Στη σύγχρονη ψηφιακή πραγματικότητα, όπου οι κυβερνοαπειλές εξελίσσονται με ταχύτητα και πολυπλοκότητα, η έννοια της κυβερνοανθεκτικότητας αποκτά κεντρικό ρόλο στη βιωσιμότητα και την ανάπτυξη των επιχειρήσεων. Δεν πρόκειται πλέον μόνο για την προστασία συστημάτων, αλλά για μια ολιστική στρατηγική που διασφαλίζει τη συνέχεια, την εμπιστοσύνη και την ανταγωνιστικότητα ενός οργανισμού.
Σε αυτό το πλαίσιο, ο Κώστας Γκαβαρδίνας, Partner, CIO Advisory & Cyber Resilience της KPMG στην Ελλάδα, μοιράζεται τη γνώση και την εμπειρία του γύρω από τις σύγχρονες προκλήσεις αλλά και τις ευκαιρίες που αναδύονται. Μέσα από τη συνέντευξη, αναδεικνύονται οι στρατηγικές προτεραιότητες, οι οργανωτικές αλλαγές και οι κανονιστικές εξελίξεις που διαμορφώνουν το τοπίο της κυβερνοασφάλειας, προσφέροντας πολύτιμες κατευθύνσεις για οργανισμούς που επιδιώκουν να ενισχύσουν ουσιαστικά την ανθεκτικότητά τους.
Κι όπως ο ίδιος τονίζει: «Οι οργανισμοί που επιτυγχάνουν υψηλό επίπεδο cyber resilience επενδύουν σε διαδικασίες δοκιμών και ασκήσεων».
Αναλυτικά η συνέντευξη:
Πώς ενσωματώνεται σήμερα η κυβερνοανθεκτικότητα στη συνολική στρατηγική ενός οργανισμού;
Η κυβερνοανθεκτικότητα δεν αντιμετωπίζεται πλέον ως ένα αμιγώς τεχνικό ζήτημα, αλλά ως βασικός πυλώνας της επιχειρησιακής στρατηγικής και της συνολικής ανθεκτικότητας του οργανισμού. Αποτελεί κύριο συστατικό του στρατηγικού σχεδιασμού μέσω της σύνδεσής της με τη διαχείριση κινδύνων, την επιχειρησιακή συνέχεια, την προστασία κρίσιμων λειτουργιών και τη συμμόρφωση με το κανονιστικό πλαίσιο.
Σήμερα, οι οργανισμοί που πρωτοπορούν αντιμετωπίζουν την κυβερνοανθεκτικότητα ως προτεραιότητα αντίστοιχη με την κερδοφορία, την αύξηση εσόδων και τη ενίσχυση του μεριδίου αγοράς. Αυτό σημαίνει ότι οι επενδύσεις σε τεχνολογία, διαδικασίες και ανθρώπινο δυναμικό αξιολογούνται και με βάση τον αντίκτυπο που έχουν στη διατήρηση της επιχειρησιακής συνέχειας, στη διασφάλιση της εμπιστοσύνης πελατών και συνεργατών και στη δυνατότητα του οργανισμού να ανταποκρίνεται αποτελεσματικά σε κυβερνοαπειλές.
Η κυβερνοανθεκτικότητα αποτελεί ευθύνη και προτεραιότητα για το Διοικητικό Συμβούλιο και την ανώτατη διοίκηση, που ενσωματώνουν τους κινδύνους κυβερνοασφάλειας στις αποφάσεις για νέες επενδύσεις, συγχωνεύσεις, ψηφιακό μετασχηματισμό και γεωγραφική επέκταση.
Στην πράξη, η ενσωμάτωση αυτή υλοποιείται μέσα από ένα ολιστικό μοντέλο διακυβέρνησης που ευθυγραμμίζει στρατηγική, κανονιστική συμμόρφωση και επιχειρησιακές λειτουργίες. Οι οργανισμοί χαρτογραφούν τις κρίσιμες υπηρεσίες και λειτουργίες τους, αξιολογούν συστηματικά τους ψηφιακούς και λειτουργικούς κινδύνους, θέτουν μετρήσιμους στόχους ανθεκτικότητας και επενδύουν σε μηχανισμούς πρόληψης, ανίχνευσης, απόκρισης και ανάκαμψης.
Παράλληλα, ενισχύουν τη συνεργασία μεταξύ business, IT, cybersecurity, risk, compliance και third-party management, ενώ αξιοποιούν ασκήσεις προσομοίωσης επιθέσεων και σενάρια κρίσεων για να δοκιμάζουν την ετοιμότητά τους.
Το αποτέλεσμα είναι η μετάβαση από μια αμυντική προσέγγιση κυβερνοασφάλειας σε μια στρατηγική κυβερνοανθεκτικότητας που επιτρέπει στον οργανισμό να συνεχίζει να λειτουργεί, να προστατεύει την αξία του και να αναπτύσσεται ακόμη και σε περιβάλλον αυξημένων ψηφιακών απειλών.
