Συνέντευξη με τον Λευτέρη Τζελέπη – CISO for Viohalco Companies |ISC2 Hellenic Chapter – Audit committee member

Κύριε Τζελέπη, ποιος πρέπει να είναι ο ρόλος του Security Leader σήμερα, ενόψει των τεχνολογικών εξελίξεων όπως η υιοθέτηση των τάσεων που φέρνει η Τεχνητή Νοημοσύνη και ποιες είναι οι προκλήσεις και τα σημεία προσοχής που πρέπει να λαμβάνει υπόψη σήμερα ένας CISO;

Ο Security Leader σήμερα, και αναφερόμαστε σε κάθε μορφή του ρόλου (CISO, Security Director/Manager, κλπ.), πρέπει πρωταρχικά να εξασφαλίσει τη σωστή λειτουργία της επιχείρησης. Αυτό που λέμε από πάντα ότι η σωστή ασφάλεια είναι αυτή που πετυχαίνει την ιδανική ισορροπία με το business, σήμερα, με όλα αυτά που βλέπουμε είναι πιο αναγκαία από ποτέ.

Στο ερώτημα «τι ακριβώς είναι αυτό που βλέπουμε;» η απάντηση δυστυχώς δεν είναι μονοδιάστατη. Βλέπουμε νέες τεχνολογίες, νέες τάσεις στην αγορά, ολοένα αυξανόμενες ανάγκες επιχειρήσεων και όλα αυτά κάτω από τα context των time to market (TTM) και return of investment (ROI). Γρήγορα, άμεσα, «χθες».

Ανέκαθεν λέγαμε ότι ο χρόνος είναι καθοριστικός για την ασφάλεια. Πρέπει εγκαίρως να προβλέψουμε, άμεσα να ενημερώσουμε/διορθώσουμε τις προτεραιότητες μας, και τελικά να εξασφαλίσουμε τη σωστή υλοποίηση.. at the speed of business! Αυτό δεν έρχεται χωρίς φυσικό επακόλουθο την αδυναμία μας να κατανοήσουμε και να αφομοιώσουμε τις νέες τεχνολογίες, πόσο μάλλον να παρέχουμε τα κατάλληλα μέτρα προστασίας και ασφάλειας. Οι ρυθμοί μας έχουν αλλάξει σε σχέση με την προηγούμενη δεκαετία: αν τότε μιλούσαμε για την ταχύτητα της τεχνολογίας, σήμερα η πρόκληση είναι η ταχύτητα του AI. Δεν μπορεί ο άνθρωπος να ακολουθήσει αυτό το ρυθμό -γι’ αυτό εξάλλου κ χρειάζεται το ΑΙ. Ως εκ τούτου οι τεχνολογίες μας αφομοιώνονται μηχανικά, αυτοματοποιημένα, βιαστικά, παρακάμπτοντας τις διαδικασίες μας, παραλείποντας τους σωστούς ελέγχους, και χωρίς υπολογισμό του ρίσκου.

Ο αγώνας δεν ήταν ποτέ για τον πιο ασφαλή ή αυτόν με το καλύτερο security posture, αλλά για το πρώτο προϊόν. Σήμερα αυτό το προϊόν περιλαμβάνει ΑΙ, έχει σχεδιαστεί με ΑΙ, at the speed of AI. Δυστυχώς όμως η ασφάλεια σήμερα δεν έχει AI για αυτό το process. Ακόμα και στο security η ενσωμάτωση του AI εστιάζει σε incident response, efficient monitoring, correlation of events και έγκαιρες αποφάσεις περιορισμού αλλά και αποφυγής ζημιάς.

Θέλω να πιστεύω ότι κάπου κάποιοι ασχολούνται με το πώς φτιάχνουμε secure products με χρήση ΑΙ. Το secure coding που είναι μεγάλος πονοκέφαλος για την ομάδα ασφαλείας, πόσο χρήσιμο θα ήταν να ενσωματώνεται στο development κάθε νέου προϊόντος..(!) Πώς θα μας φαινόταν αν κάποια στιγμή φτάναμε στο σημείο να μη χρειάζεται να μιλάμε για OWASP Top-10; Kαι προς θεού, μην παρεξηγηθώ, το OWASP παραμένει βασικό εργαλείο πολλών από εμάς. Η ύπαρξή του όμως ακόμα και σήμερα (και οι ενημερώσεις του) δείχνουν πόσο ανάγκη το έχουμε.

