Το παγκόσμιο περιβάλλον των απειλών… με βλέμμα στο 2030!

Ο κρίσιμος ρόλος της εταιρικής ασφάλειας και του CSO

 Ένα σύνολο νέων απειλών με διαφορετική προέλευση και χαρακτηριστικά που συνεχώς εξελίσσονται τα τελευταία χρόνια έχουν διαμορφώσει ένα εντελώς καινούργιο παγκοσμιοποιημένο περιβάλλον κινδύνου, που είναι διασυνδεδεμένο, αλληλεξαρτώμενο, ασταθές, με στιγμιαία εξάπλωση και κλιμάκωση.

Nikolaos Gkionis Μ.ISRM
Group Head of Risk, Security & Safety
Meraas Holding LLC, Dubai

 

 

To παγκόσμιο σκηνικό τον 21^ο αιώνα

Καθώς φτάνουμε στο τέλος της δεύτερης δεκαετίας του 21ου αιώνα, είναι αισθητό πια ότι το παγκόσμιο γίγνεσθαι όπως συνηθίζαμε να ξέρουμε δεν υπάρχει πια. Βιώνουμε μια μαζική πολιτική, φυσική, τεχνολογική, κοινωνική ακόμα και ηθική αλλαγή, που τουλάχιστον από την παρούσα ιστορική προοπτική είναι άνευ προηγουμένου και φαίνεται ότι θα μεταμορφώσει την ύπαρξή μας με τρόπους που δεν μπορούμε να γνωρίζουμε ή ακόμα και να προβλέψουμε.

Η μετάβαση στη βιομηχανική κοινωνία και τώρα πια στην παγκοσμιοποιημένη αστικοποίηση μαζί με το πακέτο τεχνολογικής επανάστασης, τις πληροφορίες σε πραγματικό χρόνο, Smart Developments & IOT, την ευκολία στο να ταξιδέψεις και να ζήσεις σε όλα τα μέρη της γης και τη διαμόρφωση των λεγόμενων Mega-Cities, έφερε αναπόφευκτα τις μεγάλες κλιματικές αλλαγές και τις φυσικές καταστροφές, κοινωνική και οικονομική αστάθεια, ασθένειες και πανδημίες, παραβιάσεις δεδομένων, γεωπολιτικές μεταβολές, μετανάστευση, ανθρώπινη ανέχεια και φτώχεια.

Στην πραγματικότητα, αν το εξετάσουμε προσεκτικά, όλα τα παραπάνω συνιστούν τις βασικές αιτίες για το περιβάλλον ανασφάλειας και απειλής σήμερα καθώς υπάρχει αλληλοσύνδεση και αλληλεξάρτηση.

• Η διεθνής τρομοκρατία δεν μπορεί να αντιμετωπιστεί μεμονωμένα από τις γεωπολιτικές αλλαγές και τις μεταναστευτικές ροές
• Η εγκληματικότητα συνδέεται άρρηκτα με την φτώχεια και με τη δημογραφία των καινούργιων μοντέλων Αστικών Κέντρων(Mega-Cities)
• Οι φυσικές καταστροφές δεν μπορούν να απομονωθούν από τις κλιματικές αλλαγές
• Οι κοινωνικές αναταραχές συνδέονται με την ανέχεια και την πολιτική αστάθεια
• Το Cyber ​​crime & διαρροή προσωπικών δεδομένων είναι αποτέλεσμα της υπερβολικής χρήσης της τεχνολογίας σχεδόν σε όλους τους τομείς της καθημερινότητας

Οι απειλές οι οποίες αντιμετωπίζουμε δεν μπορούν πλέον να θεωρηθούν ως φυσιολογικό μέρος του περιβάλλοντος στο οποίο ζούμε. Έχουν πλέον φτάσει σε ένα στάδιο όπου πραγματικά προκαλούν την δυνατότητα του άνθρωπου για επιβίωση, πόσο μάλλον να διατηρήσει μια φυσιολογική ζωή, αλλά το πιο ανησυχητικό εδώ είναι ότι οι κοινωνίες έχουν αρχίσει να αντιμετωπίζουν όλο αυτό το περιβάλλον απειλής, με εξορθολογισμό και να το αποδέχονται σαν κανονικότητα στην καθημερινότητα τους (π.χ Active shooter Attacks).

