Zanimanje „menadžer informacijske sigurnosti“ je u zadnjih nekoliko godina postalo u svijetu jedno od izuzetno važnih i traženih zanimanja i svakim danom postaje sve više. Razlog za to leži u činjenici da se stalno povećava svijest vodećih ljudi u firmama o potrebi uspostavljanja organiziranog sustavnog pristupa upravljanju informacijskom sigurnošću, a i nacionalna zakonodavstva postaju po tom pitanju sve eksplicitnija. Kako u pravilu visoko obrazovne institucije ne školuju ciljano takav profil, već eventualno daju jedan kolegij unutar nekog studija objektivno postoji „glad“ za takvim kadrom koje je profesionalno usmjereno na to područje. Kolika je ta „glad“ i potreba za ovim profilom stručnjaka je direktno u vezi sa sviješću i znanjem vrhovne uprave o potrebi i značenju rješavanja problema informacijske sigurnosti, a time onda i potreba za menadžerskim kadrom koji bi upravljao u organizacijama tim poslovima. Može se reći, ako je organizacija srednja ili velika, a nema formalno dio ili puno radno vrijeme menadžera informacijske sigurnosti, onda vrhovna uprava ima ozbiljnih nedostataka u smislu poimanja važnosti i značaja informacijske sigurnosti.

Nekoliko činjenica o informacijskom sustavu i njegovoj sigurnosti

Prije bilo kakvog daljnjeg prikaza zanimanja menadžera informacijske sigurnosti treba istaknuti: informacijska sigurnost nije IT sigurnost, odnosno informacijski sustav (IS) nije IT sustav. To su dvije različite stvari. U svakom slučaju IT sustav je dio (podskup) mnogo šireg informacijskog sustava.

Ako se usporede IT i informacijski sustav može se uočiti značajna razlika između njih. IT se bavi problemima podataka i to isključivo vezano za kompjutorske sustave, a IS se bavi problemima informacija i to nevažno o mediju (kompjuteri, papir, u glavama zaposlenika, itd.). Podatak je niz znakova, a informacija je pridodano značenje (kontekst) tom nizu znakova. Npr. broj (podatak) 7910 je potpuno relevantan za IT i tu nije bitno što je taj broj. Međutim za IS je ključno pitanje: što predstavlja taj broj (podatak): da li je to prva kozmička brzina, profit organizacije, PIN kreditne kartice? U zavisnosti od značenja tog podatka, informacijski sustav u okviru pitanja sigurnosti automatski zahtjeva način ponašanja cijelog sustava i svih sudionika u odnosu na tu informaciju. To se ostvaruje kroz postupak klasifikacije informacija, koji je jedan od nepoznatih pojmova u IT. Takvih razlika ima još mnogo, koje ne dozvoljavaju poistovjećivanje IS i IT.

Informacijski sustav se može definirati kao skup resursa, pravila i organizacionih rješenja koji su namijenjeni za generiranje, prijenos, čuvanje i obradu informacija. U skladu s normom ISO/IEC 27001:2005 koja definira zahtjeve za sustav za upravljanje informacijskom sigurnošću (ISMS), za neki informacijski sustav se može reći da je siguran ako je u stanju sačuvati tri ključne značajke informacije: tajnost, cjelovitost i dostupnost. Prema engleskim nazivima za ove značajke informacije često koristi akronim C-I-A (Confidentiality, Integrity, Aavailability).

Prema aneksu A norme ISO/IEC 27001:2005 postoji 11 područja informacijske sigurnosti. To su:

1. Politika sigurnosti,
2. Organizacija informacijske sigurnosti,
3. Upravljanje imovinom,
4. Sigurnost ljudskog potencijala,
5. Fizička sigurnost i sigurnost okruženja,
6. Upravljanje komunikacijama i operacijama,
7. Kontrola pristupa,
8. Nabava, razvoj i održavanje informacijskih sustava
9. Upravljanje sigurnosnim incidentom
10. Upravljanje kontinuitetom poslovanja
11. Sukladnost

Aktivnosti menadžera informacijske sigurnosti

EOQ (European Organization for Quality) je organizacija koja se bavi objavljivanjem niza međunarodnih normi, pa tako i norme ISO/IEC 27001:2005. Pored toga, EOQ definira i određena zanimanja koja se bave cijelim životnim ciklusom svake norme, kao što su npr. menadžeri, auditori, tehničari, specijalisti, itd.  Kada se govori o području informacijske sigurnosti, jedno od ključnih zanimanje: menadžer informacijske sigurnosti. Prema definiciji EOQ-a:

„Menadžer informacijske sigurnosti (EOQ ISMS Menadžer) je osposobljen za  implementaciju, održavanje i poboljšanje sustava upravljanja informacijskom sigurnošću koji zadovoljavaju uvjete bez obzira na veličinu i djelatnost kompanije, te da kao predstavnik rukovodstva i zahtjeva kupaca bude promotor svijesti o informacijskoj sigurnosti u cijeloj organizaciji“.

