Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

 Είχαμε την ευκαιρία να συναντήσουμε τον Παναγιώτη Σούλο και να συζητήσουμε μαζί του μια σειρά σημαντικών θεμάτων που αφορούν τις δράσεις του ISC2 Hellenic Chapter και τις  σημαντικές προκλήσεις που αντιμετωπίζουν σήμερα οι Υπεύθυνοι Ασφάλειας Πληροφοριών  

Συνέντευξη με τον Παναγιώτη Σούλο,
Global Information Security Manager της INTRUM 

Audit Committee Member, ISC2 Hellenic Chapter

Ας ξεκινήσουμε με κάτι πρόσφατο όπως είναι η σημαντική διάκριση του διεθνούς βραβείου εθελοντισμού για θέματα Security Awareness που λάβατε ως πρώην Γραμματέας και νυν Μέλος της Επιτροπής Ελέγχου του ISC2 Hellenic Chapter. Τι αποτυπώνει το βραβείο αυτό συνολικά, πως εσείς βλέπετε να εξελίσσεται η ευαισθητοποίηση για τα θέματα ψηφιακής ασφάλειας στο ευρύ κοινό και τις επιχειρήσεις και πως μπορεί να βοηθήσει το ISC2 ;

Το Διεθνές Ινστιτούτο Πιστοποίησης Ασφάλειας Πληροφοριακών Συστημάτων, ISC2, κάθε χρόνο απονέμει τα ISC2 Global Achievement Awards. Το πρόγραμμα βραβείων του ISC2 αναγνωρίζει στελέχη των οποίων η αριστεία, η ηγεσία και οι εθελοντικές προσπάθειες έχουν προωθήσει σημαντικά τον κλάδο της κυβερνοασφάλειας και έχουν συμβάλει στο όραμα του ISC2 να εμπνεύσει έναν ασφαλή και προστατευμένο κόσμο στον κυβερνοχώρο. Τα βραβεία απονέμονται κάθε χρόνο στους παραλήπτες στο ISC2 Security Congress, το ετήσιο διεθνές συνέδριο του ISC2. Περισσότερα για τα ISC2 Global Achievement Awards μπορείτε να δείτε εδώ: https://www.isc2.org/about/award-programs.

Οι νικητές των βραβείων επιλέγονται από επιτροπές που αποτελούνται από μέλη του ISC2, γεγονός που διασφαλίζει την εγκυρότητα και αμεροληψία των βραβείων αυτών.

Το 2023 είχα την τιμή να λάβω το διεθνές ISC2 Center’s Outstanding Volunteer Award. Το βραβείο αυτό είναι η ύψιστη αναγνώριση των πολλαπλών εθελοντικών ενεργειών και δράσεων, των οποίων ηγούμαι. Είναι ένα βραβείο καθοριστικής σημασίας για εμένα τόσο σε προσωπικό, όσο και σε επαγγελματικό επίπεδο, λόγω της διεθνούς αξίας του. Βεβαίως, τίποτα δεν θα ήταν εφικτό χωρίς τη στενή, συνεχή και αποτελεσματική συνεργασία και υποστήριξη του Δ.Σ. και των μελών του ISC2 Hellenic Chapter.

Η ευαισθητοποίηση για τα θέματα ψηφιακής ασφάλειας ολοένα και κερδίζει έδαφος και αποτελεί προτεραιότητα στις ατζέντες των εταιρειών τόσο για τα junior στελέχη μέχρι και τα μέλη των Διοικήσεων. Οι αυξανόμενες απειλές με την εξέλιξη της τεχνολογίας, όπως η χρήση της Τεχνητής Νοημοσύνης, καθιστά τα προγράμματα ενίσχυσης της εταιρικής κουλτούρας κυβερνοασφάλειας ως ιδιαίτερης σημασίας για όλους τους οργανισμούς. Ο ψηφιακός κόσμος είναι μέρος της καθημερινότητάς μας κι όλοι οφείλουμε να μάθουμε τους κινδύνους που αυτός ελλοχεύει για να μπορούμε να τον απολαμβάνουμε με ασφάλεια και να προστατεύουμε τόσο τις νέες όσο και τις παλαιότερες γενιές.

