Η κυβερνοασφάλεια έχει πάψει εδώ και καιρό να αποτελεί αποκλειστικά τεχνικό ζήτημα. Σήμερα, ο Chief Information Security Officer (CISO) καλείται να ισορροπήσει ανάμεσα σε επιχειρησιακούς στόχους, κανονιστικές απαιτήσεις, περιορισμένους πόρους και ένα συνεχώς μεταβαλλόμενο τοπίο απειλών.

Δρ. Θεόδωρος Ντούσκας,

Managing Director, ICT PROTECT

 www.ictprotect.com

 

 

 

Δεν αρκεί πλέον η επιλογή των «καλύτερων» τεχνολογιών ασφαλείας. Αυτό που απαιτείται είναι μια ολοκληρωμένη στρατηγική διαχείρισης κινδύνου, η οποία να ευθυγραμμίζεται με τους επιχειρηματικούς στόχους και να επιτρέπει τεκμηριωμένες αποφάσεις.

Σε αυτό το πλαίσιο, οι οργανισμοί στρέφονται ολοένα και περισσότερο σε πρακτικές Governance, Risk & Compliance (GRC), οι οποίες προσφέρουν μια ενιαία προσέγγιση στη διακυβέρνηση της κυβερνοασφάλειας, στη διαχείριση κινδύνων και στη συμμόρφωση με το διαρκώς εξελισσόμενο κανονιστικό πλαίσιο. Η ουσία δεν βρίσκεται στην υιοθέτηση ενός ακόμη εργαλείου, αλλά στην αλλαγή του τρόπου με τον οποίο λαμβάνονται οι αποφάσεις.

Η πρώτη ευθύνη ενός CISO είναι να κατανοήσει ποιοι είναι οι πραγματικοί κίνδυνοι για τον οργανισμό. Ποιες είναι οι κρίσιμες επιχειρησιακές λειτουργίες, ποια πληροφοριακά συστήματα υποστηρίζουν αυτές τις λειτουργίες, ποιες απειλές είναι περισσότερο πιθανές και ποιος θα ήταν ο επιχειρηματικός αντίκτυπος μιας επιτυχούς επίθεσης.

Χωρίς μια οργανωμένη χαρτογράφηση του οργανισμού, των πληροφοριακών αγαθών και των κινδύνων, κάθε επένδυση στην κυβερνοασφάλεια βασίζεται περισσότερο στη διαίσθηση παρά στα δεδομένα.

Για να επιτευχθεί αυτή η ολιστική εικόνα απαιτείται μια δομημένη μεθοδολογία καταγραφής των πληροφοριακών αγαθών, αξιολόγησης των κινδύνων και σύνδεσής τους με τις επιχειρησιακές λειτουργίες. Μόνο τότε ο CISO μπορεί να ιεραρχήσει σωστά τις προτεραιότητες και να κατευθύνει τους διαθέσιμους πόρους εκεί όπου πραγματικά παράγεται αξία.

Από τις απαιτήσεις συμμόρφωσης στις επιχειρηματικές αποφάσεις

Τα τελευταία χρόνια οι οργανισμοί καλούνται να ανταποκριθούν σε ένα διαρκώς αυξανόμενο σύνολο απαιτήσεων, όπως οι NIS2, DORA, ISO 27001, GDPR, PCI DSS και πολλά ακόμη πρότυπα, ανάλογα με τον κλάδο και τη χώρα στην οποία δραστηριοποιούνται.

Συχνά, η συμμόρφωση αντιμετωπίζεται ως μια ξεχωριστή διαδικασία παραγωγής εγγράφων και ελέγχων. Στην πραγματικότητα όμως, η συμμόρφωση αποτελεί το αποτέλεσμα μιας ώριμης διαχείρισης κινδύνου. Η πραγματική πρόκληση είναι η σύνδεση των κανονιστικών απαιτήσεων με τους επιχειρησιακούς κινδύνους. Όταν οι πολιτικές, οι έλεγχοι, τα αποδεικτικά στοιχεία και τα σχέδια βελτίωσης λειτουργούν ως ένα ενιαίο σύστημα, η συμμόρφωση παύει να αποτελεί μια τυπική υποχρέωση και μετατρέπεται σε εργαλείο διοίκησης και συνεχούς βελτίωσης.

Πώς επιλέγονται τεχνολογίες με αντικειμενικά κριτήρια

Η αγορά της κυβερνοασφάλειας προσφέρει εκατοντάδες λύσεις: EDR, XDR, SIEM, SOAR, PAM, IAM, DSPM, CNAPP και πολλές ακόμη. Το σωστό ερώτημα όμως είναι ποια τεχνολογία μειώνει αποτελεσματικότερα τον σημαντικότερο κίνδυνο για τον συγκεκριμένο οργανισμό.

Η αξιολόγηση κάθε επένδυσης πρέπει να βασίζεται στη συμβολή της στη μείωση συγκεκριμένων κινδύνων και όχι στις δυνατότητες που παρουσιάζει ο εκάστοτε προμηθευτής. Με αυτόν τον τρόπο, ο CISO μπορεί να τεκμηριώσει γιατί μια επένδυση έχει προτεραιότητα έναντι μιας άλλης, να συνδέσει το κόστος με το επιχειρηματικό όφελος και να παρουσιάσει στη διοίκηση μια στρατηγική που βασίζεται σε αντικειμενικά δεδομένα. Οι αποφάσεις παύουν έτσι να βασίζονται στις υποσχέσεις της αγοράς και στηρίζονται σε πραγματικές ανάγκες του οργανισμού.