 

Οι μεταβαλλόμενες κρίσεις και η διαφοροποίηση των κινδύνων

Το περιβάλλον απειλής που βιώνουμε είναι εντελώς διαφορετικό λόγω της φύσης, της κλίμακας και του πεδίου εφαρμογής του, έτσι ώστε μπορεί να θεωρηθεί ως μεταλλακτικό. Ως εκ τούτου, η εμφάνιση των απειλών αλλάζουν με ρυθμό που φαίνεται να αφήνει πίσω μας την ικανότητα να μοντελοποιούμε, να προετοιμάζουμε ή να ανταποκρινόμαστε στα μεγάλα κρισιγενή γεγονότα ασφάλειας που λαμβάνουν χώρα όλο και συχνότερα.

Η αυξανόμενη αλληλοσύνδεση και αλληλεξάρτηση της παγκόσμιας κοινότητας, άλλαξε τελείως τη φύση των κρίσεων τα τελευταία χρόνια, έτσι ώστε αντί να είναι απλώς «μείζονα περιστατικά» ή «συνήθεις καταστάσεις έκτακτης ανάγκης», σήμερα προσδιορίζονται από την ταχύτητα εξέλιξης, την υπέρ-πολυπλοκότητα και τις καταστροφικές συνέπειες τους.

Οι φυσικές καταστροφές έχουν γίνει ένα σύνηθες φαινόμενο, με αριθμούς που δείχνουν ανοδική τάση, μεγαλύτερη έκταση, απρόβλεπτο μοντέλο εκδήλωσης, τεράστιο αντίκτυπο και επιπλέον με περιορισμένη δυνατότητα απόκρισης.

Η πολυπλοκότητα των επιπτώσεών τους, έχει αυξηθεί πέρα από το πεδίο εφαρμογής των κανόνων ανταπόκρισης στις κρίσεις, γεγονός που έχει οδηγήσει σε αυξανόμενη ανικανότητα ελέγχου τους.

Και όποιος αμφιβάλλει για αυτό, ακόμη και για ισχυρές χώρες όπως οι ΗΠΑ, θα πρέπει απλώς να εξετάσει τις μεγάλες απώλειες και την ολική καταστροφή της κοινωνίας στη Νέα Ορλεάνη και σε άλλες πόλεις του East Coast λίγες μέρες μετά τον τυφώνα Κατρίνα τον Αύγουστο και τον Σεπτέμβριο του 2005.

Ένας από τους κύριους λόγους για τους οποίους οι φυσικές καταστροφές στον 21ο αιώνα θα δημιουργήσουν πολύ περισσότερα προβλήματα από το παρελθόν έχει το όνομα “Urbanization“.

Πάνω από το ήμισυ του παγκόσμιου πληθυσμού ζει σε τεράστια αστικά κέντρα και εκτιμάται ότι ο σημερινός αριθμός των 19 Mega-Cities (πληθυσμός άνω των 10 εκ.) θα αυξηθεί σε 30 έως το 2030 συνοδευόμενο με τη ρητορική γύρω από την ανάπτυξη των ‘Smart Cities’.

Πόσο αλήθεια είναι όμως αυτό; Μήπως οι πόλεις του μέλλοντος είναι ακριβώς το αντίθετο;

Η μέγα-αστικοποίηση έχει φθάσει σε ένα στάδιο όπου είναι δύσκολο να δει κανείς πόσες από αυτές τις πόλεις μπορούν να υποστηρίξουν ένα επίπεδο λειτουργικότητας στους ανθρώπους που ζουν εκεί. Για όσους κινούνται το πρωί για να εργαστούν και να επιστρέψουν στο σπίτι το βράδυ είτε με δικό τους όχημα, είτε με τα ΜΜΕ, η ιδέα μιας υπέρ-γρήγορης, εξαιρετικά αποτελεσματικής πόλης του μέλλοντος δεν φαίνεται να είναι τόσο αλήθεια. Μπορείτε να φαντασθείτε το ίδιο σκηνικό σε μια κατάσταση κιρσογενούς περιστατικού σε μια τέτοια πόλη;