Πέρα από την τεχνολογία, ποιες είναι οι κρίσιμες δεξιότητες και οργανωτικές αλλαγές που απαιτούνται ώστε μια επιχείρηση να γίνει πραγματικά cyber resilient;
Η εμπειρία μας από εκατοντάδες οργανισμούς σε όλο τον κόσμο δείχνει ότι τα περισσότερα περιστατικά κυβερνοασφάλειας δεν εκδηλώνονται λόγω ανεπαρκούς τεχνολογίας αλλά λόγω ανθρώπινης συμπεριφοράς, θολών γραμμών ευθύνης και οργανωτικής αδράνειας.
Η πραγματική κυβερνοανθεκτικότητα βασίζεται πρωτίστως στους ανθρώπους, στη διακυβέρνηση και στην οργανωτική κουλτούρα. Είναι απολύτως αναγκαία η κατανόηση κινδύνων σε επίπεδο διοίκησης, η ικανότητα λήψης αποφάσεων υπό συνθήκες κρίσης, η συνεργασία μεταξύ business και IT/ Cyber, καθώς και η ανάπτυξη κουλτούρας ασφάλειας σε όλο τον οργανισμό.
Το Διοικητικό Συμβούλιο και η ανώτατη διοίκηση πρέπει να διαθέτουν αποδεδειγμένες δεξιότητες στη λήψη αποφάσεων με βάση αξιολόγηση κινδύνων, στην κατανόηση των νέων κανονιστικών απαιτήσεων, ιδιαίτερα σε θέματα διαχείρισης κρίσεων και περιστατικών κυβερνοασφάλειας αλλά και κινδύνων τρίτων μερών. Παράλληλα, απαιτείται η συνεχής ευαισθητοποίηση του προσωπικού σε θέματα αναγνώρισης και πρόληψης κυβερνοαπειλών.
Σε οργανωτικό επίπεδο, απαιτείται μετάβαση από αποσπασματικές δομές και σιλό αρμοδιοτήτων σε ένα ολοκληρωμένο μοντέλο διακυβέρνησης που συνδέει στρατηγική, λειτουργία και έλεγχο. Αυτό περιλαμβάνει σαφείς ρόλους και αρμοδιότητες μεταξύ διοίκησης, risk management, IT, cybersecurity και επιχειρησιακών μονάδων, ενσωμάτωση της κυβερνοανθεκτικότητας στο enterprise risk management και στο business continuity, καθώς και θεσμοθέτηση μηχανισμών παρακολούθησης και αναφοράς προς το Διοικητικό Συμβούλιο.
Οι οργανισμοί που επιτυγχάνουν υψηλό επίπεδο cyber resilience επενδύουν σε διαδικασίες δοκιμών και ασκήσεων, ενισχύουν τη διαχείριση κρίσεων και δημιουργούν ευέλικτες οργανωτικές δομές που μπορούν να ανταποκριθούν γρήγορα σε περιστατικά και διαταραχές. Με αυτόν τον τρόπο, η κυβερνοανθεκτικότητα μετατρέπεται από τεχνική λειτουργία σε στρατηγική ικανότητα που υποστηρίζει τη βιωσιμότητα και την ανάπτυξη της επιχείρησης.
Η υβριδική εργασία, το cloud και τα distributed teams έχουν αλλάξει το εργασιακό μοντέλο. Πώς μπορούν οι επιχειρήσεις να διασφαλίσουν ασφάλεια χωρίς να περιορίζουν την ευελιξία και την παραγωγικότητα;
Η υβριδική εργασία, η υιοθέτηση cloud υποδομών και η λειτουργία με χρήση ομάδων που μπορεί να βρίσκονται σε όλα τα μέρη της γης έχουν μετατοπίσει το μοντέλο ασφάλειας από την περιμετρική προστασία του εταιρικού δικτύου στην προστασία της ταυτότητας, των δεδομένων και των κρίσιμων υπηρεσιών.
Οι επιχειρήσεις μπορούν να διασφαλίσουν υψηλό επίπεδο ασφάλειας χωρίς να περιορίζουν την ευελιξία, υιοθετώντας αρχές όπως zero trust, identity-centric security και risk-based access, όπου η πρόσβαση βασίζεται στη συνεχή αξιολόγηση κινδύνου.
Παράλληλα, η ενσωμάτωση της ασφάλειας στην αρχιτεκτονική του cloud, η ενεργός προστασία των συσκευών των χρηστών, η ασφαλής συνεργασία μέσω ελεγχόμενων εργαλείων και η κεντρική διαχείριση ταυτοτήτων και δικαιωμάτων επιτρέπουν στους εργαζόμενους να λειτουργούν ασφαλώς από οπουδήποτε. Η ασφάλεια μετατρέπεται έτσι σε πολλαπλασιαστή της παραγωγικότητας και όχι σε περιοριστικό μηχανισμό.
