Αφορμή για τη συνέντευξη με τον Δρ. Χρήστο Δημητριάδη – Διεθνή Πρόεδρο του ISACA International – αποτέλεσε η παρουσίαση του πιστοποιητικού Cybersecurity Nexus, του πρώτου vendor-neutral, performance-based πιστοποιητικού για cybersecurity professionals που δημιούργησε ο ISACA. Μεταξύ άλλων είχαμε την ευκαιρία να συζητήσουμε και γενικότερα για τις δραστηριότητες και το συνολικό έργο που προσφέρει το Ινστιτούτο.
Κύριε Δημητριάδη, πριν λίγους μήνες εκλεχτήκατε Διεθνής Πρόεδρος του ISACA. Τι σημαίνει αυτό για εσάς προσωπικά αλλά και για την Ελληνική κοινότητα των επιστημόνων του χώρου της πληροφορικής;
Καταρχήν να θυμίσουμε, ότι ο ISACA είναι ένας διεθνής μη κερδοσκοπικός οργανισμός που απαριθμεί πάνω από 200 chapters, έχει παρουσία σε 180 χώρες και υπηρετεί περίπου 140 χιλιάδες επαγγελματίες στο τομέα της πληροφορικής. Η πρόσφατη εκλογή μου ως Διεθνής Πρόεδρος του ISACA ήρθε ως συνέχεια μιας πορείας, κατά την οποία υπηρέτησα τον οργανισμό για 3 χρόνια ως Αντιπρόεδρος και συνολικά 4 χρόνια ως μέλος του Διοικητικού Συμβουλίου. Το περιβάλλον στον οργανισμό είναι απόλυτα αξιοκρατικό και η εκλογή για κάθε θέση ευθύνης βασίζεται σε μια συνολική αξιολόγηση της δουλειάς που επιτελείται. Είναι η πρώτη φορά που κάποιο στέλεχος από την Ελλάδα εκλέγεται στη θέση του Διεθνή Προέδρου και αυτό σίγουρα είναι πολύ σημαντικό και ιδιαίτερα τιμητικό για εμένα για αυτό και στα πλαίσια αυτής της ευθύνης θα κάνω ότι μπορώ προκειμένου ο οργανισμός να αναπτυχθεί ακόμα περισσότερο και να πετύχει τους στόχους του.
Ποιες είναι λοιπόν οι βασικές κατευθύνσεις και στόχοι του οργανισμού σήμερα και γιατί ο ISACA αποτελεί ένα χρήσιμο σύμμαχο για κάθε επαγγελματία στο τομέα της Πληροφορικής ;
Αν θέλαμε να διακρίνουμε 2 βασικές κατευθύνσεις του οργανισμού για την υποστήριξη των επαγγελματιών, θα πρέπει να αναφέρουμε σίγουρα τις πιστοποιήσεις και τις εκπαιδεύσεις. Ο ISACA ως γνωστόν, έχει δημιουργήσει διεθνώς αναγνωρισμένες πιστοποιήσεις και πρότυπα και συγκεκριμένα το CISA για ΙΤ Audit, το CISM για Information Security Manager, το CGEIT για τους υπευθύνους πληροφορικής και το CRISC για τη διαχείριση ρίσκου ολιστικά. Οι πιστοποιήσεις αυτές, αναγνωρίζονται στη διεθνή αγορά εργασίας και μάλιστα τις βλέπουμε ως προαπαιτούμενα σε πολλές αγγελίες για εργασία στο χώρο της πληροφορικής, ως αποτέλεσμα της απαίτησης της αγοράς για στελέχη που θα εκπαιδεύονται και θα εξελίσσονται συνεχώς. Θα λέγαμε δηλαδή ότι οι συγκεκριμένες πιστοποιήσεις αποτελούν μεταξύ άλλων, εχέγγυο και για όσους ενδιαφέρονται να προσλάβουν επαγγελματίες στο χώρο του IT με κριτήριο την συνεχή εξέλιξη.
Αναφορικά με τις εκπαιδεύσεις που διοργανώνει ο ISACA, θα λέγαμε ότι έχουν εξίσου σημαντική βαρύτητα με τις πιστοποιήσεις και πραγματοποιούνται είτε στα πλαίσια συνεδρίων, σεμιναρίων και άλλων εκδηλώσεων που διοργανώνονται τοπικά από τα αντίστοιχα chapters του ISACA είτε και εξ’ αποστάσεως. Αξίζει επίσης να τονίσουμε ότι ο οργανισμός υιοθετεί πλήρως τη φιλοσοφία συνεχούς εκπαίδευσης, ιδιαίτερα στο cyber security μιας και οι εξελίξεις στο συγκεκριμένο τομέα τρέχουν με ταχύτατους ρυθμούς.
