Από τεχνικός υπεύθυνος ασφαλείας σε στρατηγικός ηγέτης ανθεκτικότητας
Η κυβερνοασφάλεια δεν είναι πλέον ένα τεχνικό θέμα που αφορά αποκλειστικά το IT. Δεν είναι ένα σύνολο εργαλείων, πολιτικών και ελέγχων που λειτουργούν στο παρασκήνιο. Είναι ένας από τους βασικούς παράγοντες που καθορίζουν αν ένας οργανισμός μπορεί να συνεχίσει να λειτουργεί, να εξυπηρετεί πελάτες, να προστατεύει τη φήμη του και να ανταποκρίνεται στις κανονιστικές του υποχρεώσεις.

Παναγιώτης Καλαντζής
Cyber Security & Privacy Expert
ISC2 Hellenic Chapter BoD Member
Στην ελληνική πραγματικότητα, αλλά και διεθνώς, ο ρόλος του CISO (Chief Information Security Officer) βρίσκεται σε μια κρίσιμη καμπή. Από τεχνικός υπεύθυνος ασφάλειας, ο οποίος παραδοσιακά ασχολούνταν με firewalls, antivirus, πολιτικές πρόσβασης, backups και audits, ο CISO μετατρέπεται σε στρατηγικό συνομιλητή της Διοίκησης. Είναι ο άνθρωπος που καλείται να εξηγήσει τι σημαίνει ένας τεχνικός κίνδυνος για την επιχείρηση, ποιες αποφάσεις πρέπει να ληφθούν, ποιοι κίνδυνοι είναι αποδεκτοί και ποιοι όχι.
Η αλλαγή αυτή δεν είναι θεωρητική. Η ενσωμάτωση της Οδηγίας NIS2 στην ελληνική έννομη τάξη μέσω του ν. 5160/2024, καθώς και η ενίσχυση του ρόλου της Εθνικής Αρχής Κυβερνοασφάλειας, δείχνουν ότι η κυβερνοασφάλεια αντιμετωπίζεται πλέον ως ζήτημα διοίκησης, εποπτείας και λογοδοσίας, όχι απλώς ως τεχνική λειτουργία.
Αυτό σημαίνει ότι ο CISO δεν μπορεί πλέον να λειτουργεί ως ο άνθρωπος που «κρατά ασφαλή τα συστήματα» με στενή τεχνική έννοια. Πρέπει να λειτουργεί ως ηγέτης ανθεκτικότητας. Πρέπει να συνδέει την τεχνολογία με τον επιχειρησιακό κίνδυνο, τη συμμόρφωση με τη στρατηγική, την άμυνα με τη συνέχεια λειτουργίας και την πρόληψη με την ικανότητα ανάκαμψης.
Γιατί ο τίτλος του CISO έχει σημασία
Στην ελληνική αγορά, οι τίτλοι πολλές φορές δεν αποτυπώνουν πλήρως τις πραγματικές ευθύνες. Σε έναν οργανισμό, ο αντίστοιχος ρόλος μπορεί να λέγεται CISO. Σε έναν άλλο μπορεί να βρίσκεται κάτω από τον CIO, τον IT Director, τον Risk Manager, τον DPO ή ακόμη και τον CFO. Σε μικρότερες επιχειρήσεις, μπορεί να μην υπάρχει καν διακριτός τίτλος, αλλά οι ευθύνες να μοιράζονται μεταξύ IT, διοίκησης και εξωτερικών συνεργατών.
Παρόλα αυτά, ο όρος CISO έχει επικοινωνιακή και ουσιαστική αξία. Είναι διεθνώς αναγνωρίσιμος, σύντομος, δυνατός και αρκετά mainstream ώστε να λειτουργήσει ως σημείο αναφοράς. Σε έναν οργανισμό, μπορεί να γίνει μια σταθερή φωνή που δεν απευθύνεται μόνο στους ειδικούς της τεχνολογίας, αλλά και στη διοίκηση, στους IT leaders, στους vendors, στους συμβούλους, στους auditors και στους επαγγελματίες που προσπαθούν να καταλάβουν πού πηγαίνει η αγορά.
Η επιλογή του όρου CISO βοηθά να ανέβει η συζήτηση επίπεδο. Δεν μιλάμε απλώς για “security”. Μιλάμε για ηγεσία, ευθύνη, στρατηγική, governance, κίνδυνο και επιχειρησιακή συνέχεια. Μιλάμε για έναν ρόλο που βρίσκεται στο σημείο όπου τέμνονται η τεχνολογία, η διοίκηση, η κανονιστική συμμόρφωση και η εμπιστοσύνη.
