BEZBEDNOST-IT-SISTEMA-–-KAKO-NAĆI-OPTIMALNO-REŠENJE

BEZBEDNOST IT SISTEMA – KAKO NAĆI OPTIMALNO REŠENJE

Činjenica je da firmama hronično nedostaje stručno IT osoblje. Preduzeća mogu kupiti alate, tehnologije i usluge, ali je najteže pronaći ljude koji njima mogu da upravljaju. Kako naći optimalno rešenje?

 

Autor: Saša Tričković

 

Bezbednost IT sistema je različita od bilo koje druge teme u računarstvu. Ako su informacione tehnologije (IT) jedan od stubova svake savremene kompanije, onda je samim tim ulaganje u bezbednost ovih sistema dobra investicija, a nikako trošak. To ne podrazumeva samo kupovinu uređaja ili usluga u ovoj sferi – jer najvažniji aspekt ulaganja u sigurnost predstavlja dobar odabir i angažovanje stručnjaka za bezbednost IT sistema.

Potreba za angažovanjem specijalizovanih stručnjaka dolazi zbog porasta broja pretnji po IT sisteme. Svaka od pretnji po IT sistem može dovesti do krađe, kompromitovanja ili gubitka podataka – a svaki od ovih incidenata može se okarakterisati kao cyber zločin. Cyber zločin je svako nezakonito ponašanje usmereno na sigurnost računarskih sistema i podataka.

Efikasna odbrana od cyber pretnji jedan je od ključnih stubova uspešnog biznisa, a problemi sa bezbednošću IT sistema ne predstavljaju više tehnički IT problem, već ozbiljan poslovni izazov. Nedostatak kvalifikovanih stručnjaka za IT bezbednost nije nova tema. Globalno istraživanje Centra za strateške i međunarodne studije pokazuju veoma zabrinjavajuće podatke. Procena je da će do kraja 2019. godine u oblasti bezbednosti IT sistema nedostajati jedan do dva miliona stručnjaka. Samo u 2015. godini, u SAD ostalo je nepopunjeno 209.000 radnih mesta u ovoj oblasti. Istraživanja su sprovedena u zemljama u kojima su informacione tehnologije veoma razvijene – Nemačka, Izrael, Japan, Meksiko, Ujedinjeno Kraljevstvo i Sjedinjene Američke Države.

Sedamdeset jedan procenat ispitanih subjekata kaže da nedostatak IT stručnjaka za bezbednost uzrokuje direktnu štetu merljivu u procentima: 25% organizacija je iskusilo gubitak podataka, 33% tvrdi da je bilo meta hakerskih napada zbog slabih tačaka u svom sistemu, a 22% je ugrozilo svoju reputaciju zbog hakerskih napada.

Pošto je nedostatak stručnjaka iz oblasti bezbednosti IT sistema ključni problem, postavlja se pitanje kako uopšte prepoznati i na koji način privući i zaposliti IT inženjera takvog profila. Da bi dobile najbolje stručnjake, firme-poslodavci moraju da naprave dobru strategiju zapošljavanja. Dobra polazna osnova bi bila da se pre oglašavanja što detaljnije opiše radno mesto i očekivanja koja se od potencijalnog stručnjaka traže.

Mnogo puta, pri definisanju radnog mesta, ne misli se o tome kako potencijalni kandidati vide pruženu priliku. Očekivanja kompanije se obično ne ispune pri zaključenju konkursa. Često je opis posla taj koji dovodi do toga da se kandidati osećaju nedovoljno kvalifikovani, ili ne očekuju da na ponuđenoj poziciji dosegnu dovoljan nivo iskustva. Ovakvo viđenje stvari izlaže ekspert Kelly Sheridan u svojoj analizi istog problema (Dark Reading).

Posedovanje sertifikata preporučuje kandidata kao kvalifikovanog za posao, ali sve zavisi od toga šta je potrebno. Neki sertifikati su se vremenom pokazali kao dobar pokazatelj znanja i veština onoga koji ih poseduje. Stručnjaci sa CISSP i CISM sertifikatima su uvažavani i visoko kvalifikovani, tako da bi svaka kompanija koja ima ozbiljniji IT sektor trebalo da se trudi da ih angažuje.

Ukoliko niste do kraja sigurni šta želite, odnosno kakve mere budući stručnjak za IT bezbednost treba da primenjuje na vašim IT sistemima, biće vam potreban stručni savet koji se može dobiti u nekoj partnerskoj kompaniji ili većoj firmi koja nalikuje vašoj. Ukoliko ovo nije dovoljno – a najverovatnije neće biti – stručni savet možete dobiti u formi konsultantskih usluga. Konsultacije mogu biti informativnog ili anketnog tipa, uz neki osnovni obilazak opreme ili skeniranje sigurnosnih procedura. To može biti dobra polazna osnova za definisanje potrebnih izmena – i što je važnije, potrebnog profila stručnjaka koji treba da se bavi bezbednošću vašeg sistema.

