Του Δημήτρη Πατσού, Ph.D., M.Sc., CISSP, CISM, CDPSE, CCSK
Προέδρου του (ISC)2 Hellenic Chapter
Γενικά
Το International Information System Security Certification Consortium – (ISC)² είναι ο μεγαλύτερος οργανισμός επαγγελματιών ασφάλειας στον κόσμο, με περισσότερα από 150.000 μέλη σε 180 χώρες.
Κάθε χρόνο, το (ISC)2 εκδίδει μια εξειδικευμένη μελέτη, γνωστή ως Cyber Security Workforce Survey, ίσως τη δημοφιλέστερη στον κλάδο, που βασίζεται σε εκτεταμένη έρευνα ανάμεσα σε χιλιάδες επαγγελματίες ασφάλειας από μικρές και μεγάλες επιχειρήσεις, κυβερνητικούς οργανισμούς και ακαδημαϊκά ιδρύματα σε όλα τα μήκη και πλάτη του πλανήτη. Αποτυπώνει τάσεις και κατευθύνσεις του χώρου, αναλύοντας και σημαντικά γεγονότα του τρέχοντος έτους.
Η μελέτη (ISC)² Cybersecurity Workforce Study του 2020 κυκλοφόρησε πριν λίγες εβδομάδες και βασίζεται σε δεδομένα που συλλέχθηκαν κατά την περίοδο του Απριλίου, Μαϊου και Ιουνίου 2020 από σχεδόν 3,800 επαγγελματίες ασφάλειας πληροφοριών ανά τον κόσμο (Βόρεια Αμερική, Ευρώπη, Λατινική Αμερική – LATAM, καθώς και την περιοχή της Ασίας & Αυστραλίας – APAC). Το μέγεθος του δείγματος από κάθε χώρα προσαρμόστηκε ανάλογα, ώστε να υπάρχει αντιπροσωπευτική συμμετοχή κάθε κλάδου και μεγέθους οργανισμού, αντίστοιχα.
Ένας από τους κύριους (και μόνιμους) στόχους της συγκεκριμένης μελέτης είναι η εκτίμηση του μεγέθους του εργατικού δυναμικού ασφάλειας πληροφοριών στον κόσμο. Στα πλαίσια αυτά, η έρευνα προσπαθεί να αποτυπώσει, όσο το δυνατόν ακριβέστερα, το κενό δεξιοτήτων στην αγορά καθώς και να αναδείξει λύσεις που θα βοηθήσουν στην αντιμετώπιση του συγκεκριμένου φαινομένου. Μέσα σε αυτές τις λύσεις συμπεριλαμβάνονται εργαλεία για διαρκή επιμόρφωση των στελεχών, αναζήτηση μοντέλων απλούστευσης της εισόδου στην αγορά εργασίας αλλά και τεχνικές προσέγγισης νέου ταλέντου.
Εκτός από αυτό, η μελέτη αποτυπώνει τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν οι επαγγελματίες ασφάλειας με τη φετινή χρονιά να είναι αφιερωμένη στον τρόπο που η πανδημία επηρέασε τον κλάδο.
Τα κυριότερα στοιχεία και συμπεράσματα της μελέτης, μαζί με μερικά άκρως ενδιαφέροντα χαρακτηριστικά, αναλύονται στη συνέχεια.