• Η συγκέντρωση των Mega-Cities στις παράκτιες περιοχές, τις αφήνει όλο και πιο ευάλωτες στις καταιγίδες και τις πλημμύρες. ‘Cities Under water’.
• Ο υπερπληθυσμός και η κυκλοφοριακή συμφόρηση φέρνουν αδυναμία κίνησης. Όμως κάθε πρόγραμμα αντιμετώπισης κρίσεων βασίζεται στο θεμελιώδες γεγονός ότι θα είμαστε σε θέση να κινηθούμε.
• Η εξάρτηση των πόλεων από την τεχνολογία τις καθίστα ευάλωτες και λιγότερο ανθεκτικές. Η επικοινωνία, οι κρίσιμες υποδομές και η δυνατότητα μεταφοράς θα μειωθούν.
• Οι εγκαταστάσεις κρίσιμων υποδομών είναι πια παλιές για τις απαιτήσεις του 21ου αιώνα και έχουν πια φτάσει στα λειτουργικά όρια ώστε να μην μπορούν να ανταποκριθούν αποτελεσματικά τόσο από άποψη προστασίας όσο και από την άποψη της λειτουργικότητας. Μην ξεχνάτε ότι η πλειοψηφία των κρίσιμων κτιρίων (Νοσοκομεία) εξακολουθούν να έχουν τις γεννήτριες τους στα υπόγεια!
• Οι περισσότεροι ιδιωτικοί οργανισμοί έχουν ένα σχέδιο κρίσης το οποίο προφανώς δεν θα λειτουργήσει γιατί απλά είναι σχεδιασμένο σε ‘Silo΄ μην λαμβάνοντας υπόψη το εξωτερικό περιβάλλον

Το περιβάλλον των Υποδομών Τεχνολογίας & Πληροφορικής (IT Infrastructure) δείχνει εύθραυστο. Επιθέσεις στον κυβερνοχώρο, κακόβουλες επιθέσεις, Dark Web, ΑΤΜ, On line banking, έχουν επιπτώσεις που απειλούν την ύπαρξη οργανισμών. Υπάρχουν προειδοποιήσεις ότι τα συστήματα υποστήριξης πίσω από την παγκόσμια διαδικτυακά τραπεζικά συστήματα έχουν φτάσει στα λειτουργικά τους όρια. Είναι πραγματικά τρομακτικό ποιες θα είναι οι εικόνες στις παγκόσμιες ειδήσεις 72 ώρες μετά την κατάρρευση των παγκοσμίων τραπεζικών συστημάτων πληροφορικής, όταν κάθε τραπεζικός λογαριασμός στον κόσμο γράψει 0, αφήνοντας τον πληθυσμού να επιβιώσουν αποκλειστικά με τα χρήματα που είχαν στη τσέπη τους εκείνη τη στιγμή.

Η τρομοκρατία δεν έχει την ίδια διάσταση, επιπλέον εκδηλώνεται με τόσα πολλά διαφορετικά mondus operandi όπου αμφισβητεί κάθε αντιτρομοκρατικές στρατηγικές απόκρισης. Τρομοκρατικές οργανώσεις μεταλλαγμένες, εξαπλωμένες σε cells και μοναχικούς λύκους, οργανώσεις που είχαν τερματίσει τη δραστηριότητά τους για χρόνια έρχονται στη σκηνή, χρήση όπλων μαζικής καταστροφής, επιθέσεις Ramming Vehicle, Soft Targeting, Diversion tactics & simultaneous attacks, έχουν πρόσθεσε μια εντελώς νέα διάσταση στο πώς αντιλαμβανόταν μια τρομοκρατική απειλή και έχουν δημιουργήσει σκηνικό φόβου, κυρίως στα αστικά κέντρα.