Επιστρέφοντας στο ρόλο του CISO και ειδικά στο κομμάτι του leadership, έχουμε και μια ομάδα που οφείλουμε να φροντίσουμε. Τα τελευταία χρόνια, ειδικά μετά τον κορωνοϊό, βλέπουμε όλο και περισσότερο το φαινόμενο του burnout. Βλέπουμε την αγορά να μεταλλάσσεται πολλές φορές μέσα σε ένα χρόνο. Στελέχη αλλάζουν ρόλους και εργοδότες προς αναζήτηση καλύτερου.. μισθού; Grade; work life balance; Όλα; Τι θα προσφέρω εγώ στην ομάδα μου που δεν μπορεί να το βρει αλλού? Πώς θα κρατήσω το ενδιαφέρον τους και πώς θα εξασφαλίσω το περισσότερο από αυτό που μπορούν να δώσουν; Εδώ χρειάζομαι ηγεσία. Πρέπει να έχω ξεκάθαρους στόχους και να δουλεύω για την ομάδα μου, όχι μόνο εκείνοι για μένα. Ο ηγέτης έχει και το ρόλο του coach. Προπονεί την ομάδα, την ετοιμάζει, δίνει οδηγίες και είναι δίπλα τους σε όλο τον αγώνα. Δεν χάνει τα μάτια του από πάνω τους και φροντίζει την εξέλιξή τους. Λέμε στο awareness ότι η ασφάλεια είναι ομαδικό σπορ και αναφερόμαστε στο ρόλο που έχουν όλοι οι εργαζόμενοι. Αυτό ισχύει και για εμάς (το ομαδικό σπορ). Χωρίς την ομάδα μας δε μπορούμε να πετύχουμε. Μπορώ να δω μακριά γιατί στηρίζομαι στις πλάτες γιγάντων (ή κάπως έτσι..).

Δεν αρκεί ένα tablet και διαμοιρασμός των tasks. Χρειάζεται καθοδήγηση. Και αυτό είναι ανάλογης κρισιμότητας με ένα περιστατικό παραβίασης. Δεν μπορώ να πω «θα ασχοληθώ αργότερα» ή «θα δώσω οδηγίες κάποια άλλη στιγμή» ή «θα διορθώσω την κατάσταση μετά». Είμαι εκεί επιτόπου, θα διακόψω κάτι που δεν έχει τόση σημασία όσο η στήριξη ενός μέλους της ομάδας μου. «Κλειστά όλα και ας πιούμε ένα καφέ να κουβεντιάσουμε». Ποιο είναι το πρόβλημα; Τι κάνεις για αυτό; Τι πρέπει να θυσιάσεις για αυτό; 3 ερωτήσεις που -όπως λέει ένας φίλος- βοηθούν να ξεπεράσουμε μια δύσκολη κατάσταση. 

Με βάση λοιπόν όλες τις παραπάνω προκλήσεις, ποια είναι η βέλτιστη στρατηγική που πρέπει να ακολουθήσει ο ηγέτης σήμερα για να ανταποκριθεί στον κρίσιμο ρόλο του;

Κάτω από το context του Business, χρειαζόμαστε απαραίτητα στρατηγική. Η στρατηγική δεν είναι τα έργα μου, δεν είναι τα security findings ενός ελέγχου ή το request ενός τμήματος. Η στρατηγική έχει ένα όραμα (vision), μια αποστολή (mission) και τελικά κάποιους στόχους (objectives). Δεν συμβαίνει το αντίστροφο. Η στρατηγική είναι top-down και ξεχωρίζει τον Security Leader. Για να βγούμε από firefighting mode χρειαζόμαστε ένα όραμα στο οποίο θα πιστέψει η διοίκηση, θα μας εμπιστευτεί και θα υποστηρίξει το πλάνο μας. Η στρατηγική είναι η «μεγάλη εικόνα» και όχι η λύση ασφάλειας ή η τεχνολογία που θα προσθέσω. Είναι αυτό που θα φέρει αξία στην επιχείρηση, και αυτό που θα χαρακτηρίσει την ασφάλεια ως καταλύτης της επιχειρηματικής λειτουργίας.

