμετέχει ενεργά στη διαμόρφωση επιχειρηματικών αποφάσεων, διασφαλίζοντας ότι οι στρατηγικές επιλογές λαμβάνουν υπόψη τον κυβερνοκίνδυνο και την ανθεκτικότητα. Επιπλέον, η φύση των event-driven πλατφορμών καθιστά την ασφάλεια και τη διαθεσιμότητα αδιαχώριστες, ενώ οι σύγχρονες απειλές, όπως bot abuse, synthetic fraud και in-play manipulation μέσω AI, συνδέουν άμεσα τη λειτουργία ασφάλειας με την εξέλιξη των προϊόντων και την επιχειρηματική στρατηγική.

Υπό αυτό το πρίσμα, ο Cyber Security Director είναι business leader, έμπιστος σύμβουλος της διοίκησης και καταλύτης για τη βιώσιμη ανάπτυξη και ανθεκτικότητα της επιχείρησης.


Εξωτερική απειλή, εσωτερική επιλογή

Ηλίας Καρώνης
CISO
Groupama Ασφαλιστική

 

 

 

 

Η συζήτηση για τον CISO ως business leader βασίζεται σε μια σωστή, αλλά ανεπαρκή παραδοχή: ότι πρέπει να μιλά τη γλώσσα της Διοίκησης. Το κρίσιμο όμως δεν είναι πόσο καλά εξηγεί ο CISO την κυβερνοασφάλεια, αλλά πόσο έτοιμη είναι η Διοίκηση να δράσει όταν αφαιρείται η τεχνική πολυπλοκότητα.

Σε ένα περιβάλλον όπου κανένας συνδυασμός μέτρων, τεχνολογιών και προσώπων δεν μπορεί να εξασφαλίσει ατρωσία, η Διοίκηση συχνά ρωτά: «Είμαστε ασφαλείς;». Προβάλλει έτσι στον CISO την προσδοκία μιας βεβαιότητας που δεν μπορεί να υπάρξει.

Συνεπώς, ο CISO οφείλει να διακρίνει μέσα στην αβεβαιότητα όσα μπορούν να προσφέρουν διαύγεια: κρίσιμα σενάρια, πιθανές συνέπειες, διαθέσιμες επιλογές και όσα διακυβεύονται ελλείψει έγκαιρης απόφασης.

Στο σημείο αυτό μετατοπίζεται και το νόημα της επένδυσης. Η Διοίκηση δεν αγοράζει εργαλεία που εγγυώνται ασφάλεια· αγοράζει χρόνο αντίδρασης, περιορισμό ζημιάς, δυνατότητα συνέχειας και διατήρηση εμπιστοσύνης.

Η απόφαση, επομένως, δεν αφορά την εκμηδένιση του ρίσκου, αλλά τη συνειδητή ανάληψή του μέσα στα όρια ανοχής του οργανισμού — το πραγματικό του risk appetite. Αυτό δεν ορίζεται μόνο σε πολιτικές και πλαίσια διακυβέρνησης, αλλά στις αποφάσεις που αυξάνουν ή μειώνουν την έκθεση του οργανισμού.

Η πιο δύσκολη αλήθεια είναι ότι, ενώ το cyber risk αποδίδεται επί το πλείστον σε εξωτερικές απειλές, διαμορφώνεται καθοριστικά και από εσωτερικές επιλογές: ταχύτητα ψηφιοποίησης, εξάρτηση από τρίτους, legacy συστήματα, πίεση για time-to-market, ανεπαρκείς επενδύσεις. Η απειλή μπορεί να είναι εξωτερική· η έκθεση όμως είναι συχνά επιχειρηματική επιλογή.

Ο CISO ως business leader δεν κάνει την ασφάλεια εύπεπτη. Αφαιρεί την άνεση της ασάφειας και μετατρέπει το cyber risk από τεχνικό ζήτημα σε αναλήψιμη διοικητική ευθύνη.