Ono što bi dalo detaljniju sliku trenutne situacije u Vašem sistemu, je procena sigurnosti Vašeg kompjuterskog sistema ili mreže, takozvani „penetration testing“. Pojam “penetration testing” ili “pentest” predstavlja metod procene sigurnosti kompjuterskog sistema ili mreže metodom simuliranja napada od strane nekog zlonamernog korisnika, koji ne poseduje bilo kakav ovlašćeni pristup testiranim sistemima ili zlonamernih insajdera koji imaju određeni stepen ovlašćenog pristupa. Ovom temom pozabavićemo se posebnom prilikom.

Rezultati ovakvog testiranja mogu dati uvid u pravo stanje stvari. Dobićete rezultate koji pokazuju slabosti vašeg sistema – pa će Vam tako biti lakše da izvršite potrebne promene, ili nabavite odgovarajući hardver. Prvi potez posle dobijanja rezultata ne bi trebalo da bude samo ispravljanje grešaka, obezbeđivanje sistema ili nabavka hardvera. Veoma pametan potez bio bi angažovanje stručnjaka koji će nastaviti da radi na sigurnosti vašeg sistema. Jer sigurnost je proces, a ne proizvod. Logičan zaključak koji sledi je da Vam je potreban stručnjak sa sertifikatima ili sa opsežnim iskustvom.

Ali pošto takvi stručnjaci najverovatnije već imaju posao, a vaša firma ne može da im ponudi veću platu da bi prešli kod vas, šta raditi u tom slučaju? Na vama je da nađete manje iskusnog kandidata koji će brzo dostići nivo znanja koji vama treba. U redu, ali kako da budete sigurni da je to baš taj čovek? Testirajte njegovu odlučnost da radi to za šta se prijavio, ustanovite da li je spreman na izazove, da li poseduje stav da se nikad ne odustaje i što je najvažnije da je spreman da uči.

Jedan od veoma motivišućih faktora može biti taj da mu ponudite plaćenu obuku „Offensive Security“ kurseva. U našoj zemlji postoji dosta ljudi koji bi hteli da se bave ovim poslom, pa se kao pametan potez može pokazati odlučnost da se nekom manje iskusnom inženjeru ukaže prilika da uz potpuno poverenje i plaćanje za dodatnu obuku, dosegnu veštine koje su vama potrebne. Sa druge strane, ukoliko pronađete kandidata sa velikim iskustvom i sertifikatima – budite spremni da njegove usluge dobro platite.

Činjenica je da firmama hronično nedostaje stručno IT osoblje. Preduzeća mogu kupiti alate, tehnologije i usluge, ali je najteže pronaći ljude koji njima mogu da upravljaju. Zbog toga treba razmotriti mogućnost „outsourcing“ rešenja za bezbednost Vaših sistema. „Outsourcing“ je saradnja firme ili institucije po ugovoru sa pojedincima ili firmama koje se angažuju za određenu uslugu. „Outsourcing“ u sferi bezbednosti IT sistema bi značio da brigu o bezbenosti vašeg sistema prepustite drugoj firmi ili pojedincu. Uprkos potencijalu da vas ta usluga košta puno manje od direktnog angažovanja sopstvenog IT inženjera, potencijalni rizici „outsourcinga“ su značajni. Zbog toga oprezne kompanije izbegavaju ovu varijantu rešenja.

Prema istraživanju organizacije The Corporate IT Forum, samo 5% anketiranih subjekata kaže da je primenilo „outsourcing“ rešenje za bezbednost svojih sistema, dok 48% kaže da nikada to ne bi učinilo (Warwick – Ashford).

Ukoliko bi stvari posmatrali iz ugla vrednosti, odnosno procene troškova, odgovor ne bi bio jednostavan. Za neke kompanije cena bezbednosti IT sistema je odlučujući faktor za biranje rešenja. U tom slučaju se „outsource“ rešenje nameće kao realna mogućnost. Ali, ukoliko je bezbednost vaših informacija i podataka ključni faktor, a pored toga ne želite da dopustite ni najmanju mogućnost odliva informacija – rešenje je u zapošljavanju sopstvenog IT inženjera.

U svakom slučaju, za koju god varijantu se jedna firma odlučila – dobijene rezultate je jednostavno proveriti. Posle godinu ili dve dana od primene jednog od dva moguća rešenja, potrebno je izvršiti testiranje bezbednosti Vašeg sistema („penetesting“). Jedino tako možete proveriti da li ste na pravom putu.

Ostavite odgovor