Η μεγάλη μετατόπιση των τελευταίων πέντε ετών
Τα τελευταία χρόνια άλλαξαν ριζικά οι συνθήκες μέσα στις οποίες λειτουργούν οι οργανισμοί. Το cloud έγινε βασική υποδομή. Το remote και hybrid work άλλαξε τα όρια του εταιρικού περιβάλλοντος. Οι SaaS εφαρμογές πολλαπλασιάστηκαν. Τα APIs έγιναν κρίσιμα σημεία διασύνδεσης. Οι αλυσίδες προμηθευτών έγιναν πιο σύνθετες. Τα δεδομένα διακινούνται διαρκώς μεταξύ εσωτερικών συστημάτων, εξωτερικών παρόχων και πλατφορμών.
Παράλληλα, οι κυβερνοεπιθέσεις έγιναν πιο «επαγγελματικές». Ransomware groups λειτουργούν με επιχειρηματική λογική. Phishing καμπάνιες γίνονται πιο πειστικές. Τα credentials έχουν τεράστια αξία στη μαύρη αγορά. Οι επιτιθέμενοι δεν ενδιαφέρονται απαραίτητα για το μέγεθος ενός οργανισμού, αλλά για την ευκαιρία: ένα αδύναμο σημείο, έναν απρόσεκτο χρήστη, έναν εκτεθειμένο server, έναν προμηθευτή με πρόσβαση, ένα σύστημα χωρίς ενημερώσεις.
Ο ENISA, στην έκδοση Threat Landscape 2025, αναλύει χιλιάδες περιστατικά για την περίοδο από 1 Ιουλίου 2024 έως 30 Ιουνίου 2025, επιβεβαιώνοντας ότι το ευρωπαϊκό τοπίο απειλών παραμένει έντονο, πολύμορφο και διαρκώς εξελισσόμενο . Μέσα σε αυτό το περιβάλλον, η παλιά ερώτηση «είμαστε ασφαλείς;» δεν έχει εύκολη απάντηση. Καμία επιχείρηση δεν μπορεί να εγγυηθεί απόλυτη ασφάλεια. Η σωστή ερώτηση είναι πλέον διαφορετική:
Πόσο καλά γνωρίζουμε τον κίνδυνο; Πόσο γρήγορα μπορούμε να τον εντοπίσουμε; Πόσο αποτελεσματικά μπορούμε να αντιδράσουμε; Και πόσο σύντομα μπορούμε να επανέλθουμε;
Αυτή ακριβώς είναι η μετάβαση από την κυβερνοασφάλεια ως προστασία στην κυβερνοασφάλεια ως ανθεκτικότητα.
Τι ζητά σήμερα η Διοίκηση από έναν CISO
Η Διοίκηση δεν ζητά πλέον μόνο τεχνική επάρκεια. Ζητά καθαρή εικόνα. Ζητά προτεραιότητες. Ζητά τεκμηριωμένες εισηγήσεις. Ζητά να γνωρίζει ποιοι κίνδυνοι απειλούν πραγματικά τον οργανισμό και ποια μέτρα έχουν νόημα από επιχειρησιακή σκοπιά.
Ο CISO πρέπει να μπορεί να απαντήσει σε ερωτήματα όπως:
- Ποια είναι τα κρίσιμα assets;
- Ποιες λειτουργίες δεν πρέπει να σταματήσουν;
- Ποια δεδομένα είναι πιο ευαίσθητα;
- Ποιοι χρήστες έχουν προνομιακή πρόσβαση;
- Ποιοι τρίτοι πάροχοι συνδέονται με τα συστήματά μας;
- Ποια σενάρια επίθεσης είναι πιο ρεαλιστικά;
- Πόσο ώριμη είναι η δυνατότητα απόκρισης;
- Τι θα συμβεί αν αύριο το πρωί δεν έχουμε πρόσβαση σε ένα κρίσιμο σύστημα;
Στην πράξη, η Διοίκηση ζητά από τον CISO τέσσερα πράγματα.
Πρώτον, risk management. Ο CISO πρέπει να μπορεί να χαρτογραφεί, να αξιολογεί και να ιεραρχεί τον κίνδυνο. Όχι αφηρημένα, αλλά με σενάρια που έχουν επιχειρησιακή σημασία: ransomware σε παραγωγικό σύστημα, διαρροή δεδομένων πελατών, υποκλοπή λογαριασμών διοίκησης, compromise προμηθευτή, αδυναμία ανάκτησης από backup, διακοπή cloud υπηρεσίας.
Δεύτερον, business resilience. Η επιχείρηση πρέπει να μπορεί να συνεχίσει να λειτουργεί ακόμη και όταν ένα περιστατικό βρίσκεται σε εξέλιξη. Αυτό σημαίνει business continuity, disaster recovery, crisis management, εναλλακτικές διαδικασίες, σαφείς ρόλους και τακτικές δοκιμές.
Τρίτον, regulatory compliance. GDPR, NIS2, κλαδικές απαιτήσεις, συμβατικές υποχρεώσεις, πρότυπα όπως ISO 27001 και frameworks όπως NIST CSF αποτελούν μέρος της καθημερινότητας. Η NIS2 θεσπίζει ενιαίο νομικό πλαίσιο κυβερνοασφάλειας για 18 κρίσιμους τομείς στην Ευρωπαϊκή Ένωση και προβλέπει, μεταξύ άλλων, εθνικές στρατηγικές, διαχείριση κινδύνου και συνεργασία μεταξύ κρατών-μελών.