Πανδημία, τηλεργασία και ασφάλεια πληροφοριών
Η πανδημία έφερε μεγάλες αλλαγές στον κλάδο της κυβερνοασφάλειας, όπως σχεδόν και στο σύνολο του χώρου της τεχνολογίας. Η τηλεργασία δεν ήταν κάτι καινούργιο για το χώρο της πληροφορικής και της τεχνολογίας γενικότερα, καθώς αποτελεί μια καλά διαδομένη πρακτική σε πολλά μέρη του κόσμου. Ωστόσο, η μαζική κλίμακα και το ιδιαίτερα σύντομο χρονικό διάστημα που ενεργοποιήθηκε, δεν επέτρεψε στους επαγγελματίες ασφάλειας πληροφοριών να προετοιμαστούν επαρκώς για τις πολλαπλές προκλήσεις που επέβαλλε η τηλεργασία στον τρόπο εργασίας. Σχεδόν ταυτόχρονα με την έναρξη της τηλεργασίας και των περιορισμών στις μετακινήσεις (lockdown), η συντριπτική πλειοψηφία των οργανισμών ανά τον κόσμο υϊοθέτησε εκτεταμένη χρήση cloud υπηρεσιών και εργαλείων συνεργασίας, χωρίς πάντοτε να έχει προηγηθεί εκτίμηση του επιπέδου ασφάλειας (σ.σ. με σημαντικά κενά ασφάλειας και ιδιωτικότητας ακόμα και σε πολύ δημοφιλείς πλατφόρμες, τα οποία ανακαλύπτονταν διαρκώς και διορθώνονταν σταδιακά, ενώ η -εκτεταμένη- χρήση τους συνεχίζονταν αδιάλειπτα).
Στην πλειονότητα των περιπτώσεων και σε παγκόσμιο επίπεδο, η τηλεργασία εφαρμόστηκε σχεδόν καθολικά και μέσα σε διάστημα ελαχίστων ημερών, ενώ η επιτυχία της βασίστηκε, κατά πολύ, στις δεξιότητες και ικανότητες του ΙΤ προσωπικού και των επαγγελματιών ασφάλειας.
Σύμφωνα με την έρευνα, σχεδόν στο 30% των οργανισμών δόθηκε περιθώριο εφαρμογής τηλεργασίας μιας και μόνο ημέρας, στο 47% δόθηκε χρονικό περιθώριο μιας εβδομάδας και μόλις στο 16% δόθηκε περισσότερος χρόνος. Τα μεγέθη αυτά χαρακτηρίζονται πρωτοφανή, καθώς ποτέ άλλοτε δεν έχουν πραγματοποιηθεί τόσες πολλές και μαζικές αλλαγές στην καθημερινή λειτουργία των οργανισμών διεθνώς.
Εικόνα 1: Χρονικό πλαίσιο ενεργοποίησης τηλεργασίας
Εκτός των αναγκών -αλλά και των ελλείψεων- παροχής εξοπλισμού, διασύνδεσης και εκπαίδευσης του προσωπικού που αντιμετώπισαν τα τμήματα ΙΤ των οργανισμών, υπήρξαν και πολύ μεγάλες αλλαγές στον τρόπο παροχής των καθημερινών υπηρεσιών (από την απλή ανταλλαγή αρχείων και τη διεξαγωγή τηλεδιασκέψεων, μέχρι πιο σύνθετων λειτουργικών απαιτήσεων), καθώς η τηλεργασία αποτέλεσε κάτι το εντελώς καινούργιο για την πλειονότητα των Οργανισμών.
Αντίστοιχα, στο χώρο της ασφάλειας πληροφοριών, τα χρονοδιαγράμματα ήταν ιδιαίτερα ασφυκτικά: σχεδόν το 22% των επαγγελματιών ασφάλειας που συμμετείχαν στην έρευνα ανέφεραν, πως είχαν μόνο μια ημέρα περιθώριο προκειμένου να εκτελέσουν όλους τους απαραίτητους ελέγχους, το 47% ανέφερε πως είχε χρονικό περιθώριο μιας εβδομάδας, ενώ μόλις το 16% των συμμετεχόντων ανέφερε πως είχε περισσότερο χρόνο.
Το ιδιαίτερα ενδιαφέρον εύρημα της έρευνας είναι πως τα ποσοστά είναι σχεδόν παραπλήσια για όλες τις περιοχές της Γης, που μαρτυρά έναν κοινό τρόπο αντιμετώπισης των απαιτήσεων της πανδημίας παγκοσμίως.
