& skills for a cyber security career
Μιλήσαµε µε την τελική 50άδα των πιο επιδραστικών στελεχών end users εταιρειών
στον τοµέα της κυβερνοασφάλειας, αναζητώντας ποια είναι τα skills και τα
ιδιαίτερα χαρακτηριστικά ενός επιτυχηµένου CISO, καθώς και ποιες είναι οι µεγάλες
προκλήσεις στην καριέρα του.
Οι µεγάλες προκλήσεις και τα προσωπικά
στοιχήµατα
Βασίλης
Βασιλείου Director of Cyber Security & Resilience, Novibet
«Επικοινωνία και Μέθοδος. Λαµβάνοντας υπόψη ότι o κίνδυνος Κυβερνοεγκλήµατος & έλλειψης Κυβερνοασφάλειας αποτελεί σήµερα έναν από τους δέκα σηµαντικότερους, άµεσους κινδύνους για τις επιχειρήσεις παγκοσµίως, θα εστιάσω σε δύο παράγοντες οι οποίοι παίζουν καθοριστικό ρόλο στην προάσπιση αλλά
και στην επίτευξη των επιχειρηµατικών στόχων.
Και οι δύο, αποτελούν µεγάλη πρόκληση προκειµένου να οριστεί η κατάλληλη στρατηγική Κυβερνοασφάλειας, καθώς και το πλαίσιο διακυβέρνησης µέσα στο οποίο θα υλοποιηθούν αποτελεσµατικές και αποδοτικές επιχειρηµατικές διεργασίες και τακτικές.
Η επικοινωνία εγγυάται το ίδιο επίπεδο κατανόησης µεταξύ όλων των ενδιαφερόµενων µερών - Ειδικά για τη διοικητική οµάδα, όσον αφορά στη χάραξη αλλά και στη δέσµευση για την στρατηγική»
Who is who
∆ιαθέτει πολυετή εµπειρία στους τοµείς Τηλεπικοινωνιών, Τεχνολογιών Πληροφορίας και Επικοινωνίας, και Ιδιωτικής Ασφάλισης. Εκτενής πρακτική εµπειρία σε τεχνολογίες και µεθοδολογίες Ασφάλειας Πληροφοριών, ∆ιαχείρισης Κινδύνων και Κανονιστικής Συµµόρφωσης.
Ευρεία γκάµα οριζοντίων (soft) δεξιοτήτων όπως, απευθείας αναφορά στην Ανώτατη ∆ιοίκηση και στο ∆ιοικητικό Συµβούλιο, επικεφαλής διοικητικών επιτροπών, διοίκηση διαπολιτισµικών αποµακρυσµένων οµάδων, διαχείριση σύνθετων προγραµµάτων, και ευαισθητοποίηση στελεχών ανώτερης και ανώτατης διοίκησης.
Κώστας Γρίβας
Information Security Officer, Angelicoussis Group
«Η µεγαλύτερη πρόκληση που αντιµετώπισα, αντιµετωπίζω και µάλλον θα εξακολουθήσει να υφίσταται, σχετίζεται µε την προσπάθεια να παρουσιάσω και να εξηγήσω το περιεχόµενο της έννοιας “Information Security” καθώς και το σύνολο των απαιτούµενων ενεργειών και µέσων αντιµετώπισης των κινδύνων. Είτε πρόκειται για στελέχη της διοίκησης είτε για εργαζόµενους, ανεξαρτήτως θέσης και επιπέδου, υπάρχει µια παρανόηση σχετικά µε αυτό το αντικείµενο. Τις περισσότερες φορές η απάντηση στην ερώτηση “τι σηµαίνει Ασφάλεια δεδοµένων ή/και συστηµάτων” περιορίζεται σε εξωτερικούς hackers, phishing email και viruses. Αυτή η “επιφανειακή” προσέγγιση του θέµατος τείνει να εξαντλήσει και τους τρόπους αντιµετώπισης σε ελάχιστα τεχνικά µέσα και απλές διαδικασίες. Κάτι που απέχει από την πραγµατικότητα. Σε όλα τα επίπεδα πρέπει να επισηµαίνω ότι οι κίνδυνοι εξελίσσονται µε αποτέλεσµα να διαφοροποιείται και το επίπεδο επίγνωσης, να βελτιώνονται οι γνώσεις µας σαν χρήστες, και να αλλάζουν οι πρακτικές και τα εργαλεία µας. Σε επίπεδο διοίκησης, απέχοντας από τεχνικούς όρους, να παρουσιάζω την κατάσταση κάθε στιγµή, τους επιχειρηµατικούς κινδύνους ή τα πλεονεκτήµατα που προκύπτουν από ένα ανανεωµένο πλαίσιο, τις νέες απαιτήσεις, και να δικαιολογώ κάθε αίτηµα για πόρους, αλλαγές ή νέες διαδικασίες και πολίτικες. Και επειδή πολλές φορές οτιδήποτε νέο µπορεί να επιφέρει αλλαγές στις πρακτικές που έχουν συνηθίσει οι χρήστες, µε τις αντίστοιχες αντιδράσεις, θα πρέπει µε απλούς τρόπους να τους βοηθώ να κατανοήσουν τους λόγους των αλλαγών και να τους “αποδεχθούν”. Είναι µια διαρκής, αλλά ενδιαφέρουσα, άσκηση ισορροπίας µεταξύ κινδύνων, επιδιώξεων, προσδοκιών, ευχρηστίας, εταιρικού οράµατος, κτλ.»
Who is who
Είµαι ο υπεύθυνος Ασφάλειας Πληροφοριών της Angelicoussis Group. Οι αρµοδιότητες µου περιλαµβάνουν τη στρατηγική Ασφάλειας Πληροφοριών και τις πολιτικές ασφαλείας, τόσο για τα γραφεία του Οµίλου όσο και για τους στόλους µας. Επίσης, η συµµόρφωση µε αυτές καθώς και µε τις διάφορες θεσµοθετηµένες απαιτήσεις, όπως και του πρότυπου ISO27001-2013.Εργάζοµαι στην Πληροφορική για πάνω από 25 χρόνια, τα 15 από αυτά στο Ναυτιλιακό τοµέα.
ΜΑΪΟΣ 2023 • netwee
Προκλήσεις
5
Ιωάννης Βόρδος
∆ιευθυντής Ασφάλειας
Πληροφοριών (CISO) Οµίλου
Χρηµατιστηρίου Αθηνών
«Μία από τις µεγαλύτερες προκλήσεις στην καριέρα µου στο χώρο της
ασφάλειας πληροφοριών, ήταν ο συντονισµός και η συµµετοχή στις διαδι-
κασίες προετοιµασίας για την απόκτηση της πιστοποίησης
ISO27001 από τον Όµιλο Χρηµατιστηρίου Αθηνών. Στη
διαδικασία αυτή έπρεπε ταυτόχρονα να αλλάξουν µία σειρά
από παγιωµένες τεχνολογίες, πρακτικές και αντιλήψεις
στον Όµιλο, που απαιτούσε υποµονή και επιµονή από όλη
την οµάδα που πλαισίωνε το έργο.
Ωστόσο, αυτό που αποδείχθηκε στη συνέχεια ήταν ότι η
διατήρηση της πιστοποίησης αλλά και η επαναπιστοποίηση
ήταν εξίσου, αν όχι περισσότερο, επίπονη και απαιτητική.
Οι νέες πολιτικές και διαδικασίες που αναπτύχθηκαν την
περίοδο της προετοιµασίας έπρεπε να αφοµοιωθούν από
όλο το προσωπικό, να µετουσιωθούν σε εφαρµόσιµες πρα-
κτικές και τελικά να ενταχθούν στην καθηµερινότητα των
στελεχών. Η συλλογή των τεκµηρίων της συµµόρφωσής
µας µε τις προβλέψεις του προτύπου επιβάρυναν την καθηµερινότητα της οµάδας, σε µία απαιτητική περίοδο στο χώρο της ασφάλειας, λόγω της έντασης στον κυβερνοχώρο
από τις γεωπολιτικές εξελίξεις (πόλεµος Ρωσίας-Ουκρανίας, Ελληνοτουρκικά, κ.α.), την αύξηση των κυβερνοεπιθέσεων σε σηµαντικούς Ελληνικούς Οργανισµούς (π.χ. ∆ΕΣΦΑ), αλλά και της αύξησης της επιφάνειας επιθέσεων λόγω τηλεργασίας. Παράλληλα, κληθήκαµε να υλοποιήσουµε νέες τεχνολογίες για να καλύψουµε τις αναδυόµενες προκλήσεις. Επιπρόσθετα, νέοι κανονισµοί (DORA, NIS2, κ.α.) τίθενται σε ισχύ και νέες απαιτήσεις αναδεικνύονται.
Μέσα σε αυτό τον σηµαντικά αυξηµένο όγκο εργασιών η διατήρηση των απαιτήσεων του προτύπου ήταν ένα από τα πιο απαιτητικά έργα για εµένα και την οµάδα µου.
Ο Όµιλος του Χρηµατιστηρίου Αθηνών (ATHEXGroup)
δραστηριοποιείται στην ελληνική κεφαλαιαγορά από το 1876, υποστηρίζοντας τη λειτουργία και την ανάπτυξή της. Λειτουργεί τις αγορές αξιών και παραγώγων, ενώ παράλληλα διενεργεί την εκκαθάριση και τον διακανονισµό των συναλλαγών και συµµετέχει στο χρηµατιστήριο
ενέργειας από το 2019. Μέσω της προσφοράς χρηµατοδοτικών εργαλείων και λύσεων υποστηρίζει την ελληνική επιχειρηµατικότητα, παρέχοντας ένα απόλυτα ασφαλές και σταθερό περιβάλλον, πλήρως εναρµονισµένο µε τις διεθνείς πρακτικές και το ευρωπαϊκό κανονιστικό πλαίσιο, προωθώντας παράλληλα την ανάπτυξη και ανταγωνιστικότητα της ελληνικής οικονοµίας».
Who is who
Εργάστηκα για το Πολεµικό Ναυτικό για 22 χρόνια, όπου διετέλεσα και Επικεφαλής Οµάδας Κυβερνοάµυνας ΠΝ (2013-2016). Ακολούθως (2016-2018), εργάστηκα ως Security Solutions Product Manager
στην Intracom Telecom. Από το 2018 εργάζοµαι για τον Όµιλο Χρηµατιστηρίου Αθηνών ως Μηχανικός Ασφάλειας Πληροφοριών, ενώ
από το Μάρτιο 2022 ανέλαβα καθήκοντα Υπεύθυνου Ασφάλειας
Πληροφοριών (CISO).
Νίκος Γρηγοριάδης Group Information Security Officer, MYTILINEOS
«Σαν την µεγαλύτερη πρόκληση
της καριέρας µου δεν θα µπορούσα να εστιάσω σε κάποιο συγκεκριµένο γεγονός αν και το επάγγελµα
αυτό θρύβει τέτοιων γεγονότων και συγκινήσεων. Θα
εστιάσω στο ότι στην πορεία της, κλήθηκα να γνωρίσω και να αντιµετωπίσω πολλούς και διαφορετικούς
ανθρώπους οι οποίοι άλλοτε ήταν ευπροσήγοροι και
συνεργατικοί και άλλοτε όχι. Αυτό αποτελεί από µόνο του µια σοβαρή πρόκληση διότι µε αυτούς τους ανθρώπους καλείσαι να συνεργαστείς, να παράξεις έργο αλλά κυρίως να του πείσεις για την σηµασία της δουλείας σου, τον σκοπό της και τον από κοινού κίνδυνο τον οποίο καλείστε να αντιµετωπίσετε. Αυτό το γεγονός δεν είναι πάντοτε αντιληπτό διότι η κυβερνοασφάλεια, για την ώρα, αποτελεί έναν κυρίως άυλο κίνδυνο ο οποίος δύσκολα µπορεί
να πάρει φυσικές διαστάσεις και να γίνει αντιληπτός
και ακόµα δυσκολότερα να τύχει της δέουσας προσοχής κυρίως πριν συµβεί κάποιο δυσάρεστο περιστατικό.
Επιπροσθέτως το ολοένα µεταβαλλόµενο περιβάλλον
της τεχνολογίας το καθιστά µια διαρκή πρόκληση για
την οποία πρέπει όχι µόνο να ενηµερωνόµαστε διαρκώς, αλλά και να εντοπίζουµε τους αναδυόµενους εκείνους κινδύνους οι οποίοι θα πρέπει να αντιµετωπιστούν κατάλληλα ώστε να επιτευχθεί το απαιτούµενο επίπεδο ασφάλειας και προστασίας το οποίο καλούµαστε να διατηρούµε σε υψηλά επίπεδα. Τέλος οδεύοντας προς µια ολοένα και περισσότερο διασυνδεδεµένη κοινωνία, σαν επαγγελµατίας της κυβερνοασφάλειας διαβλέπω τις ολοένα και µεγαλύτερες προκλήσεις οι οποίες θα έρθουν στο µέλλον καθώς και την ανάδειξη του τοµέα αυτού σε κορυφαίας σηµασίας για τις επιχειρήσεις µιας και ήδη αποτελεί επιχειρησιακά την κορυφαία απειλή για αυτές. Αποτέλεσµα θα είναι οι τωρινοί αλλά και οι µελλοντικοί επαγγελµατίες αυτού του χώρου να κατέχουν σηµαντική θέση στις διοικήσεις των οργανισµών
που θα θέλουν να αντιµετωπίσουν σοβαρά τον κίνδυνο αυτό διαφυλάττοντας και τον εύρυθµο τρόπο λειτουργίας
τους αλλά και την φήµη τους η οποία είναι από τα σηµαντικότερα αγαθά για έναν οργανισµό σε µια συνεχώς ανταγωνιστικότερη αγορά».
Who is who
Έχει 20ετη εµπειρία πάνω στον τοµέα της Ασφάλειας Πληροφοριών, ενώ έχει διατελέσει στέλεχος εγχώριων αλλά και πολυεθνικών εταιρειών σε διάφορα industries. Κατέχει µεταπτυχιακό τίτλο πάνω στην Ασφάλεια των Πληροφοριών από το Royal Holloway, ενώ έχει εργαστεί σε διαφόρους τοµείς οι οποίοι αφορούν στον σχεδιασµό και υλοποίηση έργων ασφάλειας πληροφοριών, διαχείρισης κινδύνων, αντιµετώπισης περιστατικών καθώς και της εναρµόνισης µε τους διεθνείς και εγχώριους νόµους και κανονισµούς συµµόρφωσης. Είναι επίσης συγγραφέας του βιβλίου «Ασφάλεια της Πληροφορίας» το οποίο µεταξύ άλλων έχει διατελέσει διδακτέα ύλη σε µεταπτυχιακό τίτλο σπουδών στο ΠΑ.ΠΕΙ.
netwee • ΜΑΪΟΣ 2023
6
Θωµάς ∆οµπρίδης
Προϊστάµενος Γενικής
∆ιεύθυνσης Κυβερνοασφάλειας, Γενική Γραµµατεία
Τηλεπικοινωνιών και
Ταχυδροµείων, Υπουργείο
Ψηφιακής ∆ιακυβέρνησης
«O ψηφιακός µετασχηµατισµός των λειτουργιών και υπηρε-
σιών του
δηµόσιου τοµέα αλλά και των ιδιωτικών επιχειρή-
σεων, έχει αναπόφευκτα οδηγήσει σε νέες απειλές για την
ασφάλεια στον κυβερνοχώρο. To NATO από το 2016 έχει αναγνωρίσει τον κυβερνοχώρο ως «τοµέα επιχειρήσεων», ενώ το Ευρωπαϊκό Κοινοβούλιο ως απάντηση στην εξέλιξη των απειλών για την ασφάλεια στον κυβερνοχώρο, ενέκρινε µια σειρά κανονισµών και οδηγιών που εισάγουν εναρµονισµένα µέτρα κυβερνοασφάλειας σε ολόκληρη την ΕΕ. Παράλληλα νέες τεχνολογίες όπως οι κβαντικοί υπολογιστές, αλλά και νέα εργαλεία όπως το chatGPT από ώριµες πλέον τεχνολογίες όπως η τεχνητή νοηµοσύνη (AI), διαµορφώνουν ένα δυναµικό περιβάλλον, µέσα στο οποίο αναδεικνύεται όλο και περισσότερο η σηµασία και η ανάγκη της κυβερνοασφάλειας. Η µεγαλύτερη πρόκληση µε την οποία είµαστε αντιµέτωποι σήµερα είναι η διασφάλιση του ασφαλούς ψηφιακού περιβάλλοντος µέσα στο οποίο λειτουργεί το κράτος, δραστηριοποιούνται οι επιχειρήσεις αλλά και οι πολίτες. Ο ψηφιακός µετασχηµατισµός πρέπει να συνοδεύεται από την κυβερνοασφάλεια, ως αναγκαία συνθήκη για την εµπιστοσύνη των πολιτών. Αυτό
µπορεί να επιτευχθεί µε την ανάπτυξη ενός λειτουργικού συστήµατος διακυβέρνησης Κυβερνοασφάλειας προσαρµοσµένου στις ιδιαιτερότητες της χώρας µας, παράλληλα µε τη βελτίωση των επιχειρησιακών δυνατοτήτων των δοµών της χώρας που έχουν επωµισθεί την αρµοδιότητα της προστασίας του ελληνικού κυβερνοχώρου. Θα πρέπει να ακολουθηθεί ένα κεντρικός συντονισµένος σχεδιασµός, µε κύριο άξονα την Εθνική Αρχή Κυβερνοασφάλειας, ο οποίος κάνοντας σωστή εκµετάλλευση των τεχνολογικών και χρηµατοδοτικών εργαλείων, επιλέγοντας τις αρµόζουσες συνεργασίες και συνέργειες µε τον ιδιωτικό τοµέα, προκρίνοντας τις κατάλληλες στρατηγικές
συµµαχίες, συντονίζοντας και ενισχύοντας τις υπάρχουσες
υπηρεσίες αλλά και δηµιουργώντας νέες δοµές όπου είναι αυτό απαραίτητο, θα οδηγήσει στο τελικό στόχο της αναβάθµισης
του πραγµατικού επιπέδου Κυβερνοασφάλειας της χώρας µας».
Who is who
Προϊστάµενος της Γενικής ∆ιεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής ∆ιακυβέρνησης (Εθνικής Αρχής Κυβερνοασφάλειας).
Μεταξύ 2009-20 ήταν επικεφαλής του Εθνικού CERT. Από το 20022008 εργάστηκε, ως ειδικός για την Ασφάλεια στον Κυβερνοχώρο, στην Εθνική Αρχή INFOSEC. Την περίοδο 2000-01 εργάστηκε στον ιδιωτικό τοµέα σε θέµατα τεχνολογιών Internet. Ήταν µέλος επιτροπών για τοn σχεδιασµό στρατηγικών Κυβερνοασφάλειας, καθώς και νοµοθετικών επιτροπών για θέµατα ασφάλειας στον κυβερνοχώρο. Εκπροσώπησε την Ελλάδα σε πλήθος ευρωπαϊκών, διεθνών συνεδρίων και fora για θέµατα Κυβερνοασφάλειας. Τα τελευταία χρόνια έχει συντονίσει σε εθνικό επίπεδο την αντιµετώπιση πολλών σηµαντικών συµβάντων στον ελληνικό κυβερνοχώρο.
ΜΑΪΟΣ 2023 • netwee
7
Ελευθέριος
Γιαννάκης
Director Information
Security,Europe IS Governance, Compliance, Risk & Awareness, Ahold Delhaize
«Στα 20 χρόνια καριέρας στον χώρο, θα µπορούσα να πω ότι η µεγαλύτερη πρόκληση ήταν και είναι η γρήγορη προσαρµογή στην «συνεχόµενη αλλαγή» σε όλα τα επίπεδα, είτε αυτή αφορά τον χώρο του Cyber security, ή των
ανθρώπων µε τους οποίους συνεργάζοµαι , που αποτελούν
την οµάδα ή τον οργανισµό καθαυτό. Η εµπειρία του να έχω αντιµετωπίσει πολλές αλλαγές σε διαφορετικά επίπεδα σε σύντοµα χρονικά διαστήµατα στην αρχή της καριέρας µου, ήταν πολύτιµη καθώς µετά από κάποια έτη, έπαψα να σπαταλώ χρόνο σκεπτόµενος τι προκάλεσε την αλλαγή και να αναλώνοµαι στο «γιατί;». Αντίθετα, µου έδωσε τα κατάλληλα εφόδια και την ευκαιρία να αποδέχοµαι την (είτε προγραµµατισµένη ή µη) αλλαγή σε σύντοµο χρονικό διάστηµα και να αφοσιώνοµαι σε αυτή µε ότι αυτό συνεπάγεται. Μπορώ να δηλώσω ότι τουλάχιστον τα τελευταία 10-15 χρόνια, ζω κι εργάζοµαι σε µία αέναη αλλαγή, η οποία αποτελεί µια συνεχόµενη “ευχάριστη πρόκληση” στην καθηµερινότητα µου».
