Velika potreba za stručnjacima u području cyber securitya

Potreba uvjeravanja kolega da je briga o kibernetičkoj sigurnosti zadatak svih njih, svih zaposlenika i suradnika, ne samo šefa zaduženog za informacijsku odnosno kibernetičku sigurnost i naravno njegova tima izazovi su s kojima se danas suočavaju u javnom i privatnom sektoru. Kako ističe direktorica Ostendo Consultinga i stručnjakinja za informaciju sigurnost Biljana Cerin u postizanju razumijevanja kibernetičke sigurnosti i izloženosti svakodnevnim prijetnjama kibernetičkoj sigurnosti, ključnu i najvažniju ulogu ima obrazovanje.

Prema njezinim riječima prema istraživanju najveće međunarodne organizacije stručnjaka za sigurnost informacijskih sustava, (ISC)², trenutno u svijetu nedostaje oko 3 milijuna stručnjaka za ovo područje. Smatram da svi fakulteti koji imaju kapaciteta, znanja i pristup stručnjacima koji mogu učinkovito prezentirati i prenijeti svoje znanje, trebaju ulagati u obrazovanje kako postojećih tako i novih stručnjaka iz područja informacijske sigurnosti.

Koliko je važno obrazovanje svih kada je riječ o kibernetičkoj sigurnosti?

Jednom davno, na početku bavljenja ovim područjem, čula sam izjavu jednog cijenjenog stručnjaka za kibernetičku sigurnost koji je ujedno bio i voditelj informacijske sigurnosti u svojoj organizaciji (tzv. CISO, Chief Information Security Officer). Naime, na pitanje o tome što mu je najveći izazov u poslu, odgovorio je da je to uvjeriti sve svoje kolege da je briga o kibernetičkoj sigurnosti zadatak svih njih, svih zaposlenika i suradnika, ne samo njega i njegovog tima. Dobar CISO je onaj CISO koji uspije postići da svi u organizaciji - od najviše uprave do pripravnika - razumiju da je kibernetička sigurnost, odnosno briga o zaštiti povjerljivosti, raspoloživosti i integriteta informacije, odgovornost svakog od njih. Dijelim to mišljenje u potpunosti, s jednim dodatkom - samo čovjek koji nešto razumije može donositi odgovorne odluke. U postizanju razumijevanja kibernetičke sigurnosti i izloženosti svakodnevnim prijetnjama kibernetičkoj sigurnosti, ključnu i najvažniju ulogu ima obrazovanje. Ukoliko je čovjek kvalitetno obrazovan i razumije zašto je važna kibernetička sigurnost, on je ujedno i najjača karika u lancu svih tehničkih i organizacijskih mjera koje primjenjujemo kako bismo zaštiti naše ključne poslovne i osobne podatke; ukoliko to nije slučaj, upravo čovjek postaje najslabija karika.

Na koji način podići svijest o kibernetičkoj sigurnosti?

Jedan od načina podizanja svijesti je informiranje o incidentima kibernetičke sigurnosti i njihovim posljedicama; ovaj način može biti učinkovit ukoliko pojedinci i organizacije shvate da se to može dogoditi i njima; drugi način je uvođenje regulatornih i zakonskih obveza vezanih uz primjenu mjera zaštite podataka, kao što smo npr. imali situaciju s GDPRom koji je uveo izuzetno visoke kazne te s određenim sektorskim zakonima prije toga. Osobno smatram da je najbolji pristup onaj koji ističe da je osiguranje potrebne razine kibernetičke sigurnosti, obzirom na stvarnu izloženost riziku, te njeno stalno unapređivanje, zapravo pokazatelj odgovornog ponašanja prema pojedincima, zaposlenicima, organizaciji, partnerima, klijentima, javnosti. Najviše pažnje posvećuju kibernetičkoj sigurnosti posvećuju upravo uspješne i odgovorne tvrtke koje žele pravovremeno upravljati svim rizicima svog poslovanja, a upravljanje rizicima kibernetičke sigurnosti danas je visoko na ljestvici prioriteta njihove uprave i nadzornog odbora.

Koliko je važno obrazovanje studenata i koliko će rast potreba za specijalističkim znanjima u vrijeme kada su svima puna usta digitalizacije i digitalne transformacije?

Prema istraživanju najveće međunarodne organizacije stručnjaka za sigurnost informacijskih sustava, (ISC)², trenutno u svijetu nedostaje oko 3 milijuna stručnjaka za ovo područje. Smatram da svi fakulteti koji imaju kapaciteta, znanja i pristup stručnjacima koji mogu učinkovito prezentirati i prenijeti svoje znanje, trebaju ulagati u obrazovanje kako studenata, tako i postojećih stručnjaka za kojima će potražnja, upravo obzirom na sve projekte digitalizacije i digitalne transformacije koji nas očekuju, samo rasti.

Koja su to znanja koja su potrebna jednom stručnjaku za kibernetičku sigurnost na teorijskoj i praktičnoj razini, na razini organizacije informacijske sigurnosti?

Stručnjak za kibernetičku sigurnost u pravilu posjeduje znanja o nekoliko ključnih domena, od kojih je u nekima “jači“, u nekima “slabiji“. Uglavnom se te domene mogu grupirati u sljedećim područjima: upravljanje sigurnošću i rizicima, upravljanje informacijskom imovinom, sigurnosna arhitektura, sigurnost pri projektiranju i razvoju informacijskih sustava, sigurnost mreža i komunikacija, upravljanje identitetima i kontrolom pristupa, sigurnosne procjene i testiranje sigurnosti, sigurnosne operacije, te sigurnost u razvoju softvera. Teško je očekivati da će jedan stručnjak za kibernetičku sigurnost imati jednaku razinu vještine i znanja u svim ovim domenama, međutim mora ih razumjeti, te imati što više praktičnog iskustva u što više njih. Ovo se čini kao izuzetno naporan zadatak, međutim ukoliko volite ono što radite, i ukoliko ste spremni stalno ulagati u sebe, možete postati vrhunski stručnjak u svakom području koje vas zanima. Osim obrazovanja, iskustvo bavljenja ovim područjem je od neprocjenjive vrijednosti, i zato je važno u svaki obrazovni program uključiti što je moguće više iskustava iz prakse, iz stvarnih organizacija, dovesti gostujuće predavače koji će studentima i profesionalcima uspješno prenijeti stečena praktična znanja i iskustva. Drago mi je što je FOI upravo na taj aspect stavio poseban naglasak, te dodatno, omogućio studentima da se kroz specijalistički studijski program ujedno i pripreme za polaganje svjetski priznatih stručnih certifikata iz kibernetičke sigurnosti, poput CISSP (Certified Information Systems Security Professional). Nosioci ovog certifikata jedni su od najbolje plaćenih IT stručnjaka u svijetu, a on sam zahtijeva kontinuirano održavanje znanja i stjecanje novih praktičnih iskustava.