Τέταρτον, cyber resilience. Δεν αρκεί να υπάρχουν εργαλεία πρόληψης. Ο οργανισμός πρέπει να μπορεί να απορροφήσει την επίθεση, να περιορίσει τον αντίκτυπο, να αποκαταστήσει υπηρεσίες και να μάθει από το περιστατικό.
Ο CISO ως μεταφραστής του κινδύνου
Ένα από τα πιο κρίσιμα χαρακτηριστικά του σύγχρονου CISO είναι η ικανότητα μετάφρασης. Όχι μετάφρασης από μια γλώσσα σε άλλη, αλλά από την τεχνική πραγματικότητα στην επιχειρησιακή πραγματικότητα.
Η τεχνική ομάδα μπορεί να μιλήσει για CVEs, patch levels, endpoint detections, lateral movement, privileged accounts, exposed services, EDR alerts και SIEM correlation rules. Αυτή η γλώσσα είναι απαραίτητη μέσα στην ομάδα ασφάλειας. Δεν είναι όμως πάντα χρήσιμη στην Διοίκηση.
Το Διοικητικό Συμβούλιο χρειάζεται άλλη γλώσσα. Χρειάζεται να καταλάβει πιθανότητα, αντίκτυπο, κόστος, ευθύνη, επιλογές και αποφάσεις.
Ο CISO που μιλά αποτελεσματικά στο Διοικητικό Συμβούλιο δεν λέει απλώς: «Έχουμε πολλές κρίσιμες ευπάθειες». Λέει: «Τρία συστήματα που υποστηρίζουν κρίσιμες επιχειρησιακές λειτουργίες έχουν ευπάθειες που μπορούν να αξιοποιηθούν απομακρυσμένα. Αν δεν αντιμετωπιστούν μέσα στις επόμενες 30 ημέρες, αυξάνεται ο κίνδυνος διακοπής λειτουργίας ή μη εξουσιοδοτημένης πρόσβασης».
Δεν λέει: «Το phishing simulation είχε υψηλό click rate». Λέει, όμως, «Ένα σημαντικό ποσοστό εργαζομένων εξακολουθεί να μπορεί να οδηγηθεί σε υποκλοπή διαπιστευτηρίων. Αυτό αυξάνει τον κίνδυνο παραβίασης λογαριασμών σε τμήματα με πρόσβαση σε οικονομικά, HR ή δεδομένα πελατών».
Δεν λέει: «Χρειαζόμαστε νέο εργαλείο XDR». Αντίθετα, λέει: «Σήμερα δεν έχουμε επαρκή ορατότητα σε endpoints, cloud workloads και ταυτότητες χρηστών. Αυτό σημαίνει ότι μπορεί να καθυστερήσουμε να εντοπίσουμε μια επίθεση. Η συγκεκριμένη επένδυση μειώνει τον χρόνο εντοπισμού και βελτιώνει την ικανότητα απόκρισης».
Αυτός είναι ο πυρήνας του ρόλου. Ο CISO δεν είναι απλώς ειδικός στην κυβερνοασφάλεια. Είναι ο άνθρωπος που βοηθά τη Διοίκηση να πάρει καλύτερες αποφάσεις υπό συνθήκες τεχνολογικής αβεβαιότητας.
Ποια metrics έχουν πραγματική αξία
Η κυβερνοασφάλεια έχει γεμίσει με μετρικές. Αριθμός alerts, αριθμός ευπαθειών, αριθμός blocked attacks, αριθμός emails που μπλοκαρίστηκαν, αριθμός endpoints, ποσοστό patching, αποτελέσματα awareness. Όλα αυτά μπορεί να είναι χρήσιμα επιχειρησιακά. Δεν είναι όμως όλα χρήσιμα για το Board.
Οι μετρικές που έχουν πραγματική αξία είναι εκείνα που οδηγούν σε απόφαση. Για παράδειγμα, ο μέσος χρόνος εντοπισμού ενός περιστατικού δείχνει πόσο γρήγορα ο οργανισμός αντιλαμβάνεται ότι κάτι συμβαίνει. Ο μέσος χρόνος απόκρισης δείχνει πόσο γρήγορα μπορεί να περιορίσει την επίθεση. Το ποσοστό κρίσιμων συστημάτων με δοκιμασμένο recovery plan δείχνει αν η επιχείρηση μπορεί να επανέλθει. Η συμμόρφωση με SLA αποκατάστασης ευπαθειών δείχνει αν οι διαδικασίες λειτουργούν. Η έκθεση τρίτων προμηθευτών δείχνει αν ο οργανισμός γνωρίζει τον κίνδυνο πέρα από τα δικά του όρια.