Who is who
Έχει 20ετή επαγγελµατική εµπειρία στον χώρο του Information Risk & Security Management, IT Auditing & ΙΤ engineering. Τα τελευταία 6 έτη, κατέχει τον ρόλο του Information Security Director Governance, Compliance, Risk & Awareness για την Ευρώπη στην Ahold Delhaize. Στο παρελθόν, κατείχε θέσεις στον χώρο του ΙT audit και του IT systems & security engineering στον κλάδο των τηλεπικοινωνιών. Σπούδασε Electronic Engineering , και συνέχισε τις σπουδές του σε µεταπτυχιακό επίπεδο µε αντικείµενο Data Communication Systems ενώ είναι κάτοχος και MBA.
Το µοντέλο «µηδενικής
εµπιστοσύνης», κατά την
διάρκεια εφαρµογής
και λειτουργίας του, θα
πρέπει να είναι
«αθόρυβο» και
«διάφανο», έτσι ώστε να
µην διαταράσσει την
καθηµερινή λειτουργία
της εταιρείας και των
επιχειρηµατικών
µονάδων.
Ροβέρτος Γκόγκλης
Group Information Security Officer, Alpha Bank
«Σαν συνολική εµπειρία από άποψη µεγέθους, απαιτήσεων, διαθέσιµου χρόνου και έντασης, οι Ολυµπιακοί Αγώνες 2004. Σε βάθος χρόνου και στο Τραπεζικό περιβάλλον, η ισορροπία επιχειρηµατικών, λειτουργικών και κανονιστικών αναγκών µε την Κυβερνοασφάλεια, ειδικά υπό το πρίσµα του Digital Transformation και των νέων τεχνολογικών λεωφόρων».
Who is who
Eργάζεται ως στέλεχος Πληροφορικής από το 1997, στην Intrasoft και Intrasoft International, ενώ το 2002 ξεκίνησε να εργάζεται ως Information Security Officer για την Οργανωτική Επιτροπή των Ολυµπιακών Αγώνων Αθήνα 2004. Εντάχθηκε στο δυναµικό της Alpha Bank το 2005 στη θέση του IT Information Security Officer και στη συνέχεια ως Deputy Manager, υπεύθυνος για τις περιοχές IT GRC, CyberSec, Legal, και Audit. Από τον Ιούνιο του 2017, είναι Alpha Bank Group Information Security Officer, επικεφαλής τµήµατος Cybersecurity & Information Security. Επαγγελµατικές πιστοποιήσεις: CRISC, CISM, CISSP, BCCLA, ITIL Foundation.
netwee • ΜΑΪΟΣ 2023
8
∆ηµήτρης Μακρής IT Manager, Information Security Officer, Andriaki Shipping Co Ltd
«∆εν θα πρωτοτυπήσω σίγουρα. Ουσιαστικά θα αναφερθώ στο µοντέλο-φιλοσοφία zero trust. Όταν επανασχεδίασα
την στρατηγική της εταιρείας για την ασφάλεια των πληροφοριακών συστηµάτων, είχα δύο επιλογές. Την πλέον βατή, ταχύτερα εφαρµόσιµη και ευκολότερα διαχειρίσιµη επιλογή
της προσαρµογής της τότε υπάρχουσας ασφάλειας των πληροφοριακών συστηµάτων, υιοθετώντας παράλληλα τα νέα εργαλεία και τεχνολογίες που υπήρχαν διαθέσιµα εκείνη
την εποχή.
Σαν δεύτερη επιλογή, είχα την πλέον επίπονη, βραδύτερα
εφαρµόσιµη και σαφώς δυσκολότερα διαχειρίσιµη επιλογή
της «µηδενικής εµπιστοσύνης». Επέλεξα την δεύτερη, ως
στρατηγική επιλογή και ως φιλοσοφία για την εταιρεία µου. Αυτό σήµαινε ότι θα έπρεπε να επανασχεδιάσω από την αρχή την ασφάλεια των πληροφοριακών συστηµάτων, µε το σκεπτικό ότι όλοι οι χρήστες, οι εφαρµογές και οι συσκευές είναι αναξιόπιστες και δυνητικά κακόβουλες και θα πρέπει να ελεγχθούν πριν αποκτήσουν πρόσβαση στα πληροφοριακά συστήµατα της εταιρείας».
Παράλληλα, το µοντέλο «µηδενικής εµπιστοσύνης», κατά την διάρκεια εφαρµογής και λειτουργίας του, θα έπρεπε να είναι «αθόρυβο» και «διάφανο», έτσι ώστε να µην διαταράσσει την καθηµερινή λειτουργία της εταιρείας και των επιχειρηµατικών µονάδων. Στην πορεία της εφαρµογής συνειδητοποίησα
ότι την διατάραξε, ωστόσο µε τις κατάλληλες προσαρµογές
ξεπεράστηκαν τα προβλήµατα που προέκυψαν.
Κι ύστερα ήλθε το «σύννεφο» (ευτυχώς δεν έφερε βροχή…).
Κι ύστερα ήλθε ο άνθρωπος (βασικά πάντα εκεί ήταν…), το
πρώτο και παράλληλα το τελευταίο επίπεδο ασφάλειας.
Και η ιστορία συνεχίζεται…»
Who is who
Είµαι υπερήφανο µέλος της ναυτιλιακής εταιρείας Andriaki Shipping Co Ltd τα τελευταία 27 έτη και πιο συγκεκριµένα, διευθυντής µηχανογράφησης και υπεύθυνος ασφάλειας πληροφοριακών συστηµάτων. Οι αρµοδιότητες µου περιλαµβάνουν την διασφάλιση της απρόσκοπτης λειτουργίας των πληροφοριακών συστηµάτων και συστηµάτων ασφαλείας της εταιρίας, τον σχεδιασµό και την υλοποίηση νέων πληροφοριακών συστηµάτων και τεχνολογιών, καθώς επίσης και την ενοποίηση, την διασφάλιση της ακεραιότητας και της εµπιστευτικότητας της εταιρικής πληροφορίας. Είµαι ιδρυτικό µέλος της AMMITEC, του Συλλόγου ∆ιευθυντών και Στελεχών Πληροφορικής Ναυτιλιακών Εταιριών, της οποίας έχω διατελέσει πρόεδρος.
ΜΑΪΟΣ 2023 • netwee
9
Χριστάκης Τόπακας
CISO & DPO, Όµιλος Τράπεζας
Πειραιώς
«Στην πολυετή καριέρα µου ως Υπεύθυ-
νος Ασφάλειας Πληροφοριακών Συστη-
µάτων (CISO) έχω συναντήσει αρκετές
προκλήσεις.
Human Factor: Μία από τις µεγαλύτερες προκλήσεις ανα-
φορικά µε την ασφάλεια πληροφοριακών πόρων είναι ο
ανθρώπινος παράγοντας. Τα ανθρώπινα λάθη αποτελούν
τις πιο συχνές εκµεταλλευόµενες µορφές ευπαθειών που
αφορούν την ασφάλεια στον κυβερνοχώρο και οδηγούν σε
παραβιάσεις ασφαλείας συστηµάτων και διαρροές δεδοµέ-
νων. Μερικά πρωταρχικά παραδείγµατα ανθρώπινου λάθους
περιλαµβάνουν την επίσκεψη σε ύποπτους συνδέσµους στο
διαδίκτυο, το άνοιγµα επιβλαβών µηνυµάτων ηλεκτρονικού
ταχυδροµείου (phishing emails), την λήψη κακόβουλων λο-
γισµικών ransomware, την αποτυχία ενηµέρωσης λογισµι-
κού ασφαλείας, τη χρήση µη ασφαλούς δηµόσιου Wi-Fi, την
αποτυχία δηµιουργίας αντιγράφων ασφαλείας σηµαντικών
δεδοµένων και την παράβλεψη προειδοποιήσεων ή ειδοποιήσεων ασφαλείας. H βασική αιτία του ανθρώπινου λάθους
είναι η έλλειψη ευαισθητοποίησης ή εκπαίδευσης. Αυτή η
έλλειψη γνώσης ή ευαισθητοποίησης τους κάνει ευάλωτους σε επιθέσεις στον κυβερνοχώρο και µε αποτέλεσµα να πέφτουν θύµατα χάκερ ή απατεώνων. Ως CISO και µε στόχο την µείωση του συγκεκριµένου κινδύνου, έχω δώσει έµφαση στην υλοποίηση εκπαιδευτικών προγραµµάτων δια ζώσης ή µέσω διαφορετικών καναλιών όπως e-learning. Παράλληλα διεξάγουµε ασκήσεις προσοµοίωσης phishing scams ώστε να αξιολογηθεί ο βαθµός ετοιµότητας των υπαλλήλων της.
Η απρόβλεπτη συµπεριφορά των εργαζοµένων ενός οργανισµού, κάνει έναν CISO να νιώθει ευάλωτος, διότι πρέπει να επανεξετάζει τις πολιτικές ασφάλειας και να παράσχει συνεχείς εκπαιδεύσεις στους υπαλλήλους σχετικά µε τους κινδύνους στον κυβερνοχώρο.
Cyber Security Risk associated with Remote Work
Environments: Μία νέα πρόκληση που αντιµετώπισα είναι
οι κίνδυνοι που σχετίζονται µε την η ασφάλεια των τεχνολογιών που έπρεπε να υλοποιηθούν για να υποστηρίξουν
την αποµακρυσµένη εργασία και τα συνεχιζόµενα υβριδικά
µοντέλα εργασίας, που ήρθαν για να µείνουν λόγω της COVID πανδηµίας.
Οι συνήθεις προστασίες δικτύων και end points που χρησίµευαν ως άµυνες πρώτης γραµµής δεν επαρκούν πλέον. Οι εργαζόµενοι που έχουν πρόσβαση σε εταιρικές εφαρµογές και δεδοµένα, εργάζονται πλέον εκτός των προστατευµένων
υπηρεσιακών δικτύων, κάνοντας χρήση µη ασφαλών προσωπικών συσκευών και υπό συνθήκες χωρίς επίβλεψη και προστασία, µε αποτέλεσµα να έχουν οδηγήσει σε αύξηση του κινδύνου αναφορικά µε την κυβερνοασφάλεια.
Αν και η πρόσβαση που βασίζεται σε VPN tunnel είναι σηµαντικός παράγοντας ασφαλείας για τις εταιρείες διότι κρυπτογραφείται η κίνηση, εντούτοις δεν µπορεί να προστατεύσει τα end points από κακόβουλο λογισµικό και ιούς. Ως εκ τούτου, οι CISO πρέπει να εξισορροπήσουν την ασφάλεια των δεδοµένων και την επιχειρησιακή συνέχεια. Ένας τέτοιος τρόπος είναι οι χρήστες να έχουν πρόσβαση σε κρίσιµα εταιρικά δεδοµένα αποκλειστικά και µόνο από διαχειριζόµενες συσκευές µε τα κατάλληλα πρωτόκολλα ασφαλείας και µέσω εγκεκριµένων πλατφόρµων επικοινωνίας για online communication, video conferencing και email. Τελευταία, έχουµε λάβει όσο το δυνατόν περισσότερα µέτρα για την αντιµετώπιση των κενών ασφαλείας και κατά συνέπεια την µείωση κινδύνου, αλλά η διασφάλιση των συνθηκών αποµακρυσµένης εργασίας
θα παραµείνει µια σηµαντική πρόκληση για τον κλάδο της ασφάλειας στα επόµενα χρόνια. Managing third-party risks: Μία άλλη εξίσου σηµαντική πρόκληση που έχω αντιµετωπίσει, µέχρι στιγµής, είναι η αποτελεσµατική διαχείριση των κινδύνων που πηγάζουν από την πρόσβαση σε συστήµατα και δεδοµένα της τράπεζας από τρίτους (συνεργάτες και προµηθευτές) καθώς και η χρήση υπηρεσιών υπολογιστικού νέφους.
Για την διαχείριση των κινδύνων αυτών, πραγµατοποιούµε καταγραφή και ανάλυση των πιθανών ευπαθειών και σεναρίων κυβερνοασφάλειας λαµβάνοντας υπόψη τις επιπτώσεις στον οργανισµό. Μόλις εντοπιστούν οι κίνδυνοι, προχωρούµε στην λήψη των απαραίτητων µέτρων για να ελαχιστοποιήσουµε την πιθανότητα παραβίασης της ασφάλειας. Επιπρόσθετα υπογράφονται συµβάσεις οι οποίες περιέχουν συµφωνίες αναφορικά µε τα µέτρα ασφάλειας συστηµάτων αλλά και µέτρα που διασφαλίζουν την εµπιστευτικότητα και ακεραιότητα των δεδοµένων της Τράπεζας. Επίσης, παρακολουθούµε συνεχώς τις πρακτικές ασφαλείας που υλοποιούνται από τους προµηθευτές, τους παρόχους και τους συνεργάτες µας καθώς και τη συµµόρφωση αυτών µε τους σχετικούς κανονισµούς προστασίας δεδοµένων. Συµπερασµατικά, η διαχείριση κινδύνων που πηγάζουν από τρίτους απαιτεί µια αυστηρή προσέγγιση που περιλαµβάνει τον εντοπισµό, την αξιολόγηση και τον µετριασµό πιθανών κινδύνων που θα µπορούσαν να παρεµποδίσουν τις λειτουργίες µιας Τράπεζας αλλά και να πλήξουν την φήµη της. Με τη θέσπιση ισχυρών µέτρων ασφάλειας, αυξάνουµε την ανθεκτικότητά µας από επιθέσεις στον κυβερνοχώρο και διατηρούµε την εµπιστοσύνη µε τους πελάτες µας».
Who is who
Κάτοχος πτυχίου Master στην Πληροφορική. Μέλος της Επιτροπής για την Πρόληψη και την Αντιµετώπιση της Απάτης στα Μέσα και τα Συστήµατα Πληρωµών της Ελληνικής Ένωσης Τραπεζών. Συµµετέχει, µεταξύ άλλων, στον European Union Agency for Network and Information Security (ENISA).
netwee • ΜΑΪΟΣ 2023
Η διαχείριση κινδύνων
απαιτεί µία αυστηρή
προσέγγιση που
περιλαµβάνει τον
εντοπισµό, την
αξιολόγηση και τον
10
µετριασµό τους
VA/PT, RED TEAMING & FORENSICS, ΕΡΓΑΛΕIΑ
ΑΠΑΡAIΤΗΤΑ ΓΙΑ ΝΑ ΠΑΡΑΜΕIΝΕΙ
Ο ΟΡΓΑΝΙΣΜΟΣ ΣΑΣ ΑΣΦΑΛΗΣ
H χρήση υπηρεσιών κυβερνοασφάλειας της PRIORITY επιτρέπει τον έγκαιρο
εντοπισµό και την αντιµετώπιση παραγόντων που είναι δυνατόν να θέσουν
σε κίνδυνο την οµαλή λειτουργία των σύγχρονων οργανισµών.
Η εξάρτηση της λειτουργίας των
σύγχρονων οργανισµών από τα πλη-
ροφοριακά τους συστήµατα και η
ανάγκη διασφάλισης της οµαλής
επιχειρησιακής τους λειτουργίας,
επιτάσσει τη λήψη των αναγκαίων
οργανωτικών και τεχνικών µέτρων
για την αντιµετώπιση όλων των
απειλών που είναι δυνατόν να επι-
δράσουν αρνητικά στην επίτευξη
των βραχυπρόθεσµων, καθώς και
των στρατηγικών τους στόχων. Η
Ασφάλεια Πληροφοριών είναι πλέον
αναπόσπαστο κοµµάτι της κουλτού-
ρας τους, ενώ η εφαρµογή εξειδικευµένων Πλαισίων και Συστηµάτων
∆ιαχείρισης προσφέρει τα κατάλληλα
εργαλεία για τη συστηµατική παρακολούθηση και συνεχή βελτίωσή της.
Η ύπαρξη πολλαπλών πληροφοριακών συστηµάτων που βασίζονται
σε διαφορετικές τεχνολογίες και
αρχιτεκτονικές, καθώς και οι αλληλεπιδράσεις τους µε άλλα, εντός και εκτός των οργανισµών, καθιστά απαραίτητη τη χρήση εξειδικευµένων υπηρεσιών Ασφάλειας Πληροφοριών προκειµένου να είναι δυνατός ο έγκαιρος εντοπισµός αδυναµιών και η λήψη των κατάλληλων διορθωτικών ενεργειών.
Η PRIORITY έχοντας πολύχρονη
εµπειρία σε έργα πληροφορικής και
Ασφάλειας Πληροφοριών, έχει ανα-
πτύξει και προσφέρει στους συνερ-
γάτες της µία σειρά από υπηρεσίες
τεχνικών ελέγχων, στοχεύοντας στον
έγκαιρο εντοπισµό αδυναµιών και
κενών Ασφάλειας Πληροφοριών και
στον καθορισµό των απαραίτητων
διορθωτικών ενεργειών για τη δια-
σφάλιση της οµαλής επιχειρησιακής
τους λειτουργίας.
VULNERABILITY ASSESSMENT
ΚΑΙ PENETRATION TESTING
Οι υπηρεσίες Vulnerability
Assessment και Penetration Testing
(∆οκιµές ∆ιείσδυσης και Αξιολογήσεις Ευπαθειών) είναι ζωτικής
σηµασίας για µια επιχείρηση. Η
σωστή υλοποίηση αυτών των υπηρεσιών εξασφαλίζει την προστασία των συστηµάτων µιας επιχείρησης από πιθανούς κινδύνους ασφαλείας και επιθέσεις. Οι ευπαθείς περιοχές των συστηµάτων εντοπίζονται και αντιµετωπίζονται πριν προκληθούν πραγµατικές επιθέσεις, έτσι ώστε η επιχείρηση να είναι προετοιµασµένη για κάθε περίπτωση. Ταυτόχρονα, η εφαρµογή αυτών των υπηρεσιών βελτιώνει την αξιοπιστία της επιχείρησης και µειώνει τον κίνδυνο οικονοµικών απωλειών από πιθανές επιθέσεις.
Vulnerability Assessment
είναι η διαδικασία εντοπισµού και αξιολόγησης των ευπαθειών στα συστήµατα και τις εφαρµογές µιας επιχείρησης. Περιλαµβάνει τη χρήση εργαλείων αυτοµατοποιηµένου ελέγχου ασφαλείας για τον εντοπισµό των ευπαθειών σε µια ευρεία γκάµα συστηµάτων και εφαρµογών.
Από την άλλη πλευρά, το Penetration Testing είναι µια πιο εκτεταµένη διαδικασία ασφάλειας, που στοχεύει στον εντοπισµό και την εκµετάλλευση ευπαθειών στο δίκτυο και τα συστήµατα µιας επιχείρησης, παρέχοντας συστάσεις για τη πρόληψη των κινδύνων αυτών. Κατά τη διενέργεια ελέγχων Penetration Testing, χρησιµοποιoύµε προηγµένα εργαλεία και τεχνικές για την προσοµοίωση πραγµατικών επιθέσεων, επιτρέπoντας τον εντοπισµό αδυναµιών και ευπαθειών που θα µπορούσαν να εκµεταλλευτούν πιθανοί κακόβουλοι χρήστες.
Παράλληλα, µέσω της υπηρεσία
µας Red Teaming µπορούµε να εξακριβώσουµε την αποτελεσµατικότητα
των µέτρων ασφαλείας µιας επιχείρησης σε όλο το εύρος των δραστη-
ριοτήτων της, προετοιµάζοντάς την για την αντιµετώπιση επιθέσεων
και αυξάνοντας την αντοχή των συστηµάτων ασφαλείας της. Επιπλέον, η υπρεσία red teaming µπορεί να βοηθήσει στη βελτίωση της ποιότητας των διαδικασιών ανίχνευσης και αντιµετώπισης των επιθέσεων και να συµβάλλει στην εκπαίδευση του προσωπικού σε θέµατα κυβερνοασφάλειας.
