Η επίσκεψη μας στον όμιλο της Uni Systems αποτέλεσε μια πολύ καλή ευκαιρία να γνωρίσουμε από κοντά την ολοένα και αυξανόμενη ομάδα cybersecurity της εταιρίας και να συνομιλήσουμε με στελέχη της και συγκεκριμένα με τους : Γιώργο Μαραγκάκη (ICT Professional Services Manager, Cyber Security Initiative Leader) – Γιάννη Παυλίδη (Security Solutions Architect) – Βασίλης Κουτσομπίνας (Security & Compliance Unit Manager) και Γιάννη Γράψα (Networking Security Architect) για μια σειρά θεμάτων που αφορούν τον διαρκή μετασχηματισμό και την εξέλιξη της εταιρίας, τις αναδυόμενες απαιτήσεις στον τομέα της ψηφιακής ασφάλειας, τις υπηρεσίες και φυσικά τον ανθρώπινο παράγοντα.
Γνωρίζουμε όλοι φυσικά ότι η Uni Systems ασχολούνταν πάντα ενεργά με το Cyber Security. Τι έχει διαφοροποιηθεί όμως ως προς την προσέγγιση της εταιρείας σε αυτό τον κρίσιμο τομέα στο πλαίσιο της νέα της στρατηγικής;
Γιώργος Μαραγκάκης: Ο στόχος της Uni Systems ήταν ανέκαθεν να είναι η ηγέτιδα εταιρεία σε όλες τις τεχνολογικές περιοχές που δραστηριοποιείται. Δεν θα λέγαμε ότι πρόκειται για αλλαγή, αλλά για μια ακόμη πτυχή του διαρκούς μετασχηματισμού της, ο οποίος βάσει του πενταετούς στρατηγικού της σχεδίου δημιουργεί ένα πλαίσιο ανάπτυξης πέντε τεχνολογικών περιοχών, στις οποίες περιλαμβάνεται και η κυβερνοασφάλεια. Ως εκ τούτου, το cybersecurity για εμάς δεν είναι άλλη μια κατηγορία υπηρεσιών, αλλά ένας βασικός πυλώνας της ανάπτυξής μας. Σκοπός μας είναι να εξελιχθούμε σε έναν από τους βασικούς παίκτες της τεχνολογικής περιοχής αξιοποιώντας την πολύ μεγάλη εμπειρία που έχουμε αποκτήσει τα τελευταία χρόνια σε συναφή έργα στο εξωτερικό, ώστε να γίνουμε ο Trusted Advisor των πελατών μας σε όλους τους τομείς του cybersecurity.
Πρόκειται για ένα έργο στο οποίο δουλεύουμε εντατικά αυτή την περίοδο μέσα από το Cybersecurity Initiative, μια εσωτερική ομάδα που αποτελείται από ανθρώπους-κλειδιά σε διάφορες θέσεις και μονάδες, αλλά με κοινό παρονομαστή την βαθιά γνώση του αντικειμένου του συγκεκριμένου τεχνολογικού πεδίου. Σκοπός αυτής της ομάδας είναι η χάραξη μιας διαδρομής προς την επιτυχία, με παράλληλη ανάπτυξη των απαραίτητων υποστηρικτικών ομάδων και τεχνολογιών, τον εσωτερικό μετασχηματισμό, αλλά και τη βελτίωση της εξωστρέφειας.
Μέσα από αυτή τη στρατηγική, η εταιρεία μας επενδύει σημαντικά σε εξειδικευμένους ανθρώπους, όπως Information Security Consultants και Security Engineers, οι οποίοι σήμερα συνολικά ξεπερνούν τους 30. Επιπλέον, έχει χαραχθεί πολύ συγκεκριμένη πορεία ως προς τις συνεργασίες μας με partners και vendors, ώστε να μπορούμε να προσφέρουμε μια πλήρη ομπρέλα υπηρεσιών που να εξυπηρετεί τις ανάγκες των πελατών μας σε Ελλάδα και Ευρώπη.
Ποιες είναι σήμερα οι προτεραιότητες και οι σημαντικότερες απαιτήσεις στα έργα ψηφιακής ασφάλειας των επιχειρήσεων και οργανισμών όπως εσείς τις αξιολογείτε μέσα από το πρίσμα ενός κορυφαίου ICT Integrator αλλά και την καθημερινή επικοινωνία με τους πελάτες σας;
Γιάννης Γράψας: Στον τομέα μας, η βασική προτεραιότητα είναι πάντα να διατηρούμε ισχυρά επίπεδα ασφάλειας σε κάθε είδους οργανισμό. Ωστόσο, υπάρχουν δύο πτυχές που αξίζει να εξετάσουμε: τις άμεσες προτεραιότητες και τις μελλοντικές και πιο μακροπρόθεσμες απαιτήσεις.