Ιδιαίτερη αξία έχουν και οι μετρικές που συνδέονται με το risk appetite. Αν η Διοίκηση έχει αποδεχθεί ότι συγκεκριμένες λειτουργίες πρέπει να ανακάμπτουν μέσα σε συγκεκριμένο χρόνο, τότε ο CISO πρέπει να μπορεί να δείξει αν αυτό είναι ρεαλιστικό. Αν υπάρχουν εξαιρέσεις ασφαλείας, πρέπει να είναι γνωστό ποιος τις έχει εγκρίνει, για πόσο διάστημα και με ποιον κίνδυνο.
Ένα ώριμο report προς το Διοικητικό Συμβούλιο δεν πρέπει να είναι κατάλογος τεχνικών ευρημάτων. Πρέπει να είναι εργαλείο διοίκησης. Να δείχνει τάσεις, εκκρεμότητες, αποφάσεις που απαιτούνται, υπολειπόμενο κίνδυνο και περιοχές όπου χρειάζεται επένδυση.
Πώς χτίζεται η στρατηγική κυβερνοασφάλειας
Η στρατηγική κυβερνοασφάλειας δεν πρέπει να ξεκινά από την τεχνολογία. Πρέπει να ξεκινά από τον κίνδυνο.
Το πρώτο βήμα είναι το risk assessment. Ο οργανισμός πρέπει να γνωρίζει τι προστατεύει. Ποια συστήματα είναι κρίσιμα; Ποια δεδομένα είναι ευαίσθητα; Ποιες υπηρεσίες δημιουργούν έσοδα; Ποια συστήματα υποστηρίζουν πελάτες, παραγωγή, πληρωμές, εφοδιαστική αλυσίδα, ανθρώπινο δυναμικό ή κανονιστική συμμόρφωση; Ποιοι χρήστες έχουν πρόσβαση σε τι; Ποιοι τρίτοι πάροχοι έχουν δικαιώματα ή διασυνδέσεις;
Χωρίς αυτή την εικόνα, κάθε στρατηγική είναι ελλιπής. Δεν μπορείς να προστατεύσεις αποτελεσματικά κάτι που δεν γνωρίζεις. Δεν μπορείς να ιεραρχήσεις κινδύνους αν δεν γνωρίζεις ποια assets είναι πιο κρίσιμα για την επιχείρηση.
Το δεύτερο βήμα είναι η ιεράρχηση. Κανένας οργανισμός δεν έχει απεριόριστους πόρους. Στην ελληνική αγορά αυτό είναι ακόμη πιο έντονο. Πολλές επιχειρήσεις καλούνται να ανταποκριθούν σε αυξημένες απαιτήσεις κυβερνοασφάλειας με περιορισμένα budgets, μικρές ομάδες και πολλαπλές επιχειρησιακές πιέσεις.
Ο CISO πρέπει να ξεχωρίσει το κρίσιμο από το επιθυμητό. Άλλο πράγμα είναι μια προηγμένη λύση αυτοματοποίησης και άλλο η απουσία MFA σε privileged accounts. Άλλο πράγμα είναι ένα νέο dashboard και άλλο ένα backup που δεν έχει δοκιμαστεί ποτέ. Άλλο πράγμα είναι η επένδυση σε threat intelligence και άλλο η έλλειψη βασικής ορατότητας στο περιβάλλον.
Το τρίτο βήμα είναι το roadmap. Μια σοβαρή στρατηγική δεν μπορεί να είναι κατάλογος έργων χωρίς συνοχή. Χρειάζεται ορίζοντα 12, 24 και 36 μηνών. Χρειάζεται quick wins, μεσοπρόθεσμες παρεμβάσεις και μακροπρόθεσμη ωρίμανση.
Ένα ρεαλιστικό roadmap μπορεί να ξεκινά από βασικές κινήσεις: MFA, patch management, backup strategy, asset inventory, endpoint protection, awareness, incident response plan. Στη συνέχεια μπορεί να επεκτείνεται σε SOC capability, SIEM/XDR, identity governance, third-party risk management, data classification, tabletop exercises, cloud security posture management και continuous monitoring.
Το τέταρτο βήμα είναι το budget planning. Ο CISO πρέπει να τεκμηριώνει την επένδυση με βάση τη μείωση κινδύνου. Δεν ζητά budget επειδή ένα εργαλείο είναι δημοφιλές. Ζητά budget επειδή η συγκεκριμένη παρέμβαση μειώνει πιθανότητα ή αντίκτυπο, καλύπτει κανονιστική απαίτηση, μειώνει χρόνο απόκρισης ή αυξάνει την ανθεκτικότητα.
Η ελληνική διάσταση της συμμόρφωσης
Η συμμόρφωση στην κυβερνοασφάλεια δεν είναι πλέον μια άσκηση τεκμηρίωσης για το αρχείο. Είναι στοιχείο διοικητικής ευθύνης και επιχειρησιακής αξιοπιστίας.
