Mε το μεταβαλλόμενο οικονομικό πλαίσιο που βασίζεται όλο και περισσότερο στις πληροφορίες και τις απαραίτητες πια τεχνολογίες που αποσκοπούν στην ασφάλεια των πληροφοριών αυτών, ο τίτλος «Ειδικός Ασφάλειας Πληροφοριών» έχει γίνει λαμπερός και εξωτικός, σε τέτοιο βαθμό που έχει κινήσει την περιέργεια αρκετών για τις προϋποθέσεις, τις απαιτήσεις και τον τρόπο ζωής αυτής της κατηγορίας των επαγγελματιών.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Στα πλαίσια του παρόντος άρθρου, θα γίνει προσπάθεια να αποτυπωθούν οι διαφορετικές πτυχές ενός επαγγελματία της ασφάλειας πληροφοριών, τόσο μέσα από προσωπικές εμπειρίες, όσο και από την πλέον εικοσαετή συναναστροφή του γράφοντος με αντίστοιχους επαγγελματίες.
Η ώθηση και το κίνητρο
Με την αυξητική εξέλιξη του αριθμού και του μεγέθους των κυβερνοεπιθέσεων στο πρόσφατο παρελθόν, η Κυβερνοασφάλεια ειδικότερα, και η Ασφάλεια Πληροφοριών γενικά, βρέθηκε στο επίκεντρο, ενώ τα τελευταία χρόνια σχετικά θέματα ξεκίνησαν να συζητούνται στα τραπέζια των διοικητικών συμβουλίων των οργανισμών.
Οι σχετικές δεξιότητες άρχισαν να καθίστανται απαραίτητες και η σχετική ζήτηση εξειδικευμένων αντίστοιχων προφίλ παρουσίασε (και ακόμα παρουσιάζει) αυξητική τάση, με αποτέλεσμα να παρατηρηθεί μετατόπιση επαγγελματιών και σπουδαστών από άλλους κλάδους, στον κλάδο της ασφάλειας. Αυτονόητα, λοιπόν, η εξέλιξη αυτή δεν μπορούσε να αφήσει ανεπηρέαστη την εξέλιξη (μισθολογική και άλλη), καθώς και το στάτους του ρόλου των επαγγελματιών ασφάλειας μέσα στους οργανισμούς.
Από την άλλη, δεν είναι σπάνιο το γεγονός ότι στον χώρο συναντά κανείς ανθρώπους, φοιτητές και επαγγελματίες, που επιδεικνύουν ένα άνευ όρων πάθος για την κυβερνοασφάλεια και την ασφάλεια πληροφοριών, καθοδηγούμενο από την αγνή ικανοποίηση της ανακάλυψης μιας νέας ευπάθεια ή μιας μεθόδου παράκαμψης ενός μέτρου ασφάλειας ή της ευχαρίστησης της συμμετοχής σε ένα διαγωνισμό CTF (Capture The Flag) που συνήθως προγραμματίζεται τα Σαββατοκύριακα και διαρκεί όλη τη νύχτα.
Αφορά η Ασφάλεια Πληροφοριών αποκλειστικά την ασφάλεια των πληροφοριών; Συνήθως μιλάμε για την Κυβερνοασφάλεια και την Ασφάλεια Πληροφοριών σαν να είναι δύο ξεχωριστά πράγματα. Αν το δούμε σε επίπεδο ορισμού, η Κυβερνοασφάλεια αφορά την ασφάλεια σε τεχνολογίες: φορητοί και επιτραπέζιοι υπολογιστές, διακομιστές, κινητά τηλέφωνα, ενσωματωμένα συστήματα και πολλά άλλα. Η εστίαση είναι πράγματι στις πληροφορίες, αλλά η προϋπόθεση είναι ότι αυτές θα πρέπει να αποθηκευτούν ή να υποβληθούν σε επεξεργασία με ένα από τα παραπάνω αναφερόμενα μέσα.