Αφενός, έχουμε τις άμεσες και προφανείς προτεραιότητες. Απορρέουν από τα θέματα που γνωρίζουμε ήδη, για παράδειγμα απειλές που προκύπτουν από τον καθημερινό καταιγισμό επιθέσεων, ανακοινώσεων και ενημερώσεων. Προστασία από απειλές τύπου Phishing, Ransomware, DDoS, και λοιπές είναι οι γνωστές προτεραιότητες που αγγίζουν την πλειοψηφία των επιχειρήσεων.
Ωστόσο, η κάλυψη των καθημερινών αναγκών μας πολλές φορές μας αποτρέπει από το να βλέπουμε πιο μακροπρόθεσμα. Πρόκειται για τις μελλοντικές ανάγκες που θα προκύψουν, από δεδομένα που ίσως δεν έχουν φτάσει ακόμη στις οθόνες και τα ραντάρ μας και συνήθως τα μαθαίνουμε από προβλέψεις και cybersecurity trends, όπως για παράδειγμα απειλές που αναμένεται να έρθουν μέσω τεχνολογικών μέσων, π.χ. απειλές «as a Service», AI-assisted απειλές, κλπ. Επιπλέον, έχουμε να υπολογίσουμε και τα διάφορα κανονιστικά πλαίσια που εφαρμόζονται σε όλες τις επιχειρήσεις και έχουν ως σκοπό την προετοιμασία, προστασία και βελτίωση αντίδρασης ενός οργανισμού ενάντια σε γνωστές, αλλά και μελλοντικές απειλές.
Από επιτελικής άποψης, η ισορροπία για κάθε οργανισμό βρίσκεται πάντα κάπου στη μέση. Στη Uni Systems, ως συνεργάτης ψηφιακής μεταρρύθμισης, αφουγκραζόμαστε την αγορά, τα κανονιστικά πλαίσια και τα διεθνή πρότυπα και παρακολουθούμε τις τάσεις από τις διεθνείς αναλύσεις. Είμαστε σε θέση να καθοδηγήσουμε τους πελάτες μας διατηρώντας την εκάστοτε ισορροπία, με εμπειρία που προέρχεται από πληθώρα έργων στον Ελληνικό και Ευρωπαϊκό ιδιωτικό και δημόσιο τομέα. Επιδιώκουμε να βοηθήσουμε και να εκπαιδεύσουμε τους πελάτες μας ώστε να θέσουμε μαζί σωστές και ουσιώδεις προτεραιότητες.
Με ποιες τεχνολογικές λύσεις και προτάσεις καλύπτει αποτελεσματικά η Uni Systems αυτές τις ανάγκες ανάλογα με τον τομέα;
Γιάννης Παυλίδης: Για εμάς δεν υπάρχει το one size fits all. Οι ανάγκες του κάθε πελάτη είναι διαφορετικές, το ίδιο και οι περιορισμοί της αγοράς στην οποία δραστηριοποιείται, γι’ αυτό και καταρχάς λειτουργούμε ως σύμβουλοι και σε δεύτερο χρόνο προτείνουμε λύσεις. Στοχεύουμε σε ουσιώδεις λύσεις και υπηρεσίες, τις οποίες προσπαθούμε να εξατομικεύσουμε σύμφωνα με μέτρα του κάθε οργανισμού. Με αυτό τον τρόπο, είμαστε σε θέση να λέμε πως οι πελάτες μας λαμβάνουν ποιοτικές υπηρεσίες, που έχουν νόημα και ουσία για εκείνους.