Με τη NIS2, το πλαίσιο γίνεται πιο απαιτητικό για βασικές και σημαντικές οντότητες. Η Εθνική Αρχή Κυβερνοασφάλειας έχει ανακοινώσει Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας για βασικές και σημαντικές οντότητες, το οποίο περιλαμβάνει 22 απαιτήσεις που εξειδικεύονται σε τεχνικά, οργανωτικά και επιχειρησιακά μέτρα. (Εθνική Αρχή Κυβερνοασφάλειας)
Αυτό είναι ιδιαίτερα σημαντικό για την ελληνική αγορά, όπου πολλοί οργανισμοί βρίσκονται σε διαφορετικά επίπεδα ωριμότητας. Κάποιοι έχουν ήδη οργανωμένα security teams, formal governance, SOC λειτουργίες και εξωτερικούς συμβούλους. Άλλοι βρίσκονται ακόμη στο στάδιο της βασικής χαρτογράφησης συστημάτων, πολιτικών και ευθυνών.
Ο CISO πρέπει να γεφυρώσει αυτό το χάσμα. Πρέπει να μετατρέψει τη συμμόρφωση από υποχρέωση σε εργαλείο βελτίωσης. Να αξιοποιήσει τα κανονιστικά πλαίσια για να χτίσει καλύτερες διαδικασίες, σαφέστερες ευθύνες, πιο ώριμο reporting και πιο ανθεκτικές λειτουργίες.
Το ζητούμενο δεν είναι πια να «περάσει το audit». Το ζητούμενο είναι ο οργανισμός να είναι πραγματικά πιο ασφαλής και πιο έτοιμος.
Τεχνολογίες και προμηθευτές: πέρα από το hype
Η αγορά κυβερνοασφάλειας είναι από τις πιο θορυβώδεις τεχνολογικές αγορές. Κάθε λύση υπόσχεται visibility, automation, intelligence, AI, compliance, detection, response και risk reduction. Ο CISO βρίσκεται διαρκώς αντιμέτωπος με νέα εργαλεία, νέες πλατφόρμες, νέα acronyms και νέες υποσχέσεις.
Η δουλειά του όμως δεν είναι να αγοράζει τεχνολογία. Είναι να επιλέγει λύσεις που παράγουν αξία.
Η αξιολόγηση μιας τεχνολογίας πρέπει να ξεκινά από πρακτικά ερωτήματα. Ποιο πρόβλημα λύνει; Ποιον κίνδυνο μειώνει; Ενσωματώνεται στο υπάρχον περιβάλλον; Μπορεί η ομάδα να τη λειτουργήσει; Πόσο χρόνο χρειάζεται για να αποδώσει; Πόσο αυξάνει ή μειώνει την πολυπλοκότητα; Τι απαιτήσεις έχει σε ανθρώπους, διαδικασίες και συντήρηση; Τι γίνεται αν ο vendor δεν ανταποκριθεί; Πώς μετράται η αποτελεσματικότητα;
Η απόδοση επένδυσης στην κυβερνοασφάλεια είναι δύσκολη, γιατί πολλές φορές η αξία βρίσκεται σε κάτι που δεν συνέβη: μια επίθεση που περιορίστηκε, μια διαρροή που αποτράπηκε, μια διακοπή που δεν επεκτάθηκε, ένα πρόστιμο που δεν επιβλήθηκε, μια φήμη που δεν τραυματίστηκε. Παρ’ όλα αυτά, ο CISO μπορεί και πρέπει να συνδέει τις επενδύσεις με συγκεκριμένα outcomes.
Για παράδειγμα, μια λύση detection έχει αξία αν μειώνει τον χρόνο εντοπισμού. Μια λύση identity governance έχει αξία αν μειώνει υπερβολικά δικαιώματα και orphan accounts. Μια λύση backup έχει αξία αν επιτρέπει αξιόπιστη και δοκιμασμένη ανάκτηση. Ένα awareness πρόγραμμα έχει αξία αν μειώνει συμπεριφορές υψηλού κινδύνου.
Στην ελληνική πραγματικότητα, υπάρχει και ένας ακόμη παράγοντας: η ταχύτητα υλοποίησης. Μια άριστη λύση που απαιτεί δώδεκα μήνες για να παραγάγει αξία μπορεί να μην είναι η σωστή επιλογή για έναν οργανισμό που χρειάζεται άμεση μείωση κινδύνου. Η καλύτερη τεχνολογία είναι εκείνη που ταιριάζει στην ωριμότητα, στους ανθρώπους, στις διαδικασίες και στον ρυθμό του οργανισμού.
Πότε ένας vendor γίνεται στρατηγικός συνεργάτης
Ένας vendor γίνεται στρατηγικός συνεργάτης όταν παύει να πουλά απλώς προϊόντα και αρχίζει να κατανοεί τον οργανισμό. Όταν δεν ενδιαφέρεται μόνο για το renewal, αλλά για το αν η λύση λειτουργεί πραγματικά. Όταν μπορεί να βοηθήσει πριν από το περιστατικό, κατά τη διάρκεια του περιστατικού και μετά από αυτό.
