[grnog] How CEOs Think

[Antonios Chariton (daknob)]

Καλησπέρα,
Θα συμφωνήσω για την ασφάλεια, αλλά κατά μια προέκταση ίσως καλύπτει και περισσότερα πράγματα. Δηλαδή αυτό το μικρό ποσό στο budget που θα κάνει πιο σίγουρο το Χ σύστημα και δεν θα πέσει το βράδυ, το δεύτερο τροφοδοτικό στον server μέχρι το δεύτερο path στο δίκτυο. Απλά το θέμα όπως λες εδώ είναι πως δεν μπορεί να γίνει νούμερα. Και επίσης, πολλοί οργανισμοί καταλήγουν να αντιμετωπίζουν την ασφάλεια ως απλό κέντρο κόστους, γιατί η δουλειά δεν φαίνεται όταν όλα πάνε καλά, αλλά οι ελλείψεις φαίνονται όταν τα πράγματα πάνε καλά.

Στο παράδειγμα της Garmin, μπορεί να γλιτώσανε χίλιες άλλες επιθέσεις, απλά όλοι μας μάθαμε για την μία, που τα κατάφερε. Και αν και ο CEO της Garmin έμαθε για την μία, τότε προφανώς και τα λεφτά φαίνεται να πήγαν χαμένα. Αυτό είναι που λέει και στο πρώτο άρθρο για το οτι ο CEO δεν ξέρει από ασφάλεια και δεν ξέρει να αξιολογεί αυτές τις λύσεις.

Σε πολλές εταιρείες δυστυχώς στο οργανόγραμμα, αν υπάρχει CISO / CSO, μπορεί να είναι κάτω από τον CTO / CIO / COO / CFO. Δεν αναφέρει δηλαδή καν απ’ ευθείας στον CEO, και δεν είναι και ευθύνη του CEO να τον βρει και να τον προσλάβει. Το πιο ενδιαφέρον είναι όταν είναι κάτω από τον CFO. Πολλές εταιρείες θεωρούν το security καθαρά ως monetary risk mitigation. Δηλαδή δεν έχει σημασία να είναι ασφαλής η εταιρεία, απλά έχει σημασία το budget του security να μειώνει τα πρόστιμα / τις απώλειες σε πολλαπλάσιο από όσο είναι το ίδιο. Άρα είναι καθαρά οικονομικό μέτρο, όπως π.χ. το compliance για κάποιους.

Δεν είναι εύκολο κάποιος ο οποίος έχει μάθει να δουλεύει μόνο με νούμερα για ένα μόνο κομμάτι της επιχείρησης του να τα αγνοεί. Τα τελευταία χρόνια υπάρχει αρκετή πίεση από νομοθεσία, σε Ευρώπη αλλά και ΗΠΑ, και αναγκάζουν εταιρείες και οργανισμούς, αυξάνοντας το κόστος της αποτυχίας. Δηλαδή αν υπάρξει πρόβλημα, θα είναι πιο ακριβό. Θα είναι μεγαλύτερο το μείον στο spreadsheet. Και άρα έτσι ίσως υπάρξει κάποια κίνηση προς την κατεύθυνση αυτή.

Το άλλο κομμάτι τώρα που υπάρχει για την ασφάλεια είναι το τι άτομο θα είναι αυτός που θα πάρεις ως υπεύθυνο της ασφάλειας σου. Κάποιες εταιρείες έχουν άτομα με τεχνικό έως βαθύ τεχνικό background. Κάποιες θέλουν κάποιον με νομικό / compliance / consulting. Μερικές πάλι θέλουν κάποιο business άτομο, που απλά μπορεί να ζυγίσει λίγο καλύτερα τα ρίσκα από ο, τι κάποιος που δεν γνωρίζει, και να τα μεταφέρει προς τα επάνω. Η κάθε επιλογή έχει και τα θετικά της, και λέει πάρα πολλά για το πως βλέπει η εταιρεία την ασφάλεια. 

Τέλος, ως άλλο ένα θέμα που υφίσταται, είναι το πότε προσλαμβάνει μια εταιρεία κάποιον υπεύθυνο για την ασφάλεια. Συνήθως όταν ξεκινάει ένας CISO, ξεκινάει χρόνια / δεκαετίες μετά από τους C-Suite συναδέλφους του. Καλείται να χτίσει έναν οργανισμό από την αρχή, να ασχοληθεί με όλα τα θέματα, και δεν υπάρχει το περιθώριο του σταματάμε τα πάντα. Όσο γίνονται αυτά, τα υπόλοιπα εξελίσσονται. Και ανάλογα με την εταιρεία, μπορεί να μην έχει καν headcount, ή επαρκές. Που και να έχει, η πρόσληψη Security Engineers θεωρώ, ειδικά στην Ελλάδα, πως είναι από τις πιο δύσκολες θέσεις. Σχεδόν σίγουρα την πρώτη χρονιά δεν θα έχει επαρκές budget. Οπότε πρέπει να μάθει να δουλέψει με αυτούς τους περιορισμούς, και παράλληλα να έχει και αποτελέσματα. Και σίγουρα όταν η δουλειά σου είναι να βάζεις μικροεμπόδια σε συναδέλφους, δεν βοηθάει ;) Δεν είναι εύκολο να καταλάβει ο κάθε υπάλληλος γιατί π.χ. το κόστος του να υπάρχει 2FA παντού αξίζει σε σχέση με το ρίσκο του phishing.