Χτίζοντας Ομάδες Κυβερνοασφάλειας με Διάρκεια

 

Αλέξανδρος Μπέλσης
Διευθυντής Ασφάλειας Συστημάτων Πληροφορικής & Επικοινωνιών
Διατραπεζικά Συστήματα (ΔΙΑΣ) Α.Ε

             

 

 

Ο ρόλος του CISO είναι καθοριστικός για την ανάπτυξη και διατήρηση μιας αποτελεσματικής, εξειδικευμένης και ανθεκτικής ομάδας κυβερνοασφάλειας, η οποία θα έχει διάρκεια στο χρόνο.

Ο σημαντικότερος παράγοντας επιτυχίας είναι η ισχυρή και συνεπής διακυβέρνηση του οργανισμού. Με απλά λόγια το επίπεδο ωριμότητας που διέπει έναν οργανισμό στην ενσωμάτωση της κυβερνοασφάλειας  σε θέματα διοικητικής εποπτείας, καθορισμένων ευθυνών, σταθερών διαδικασιών και συστηματικής αναφοράς προς τη Διοίκηση. Επιπλέον, ο CISO θα πρέπει να διαθέτει άριστη γνώση της τεχνολογίας, σε συνδυασμό με ισχυρές δεξιότητες ηγεσίας και ουσιαστική εμπειρία στη διαχείριση ομάδων ασφάλειας.

Στο πλαίσιο αυτό ο συνδυασμός των παρακάτω έχει αποδεχτεί καθοριστικός στην προσέλκυση και διατήρηση εξειδικευμένων στελεχών:

  • Καθορισμένο πλαίσιο λειτουργίας της ομάδας κυβερνοασφάλειας ως προς την αποστολή, το όραμα, το κανονιστικό πλαίσιο, τις νομικές απαιτήσεις και τις αρμοδιότητες
  • Συστηματική επικοινωνία με τα μέλη της ομάδας, ενίσχυση του ομαδικού πνεύματος, ανοικτές συζητήσεις για την επαγγελματική πορεία και το ατομικό πλάνο ανάπτυξης, τις δυνατότητες  εξέλιξης εντός του οργανισμού, καθώς και το ειλικρινές ενδιαφέρον της διοίκησης για τον εργαζόμενο
  • Μέριμνα για την ευημερία και την ανθεκτικότητα των στελεχών κυβερνοασφάλειας, τα οποία συχνά λειτουργούν σε περιβάλλον αυξημένων απαιτήσεων και συνεχούς επιχειρησιακής ετοιμότητας
  • Εξωστρέφεια, με τη συμμετοχή σε διεθνή φόρουμ, ομάδες εργασίας και κέντρα ανταλλαγής πληροφοριών σε θέματα κυβερνοασφάλειας
  • Επενδύσεις σε νέα συστήματα, τεχνολογίες αιχμής και μεθόδους ανάπτυξης δεξιοτήτων και ενεργού συμμετοχής στο ευρύτερο οικοσύστημα κυβερνοασφάλειας
  • Συνεχής εκπαίδευση του προσωπικού και διεύρυνση των επαγγελματικών πιστοποιήσεων της ομάδας
  • Έρευνα σε αναδυόμενες τεχνολογίες και εσωτερική ανάπτυξη εργαλείων και διαδικασιών για την υποστήριξη των λειτουργιών κυβερνοασφάλειας

Η προσέλκυση και διατήρηση ταλέντου στην κυβερνοασφάλεια δεν είναι αποτέλεσμα μεμονωμένων πρωτοβουλιών, αλλά προϊόν μιας συνεκτικής στρατηγικής που συνδυάζει όλα τα παραπάνω. Σε ένα περιβάλλον όπου οι κυβερνοαπειλές εξελίσσονται διαρκώς, οι οργανισμοί που επενδύουν συστηματικά στους ανθρώπους τους αποκτούν ένα από τα σημαντικότερα ανταγωνιστικά πλεονεκτήματα: μια ανθεκτική και διαχρονικά αποτελεσματική ομάδα κυβερνοασφάλειας.


Ο Σύγχρονος CISO ως Γέφυρα μεταξύ Τεχνολογίας και Business


Γιώργος Λεονάρδος
CISO
Euronext Athens

 

 

 

Τα τελευταία χρόνια, ο ρόλος του CISO αλλάζει με ταχύτερο ρυθμό από ποτέ. Η κυβερνοασφάλεια δεν αποτελεί πλέον αποκλειστικά τεχνολογική υπόθεση, ούτε ο CISO είναι απλώς ο άνθρωπος που διαχειρίζεται τεχνικούς κινδύνους. Σήμερα καλείται να λειτουργήσει ως συνδετικός κρίκος ανάμεσα στην τεχνολογία, τη διοίκηση και τους επιχειρηματικούς στόχους του οργανισμού.