Ας μην παραβλέπουμε ότι η σωστή στρατηγική ασφάλειας είναι αυτή που υποστηρίζει επαρκώς την επιχείρηση. Χωρίς επιχειρηματική στρατηγική δεν μπορώ να έχω στρατηγική ασφάλειας.

Σαφώς και οι προτεραιότητες θα αλλάξουν στην πορεία. Μια υγιής επιχείρηση προσαρμόζεται στις τάσεις της αγοράς και αυτό πολλές φορές προκαλεί αναστάτωση στις εσωτερικές ομάδες. Αναστάτωση στα έργα που τρέχουν και στα σχέδια που έχουμε κάνει. Μεγάλη πρόκληση είναι η ικανότητά μας να προσαρμοζόμαστε γρήγορα και άμεσα. Δεν αλλάζω την πορεία μου, ίσως χρειαστεί να τη διορθώσω ελαφρώς, ίσως προστεθούν κάποιοι επιμέρους στόχοι, αλλά ο προορισμός παραμένει ίδιος. Αλίμονο αν κάθε κύμα μου άλλαζε προορισμό. Χρειάζεται ανοιχτό μυαλό να κατανοούμε το γενικότερο πλαίσιο, το ρόλο μας σε αυτό και να διορθώνουμε γρήγορα την πορεία και τα πλάνα μας. Το κυριότερο είναι ότι η στρατηγική παραμένει σημείο αναφοράς και κάθε αλλαγή γίνεται στα πλαίσια αυτής.

Εχθρός του security είναι η αταξία, το χάος, και δυστυχώς αρκετά συχνά ερχόμαστε αντιμέτωποι με χαοτικές καταστάσεις “Always contextualize”  Ότι κάνουμε, ότι σχεδιάζουμε, είτε πρόκειται για μικρό task είτε για μεγάλο initiative, αυτό ανήκει κάτω από ένα γενικότερο πλαίσιο. Στο χώρο της ασφάλειας, όπως λέμε χαρακτηριστικά, κάθε πέτρα που σηκώνουμε κρύβει πολλά.. «ενδιαφέροντα πράγματα». Δυστυχώς αυτή είναι μια παγίδα στην οποία κατά καιρούς όλοι μας έχουμε πέσει: θέλοντας άμεσα να δώσουμε λύση σε ένα πρόβλημα, δεν έχουμε κατανοήσει την ακριβή του διάσταση ή το πού βρίσκεται η μόνιμη επίλυση. Σκοπός μας δεν πρέπει να είναι μια πρόχειρη λύση αλλά κάτι μόνιμο με οριζόντια εφαρμογή. Σύμμαχός μου είναι η αυτοματοποίηση. Κάτι κάνω λάθος αν πρέπει να ασχολούμαι με το ίδιο πρόβλημα πάνω από μια φορά. Η πρώτη φορά που θα ασχοληθώ με αυτό θα είναι και η τελευταία γιατί θα έχω δώσει μόνιμη λύση. Σε κάθε άλλη περίπτωση ο σχεδιασμός και τα πλάνα μου κάπου έχουν σφάλμα.

Ποιες είναι οι ιδιαίτερες απαιτήσεις του βιομηχανικού κλάδου σε ότι αφορά την ψηφιακή ασφάλεια, όπως έχει αποτυπωθεί από την εμπειρία σου σε αυτόν τον τομέα, ιδιαίτερα σε σχέση με τις απαιτήσεις του NIS2 και τις άλλες οδηγίες;

Ο βιομηχανικός κλάδος είναι ένα ιδιαίτερο business, κυρίως λόγω της παλαιότητάς του στην αγορά. Αυτό μεταφράζεται σε νοοτροπία και αντίληψη, η οποία έχει χτιστεί εδώ και αρκετές δεκαετίες.

Δεν αλλάζει κάτι όμως ως προς τους στόχους του Security Leader. Θυμίζω ότι μια βασική πρόκληση του ρόλου μας είναι η αλλαγή νοοτροπίας. Δεν είναι κάτι που γίνεται από τη μια μέρα στην άλλη, θέλει υπομονή και επιμονή – διακριτική και παρατεταμένη πίεση. Έτσι και εδώ, καλούμαστε να αλλάξουμε – ή καλύτερα να διορθώσουμε – την πορεία σε μεγάλα καράβια. Είναι δύσκολο εγχείρημα και απαιτεί διπλή προσέγγιση: top-down και bottom-up.