Ο CISO αξιολογεί την τεχνολογία, αλλά δεν αξιολογεί μόνο την τεχνολογία. Αξιολογεί την υποστήριξη, την τεχνογνωσία, την ποιότητα των ανθρώπων, την ανταπόκριση, την εμπειρία σε incident response, την ικανότητα συμβουλευτικής καθοδήγησης και τη διαθεσιμότητα σε κρίσιμες στιγμές.
Η τοπική παρουσία έχει ιδιαίτερη αξία στην ελληνική αγορά. Όχι επειδή όλα πρέπει να είναι τοπικά, αλλά επειδή σε μια κρίση έχει σημασία ποιος θα απαντήσει άμεσα, ποιος γνωρίζει το επιχειρησιακό και θεσμικό περιβάλλον, ποιος μπορεί να μιλήσει με τη διοίκηση, το IT, το νομικό τμήμα, τον DPO, την επικοινωνία και τους εξωτερικούς συμβούλους.
Ένας στρατηγικός συνεργάτης δεν υπόσχεται ότι δεν θα συμβεί τίποτα. Βοηθά τον οργανισμό να είναι έτοιμος όταν κάτι συμβεί. Συμμετέχει σε ασκήσεις, μεταφέρει γνώση, προτείνει βελτιώσεις, αναλαμβάνει ευθύνη και λειτουργεί με διαφάνεια.
Η μάχη για ανθρώπινο δυναμικό
Η κυβερνοασφάλεια παραμένει, παρά την τεχνολογική της φύση, βαθιά ανθρώπινη υπόθεση. Τα εργαλεία εντοπίζουν σήματα. Οι άνθρωποι καταλαβαίνουν το νόημά τους. Τα συστήματα παράγουν alerts. Οι ομάδες αποφασίζουν τι έχει σημασία. Οι πλατφόρμες αυτοματοποιούν διαδικασίες. Οι επαγγελματίες ασφάλειας κρίνουν πότε πρέπει να κλιμακώσουν, να απομονώσουν, να ερευνήσουν, να ενημερώσουν.
Η προσέλκυση και διατήρηση ταλέντου είναι μία από τις μεγαλύτερες προκλήσεις για κάθε CISO. Η ζήτηση για security engineers, analysts, architects, GRC specialists, cloud security experts, incident responders και identity specialists είναι υψηλή. Ο ανταγωνισμός είναι διεθνής. Το remote work έχει ανοίξει την αγορά. Οι έμπειροι επαγγελματίες έχουν επιλογές.
Η απάντηση δεν μπορεί να είναι μόνο «να προσλάβουμε περισσότερους». Πολλές φορές αυτό δεν είναι εφικτό. Η απάντηση πρέπει να είναι πιο σύνθετη: upskilling, reskilling, mentoring, καθαροί ρόλοι, πιστοποιήσεις, πρακτική εμπειρία, συμμετοχή σε έργα, συνεργασία με εξωτερικούς experts και δημιουργία κουλτούρας μάθησης.
Μια ισχυρή ομάδα ασφάλειας χρειάζεται διαφορετικά προφίλ. Χρειάζεται ανθρώπους με βαθιά τεχνική γνώση, αλλά και ανθρώπους που καταλαβαίνουν governance, διαδικασίες, risk, audit, επικοινωνία και επιχειρησιακές ανάγκες. Δεν είναι όλοι οι ρόλοι ίδιοι. Ένας καλός SOC analyst δεν είναι απαραίτητα καλός GRC specialist. Ένας cloud security architect δεν έχει απαραίτητα την ίδια λογική με έναν incident responder. Ο CISO πρέπει να συνθέτει αυτές τις δεξιότητες σε μια λειτουργική ομάδα.
Η διατήρηση προσωπικού είναι εξίσου κρίσιμη. Οι άνθρωποι της ασφάλειας εργάζονται συχνά σε συνθήκες πίεσης. Διαχειρίζονται alerts, projects, audits, incidents, ελλείψεις, απαιτήσεις διοίκησης και τεχνική αβεβαιότητα. Αν ο οργανισμός δεν προσέξει την ισορροπία, το burnout γίνεται πραγματικός κίνδυνος.
Οι ομάδες ασφάλειας χρειάζονται αναγνώριση, σαφείς προτεραιότητες, ρεαλιστικό workload και δυνατότητα εξέλιξης. Χρειάζονται ηγεσία που προστατεύει την ομάδα από τον διαρκή θόρυβο και τη βοηθά να επικεντρώνεται σε ό,τι έχει πραγματική αξία.
Τεχνητή Νοημοσύνη: ευκαιρία ή πονοκέφαλος;
Η Τεχνητή Νοημοσύνη έχει μπει δυναμικά στην ατζέντα του CISO. Και δικαίως. Είναι ταυτόχρονα εργαλείο άμυνας, πηγή παραγωγικότητας, πεδίο καινοτομίας και νέα επιφάνεια κινδύνου.