Η αλματώδης εξέλιξη της τεχνολογίας, η μετάβαση στο cloud και η ευρεία υιοθέτηση της Τεχνητής Νοημοσύνης δημιουργούν ένα εντελώς νέο τοπίο κινδύνων. Οι δυνατότητες που προσφέρει η ΤΝ είναι εντυπωσιακές, όμως το ίδιο ισχύει και για τις νέες απειλές που εισάγει. Για τον λόγο αυτό, θεωρώ ότι ο σύγχρονος CISO οφείλει να επενδύει διαρκώς στη γνώση και να κατανοεί τις τεχνολογικές εξελίξεις που επηρεάζουν τον οργανισμό, ώστε να συμβάλλει στην ασφαλή αξιοποίηση της καινοτομίας χωρίς να λειτουργεί ως ανασταλτικός παράγοντας για το business.

Εξίσου σημαντική είναι η εξέλιξη και ενίσχυση των ηγετικών και επικοινωνιακών δεξιοτήτων. Στην πράξη, ο CISO καλείται να συνεργάζεται με τη διοίκηση και τις επιχειρησιακές μονάδες και να μεταφράζει σύνθετους τεχνικούς κινδύνους σε επιχειρηματικές επιπτώσεις και προτάσεις που υποστηρίζουν τη λήψη αποφάσεων.

Η επιτυχία δεν μετριέται μόνο από τις επιθέσεις που αποτράπηκαν, αλλά από το αν η κυβερνοασφάλεια αποτελεί πλέον αναπόσπαστο μέρος της στρατηγικής και κάθε σημαντικής επιχειρηματικής απόφασης.

Εκεί, κατά τη γνώμη μου, βρίσκεται ο πραγματικός ρόλος του σύγχρονου CISO.


Η Εξέλιξη του CISO σε Στρατηγικό Ηγέτη


Γεώργιος Μαλλικούρτης

CISO
Ελληνική Αναπτυξιακή Τράπεζα

 

 

Ελάχιστοι ρόλοι έχουν μετασχηματιστεί τόσο ριζικά όσο αυτός του Chief Information Security Officer (CISO). Από τεχνικός υπεύθυνος για firewalls, δικαιώματα πρόσβασης και περιστατικά, εξελίχθηκε σε στρατηγικό σύμβουλο της Διοίκησης. Τρεις παράγοντες οδήγησαν σε αυτή τη μετάβαση: ένα ολοένα πιο επιθετικό τοπίο κυβερνοαπειλών που απειλεί την επιχειρησιακή συνέχεια, ο ψηφιακός μετασχηματισμός που κατέστησε κάθε επιχειρησιακή λειτουργία τεχνολογικά εξαρτημένη και ένα ενισχυμένο κανονιστικό πλαίσιο που αναδεικνύει την κυβερνοασφάλεια σε ευθύνη της Διοίκησης.

Σήμερα, οι οργανισμοί αναμένουν από τον CISO να μεταφράζει τον κίνδυνο κυβερνοασφάλειας σε επιχειρησιακή γλώσσα, να ενισχύει τη διακυβέρνηση, να διασφαλίζει την επιχειρησιακή ανθεκτικότητα και να συμμετέχει στη χάραξη στρατηγικής. Ο ENISA, στα προφίλ του European Cybersecurity Skills Framework (ECSF), επιβεβαιώνει θεσμικά αυτόν τον διευρυμένο ρόλο, που εκτείνεται από τη στρατηγική και τις πολιτικές έως την επιχειρησιακή συνέχεια, τη διαχείριση κινδύνων της εφοδιαστικής αλυσίδας και την αναφορά περιστατικών.