Στο ίδιο πλαίσιο, και καλύπτοντας ολιστικά όλο το φάσμα της ασφάλειας πληροφοριών, θα κάναμε μια επί της αρχής κατηγοριοποίηση ως εξής:
- GRC & Assurance Services
Υπηρεσίες γύρω από όλο το φάσμα του Governance, Risk and Compliance (GRC), δηλαδή ό,τι αφορά σε ISO, GDPR, vCISO, σε διάφορα πρότυπα και κανονιστική συμμόρφωση. Επιπλέον, στην ίδια κατηγορία ανήκουν οι υπηρεσίες Assurance, ήτοι Penetration Testing services, καθώς και υπηρεσίες σε διάφορα στάδια του SSDLC (Secure SDLC). - Cloud Security Services
Η εμπειρία της Uni Systems σε Cloud transformation είναι εκτενής, το ίδιο και η συνεργασία της με πολλούς διεθνείς οίκους. Συνεπώς είμαστε σε θέση να υλοποιούμε end-to-end cloud ramp ups και lift-n-shifts σεβόμενοι απόλυτα το CIA (Confidentiality, Integrity, Availability) σε όλα τα στάδια της υλοποίησης: από το σχεδιασμό και την αρχιτεκτονική, μέχρι τη διαχείριση και το συνολικό governance των πληροφοριών και δεδομένων. - Cyber Security Integration
Σε αυτή την κατηγορία εμπίπτει το «παραδοσιακό» engineering διαφόρων τεχνολογιών Cyber Security. Οι ομάδες των πιστοποιημένων Security Engineers μας αναλαμβάνουν κάθε είδους integration τεχνολογιών όπως NGFW, WAF, DLP, Endpoint Protection, EDR, MFA, SIEM, κ.α., και αυτό ενισχύεται περαιτέρω από την επένδυσή μας στις συνεργασίες με γνωστούς και κορυφαίους κατασκευαστές λύσεων Cybersecurity. - Managed Security Services
Όπως είναι γνωστό, στην παγκόσμια αγορά υπάρχει μια σημαντική έλλειψη εξειδικευμένου ανθρώπινου δυναμικού και των σχετικών δεξιοτήτων. Το συναντάμε συχνά και στους πελάτες μας, είναι πλέον αδύνατον κάθε εταιρεία να διαθέτει πλήρως επανδρωμένες ομάδες, με εκπαιδευμένους μηχανικούς και συμβούλους. Σε αυτό το πλαίσιο, ως λογική εξέλιξη, παρέχουμε και τις παραπάνω υπηρεσίες υπό τη μορφή των Managed Services.
Σίγουρα οι τεχνολογίες αποτελούν βασικό κομμάτι της στρατηγικής για την κυβερνοασφάλεια όμως ο ανθρώπινος παράγοντας παραμένει πάντα ο πιο καθοριστικός κρίκος στην αλυσίδα. Πείτε μας κάποια πράγματα για τους ανθρώπους της Uni Systems που ανήκουν στην ομάδα υπηρεσιών κυβερνοασφάλειας.
Βασίλης Κουτσομπίνας: Οι τεχνολογίες πάντοτε δίνουν τα μέσα, τις λύσεις και τα εργαλεία, όμως χωρίς τους ανθρώπους που διαθέτουν την εξειδίκευση και τη γνώση, η δυναμική τους περιορίζεται. Για εμάς, η κυβερνοασφάλεια είναι μια στρατηγική περιοχή στην οποία επενδύουμε με συνέπεια και για το λόγο αυτό χτίζουμε μια δυναμική ομάδα που μεγαλώνει διαρκώς. Περιλαμβάνει μηχανικούς, consultants και penetration testers και θεωρείται μια από τις πιο ολοκληρωμένες στην αγορά, καθώς μέσα από αυτές τις ειδικότητες και τους ρόλους μπορούμε να προσεγγίσουμε ολιστικά όλα τα θέματα που αφορούν στην κυβερνοασφάλεια των εταιρειών. Αυτή τη στιγμή, η ομάδα μας περιλαμβάνει περίπου τριάντα άτομα με αναγνωρισμένες σχετικές πιστοποιήσεις που εξυπηρετούν πελάτες και σύνθετα έργα με πολυσχιδείς ανάγκες σε όλες τις αγορές, τόσο εντός όσο και εκτός Ελλάδας.
Ως εκ τούτου, βασική μας προτεραιότητα είναι να ενισχύσουμε ακόμη περισσότερο τους ανθρώπους μας εφοδιάζοντάς τους με εκπαιδεύσεις, ακόμη περισσότερες πιστοποιήσεις και γνώση ώστε να μπορούν να ανταποκρίνονται στις αυξημένες ανάγκες της αγοράς. Αξίζει να σημειωθεί ότι σημαντικό μέρος των ετήσιων στόχων των μελών της ομάδας κυβερνοασφάλειας είναι η παρακολούθηση εκπαιδεύσεων και η απόκτηση σχετικών πιστοποιήσεων. Οι σύμβουλοι, οι μηχανικοί αλλά και οι penetration testers μας, διαθέτουν το απαραίτητο ακαδημαϊκό υπόβαθρο, και συναφείς επαγγελματικές πιστοποιήσεις όπως τις CISM, CDPSE, CISSP, CISA, OSCP, ISO 27001 LA, ISO 22301 LI, ITIL και άλλες.