Στο ISC2 Hellenic Chapter, έχω αναλάβει τη διαχείριση και οργάνωση των ενημερωτικών παρουσιάσεων ευαισθητοποίησης του κοινού στα θέματα ψηφιακής ασφάλειας. Είμαι ιδιαίτερα χαρούμενος, καθώς από το τέλος του 2023 και ήδη στους 2 πρώτους μήνες του 2024 αυξάνονται ολοένα και περισσότερο τα αιτήματα για δράσεις ευαισθητοποίησης του κοινού για τα θέματα ψηφιακής ασφάλειας καθώς παρατηρείται αισθητά αυξημένη ζήτηση συγκριτικά με τα προηγούμενα χρόνια, που υπερβαίνει το διπλάσιο. Σε αυτό το διάστημα των 4 μηνών, έχουμε πραγματοποιήσει 8 παρουσιάσεις και ήδη είμαστε σε επικοινωνία για νέες συνεργασίες με άλλους εθελοντικούς οργανισμούς. Πλέον, το ISC2 Hellenic Chapter έχει μία ισχυρή ομάδα στη διάθεσή του που αποτελείται από περισσότερους από 20 εθελοντές και προσφέρει τη δυνατότητα να πραγματοποιεί σχετικές ενημερώσεις σε κάθε ενδιαφερόμενο, χωρίς κόστος.

Τέλος, σε συνεργασία με τη Homo Digitalis και την ISCI Hellas, έχουμε διαθέσει στο ευρύ κοινό ενημερωτικά animation videos μικρού μήκους με στόχο την ευαισθητοποίηση παιδιών και γονέων σε θέματα όπως είναι η χρήση κοινωνικών μέσων (SoMe), η ασφάλεια στο κυβερνοκόσμο, ο διαδικτυακός εκφοβισμός και τα ανοιχτά WiFi. Περισσότερες πληροφορίες μπορείτε να βρείτε στο site του ISC2 Hellenic Chapter:  https://isc2-chapter.gr/public-awareness/.

Φωτογραφία κατά τη βράβευση με την Clar Rosso, CEO IS2  (αριστερά) και Holly Schneider Brown, Senior Director, Center for Cyber Safety and Education (δεξιά)

Ποιες είναι οι καθημερινές προκλήσεις που αντιμετωπίζει γενικά σήμερα ένας Υπεύθυνος Ασφάλειας Πληροφοριών στο σύγχρονο επιχειρησιακό περιβάλλον, και ποια είναι η προσέγγιση σας στην αντιμετώπιση των προκλήσεων αυτών;

Οι προκλήσεις που αντιμετωπίζει ένας Υπεύθυνος Ασφαλείας Πληροφοριών καθημερινά είναι οι εξής:

• Νέες και πιο εξελιγμένες απειλές λόγω της ραγδαίας αύξησης της τεχνολογίας. Είναι αναμφίβολο ότι η χρήση νέων τεχνολογιών βελτιώνει τους εσωτερικούς μηχανισμούς και τις διαδικασίες στους οργανισμούς και τους προσφέρει πολλαπλά οφέλη, όπως η ταχύτερη ένταξη των προϊόντων τους στην αγορά και οι βελτιωμένες εμπειρίες στους πελάτες τους.
• Έλλειψη και διατήρηση προσωπικού κυβερνοασφάλειας. Λόγω της αυξημένης ζήτησης στην αγορά εργασίας της κυβερνοασφάλειας, η διατήρηση του προσωπικού κυβερνοασφάλειας αποτελεί βασική προτεραιότητα.
• Έλλειψη κατάλληλων δεξιοτήτων κυβερνοασφάλειας. Η ραγδαία αύξηση της τεχνολογίας και των νέων «απειλών» που αυτή εισάγει, θέτει επιτακτικά την ανάγκη για περαιτέρω ανάπτυξη και ενίσχυση των δεξιοτήτων κυβερνοασφάλειας.
• Εταιρικός μετασχηματισμός και μείωση διαθέσιμου προϋπολογισμού. Το ολοένα εναλλασσόμενο επιχειρησιακό περιβάλλον επιζητά πιο ευέλικτα εταιρικά σχήματα με το ελάχιστα δυνατό κόστος.
• Αυξημένος όγκος εργασιών που μπορεί να οδηγήσει στο «burnout».