Οι ∆οκιµές ∆ιείσδυσης και Αξιολογήσεις Ευπαθειών (VA/ PT) αφενός, είναι σηµαντικές για την κατανόηση της έκθεσης της εταιρείας σας σε κινδύνους κυβερνοασφάλειας
την δεδοµένη χρονική στιγµή στην οποία εκτελούνται και αφετέρου, οι υπηρεσίες Red Teaming αξιολογούν πλήρως τους εργαζόµενους, τα στελέχη και τους υπεύθυνους αντιµετώπισης περιστατικών έναντι ρεαλιστικών απειλών, τόσο από τον κυβερνοχώρο όσο κι από το φυσικό περιβάλλον.
Τέλος, µε την επίσης νέα µας υπηρεσία Forensics µπορείτε να έχετε µια ασφαλή εικόνα, µετά από µια επίθεση που έγινε αντιληπτή στον οργανισµό σας ή ακόµα κι αν έχετε υποψία για την υλοποίηση µιας ηλεκτρονικής επίθεσης.
INFO
PRIORITY
Λ. Σοφοκλή Βενιζέλου 49-51, Λυκόβρυση, Τ.Κ. 141 23
Τ: 210 2509900
E: info@priority.com.gr
W: www.priority.com.gr
Advertorial
11 ΜΑΪΟΣ 2023 • netwee
Ζέππος Γαλανός
Υπεύθυνος ασφάλειας Πληροφοριακών Συστηµάτων/ IT Security Officer, Konkat
«Βρισκόµενος στο ίδιο εργασιακό περιβάλλον για πολλά χρόνια (άθλος για τα σηµερινά δεδοµένα) εξυπηρετώντας το µε ζήλο και υπευθυνότητα από διάφο-
ρες θέσεις, έχω να πω ότι το ταξίδι αυτό έχει υπάρξει πολύ απαιτητικό, γεµάτο εµπειρίες χωρίς να λείπουν οι προκλήσεις και οι δύσκολες στιγµές.
Τελευταίος σταθµός τα τελευταία 5 χρόνια η θέση υπευθύνου
ασφάλειας πληροφοριακών συστηµάτων, µέσω της οποίας
προσπαθώντας να ανταποκριθώ στις υψηλές απαιτήσεις
του συγκεκριµένου ρόλου αλλά και του περιβάλλοντος και
συνθηκών που βιώνουµε στην Ελλάδα αλλά και σε παγκό-
σµιο επίπεδο, έχω αντιµετωπίσει πολλές και διαφορετικές
προκλήσεις σε πολλά επίπεδα.
Σκεπτόµενος όµως όλα τα θέµατα που µε απασχολούν κα-
θηµερινά, µε άνεση θα πω ότι η µεγαλύτερη πρόκληση που
έχω αντιµετωπίσει και συνεχίζω να αντιµετωπίζω µέχρι
σήµερα, δεν αφορά τεχνικές λύσεις αλλά την επιτυχηµένη
και έγκαιρη κινητοποίηση όλου του ανθρώπινου δυναµικού
της πληροφορικής µέσα από όλες τις οπτικές γωνίες του και
ταυτοχρόνως την ευαισθητοποίηση του προσωπικού µιάς
ολόκληρης εταιρίας πάνω σε θέµατα αντίληψης και διαχείρισης περιστατικών ασφάλειας και προστασίας εταιρικών δεδοµένων και υποδοµών, µε σεβασµό στα κανονιστικά πρότυπα και νοµικά πλαίσια µέσα στα οποία αυτή λειτουργεί.
Σε ένα ρευστό περιβάλλον, µε συχνές αλλαγές βασικών κανόνων λειτουργίας (π.χ. πανδηµία), όπου µια εταιρεία καλείται να επιχειρεί και να είναι κερδοφόρα, όπου ο ψηφιακός µετασχηµατισµός και η εκτεταµένη χρήση δεδοµένων επεκτείνεται καθηµερινά, αυτή η µετακίνηση στην αντίληψη και αντιµετώπιση της ασφάλειας πλέον επιβάλλεται να υπάρχει µέσα στην κουλτούρα της αν θέλει να συνεχίσει να υφίσταται µέσα στα επόµενα χρόνια.
Παρότι ακούγεται εύκολο, µε σηµαντικά προβλήµατα να µας απασχολούν καθηµερινά, όπως αυτά της δυσκολίας στελέχωσης τµηµάτων κυβερνοασφάλειας, της συνεχόµενης
ανάγκης αναβάθµισης τεχνικών λύσεων και διαδικασιών στο κοµµάτι της πρόληψης απειλών, της επιτακτικής ανάγκης χρήσης αυτοµατισµών στο κοµµάτι της ανίχνευσης αλλά και διαχείρισης περιστατικών ασφαλείας για µείωση χρόνου απόκρισης µε λιγοστό προσωπικό, σε συνδυασµό µε την ανάγκη µείωσης έκθεσης σε κίνδυνο κρίσιµων υποδοµών και τον ανερχόµενο εσωτερικό κίνδυνο από εµπίστους συνεργάτες, καταλαβαίνουµε ότι η ευαισθητοποίηση και αλλαγή αντίληψης στην κυβερνοασφάλεια, µόνο εύκολο πράγµα δεν είναι».
Who is who
Στην συγκεκριµένη θέση τα τελευταία 5 χρόνια, εξυπηρετώντας ένα µικρό µεν αλλά µε µεγάλη διαφοροποίηση γκρουπ εταιρειών που σχετίζεται κυρίως τοµείς ναυτιλίας και ενέργειας (συµφερόντων οικογένειας Βαρδινογιάννη). Τρέχοντα καθήκοντα αφορούν κυρίως θέµατα ευαισθητοποίησης προσωπικού σε θέµατα ασφάλειας, προσαρµογής σε κανονιστικά πλαίσια και νοµοθεσίες, διαχείρισης εταιρικού ρίσκου καθώς και ασφάλειας δεδοµένων.
netwee • ΜΑΪΟΣ 2023
12
παρακάτω σηµεία:
Αλέξανδρος Μπέλσης
Επικεφαλής Ασφάλειας
Πληροφοριακών Συστηµάτων, ∆ΙΑΤΡΑΠΕΖΙΚΑ ΣΥΣΤΗΜΑΤΑ
(∆ΙΑΣ Α.Ε)
«Η προσωπική προσέγγιση που ανέ-
πτυξα στη διάρκεια της επαγγελ-
µατικής µου πορείας εστιάζεται στα
• Καθορισµένο πλαίσιο λειτουργίας της οµάδας ασφάλειας
πληροφοριακών συστηµάτων ως προς την αποστολή, το όραµα, το κανονιστικό πλαίσιο, τις νοµικές απαιτήσεις και τις αρµοδιότητες
• Εξωστρέφεια, µε την συµµετοχή σε διεθνή φόρα, οµάδες εργασίας και κέντρα ανταλλαγής πληροφοριών σε θέµατα κυβερνοασφάλειας
• Επενδύσεις σε νέα συστήµατα, τεχνολογίες αιχµής και µεθόδους διενέργειας δοκιµών παρείσδυσης
• Συνεχής εκπαίδευση του προσωπικού και διεύρυνση των επαγγελµατικών πιστοποιήσεων της οµάδας
• Έρευνα σε αναδυόµενες τεχνολογίες και εσωτερική ανάπτυξη εργαλείων και διαδικασιών για την υποστήριξη των λειτουργιών κυβερνοασφάλειας».
Who is who
∆ιαθέτει 25 χρόνια εµπειρίας στην ασφάλεια πληροφοριακών συστηµάτων, εκ των οποίων τα τελευταία 18 σε θέσεις ευθύνης στον τραπεζικό κλάδο. Κατέχει τη θέση του Chief Information Security Officer στη ∆ΙΑΣ Α.Ε., και έχει διατελέσει Director of Technology Risk στη UBS (London Office) και IT Security Officer στην Attica Bank. Στο πλαίσιο εθελοντικών δράσεων, υπήρξε ιδρυτικό µέλος και µέλος του διοικητικού συµβουλίου του ∆ιεθνούς Ινστιτούτου Πιστοποίησης Ασφάλειας Πληροφοριακών Συστηµάτων – Ελληνικό Παράρτηµα.
Information Security Officer • General Directorate, Συνεταιριστική Τράπεζα Χανίων
«Κατά τη διάρκεια της επαγγελµατικής µου σταδιοδροµίας, έχω
αναπτύξει µια προσωπική προσέγγιση της έννοιας
της ασφάλειας, η οποία βασίζεται σε τρεις βασικούς
πυλώνες. Ο πρώτος πυλώνας είναι η οµαδικότητα.
Πιστεύω ότι η ασφάλεια αποτελεί µια οµαδική και
συνεχή προσπάθεια που αφορά τον καθένα µας. Είτε µελετώντας την προσωπική µας ψηφιακή ασφάλεια είτε την ασφάλεια ενός οργανισµού είµαστε εκτεθειµένοι στους ίδιους κινδύνους. Σε επίπεδο οργανισµού, όλα τα εµπλεκόµενα µέρη χρειάζεται να λειτουργούν οµαδικά έχοντας υψηλή ευαισθητοποίηση σε θέµατα ασφάλειας ώστε να αποτελούν µια συµπαγή ασπίδα πρόληψης. Ο δεύτερος πυλώνας είναι η ανίχνευση. Πιστεύω ότι θα πρέπει να υπάρχουν µηχανισµοί παρακολούθησης για την ανίχνευση απειλών ασφαλείας, ώστε να µπορούν να αντιµετωπιστούν άµεσα. Αυτό µπορεί να επιτευχθεί µε τη χρήση εργαλείων και λογισµικού που µπορούν να ανιχνεύουν ανωµαλίες σε συστήµατα και δίκτυα. Παράλληλα, σηµαντικό ρόλο κατέχει ο πρώτος πυλώνας καθώς ο ανθρώπινος παράγοντας είναι κατ’
εξοχήν ο πιο αδύναµος κρίκος, συνεπώς η έγκαιρη και έγκυρη ενηµέρωση από τους ανθρώπους συµβάλλει
σηµαντικά στην γρήγορη ανίχνευση πιθανών περιστατικών ασφαλείας. Ο τρίτος πυλώνας είναι η αντίδραση.
Πιστεύω ότι θα πρέπει να υπάρχουν σχέδια αντίδρασης
σε περίπτωση περιστατικού ασφαλείας. Τα σχέδια αυτά θα πρέπει να ενηµερώνονται τακτικά και να δοκιµάζονται ώστε να διασφαλίζεται η αποτελεσµατικότητά τους. Τα σχέδια αντιµετώπισης θα πρέπει να περιλαµβάνουν διαδικασίες για τον περιορισµό και τον µετριασµό του συµβάντος, καθώς και για την αποκατάσταση των συστηµάτων και των δεδοµένων σε ασφαλή κατάσταση. Επιπλέον, τα σχέδια χρειάζεται να αναθεωρούνται µε βάση τις νέες απειλές και κακόβουλες µεθόδους που προκύπτουν λαµβάνοντας υπόψιν το δυναµικό περιβάλλον της ασφάλειας. Συνολικά, η προσέγγισή µου για την ασφάλεια επικεντρώνεται σε έναν συνδυασµό πρόληψης, ανίχνευσης και απόκρισης. Προσωπικά θεωρώ σηµαντικό να λειτουργούµε υπό το πρίσµα ότι στατιστικά κάποια χρονική στιγµή , άγνωστη σε εµάς, θα υπάρξει διάσπαση της ασφάλειας και υπό αυτή την οπτική να είµαστε προετοιµασµένοι κατάλληλα ως σύνολο».
Who is who
Κατέχει την θέση του CISO από το 2019 στην Τράπεζα και έχει πολυετή εµπειρία σε ανώτατες θέσεις στον τοµέα των τηλεπικοινωνιών. Είναι κάτοχος ∆ιπλώµατος HMMY από το Πολυτεχνείο Ξάνθης και Μεταπτυχιακού στα Εφαρµοσµένα Μαθηµατικά από το Μαθηµατικό
Τµήµα Αθηνών. Κάτοχος πιστοποιήσεων C|EH και ISO 27001 LA.
ΜΑΪΟΣ 2023 • netwee
Η έννοια της ασφάλειας και η ανάπτυξη ιδιαίτερων
προσεγγίσεων
Μιχαήλ Μπερκέτης
13
Head of Information and Cybersecurity Services του
∆ιεθνή Αερολιµένα Αθηνών
«Έχοντας συνεργαστεί µε µεγάλες
πολυεθνικές εταιρείες, εξοικειώ-
θηκα και εφάρµοσα διαφορετικές
προσεγγίσεις προσαρµοσµένες στο επίπεδο ωριµότητας
και στην κουλτούρα κάθε εταιρείας, λαµβάνοντας υπό-
ψη το περιβάλλον που δραστηριοποιείται, το επίπεδο
των κινδύνων που µπορεί να αντιµετωπίσει καθώς
και τις αρχή της αναλογικότητας στην ανάπτυξη των αναγκαίων συστηµάτων προστασίας. Αναµφίβολα καθοριστική παράµετρος για την επιτυχία οποιασδήποτε Στρατηγικής, πολιτικής, ή διαδικασίας είναι η εποικοδοµητική συµµετοχή όλων των ενδιαφερόµενων µερών µε την ∆ιοίκηση του οργανισµού να θέτει και να καθιστά εµφανή την προτεραιότητα σε θέµατα ασφάλειας, τόσο σε σχεδιαστικό και οργανωτικό επίπεδο όσο και στην υιοθέτηση διαδικασιών και συστηµάτων εντοπισµού και αποφυγής κινδύνων από κυβερνοεπιθέσεις.
Προφανώς, το επίπεδο ωριµότητας ως προς τις παραπάνω βασικές παραµέτρους και προτεραιότητες διαφέρει µεταξύ επιχειρήσεων και µοντέλων οργάνωσης.
Στη δική µου προσέγγιση η έννοια της ασφάλειας είναι ταυτόσηµη µε την δηµιουργία συνθηκών ανθεκτικότητας απέναντι στις διάφορες απειλές. Αυτό προϋποθέτει ότι η ασφάλεια αντιµετωπίζεται ολιστικά ως αναπόσπαστο µέρος όλων των λειτουργιών του Οργανισµού και όχι µεµονωµένα, αφήνοντας κενά που εκµεταλλεύονται οι επίδοξοι «εισβολείς». Έτσι δηµιουργείται ένα ισχυρό πλαίσιο προστασίας της πληροφορίας, ενισχύοντας την εµπιστοσύνη των πελατών αλλά διατηρώντας παράλληλα και την ακεραιότητα του Οργανισµού.
Σε όσες περιπτώσεις η παραπάνω προσέγγισή µου υιοθετήθηκε , ήταν επιτυχής και περιλάµβανε:
• Εφαρµογή των κατάλληλων µέτρων ασφάλειας από το σχεδιασµό συστηµάτων, διαδικασιών ή προϊόντων (by design).
• Ευθυγράµµιση των διαδικασιών του Οργανισµού µε τις απαιτήσεις διεθνών προτύπων ασφαλείας (π.χ. ISO, NIST, κ.α.).
• Επικοινωνία των κινδύνων µε πλήρη ανάλυση και αποτίµηση προς τη ∆ιοίκηση µε στόχο την έγκριση των αναγκαίων πόρων που θα επιτρέψουν ορθολογικές και στοχευµένες παρεµβάσεις ασφαλείας χωρίς υπερβολές, • Ενηµέρωση και αναβάθµιση γνώσεων των οµάδων που ασχολούνται µε την ασφάλεια, µέσω διαρκούς επικοινωνίας, συµµετοχής και κοινής δράσης σε διεθνείς οργανισµούς ασφάλειας, κλειστές οµάδες ανταλλαγής πληροφοριών ή διεθνείς επιτροπές, ώστε να αναδεικνύονται οι αναδυόµενοι κίνδυνοι και να υπάρξει συναντίληψη σε σχέση µε τους τρόπους αντιµετώπισής τους.
• Συνεχή ανάπτυξη γνώσεων και δεξιοτήτων των οµάδων ασφάλειας, µέσω επαγγελµατικών πιστοποιήσεων αλλά και µέσω της συµµετοχής τους σε εξειδικευµένα εκπαιδευτικά προγράµµατα.
• Έρευνα σχετικά µε τις τάσεις της αγοράς και την εισαγωγή καινοτόµων λύσεων και τεχνολογιών.
• Εκπαίδευση και ευαισθητοποίηση των µελών του οργανισµού στα θέµατα αποφυγής κινδύνων και προστασίας από κυβερνοεπιθέσεις, καθώς και επισήµανση απλών καθηµερινών παραλήψεων που µπορεί να καταστήσουν τον ανθρώπινο παράγοντα την πλέον ευάλωτη παράµετρο σε αν σύστηµα ασφαλείας οργανισµού. Η εφαρµογή ενός διαδραστικού προγράµµατος εκπαίδευσης και κατανόησης των σύγχρονων απειλών έχει αποδειχθεί αποτελεσµατική για το σκοπό αυτό, καθώς και η περιοδική πραγµατοποίηση απροειδοποίητων τεστ µε την ελεγχόµενη εισαγωγή πλασµατικών απειλών στη τρέχουσα λειτουργία»
Who is who
∆ιαθέτει περισσότερα από 16 χρόνια εµπειρίας στην ανάπτυξη και εφαρµογή στρατηγικής και πολιτικών ασφάλειας πληροφοριών, στο σχεδιασµό και στην ανάπτυξη αποτελεσµατικών διαδικασιών για τον εντοπισµό και την εξάλειψη κρίσιµων κινδύνων Κυβερνοασφάλειας και στην προστασία των εταιρικών δεδοµένων και των δεδοµένων προσωπικού χαρακτήρα, µε έργα που έχουν υλοποιηθεί στην Ελλάδα και σε χώρες του Εξωτερικού. Στο παρελθόν έχει διατελέσει µέλος ∆ιοικητικού Συµβουλίου του ISACA Athens Chapter για τρεις συνεχόµενες θητείες.
Βάιος Ορφανιώτης
Information Security Officer & Infrastructure Senior Manager, Elval
«Η επαγγελµατική πορεία και ιδιαιτέρως οι εµπειρίες και προσλαµβάνουσες του κάθε επαγγελµατία συντελούν αποφασιστικά στις επιλογές και στην εξέλιξη του, συνεπώς η προσέγγιση για την ασφάλεια εµπεριέχει το στοιχείο της υποκειµενικότητας. Οι καλές πρακτικές, που παρουσιάζονται µέσω της πανεπιστηµιακής κοινότητας και των µεγάλων εταιριών κυβερνο-ασφάλειας, έχουν δηµιουργήσει ένα κοινό υπόβαθρο για τους περισσότερους επαγγελµατίες.
Ωστόσο, απαιτείται η προσεκτική επιλογή και προτεραιοποίηση σε αυτό το ταξίδι προς ένα πιο ασφαλές τοπίο αφού οι πόροι ως γνωστόν δεν είναι άπειροι. Σηµαντικό εργαλείο σε αυτή την κατεύθυνση είναι η εµπεριστατωµένη αξιολόγηση κινδύνων. Αν είναι σωστό να θεωρήσω ότι η εµπειρία και οι σπουδές µε έχουν βοηθήσει ως ένα βαθµό, πιστεύω ότι η αµφισβητούµενη ως προς τη σειρά και όχι ως προς το περιεχόµενο προσέγγιση αφορά
• Σε Θέσπιση πολιτικών και διαδικασιών ασφαλείας, ώστε να είµαστε όλοι δεσµευµένοι σε κοινό στόχο και όραµα • Σε Ασφαλή αντίγραφα ασφαλείας και στην αποκατάσταση
δεδοµένων. Η τελευταία γραµµή άµυνας πρέπει να είναι το πρώτο µέληµα µας
• Στην Αναλυτική αξιολόγηση κινδύνων, γιατί µόνο έτσι θα κατανοήσουµε τις απειλές
netwee • ΜΑΪΟΣ 2023 14
Παναγιώτης
Μερκούρης
ΓΙΑΤI Η ΤΕΧΝΗΤH ΝΟΗΜΟΣYΝΗ ΑΥΞAΝΕΙ
ΤΗΝ ΑΝAΓΚΗ ΓΙΑ ΙΣΧΥΡH ΚΥΒΕΡΝΟΑΣΦAΛΕΙΑ
Θα µπορούσε η Τεχνητή Νοηµοσύνη (ΤΝ) να αποτελέσει την επόµενη µεγάλη απειλή
στην κυβερνοασφάλεια; Καθώς οι οργανισµοί την αξιοποιούν για τη βελτιστοποίηση
των διαδικασιών τους, υπάρχει αυξανόµενη ανησυχία σχετικά µε την πιθανή κατάχρησή της. ΤΟΥ ∆ΗΜHΤΡΗ ΚΑΡΑΠΑΝΟΥ, BRANCH MANAGER, ESET HELLAS
Η τεχνητή νοηµοσύνη (TN) έχει ση-
µειώσει µεγάλη πρόοδο τα τελευταία
χρόνια, µε πολλούς οργανισµούς να την
αξιοποιούν για τη βελτιστοποίηση των
διαδικασιών τους και τη βελτίωση των
λειτουργιών τους.