Στο ίδιο πλαίσιο, και μέσα από ένα ευρύ πρόγραμμα που έχει εκπονήσει και καλλιεργεί το τμήμα ανθρώπινου δυναμικού μας, φροντίζουμε παράλληλα να δημιουργούμε ένα ανταγωνιστικό περιβάλλον εργασίας με πολλή ενσυναίσθηση και υβριδικά μοντέλα εργασίας, αποδοχή της διαφορετικότητας και σημαντικές παροχές για τους εργαζομένους μας. Γι’ αυτό το λόγο, δίνουμε ιδιαίτερο βάρος στην απόδοση ίσων ευκαιριών, ανεξαρτήτως φύλου, ηλικίας, κλπ., και η ομάδα κυβερνοασφάλειάς μας ξεχωρίζει για το diversity που έχει υιοθετήσει.
Τέλος, σαν οργανισμός θεωρούμε πολύ σημαντικό το Work-Life balance και προς αυτή την κατεύθυνση έχουμε πολλές σχετικές δραστηριότητες και events, δίνοντας μεγάλη έμφαση στο να υπάρχει στον μέγιστο εφικτό βαθμό η απαραίτητη ισορροπία εργασίας και προσωπικής ζωής στην καθημερινότητά μας.
Τι θεωρείτε λοιπόν ότι πρέπει να κάνουν σήμερα οι επιχειρήσεις και οι οργανισμοί προκειμένου να προστατεύσουν τα δεδομένα τους και παράλληλα να ευθυγραμμίσουν την ασφάλεια με τους επιχειρησιακούς στόχους
Βασίλης Κουτσομπίνας: Η μεγαλύτερη πρόκληση για κάθε οργανισμό είναι να απεικονίσει κάτι άυλο – και πολλές φορές αόρατο – όπως τα ρίσκα, τις απειλές αλλά και τα υπάρχοντα τεχνικά και οργανωτικά μέτρα. Η μεθοδολογία με την οποία προσεγγίζουμε το κάθε έργο είναι ολιστική και βοηθάει τους οργανισμούς να καταλάβουν και να μετρήσουν την αξία των δεδομένων τους.
Αρχικά λοιπόν θα πρέπει να καταλάβουμε που βρίσκεται ο οργανισμός, τι κάνει ήδη, ποιες είναι οι ανάγκες του, το όραμά του, ποια τα αντίμετρα, ρίσκα, κλπ. Στη συνέχεια, οι πληροφορίες αυτές πρέπει να αναλυθούν ώστε να δοθούν κατευθύνσεις σύμφωνα με τα μέτρα του κάθε οργανισμού.
Εφόσον αποκτήσουμε σφαιρική άποψη του οργανισμού, μπορούμε να προχωρήσουμε σε ουσιώδεις υλοποιήσεις υπηρεσιών. Ξεκινάμε από τη χάραξη μιας στρατηγικής πορείας, η οποία συμφωνεί με το πλάνο μετασχηματισμού της επιχείρησης, τους στόχους και το όραμα της. Κατόπιν, αξιοποιούμε τις κατάλληλες τεχνολογίες ώστε να προστατέψουμε τους πόρους και τα δεδομένα της.
Αν υιοθετήσουμε μια ολιστική προσέγγιση στον κύκλο ζωής μιας πληροφορίας, θα υιοθετήσουμε και μια μεθοδολογία που διαρκώς θα παρακολουθεί και βελτιώνει τις μεθόδους προστασίας μας, πάντα προσαρμοσμένη στα μέτρα μας.
Προχωρώντας, είμαστε σε θέση να δρούμε προληπτικά, ώστε να προβλέπουμε και να προλαμβάνουμε απειλές. Έτσι, η επιχείρηση έχει στη διάθεσή της προβλέψιμα δεδομένα και υποστήριξη στον διαρκώς εναλλασσόμενο τομέα της κυβερνοασφάλειας.
Συνοψίζοντας, με τη σωστή ενσωμάτωση της κουλτούρας του Cybersecurity, η επιχείρηση μπορεί να συνεχίσει να ασχολείται με το πραγματικό αντικείμενό της και όχι με το να «κυνηγάει» διαρκώς απειλές και να λειτουργεί με πυροσβεστικές παύσεις.