Για τις σημαντικές προκλήσεις που αντιμετωπίζει σήμερα ο τομέας της ασφάλειας πληροφοριών καθώς και για τις δράσεις που αναπτύσσει το ISC2 Hellenic Chapter για την αντιμετώπιση αυτών, παραθέτοντας παράλληλα στοιχεία από ενδιαφέρουσες έρευνες που έχουν πραγματοποιηθεί πρόσφατα, μας μίλησε η Κωνσταντίνα Συντίλα – Γραμματέας του Δ.Σ του ISC2 Hellenic Chapter – στη συνέντευξη που μας παραχώρησε.

Συνέντευξη με την Κωνσταντίνα Συντίλα

Secretary, Board of Directors Member, ISC2 Hellenic Chapter

 

 

 

 

 

Ποιες είναι οι προκλήσεις που αντιμετωπίζει ο τομέας της Ασφάλειας Πληροφοριών σύμφωνα της εμπειρία σας μέσα από την εμπλοκή σας στο ISC2 Hellenic Chapter;

Κατά την διάρκεια του 2023 παρατηρήθηκε βάσει ερευνών ότι οι τέσσερις κύριες προκλήσεις που αντιμετωπίζει ο κλάδος της Ασφάλειας Πληροφοριών είναι:

Πρώτον, η έλλειψη εξειδικευμένων στελεχών κυβερνοασφάλειας. Σε παγκόσμιο επίπεδο εκτιμάται σε 4 εκ. επαγγελματίες και το κενό αυξάνει πιο γρήγορα από την διάθεση επαγγελματιών κυβερνοασφάλειας στον χώρο.

Δεύτερον, η ανάγκη διαρκούς επιμόρφωσης των επαγγελματιών ασφάλειας ώστε οι οργανισμοί, επιχειρήσεις και κυβερνήσεις να μπορούν να ανταπεξέλθουν στην αύξηση της πολυπλοκότητας των κυβερνοεπιθέσεων. Οι επαγγελματίες ασφάλειας πρέπει να αποκτήσουν νέες δεξιότητες λόγω της έλευσης της τεχνητής νοημοσύνης, της υιοθέτησης του Cloud καθώς και των νέων ρυθμιστικών πλαισίων ανά κλάδο.

Τρίτον, η έλλειψη σύνδεσης των νέων και των εν δυνάμει επαγγελματιών ασφάλειας με την κοινότητα και την αγορά. Η είσοδος στο χώρο της κυβερνοασφάλειας αποτελεί, σύμφωνα με έρευνες, ένα ιδιαίτερα πολύπλοκο ζήτημα, καθώς ο χώρος χαρακτηρίζεται από εσωστρέφεια, καθώς και από έλλειψη πληροφόρησης (awareness) και καθοδήγησης (mentoring).

Και τέταρτον, η έλλειψη Κουλτούρας Ασφάλειας στους οργανισμούς-επιχειρήσεις, στις ηλικίες 4-18 (και τους γονείς αυτών) καθώς και στις ηλικίες 60+, με αποτέλεσμα την ελλιπή επιμόρφωση των ηλικιακών ομάδων, που τις κάνει περισσότερο ευάλωτες σε κυβερνοαπειλές και επιθέσεις κοινωνικής μηχανικής.

 

Ποιες είναι οι δράσεις του ελληνικού παραρτήματος ISC2 αναφορικά με τις προκλήσεις που αναφέρατε;

Το ελληνικό παράρτημα ISC2 συνολικά από την ίδρυσή του έως σήμερα έχει λάβει δράσεις στους κάτωθι πυλώνες, που στοχεύουν στην αντιμετώπιση των προκλήσεων που προαναφέρθηκαν.

Δράσεις για τα μέλη με στόχο τη δια βίου ενημέρωση και εκπαίδευση των μελών καθώς και την επαγγελματική τους εξέλιξη. Παραδείγματα αυτών των δράσεων είναι

  • Διοργάνωση θεματικών συναντήσεων ανάμεσα στα μέλη μας, με τη συμβολή καταξιωμένων στελεχών του χώρου, εθνικών και διεθνών αρχών καθώς και εκπροσώπων διεθνών οργανισμών
  • Δυνατότητες προβολής των μελών μας με στόχο της επαγγελματικής τους εξέλιξης μέσω συμμετοχής τους με ομιλίες σε συνέδρια και συγγραφής άρθρων.
  • Ευκαιρίες δικτύωσης των μελών (networking) με εξειδικευμένα στελέχη του χώρου στις συναντήσεις του Παραρτήματος και σύνδεση με την βιομηχανία (χορηγίες) 