Ένας τοµέας στον οποίο η ΤΝ απο-
κτά ιδιαίτερη βαρύτητα είναι ο τοµέας
της κυβερνοασφάλειας, στον οποίο
χρησιµοποιείται για την ενίσχυση της ανίχνευσης και της πρόληψης των απειλών στον κυβερνοχώρο. Ωστόσο, υπάρχει αυξανόµενη ανησυχία ότι η
ΤΝ θα µπορούσε επίσης να χρησιµο-
ποιηθεί από κακόβουλους φορείς για
την ανάπτυξη κακόβουλου λογισµικού.
Για παράδειγµα, το ChatGPT µπορεί να βοηθήσει στην υπόδειξη κώδικα, στη δηµιουργία δειγµάτων και αποσπασµάτων κώδικα, στην αποσφαλµάτωση, στη βελτιστοποίηση κώδικα, ακόµη και στην αυτοµατοποίηση της τεκµηρίωσης.
Ως εκ τούτου, είναι ζωτικής σηµασίας για τους οργανισµούς να διασφαλίσουν ότι διαθέτουν ισχυρά µέτρα κυβερνοασφάλειας για την αποτροπή επιθέσεων στον κυβερνοχώρο.
Πιθανοί τοµείς υιοθέτησης
κακόβουλου λογισµικού
Προς το παρόν, υπάρχουν τρεις πιθανοί τοµείς στους οποίους προηγµένα
γλωσσικά µοντέλα όπως το ChatGPT
µπορούν να διαδραµατίσουν σηµαντικό ρόλο στην υιοθέτηση κακόβουλου λογισµικού.
• Απάτες phishing
Οι απάτες ηλεκτρονικού «ψαρέµατος» γίνονται όλο και πιο διαδεδοµένες, µε τους επιτιθέµενους να χρησιµοποιούν διάφορες τακτικές για να εξαπατήσουν τους χρήστες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να εγκαταστήσουν κακόβουλο λογισµικό στις συσκευές τους. Με τη βοήθεια του ChatGPT, οι απάτες phishing θα µπορούσαν να γίνουν ακόµη πιο πειστικές,
καθώς η χρήση της γλώσσας θα είναι καλύτερη και οι χρήστες δε θα είναι σε
θέση να αναγνωρίσουν γρήγορα την απάτη λόγω γλωσσικών λαθών. Ένα µεγάλο ποσοστό των επιθέσεων ξεκινά µε το πάτηµα ενός συνδέσµου και ο αντίκτυπος αναµένεται να αυξηθεί µε την ικανότητα του ChatGPT να παράγει πιο αυθεντικά µηνύµατα.
• ∆ιαπραγµατεύσεις λύτρων Οι επιθέσεις ransomware έχουν γίνει πονοκέφαλος για τους οργανισµούς παγκοσµίως, µε τους επιτιθέµενους να χρησιµοποιούν ransomware για την κρυπτογράφηση κρίσιµων δεδοµένων και να απαιτούν πληρωµή σε αντάλλαγµα για το κλειδί αποκρυπτογράφησης. Με το ChatGPT, οι επιτιθέµενοι θα µπορούσαν να αυτοµατοποιήσουν τη διαδικασία διαπραγµάτευσης, καθιστώντας την πιο αποδοτική και αποτελεσµατική. Αυτό θα µπορούσε να οδηγήσει σε αύξηση του αριθµού των επιτυχηµένων επιθέσεων ransomware, καθώς οι επιτιθέµενοι µπορούν να διαπραγµατεύονται πιο γρήγορα και αποτελεσµατικά από ό,τι πριν.
• Τηλεφωνικές απάτες
Οι τηλεφωνικές απάτες αποτελούν εδώ και καιρό ανησυχία τόσο για τα άτοµα όσο και για τους οργανισµούς, καθώς οι κακόβουλοι φορείς χρησιµοποιούν διάφορες τακτικές για να εξαπατήσουν τους χρήστες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να προβούν σε πληρωµές. Με την ικανότητα του ChatGPT να παράγει κείµενα που µοιάζουν να έχουν δηµιουργηθεί από ανθρώπους και όχι µηχανές, οι τηλεφωνικές απάτες θα µπορούσαν να γίνουν ακόµη πιο πειστικές.
Αν και απέχουµε ακόµη πολύ από το στάδιο όπου το κακόβουλο λογισµικό δηµιουργείται εξ ολοκλήρου από την ΤΝ, οι επιχειρήσεις θα πρέπει να γνωρίζουν αυτές τις πιθανές απειλές και να διασφαλίσουν ότι διαθέτουν ισχυρά µέτρα κυβερνοασφάλειας, που θα περιλαµβάνουν αποτελεσµατικό λογισµικό προστασίας από ιούς και firewalls αλλά και διαρκή εκπαίδευση των εργαζοµένων. Και βεβαίως, πέραν από τα µέτρα αυτά, είναι σηµαντικό να τονιστεί ο κρίσιµος ρόλος που θα κληθεί να διαδραµατίσει η συστηµατική και συντονισµένη ανάπτυξη δεοντολογικών κατευθυντήριων γραµµών και κανονισµών για τη χρήση της ΤΝ από τον τοµέα της κυβερνοασφάλειας διεθνώς, ώστε να αποτραπεί η κατάχρησή της και να διασφαλιστεί η υπεύθυνη χρήση της.
Λεωφ.Βασιλίσσης Σοφίας 54,GR11528, Αθήνα
Τ: +30 210 77 59 270
F: +30 210 77 08 955
E: sales@esetgr.com
W: https://www.eset.com/gr/
Advertorial
INFO
15
2023 • netwee
ΜΑΪΟΣ
• στην Εκπαίδευση προσωπικού, γιατί µόνο αν υπάρχει κατανόηση θα αποκτήσουµε συµµάχους
• Στην Συνεχή ανίχνευση (SIEM monitoring) και αποτροπή κυβερνοεπιθέσεων, διότι έτσι βελτιωνόµαστε
• Στην Ενίσχυση ασφαλείας δικτύου, διότι αποτελεί θεµέλιο
• Στην Ασφαλή διαχείριση πρόσβασης, ώστε να ελαχιστοποιήσουµε την πιθανότητα εισβολής από κακόβουλους (το όριο
άλλωστε δεν είναι πλέον τα συστήµατα, αλλά τα data και το
όχηµα οι άνθρωποι δηλ. η ψηφιακή ταυτότητα)
• Στην Εφαρµογή EDR λύσεων, οι οποίες τελικά είναι πολύ-ερ-
γαλείο.
• Στην Παρακολούθηση και ανίχνευση ανωµαλιών στο δίκτυο
από λύσεις NDR µε αλγορίθµους ΑΙ
• Στην ανάπτυξη σχεδίου αποκατάστασης µετά από παραβίαση
• Στην προστασία από εσωτερικές απειλές
• Στην παρακολούθηση των αδυναµιών και των αναβαθµίσεων
του λογισµικού το οποίο αποτελεί και µεγάλο πρόβληµα σε
µεγάλες εγκαταστάσεις λόγω εξαρτήσεων
• Στην αποµόνωση και περιορισµό πρόσβασης στα ευαίσθητα δεδοµένα
• Στην εφαρµογή ασφαλών πρακτικών ανάπτυξης λογισµικού
το οποίο απαιτεί νέου είδους εκπαίδευση για τους µηχανικούς λογισµικού
• Στην ανάλυση αποτυχηµένων προσπαθειών εισβολής και πρόληψή τους.
• Στην ασφαλή διαχείριση των προνοµίων διαχειριστή οι οποίοι ως γνωστόν είναι οι «ηµίθεοι» της Πληροφορικής
Η παραπάνω προσέγγιση, που θεωρώ περιλαµβάνει και αποτελεσµατικά µέτρα, προφανώς εµπλουτίζεται».
Who is who
Ανώτερο στέλεχος πληροφορικής επιχειρήσεων µε 25+ χρόνια εµπειρίας στους τοµείς της Ασφάλειας Πληροφοριών και των Υποδοµών. ∆ιορατικός και επικεντρωµένος στο αποτέλεσµα, ηγείται σε ένα ευρύ φάσµα εταιρικών πρωτοβουλιών πληροφορικής, ενώ συµµετέχει στο σχεδιασµό, την ανάλυση και την εφαρµογή λύσεων ασφάλειας πληροφοριών για την υποστήριξη των επιχειρηµατικών στόχων. Κέρδισε τη φήµη ως στέλεχος που βλέπει τη µεγάλη εικόνα και υπερασπίζεται τους επιχειρηµατικούς στόχους, ενώ αξιοποιεί και οδηγεί σε επιδόσεις ασφάλειας/τεχνολογίας υψηλού επιπέδου.
Συµεών Μυστακίδης
Group Chief Information Security Officer, ∆ΕΗ Α.Ε.
« Σε όλα τα χρόνια της επαγγελµατικής ενασχόλησής
µου µε την ασφάλεια, είχα την τύχη να συναντήσω διαφορετικά περιβάλλοντα οργανισµών, τόσο από πλευράς επιπέδου ωριµότητας τους σε ζητήµατα
ασφάλειας όσο και σε ό,τι αφορά τις ανάγκες και τις προτεραιότητες τους στα ζητήµατα αυτά.
Στο πλαίσιο αυτό, θεωρώ ότι είναι εξαιρετικής σηµασίας να αντιλαµβάνεται κανείς την έννοια της
ασφάλειας όχι ως ένα αντικείµενο τυπικής συµµόρφωσης και οριζόντιας υιοθέτησης “βέλτιστων”
πρακτικών, αλλά ως ένα εργαλείο αποµείωσης
των επιχειρησιακών κινδύνων που σχετίζονται
µε την προστασία συστηµάτων και δεδοµένων.
Για τον λόγο αυτό, είναι κρίσιµη η κατανόηση
των πραγµατικών επιπτώσεων ενός περιστατικού
ασφάλειας σε έναν οργανισµό, ώστε να αποσαφηνιστεί η σηµασία της θωράκισης του απέναντι
στις σχετικές απειλές και να επιλέγονται και να προτεραιοποιούνται κατάλληλα τα προς εφαρµογή
µέτρα προστασίας.
Παράλληλα, λόγω των ραγδαίων εξελίξεων στους τοµείς της ασφάλειας, της τεχνολογίας, αλλά και των εργαλείων και µεθόδων που είναι πλέον διαθέσιµα στους κυβερνοεγκληµατίες, πιστεύω ότι είναι απαραίτητη η συνεχής ενηµέρωση των επαγγελµατιών τού κλάδου µας και η εκπαίδευση του προσωπικού/πελατών των οργανισµών.
Μέσα από κατάλληλα στοχευµένες δράσεις ευαισθητοποίησης για όλους, θα είµαστε σε θέση να αντιληφθούµε (καθένας στο ρόλο του) την πραγµατική σηµασία της ασφάλειας και των συνεπειών ενδεχόµενης απώλειάς της.
Προσωπικά, στόχος µου είναι να παρέχω τη µέγιστη δυνατή προστασία στα συστήµατα και τα δεδοµένα του οργανισµού, παραµένοντας συνεχώς ενηµερωµένος σχετικά µε τις νέες καλές πρακτικές και τεχνολογικές λύσεις, προς διαρκή βελτίωση του επιπέδου ασφάλειάς του και προσαρµογής του στην αντιµετώπιση νέων και αναδυόµενων απειλών».
Who is who
Ο Συµεών Μυστακίδης κατέχει τον ρόλο του Group Chief Information Security Officer στην ∆ΕΗ Α.Ε. από τον Νοέµβριο του 2021. Έχει εργαστεί επί σειρά ετών (20082021) στο Kuwait στην θέση του Group Chief Information Security Officer στον τραπεζικό κλάδο. Είναι κάτοχος MSc από το University of South Wales καθώς και BSc από το City University.
• ΜΑΪΟΣ 2023
netwee
16
Ιωάννης Σµαριανάκης
Head of CyberSecurity (Επικεφαλής Κυβερνοασφάλειας), Minoan Lines
«H ασφάλεια είναι ένα θέµα που απασχολεί όλους µας, είτε σε επαγγελ-
µατικό είτε σε προσωπικό επίπεδο.
Ωστόσο, ποια είναι η προσέγγισή µας όταν πρόκειται για την εφαρµογή της και πώς µπορούµε να προστατευτούµε από πιθανούς κινδύνους; Κατά τη διάρκεια της επαγγελµατικής µου πορείας στον τοµέα της ασφάλειας, έχω αναπτύξει µια ιδιαίτερη προσέγγιση που βασίζεται στην εξατοµίκευση της ασφάλειας για κάθε επιχείρηση και τον τοµέα της. Πιστεύω ότι δεν υπάρχει µια καθολική λύση για την ασφάλεια, αλλά πρέπει να προσαρµοστούν οι λύσεις
στις ανάγκες και τα χαρακτηριστικά της κάθε επιχείρησης.
Ως µηχανικός ασφάλειας και επαγγελµατίας του χώρου
της Κυβερνοασφάλειας, ανέπτυξα µια προσωπική προσέγγιση που βασίζεται στην ισορροπία µεταξύ της τεχνικής και της ανθρώπινης διάστασης της ασφάλειας. Κατανοώ ότι η ασφάλεια δεν είναι απλά ένα ζήτηµα τεχνολογίας ή λογισµικού, αλλά περιλαµβάνει επίσης την ανθρώπινη συµπεριφορά και την ανάγκη για προληπτικές πρακτικές. Αντιµετωπίζω την ασφάλεια ως µια διαδικασία συνεχούς βελτίωσης και παρακολούθησης, και επιδιώκω να δηµιουργώ λύσεις που είναι πρακτικές και αποτελεσµατικές.
Συγκεκριµένα, ένας από τους βασικούς πυλώνες της προσέγγισης µου γύρω από την έννοια της ασφάλειας είναι η συνεχής εκπαίδευση και ενηµέρωση. Η ασφάλεια των συστηµάτων είναι ένας συνεχώς εξελισσόµενος τοµέας και η τεχνολογία που χρησιµοποιείται για επιθέσεις γίνεται όλο και πιο προηγµένη. Εποµένως, είναι σηµαντικό να είµαστε συνεχώς ενηµερωµένοι για τις τελευταίες τάσεις στην Κυβερνοασφάλεια και να εκπαιδεύουµε τόσο τον εαυτό µας όσο και τους συναδέλφους µας για να προστατεύσουµε αποτελεσµατικά τις επιχειρήσεις µας. Τέλος, πιστεύω ότι η ασφάλεια πρέπει να ενσωµατώνεται στην κουλτούρα και τη συµπεριφορά των εργαζοµένων σε µια επιχείρηση.
Επιπλέον, µια άλλη προσέγγιση που ακολουθώ είναι η
επικέντρωση στην πρόληψη. Στην ασφάλεια, η πρόληψη
είναι πάντα καλύτερη από την αντιµετώπιση των προβληµάτων µετά την εµφάνισή τους. Για αυτό το λόγο, επιδιώκω να αναγνωρίσω τις πιθανές αδυναµίες και τις απειλές στα συστήµατα ασφαλείας και να αναλαµβάνω δράση για την αντιµετώπισή τους προληπτικά. Για παράδειγµα, επιβλέπω τακτικά τα συστήµατα ασφαλείας για να αναγνωρίσω
πιθανά σηµεία ευπάθειας και να λάβω µέτρα επιδιόρθωσης
προτού επιτραπεί η είσοδος σε κάποιον ανεπιθύµητο».
Who is who
Γνωρίστε τον Ιωάννη Σµαριανάκη, έναν ειδικό στην Kυβερνοασφάλεια µε εκτενή γνώση σε GDPR και ISO-27001. Με µια ισχυρή γνώση σε Λειτουργικά συστήµατα, δίκτυα, συστήµατα αντιγράφων ασφαλείας και ανάκτησης δεδοµένων, διαχείριση υπηρεσιών IT, ο Ιωάννης έχει τις δεξιότητες για να προστατέψει την επιχείρησή σας από Κυβερνοαπειλές. Ο Ιωάννης έχει πτυχίο Φυσικής (B.Sc.) από το Καποδιστριακό Πανεπιστήµιο Αθηνών, καθώς και δύο µεταπτυχιακά πτυχία (M.Sc.)
στη ∆ιαχείριση Πληροφοριακών Συστηµάτων από το SUNY στο Stony Brook και στις Τηλεπικοινωνίες από το Pace University.
Κωνσταντίνος
Παπαχριστοφής
Group Information Security
Officer, Olympia Group
«Σε όλα αυτά τα χρόνια της ενασχόλησης µου µε την ασφάλεια, έδωσα µεγάλη έµφαση στη διαρκή ενηµέρωση σε θέµατα ψη-
φιακής ασφάλειας και στη βελτίωση των γνώσεων
και των δεξιοτήτων µου κυρίως µέσα από στοχευµένες εκπαιδεύσεις. Παρακολουθώντας συνεχώς
τις απειλές που εµφανίζονται, αλλά και τις τάσεις
και τις τεχνικές που µπορούµε να αναπτύξουµε για
να τις αντιµετωπίσουµε, συνέβαλε σηµαντικά στην
προστασία των δεδοµένων και των συστηµάτων
ενός οργανισµού. Η διαχείριση του κινδύνου, µέσα
από την ανάπτυξη στρατηγικών παρακολούθησης
και µετριασµού, αποτελούν πλέον µετά από όλα αυτά
τα χρόνια της ενασχόλησής µου µε το αντικείµενο,
καθηµερινή ρουτίνα. Πιστεύω πολύ στην πρόληψη και αποτροπή των απειλών αντί στην κατόπιν εορτής αντιµετώπιση. Η ανάπτυξη δεξιοτήτων επικοινωνίας και συνεργασίας, προς όλες τις κατευθύνσεις, µέσα σε έναν οργανισµό ξεκινώντας από τους συναδέλφους µέχρι τα ανώτερα και ανώτατα στελέχη είναι κρίσιµη για να µπορέσει να λειτουργήσει το «ανθρώπινο» τοίχος προστασίας, που αποτελεί και το πρώτο στάδιο πρόληψης. Η ασφάλεια άλλωστε, είναι υπόθεση όλων και όχι µόνο του τµήµατος κυβερνοασφάλειας».
Who is who Είναι Κάτοχος διεθνών αναγνωρισµένων πιστοποιήσεων στην Ασφάλεια (ISO 27001-LΑ, CISM, cDPO, CEH, CEHI) και Instructor σε θέµατα Κυβερνοασφάλειας, GDPR και ∆ικτύων. Κατέχει πτυχία MSc, MBA και πραγµατοποιεί διδακτορικό (PhD) στο Cyber Security. Επίσης δραστηριοποιείται ως Σύµβουλος Ασφαλείας και GDPR.
ΜΑΪΟΣ 2023 • netwee
Είναι σηµαντικό να αντιλαµβάνεται κανείς
την ασφάλεια ως ένα εργαλείο αποµείωσης
των επιχειρησιακών
κινδύνων που σχετίζονται µε την
προστασία δεδοµένων
17
και συστηµάτων
ODYSSEY,
Με πάνω από 150 άτοµα εξειδικευµένο προσωπικό στην κυβερνοασφάλεια, εκ των οποίων µεγάλο ποσοστό να εδρεύει στον Ελλαδικό χώρο, η Odyssey αποτελεί έναν από τους µεγαλύτερους και πιθανώς παλαιότερους οργανισµούς στην ευρύτερη περιοχή µε 20ετή και πλέον εµπειρία στον τοµέα της. Με επιπλέον φυσική παρουσία σε Κύπρο, Σαουδική Αραβία, Αίγυπτο και Αγγλία εξυπηρετεί
πελάτες ανεξαρτήτου τοµέα, δραστηριότητας και µεγέθους ανά το παγκόσµιο.
Η Odyssey µε 20 και πλέον χρόνια εµπειρίας, έχει ως κύριο στόχο την στήριξη των οργανισµών στην δηµιουργία µιας εφαρµόσιµης και αποτελεσµατικής Στρατηγικής Κυβερνοασφάλειας. Απώτερος σκοπός της, οι οργανισµοί να προβλέπουν, να ανταποκρίνονται, να επανέρχονται γρήγορα και να προσαρµόζονται ενάντια σε ένα αναπτυσσόµενο και ολοένα πιο επικίνδυνο τοπίο ψηφιακών απειλών.