Αντίθετα, η ασφάλεια των πληροφοριών εστιάζει στις πληροφορίες, ανεξάρτητα από το μέσο που χρησιμοποιείται για την αποθήκευση ή την επεξεργασία τους. Αν οι πληροφορίες αποθηκεύονται σε σκληρό δίσκο, είναι γραμμένες σε χαρτί, ή στο κεφάλι ενός υπαλλήλου, θα πρέπει, σε κάθε περίπτωση, να είναι ασφαλείς (ναι, μπορούμε να «ασφαλίσουμε» πληροφορίες μέσα στα κεφάλια των εργαζομένων, για παράδειγμα μέσω ρητρών εμπιστευτικότητας στις συμβάσεις εργασίας τους, που καλούνται NDA: Non-Disclosure Agreements / Σύμφωνα Μη Αποκάλυψης).
Μια ακόμα διαφορά είναι ότι η διαχείριση της Κυβερνοασφάλειας γίνεται σε τεχνικό επίπεδο και επίπεδο λειτουργιών του οργανισμού, ενώ η διαχείριση της ασφάλειας των πληροφοριών γίνεται σε επίπεδο διακυβέρνησης (governance), αλλά και σε διευθυντικό επίπεδο και επίπεδο λειτουργιών για ορισμένες διαδικασίες.
Εκ των ανωτέρω προκύπτει ότι, στην ερώτηση που τέθηκε παραπάνω («Αφορά η Ασφάλεια Πληροφοριών αποκλειστικά την ασφάλεια των πληροφοριών;»), η απάντηση είναι αρνητική. Πλήθος διεθνών και άλλων προτύπων και πλαισίων χρησιμεύουν ως εργαλεία διαχείρισης της ασφάλειας των πληροφοριών, αλλά σαν επαγγελματίες του χώρου πρέπει να έχουμε υπόψη μας και άλλες οπτικές, όπως νομικές, κανονιστικές, και συμβατικές απαιτήσεις, είναι απαραίτητες. Σίγουρα η Ασφάλεια Πληροφοριών σχετίζεται με πληροφορίες, αλλά όχι αποκλειστικά με την ασφάλεια των πληροφοριών. Μερικές φορές οι απαιτήσεις ασφάλειας σχετίζονται με μια συγκεκριμένη επιχειρησιακή απόφαση, ή με έναν πελάτη που επιβάλλει μια απαίτηση κατά τη διάρκεια εκτέλεσης μιας σύμβασης παροχής υπηρεσιών. Τέτοιες απαιτήσεις δεν πρέπει να εικάζονται, αλλά να ελέγχονται και να επιβάλλεται η συμμόρφωση με αυτές, ώστε να αποφεύγονται σχετικά μελλοντικά προβλήματα, είτε με πελάτες είτε με τις ελεγκτικές αρχές, όταν τα πράγματα δεν εξελίσσονται όπως θα επιθυμούσαμε.
Πως επιτυγχάνουμε το στόχο μας
Για να απαντήσουμε σε αυτήν την ερώτηση, ας ρίξουμε μια ματιά στο τι κάνει ένας επαγγελματίας Ασφάλειας Πληροφοριών σε ένα έργο εφαρμογής ή/και στο κομμάτι του ελέγχου ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (Information Security Management System – ISMS) σύμφωνα με το πρότυπο ISO/IEC 27001.
Σε αυτήν την περίπτωση, ο επαγγελματίας θα πρέπει να:
- συναντηθεί με την ανώτατη διοίκηση, τα ενδιαφερόμενα μέρη, διευθυντές, τεχνικούς και χρήστες
- κάνει παρουσιάσεις, να διαχειριστεί το έργο, να επιτύχει εγκρίσεις και σχετικό προϋπολογισμό, να εκθέσει την πρόοδο του έργου κ.λπ.
- συναντηθεί με τους υπεύθυνους διεργασιών για την εξασφάλιση της απαραίτητης τεκμηρίωσης – αυτό πολλές φορές περιλαμβάνει και διεργασίες εκτός της πληροφορικής
- διεξαγάγει συνεδρίες ευαισθητοποίησης και εκπαίδευσης για τους χρήστες
- πραγματοποιήσει αυτοέλεγχους, ανάλυση κενών ή εσωτερικούς ελέγχους
- εξασφαλίσει την παρακολούθηση των σχεδίων δράσης κ.λπ.