Το κρίσιμο στοιχείο είναι η ισορροπία μεταξύ ελέγχου και εμπιστοσύνης μέσα από σωστή διακυβέρνηση και απλοποιημένες διαδικασίες. Οι οργανισμοί θα πρέπει επενδύσουν σε αυτοματοποιημένους ελέγχους, πολιτικές βασισμένες σε ρόλους, συνεχή παρακολούθηση κινδύνων και εκπαίδευση προσωπικού, ώστε η ασφάλεια να ενσωματώνεται φυσικά στον τρόπο εργασίας.
Στην πράξη, οι πιο ώριμοι οργανισμοί δεν επιλέγουν μεταξύ ασφάλειας και παραγωγικότητας αλλά σχεδιάζουν ένα λειτουργικό μοντέλο όπου η ασφάλεια υποστηρίζει την ευελιξία, επιτρέποντας στο ανθρώπινο δυναμικό να συνεργάζεται, να καινοτομεί και να αποδίδει με ασφάλεια σε ένα πλήρως ψηφιακό περιβάλλον. Και έτσι προσελκύουν και διατηρούν ταλέντα που εκτιμούν ένα περιβάλλον όπου η τεχνολογία τους εξυπηρετεί, χωρίς να τους εγκλωβίζει.
Οι κανονιστικές απαιτήσεις αυξάνονται (NIS2, DORA κ.ά.). Πόσο έτοιμες είναι οι ελληνικές επιχειρήσεις να ανταποκριθούν και ποια είναι τα μεγαλύτερα gaps που εντοπίζετε;
Κανονιστικά και νομοθετικά πλαίσια όπως το NIS2 και το DORA έχουν βελτιώσει σημαντικά το επίπεδο κυβερνοασφάλειας, ωστόσο η συνολική ετοιμότητα των επιχειρήσεων παραμένει ανομοιογενής, όχι μόνο στην Ελλάδα αλλά πανευρωπαϊκά.
Μεγάλοι οργανισμοί και ιδιαίτερα οι χρηματοοικονομικές οντότητες έχουν προχωρήσει σε δομημένες πρωτοβουλίες συμμόρφωσης, με τεκμηριωμένα προγράμματα. Ωστόσο μεγάλο μέρος της αγοράς βρίσκεται ακόμη σε φάση κατανόησης και προσαρμογής.
Το NIS2 επηρεάζει πάνω από 3.000 ελληνικές επιχειρήσεις και εισάγει αυστηρότερες απαιτήσεις, υποχρεώσεις αναφοράς περιστατικών, εκτεταμένη εποπτεία για την αλυσίδα εφοδιασμού, αλλά και προσωπική ευθύνη των μελών των Διοικητικών Συμβουλίων. Άρα η συμμόρφωση είναι πλέον στρατηγική προτεραιότητα και όχι μια απλή κανονιστική υποχρέωση.
Από την συνεργασία μας με οργανισμούς στην Ελλάδα και την Ευρώπη, οι συχνότερες και ουσιαστικότερες ελλείψεις εντοπίζονται σε τρεις περιοχές:
- Μη αποτελεσματική διακυβέρνηση: απουσιάζουν οι αναγκαίοι ρόλοι, οι διαδικασίες και οι δείκτες παρακολούθησης κινδύνων
- Ανεπαρκής χαρτογράφηση κρίσιμων λειτουργιών και εξαρτήσεων από τρίτα μέρη: δεν υπάρχει κατανόηση ή συμφωνία σχετικά με τις επιπτώσεις διακοπής των εργασιών καθώς των κινδύνων που εισάγονται από τους προμηθευτές
- Απουσία σχεδίων ανταπόκρισης και ανάκαμψης: χωρίς τεκμηριωμένα και δοκιμασμένα σχέδια διαχείρισης περιστατικών διακοπής, η πιθανότητα ανάκαμψης εντός των επιθυμητών στόχων είναι εξαιρετικά περιορισμένη.
Η ελληνική αγορά βρίσκεται σε ένα μεταβατικό στάδιο: η κινητοποίηση συνεχώς αυξάνεται, όμως απαιτείται αλλαγή νοοτροπίας, ενίσχυση της διοικητικής ευθύνης και συστηματική επένδυση.
Οι οργανισμοί που κινούνται πιο γρήγορα και αποτελεσματικά είναι εκείνοι που αντιμετωπίζουν το NIS2 και το DORA όχι ως τυπική άσκηση συμμόρφωσης (compliance checklist), αλλά ως καταλύτη ωρίμανσης και πραγματική ευκαιρία αναβάθμισης της συνολικής επιχειρησιακής ανθεκτικότητας και της ανταγωνιστικότητάς τους.
ΔΕΙΤΕ ΑΚΟΜΑ
Αλέξανδρος Εξάρχου: Οι μακροχρόνιες συμφωνίες προμήθειας LNG είναι κλειδί για την ενεργειακή ασφάλεια της Ευρώπης