20ΕΤHΣ, ∆ΥΝΑΤΗ ΠΑΡΟΥΣΙΑ
ΣΤΟΝ ΕΛΛΑ∆ΙΚΟ ΧΩΡΟ
Με δυνατή παρουσία στην Ελλάδα από το 2004, µε διαρκή επέκταση του πελατολογίου της στην Ελληνική
αγορά και οµάδα 55 ατόµων που ανα-
πτύσσεται συνεχώς, αποτελεί σταθερή επιλογή για τους οργανισµούς οποιουδήποτε µεγέθους και πεδίου δραστηριότητας, τόσο στον ιδιωτικό
όσο και στο δηµόσιο τοµέα. ∆ιατηρώντας ευρύ πελατολόγιο, η Odyssey Ελλάδος ικανοποιεί τις ανάγκες τόσο συµµόρφωσης σε κανονιστικά πλαίσια όσο και διαχείρισης των ψηφιακών ρίσκων ενός οργανισµού, µε απώτερο στόχο την κυβερνοανθεκτηκότητα. Με έµφαση στον χρηµατοοικονοµικό τοµέα, δεν αποτελεί τυχαίο γεγονός ότι οι µεγαλύτερες τράπεζες
της Ελλάδος εµπιστεύονται εδώ και χρόνια την Odyssey στην δηµιουργία και διαχείριση της στρατηγικής τους για κυβερνοασφάλεια.
Η παροχή υπηρεσιών Managed Detection & Response µέσω του Security Operation Center στην Ελλάδα σε 24ωρη βάση, διασφαλίζει ότι οι ψηφιακές απειλές παρακολουθούνται σε πραγµατικό χρόνο και αντιµετωπίζονται άµεσα. Η οµάδα πραγµατοποιεί συστηµατική
ανάλυση των δεδοµένων, εντοπίζει τα ευάλωτα σηµεία και προβλέπει επιθέσεις, επιτρέποντας έτσι στους οργανισµούς να λαµβάνουν άµεσα µέτρα προστασίας.
Η ΟΛΙΣΤΙΚΗ ΠΡΟΣΕΓΓΙΣΗ ΤΗΣ ODYSSEY
Η ολιστική προσέγγιση της Odyssey συνδυάζει πέντε πυλώνες µιας ευρείας γκάµας προϊόντων, λύσεων και υπηρεσιών: Advisory Services (GRC), Integrated Solutions, Cloud Security, ClearSkies™ Threat & Vulnerability Management Platform and Managed Security / Detection & Response Services (MSDR), οι οποίοι συµβάλλουν έτσι ώστε οι οργανισµοί να συµµορφώνονται µε τις εκάστοτε απαιτήσεις και να διαχειρίζονται αποτελεσµατικά τους ψηφιακούς κινδύνους, στηρίζοντας τους στο να
18 Advertorial netwee • ΜΑΪΟΣ 2023
O ΣΤΡΑΤΗΓΙΚOΣ ΣΑΣ ΣΥΝΕΡΓAΤΗΣ
ΣΤΗΝ ΚΥΒΕΡΝΟAΣΦΑΛΕΙΑ
εξελιχθούν µε ασφάλεια στην ψηφι-
ακή εποχή και διαφυλάσσοντας την επιχειρηµατική τους συνέχεια.
Η αποτελεσµατική αυτή προ-
σέγγιση της Odyssey διασφαλίζει
ότι οι διαδικασίες, οι έλεγχοι και οι
πολιτικές χτίζονται µέσα σε ένα εξελισσόµενο οικοσύστηµα ΙΤ, υποστηρίζοντας τους οργανισµούς, ώστε να
µπορούν συνεχώς να εξελίσσονται,
να διαχειρίζονται, να παρακολουθούν
και να εφαρµόζουν τηv στρατηγική
ασφάλειας των πληροφοριών τους.
Οι συµβουλευτικές υπηρεσίες
της Odyssey υποστηρίζουν τους
οργανισµούς, όχι µόνο στο συµβου-
λευτικό κοµµάτι και την δηµιουργία
στρατηγικής για την κυβερνοασφά-
λεια η οποία αποτελεί αναπόσπαστο
µέρος της γενικής στρατηγικής ενός
οργανισµού αλλά και στο σχεδιασµό,
την υλοποίηση και την αξιολόγη-
ση της. Αυτό που διαφοροποιεί την Οdyssey είναι η εξολοκλήρου αφοσίωση στο τοµέα της κυβερνοασφά-
λειας, µε εξειδίκευση, τεχνογνωσία
και πολυετή εµπειρία ταλαντούχων
ειδικών του τοµέα, σε οργανισµούς
και βιοµηχανίες µικρού αλλά και µεγάλου
20 ΧΡΟΝΙΑ ΚΑΙΝΟΤΟΜΙΑΣ, ΕΞΕΙ∆ΙΚΕΥΣΗΣ
ΚΑΙ ΤΕΧΝΟΓΝΩΣΙΑΣ
Η εταιρεία επενδύει στον άνθρωπο φροντίζοντας οι εργαζόµενοι να λαµβάνουν τις πιο σηµαντικές και τελευταίες
πιστοποιήσεις στο τοµέα της κυβερνοασφάλειας. Η γνώση και η εξειδίκευση
µαζί µε την επιµονή, τη µεθοδικότητα, αλλά και τη δίψα που διακατέχει το ανθρώπινο δυναµικό της Odyssey για καινοτοµία, αποτελούν τα συστατικά
Η ολιστική προσέγγιση της Odyssey, µε πέντε πυλώνες που περιλαµβάνουν µια πλήρη γκάµα προϊόντων, λύσεων και υπηρεσιών, επιτρέπει στους οργανισµούς να διεξάγουν ασφαλώς τις επιχειρηµατικές τους δραστηριότητες στην ψηφιακή εποχή και να προστατεύουν τη συνέχεια των επιχειρηµατικών τους δραστηριοτήτων.
επιτυχίας της και την ωθούν πιο κοντά στο όραµα της στο να δηµιουργεί, να πρωτοπορεί και να προσφέρει πραγµατική αξία στους πελάτες της.
ΠΙΣΤΟΠΟΙΗΣΕΙΣ ΚΑΙ ∆ΙΕΘΝΕΙΣ
∆ΙΑΚΡΙΣΕΙΣ
Η Odyssey είναι πιστοποιηµένη µε ISO 27001, ISO 9001 και ISO 22301, SOC 2® Type 2 και διαπιστευµένη
από το the Payment Card Industry Security Standards Council (PCI SSC) ως Qualified Security Assessor (QSA).
Η κυβερνοασφάλεια είναι η γέφυρα
που συνδέει την τεχνολογία µε την
επιχειρηµατικότητα και
η Odyssey, αναλαµβάνει
την αποστολή να µετατρέψει αυτή
τη γέφυρα σε µια συνεχή εξέλιξη µε διαρκή πρόοδο.
Απόστολος Πανδρούλας, Γενικός ∆ιευθυντής, Odyssey Ελλάδος
Η εταιρεία έχει λάβει πολυάριθµα διεθνή βραβεία και διακρίσεις και έχει αναγνωριστεί από την Gartner, στο Magic Quadrant του 2021, για το προϊόν της ClearSkies™, ως ένα από τα 20 καλύτερα παγκοσµίως στην κατηγορία Security Information and Event Management.
Παράλληλα, έχει διακριθεί ανάµεσα στις κορυφαίες εταιρείες στον κόσµο όσον αφορά το καλύτερο εργασιακό περιβάλλον, µε το πιστοποιητικό Great Place to Work, για 3 συνεχή έτη.
INFO
Λεωφ. Μεσογείων 237, Νέο Ψυχικό 154 51, Αθήνα Τ: +302106565200
W: https://www.odysseycs.com/
19 ΜΑΪΟΣ 2023 • netwee
µεγέθους.
Ιωάννης Σολωµάκος
Chief Security Officer, Huawei, Νότια Βαλκάνια
«Τρία από τα αξιώµατα που υιοθέτησα
νωρίς στη πορεία µου και που πλέον λειτουργούν ως ‘φίλτρα’ στη καθηµερινότητα µου γύρω από τα θέµατα ασφάλειας
είναι α) Η ασφάλεια είναι τόσο ισχυρή
όσο ο πιο αδύναµος κρίκος της αλυσίδας προστασίας. β) Η
πρόληψη είναι πάντοτε προτιµότερη από τη µεταµέλεια. γ) Η
ελλιπής προετοιµασία ισοδυναµεί µε προετοιµασία για αποτυχία. Όταν τα παραπάνω αξιώµατα υλοποιούνται έµπρα-
κτα και συνδυάζονται µεταξύ τους στις σωστές δοσολογίες
κατά περίσταση, αποτελούν τα κύρια συστατικά µιας σχεδόν
αλάνθαστης συνταγής ευρύτερης διασφάλισης & συνέχειας, ασχέτως κλάδου και αντικείµενου. Παράλληλα, προσπαθώ να καλλιεργώ µια συνεχή και όσο το δυνατόν πιο σταθερή κουλτούρα ευαισθητοποίησης και αντίληψης σε θέµατα ασφάλειας. ∆εν βρισκόµαστε σε θέσεις ευθύνης για να δηµιουργούµε
προβλήµατα, αντιθέτως πρέπει να λειτουργούµε ως business enablers, θεµατικοί εµπειρογνώµονες και αξιόπιστοι πλοηγοί στον κυβερνοχώρο. Έτσι θεωρώ σηµαντικό να προσπαθούµε συνεχώς να εκπαιδεύουµε τους εµπλεκόµενους µε διάφορους τρόπους, ώστε η αναγκαιότητα των µέτρων ασφαλείας και άµυνας να γίνεται εµφανής και αποδεκτή. Και πιστευτώ ότι ακόµα πιο σηµαντικό είναι, εµείς οι ίδιοι ως άτοµα, να ακολουθούµε πρώτοι αυτά που λέµε».
Who is who
Έχει περισσότερα από 20 χρόνια επαγγελµατικής εµπειρίας στον τοµέα της ασφάλειας στον διεθνή εταιρικό στίβο.
Νικόλαος Πέππας
MSc, CISA, CISM, ISO27001 LA, Group Chief Information Security Officer, HELLENiQ ENERGY Holdings S.A.
«Αισθάνοµαι ότι οι επαγγελµατίες που ασχολούνται µε την κυβερνοασφάλεια βρισκόµαστε σε µια συνεχή «ανηφόρα» κυνηγώντας τους κακόβουλους και εφαρµόζοντας
µέτρα για υποθετικά σενάρια επίθεσης. Όπως είναι λογικό, αυτό έχει επιφέρει κόπωση στην κοινότητα. Για το λόγο αυτό, η βέλτιστη προστασία ενός οργανισµού θα πρέπει να επιτυγχάνεται µε µια risk-based προσέγγιση η οποία θα αναδεικνύει τι είναι σηµαντικό και τι έχει αξία για έναν οργανισµό και κατ’ επέκταση τι απαιτείται για να προστατευτεί επαρκώς. Η παλαιότερη προσέγγιση που επικεντρωνόταν µεµονωµένα µόνο στα σενάρια απειλών (threat-based approach) και εφαρµοζόταν οριζόντια, φαντάζει παρωχηµένη»
Who is who ∆ιαθέτει 15ετή εµπειρία στον ευρύτερο χώρο της ασφάλειας πληροφοριών, ως στέλεχος σε δυο BIG4 συµβουλευτικές εταιρείες.
Παναγιώτης Σουλός
Global Information Security Manager, Intrum
«Το 2019 αποφάσισα να δηλώσω υποψηφιότητα στις εκλογές του ∆ιοικητικού Συµβουλίου του (ISC)2 Hellenic Chapter, όπου και εκλέχθηκα και ανέλαβα το ρόλο του Γραµµατέα του ∆Σ. Στο ρόλο αυτό παρέµεινα για 2 συνεχόµενες θητείες. Ανέλαβα να καθοδηγήσω µία οµάδα εθελοντών για τη µετάφραση του υλικού Safe and Secure Online του (ISC)2 για γονείς, παιδιά και ενηλίκους, στα ελληνικά µε πλήρη επιτυχία. Οδήγησα το (ISC)2 Hellenic Chapter στη συνεργασία µε άλλους δύο οργανισµούς για τη δηµιουργία πέντε σύντοµων animation videos µε θέµατα κυβερνοασφάλειας, τα οποία βρίσκονται πλέον διαθέσιµα στο κοινό στο YouTube. Οι δράσεις αυτές συνέβαλαν σηµαντικά
στην διάκριση του (ISC)2 Hellenic Chapter τόσο σε εθνικό όσο και σε παγκόσµιο επίπεδο, καθώς βραβεύτηκε µε το χάλκινο βραβείο στα πρώτα Greek Cyber Security Awards το 2022
στην κατηγορία Cyber Awareness, το χρυσό βραβείο στην ίδια κατηγορία το 2023 και το (ISC)2 Chapter Recognition Award EMEA Region για το 2022. Συνεχίζω να συνεισφέρω στο χώρο και στην προώθηση της κυβερνοασφάλειας, παραµένω µέλος του Audit Committee του (ISC)2 Hellenic Chapter και είµαι µέντορας στο Women4Cyber Greece»
Who is who
O Παναγιώτης Σούλος είναι Global Information Security Manager στον Όµιλο της Intrum. Έχει πάνω από 15 χρόνια συνολικής εµπειρίας στο χώρο της Πληροφορικής και της Ασφάλειας Πληροφοριών, µε ειδίκευση στον Τραπεζικό και Χρηµατοπιστωτικό Τοµέα.
netwee • ΜΑΪΟΣ 2023
20
Μαρία Σωτήρχου Cybersecurity and Information Security Senior Officer, Alpha Bank
«Το σύνολο των πληροφοριών που διαθέτουν πλέον οι εταιρείες αποτελεί
ένα από τα πολυτιµότερα περιουσιακά
τους στοιχεία και η προστασία της ακεραιότητας, εµπιστευτικότητας και διαθεσιµότητας τους είναι
υψίστης σηµασίας για την διατήρηση της ανθεκτικότητας
τους. Οι απειλές όµως και οι κίνδυνοι που ελλοχεύουν, ειδικά τώρα µε το νέο µοντέλο εργασίας (Τηλεργασία) και τον ψηφιακό µετασχηµατισµό, καθιστούν τους µεγάλους ιδίως οργανισµούς ακόµη πιο ευάλωτους και εκτεθειµένους σε κινδύνους αναφορικά µε την ασφάλεια των πληροφοριών.
Η άποψη αυτή ενισχύεται µε την κατακόρυφη αύξηση των περιστατικών ασφάλειας που δηµοσιοποιούνται σχεδόν σε καθηµερινή βάση και τα οποία κατατάσσονται πλέον στους σηµαντικότερος επιχειρηµατικούς κινδύνους παγκοσµίως. Η υιοθέτηση Συστηµάτων ∆ιαχείρισης Ασφάλειας Πληροφοριών και οι επενδύσεις σε σύγχρονους µηχανισµούς ασφάλειας και τεχνολογιών αιχµής, σίγουρα είναι ζωτικής σηµασίας, καθώς µπορούν να θωρακίσουν τις εταιρείες και να αποτρέψουν σε µεγάλο βαθµό τις προηγµένες απειλές.
Όµως, προσωπική µου άποψη είναι ότι η αντιµετώπιση των
απειλών ασφάλειας καθώς και η προστασία των προσωπικών
δεδοµένων απαιτεί υιοθέτηση και εφαρµογή ενός ολιστικού
µοντέλου, που να συνδυάζει µε επιτυχία τεχνικά και οργανωτικά µέτρα, διατηρώντας παράλληλη στον πυρήνα του τον ανθρώπινο παράγοντα. Ο ανθρώπινος παράγοντας είναι ο καταλύτης, που οδηγεί και εν τέλει καθορίζει τις εξελίξεις. «Ανθρώπινο χέρι» θα ανοίξει ένα phishing e-mail και θα κάνει download επισυναπτόµενο
αρχείο µε κακόβουλο λογισµικό, αλλά ταυτόχρονα το «Ανθρώπινο χέρι» θα εγκαταστήσει, παραµετροποιήσει και τελικά θα αποδεχτεί και θα εφαρµόσει όλους τους θεσπισµένους µηχανισµούς ασφάλειας. Έτσι λοιπόν ενώ από πολλούς µπορεί να θεωρείται ότι ο ανθρώπινος παράγοντας αποτελεί τον πιο «αδύναµο κρίκο» της αλυσίδας που λέγεται «ασφάλεια», η επαγγελµατική µου θεώρηση είναι ότι ο καλά εκπαιδευµένος, διαρκώς και επαρκώς ενηµερωµένος εργαζόµενος, µπορεί να αποτελέσει το πιο αποτελεσµατικό «τείχος προστασίας»
σε επικείµενους κινδύνους και απειλές».
Who is Who
Έχω εργαστεί ως στέλεχος πληροφορικής από το 1999 σε µεγάλες Ελληνικές και Πολυεθνικές Εταιρίες όπως TUI Hellas, Huawei, Ευρωπαϊκή Πίστη, ενώ το 2021 ξεκίνησα να εργάζοµαι ως Information Security Manager και στη συνέχεια ως Data Governance & Information Security Group Manager στην ασφαλιστική Εταιρία Ευρωπαϊκή Πίστη. Το 2023 εντάχθηκα στο δυναµικό της Alpha Bank. Κατέχω MSc in Information Systems και πιστοποιήσεις CISM, DPO Executive.Έχω ηγηθεί στον σχεδιασµό και στην υλοποίηση Συστηµάτων ∆ιαχείρισης Ασφάλειας Πληροφοριών κατά ISO 27001, Επιχειρησιακής Συνέχειας κατά ISO 22301 και συµµόρφωσης µε το GDPR.
ΜΑΪΟΣ 2023 • netwee
21
Παναγιώτης ∆ηµόγιωργας
Cyber Security Operations
Manager,
Όµιλος Helleniq Energy
«Όσον αφορά τους τεχνικούς τοµείς, τα στελέχη Κυβερνοασφάλειας οφείλουν να έχουν µια ολιστική γνώση
των τεχνολογιών Πληροφορικής, ∆ιασυνδεδεµένων
Συστηµάτων, αλλά και των κανονιστικών προτύπων και βέλτιστων πρακτικών του χώρου. Αυτή η γνώση είναι
προβληµάτων, η οργανωτικότητα και η διαχείριση της πίεσης είναι τα θεµέλια µιας επιτυχηµένης πορείας στο χώρο, όπως άλλωστε σε αρκετά άλλα εργασιακά αντικείµενα. Ωστόσο, ας µη λησµονούµε στοιχεία όπως το ήθος, την καινοτόµα σκέψη, την αντικειµενικότητα, την υπευθυνότητα αλλά και την προαγωγή του κοινού καλού. ∆εν είναι τυχαίο πως τα παγκόσµια σωµατεία επαγγελµατιών του τοµέα ((ISC)², ISACA κ.ο.κ) απαιτούν τρόπον τινά από τα µέλη τους, µέσω του εκάστοτε Κώδικα Ηθικής, να ασκούν το επάγγελµά τους τηρώντας αυτές τις αρχές.
απαραίτητη αφενός
για να αντιλαµβάνονται καλύτερα τα ενδεχόµενα ρίσκα που εισάγονται στον οργανισµό µε κάθε νέα υλοποίηση υπηρεσίας, αφετέρου να επιτυγχάνουν την βέλτιστη ισορροπία µεταξύ Ασφάλειας κι επιχειρησιακών αναγκών. Επιπλέον από το τεχνικό υπόβαθρο, οι τωρινές αλλά και οι µελλοντικές απαιτήσεις του τοµέα της Κυβερνοασφάλειας απαιτούν στελέχη µε δυνατά «soft skills» αλλά και δυνατό χαρακτήρα. Στοιχεία όπως η ηγεσία, η στρατηγική/κριτική σκέψη, η αποδοτική επικοινωνία, η οµαδικότητα, η θέληση για µάθηση, η ικανότητα λήψης αποφάσεων κι επίλυσης
CISO - Chief Information Security Officer & Head of Protection & Resilience, Allianz
Ελλάδος & Κύπρου
«Τα στελέχη που απασχολούνται στον
τοµέα του Cyber Security χρειάζεται
να διαθέτουν µία πληθώρα δεξιοτήτων για να διατηρούν
ασφαλή τα δεδοµένα, τα δίκτυα και τα συστήµατα, να πα-
ρακολουθούν για εσωτερικές και εξωτερικές απειλές, να αξιολογούν τον κίνδυνο, να αντιµετωπίζουν περιστατικά και να εφαρµόζουν λύσεις µε υψηλό επίπεδο ασφάλειας.