Όλα τα παραπάνω οδηγούν σε αυξημένες απαιτήσεις, με νέες τεχνολογίες που θα πρέπει να ολοκληρωθούν από τους ίδιους ή λιγότερους επαγγελματίες κυβερνοασφάλειας.

Στην Intrum έχουμε καθιερώσει έναν ευέλικτο, αλλά ταυτόχρονα ισχυρό μηχανισμό διακυβέρνησης της κυβερνοασφάλειας σε επίπεδο Ομίλου, που αποτελείται από ομάδες «πρώτης γραμμής» στο Global IT και τοπικά στις χώρες όπου δραστηριοποιείται η Intrum και «δεύτερης γραμμής» στο Global Risk & Compliance, στην οποία ανήκει και η ομάδα μου. Οι ομάδες αυτές συνεργάζονται καθημερινά με όλα τα μέρη του οργανισμού και χρησιμοποιούν διαδικασίες για αναγνώριση νέων απειλών που ενδεχομένως να εισάγονται με τη χρήση νέων τεχνολογιών, όπως η ισχυρή διαδικασία Third Party Risk Management και η συνεχής παρακολούθηση των υποδομών από τις ομάδες του IT και του SOC.

Επιπλέον, οι ομάδες του Ομίλου μπορούν να καλύψουν προσωρινά τυχόν ελλείψεις επαγγελματιών κυβερνοασφάλειας. Ο Όμιλος επενδύει σε εξειδικευμένους επαγγελματίες κυβερνοασφάλειας στο cloud και συνεχώς εκπαιδεύει το προσωπικό ώστε να μπορεί να ανταποκριθεί στις νέες απαιτήσεις.

Προσωπικά, ως Global Information Security Manager στην Intrum συνεργάζομαι στενά με τον Global Information Security Director του Ομίλου, καθώς παράλληλα εκτελώ χρέη αναπληρωτή του. Επιπλέον, μέσω του ρόλου μου, έχω συχνή συνεργασία με όλους τους Information Security Officers των 20 χωρών του Ομίλου.

Ποιες είναι οι ιδιαιτερότητες που παρουσιάζονται ειδικά στον δικό σας οργανισμό σχετικά με τη διαχείριση των εξελισσόμενων απειλών και πως προσαρμόζεται στις δικές σας απαιτήσεις η αξιοποίηση των ανθρώπινων και τεχνολογικών πόρων που διαθέτετε;

Ο Όμιλος ακολουθεί τις νέες τάσεις της τεχνολογίας και επιλέγει cloud υπηρεσίες με μία cloud-first προσέγγιση. Αυτή η σύνθεση αυξάνει την πρόκληση στη διαχείριση των εξελισσόμενων απειλών.

Εκτός από το μοντέλο διακυβέρνησης που προανέφερα, που είναι αρκετά γνωστό κυρίως στα χρηματοπιστωτικά ιδρύματα, με τις τρεις γραμμές άμυνας (three lines of defense) – που ως «τρίτη γραμμή» αναφερόμαστε στις ομάδες εσωτερικού ελέγχου – η Intrum διατηρεί συνεργασίες τόσο σε επίπεδο Ομίλου, όσο και σε επίπεδο χωρών με στρατηγικούς προμηθευτές για τη βέλτιστη δυνατή αξιοποίηση των τεχνολογικών πόρων στην αντιμετώπιση των εξελισσόμενων απειλών. Λόγω του υβριδικού μοντέλου λειτουργίας, αρκετά μέτρα εστιάζουν στις τελικές συσκευές των χρηστών, όπως ισχυρά μέτρα αυθεντικοποίησης τόσο των χρηστών όσο και των συσκευών, anti-malware, endpoint detection & response, κρυπτογράφησης, αλλά και κεντρικοποιημένα μέτρα αναγνώρισης απειλών όπως Cyber Threat Intelligence. Βεβαίως, όλα αυτά συνοδεύονται από συνεχείς διαδικασίες asset management για την ορθή παρακολούθηση των assets in scope.