Δράσεις για την ευρύτερη κοινότητα επαγγελματιών ασφάλειας και των εν δυνάμει επαγγελματιών ασφάλειας

  • Προσφορά διαπιστευμένων εκπαιδευτών για την gold-standard πιστοποίηση Ασφάλειας Πληροφοριών CISSP και τις πιστοποιήσεις Cloud Security (CCSP), Software Development Security (CSSLP) καθώς και της εισαγωγικής πιστοποίησης Certified in CyberSecurity (CC), δημιουργώντας τα πλέον αναγνωρισμένα στελέχη του χώρου και παρέχοντας συνεχή εξειδίκευση σε αυτά τα στελέχη. Η πιστοποίηση CC είναι εισαγωγική και δημιουργήθηκε από τον οργανισμό ISC2 τον τελευταίο χρόνο ως στρατηγική απάντηση στην έλλειψη ταλέντων, παρέχοντας ένα τρόπο εισόδου στον κλάδο της κυβερνοασφάλειας. Η πιστοποίηση ISC2 CC δεν απαιτεί προηγούμενη εμπειρία ή επίσημη εκπαίδευση στην Ασφάλεια Πληροφοριών. Έχει σχεδιαστεί για να είναι χωρίς αποκλεισμούς, καλωσορίζοντας ένα ευρύ φάσμα υποψηφίων – από επαγγελματίες πληροφορικής και φοιτητές έως άτομα που αλλάζουν καριέρα και στελέχη που αναζητούν βασικές γνώσεις. Αυτή η προσέγγιση διευρύνει σημαντικά τη δεξαμενή δυνητικών ταλέντων στην ασφάλεια στον κυβερνοχώρο.
  • Μετάφραση του προτύπου NIST CyberSecurity Framework v1.1 από καταξιωμένα στελέχη και μέλη του παραρτήματος διευκολύνοντας την εξάπλωση της χρήσης τους σε ελληνικές εταιρείες.
  • Συμμετέχουμε τα τελευταία 2 χρόνια σε τουλάχιστον 15 εθνικά συνέδρια ετησίως με ομιλία ή συμμετοχή σε πάνελ,. Ο σκοπός αυτής της συμμετοχής είναι η δημόσια κατάθεση εμπειριών και τεχνογνωσίας των μελών μας μέσα από άρθρα σε περιοδικά και παρουσιάσεις σε σχετικά συνέδρια, με στόχο να δώσουμε τη δυνατότητα σε όλους τους επαγγελματίες να καρπωθούν τη συλλογική εμπειρία και τεχνογνωσία που διαθέτει το ISC2 Hellenic Chapter, σε μια σειρά από επίκαιρα θέματα τις κυβερνοασφάλειας, όπως: Ασφάλεια στο Cloud, Social Engineering, Resilience, Digital Forensics, αποτελεσματική επικοινωνία των CISO με ΔΣ, CyberSecurity Trends, Ασφάλεια Ηλεκτρονικών Πληρωμών , Ασφάλεια Εφοδιαστικής Αλυσίδας, νέα κανονιστικά πλαίσια, Ιδιωτικότητα Δεδομένων.
  • Φιλοξενία και συνεργασία με άλλες κοινότητες του χώρου  

Δράσεις για την ευρύτερη κοινότητα με σκοπό να απευθυνθούμε στο ευρύτερο κοινό και να ενθαρρύνουμε τη δημιουργία μιας κουλτούρας ασφάλειας καθώς και τις απαραίτητες συνέργειες όπως:

  • Φυσικές και διαδικτυακές εκπαιδεύσεις ενημέρωσης (cyber awareness) σε σχολεία σε όλη την Ελλάδα που παραδίδονται εθελοντικά από τα μέλη του σωματείου, χωρίς κόστος. Oι εκπαιδευόμενοι λαμβάνουν στο τέλος πρόσθετο υλικό που περιλαμβάνει χρήσιμους συνδέσμους και πληροφορίες για περαιτέρω εμβάθυνση.
  • Ενημέρωση του ευρύτερου κοινού (γονείς, εκπαιδευτικούς) με φυσικές διοργανώσεις για τους κινδύνους και τα μέτρα προστασίας από την χρήση του διαδικτύου.
  • Προώθηση των animations για αύξηση επιπέδου ευαισθητοποίησης παιδιών και γονέων που δημιουργήσαμε το 2022 για το ευρύ κοινό (συμπαραγωγή με άλλους δύο φορείς). 