Η σηµαντικότερη, ωστόσο, δεξιότητα την οποία χρειάζεται
να κατέχει ένας επαγγελµατίας του χώρου, είναι αυτή της επικοινωνίας - να µπορεί να επικοινωνεί τους κινδύνους
του Cyber Security σε µια πληθώρα «ξένων γλωσσών», µε
βασικότερες τις ακόλουθες:
• Τη γλώσσα του Upper Management: Χρειάζεται να µετα-
φράσει τους κινδύνους του cyber security, να κάνει γνωστή
την απαίτηση επένδυσης σε τεχνολογίες και διαδικασίες
πάνω σε αυτό το τοµέα και να επισηµάνει την ανάγκη της
δέσµευσης της ανώτερης διοίκησης στην Cyber Security
στρατηγική που έχει θεσπίσει ο οργανισµός.
• Τη γλώσσα των χρηστών: Χρειάζεται να χρησιµοποιήσει
πειθώ και να φέρει παραδείγµατα από την καθηµερινή ζωή
Ολοκληρώνοντας, αξίζει να σηµειωθεί πώς η χώρα µας διαθέτει στελέχη υψηλών ικανοτήτων µε διακρίσεις και θέσεις εγνωσµένης αξίας σε πολυεθνικούς οργανισµούς, γεγονός το οποίο καταδεικνύει και την συνολική ποιότητα των ανθρώπων που απασχολούνται στον τοµέα».
Who is who Είναι απόφοιτος Ηλεκτρολόγος και Ηλεκτρονικός Μηχανικός του UMIST και κάτοχος MSc από το Πανεπιστήµιο του Salford. Απασχολείται από το 2007 στον Όµιλο της Helleniq Energy (πρώην Ελληνικά Πετρέλαια) κατέχοντας θέσεις Team Leader στις Υποδοµές ∆ικτύων κ’ Ασφαλείας και από το 2021 είναι ο Υπεύθυνος Ασφάλειας Πληροφοριακών Συστηµάτων του Οµίλου. Κατέχει τις πιστοποιήσεις CISA & CISM (ISACA).
µε τα οποία ένα άτοµο µπορεί να ταυτιστεί, προκειµένου να επιτύχει να πείσει τον χρήστη ότι οι περιορισµοί που έχουν τεθεί στην καθηµερινότητά του χρειάζονται όχι µόνο για την προστασία του οργανισµού αλλά και του ίδιου και των προσωπικών του δεδοµένων.
Τη γλώσσα της Πληροφορικής: Οι συνάδελφοι από το χώρο της Πληροφορικής διαθέτουν την τεχνική γνώση για τη λειτουργία των συστηµάτων πληροφορικής αλλά και ταυτόχρονα προτιµούν να ακολουθούν τις «συντοµεύσεις» - “shortcuts”, παρακάµπτοντας την εκάστοτε διαδικασία. Το Cyber Security αντιµετωπίζει τις «συντοµεύσεις» - “shortcuts” ως έναν από τους βασικούς ύποπτους για κενά Ασφάλειας Πληροφοριών και αυτό αποτελεί το σηµείο τριβής µαζί τους. Εδώ χρειάζεται να επιστρατευτεί εκ νέου η δεξιότητα της επικοινωνίας για να γίνει αντιληπτός ο κίνδυνος και να βρεθεί η βέλτιστη δυνατή λύσ η».
Who is who
CISO και Head of Protection & Resilience στην Allianz Ελλάδος & Κύπρου. ∆ιαθέτει παραπάνω από 11 χρόνια προϋπηρεσία στο χώρο της Ασφάλειας Πληροφοριών, Επιχειρησιακής Συνέχειας και ∆ιαχείρισης Κρίσεων. Στην πολυετή εµπειρία της έχει «υπηρετήσει» ως σύµβουλος ασφάλειας πληροφοριών σε 2 από τις 4 Big4 και έχει εργασθεί σε έργα σε πληθώρα οργανισµών, συµπεριλαµβανοµένου των µεγαλύτερων Χρηµατοπιστωτικών Ιδρυµάτων, Ασφαλιστικών Εταιρειών σε Ελλάδα και εξωτερικό.
netwee • ΜΑΪΟΣ 2023
Σταυρούλα Καραγιάννη
Οι ικανότητες και οι δεξιότητες των επιτυχηµένων επαγγελµατιών κυβερνοασφάλειας
22
Παναγιώτης Καλαντζής
Group Chief Information Security Officer (CISO), Omilia
«Στον ταχέως εξελισσόµενο τοµέα της κυβερνοασφάλειας, τα επιφορτισµένα
σχετικά στελέχη πρέπει να διαθέτουν
ποικίλες δεξιότητες για την αποτελεσµατική αντιµετώπιση των ποικιλόµορφων
προκλήσεων, οι οποίες περιστρέφονται γύρω από τους ακόλουθους άξονες:
Τεχνική γνώση: Αν και τα στελέχη µπορεί να µην χρειάζεται
να είναι ειδικοί σε κάθε τεχνική πτυχή, η πλήρης κατανόηση
των αρχών, των τεχνολογιών και των τάσεων της κυβερνοασφάλειας είναι απαραίτητη. Αυτή η γνώση βοηθά στη λήψη τεκµηριωµένων αποφάσεων και στην αποτελεσµατική
επικοινωνία µε τις τεχνικές οµάδες. Στρατηγική σκέψη: Τα στελέχη πρέπει να διαθέτουν ικανότητες στρατηγικής σκέψης για να αναπτύξουν και να εφαρµόσουν αποτελεσµατικές στρατηγικές κυβερνοασφάλειας ευθυγραµµισµένες µε τους στόχους του οργανισµού. Πρέπει να αξιολογούν τους κινδύνους, να εντοπίζουν τα τρωτά σηµεία και να δίνουν προτεραιότητα στις πρωτοβουλίες ασφάλειας, λαµβάνοντας παράλληλα υπόψη τους γενικούς στόχους του οργανισµού.
∆ιαχείριση Κινδύνων: Τα στελέχη της κυβερνοασφάλειας
πρέπει να είναι ικανά στη διαχείριση κινδύνου για τον εντοπισµό, την ανάλυση και τον µετριασµό των κινδύνων αποτελεσµατικά. Αυτό περιλαµβάνει τη διεξαγωγή αξιολογήσεων
κινδύνου, την ανάπτυξη σχεδίων µετριασµού του κινδύνου
και την καθιέρωση κουλτούρας µε επίγνωση του κινδύνου
εντός του οργανισµού. Ηγεσία και επικοινωνία: Οι ισχυρές ηγετικές ικανότητες είναι ζωτικής σηµασίας για τα στελέχη της κυβερνοασφάλειας να καθοδηγούν τις οµάδες τους, να θέτουν προτεραιότητες και να λαµβάνουν τεκµηριωµένες αποφάσεις. Η αποτελεσµατική επικοινωνία είναι απαραίτητη για τη µετάδοση της σηµασίας της κυβερνοασφάλειας στα ενδιαφερόµενα µέρη, την απόκτηση υποστήριξης και την προώθηση µιας κουλτούρας µε συνείδηση της ασφάλειας σε ολόκληρο τον οργανισµό.
Επιχειρηµατική οξυδέρκεια: Τα στελέχη πρέπει να κατανοήσουν το επιχειρηµατικό πλαίσιο µέσα στο οποίο λειτουργεί η ασφάλεια στον κυβερνοχώρο. Αυτό περιλαµβάνει την ευθυγράµµιση των πρωτοβουλιών για την κυβερνοασφάλεια µε τους επιχειρηµατικούς στόχους, την αποτελεσµατική διαχείριση προϋπολογισµών και πόρων και την επίδειξη της αξίας των επενδύσεων στον κυβερνοχώρο στα ανώτερα στελέχη. Συνεργασία και οικοδόµηση σχέσεων: Τα στελέχη της κυβερνοασφάλειας πρέπει να συνεργάζονται στενά µε πολυλειτουργικές οµάδες, συµπεριλαµβανοµένων µονάδων πληροφορικής, νοµικών, HR και επιχειρηµατικών µονάδων. Η
ικανότητα συνεργασίας, οικοδόµησης σχέσεων και επιρροής στους ενδιαφερόµενους είναι κρίσιµης σηµασίας για την προώθηση µιας συνεκτικής στάσης ασφάλειας σε ολόκληρο τον οργανισµό. Προσαρµοστικότητα και συνεχής µάθηση: Το τοπίο της κυβερνοασφάλειας εξελίσσεται συνεχώς, µε νέες απειλές, τεχνολογίες και κανονισµούς να εµφανίζονται τακτικά. Τα στελέχη πρέπει να παραµένουν ενηµερωµένα, να προσαρµοστούν γρήγορα στις αλλαγές και να καλλιεργήσουν µια κουλτούρα συνεχούς µάθησης και βελτίωσης στις οµάδες τους.Ηθική επίγνωση: Τα στελέχη που είναι υπεύθυνα για την ασφάλεια στον κυβερνοχώρο πρέπει να γνωρίζουν καλά τις ηθικές πτυχές και τις νοµικές απαιτήσεις που σχετίζονται µε την ασφάλεια στον κυβερνοχώρο. Πρέπει να κατανοούν τους νόµους περί απορρήτου, τους κανονισµούς προστασίας δεδοµένων και τις ηθικές πρακτικές για να διασφαλίζουν τη συµµόρφωση και να διατηρήσουν την εµπιστοσύνη µε τους πελάτες και τους συνεργάτες. Είναι σηµαντικό να σηµειωθεί ότι εκτός των γενικών αυτών δεξιοτήτων, σε πλείστες των περιπτώσεων, απαιτούνται εξειδικευµένες δεξιότητες ανάλογα µε τον οργανισµό, τον κλάδο και τη φύση των απειλών στον κυβερνοχώρο».
Who is who
Είµαι έµπειρος επαγγελµατίας Κυβερνοασφάλειας µε περισσότερα από 20 χρόνια εγχώριας και διεθνούς εµπειρίας στην Ασφάλεια Πληροφοριών, Προστασία ∆εδοµένων και Συµβουλευτική ∆ιαχείρισης Κινδύνων. Κατέχω εκτελεστικό υπόβαθρο σε συνδυασµό µε ισχυρή εξειδίκευση σε θέµατα τόσο σε τοµείς διαχείρισης όσο και σε τεχνικούς τοµείς και διακλαδική έκθεση µε σταθερό ιστορικό στην ηγεσία και την παροχή απαιτητικών έργων ασφάλειας. Έχω συµµετάσχει ως οµιλητής σε πολυάριθµες εκδηλώσεις και έχω υπάρξει συγγραφέας διαφόρων άρθρων σχετικά µε την ασφάλεια πληροφοριών σε εξειδικευµένα τεχνικά και επιχειρηµατικά περιοδικά και πύλες .
ΜΑΪΟΣ 2023 • netwee
23
Άγγελος Καρώνης
Senior Information Security Manager, Kaizen Gaming
«Τα πιο σηµαντικά προσόντα για
επαγγελµατίες κυβερνοασφάλειας
στο σύγχρονο εργασιακό περιβάλ-
λον κατά την γνώµη µου είναι τα
παρακάτω:
Τεχνικές γνώσεις: Είναι σηµαντικό για επαγγελµατίες
στον χώρο να κατέχουν ισχυρές τεχνικές γνώσεις σχετικά
µε ένα ευρύ φάσµα τεχνολογιών έτσι ώστε να µπορεί να
αναλύσει ορθά τα ρίσκα και τους κινδύνους που απορ-
ρέουν από την χρήση τους και την µη ορθή χρήση τους.
Τέτοιες περιοχές είναι για παράδειγµα διάφορα λειτουρ-
γικά συστήµατα, πρωτόκολλα δικτύου, κρυπτογραφία και
προγραµµατιστικές γλώσσες.
Αναλυτική σκέψη: Οι επαγγελµατίες κυβερνοασφάλειας
πρέπει να είναι ικανοί να αναλύουν και να αντιλαµβά-
νονται πολύπλοκα ζητήµατα ασφαλείας, εντοπίζοντας
πιθανές απειλές και ευπάθειες ακόµα και αν δεν είναι
ορατές µε έναν απλό έλεγχο και απαιτούν τον συνδυασµό
γνώσεων για να αναδειχθούν.
Επίλυση προβληµάτων: Είναι σηµαντικό να µπορούν να
επιλύσουν γρήγορα και αποτελεσµατικά προβλήµατα
ασφαλείας, χρησιµοποιώντας δηµιουργικές και καινο-
τόµες λύσεις. Επίσης είναι σηµαντικό να αναγνωρίζουν πώς θα επίλυε ένα πρόβληµα/κόλληµα ένας πιθανός επιτιθέµενος σε ένα σύστηµα ώστε να το προστατέψουν µε ανάλογα µέτρα Επικοινωνία και συνεργασία: Η ικανότητα να επικοινωνούν καθαρά και αποτελεσµατικά µε συναδέλφους είναι κρίσιµη, καθώς και η ικανότητα να συνεργάζονται σε οµάδες. Επίσης σηµαντική είναι η διαχείριση προσδοκιών και η επικοινωνία των κινδύνων στα ενδιαφέροντα µέρη µε κατανοητούς ανά οµάδα όρους (διαφορετική προσέγγιση σε τεχνικά και business ακροατήρια αλλά
και στο επίπεδο εντός του οργανισµού management, top management, board κλπ.
Νοµικές και ηθικές γνώσεις: Οι επαγγελµατίες κυβερνοα-
σφάλειας πρέπει να γνωρίζουν νοµοθεσίες που άπτονται
του αντικειµένου και να διαθέτουν υψηλό το αίσθηµα
του ήθους και της αντιµετώπισης δύσκολων αποφάσεων
που προκύπτουν.
Με βάση τα παραπάνω γίνεται σαφές ότι οι επαγγελµατίες
στον χώρο της κυβερνοασφάλειας έχουν ένα πολύ ευρύ
πεδίο ικανοτήτων που πρέπει να καλύψουν γεγονός που
τους κάνει να γεφυρώνουν τεχνικά και business κοµµάτια
των οργανισµών . Αυτό οδηγεί σε απαιτήσεις υψηλές για
την θέση αλλά και σε δυνατότητα εισόδου στο επάγγελµα
από πολλούς διαφορετικούς δρόµους!»
Who is who
Είµαι επαγγελµατίας στον τοµέα της Ασφάλειας Πληροφορικής τα
τελευταία 8 χρόνια. Έχω σπουδές στην Πληροφορική στην ΑΣΟΕΕ.
Ο κύριος όγκος της εµπειρίας µου είναι στην Kaizen Gaming από
τον ρόλο του αναλυτή µέχρι και αυτόν που έχω τώρα. Τα ενδιαφέρο-
ντα µου είναι οτιδήποτε έχει να κάνει µε την τεχνική ή οργανωτική
προστασία των assets του οργανισµού, αντικείµενα για τα οποία
αναζητώ συνέχεια ενηµέρωση και εκπαίδευση.
Νίκος Καβούλης
Group CIO & CISO, Ιατρικό
Κέντρο Αθηνών
«Ένα στέλεχος του Τοµέα Ασφάλειας Πληροφοριών, πέραν των αυτονόητων skills όπως είναι
η γνώση ασφάλειας συστηµάτων και δικτύων, θα πρέπει να
έχει, όσο το δυνατόν περισσότερο, ανεπτυγµένα skills
στους τοµείς της Επικοινωνίας, της Ηγεσίας, του Project Management, των διαπροσωπικών σχέσεων καθώς και της επίλυσης πολύπλοκων προβληµάτων.
Ο τοµέας της Επικοινωνίας είναι σηµαντικός γιατί το στέλεχος θα πρέπει να µπορεί να παρουσιάσει εξειδικευµένα θέµατα ασφάλειας πληροφοριών, µε απλό και ακριβή τρόπο, σε συνεργαζόµενα στελέχη άλλων τοµέων όπως του marketing ή των οικονοµικών, τα οποία δεν έχουν το ανάλογο IT background και τις απαραίτητες εξειδικευµένες γνώσεις. Να τονίσουµε σε αυτό το σηµείο ότι η συνεργασία του στελέχους του Cyber Security, ειδικά σε καταστάσεις κρίσεις, µε στελέχη των άλλων διευθύνσεων είναι παραπάνω από αναγκαία και η κατανόηση των θεµάτων θα πρέπει να γίνεται σε πολύ υψηλό βαθµό. Επίσης το ίδιο θα απαιτηθεί και σε παρουσιάσεις
προς την ανώτατη διοίκηση της επιχείρησης. Τα στελέχη του Cyber Security θα πρέπει να είναι ικανά να καθοδηγήσουν οµάδες ατόµων από το IT και το Cyber Security καθώς επίσης να µπορούν να σχεδιάζουν και να παρακολουθούν πολύπλοκα projects µε συµµετοχή
ειδικών από διάφορους τοµείς του ΙΤ. Θα πρέπει λοιπόν τα Leadership και Project Management skills τους να είναι αρκετά ανεπτυγµένα. Τις περισσότερες φορές, τα στελέχη του Cyber Security, καλούνται να πάρουν αποφάσεις και να εκδώσουν οδηγίες που δεν είναι ευχάριστες προς τους τελικούς χρήστες γιατί τους κάνουν την εργασία τους λιγότερο ευέλικτη ή γιατί τους βγάζουν από την ρουτίνα τους. Θα πρέπει λοιπόν να έχουν ανεπτυγµένα skills διαπροσωπικών σχέσεων ώστε να µπορούν να ακούν τους χρήστες αλλά και να τους βοηθάνε να δεχτούν τις νέες, και όπως είπαµε πολλές φορές δυσάρεστες, οδηγίες. Το περιβάλλον του Cyber Security, πολλές φορές, γίνεται αρκετά στρεσογόνο και τα στελέχη καλούνται να λάβουν αποφάσεις κάτω από κατάσταση µεγάλης πίεσης. Είναι απαραίτητο, ανεξάρτητα από την ένταση της πίεσης, το στέλεχος να παραµένει ψύχραιµο και να µπορεί να διαχειρίζεται και επιλύνει πολύπλοκα προβλήµατα µε τον καλύτερο δυνατό τρόπο»
Who is who
Έχει πολυετή πείρα στον Τοµέα Ασφάλειας Πληροφοριών, έχοντας διατελέσει υψηλόβαθµο στέλεχος, σε επιχειρήσεις
διαφόρων κλάδων, τόσο στην Ελλάδα όσο και στο Εξωτερικό.
Συµµετέχει ενεργά, ως οµιλητής, σε συνέδρια σχετικά µε το Cyber Security και την ∆ιοίκηση Πληροφοριακών Συστηµάτων
και έχει συχνή αρθρογραφία στον διεθνή επιστηµονικό τύπο.
Από το 2018 κατέχει τον τίτλο του Group CISO στον Όµιλο Ιατρικού Αθηνών.
netwee • ΜΑΪΟΣ 2023
24
Μαρία Κοµµατά
∆ιευθύντρια Κλάδου Στρατηγικής & ∆ιακυβέρνησης Ασφάλειας
Πληροφοριών, ∆ΕΗ Α.Ε. |
∆ιεύθυνση Κυβερνοασφάλειας
«Τα στελέχη του cybersecurity θα πρέπει
να διαθέτουν εξειδικευµένη γνώση και
δεξιότητες για να επιτύχουν την αποτελεσµατική προστασία ενός οργανισµού.
Συγκεκριµένα θα πρέπει να διαθέτουν γνώσεις αναφορικά µε:
• Τις βασικές αρχές του cyber security: Η κατανόηση των
βασικών αρχών της ασφάλειας στον κυβερνοχώρο, η αντί-
ληψη των απειλών στις οποίες ο οργανισµός εκτίθεται και των διαφόρων τύπων ευπαθειών στην περίµετρο και στο εσωτερικό του περιβάλλον, αλλά και των επιθέσεων και των επιπτώσεών τους, αποτελεί βασική ικανότητα.
• Την κατανόηση των τεχνολογικών εργαλείων.
• Την κατανόηση του κανονιστικού πλαισίου που διέπει τον οργανισµό, προκειµένου να λαµβάνονται τα απαραίτητα µέτρα συµµόρφωσης µε τις κείµενες απαιτήσεις.
• Την αποτελεσµατική διαχείριση των διαθέσιµων πόρων (ανθρώπινων, οικονοµικών, τεχνολογικών, κλπ.) του οργανισµού, υιοθετώντας µια προσέγγιση βάσει του επιπέδου έκθεσης του οργανισµού σε κίνδυνο (risk-based) για την προτεραιοποίηση αξιοποίησής τους.