Είναι αλήθεια, ότι ο ISACA έχει μια μακρόχρονη ιστορική διαδρομή που ξεκινάει από το 1969. Πως λοιπόν τόσα χρόνια ο οργανισμός καταφέρνει να προσαρμόζεται στις εξελίξεις της εκάστοτε εποχής παραμένοντας χρήσιμος και αποτελεσματικός στα πλαίσια των δραστηριοτήτων του;
Το μότο του ISACA είναι “Trust In, and Value From, Information Systems”. Με αυτό, θέλουμε να αναδείξουμε το γεγονός ότι το Ινστιτούτο απευθύνεται σε επαγγελματίες που στόχο έχουν να δημιουργήσουν αξία μέσα από την πληροφορική και παράλληλα να προστατέψουν την πληροφορία, εξασφαλίζοντας ένα περιβάλλον εμπιστοσύνης στις επιχειρήσεις, στους πελάτες και τους τελικούς χρήστες. Αφετηρία του οργανισμού ήταν ένα μικρό σωματείο ελεγκτών – ΙΤ Auditors – στις ΗΠΑ που στην πορεία μετεξελίχτηκε σε ένα πρωτοπόρο και μεγάλο οργανισμό. Ο ISACA σήμερα καλύπτει πολλούς τομείς, όπως security, audit, risk management, compliance υποστηρίζοντας τη στρατηγική, τα ανταγωνιστικά πλεονεκτήματα και τη λειτουργία του τμήματος πληροφορικής οργανισμών και επιχειρήσεων. Βασικός πυλώνας της διαχρονικής πορείας του οργανισμού, είναι οι συνεχείς έρευνες που πραγματοποιεί, αξιοποιώντας ειδικούς επιστήμονες ανά το κόσμο. Χαρακτηριστικό παράδειγμα που αξίζει να αναφέρουμε, είναι η νεότερη πολύχρονη έρευνα που αφορά στο cyber security και είχε ως αποτέλεσμα τη δημιουργία του νεότερου προγράμματος του οργανισμού με το όνομα Cybersecurity Nexus (CSX).
Νομίζω ότι θα ήταν ιδιαίτερα χρήσιμο να μας αναφέρετε κάποια βασικά χαρακτηριστικά του νέου αυτού προγράμματος. Τι διαφορετικό φέρνει λοιπόν το CyberSecurity Nexus και ποια τα οφέλη που προκύπτουν αν κάποιος το αποκτήσει ;
Το νέο πρότυπο CyberSecurity Nexus, είχε αρχίσει να προδιαγράφεται από το 2010 και δημιουργήθηκε ως αποτέλεσμα πολλών μελετών, στα πλαίσια της στρατηγικής του ISACA για την ανάπτυξη ενός προγράμματος που θα προσεγγίζει το θέμα του Cybersecurity με ολιστικό τρόπο. Πρόκειται δηλαδή, για ένα ολοκληρωμένο πρόγραμμα για το Cybersecurity το οποίο παρέχει την αντίστοιχη πιστοποίηση, περιλαμβάνοντας μεταξύ άλλων εκπαιδεύσεις, μελέτες, ειδικές γνώσεις και γενικότερα όλα εκείνα τα εφόδια που απαιτούνται για την υποστήριξη και εξέλιξη μιας επαγγελματικής καριέρας σε αυτό το τομέα.
Η συγκεκριμένη πιστοποίηση διακρίνεται και διαφοροποιείται, γιατί δεν είναι απλά μια θεωρητική πιστοποίηση που λαμβάνεται έπειτα από γραπτές εξετάσεις, βάση κάποιας ύλης. Θα λέγαμε ότι είναι μια Hands-on πιστοποίηση, για την οποία ο υποψήφιος καλείται να λειτουργήσει σε ένα εικονικό περιβάλλον επιθέσεων – και ανάλογα με το επίπεδο πιστοποίησης – προσπαθεί αρχικά να λάβει προληπτικά μέτρα αντιμετώπισης των επιθέσεων αυτών και στη συνέχεια να βρει τρόπους για να ανιχνεύσει τις επιθέσεις, να αναζητήσει σε αρχεία καταγραφής το ποιος είναι ο επιτιθέμενος καθώς και τρόπους να σταματήσει την επίθεση, καλύπτοντας συνολικά ένα πλήρη κύκλο μέτρων προστασίας.
Στην ουσία μιλάμε για μια καθαρά πρακτική διαδικασία σε ένα state-of-the-art περιβάλλον, ενώ ταυτόχρονα το σύστημα παρακολουθεί τις ενέργειες του υποψηφίου προκειμένου να αξιολογήσει τον βαθμό και την πιστοποίηση που θα λάβει.
Η πιστοποίηση Cyber Security Nexus αποτελείται από 4 επιμέρους πιστοποιητικά από ένα βασικό μέχρι ένα ανώτερο επίπεδο. Περισσότερες πληροφορίες για τις διαδικασίες πιστοποίησης, μπορεί να λάβει κάποιος από το εκάστοτε τοπικό chapter αλλά και από το international site του οργανισμού www.isaca.org.
Κλείνοντας θα θέλαμε να μας πείτε λίγα πράγματα και για το framework COBIT που έχει αναπτύξει ο ISACA. Ποια ήταν η ανάγκη δημιουργίας του και πως έχει εξελιχθεί στην έκδοση 5;
Αρχικά, το COBIT κάλυψε την ανάγκη δημιουργίας ενός control framework, δηλαδή μια συνισταμένη από μέτρα ελέγχου στο τομέα πληροφορικής μιας επιχείρησης, που θα αναλύει όλες τις βαθμίδες λειτουργίας, κυρίως σε ότι αφορά τις τεχνολογικές υποδομές πληροφορικής. Το COBIT λοιπόν, αποτέλεσε διαχρονικά βασικό εργαλείο ελέγχου και για τις ελεγκτικές εταιρίες. Σήμερα, το COBIT βρίσκεται στην έκδοση 5 και εκτός από τις παραπάνω απαιτήσεις καλύπτει σε μεγάλο βαθμό την απαίτηση του governance, δηλαδή, το πώς η πληροφορία και η πληροφορική γενικότερα μπορεί να οργανωθεί με τέτοιο τρόπο ώστε να δώσει περισσότερα ανταγωνιστικά πλεονεκτήματα σε ένα οργανισμό ή εταιρία. Να βοηθήσει δηλαδή την εταιρία να πετύχει τους στόχους της.
Συνέντευξη με τον Χρήστο Δημητριάδη,
Ph.D., CISA, CISM, CRISC,
Group Director of Information Security, INTRALOT
International President, ISACA