Στην άμυνα, η AI μπορεί να βοηθήσει σημαντικά. Μπορεί να αναλύει μεγάλους όγκους δεδομένων, να εντοπίζει ανωμαλίες, να συσχετίζει events, να βοηθά στο triage, να προτείνει ενέργειες, να υποστηρίζει τους analysts, να επιταχύνει τη δημιουργία reports και να ενισχύει την ταχύτητα απόκρισης. Για ομάδες με περιορισμένους πόρους, αυτή η ενίσχυση μπορεί να είναι πολύτιμη.
Από την άλλη πλευρά, η AI δίνει νέες δυνατότητες και στους επιτιθέμενους. Phishing μηνύματα μπορούν να γίνουν πιο πειστικά και πιο προσωποποιημένα. Deepfakes και voice cloning μπορούν να χρησιμοποιηθούν για εξαπάτηση. Η αυτοματοποίηση μπορεί να επιταχύνει reconnaissance και social engineering. Η παραγωγή κακόβουλου περιεχομένου γίνεται πιο εύκολη για λιγότερο έμπειρους επιτιθέμενους.
Ο CISO πρέπει να δει την AI με διπλή οπτική. Πρώτον, πώς μπορεί να αξιοποιηθεί με ασφάλεια για την άμυνα. Δεύτερον, πώς μπορεί να δημιουργήσει νέους κινδύνους για τον οργανισμό.
Τα βασικά ερωτήματα είναι πρακτικά. Ποια AI εργαλεία χρησιμοποιούν οι εργαζόμενοι; Τι δεδομένα εισάγουν; Υπάρχει πολιτική χρήσης; Έχουν αξιολογηθεί οι vendors; Πώς προστατεύονται προσωπικά, εμπιστευτικά ή επιχειρησιακά κρίσιμα δεδομένα; Πώς διασφαλίζεται ότι outputs από AI συστήματα δεν χρησιμοποιούνται άκριτα σε κρίσιμες αποφάσεις;
Το ευρωπαϊκό πλαίσιο κινείται επίσης προς αυτή την κατεύθυνση. Το AI Act τέθηκε σε ισχύ την 1η Αυγούστου 2024, με σταδιακή εφαρμογή των υποχρεώσεων, ενώ το πλήρες πλαίσιο εφαρμογής προβλέπεται να εξελιχθεί σε βάθος χρόνου (European Commission).
Η AI δεν αντικαθιστά τον CISO. Αντίθετα, αυξάνει την ανάγκη για CISO με κρίση, governance, τεχνική αντίληψη και επιχειρησιακή ωριμότητα.
Όταν συμβεί το περιστατικό
Η πραγματική αξία ενός CISO φαίνεται στην κρίση.
Όταν συμβεί ένα σοβαρό cyber incident, όλα επιταχύνονται. Η τεχνική ομάδα προσπαθεί να καταλάβει τι συνέβη. Η διοίκηση ζητά απαντήσεις. Οι νομικοί εξετάζουν υποχρεώσεις. Η επικοινωνία προετοιμάζεται για πιθανές ερωτήσεις. Οι πελάτες μπορεί να επηρεάζονται. Οι υπηρεσίες μπορεί να έχουν διακοπεί. Ο χρόνος πιέζει.
Εκείνη τη στιγμή, δεν υπάρχει περιθώριο για ασάφεια. Ποιος αποφασίζει; Ποιος ενημερώνει τη διοίκηση; Ποιος μιλάει στους πελάτες; Ποιος ενημερώνει τις αρχές, αν απαιτείται; Ποιος εγκρίνει τη διακοπή ή την επαναφορά υπηρεσιών; Ποιος κρατά ενιαία εικόνα της κατάστασης; Πότε ενεργοποιείται το business continuity plan;
Αυτές οι απαντήσεις δεν πρέπει να αναζητούνται την ώρα της κρίσης. Πρέπει να υπάρχουν από πριν.
Ο CISO χρειάζεται incident response plan, σαφές escalation matrix, ρόλους και ευθύνες, συνεργασία με το νομικό τμήμα και τον DPO, επικοινωνιακό πλάνο, forensic δυνατότητες, επαφή με εξωτερικούς συνεργάτες, δοκιμασμένα backups και τακτικές ασκήσεις προσομοίωσης.
Οι tabletop exercises είναι ιδιαίτερα σημαντικές. Δεν αρκεί να υπάρχει ένα έγγραφο. Πρέπει να δοκιμαστεί. Πρέπει να δει η ομάδα πώς αντιδρά υπό πίεση, πού υπάρχουν κενά, ποιος χρειάζεται να εμπλακεί, ποια ξαπόφαση καθυστερεί, ποιο τηλέφωνο δεν απαντά, ποια εξάρτηση δεν είχε υπολογιστεί.
Η κρίση έχει και ανθρώπινη διάσταση. Ο CISO βρίσκεται συχνά στο κέντρο μιας κατάστασης υψηλής έντασης, με τεχνική αβεβαιότητα, διοικητική πίεση, νομική έκθεση και πιθανή επίπτωση σε πελάτες ή φήμη. Το burnout δεν είναι θεωρητικό θέμα. Είναι υπαρκτός κίνδυνος για τους επαγγελματίες ασφάλειας.