Top Down γιατί χρειαζόμαστε υποστήριξη και ψήφο εμπιστοσύνης από τη διοίκηση. Bottom Up γιατί χωρίς την υποστήριξη των ομάδων παραγωγής, κάθε εγχείρημα θα πέσει στο κενό. Κάποιες φορές, ίσως εκεί έχει μεγαλύτερη σημασία να δώσουμε προτεραιότητα. Οι άνθρωποι οι οποίοι κινούν τις μηχανές -πολλές φορές με ρίσκο την ίδια τους τη ζωή- πρέπει να πιστέψουν στη δουλειά μας και να γίνουν επέκταση των ομάδων μας. Εδώ για μια ακόμα φορά βλέπουμε το awareness να πρωταγωνιστεί. Ο άνθρωπος της παραγωγής χρειάζεται να γνωρίσει το security και να αντιληφθεί πώς αυτό θα βελτιώσει την καθημερινότητά και τη δουλειά του. Και μην ξεχνάμε ότι τα αποτελέσματά μας πρέπει να είναι άμεσα. Ο χώρος της βιομηχανίας δεν έχει χρόνο να σπαταλήσει σε μακροπρόθεσμα έργα, κάθε λεπτό μετράει. Εδώ λοιπόν ιδιαίτερα πρέπει να εστιάσουμε σε quick wins ή low hanging fruit.

Το NIS-2 όπως και οι υπόλοιπες οδηγίες, αποτελούν άλλο ένα μοχλό πίεσης ή επιχείρημα για τη διοίκηση. Είναι πλέον επιτακτική ανάγκη η εφαρμογή κάποιων μέτρων, προς αποφυγή κυρώσεων. Αυτό βέβαια δεν αναιρεί ούτε υποβιβάζει τη σπουδαιότητα των παραπάνω για τον κόσμο της γραμμής παραγωγής.

Σίγουρα μια επιχείρηση που ξεκινάει σήμερα το ταξίδι της κανονιστικής συμμόρφωσης ίσως έχει χάσει την προθεσμία. Οφείλουμε όμως να αναγνωρίσουμε ότι κάθε έργο ασφάλειας του ΙΤ κόσμου μπορεί να θεωρηθεί εισαγωγή ή θεμέλιο του OT Security. Καμία προσπάθεια δεν έχει πάει χαμένη ούτε έγινε άδικα/άσκοπα.

 

Όλοι γνωρίζουμε για τη δυσκολία εύρεσης των κατάλληλων στελεχών από την αγορά σήμερα. Τι συμβουλές θα έδινες σε κάποιον που ξεκινάει ένα τέτοιο εγχείρημα;

Συμφωνώ και επαυξάνω, η σωστή στελέχωση σήμερα είναι ένα μεγάλο κ δύσκολο έργο από μόνο του. Ας τα πάρουμε όμως από την αρχή γιατί το πρόβλημα δεν είναι μόνο εκεί που έχουμε συνηθίσει να συζητάμε ή που ακούμε «δεν υπάρχει κόσμος..».

Ξεκινάμε από το σχεδιασμό της θέσης. Τι χρειάζομαι, ποιο είναι το job description; Πώς θα είναι πετυχημένη αυτή η θέση σε σχέση με το υπόλοιπο οργανόγραμμα της εταιρίας; Πώς θα μπορέσει να δέσει με τους υπόλοιπους της ομάδας; Πρέπει εκτός από την αναλυτική περιγραφή του ρόλου, να έχω υπολογίσει και τις προϋποθέσεις για επιτυχία γενικότερα: το grade, το reporting line, κλπ. Δεν αρκεί μια περιγραφή που θα βρω μέσω internet. Ας μην ξεχνάμε ότι σήμερα οι υποψήφιοι επιλέγουν θέσεις. Όσο πιο ξεκάθαρη είναι η περιγραφή της θέσης, τόσο περισσότερες ελπίδες έχει να τραβήξει τα σωστά βλέμματα.

Με τιμά ιδιαίτερα να ακούω από έναν υποψήφιο ότι η ξεκάθαρη περιγραφή της θέσης ήταν αυτό που τράβηξε την προσοχή του.