• Γνώσεις και ικανότητα για την αντιµετώπιση των κινδύνων και των περιστατικών ασφαλείας, µέσω του σχεδιασµού και της εφαρµογής κατάλληλων δικλίδων ασφάλειας.
Επιπλέον, τα στελέχη θα πρέπει να διαθέτουν δεξιότητες
που αφορούν:
• Ικανότητα διαχείρισης των διαπροσωπικών σχέσεων ώστε να δηµιουργούν κλίµα οµαδικού πνεύµατος και συνθήκες επιτυχηµένων συνεργασιών και να ενισχύουν την εµπιστοσύνη και επικοινωνία µέσα στην οµάδα.
• Τη διαχείριση κρίσεων και την επίλυση προβληµάτων κάτω από δύσκολες συνθήκες όπως η λήψη αποφάσεων σε καθεστώς πίεσης χρόνου.
• Ικανότητες αποτελεσµατικής επικοινωνίας µε σαφήνεια προς κάθε επίπεδο τόσο ως προς την οµάδα security όσο και ως προς την ανώτερη διοίκηση.
• Ικανότητα, υποµονή και επιµονή για την δηµιουργία κουλτούρας ασφάλειας στον οργανισµό, µε στόχο την εξοικείωση
µε απειλές και τρόπους αποτελεσµατικής αντιµετώπισής τους.
Εν κατακλείδι, είναι σηµαντικό για ένα στέλεχος cybersecurity
να διαθέτει ένα κράµα δεξιοτήτων και γνώσεων: από την επιστηµονική επάρκεια σε θέµατα κυβερνοασφάλειας και την καλή κατανόηση των επιχειρησιακών δραστηριοτήτων του οργανισµού, µέχρι κοινωνικά και επικοινωνιακά χαρίσµατα καθώς και ικανότητες διαχείρισης κρίσεων».
Who is who
∆ιαθέτοντας πάνω από 30 χρόνια ενασχόλησης µε την πληροφορική, τα τελευταία χρόνια κατέχει την θέση της ∆ιευθύντριας Κλάδου Στρατηγικής & ∆ιακυβέρνησης Ασφάλειας Πληροφοριών στη ∆ΕΗ Α.Ε. Ασχολείται µε την παρακολούθηση και εφαρµογή της στρατηγικής της κυβερνοασφάλειας, την διαχείριση κινδύνων καθώς και την σχεδίαση και εκτέλεση δράσεων ευαισθητοποίησης σε θέµατα κυβερνοασφάλειας.
Kώστας Τσίτσης
Information Security & Networks Manager, Lamda Development
«Οι επαγγελµατίες της κυβερνοασφάλειας διαδραµατίζουν κρίσιµο ρόλο στην προστασία των οργανισµών από κυβερνοεπιθέσεις.
Για να κρατήσει ένας οργανισµός την υποδοµή του
και τα δεδοµένα του ασφαλή, χρειάζεται µια ολιστική
προσέγγιση στην βελτίωση της ασφάλειας σε όλα τα επιµέρους κοµµάτια µιας υποδοµής. Μερικά παραδείγµατα όπως, η θωράκιση της περιµέτρου, η εφαρµογή µοντέλου ZTNA, η προστασία των endpoints, η ασφαλής υλοποίηση εφαρµογών αλλά και η συνεχής εκπαίδευση των υπαλλήλων συντελούν σε ένα ασφαλές περιβάλλον.
Συνεπώς ένας επαγγελµατίας cyber security θα πρέπει να γνωρίζει εις βάθος για όλα τα παραπάνω. Ωστόσο,
µία από τις πιο κρίσιµες ικανότητες που οφείλει να
έχει είναι η πλήρη κατανόηση των δικτύων και πως
αυτά αλληλοεπιδρούν µε τα επιµέρους συστήµατα
και τις εφαρµογές ενός οργανισµού. Ένα ransomware
άλλωστε δεν θα µπορούσε να διεισδύσει σε συστήµατα χωρίς την εκµετάλλευση µιας ευπάθειας σε ένα
λειτουργικό δίκτυο. Εξίσου σηµαντική είναι επίσης η γνώση και εξοικείωση µε διαδικασίες διαχείρισης κινδύνων. Η αναγνώριση , αξιολόγηση άλλα και η έγκαιρη αντιµετώπιση
κινδύνων είναι ο ακρογωνιαίος λίθος για την διασφάλιση των δεδοµένων ενός οργανισµού. Παράλληλα ο επαγγελµατίας θα πρέπει να είναι σε θέση να κατανοεί τις πολιτικές ασφάλειας και να τις προσαρµόζει αναλόγως.
Σε ένα συνεχώς µεταβαλλόµενο περιβάλλον, όπως είναι ο κόσµος της Πληροφορικής και κατ’ επέκταση της ασφάλειας, πρέπει οι επαγγελµατίες να παραµένουν
συνεχώς ενήµεροι για νέες απειλές και ευπάθειες. Πρέπει να εξοικειώνονται και να καταπολεµούν γρήγορα
και αποτελεσµατικά τις νέες απειλές που προκύπτουν.
Τέλος, η αποτελεσµατική επικοινωνία είναι απαραίτητη στον κόσµο της κυβερνοασφάλειας. Οι επαγγελµατίες πρέπει να είναι σε θέση να επικοινωνούν
πληροφορίες τεχνικής φύσεως τόσο σε τεχνικό προσωπικό όσο και σε µη τεχνικό προσωπικό. Πρέπει να
είναι σε θέση να εξηγήσουν ρίσκα ασφαλείας καθώς
και προτάσεις για την επίλυσή τους µε έναν τρόπο κατανοητό σε όλους».
Who is who
∆ιαθέτει 15ετή εµπειρία στον χώρο της τεχνολογίας, µε εξειδίκευση στους τοµείς της ασφάλειας και των δικτύων. Από το 2020, κατέχει τον ρόλο του Information Security & Networks Manager στην LAMDA Development. Υπεύθυνος για τον σχεδιασµό και την υλοποίηση πολλαπλών έργων τόσο σε επίπεδο δικτύων και τηλεπικοινωνίων όσο και σε επίπεδο ασφάλειας συστηµάτων. Στόχος του, η διασφάλιση και διαρκής βελτίωση του επιπέδου ασφαλείας του οργανισµού.
ΜΑΪΟΣ 2023 • netwee
25
Μεταξύ
Αφροδίτη Λουδάρου
Information Security Officer, Fraport Greece
«Σε µια εποχή όπου το cybersecurity
καταλαµβάνει κρίσιµη θέση στη δοµή
µιας εταιρείας, ο Information Security Officer (ISO) αναλαµβάνει έναν πολύ
ενεργό ρόλο µέσα σε έναν οργανισµό.
άλλων και πέραν του να ορίσει και να υλοποιήσει
το cybersecurity πρόγραµµα καλείται να συµβάλλει στην προώθηση/επίτευξη των επιχειρηµατικών στόχων του οργανισµού, να διαχειριστεί και να συνεργαστεί µε οµάδες αλλά και να λειτουργήσει ως εκπρόσωπος για την ασφάλεια, µέσα στον οργανισµό. Βασικά σηµεία του ρόλου του ISO είναι η διαχείριση των ρίσκων, η προστασία των εταιρικών δεδοµέ-
νων και η ασφάλεια των υποδοµών της εταιρείας. Συνεπώς, το τεχνικό υπόβαθρο καθίσταται αναγκαίο ώστε να κατανοεί
την τεχνολογία και τον τρόπο που αυτή δύναται να συµβάλλει, στην προστασία των δεδοµένων, των δικτύων και των συστηµάτων. Επιπλέον, ο ISO θα πρέπει να διαθέτει συγκεκριµένες
δεξιότητες (qualities) που περιλαµβάνουν, ως βασικά skills την ικανότητα να επηρεάζει, να καθοδηγεί, να έχει κριτική σκέψη, να επικοινωνεί και να συνεργάζεται µε διαφορετικές οµάδες.
Το σύνολο των ικανοτήτων αυτών είναι πλέον απαραίτητο
ώστε να µπορεί να πετύχει στο ρόλο και τις αρµοδιότητες του.
Μέχρι τώρα, ο ISO ήταν υπεύθυνος για την ανάπτυξη της cybersecurity στρατηγικής µε βάση τα δεδοµένα και τα IT
συστήµατα του οργανισµού. Ακολουθώντας λοιπόν τις νέες επιταγές της εξέλιξης, θα πρέπει να αναθεωρήσουµε την έως τώρα στρατηγική, ενισχύοντάς τη µε µία νέα προσέγγιση η οποία επιτάσσει να είναι σε ευθυγράµµιση µε τα business objectives. Κατ’ επέκταση, θα πρέπει να αποτελεί µέρος του business process και να ισορροπήσει την ανάγκη για ασφάλεια
µε την ανάγκη του business operation ενός οργανισµού. Ο
τρόπος για να ολοκληρωθεί αυτή η ισορροπία είναι η κατανόηση των επιχειρηµατικών στόχων της εταιρείας, και πως δύναται να επιτευχθούν, µε την ενσωµάτωση σε αυτούς, του cybersecurity. Για το λόγο αυτό, εκτός από την σε βάθος κατανόηση του IT χρειάζεται να έχει ανεπτυγµένο business mindset.
Τέλος, είναι σηµαντικό ο ISO να δηµιουργεί κανάλια επικοινωνίας µέσα στον οργανισµό. Έτσι, θα είναι σε θέση να επικοινωνήσει επαρκώς τα ρίσκα, τους κινδύνους και τις επιπτώσεις, µε τρόπο τέτοιο ώστε να ενσωµατώσει το cybersecurity στην κουλτούρα του οργανισµού. Κυρίως, όµως να συµπεριλάβει σε
όλα τα παραπάνω το ανθρώπινο δυναµικό, ώστε να καλλιεργηθεί, σε όλους, το αναγκαίο security behavior. Η ικανότητα
του να επικοινωνεί επαρκώς και συνοπτικά τη cybersecurity
στρατηγική, καθώς και να µεταφέρει σύνθετα IT και security
θέµατα σε όρους business και σε διαφορετικά ακροατήρια
είναι δύσκολη αλλά εξίσου απαραίτητη».
Who is who
∆ιαθέτει µακροχρόνια επαγγελµατική πορεία στον τοµέα της Πληροφορικής και της Ασφάλειας Πληροφοριών και Πληροφοριακών
Συστηµάτων. Από το 2019 έχει αναλάβει την θέση της Information
Security Officer στην Fraport Greece. Είναι κάτοχος BSc στη Φυσική
από το Πανεπιστήµιο Κρήτης και MSc στα Πληροφοριακά Συστήµατα
από το Πανεπιστήµιο Πειραιά, ενώ διαθέτει διεθνείς πιστοποιήσεις
στην ασφάλεια πληροφοριών (CISSP, ISO 27001 LA).
Χριστίνα Κάπη
Επικεφαλής ∆ιαχείρισης
Εταιρικών Κινδύνων & Υπεύθυνη Ασφάλειας Πληροφοριών,
Cosmote Payments
«Προκειµένου να ανταπεξέλθουν αποτελεσµατικά στις απαιτήσεις του ρόλου τους, τα στελέχη που είναι επιφορτισµένα µε το cyber security θα πρέπει, εκτός από τις απαραίτητες
γνώσεις και δεξιότητες, να έχουν µια ολοκληρωµένη αντίληψη και προσέγγιση για τις απειλές του κυβερνοχώρου, καθώς και καθοριστικό ρόλο στις αποφάσεις της εταιρείας. Πρέπει να δηµιουργούν σχέσεις εµπιστοσύνης µε τους υπαλλήλους και να είναι σε θέση να επικοινωνήσουν σωστά ότι ο ρόλος τους αποσκοπεί στην υποστήριξη και την προστασία της επιχειρησιακής λειτουργίας. Πρέπει να είναι σε θέση να σκεφτούν δηµιουργικά, να διαθέτουν ισχυρές αναλυτικές ικανότητες και να δρουν πρωτίστως ως ηγέτες. Να είναι επικοινωνιακοί, να προσαρµόζονται σε ένα ευρύ φάσµα επιχειρησιακών περιβαλλόντων, καθώς και να αναδεικνύουν τα σηµαντικά θέµατα ασφάλειας, τόσο στο τεχνικό όσο και στο µη τεχνικό κοινό. Ταυτόχρονα να µπορούν να αντιληφθούν τις επιπτώσεις ενός µεµονωµένου ή πολλαπλών παραγόντων κινδύνου ασφάλειας στην επιχειρησιακή λειτουργία, τις οποίες να µπορούν να επικοινωνήσουν µε σαφήνεια στη διοίκηση. Πρέπει να στοχεύουν στη συνεχή εκµάθηση και βελτίωση, καθώς το cyber security απαιτεί συνεχή επανεκπαίδευση
ενηµέρωση σε σχέση µε τις νέες τεχνολογίες και τις αναδυόµενες απειλές στον κυβερνοχώρο, να είναι οργανωτικοί, να µπορούν να συνεργάζονται αποτελεσµατικά µε όλες τις επιχειρησιακές µονάδες της εταιρείας, να αντιλαµβάνονται τις αλληλεξαρτήσεις, καθώς και να δίνουν λύσεις επιτυγχάνοντας συνεργατικές νίκες. Κάποιες από τις σηµαντικότερες προκλήσεις ενός στελέχους cyber security είναι η σωστή επικοινωνία ότι το cyber security αποτελεί στρατηγικό κοµµάτι της επιχειρησιακής λειτουργίας, καθώς και η δηµιουργία, αλλά και διατήρηση κουλτούρας ασφάλειας».
Who is who
Έχει εργαστεί σε µεγάλες εταιρείες τηλεπικοινωνιών, ελεγκτικές και συµβουλευτικές εταιρείες και διαθέτει πολυετή εµπειρία σε έργα ασφάλειας, διαχείρισης κινδύνων και ελέγχου πληροφοριακών συστηµάτων σε Ελλάδα, Ευρώπη και Ηνωµένα Αραβικά Εµιράτα.
netwee • ΜΑΪΟΣ 2023
και
Η ικανότητα του CISO να επικοινωνεί επαρκώς και συνοπτικά
την cyber security στρατηγική σε όρους business είναι δύσκολη
26
αλλά απαραίτητη
∆ρ. Ιωάννης Ηλιάδης
∆ιευθυντής Υποδοµών
Πληροφορικής, ΤΕΙΡΕΣΙΑΣ
«Οριζόντιες ικανότητες που πρέπει να
χαρακτηρίζουν όλα τα στελέχη Κυβερ-
νοασφάλειας αποτελούν η διαρκής θέληση για συνεχή µάθηση καθώς και η
κριτική σκέψη.
Για τα στελέχη που ο χαρακτήρας εργασιών τους συνοδεύ-
εται πρωτευόντως από τεχνική ευθύνη, η ανάγκη για άρτια
τεχνογνωσιακή κατάρτιση στην Ασφάλεια του Cloud είναι
πλέον επιτακτική.
Για first-line managers που διαχειρίζονται οµάδες επαγγελ-
µατιών, σηµαντική ικανότητα αποτελεί η δηµιουργία λύσεων
κυβερνοασφάλειας που να οδηγούν σε κυβερνοανθεκτικά
συστήµατα και επικερδή αποτελέσµατα. Επίσης, πρέπει να είναι σε θέση να στελεχώνουν και να διαχειρίζονται αποτελεσµατικά οµάδες µε υψηλό βαθµό διαφορετικότητας. Τα
ανώτερα στελέχη διακρίνονται για την ικανότητά τους να προσαρµόζουν τις επικοινωνιακές τους τακτικές ανάλογα µε το κοινό στο οποίο απευθύνονται καθώς και για τις διαρκείς
και συνεχείς προσπάθειες ανάπτυξης κουλτούρας Κυβερνοασφάλειας υψηλής ωριµότητας µέσα στην επιχείρηση. Η εν λόγω ώριµη κουλτούρα συµβάλλει πέραν κάθε αµφιβολίας στην επίτευξη των επιχειρηµατικών στόχων».
Who is who
Η εικοσαετής εµπειρία του περιλαµβάνει ποικίλες θέσεις ευθύνης µε στόχο την κυβερνοανθεκτικότητα 24ωρων υπηρεσιών, δεκάδων χιλιάδων χρηστών: ανάπτυξη λογισµικού κυβερνοασφάλειας, διαχείριση συστηµάτων ασφάλειας δικτύου, έρευνα στον τοµέα της Ασφάλειας Πληροφοριών, διαχείριση κυβερνοκινδύνων και ηγεσία οµάδων Πληροφορικής και Κυβερνοασφάλειας.
Χρήστος Φλεβοτόµος
Chief Information Security Officer, Hellas Direct
«Τα στελέχη στο Cyber Security χρειάζονται εξίσου soft όσο και hard skills. Για να λειτουργούν αποτελεσµατικά και να συµβάλλουν ουσιαστικά στην ασφάλεια των πληροφοριών του οργανισµού τους, απαιτούνται προνοητικότητα, αντίληψη, επικοινωνία, τεχνικές γνώσεις και διαχείριση περιστατικών (incident response). Θα πρέπει να έχουν τη δυνατότητα
να εντοπίζουν τα ευάλωτα σηµεία του οργανισµού και να προβλέπουν επικείµενες επιθέσεις πέρα από τις κοινές που αντιµετωπίζουµε συχνά. Να κατανοούν τη µεθοδολογία κάθε επίθεσης και να αντιλαµβάνονται τον σκοπό αυτής ώστε να είναι προετοιµασµένοι µελλοντικά. Η προετοιµασία επίσης είναι ένα από τα βασικά χαρακτηριστικά ώστε να είναι έτοιµοι να διαχειριστούν οποιαδήποτε κρίση προκύψει, επαναφέροντας τον οργανισµό σε λειτουργική κατάσταση το συντοµότερο δυνατόν, αλλά παράλληλα διατηρώντας όλα τα στοιχεία (audit logs, IPs, κλπ) που
∆ιονύσης Κοτταρίδης
Υπεύθυνος Κυβερνοασφάλειας, Κέντρο Πολιτισµού Ίδρυµα Σταύρος Νιάρχος Μ.Α.Ε
«Οι επαγγελµατίες της κυβερνοασφάλειας εκ των πραγµάτων οφείλουν να διαθέτουν ένα ευρύ φάσµα γνώσεων και δεξιοτήτων για να αντιµετωπίσουν τις συνεχώς εξελισσόµενες απειλές στον ψηφιακό κόσµο. Η τεχνική κατανόηση, η πρακτική εµπειρία και η αδιάκοπη ενηµέρωση/εκπαίδευση επί των βασικών αρχών του αντικειµένου αποτελούν την παραδοσιακή κάθετη βάση δεξιοτήτων. Ωστόσο, τα κοσµοϊστορικά άλµατα της τεχνολογίας, η εδραίωση της κυβερνοασφάλειας ως µείζον θέµα, η ανάγκη διαχείρισης ανθρώπων µε µη τεχνικό υπόβαθρο και το συνεχώς µεταβαλλόµενο τοπίο σε επίπεδο νοµοθεσίας και κανονιστικής συµµόρφωσης, προσθέτουν σηµαντική πολυπλοκότητα στο αντικείµενο και ανεβάζουν όλο και ψηλότερα τον πήχη των απαιτούµενων κάθετων και οριζόντιων δεξιοτήτων. Σε αυτό το πλαίσιο το στέλεχος κυβερνοασφάλειας εν τέλει οφείλει να διαχειρίζεται τα σχετικά ρίσκα συνθέτοντας τις οπτικές της διοίκησης, του µάνατζερ, του µηχανικού, του νοµικού, του επιτιθέµενου, του αµυνόµενου, του τελικού χρήστη των ψηφιακών υπηρεσίων και βεβαίως του ανθρώπου σε σχέση µε την τεχνολογία».