Τι αλλαγές μπορεί να επιφέρει η εφαρμογή των οδηγιών NIS2 και DORA και τι χρειάζεται να γίνει, προκειμένου να επιτευχθεί η απαραίτητη συμμόρφωση με ομαλό τρόπο

Οι δύο μεγαλύτερες αλλαγές που ενδεχομένως θα έρθουν από την εφαρμογή των οδηγιών NIS2 και DORA, όπως κι οποιουδήποτε Ευρωπαϊκού Κανονισμού αντίστοιχης εμβέλειας, είναι οι αυξημένες απαιτήσεις τις οποίες θα πρέπει οι οργανισμοί να ακολουθήσουν και οι σημαντικές κυρώσεις που ενδεχομένως να επιβληθούν σε περίπτωση μη συμμόρφωσης με αυτούς.

Για την απαραίτητη συμμόρφωση, είναι κύριο να επιβεβαιωθεί καταρχάς ότι κάθε εταιρεία είναι υπό το εύρος των συγκεκριμένων κανονισμών και κατά δεύτερον να γίνει ένα gap analysis των υλοποιημένων μέτρων με τις νέες απαιτήσεις. Οι ενέργειες αυτές θα πρέπει να υλοποιηθούν το συντομότερο δυνατό και η ενημέρωση της Διοίκησης είναι απαραίτητη, σε τακτά χρονικά διαστήματα, για να διασφαλιστεί ότι ο οργανισμός διατηρεί τον κίνδυνο μη συμμόρφωσης στα αποδεκτά επίπεδα.

Στην κορυφή της ατζέντας των θεμάτων που απασχολούν το παγκόσμιο τεχνολογικό οικοσύστημα βρίσκεται η Τεχνητή Νοημοσύνη! Πως αξιολογείται εσείς την επίδραση της ΤΝ ειδικότερα στον τομέα του Cyber Security; Τι προκλήσεις επιφέρει ; Μπορεί να σας βοηθήσει; 

Ακόμη, είναι αρκετά νωρίς για να γνωρίζουμε πλήρως την επίδρασή της, όμως έχουμε αρκετά δείγματα για να αποκτήσουμε μία καλή αρχική εικόνα.

Η χρήση της Τεχνητής Νοημοσύνης, καθώς και η ενσωμάτωσή της στις υπάρχουσες τεχνολογικές λύσεις επιφέρει προκλήσεις, αλλά έχει και πολλά οφέλη. Το σίγουρο είναι ότι αυτή την τεχνολογία, όπως και οποιαδήποτε άλλη τεχνολογία αντίστοιχου βεληνεκούς, δεν μπορούμε να την αγνοήσουμε, επομένως θα πρέπει να βρούμε τρόπο για τη βέλτιστη αξιοποίησή της. Στον τομέα του Cyber Security ήδη βλέπουμε της επιθέσεις να αυξάνονται και γίνεται ακόμα πιο δύσκολο να αναγνωριστούν. Deepfakes σε εικόνα και ήχο και άψογα συνταγμένα phishing μηνύματα σε οποιαδήποτε γλώσσα είναι μερικά από τα παραδείγματα τα οποία θα μας απασχολήσουν όλους.

Η Τεχνητή Νοημοσύνη μπορεί όμως να μας βοηθήσει με την ελαχιστοποίηση του χρόνου που απαιτείται σε διάφορες διαδικασίες όπως αναζήτηση πληροφοριών, σύνταξη αναφορών, πρωτογενή αναγνώριση και αντιμετώπιση απειλών κ.ά. 