Πως έχει εξελιχθεί το ISC2 Hellenic Chapter τα τελευταία χρόνια;

Το ελληνικό παράρτημα έχει αναγνωριστεί τα τελευταία χρόνια σε εθνικό και διεθνές επίπεδο έχοντας λάβει τα παρακάτω βραβεία.

  1. Global Achievement Award, ISC2, 2022
  2. Bronze Awareness Award, Cybersecurityawards.gr, 2022
  3. Gold Awareness Award, Cybersecurityawards.gr, 2023
  4. Gold Team & Leadership Award, Cybersecurityawards.gr, 2023
  5. Gold Team & Leadership Award, Cybersecurityawards.gr, 2024

Η αναγνώριση αυτή ήταν αποτέλεσμα της αύξησης των δράσεων που προανέφερα και που συντονίζονται από τα μέλη του Board αλλά κυρίως αποτέλεσμα της συνεχόμενης και ενεργούς εθελοντικής συμμετοχής της κοινότητας των μελών του ISC2 Hellenic Chapter.

Κάποιοι ενδεικτικοί δείκτες μέτρησης της αποτελεσματικότητας των παραπάνω δράσεων είναι οι παρακάτω.

  • Εκπαιδεύσαμε εντός του 2023 (μέχρι το φθινόπωρο) 39 στελέχη, με στόχο την απόκτηση των επαγγελματικών πιστοποιήσεων CISSP, CCSP.
  • Συμβάλλαμε στην διάδοση της εισαγωγικής επαγγελματικής πιστοποίησης CC και την συνεπαγόμενη πιστοποίηση 90 περίπου νεοεισερχόμενων (στον τομέα της Ασφάλειας) στελεχών.
  • Αυξήσαμε τη σύνδεσης με την αγορά εργασίας και την εμπιστοσύνη της βιομηχανίας σε σχέση με το περασμένο έτος, η οποία αποτυπώθηκε ως αύξηση 16% σε νέους εταιρικούς χορηγούς που μας εμπιστεύθηκαν
  • Περισσότερες από 10.000 θεάσεις του πρότυπου οπτικοακουστικού υλικού (awareness animations για το ευρύ κοινό) στο YouTube1
  • Δημιουργήσαμε τη μεγαλύτερη κοινότητα και δίκτυο επαγγελματιών ασφάλειας στη χώρα και την ευρύτερη περιοχή (μέλη social media, και μέλη παραρτήματος)

Αναφορικά με την πρόκληση της έλλειψης αρκετών επαγγελματιών ασφάλειας καθώς και του κενού δεξιοτήτων skill gap ποιες είναι κάποιες κατευθύνσεις που μπορούν να βοηθήσουν στην μείωση του αυτού του κενού;

Σύμφωνα με την έρευνα εργατικού δυναμικού του ISC2 φαίνεται ότι τα κενά δεξιοτήτων απασχολούν περισσότερο τους οργανισμούς σε σχέση με την έλλειψη προσωπικού. Πιο συγκεκριμένα το 67% των ερωτηθέντων ανέφερε ότι ο οργανισμός τους έχει έλλειψη επαγγελματιών κυβερνοσφάλειας για την πρόληψη και την αντιμετώπιση προβλημάτων ασφάλειας ενώ 92% αναφέρουν ότι έχουν κενά δεξιοτήτων στον οργανισμό τους. Κενό υπάρχει σε δεξιότητες ασφάλειας για περιβάλλοντα Cloud, την τεχνητή νοημοσύνη και την εφαρμογή αρχιτεκτονικής Μηδενικής Εμπιστοσύνης.

Μέσα από την ίδια έρευνα φάνηκε ότι οι οργανισμοί που επιδιώκουν να καλλιεργήσουν μια εξειδικευμένη ομάδα κυβερνοασφάλειας θα πρέπει αναζητήσουν επαγγελματίες με πιο ανοικτές πρακτικές πρόσληψης. Η προσέλκυση περισσότερων γυναικών μπορεί να συμβάλει στην αντιμετώπιση της έλλειψης εργατικού δυναμικού μεταξύ άλλων και βρίσκεται στην 3η θέση αναφορικά με το τι σκέφτονται να κάνουν οι οργανισμοί για να μειώσουν το χάσμα.