Η παραπάνω λίστα εργασιών, που προφανώς δεν είναι εξαντλητική, υπονοεί ότι ο επαγγελματίας Ασφάλειας Πληροφοριών πρέπει να έχει δεξιότητες ασφαλείας, κάτι που είναι φυσιολογικό, αλλά επίσης – και αυτό που οι περισσότεροι ξεχνούν – τις μη τεχνικές δεξιότητες που απαιτούνται. Πιο συγκεκριμένα, ένας επαγγελματίας στον τομέα της Ασφάλειας Πληροφοριών πρέπει:
- Να είναι καλός διαπραγματευτής, ώστε να μπορεί να πείσει τα ενδιαφερόμενα μέρη για το έργο – ή μέρη του έργου – του, για να πάρει την έγκριση και τη δέσμευσή τους.
- Να έχει καλές επικοινωνιακές δεξιότητες, ώστε να μπορεί να μεταφέρει το μήνυμα και να βεβαιωθεί για την κατανόησή του από τον συνομιλητή.
- Να είναι καλός παρουσιαστής με καλές δεξιότητες παρουσίασης, ώστε να μπορεί να παραδώσει το μήνυμα και να εξασφαλίσει την προσοχή του κοινού μέσω εξειδικευμένων τεχνικών παρουσίασης.
- Να είναι καλός εκπαιδευτής, αφού το κοινό – στις περισσότερες των περιπτώσεων – θα είναι από διάφορους τομείς και μάλλον όχι σχετικοί με την Ασφάλεια Πληροφοριών.
- Να είναι καλός διαχειριστής έργου, ώστε να εξασφαλίσει τη διεύθυνση και την ομαλή εκτέλεση των σχεδίων δράσης, καθώς και την τήρηση των προθεσμιών.
- Να έχει πολυεπίπεδες γνώσεις, απαραίτητες στην διεξαγωγή ελέγχων, όχι μόνο του ISMS αλλά και άλλων διαδικασιών, καθώς και τη διορατικότητα και τη δυνατότητα κατανόησης και επαλήθευσης της αποτελεσματικότητας όλων των διαδικασιών (εγκαταστάσεις, φυσική ασφάλεια, ανθρώπινοι πόροι κ.λπ.).
Πέρα από τις παραπάνω δεξιότητες, ένας επαγγελματίας του τομέα της Ασφάλειας Πληροφοριών θα πρέπει να έχει πραγματική εμπειρία στην ασφάλεια των πληροφοριών και πληροφορικής, κατά προτίμηση στον τομέα της κυβερνοασφάλειας, σε διάφορα έργα, για διάφορους πελάτες, διαφορετικών επιχειρηματικών τομέων, ιδανικά σε διάφορες χώρες. Διαφορετικά, θα έχει μόνο θεωρητικές δεξιότητες, οι οποίες στην πραγματικότητα δε βοηθούν όσο θα μπορούσε κανείς να νομίζει.
Διατηρώντας το επίπεδο της εξειδίκευσης. Επιλογή ή Δίλημμα;
Ορισμένες θέσεις εργασίας έχουν ελάχιστες απαιτήσεις αναφορικά με την ανάγκη ενημέρωσης και διαρκούς εκπαίδευσης των εργαζόμενων, ενώ σε κάποιες δεν υπάρχουν καν οι ελάχιστες αυτές απαιτήσεις. Η κτήση ενός πτυχίου ή ενός πιστοποιητικού είναι ικανή συνθήκη απασχόλησης. Αντίθετα, στον χώρο της Ασφάλειας Πληροφοριών και της κυβερνοασφάλειας, μια μεγάλη παύση μπορεί να μετατρέψει έναν ειδικό με 20 χρόνια εμπειρίας σε έναν απλό επαγγελματία του χώρου με ξεπερασμένες δεξιότητες.