Αν μια εταιρεία είναι πιο αυστηρή, και δουλεύει με το μοντέλο “ήρθε από τα κεντρικά, το κάνουμε και δεν λέμε τίποτα”, τότε ίσως είναι πιο εύκολο, αλλά αν μια εταιρεία έχει διαφορετική κουλτούρα, πρέπει όχι μόνο να κερδίσει αυτός ο άνθρωπος το board, αλλά και τον κάθε υπάλληλο. Κατά την γνώμη μου πάντα αξίζει αυτό το extra effort. 

Η βασική ερώτηση τώρα είναι, χρειάζεται να συμβεί κάτι όπως αυτό της Garmin για να μην θεωρείται το security ένα afterthought σε μια εταιρεία? :P

Αντώνης

> On 27 Jul 2020, at 18:24, Spyros Kakaroukas <s.kakaroukas at connecticore.com> wrote:
> 
> Καλησπέρα,
> 
> Αρχικά ευχαριστώ για τα άρθρα, τα βρήκα αρκετά ενδιαφέροντα (
> 
> Πιστεύω γενικά ότι το τεχνικό κομμάτι είναι ( λίγο ) πιο εύκολο από το decision making σχετικά με την ασφάλεια. Στο τεχνικό, θα υλοποιήσεις κάποια πράγματα και, αν και σίγουρα δε θα είναι αρκετά ( αν δεν δουλεύεις σε εταιρία που το security είναι aligned με το core business της ) , θα έχεις κάποια σχετικά ακριβή εικόνα για τα δυνατά σου σημεία, τα αδύνατα σημεία και τον κίνδυνο. Πιθανότατα θα τα αναφέρεις όποτε μπορείς, μήπως και βαρεθούν να σε ακούνε και σου δώσουν ότι χρειάζεται για να φτιάξεις μερικά. Γενικά οι μηχανικοί συνήθως θέλουμε να μπορούμε να κοιμόμαστε ήσυχοι τα βράδια και το γεγονός ότι γνωρίζουμε προβλήματα που δε μπορούμε να φτιάξουμε, μας προκαλεί ανησυχία. 
> 
> Στο κομμάτι της διοίκησης όμως, συνήθως η δουλειά των σχετικών ανθρώπων είναι να δουλεύουν με νούμερα. Το κομμάτι της ασφάλειας, τις περισσότερες φορές, είναι σχεδόν αδύνατο να ποσοτικοποιηθεί. Δεν υπάρχει κάποιος μπούσουλας ( ή αν υπάρχει μου διαφεύγει και θα ήθελα πολύ να τον ξέρω! ) που να σε πάει από το "έχουμε τις Χ γνωστές αδυναμίες" στο "υπάρχει Χ% κίνδυνος στην Υ χρονική μονάδα να χάσουμε Ζ λεφτά/να πάθει τόση ζημιά το brand/κτλ". Συνεπώς, δεν είναι παράλογο, αυτοί που διαχειρίζονται τα ρίσκα, να δίνουν μεγαλύτερη προτεραιότητα στα γνωστά ρίσκα από ότι στα άγνωστα.
> 
> Το αποτέλεσμα συνήθως είναι να υπάρχει κάποια κινητικότητα όταν κάποιο σχετικό θέμα γίνεται γνωστό γιατί "αν συνέβη σε αυτόν, μπορεί να συμβεί και σε εμάς". Μετά από λίγο καιρό όμως, ξεχνιέται, και συνεχίζουμε το business as usual.
> 
> 
> My thoughts and words are my own.
> 
> Spyros
> 
> On 27/07/2020, 18:49, "grnog-members on behalf of Lasithiotakis, Myron" <grnog-members-bounces at nogalliance.org on behalf of myron.lasithiotakis at Pan-net.eu> wrote:
> 
>    Καλησπέρα,
> 
>    Θα είχε ενδιαφέρον να είχαμε την άποψη του CEO της Garmin - πριν το incident 
>    https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/
> 
>    Χαιρετισμούς
>    Μυρωνας
>    ________________________________________
>    From: grnog-members <grnog-members-bounces at nogalliance.org> on behalf of Antonios Chariton (daknob) <daknob at daknob.net>
>    Sent: 24 July 2020 00:07
>    To: members at grnog.gr
>    Subject: [grnog] How CEOs Think
> 
>    Βρήκα ένα ενδιαφέρον άρθρο, αναφέρεται στην ασφάλεια, αλλά φαντάζομαι κάνει apply και σε άλλους non-core business τομείς..
> 
>    https://blog.erratasec.com/2020/07/how-ceos-think.html
> 
>    Αντώνης
> 
>