MITOVI I LEGENDE: Čovjek bez edukacije najslabija karika

Potrebno je razbiti mit o tome što je zapravo informacijska sigurnost. Prema međunarodnim stručnim certifikatima za infosec profesionalce, te standardima iz ovog područja, informacijska sigurnost obuhvaća procjenu i upravljanje rizicima, razvoj i implementaciju organizacijskih i proceduralnih sigurnosnih kontrola, implementaciju sigurnosnih mehanizama u odnosima s trećim stranama, sigurnost računalnih mreža, telekomunikacijskih sustava, logičku i fizičku kontrolu pristupa, sigurnost u razvoju softvera, upravljanje sigurnosnim incidentima, upravljanje ranjivostima informacijskog sustava, osiguranje sukladnosti s internim pravilnicima, zakonskim propisima i primjenjivom regulativom.

Pored svega navedenog, bez edukacije, razumijevanja, aktivnog sudjelovanja i podrške najjače, a istovremeno i najslabije karike u cijelom lancu - čovjeka, odnosno zaposlenika na svim razinama u organizaciji - ostajemo izloženi neprihvatljivo visokim sigurnosnim rizicima bez obzira na to koliko uložili u najskuplju i najmoderniju tehnologiju.

Prema podacima iz istraživanja objavljenog na stranicama organizacije (ISC)² o potrebama za infosec stručnjacima i njihovim specifičnim vještinama, prvo mjesto zauzimaju komunikacijske vještine, zatim široko razumijevanje područja informacijske sigurnosti, a tek nakon toga tehnička znanja. Vrlo je jasno identificirana potreba za infosec stručnjacima koji imaju sposobnost razvoja i primjene sigurnosnih politika, upravljanja projektima, liderske i management vještine, te znanje o relevantnim zakonskim propisima.

Kad se sve to ovako nabroji, izgleda da je vrlo teško naći ili razviti infosec stručnjaka koji može zadovoljiti sve postavljene zahtjeve. Uglavnom ih se pokušava identificirati i izgraditi među zaljubljenicima u IT, koji imaju razvijene komunikacijske, management i ostale socijalne vještine, ili bar predispozicije i želje za razvoj istih.

Možda možemo problemu nedostatka infosec stručnjaka pristupiti i na obrnut način - identificirati one sa već razvijenim socijalnim, management i leadership vještinama, te u njima pobuditi želju za razumijevanjem IT-a i ostalih tehničkih domena?

Zvuči pomalo teško izvedivo, ali... Očito je da je do nedostatka infosec stručnjaka kao i IT stručnjaka općenito, došlo zbog sustava obrazovanja neprilagođenog zahtjevima današnjeg svijeta, u kojem informacija predstavlja ključnu poslovnu vrijednost a siguran i pouzdan informacijski sustav osnovicu poslovanja svake moderne organizacije. Ako je IT tako prisutan, a informacijska sigurnost tako potrebna, zašto onda bavljenje strukom koja se brine o tome kako zaštititi informaciju nije dovoljno atraktivno?

Odgovor na to pitanje leži u nedostatku širih inicijativa za podršku razvoju ove struke, koje trebaju adresirati identificirane potrebe, mogućnosti stjecanja novih znanja unutar postojećih radnih mjesta, te kapacitete obrazovnih institucija i stručnih organizacija za pružanje potrebnih edukacija. Primjer takve inicijative nalazi se na https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/290049/bis-14-649-cyber-security-skills-a-guide-for-business.pdf, a pitanje kako se i da li se slične inicijative namjeravaju pokrenuti u našoj zemlji, ostavljam za sljedeću kolumnu.

Autor: Biljana Cerin, CISSP, CISA, CISM, CGEIT, PMP, Director, Risk Services @ Ostendo Consulting -http://www.linkedin.com/in/biljanacerin