Who is who Εργάζοµαι στον ευρύτερο τοµέα της Κυβερνοασφάλειας τα τελευταία 15 χρόνια, τα περισσότερα εκ των οποίων εντός του τραπεζικού κλάδου. Τα τελευταία χρόνια είµαι µέλος της οµάδας του Κέντρου Πολιτισµού Ίδρυµα Σταύρος Νιάρχος συνεισφέροντας ως Υπεύθυνος Κυβερνοασφάλειας
απαιτούνται για περαιτέρω διερεύνηση του περιστατικού µετά την κρίση. Ένας ισορροπηµένος συνδυασµός αυτών των ικανοτήτων είναι απαραίτητος. Εκτός από την αντιµετώπιση των τρεχουσών απειλών, τα στελέχη του Cyber Security πρέπει επίσης να προωθούν την κουλτούρα ασφάλειας µέσα στον οργανισµό, διδάσκοντας τα µέλη του οργανισµού για τους κινδύνους και τις βέλτιστες πρακτικές στην κυβερνοασφάλεια. Με αυτόν τον τρόπο, οι εργαζόµενοι θα γίνουν πιο προσεκτικοί στις καθηµερινές τους εργασίες και θα βοηθήσουν στην πρόληψη των περιστατικών ασφαλείας. Οι ραγδαίες εξελίξεις στον τοµέα του Cyber Security και της πληροφορικής, λαµβάνοντας υπόψη τις τελευταίες εξελίξεις της Τεχνητής Νοηµοσύνης
θα αλλάξουν τον τρόπο που εργαζόµαστε µέχρι σήµερα, οι επιθέσεις θα είναι πιο σοφιστικέ, απαιτώντας περισσότερη συγκέντρωση, ίσως µε πιο εξελιγµένα µέσα από ότι σήµερα, αλλά ο άνθρωπος πάντα θα παίζει τον πιο βασικό ρόλο στην αντιµετώπιση των απειλών».
Who is who ∆ιαθέτει περισσότερα από 15 χρόνιας στους τοµείς του cybersecurity και των Τεχνολογιών Επικοινωνίας και Πληροφορικής.
ΜΑΪΟΣ 2023 • netwee
27
Θοδωρής
Στανηµεράκης
Cyber Security Platforms Manager, Coca Cola Hellenic Bottling Company
«Θεωρώ πώς το σηµαντικότερο χαρακτηριστικό που χρειάζεται ένας επιτυχηµένος επαγγελµατίας στη συγκεκριµένη
ειδικότητα είναι η ικανότητα να εξισορροπεί τις απαιτήσεις
για ασφάλεια µε τις υπόλοιπες ανάγκες της επιχείρησης και
να δηµιουργεί τη Χρυσή Τοµή. Θα πρέπει πάντοτε να βρίσκει
τρόπο να προστατεύσει επαρκώς, χωρίς να δυσχεραίνει τη
λειτουργία σε εµπορικό, στρατηγικό, οργανωσιακό και παρα-
γωγικό επίπεδο. Εν συντοµία, χρειάζεται να βλέπει µακριά και
να παράγει αξία για όλα τα εµπλεκόµενα µέρη, όχι µόνο για
το τµήµα του και τους άµεσους συνεργάτες του».
Who is who
∆ιαθέτει 20 χρόνια επαγγελµατικής εµπειρίας στον κλάδο του ΙΤ, µε αρκετά από αυτά εστιασµένα στον τοµέα της ασφάλειας.
Χρήστος Συγγελάκης
Group Motor Oil CISO & DPO, Motor Oil
«Ειδικός στην Κυβερνοασφάλεια. Καταρχήν ακούγεται ωραίο. Θεωρώ ότι το
κοινό γνώρισµα που συναντά κάποιος
σε πραγµατικούς επαγγελµατίες του χώρου είναι το πάθος και η αφοσίωση στην
δουλειά που κάνουν. Παρά το γεγονός ότι ξέρουν ότι αυτή
δεν µπορεί να αναγνωριστεί καθώς ελάχιστοι καταλαβαίνουν
πόση δουλεία κάνουν. Παρά την πρακτική αδυναµία να είναι
όλα τέλεια ή έστω απλά καλά.
Κοινό γνώρισµα το Burn Out από το πλήθος των πληροφορι-
ών που καλούνται να επεξεργαστούν κάθε µέρα σχετικά µε τις τεχνολογικές εξελίξεις και τους κινδύνους που ξεφυτρώνουν.
Από τον αριθµό των νέων project και των νέων φανταστικών προϊόντων που τους ζητείται να εµπιστευθούν και να δοκιµάσουν. Με τον φόβο του τερµατοφύλακα πριν από το
πέναλτι και την αγωνία ότι στο τέλος θα κατηγορηθούν ότι
δεν έκαναν καλά την δουλεία τους.
Σίγουρα πρέπει να έχεις κάποιο θεµατάκι αν ασχολείσαι σοβαρά µε το αντικείµενο».
Who is who
Υπεύθυνος για τη στρατηγική ασφάλειας των Πληροφοριακών Συστηµάτων, του Operational Technology και τη σωστή χρήση των Προσωπικών ∆εδοµένων. Με 35η εµπειρία, το 2022 συµπεριλήφθηκε στο Top 100 Global CISOs από το Cyber Defense Media Group.
Αθανάσιος
Στεργίου Information Security Officer and Network Administrator Team Leader, Aegean Airlines
«Θεωρώ ότι δεν είναι µόνο ένα, αλλά ένας συνδυασµός δυνατοτήτων και χαρακτηριστικών. Για να είσαι επιτυχηµένος στο χώρο της κυβερνοασφάλειας, πρωτίστως θα πρέπει να είσαι επικοινωνιακός. Πολλές φορές θα χρειαστεί
να εξηγήσεις τεχνικά θέµατα στην διοίκηση ή σε µη τεχνικά καταρτισµένο προσωπικό. Για το λόγο αυτό θα πρέπει να κατανοείς τόσο τις ανάγκες της εταιρίας, όσο και της διοίκησης. Με τα κατάλληλα επικοινωνιακά προσόντα µπορείς να επισηµάνεις τις ανησυχίες σου σχετικά µε ελλείψεις, είτε σε υλικό/λογισµικό είτε σε διαδικασίες, ώστε να θωρακίσεις την εταιρία απέναντι σε όποια επικείµενη κυβερνοεπίθεση.
Θα πρέπει να είσαι ενηµερωµένος και να ακολουθείς τις τάσεις και την τεχνολογία. Το οικοσύστηµα της πληροφορικής είναι δυναµικό, συνεχώς αλλάζει, εξελίσσεται, χωρίς πολλές φορές να έχουµε την δυνατότητα ή τον χρόνο να ακολουθήσουµε. Όσο πιο καλά ενηµερωµένος
είσαι και ακολουθείς τις τάσεις της τεχνολογίας, τόσο πιο εύκολα προσαρµόζεις και θωρακίζεις την εταιρία.
Και τέλος θα πρέπει να έχεις πάθος για αυτό που κάνεις.
Με το να αγαπάς το αντικείµενο µε το οποίο ασχολείσαι
γίνεσαι καλύτερος, εξελίσσεσαι και µαζί σου εξελίσσεται και η εταιρία που προφυλάσσεις.
Μην ξεχνάµε ότι δεν είναι θέµα αν θα πέσουµε θύµα κάποιας κυβερνοεπίθεσης αλλά το πότε. Το πόσο καλά έχεις προετοιµάσει την εταιρία ενάντια σε κάποια επικείµενη κακόβουλη επίθεση, θα επηρεάσει το πόσο εύκολα και γρήγορα θα ανακάµψει».
Who is who
Ολοκλήρωσα τις σπουδές µου στο Τµήµα Μηχανικών Πληροφορικής και Υπολογιστών του Πανεπιστηµίου ∆υτικής Αττικής το 2006. Παράλληλα µε τις σπουδές µου, το 2004 ξεκίνησα την πορεία µου στην SITA ως network engineer στο Ελευθέριος Βενιζέλος. Συνέχισα στην Algosystems το 2007 όπου και απέκτησα αρκετά certifications στον κλάδο των δικτύων και της ασφάλειας πληροφορικής. Το 2009 εντάχτηκα στο δυναµικό
της Aegean Airlines ως network administrator. Τα τελευταία
περίπου πέντε χρόνια τελώ χρέη Information Security Officer
και Network Administrator team leader του οµίλου, έχοντας
τις οµάδες των network administrators και του information security υπό την αιγίδα µου.
netwee • ΜΑΪΟΣ 2023
28
Το διαφοροποιητικό πλεονέκτηµα των επαγγελµατιών κυβερνοασφάλειας
Λευτέρης Τζελέπης
CISO, Steelmet
«Η µεγαλύτερη πρόκληση που αντιµε-
τωπίζουν σήµερα οι επαγγελµατίες της
κυβερνοασφάλειας είναι η επικοινωνία.
Πλήθος ερευνών έχουν δείξει ότι δεν αρ-
κεί η εστίαση σε τεχνολογικές λύσεις ή η
πιστή εφαρµογή κανόνων και πλαισίων
ασφαλείας. Όλα εξαρτώνται από τον ανθρώπινο παράγοντα, γι αυτό και ο πετυχηµένος επαγγελµατίας διαθέτει πολύ καλά επικοινωνιακά (soft) skills. Ειδικά από την πλευρά του τελικού
πελάτη (όχι Vendor ή Integrator), έχει απέναντί του τη ∆ιοίκηση, τους εσωτερικούς business partners, την οµάδα του, τον τελικό χρήστη. Καλείται να πάρει διαφορετικό ρόλο σε κάθε «τραπέζι» και για κάθε θέµα, αναλόγως του κοινού που έχει απέναντί του και των αλλαγών που πρέπει να περάσει ή του στόχου που έχει. Τον βλέπουµε σε ρόλο συνεργάτη, subject matter expert, project manager, διαχειριστή συστηµάτων, συµβούλου, φίλου… Η επιτυχία είναι στη ικανότητα να συµπληρώνει κάποιος ικανοποιητικά και αποτελεσµατικά όλους αυτούς τους ρόλους προκειµένου να καταφέρει να αλλάξει τη νοοτροπία µιας εταιρείας ως προς την κυβερνοασφάλεια. Σίγουρα το θέµα είναι στο επίκεντρο όλων και λαµβάνει την απαραίτητη προσοχή, αλλά στην εφαρµογή και στη συνείδηση του καθενός µεταφράζεται διαφορετικά κάθε φορά. Ιδιαίτερα όταν πρόκειται
να επιφέρει αλλαγές στην καθηµερινότητα ή στον τρόπο που έχουµε συνηθίσει να δουλεύουµε, βλέπουµε ότι η ύπαρξη
αυτού του συνδετικού κρίκου είναι απολύτως αναγκαία. Επιπλέον, ο πετυχηµένος επαγγελµατίας του χώρου φροντίζει να ενηµερώνεται τακτικά και συστηµατικά όχι µόνο ως προς τις εξελίξεις της αγοράς. ∆ηµιουργεί και συντηρεί σχέσεις µε τους οµόλογούς του σε άλλα industries, ανταλλάσσει απόψεις
και ιδέες αποκτώντας µια ευρύτερη εικόνα ως προς τις προκλήσεις και τον τρόπο αντιµετώπισής τους από µια σύγχρονη επιχείρηση. ∆εν είµαστε µόνοι σ’αυτή την αγορά και σίγουρα οι συνέργειες και η ανταλλαγή εµπειριών είναι πολύ βασικό πλεονέκτηµα στη σύνθεση ολοκληρωµένης αντίληψης αλλά και στο χειρισµό δύσκολων καταστάσεων».
Who is who
Ο Λευτέρης Τζελέπης διαθέτει παραπάνω από 20 χρόνια εργασιακής εµπειρίας στην Πληροφορική και την Ασφάλεια Συστηµάτων, κατέχοντας τα τελευταία 12 θέσεις Security Leader και ΙΤ Security Director.
Από το ∆εκέµβριο του 2022 έχει αναλάβει το ρόλο CISO στη Steelmet, µε στόχο τo σχεδιασµό και υλοποίηση της στρατηγικής ασφάλειας των εταιρειών Viohalco.
George Τριπολίτης
Υπεύθυνος ∆ικτύων & Ασφάλειας Πληροφοριών, Cosmocar
«Κάθε άνθρωπος που αγαπάει
αυτό που κάνει, έχει το ίδιο
κοινό γνώρισµα, το πάθος για
τη συνεχή εξέλιξη των γνώσεων και δεξιοτήτων που µπορεί να τις αποκτήσει
µόνο µε την δια βίου µάθηση.
Ο τοµέας της κυβερνοασφάλειας εξελίσσεται ταχύτατα, µε νέες τεχνικές επιθέσεων, εργαλεία και τεχνολογίες να εµφανίζονται συνεχώς. Οι επαγγελµατίες της κυβερνοασφάλειας αφιερώνουν
πολύ χρόνο για να διαβάζουν, να πειραµατίζονται
µε νέα εργαλεία και να αναπτύσσουν τις δεξιότητές τους. Παρακολουθούν συνέδρια και σεµινάρια, πιστοποιούνται σε νέες τεχνολογίες και µεθόδους, και διατηρούν ενεργό ρόλο στην κοινότητα κυβερνοασφάλειας.
Οι ειδικοί στον τοµέα της κυβερνοασφάλειας µοιράζονται ένα βαθύ πάθος για τη δουλειά τους, µια ισχυρή αίσθηση ηθικής και ευθύνης, πολύ καλές τεχνικές και δηµιουργικές δεξιότητες επίλυσης
προβληµάτων, ισχυρές επικοινωνιακές ικανότητες και µια δια βίου δέσµευση για µάθηση και αυτοβελτίωση.
Γνωρίζουν εξάλλου ότι όλα τα παραπάνω είναι αναγκαία για να βρίσκονται ένα βήµα µπροστά
στις εξελίξεις στον τοµέα της κυβερνοασφάλειας.
Τίποτα όµως δεν θα µπορούσε να γίνει αν δεν υπάρχει πρωτίστως η αίσθηση της ηθικής και της ευθύνης. Οι υπεύθυνοι της κυβερνοασφάλειας
συχνά ασχολούνται µε ευαίσθητες πληροφορίες
και δεδοµένα και είναι καθήκον τους να τα προστατεύουν. Πρέπει να είναι σε θέση να µπορούν
να εξισορροπούν τον σκοπό µε την ακεραιότητα
και να περιηγηθούν µε σιγουριά σε αυτό το περίπλοκο ηθικό τοπίο».
Who is who
Με περισσότερα από 30 χρόνια εµπειρίας στον τοµέα της Πληροφορικής και Επικοινωνιών, έχω αποκτήσει εκτεταµένη γνώση και εξειδίκευση στο ΙΤ του τοµέα της αυτοκινητοβιοµηχανίας. To 2022 ως Υπεύθυνος ∆ικτύων & Ασφάλειας Πληροφοριών στην Kosmocar ΑΕ, συµµετείχα µε επιτυχία στην οµάδα που είχε την ευθύνη της εφαρµογής και απόκτησης του προτύπου TISAX (βασίζεται στις απαιτήσεις του ISO 27001), και που αποτελεί βασική απαίτηση για την ασφάλεια πληροφοριών στην αυτοκινητοβιοµηχανία. Κατά καιρούς έχω συµµετάσχει
σε σηµαντικά project στον τοµέα της Πληροφορικής, τα τελευταία χρόνια ειδικεύοµαι στον κλάδο της Κυβερνοασφάλειας , αποδεικνύοντας ότι µέσα από το οµαδικό
πνεύµα που είναι ένα από τα κυριότερα χαρακτηριστικά
µου, µπορώ να φέρω τα καλύτερα αποτελέσµατα.
ΜΑΪΟΣ 2023 • netwee
Η µεγαλύτερη πρόκληση που αντιµετωπίζουν σήµερα οι CISOs
29
είναι η επικοινωνία
να παρακολουθούν
Christie Τσιντέα
Group IT & Security Manager,
Όµιλος Σαράντης
«Το πιο κοινό χαρακτηριστικό των πιο
επιτυχηµένων επαγγελµατιών στον
τοµέα της κυβερνοασφάλειας είναι το
υψηλό επίπεδο αφοσίωσής τους στο
επάγγελµα. Οι ειδικοί στον τοµέα πρέπει
τις εξελίξεις αιχµής και να προσπαθούν
συνεχώς να βελτιώνουν τις γνώσεις τους στον τοµέα. Η κυβερνοασφάλεια είναι ένας τοµέας που αλλάζει ταχέως, εποµένως
πρέπει να προσαρµοστούν γρήγορα για να παραµείνουν ένα
βήµα µπροστά από τους εγκληµατίες του κυβερνοχώρου.
Επιπλέον, οι επιτυχηµένοι ειδικοί έχουν συχνά ισχυρές αναλυτικές δεξιότητες. Είναι σηµαντικό να εντοπίζουν µοτίβα, ευπάθειες και κακόβουλο λογισµικό, ώστε να µπορούν να
αναπτύξουν ασφαλή συστήµατα µε βάση την ανάλυσή τους.
Πρέπει επίσης να είναι καλοί λύτες προβληµάτων και δηµι-
ουργικοί στην προσέγγισή τους στα συστήµατα ασφαλείας.
Οι ειδικοί στον τοµέα αντιµετωπίζουν συχνά καταστάσεις
όπου δεν υπάρχει γνωστός δρόµος για µια λύση, εποµένως
πρέπει να αναπτύξουν δηµιουργικές λύσεις για την προστασία
δεδοµένων και δικτύων χωρίς να διακυβεύεται η ασφάλεια.
Τέλος, έχουν ισχυρές επικοινωνιακές δεξιότητες. Για την
αποτελεσµατική άµυνα έναντι των απειλών στον κυβερνοχώ-
ρο, οι ειδικοί πρέπει να είναι έτοιµοι να εξηγήσουν τα µέτρα
ασφαλείας που εφαρµόζουν µε συνοπτικό και σαφή τρόπο. Συνοψίζοντας, η αφοσίωση, η αναλυτική σκέψη, η επίλυση προβληµάτων και οι δεξιότητες επικοινωνίας είναι χαρακτηριστικά που µοιράζονται οι επιτυχηµένοι επαγγελµατίες της κυβερνοασφάλειας που θα τους βοηθήσουν να επιτύχουν σε αυτό το όλο και πιο σηµαντικό επάγγελµα».
Who is who
Έχει εργασθεί σε διάφορες θέσεις στο τµήµα πληροφορικής του Οµίλου, µε τα τελευταία χρόνια να επικεντρώνεται στον τοµέα της ασφάλειας του οργανισµού. Κατέχει πτυχίο Bachelor στη Πληροφορική , στην ∆ιοίκηση επιχειρήσεων και Μεταπτυχιακό Τίτλο στην Ασφάλεια Υπολογιστικών Συστηµάτων και ∆ικτύων.
Κατερίνα Ραπτάκη
Digital Transformation, Cyber Security & eGovernance specialist, Navios Group Of Companies
H Kατερίνα Ραπτάκη έχει διατελέσει ∆ιευθύντρια τεχνολογιών πληροφορικής και επικοινωνιών του
οµίλου εταιρειών Navios, η οποία αποτελεί µία από τις ηγέτιδες δυνάµεις στην ποντοπόρο ναυτιλία. Ο όµιλος, µε εταιρείες εισηγµένες στο χρηµατιστήριο της Νέας
Υόρκης, κατέχει και διαχειρίζεται σχεδόν 200 πλοία (φορτηγά, τάνκερ, κοντέινερ) και διατηρεί παραρτήµατα και εγκαταστάσεις σε όλο τον κόσµο. Η Κατερίνα Ραπτάκη είναι επίσης ιδρυτικό µέλος, πρώην πρόεδρος και νυν µέλος του ∆Σ της AMMITEC, της Ένωσης ∆ιευθυντών Πληροφορικής στη Ναυτιλία. Σπούδασε Ναυπηγός Μηχανολόγος Μηχανικός στο Εθνικό Μετσόβιο Πολυτεχνείο (ΕΜΠ) και διαθέτει 35ετή εµπειρία στις τεχνολογίες πληροφορικής και επικοινωνιών.
Information Security Officer, Eurolife
Πέτρος
Senior Information Security Officer, Data Controller, Nova
Ιωάννης Κυπραίος
Director of Cyber Security, Εθνική Τράπεζα
της Ελλάδος
Μηνάς Ταντούρης
Head of Information Technology Infrastructure & SecurityHead, Pharmaten
Ιωάννης Τζάνος
Group Corporate Security Officer & Chief Information Security Officer της Eurobank
∆ηµήτρης
Παπουτσής
Information Security Officer, ERGO Hellas
Παναγιώτης Αναγνώστου, Information Technology & Systems Director, AVAX Group
Κωνσταντίνος Βογιατζόγλου
Group Information Security Officer, Quest Holdings
Παύλος Γεράρδος
IT Infrastructure Supervisor & Information Security Officer at THENAMARIS
Γεώργιος Τσινός
CISO, Εθνική Ασφαλιστική
netwee • ΜΑΪΟΣ 2023
Παναγιώτης Κατερτζής
Κρόγκος
Η αφοσίωση, η αναλυτική σκέψη, η επίλυση προβληµάτων
και οι δεξιότητες επικοινωνίας είναι
χαρακτηριστικά
που µοιράζονται
οι επαγγελµατίες
30
κυβερνοασφάλειας