Οργανωμένο έγκλημα και κοινωνικές διαταραχές συναντώνται συχνά στις σύγχρονες μεγαλουπόλεις, όπου η φτώχεια και η ανισότητα, η παράνομη και υφέρπουσα ανάπτυξη ευδοκιμούν ιδιαίτερα στις ολοένα διευρυνόμενες αστική περιοχές, με τη δημιουργία σύγχρονων “φάβελων” με αυξανόμενη αίσθηση περιθωριοποίησης που οδηγούν σε αυξημένα επίπεδα βίας. Χρειάζεται μόνο 24 ώρες από μια κοινωνική αναταραχή, να οδηγηθεί σε μια ανεξέλεγκτη κατάσταση.

Οι πανδημίες θα ευημερούν στον σύγχρονο κόσμο του υπερπληθυσμού, της μαζικής/ αυξανόμενης μετακίνησης, των παγκόσμιων οργανισμών/εταιριων. Το νέο περιβάλλον απειλής έχει αλλάξει ραγδαία, είναι παγκοσμιοποιημένο, διασυνδεδεμένο, αλληλεξαρτώμενο, ασταθές, με στιγμιαία εξάπλωση και κλιμάκωση, δείχνοντας ότι δεν έχουμε τον έλεγχο του πια περνώντας από το Vulnerability στο Fragility.

Για να το θέσουμε ακόμα πιο έντονα, αντί να πλησιάσουμε αυτά τα προβλήματα από μια θέση tabula rasa, η αντιμετώπιση τους μπορεί να θεωρηθεί ότι εισέρχεται σε πλήρη terra incognita, όπως το έθεσε ο Patrick Lagadec.

Η εταιρική ασφάλεια και ο κρίσιμος ρόλος του CSO

Τι σημαίνουν όμως όλα αυτά για εμάς;

Τι προκλήσεις φέρνει αυτό το Περιβάλλον Κινδύνου στην οργανισμό/εταιρεία μας και ειδικά στον Chief Security Officer – CSO;

Φαίνεται ότι όλα ξεκίνησαν το πρωί της 9/11. Όταν ο CSO των δίδυμων πύργων ξύπνησε εκείνο το πρωί για να πάει στο γραφείο του, δεν θα φανταζόταν ποτέ τι θα συμβεί τις επόμενες ώρες στον χώρο του.

Αυτό το καταστροφικό γεγονός άλλαξε τον τρόπο με τον οποίο ο κόσμος σκέπτεται την απειλή και την ασφάλεια με 4 τρόπους:

• Οι Οργανισμοί/Εταιρίες δεν μπορούν πια να είναι απομονωμένες από εξελίξεις που συμβαίνουν αλλού
• Απέδειξε την ταχύτητα που θα λαμβάνουν τα μελλοντικά γεγονότα και τις τεράστιες συνέπειες που θα έχουν για οργανισμούς/εταιρείες άμεσα και έμμεσα
• Καθώς οι επιθέσεις ξεδιπλώνονταν σε live μετάδοση, οι επιχειρήσεις άρχισαν να χάνουν και να χάνουν πολύ
• Ήταν το σημείο έναρξης, καθώς και μια παγκόσμια ευκαιρία για την αλλαγή του Security & Risk παγκοσμίως

Πριν από τις 9/11 οι εκτιμήσεις επικινδυνότητας και απειλών σε έναν οργανισμό ήταν Silo-driven.