Η αξιολόγηση των συνεργατών αποτελεί πλέον μέρος της κυβερνοασφάλειας

Οι σύγχρονες επιθέσεις δεν ξεκινούν πάντα μέσα από τον ίδιο τον οργανισμό. Πολύ συχνά αξιοποιούν αδυναμίες τρίτων προμηθευτών και συνεργατών. Η διαχείριση του Third Party Risk αποτελεί πλέον βασική απαίτηση τόσο της οδηγίας NIS2 όσο και του κανονισμού DORA. Ένας CISO χρειάζεται να γνωρίζει ποιοι προμηθευτές επηρεάζουν κρίσιμες υπηρεσίες, ποιο είναι το επίπεδο ωριμότητάς τους, ποιοι κίνδυνοι προκύπτουν από τη συνεργασία και ποιες διορθωτικές ενέργειες απαιτούνται. Η αξιολόγηση των συνεργατών δεν μπορεί πλέον να αποτελεί μια ετήσια διαδικασία συμπλήρωσης ερωτηματολογίων. Απαιτεί συνεχή παρακολούθηση, επαναξιολόγηση και δυνατότητα άμεσης αποτύπωσης του κινδύνου που εισάγει κάθε τρίτος στην εφοδιαστική αλυσίδα.

Από την αναφορά στο Διοικητικό Συμβούλιο μέχρι τη λήψη αποφάσεων

Η μεγαλύτερη πρόκληση για έναν CISO δεν είναι να εξηγήσει μια τεχνική ευπάθεια. Είναι να εξηγήσει στο Διοικητικό Συμβούλιο τι σημαίνει επιχειρηματικά. Οι διοικήσεις δεν ενδιαφέρονται για τον αριθμό των vulnerabilities ή των alerts. Ενδιαφέρονται για το επίπεδο κινδύνου, τις πιθανές οικονομικές επιπτώσεις, την ανθεκτικότητα του οργανισμού και την απόδοση των επενδύσεων στην κυβερνοασφάλεια.

Η ύπαρξη αξιόπιστων δεικτών, dashboards και μηχανισμών παρακολούθησης επιτρέπει στον CISO να παρουσιάζει την πορεία της ωριμότητας του οργανισμού, την εξέλιξη των κινδύνων, την κατάσταση συμμόρφωσης και την αποτελεσματικότητα των επενδύσεων μέσα από αντικειμενικά στοιχεία και όχι προσωπικές εκτιμήσεις. Με αυτόν τον τρόπο, η κυβερνοασφάλεια μετατρέπεται από τεχνικό αντικείμενο σε επιχειρηματικό θέμα που μπορεί να αξιολογηθεί και να υποστηριχθεί σε επίπεδο διοίκησης.

Η εφαρμογή μιας ολοκληρωμένης στρατηγικής GRC προϋποθέτει όχι μόνο κατάλληλες διαδικασίες, αλλά και εργαλεία που μπορούν να ενοποιήσουν πληροφορίες, αυτοματισμούς και δείκτες σε ένα ενιαίο περιβάλλον.

Σε αυτό το πλαίσιο, το STORM, η πλατφόρμα Governance, Risk & Compliance της ICT PROTECT, έχει σχεδιαστεί για να υποστηρίζει ολόκληρο τον κύκλο διακυβέρνησης της κυβερνοασφάλειας. Ενοποιεί τη διαχείριση κινδύνων, τη συμμόρφωση με κανονιστικά και διεθνή πρότυπα, την αξιολόγηση τρίτων, την παρακολούθηση διορθωτικών ενεργειών και την παραγωγή αναφορών προς τη διοίκηση, προσφέροντας στον οργανισμό μια ενιαία εικόνα της κατάστασης ασφάλειας.

Ο στόχος δεν είναι απλώς η συγκέντρωση δεδομένων, αλλά η παροχή των πληροφοριών που χρειάζεται ένας CISO για να λαμβάνει τεκμηριωμένες αποφάσεις, να αιτιολογεί τις επενδύσεις του και να συνδέει κάθε ενέργεια κυβερνοασφάλειας με τον επιχειρηματικό κίνδυνο που καλείται να αντιμετωπίσει.

Σε μια εποχή όπου η κυβερνοανθεκτικότητα αποτελεί προϋπόθεση επιχειρησιακής συνέχειας, η σωστή στρατηγική δεν ξεκινά από την επόμενη αγορά λογισμικού. Ξεκινά από τη σωστή διακυβέρνηση του κινδύνου. Και όταν αυτή υποστηρίζεται από τα κατάλληλα εργαλεία, ο CISO μπορεί να περάσει από την αποσπασματική αντιμετώπιση των απειλών σε μια πραγματικά στρατηγική προσέγγιση της κυβερνοασφάλειας.

 

 

αν δεν χωραει φατο