Συνεργασία, επικοινωνία και ομαδική λειτουργία κατά την περίοδο της πανδημίας
Παρόλα τα εμπόδια, τις προκλήσεις και τα ασφυκτικά χρονοδιαγράμματα, η πλειοψηφία των συμμετεχόντων ανέφερε πως οι οργανισμοί τους ανταποκρίθηκαν αποτελεσματικά στις αλλαγές του τρόπου λειτουργίας που έφερε ο COVID-19, με σχεδόν το 64% να χαρακτηρίζει ως άριστο ή πολύ καλό το τελικό αποτέλεσμα.
Ένα ακόμα ενδιαφέρον εύρημα της έρευνας είναι πως η νέα (σ.σ. τρέχουσα) κατάσταση λειτουργίας δεν φαίνεται να έχει επηρεάσει αρνητικά τον ομαδικό τρόπο λειτουργίας και επικοινωνίας ανάμεσα στους ομάδες ασφάλειας πληροφοριών, καθώς μόνο το 12% ανέφερε κάτι τέτοιο (μάλιστα σχεδόν 1 στους 4 δήλωσε πως η τηλεργασία έχει βελτιώσει το παραγόμενο αποτέλεσμα της ομάδας).
Εικόνα 2: Τηλεργασία και ομαδική επικοινωνία
Περιστατικά ασφάλειας και πανδημία
Στους περισσότερους θα αποτελέσει έκπληξη το γεγονός ότι τα περιστατικά ασφάλειας, σύμφωνα με την ίδια έρευνα, έδειξαν να έχουν σταθεροποιηθεί (και σε πολλές περιπτώσεις ελαττωθεί) κατά τη διάρκεια της πανδημίας (σ.σ. ως περιστατικό λογίζεται μια επιτυχημένη επίθεση).
Μόλις το 18% των συμμετεχόντων ανέφεραν αύξηση των περιστατικών ασφάλειας κατά τη διάρκεια του COVID-19 (σ.σ. μέχρι το τέλος του πρώτου κύματος της πανδημίας κατά την οποία συλλέχθηκαν και αναλύθηκαν τα δεδομένα που παρουσιάζονται στην έρευνα), ενώ το 12% ανέφερε αντίστοιχα- πως παρατήρησε μείωση, γεγονός που βρίσκεται σε πλήρη αντιδιαστολή με την πεποίθηση πως η πανδημία θα είχε τα αντίθετα αποτελέσματα (σ.σ. μιας και γενικότερα πιστεύεται πως η τηλεργασία αυξάνει την επιφάνεια επίθεσης –attack surface– των οργανισμών, κάνοντάς τους στόχο σε περισσότερες επιθέσεις, ενώ -παράλληλα- επηρεάζει αρνητικά την επιχειρησιακή δυνατότητα αντιμετώπισης περιστατικών ασφάλειας κάθε οργανισμού).
Επιπτώσεις στις επενδύσεις και τις απολαβές
Παρόλη τη γενικά θετική αίσθηση για τον αποτελεσματικό χειρισμό των προκλήσεων της πανδημίας, της υποστήριξης από τη Διοίκηση και του ευέλικτου τρόπου (συν)εργασίας και τη σταθεροποίηση των περιστατικών ασφάλειας, οι επαγγελματίες συνεχίζουν να αντιμετωπίζουν πολλές και σημαντικές δυσκολίες.
Ο περιορισμός των λειτουργικών δαπανών (λόγω των μεγάλων οικονομικών επιπτώσεων) έφερε μείωση των αποδοχών, μείωση των ωρών εργασίας αλλά και αρκετές απολύσεις στον κλάδο. Αν και περισσότεροι από τους μισούς συμμετέχοντες στην έρευνα δήλωσαν ανεπηρέαστοι από κάτι τέτοιο (σ.σ. απολύσεις), πολλοί το επιβεβαίωσαν για συναδέλφους ή συνεργάτες τους στο χώρο.