Γι’ αυτό η κυβερνοασφάλεια δεν μπορεί να στηρίζεται σε έναν άνθρωπο. Ο CISO ηγείται, αλλά η ευθύνη πρέπει να είναι οργανωσιακή. Το Διοικητικό Συμβούλιο, η διοίκηση, το IT, οι επιχειρησιακές μονάδες, το νομικό τμήμα, ο DPO, η επικοινωνία και οι εξωτερικοί συνεργάτες πρέπει να έχουν ρόλο πριν συμβεί το περιστατικό.
Ο CISO ως φορέας κουλτούρας
Ένα από τα πιο δύσκολα καθήκοντα του CISO είναι να αλλάξει κουλτούρα. Η κυβερνοασφάλεια δεν μπορεί να επιβληθεί μόνο με πολιτικές. Δεν αρκεί να γράψεις κανόνες. Πρέπει οι άνθρωποι να καταλάβουν γιατί έχουν σημασία.
Η κουλτούρα ασφάλειας δεν σημαίνει να φοβούνται οι εργαζόμενοι. Σημαίνει να αναγνωρίζουν τον ρόλο τους. Να ξέρουν πότε πρέπει να αναφέρουν κάτι ύποπτο. Να καταλαβαίνουν γιατί το MFA είναι απαραίτητο. Να μη βλέπουν την ασφάλεια ως εμπόδιο, αλλά ως μέρος της επαγγελματικής ευθύνης.
Ο CISO πρέπει να συνεργαστεί με HR, εκπαίδευση, επικοινωνία και business units. Το awareness δεν πρέπει να είναι μια ετήσια υποχρεωτική παρουσίαση που όλοι προσπερνούν. Πρέπει να είναι συνεχές, πρακτικό, σχετικό με τον ρόλο κάθε ομάδας και συνδεδεμένο με πραγματικά σενάρια.
Άλλες ανάγκες έχει το finance, άλλες το HR, άλλες οι developers, άλλες η διοίκηση, άλλες το customer support. Η εκπαίδευση πρέπει να προσαρμόζεται. Η κουλτούρα χτίζεται όταν η ασφάλεια μπαίνει στην καθημερινότητα χωρίς να παραλύει τη λειτουργία.
Ο καλός CISO δεν είναι ο άνθρωπος που λέει πάντα «όχι». Είναι ο άνθρωπος που βοηθά τον οργανισμό να πει «ναι» με ασφαλέστερο τρόπο.
Ο CISO του 2030
Ο CISO του 2030 δεν θα είναι απλώς ένας πιο έμπειρος τεχνικός. Θα είναι ένας υβριδικός ηγέτης.
Θα χρειάζεται να κατανοεί cloud, identity, AI, data governance, privacy, OT, supply chain risk, regulatory frameworks και business continuity. Θα πρέπει να έχει αρκετή τεχνική γνώση ώστε να καταλαβαίνει την πραγματικότητα πίσω από τα reports, αλλά και αρκετή διοικητική ωριμότητα ώστε να μιλάει με Board, regulators, πελάτες και συνεργάτες.
Οι δεξιότητες του επόμενου CISO θα είναι πολυδιάστατες. Θα χρειάζεται στρατηγική σκέψη, επικοινωνιακή ικανότητα, οικονομική αντίληψη, κατανόηση ρίσκου, ικανότητα διαχείρισης κρίσεων, γνώση τεχνολογίας και ικανότητα ανάπτυξης ανθρώπων. Θα πρέπει να διαχειρίζεται budget, vendors, ομάδες, audits, incidents, προσδοκίες διοίκησης και τεχνολογικές αλλαγές.
Η τεχνική γνώση θα παραμείνει απαραίτητη, αλλά δεν θα είναι αρκετή. Ο CISO του μέλλοντος θα κρίνεται λιγότερο από το πόσα εργαλεία έχει εγκαταστήσει και περισσότερο από το πόσο ανθεκτικό έχει κάνει τον οργανισμό. Θα κρίνεται από το αν η επιχείρηση μπορεί να συνεχίσει να λειτουργεί, να ανακάμπτει, να προστατεύει πελάτες και να διατηρεί εμπιστοσύνη.
Το κρίσιμο ερώτημα θα είναι απλό:
Μπορεί ο οργανισμός να συνεχίσει να λειτουργεί με ασφάλεια, εμπιστοσύνη και ταχύτητα, ακόμη και όταν το περιβάλλον γύρω του γίνεται πιο αβέβαιο;
Αν η απάντηση είναι ναι, τότε ο CISO έχει πετύχει κάτι πολύ μεγαλύτερο από την προστασία της τεχνολογίας. Έχει συμβάλει στην προστασία της ίδιας της επιχειρησιακής συνέχειας.