Οι τεχνολογίες προχωρούν και αναπτύσσονται γρήγορα, φέρνοντας νέα τρωτά σημεία, νέες απειλές, τεχνικές άμυνας και, συνεπακόλουθα, νέα πλαίσια, πρότυπα, νόμους και κανονισμούς. Αυτό είναι κάτι που δυσκολεύει έναν επαγγελματία σε θέματα ασφάλειας πληροφοριών να διατηρήσει το επίπεδο της εμπειρίας και της τεχνογνωσίας του.
Το να φτάσουμε στο επόμενο επίπεδο είναι ένας άλλος αγώνας. Κοστίζει χρήματα, χρόνο και προσπάθεια για μάθηση και απόκτηση νέων δεξιοτήτων. Υπολογίζοντας την Απόδοση Επένδυσης κάθε εκπαίδευσης, απόκτησης γνώσεων ή πιστοποίησης, είναι ξεκάθαρο ότι δεν τίθεται θέμα επιλογής. Η συνεχής αναβάθμιση και εξέλιξη των δεξιοτήτων των επαγγελματιών Ασφάλειας Πληροφοριών είναι μονόδρομος.
Πώς είναι η εργασία στον τομέα της Ασφάλειας Πληροφοριών;
Υπάρχουν τρεις ρόλοι που μπορεί να έχει ένας επαγγελματίας Ασφάλειας Πληροφοριών: Υλοποιητής (ονομάζεται επίσης Σύμβουλος), Ελεγκτής (ή Αξιολογητής), ή Εκπαιδευτής.
Ως Υλοποιητής, όταν η εργασία παρέχεται για μια εταιρεία παροχής συμβουλευτικών υπηρεσιών, συνήθως υπάρχει αυξημένη εκτίμηση, καθώς αποφέρει έσοδα στην εταιρεία παρέχοντας τεχνογνωσία στους πελάτες. Αυτό ισχύει επίσης και για ρόλους Ελέγχου και Εκπαίδευσης. Μόνο που οι πελάτες πολλές φορές έχουν διαφορετική άποψη, θεωρώντας τους πόρους αυτούς υπερπληρωμένους, άρα προκύπτει η απαίτηση να προσφέρουν περισσότερα από αντίστοιχους εσωτερικούς πόρους.
Ως Ελεγκτής, πολλά εξαρτώνται από το πού προέρχεται ο ελεγκτής. Οι επιλογές διαφέρουν: μεταξύ άλλων, η πηγή του ελέγχου μπορεί να είναι μια αρχή, μια ρυθμιστική αρχή, ένας οργανισμός πιστοποίησης, ένας πελάτης που ασκεί το δικαίωμα ελέγχου, μια εταιρεία συμβούλων που διενεργεί έλεγχο ετοιμότητας ως προετοιμασία πιστοποίησης, ή ένας εσωτερικός έλεγχος. Αντίστοιχα, ο ελεγκτής έχει όλο και λιγότερη δύναμη και ανεξαρτησία. Ένας ελεγκτής που επιλέγεται από μια ρυθμιστική αρχή για τη διεξαγωγή ενός ελέγχου συμμόρφωσης, δε θα είχε αντίρρηση να στείλει μια έκθεση γεμάτη κόκκινες σημαίες, ενώ ένας εσωτερικός ελεγκτής, σε ορισμένες εταιρείες, μπορεί να σκεφτεί δύο φορές πριν αναφέρει μια μικρής σημασίας μη συμμόρφωση στην έκθεσή του, ειδικά όταν η πηγή της μη συμμόρφωσης προέρχεται από την ανώτατη διοίκηση.
Ένας καλός Εκπαιδευτής ξέρει πώς και που να κατευθύνει το μάθημα, είναι εμπειρογνώμονας και ξέρει πώς να εξηγήσει τις εμπειρίες του με τον καλύτερο τρόπο. Υπάρχουν περιπτώσεις όπου οι υποψήφιοι μπορεί να προκαλέσουν τον εκπαιδευτή, δοκιμάζοντας ίσως τις γνώσεις τους, ωστόσο, οι καταστάσεις αυτές θα πρέπει να θεωρούνται ως εύκολα διαχειρίσιμες, οι οποίες, εάν αντιμετωπιστούν με επαγγελματισμό, μπορούν να φέρουν σημαντικά αποτελέσματα προς όλες τις εμπλεκόμενες πλευρές.