Επιπροσθέτως, οι ώρες εργασίας μειώθηκαν στο 17% των συμμετεχόντων, ενώ περίπου 1 στους 5 ανέφερε και μείωση αποδοχών.
Εικόνα 3: Οικονομικές επιπτώσεις
Πέρα από τις άμεσες επιπτώσεις, οι έμμεσες επιπτώσεις που απορρέουν από τον περιορισμό των επενδύσεων είναι εξίσου σημαντικές. Σχεδόν των 50% των συμμετεχόντων ανέφερε μείωση των επενδύσεων σε τεχνολογία και ανθρώπινο δυναμικό για το έτος 2020, λόγω μείωσης εσόδων, ενώ οι περισσότεροι από τους συμμετέχοντες που κατέχουν διευθυντικό ή επιτελικό ρόλο στον Οργανισμό τους (~54%) ανέφεραν πως αναμένουν ακόμα μεγαλύτερες μειώσεις για την ερχόμενη χρονιά.
Εικόνα 4: Επενδύσεις σε τεχνολογία και ανθρώπινο δυναμικό
Παγκόσμια έλλειψη εξειδικευμένων στελεχών
Το 2020 και με δεδομένες τις πολύ μεγάλες οικονομικές πιέσεις που έχει προκαλέσει ο COVID-19 αποτυπώθηκε μείωση, για πρώτη φορά στα χρονικά, στο λεγόμενο κενό διαθέσιμων θέσεων εργασίας παγκοσμίως. Συνολικά, η έρευνα αποτυπώνει περίπου 3.1 εκατομμύρια «κενές» θέσεις εργασίας για το 2020, ενώ το 2019 η ίδια έρευνα αποτύπωνε, αντίστοιχα, 4 εκατομμύρια «κενές» θέσεις εργασίας σε όλον τον κόσμο (σ.σ. το εργασιακό κενό προκύπτει ως η διαφορά του πλήθους των επαγγελματιών ασφάλειας πληροφοριών που απαιτούνται, κατά δήλωση των οργανισμών, για την εκπλήρωση των απαραίτητων λειτουργιών σε σχέση με το διαθέσιμο πλήθος επαγγελματιών ασφάλειας πληροφοριών).
Παρόλα αυτά, το κενό υπάρχει ακόμα και το ιδιαίτερα σημαντικό μέγεθός του δυσκολεύει κατά πολύ το έργο των οργανισμών στην καθημερινή τους μάχη απέναντι στις ψηφιακές απειλές.
Η συντριπτική πλειοψηφία αυτού του κενού αφορά τις περιοχές της Ασίας και της Αυστραλίας (2.1 εκατομμύρια περίπου), ενώ σχεδόν 527.000 θέσεις φαίνονται να είναι διαθέσιμες στη Νότια Αμερική και 168.000 περίπου στην Ευρώπη. Μπορεί, εύκολα, να καταλάβει κανείς πως αν και το κενό μειώνεται, παραμένει ιδιαίτερα μεγάλο, αν συνυπολογίσει κανείς και τις νέες προκλήσεις που αναμένει ο χώρος τα επόμενα χρόνια (π.χ. ζητήματα ασφάλειας στα δίκτυα 5G, IoT, smart cities, σύγκλιση φυσικού-ψηφιακού κόσμου, μεταβολές κανονιστικού πλαισίου, κτλ.).
Εικόνα 5: Το εργασιακό κενό ανά τον κόσμο
Οι κύριοι παράγοντες που έχουν συντελέσει στη μείωση αυτού του κενού περιλαμβάνουν:
- Το πλήθος του εργατικού δυναμικού (ήτοι και του αντίστοιχου κενού) εξαρτάται άμεσα από το ύψος των επενδύσεων σε ανθρώπινο δυναμικό: σε μια χρονιά παγκόσμιας ύφεσης, οι εν λόγω επενδύσεις φαίνονται να είναι -κατά πολύ- μειωμένες.