Μελέτες από πολλούς φορείς μεταξύ των οποίων και του ISC2 καταδεικνύουν αύξηση των επαγγελματιών που δραστηριοποιούνται στον τομέα της κυβερονασφάλειας, όμως παράλληλα αποτυπώνεται και ακόμα μεγαλύτερη ζήτηση με βάση τις ανάγκες; Γιατί συμβαίνει αυτό κατά τη γνώμη σας και πως μπορεί να αντιμετωπιστεί; Με ποιο τρόπο θα καλλιεργηθούν τα απαιτούμενα Hard skills και Soft skills για αυτόν τον τομέα ;

Σύμφωνα με την ετήσια παγκόσμια έρευνα του ISC2, οι επαγγελματίες που δραστηριοποιούνται στον τομέα της κυβερνοασφάλειας ανέρχονται στα 5,5 εκατ., καταγράφοντας αύξηση κατά 9% συγκριτικά με την προηγούμενη χρονιά. Παράλληλα, το κενό που υπάρχει στην αγορά αυξήθηκε κατά 13%, πλησιάζοντας οριακά τα 4 εκατ.. Δηλαδή υπολείπονται σχεδόν οι διπλάσιοι επαγγελματίες κυβερνοασφάλειας. Στην Ευρώπη είχαμε αύξηση 7,2% στους επαγγελματίες που δραστηριοποιούνται στον τομέα της κυβερνοασφάλειας, και ανήλθε σε 1,3 εκατ. επαγγελματίες ενώ το κενό αυξήθηκε κατά 9,7% υπερβαίνοντας τις 345.000.

Τόσο η αύξηση των απειλών κυβερνοασφάλειας, όσο και η ένταξη νέων κανονισμών με υψηλά πρόστιμα, η χρήση νέων τεχνολογιών, αλλά και η επίπτωση στις επιχειρήσεις από ένα περιστατικό είναι οι βασικοί λόγοι της αυξημένης ζήτησης σε επαγγελματίες του χώρου.

Σύμφωνα με την ετήσια έρευνα της IBM “Cost of a Data Breach Report 2023”, το μέσο κόστος ενός περιστατικού διαρροής δεδομένων είναι 4,45 εκατ. δολαρίων ΗΠΑ, το οποίο έχει αυξηθεί κατά 15% τα τελευταία 3 χρόνια. Σίγουρα μπορούμε να αντιληφθούμε το υψηλό κόστος το οποίο βάσει ερευνών είναι αρκετά υψηλότερο από την εφαρμογή των μέτρων προστασίας.

Όσον αφορά τα hard skills, η ίδια έρευνα του ISC2 αναφέρει ότι το 59% των ερωτηθέντων απάντησε ότι το κενό σε hard skills είναι πιο υψηλό από το κενό σε επαγγελματίες κυβερνοασφάλειας και το 58% ότι το κενό σε επαγγελματίες μπορεί να μειωθεί εάν γίνει re-skilling των ομάδων κυβερνοασφάλειας. Η έρευνα του ISC2 είναι διαθέσιμη εδώ: https://www.isc2.org/research

Τα κατάλληλα hard skills μπορούν να αναπτυχθούν με την εκπαίδευση είτε μέσω μεταπτυχιακών τίτλων ή κατάλληλων σεμιναρίων, είτε μέσω επαγγελματικών πιστοποιήσεων.

Το ISC2 Hellenic Chapter βοηθάει ενεργά την ελληνική αγορά παρέχοντας εκπαιδεύσεις στις πιο περιζήτητες πιστοποιήσεις CISSP και CCSP του ISC2, σε προσαρμοσμένες τιμές, με Έλληνες πιστοποιημένους εκπαιδευτές από τον ISC2.

Αν και τα soft skills καλλιεργούνται κυρίως με την εμπειρία, το ISC2 Hellenic Chapter βοηθάει τους επαγγελματίες κυβερνοασφάλειας φέρνοντάς τους κοντά, ανοίγοντας το δρόμο για διάλογο μέσα από τις δράσεις του, μοιράζοντας τη γνώση μέσα από τις εμπειρίες των μελών του και καλλιεργώντας τα soft skills μέσα με ενεργή συμμετοχή στις εθελοντικές δράσεις ευαισθητοποίησης του κοινού.