Πηγή: ISC2 CYBERSECURITY WORKFORCE STUDY 2023

 

Μπορείτε να μοιραστείτε κάποια από τα ευρήματα της έρευνας εργατικού δυναμικού του 2023 ISC2 Cyber Security αναφορικά με το ποσοστό των γυναικών επαγγελματιών κυβερνοασφάλειας στο χώρο και το πως μπορεί αυτό το ποσοστό να αυξηθεί

Ενδεικτικά να αναφέρω ότι στην έρευνα εργατικού δυναμικού του 2023 ISC2 Cybersecurity συμμετείχαν παγκοσμίως, 14.865 άτομα και από αυτό το νούμερο 17% των ερωτηθέντων ήταν γυναίκες. Το ISC2 έχει υπολογίσει ότι το ποσοστό των γυναικών στον κλάδο είναι πιθανό να κυμαίνεται από 20% έως 25%.

Σύμφωνα την έρευνα του ISC2 αναμένεται ότι αυτό το ποσοστό θα μετατοπιστεί υψηλότερα όσο περισσότεροι νέοι εισέρχονται στο επάγγελμα. Η εκπροσώπηση των γυναικών ήταν μεγαλύτερη όσο μειώνεται η ηλικία σε ποσοστό 26% για ηλικίες κάτω των 30

Άλλα ενδιαφέροντα ευρήματα της έρευνας που μπορούν να λάβουν υπόψη τους επιχειρήσεις που θέλουν να αυξήσουν τα ποσοστά γυναικών στις ομάδες ασφάλειας είναι τα παρακάτω:

  • Οι γυναίκες προτιμούν να εργάζονται σε ομάδες που έχουν ήδη ένα καλό ποσοστό γυναικών στη σύνθεση τους
  • Η συμμετοχή γυναικών στις αποφάσεις πρόσληψης συμμετέχουν στην αύξηση ποσοστού γυναικών στις ομάδες κυβερνοασφάλειας.
  • Οι γυναίκες επαγγελματίες της κυβερνοασφάλειας συνεχίζουν να αγωνίζονται για να επιτύχουν ίδιους μισθούς με τους άντρες, ένα ζήτημα που δεν είναι μοναδικό στον κλάδο.

Από την εμπειρία μου τόσο μέσω της εμπλοκής στο ISC2 Hellenic Chapter, όσο και μέσω της επαγγελματικής μου ιδιότητας, η ύπαρξη μίας στρατηγικής DEI (diversity, equity, and inclusion) στον οργανισμό συμβάλει θετικά ώστε να αυξηθούν τα ποσοστά γυναικών σε έναν οργανισμό. Επιπλέον μια επιτυχημένη στρατηγική DEI απαιτεί δέσμευση και συμμετοχή από όλα τα επίπεδα του οργανισμού, από την ηγεσία έως τους μεμονωμένους υπαλλήλους-μέλη.

Που βρίσκεται το ISC2 Hellenic Chapter αναφορικά με τo επίπεδο Διαφορετικότητας & Συμπερίληψης (DEI) και την συμμετοχή γυναικών;

Το ISC2 Hellenic Chapter χαρακτηρίζεται από ποικιλομορφία στη σύνθεση των 400 μελών του αλλά και στη σύνθεση του Διοικητικού Συμβουλίου του, που αποτελείται πλέον κατά 28% από γυναίκες επαγγελματίες του χώρου.

Κοινωνιολογικές μελέτες αποδεικνύουν2 ότι η ποικιλομορφία στην ομάδα συνεπάγεται καλύτερες αποφάσεις λόγω δραστικής μείωσης της γνωστικής πλάνης (groupthink) και συντελεί στη δημιουργία αποτελεσματικότερων ομάδων. Αυτή η ποικιλομορφία οδήγησε το ISC2 Hellenic Chapter στην διεθνώς επιτυχημένη πορεία του όλα τα τελευταία έτη, ή το υψηλό επίπεδο ωριμότητας στελεχών του ISC2 Hellenic Chapter οδήγησε στην υιοθέτηση πρακτικών ποικιλομορφίας στη στελέχωση του Διοικητικού Συμβουλίου του; Προσκαλούμε τους επαγγελματίες, όταν εγγραφούν ως Μέλη του ISC2 Hellenic Chapter και παρευρεθούν στις συναντήσεις που διοργανώνουμε κάθε 45 ημέρες, να καταλήξουν στο συμπέρασμα ιδίοις όμμασι.

  1. https://isc2-chapter.gr/public-awareness/
  2. https://sloanreview.mit.edu/article/the-trouble-with-homogeneous-teams/