Σε ορισμένες θέσεις εργασίας οι κίνδυνοι είναι φυσικοί, ενώ στην Ασφάλεια Πληροφοριών, όταν εμφανίζεται ένα σενάριο κινδύνου και δε γίνεται η διαχείρισή του όπως προβλέπεται, το πρώτο άτομο που θα ερωτηθεί σχετικά με την αστοχία είναι ο Διαχειριστής Κινδύνου.
Οι ερωτήσεις μπορεί να αποτελέσουν μαθήματα ώστε να αποφευχθεί η αστοχία στο μέλλον, μπορεί να είναι ένας ευγενικός (ή, ίσως μερικές φορές, αγενής) τρόπος να κατηγορηθεί ο επαγγελματίας για αμέλεια ή έλλειψη ικανότητας, μπορεί ακόμα να είναι και μια ευθεία κατηγορία για εκ προθέσεως απάτη ή κλοπή, όταν πρόκειται για οικονομικές συναλλαγές.
Ανάλογα με την επιχειρηματική κρισιμότητα και το πλαίσιό της (αρχές, ρυθμιστικές αρχές, πελάτες και πάροχοι), η ευθύνη ενός επαγγελματία Ασφάλειας Πληροφοριών μπορεί να ποικίλλει.
Πρέπει να έχουμε όλοι στο μυαλό μας ότι η ασφάλεια των πληροφοριών σημαίνει πάνω από όλα ευθύνη. Είναι ένα επάγγελμα που απαιτεί τεράστια σοβαρότητα, υπευθυνότητα, και επαγγελματισμό.
Ισορροπία προσωπικής και επαγγελματικής ζωής
Δεδομένου του όγκου των ειδήσεων και των αλλαγών στις τεχνολογίες, στα πρότυπα, στα πλαίσια, στους νόμους και στους κανονισμούς, οι επαγγελματίες του χώρου αναγκάζονται να περνούν συχνά άγρυπνες νύχτες μεταξύ της απόκτησης νέων γνώσεων και δεξιοτήτων και τις υπερωρίες για συναντήσεις και τήρηση προθεσμιών που σε κάποιες περιπτώσεις η επαγγελματική ζωή απαιτεί. Αυτό οδηγεί, τις περισσότερες φορές, σε χρόνο μακριά από αγαπημένα πρόσωπα, πάθη ή χόμπι που μπορεί να έχει κανείς.
Επομένως, η δυνατότητα δημιουργίας ενός ισορροπημένου προγράμματος και της σωστής διαχείρισης του χρόνου μπορεί να θεωρηθεί υψίστης σημασίας. Η επίτευξη μιας υγιούς ισορροπίας μεταξύ επαγγελματικής και προσωπικής ζωής μπορεί να χρειαστεί λίγο χρόνο και αποφασιστικότητα, αλλά είναι θεμελιώδης ως ανάγκη να τεθούν όρια για τον εαυτό σας. Μπορεί να φαίνεται λίγο σαν ταχυδακτυλουργικό κόλπο αρχικά. Παρόλα αυτά, μια καλή συμβουλή είναι η ύπαρξη ενός καθορισμένου καθημερινού προγράμματος εργασίας, εκμεταλλευόμενοι τις ώρες αιχμής της παραγωγικότητάς μας, έχοντας πάντα στο νου την σημασία της προσωπικής μας υγείας, ψυχικής και σωματικής.
Η αφιέρωση χρόνου στον εαυτό μας, τα χόμπι, τα πάθη και τα πράγματα που μας προσφέρουν χαρά εκτός της δουλειάς, είναι ζωτική για εμάς. Όσο όμορφη κι αν είναι μια πλούσια επαγγελματική καριέρα, δεν πρέπει ποτέ να ξεχάσουμε να αφιερώνουμε χρόνο για τον εαυτό μας, τους φίλους και την οικογένειά μας.