Αντίστοιχα, η Gartner αναδεικνύει τον σύγχρονο CISO ως ηγέτη που ευθυγραμμίζει την κυβερνοασφάλεια με τους επιχειρησιακούς στόχους, διαμορφώνει ευέλικτα λειτουργικά μοντέλα, διαχειρίζεται τον κίνδυνο των κυβερνοαπειλών σε επίπεδο οργανισμού και καθοδηγεί την ασφαλή υιοθέτηση της Τεχνητής Νοημοσύνης, θέτοντας σαφή όρια διακυβέρνησης χωρίς να ανακόπτει την καινοτομία.

Ο σύγχρονος CISO, αυτό που η Forrester περιγράφει ως «business enabler», δεν κρίνεται μόνο από την ικανότητά του να αποτρέπει κυβερνοεπιθέσεις, αλλά από το κατά πόσο επιτρέπει στον οργανισμό να καινοτομεί, να αναπτύσσεται και να λειτουργεί με ασφάλεια.

Σε τελική ανάλυση, δεν προστατεύει μόνο συστήματα και δεδομένα, αλλά θωρακίζει την ικανότητα της εταιρείας να υπηρετεί την αποστολή της. Σε μια εποχή όπου οι ψηφιακές υποδομές στηρίζουν κάθε αναπτυξιακή πρωτοβουλία, αυτή είναι ίσως η σημαντικότερη συμβολή του.


Το Μεγαλύτερο Asset της Κυβερνοασφάλειας είναι οι Άνθρωποι

Δημοσθένης Αττέια

CIO/CISO
Μύλοι Κεπενού ΑΒΕΕ

 

 

 

Άνθρωποι, Ταλέντο και Ηγεσία

Η μεγαλύτερη πρόκληση μου ως CISO δεν είναι ποτέ η τεχνολογία. Είναι οι άνθρωποι.

Η κυβερνοασφάλεια παραμένει κλάδος με χρόνιο έλλειμμα ταλέντου, και όσοι έχουν πραγματική εμπειρία γίνονται όλο και πιο δυσεύρετοι — και όλο και πιο περιζήτητοι από ανταγωνιστές που προσφέρουν περισσότερα.

Αυτό που έχω μάθει είναι πως η προσέλκυση δεν αξίζει τίποτα χωρίς σχέδιο διατήρησης. Ένα στέλεχος που μπαίνει σε μια ομάδα χωρίς σαφή διαδρομή εξέλιξης, χωρίς επενδύσεις σε πιστοποιήσεις και χωρίς αίσθηση ότι η δουλειά του έχει αντίκτυπο, θα φύγει —συνήθως μέσα στα πρώτα δύο χρόνια. Το βλέπουμε και στα στατιστικά του κλάδου: η μέση παραμονή σε θέση κυβερνοασφάλειας έχει συρρικνωθεί αισθητά μέσα σε μία δεκαετία.

Το upskilling δεν είναι πολυτέλεια, είναι επιβίωση. Η τεχνητή νοημοσύνη αλλάζει τη φύση της δουλειάς πιο γρήγορα από όσο προλαβαίνουν να προσαρμοστούν τα πανεπιστημιακά προγράμματα. Ένας αναλυτής που έμαθε να δουλεύει με ένα SIEM πριν από πέντε χρόνια χρειάζεται σήμερα εντελώς διαφορετικές δεξιότητες. Επενδύω συνειδητά σε πιστοποιήσεις, σε πρακτική εκπαίδευση και σε ευκαιρίες τα στελέχη μου να αναλαμβάνουν πρωτοβουλίες πέρα από το στενό τους αντικείμενο.

Μια αποτελεσματική ομάδα ασφάλειας δεν χτίζεται με τίτλους θέσεων και οργανογράμματα. Χτίζεται με εμπιστοσύνη, με σαφήνεια ρόλων και με έναν ηγέτη που ξέρει να καθοδηγεί, όχι μόνο να διοικεί.

Στη δική μου διαδρομή, η στιγμή που ένιωσα έτοιμος να αναλάβω τον δικό μου ρόλο CISO ήρθε επειδή είχα δουλέψει σε ομάδες που πραγματικά επένδυσαν πάνω μου και μου έδωσαν χώρο να μάθω από τα λάθη μου. Αυτό, τελικά, είναι το πραγματικό μέτρο επιτυχίας μιας ομάδας ασφάλειας: όχι πόσα στελέχη κρατάει κοντά της, αλλά πόσα προετοιμάζει να ηγηθούν αλλού.