Μεμονωμένες εκτιμήσεις σε τρωτότητα και απειλές και αξιολόγηση με σειρά από μετριασμούς, αλλά πολύ σπάνια σε μια στρατηγική προσέγγιση. Ο ρόλος του Corporate Security δεν είχε ληφθεί σοβαρά υπόψη από τους μεγάλους οργανισμούς και τις εταιρείες, και αυτές που το είχαν κάνει, ίσως είχαν αντιμετωπίσει μια έκτακτης ανάγκη μεγάλης κλίμακας στο παρελθόν. Μεγάλος αριθμός ανθρώπων ανά τον κόσμο, με την ευθύνη Security, risk, resilience, business continuity, emergency response and crisis management, αισθάνονταν ότι δεν τους έχει δοθεί το κατάλληλο επίπεδο υποστήριξης. Το παλιό μοντέλο του Corporate Security ήταν μια ομάδα σιωπηλά απομακρυσμένη από την υπόλοιπη εταιρία σε ένα γραφείο στο υπόγειο, αποδεκτή μόνο λόγω της διασφάλισης ότι οι ασφαλιστικές εταιρείες και οι ιδιοκτήτες ήταν ικανοποιημένοι.

Οι CSO γενικά δεν είχαν την τρομοκρατία στις πρώτες 10 απειλές για έναν οργανισμό. Οργανώσεις όπως η IRA, η Hezbollah και η ETA ήταν εν ενεργεία, εντούτοις γενικά οι επιθέσεις τους ήταν προειδοποιητικές, μερικές φορές θεαματικές, αλλά γενικά δεν επικεντρώνονταν στην στόχευση των Οργανισμών/Θυμάτων και οι απώλειες περιορίζονταν στο χώρο της επίθεσης.

Αντίθετα, επικεντρωνόταν περισσότερο σε αυτό που θα μπορούσε να επηρεάσει άμεσα τον Οργανισμό κατά τη διεξαγωγή της εκτίμησης κινδύνων και απειλών και εστίαζαν μόνο στο εσωτερικό του οργανισμού. Μετά την 9/11 όλα αυτά άλλαξαν και ο CSO τελικά θεωρήθηκε ως πολύτιμος αρωγός για αλλαγή στο Risk Management.

Τα μέλη της C-suite άρχισαν να ακούν τον CSO προσκαλώντας τον ξεχασμένο ήρωα να λάβουν υπόψη το τι λέει, βλέποντάς τους πλέον όχι ως αναστολείς, αλλά ως τα κατάλληλα πρόσωπα για την ολιστική προστασία των επιχειρήσεων.

Κατά τα επόμενα 17 χρόνια μετά την 9/11, η Εταιρική Ασφάλεια με την βοήθεια από την επιτάχυνση της τεχνολογίας, τη μετάβαση από πλατφόρμες αναλογικής σε ΙΡ, των πλατφορμών iPad,κτλ. έγινε ικανή να αναλύσει δεδομένα σε ταχύτητες που δεν υπήρχαν πριν από την 9/11.

Ο CSO έγινε δεκτός ως επάγγελμα μέσω της κατάρτισης και της συνεχιζόμενης επαγγελματικής ανάπτυξης ενσωματώνοντας άλλες πλατφόρμες στο οπλοστάσιο γνώσης του, όπως:

• Health and Safety management
• Fire-life Safety
• Emergency, Crisis Management & Business Continuity Planning
• Technical Security integration to other areas of the business
• Cyber Security analysis
• Intelligence analysis
• Quality management systems analysis

 

Με βλέμμα προς το 2030!

Είναι σαφές ότι τα βασικά πλαίσια και αρχές που υποστήριξαν το Security Risk & Crisis management τα τελευταία 20 χρόνια αρχίζουν να ξεπερνούν το μέγεθος και το εύρος των σύγχρονων αναδυόμενων απειλών. Η σύνδεση και η αλληλεξάρτηση τους σημαίνει ότι η εστίαση τους, χωρίς αναγνώριση των παραπλεύρων επιπτώσεων τους, καθιστά ανεπαρκείς τους σχεδιασμούς μετρίασης τους.

Το περιβάλλον απειλής πρέπει πια να εξεταστεί ως σύνολο. Για να το θέσουμε απλά αυτό που απαιτείται είναι η Στρατηγική Διαχείριση Απειλών και είναι κάτι που πρέπει να κάνουν όλες οι οργανισμοί/επιχειρήσεις. Δεν θα είναι πλέον κάτι προαιρετικό. Προγράμματα διαχείρισης που ταιριάζουν με τις απειλές και τις προκλήσεις που αντιμετωπίζουν οι οργανισμοί στον πραγματικό κόσμο και λαμβάνουν υπόψη το άμεσα γειτονικό και έμμεσο περιβάλλον.