- Η παγκόσμια μείωση της απασχόλησης, σε ευρύτερο πλαίσιο, επηρέασε και το χώρο της ασφάλειας πληροφοριών. Αν και η συμβολή των ΗΠΑ είναι καθοριστική για το συνολικό αριθμό του δείγματος της έρευνας (δραστική μείωση), δεν υπήρξε καμία χώρα στην έρευνα στην οποία να έχει αποτυπωθεί ετήσια αύξηση απασχόλησης (ήτοι και αύξηση ζήτησης επαγγελματιών ασφάλειας πληροφοριών).
- Υποτυπώνεται πολύ μεγάλη μείωση της ζήτησης για επαγγελματίες ασφάλειας πληροφοριών από μικρές και μεσαίες επιχειρήσεις των ΗΠΑ, που επηρεάζουν αρκετά το συνολικό αριθμό.
- Η παροχή νέου και εξειδικευμένου εργατικού δυναμικού αυξάνεται, πιθανότατα λόγω νέου ταλέντου που εισέρχεται στο χώρο, αλλά και επαγγελματιών στον ευρύτερο χώρο της πληροφορικής που εξειδικεύονται στην ασφάλεια πληροφοριών.
- Καταγράφεται σημαντική εκπαίδευση και κατάρτιση του υπάρχοντος εργατικού δυναμικού των οργανισμών (upskilling), ώστε να καλύψει λειτουργίες που σχετίζονται με την ασφάλεια πληροφοριών.
Συμπεράσματα
Η μελέτη Cyber Security Workforce Survey για το 2020 παρουσιάζει αρκετά ενδιαφέροντα στοιχεία, αλλά και διαφορές από τις αντίστοιχες μελέτες των περασμένων ετών, που καταδεικνύουν τη σημαντική συμβολή της πανδημίας στον κλάδο.
Αρχικά, φαίνεται πως ο κλάδος αντιμετώπισε με μεγάλη επιτυχία τις απαιτήσεις της πανδημίας και συγκεκριμένα της τηλεργασίας, τόσο σε επίπεδο καθημερινής λειτουργίας και συνεργασίας, όσο και στις απαιτήσεις ασφάλειας που απαιτεί το συγκεκριμένο μοντέλο. Από την άλλη πλευρά, οι δυσμενείς οικονομικές επιπτώσεις που οφείλονται φαίνεται πως δημιουργούν μεγαλύτερες πιέσεις, μιας και περιορίζονται οι επενδύσεις αλλά και οι απολαβές των στελεχών.
Τέλος, αν και το απόλυτο νούμερο του εργασιακού κενού εμπνέει αισιοδοξία, ωστόσο αυτό δείχνει να οφείλεται περισσότερο στον περιορισμό των επενδύσεων παρά στην είσοδο μεγάλου αριθμού εξειδικευμένων στελεχών στο χώρο εργασίας.
Λίγα λόγια για το (ISC)2 και το Hellenic Chapter
To International Information System Security Certification Consortium, ή (ISC)², είναι ο μεγαλύτερος οργανισμός επαγγελματιών ασφάλειας στον κόσμο, αριθμώντας περίπου 150.000 μέλη σε περισσότερες από 180 χώρες.
Από το 2015, το (ISC)2 εκπροσωπείται επίσημα και στην Ελλάδα, μέσω του αναγνωρισμένου (ISC)2 Hellenic Chapter, το οποίο αριθμεί περισσότερα από 250 μέλη, με έντονη δραστηριότητα στην εκπαίδευση και πιστοποίηση στελεχών στην ασφάλεια πληροφοριών, πολλαπλές δράσεις ενημέρωσης του ευρύτερου κοινού για αντίστοιχα ζητήματα, διοργάνωση θεματικών events για σημαντικά ζητήματα του χώρου και ευρεία υποστήριξη από την αγορά.
Τo website του (ISC)2 Hellenic Chapter είναι προσβάσιμο στη διεύθυνση www.isc2-chapter.gr και το email επικοινωνίας ειναι info@isc2-chapter.gr.