Παράλληλα πρέπει να υπολογίσω τη συνολική μου ανάγκη. Πόσα άτομα και τι skills χρειάζομαι? και το βασικότερο, με ποια σειρά/προτεραιότητα? Εδώ πάλι χρειάζεται να σκεφτώ οριζόντια. Υπάρχουν κάποιοι ρόλοι που τους χρειάζομαι άμεσα ή που θα μπορούσαν να φέρουν πιο γρήγορα αποτελέσματα? Αντέχω χωρίς security analyst για τον επόμενο χρόνο? Μήπως είναι προτιμότερο ένας security architect ή ένας senior purple team leader? Top-down is the preferred approach.

Επιπλέον, πρέπει να έχω κατά νου τη δυνατότητα ενσωμάτωσης αυτών των νέων στελεχών στην ομάδα αλλά και την εταιρεία γενικότερα. Αν είχα αύριο 5 μηχανικούς πόσο σύντομα θα μπορούσα να τους κάνω onboard και να τους αξιοποιήσω; Μήπως μπορώ να κερδίσω κάτι κάνοντας outsourcing (είτε αυτό είναι staff augmentation είτε as-a-service); Χρειάζομαι ξεκάθαρο πλάνο που θα συμβαδίζει με τη στρατηγική μου: ποιες υπηρεσίες θα διατηρήσω εντός, για ποιες μπορώ να μισθώσω εξωτερικό συνεργάτη, και σε ποιες μου αρκεί να έχω το supervision (δε χρειάζομαι το actual man-power)..; Μια κουβέντα με το HR που έχει σίγουρα ένα πλάνο και threshold για το headcount είναι ένα καλό σημείο εκκίνησης (get all the facts & figures). O Security Leader έχει business acumen και δε διστάζει να σκεφτεί «out of the box» ή να λάβει τολμηρές αποφάσεις.

Εφόσον καταλήξω με αυτά, παρουσιάζω το πλάνο μου στη Διοίκηση, συμπεριλαμβανομένου του ρυθμού ενσωμάτωσης στην εταιρία. Ένα ρεαλιστικό πλάνο είναι σίγουρα προτιμότερο από τη μεμονωμένη ανάγκη μιας χρονιάς (πχ. προς υλοποίηση ενός ετήσιου roadmap ή στελέχωση ομάδας για day-to-day operations) και αποτελεί αναπόσπαστο κομμάτι της στρατηγικής.

Προσπερνώ το κομμάτι της αξιολόγησης των skills καθενός candidate για να σταθώ σε κάτι πιο ουσιώδες: soft skills. Η κατάρτιση μπορεί να επιτευχθεί κάπως/κάποτε. Αν ο συνεργάτης όμως δεν είναι συνεννοήσιμος, αργά ή γρήγορα θα έχουμε θέμα. Πώς θα ταιριάξει με την υπόλοιπη ομάδα, κ πώς με τη συνολικότερη νοοτροπία (mindset) της εταιρίας;  Δε μπορώ να βάλω μαζί σε μια ομάδα 5 rock stars κ να περιμένω dream team.. Επίσης, μια πετυχημένη συνεργασία δουλεύει both ways. Αν σε μερικούς μήνες διαλυθεί, έχουν χάσει χρόνο κ effort και οι 2 πλευρές. Αυτά δε μπορούμε να τα αγνοήσουμε κατά το recruitment/selection process.

Σε σχέση με το skillset gap που συζητάμε, υπάρχουν πολύ αξιόλογοι επαγγελματίες εκεί έξω. Πρόσφατα είχα την τιμή να υποδεχτώ αρκετούς από αυτούς, δυστυχώς δεν κατάφερα να αξιοποιήσω όλους τους shortlisted -ακόμα. Το shortlisting όμως ήταν κ αυτό από μόνο του ένα challenge.

Συνοψίζω ότι το recruitment δεν είναι ένα απλό, απαιτεί ιδιαίτερη προσοχή και σίγουρα αξίζει να επενδύσουμε στη σωστή προσέγγιση.

Είναι επίσης όπως ένα ISO Certification ή το compliance σε ένα regulation: δεν τελειώνει αλλά αρχίζει με την απόκτηση.