• Κατανόηση και ανάλυση των παραγόντων απειλής μέσα στο περιβάλλον τους, εξασφαλίζοντας ότι αντανακλούν το πεδίο δράσης τους
• Χαρτογράφηση των κινδύνων σύμφωνα με την ευρύτερη περιοχή οπού ένα γεγονός ίσως έχει αντίκτυπο στον οργανισμό
• Επιχειρηματική διακυβέρνηση που ευθυγραμμίζεται με το Risk Management της εταιρείας
• Εξέταση του Risk Register πριν από Business Decisions
• Δημιουργία Risk Committee σε επίπεδο C-’Dr του οργανισμού
• Δημιουργία πλαισίων για την κατανόηση της απειλής και την δημιουργία Risk Culture και Risk Sensitivity σε όλα τα επίπεδα του Οργανισμού με ενεργή συμμετοχή και επικοινωνία
• Συνεχής αξιολόγηση περιπτώσεων Near miss και τι αντίκτυπο θα είχαν αν ήταν πραγματικά γεγονότα
• Συνεργασία με τους Stakeholders του οργανισμού με σκοπό την δημιουργία πρωτοκόλλου και διαδικασιών που θα είναι απαραίτητα για την επιτυχή αντιμετώπιση των απειλών και κρίσεων – Interoperability

Ως εκ τούτου, ο ρολος του CSO γίνεται θεμελιώδης πια αφήνοντας πίσω το επίπεδο του Bronze level (Prior 9/11) Silver (post 9/11), αλλά κάθεται πια στο Gold Level διοίκησης μαζί με τα άλλα μέλη της C-suite κατευθύνοντας την Ασφάλεια και την ολιστική προσέγγιση του Risk Management σε όλες τις δομές των Οργανισμών/Επιχειρήσεων. Θα έλεγα ότι από Enabler και Leader θα περάσει στο επίπεδο του Decision Maker, με 3 κυρίες αρμοδιότητες:

• Ολιστική προσέγγιση και γρήγορη αναγνώριση και αξιολόγηση απειλών για τον Οργανισμό
• Δημιουργία διαλειτουργικότητας, συνέργιας, διαδραστικότητας με οργανισμούς και Critical stakeholders στο ευρύτερο περιβάλλον που δρα
• Δημιουργία ισχυρών διαδικασιών & δράσεων για την αποτελεσματική διαχείριση Κρίσεων, την ανθεκτικότητα του Οργανισμού και την γρήγορη επαναφορά του σε λειτουργία

 Συμπερασματικά

Το 2030 είναι έντεκα χρόνια μακριά και θα φτάσει πριν καν το καταλάβουμε.. Οι αλλαγές είναι αναπόφευκτες, οι επιπτώσεις από τα γεγονότα ασφάλειας και κρίσης μπορεί να είναι καταστροφικά (και μη αναστρέψιμα).

Το σκηνικό απειλών και κρίσεων του 21ου αιώνα και η κλιμακωτή φύση των επιπτώσεών τους μπορούν να εξαπλωθούν σε ολόκληρο τον κόσμο, προτού αναπτυχθούν ακόμη και τα πιο στοιχειώδη μέσα ανταπόκρισης.

Ο χρόνος από την ‘λάμψη έως τον κρότο’ και η ταχύτητα αντίδρασης είναι ένα ζωτικό στοιχείο για τον περιορισμό των απωλειών και τον μετριασμό του κινδύνου περαιτέρω απώλειας.

Δεν θα υπάρχει τρόπος να προστατευθεί σωστά ένας οργανισμός εάν ο μελλοντικός CSO δεν έχει τον έλεγχο όλων των πτυχών της Ασφάλειας.