Ova kratka definicija menadžera informacijske sigurnosti u potpunosti oslikava koje poslove on treba da radi, te za što je odgovoran.

Pored gore navedenog, EOQ definira način školovanja, vrste, količinu i kvalitetu znanja i vještina koje mora imati EOQ menadžer informacijske sigurnosti. To EOQ određuje dokumentom koji se zove „EOQ Personnel Registration Scheme (ISMS MANAGER and ISMS AUDITOR) RULES & HANDBOOK“. Ovaj dokument se odnosi dijelom na menadžera ISMS, a dijelom na auditora ISMS koji se međusobno potpuno razlikuju po obrazovanju i poslovima koje rade.

Da bi mogao uspješno provesti sve aktivnosti menadžer informacijske sigurnosti bi trebao baratati sa slijedećim normama: ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27011, ISO/IEC TR 18044, BS 25999-1, BS 25999-2, BS 25777, ISO 9001, ISO 10007, ISO 10012, ISO 10013, ISO 10015, ISO 10017. Za razliku od menadžera informacijske sigurnosti, auditor za ISMS smije koristiti samo ISO 27001, a dobro mu dođe i ISO 19011. Ostale norme koje pripadaju menadžeru ISMS su nedopustive u auditu za auditora.

Preduvjeti za zanimanje menadžera informacijske sigurnosti

Prema navedenoj EOQ shemi za osobno certificiranje ljudi, definirani su neki preduvjeti koje se treba ispuniti da bi kandidat u opće i mogao pristupiti svojoj certifikaciji – završnom ispitu (ne školovanju). Ti preduvjeti se mogu prikazati kroz slijedeće: kandidati za EOQ ISMS menadžera moraju imati visoku stručnu spremu ili ekvivalent koji se odnosi na njihovo području zapošljavanja. Kako u raznim državama ima razlika u pogledu stupnjevanja obrazovanja, onda je EOQPRU agent preko kojega se osiguravaju certifikati odgovoran za eventualnu definiciju potrebnog stupnja obrazovanja u nekoj državi.
Prije kvalificiranja nekoga kao EOQ ISMS menadžera, kandidati trebaju imati odgovarajuću praktičnu obuku i radno iskustvo od najmanje dvije godine. Neki primjeri područja radnog iskustva koja su prihvatljiva kao preduvjet za menadžera informacijske sigurnosti su:

• informacijska tehnologija i informacijski sustavi
• znanost
• projektiranje i razvoj
• inženjerstvo
• operacije
• održavanje
• poslovni uprava

Poznati svjetski guru za informacijsku sigurnost Alan Calder kaže: „Menadžer informacijske sigurnosti može biti čak i stručnjak za IT. On će biti bolji što se manje bavi tehnologijom IT-a.“

Osim toga, oni bi trebali imati barem dvije godine radnog iskustva u području ISMS.
Uz ove preduvjete vezane za prethodno obrazovanje, kandidati prema shemi moraju imati i neke osobne atribute, kao: EOQ ISMS menadžeri bi trebao biti otvoren, iskren, odan, vješt i spreman prihvatiti i naučiti nove tehnike i nove tehnologije. Oni bi trebali imati menadžerske sposobnosti, pokazati sposobnost za rad u timovima i moraju biti svjesni značenja i veličine troškova vezanih za realizaciju projekata. Kandidat treba dati pisane dokaze o obrazovanju, praktičnom iskustvu i stručnim znanjima i vještinama.

Na slici je prikazana blok shema obrazovanja za EOQ menadžera i auditora ISMS prema EOQ registracijskoj shemi osoba.

Sa slike se može vidjeti da školovanje za EOQ menadžera informacijske sigurnosti mora biti cca 100 sati, pa se nakon položenog ispita stječe osobni certifikat priznat u svim zemljama svijeta koje prihvaćaju EOQ. To je trenutno preko 170 zemalja.

Što se tiče školovanja i tema koje se moraju obraditi, na kraju krajeva iz njih se i polaže ispit,podijeljene su u tri kategorije A, B i C. Svaka ova kategorija opisuju razinu znanja i vještina koje kandidat mora imati prije certifikacije. 

Teme koje su propisane EOQ shemom za menadžera informacijske sigurnosti su: PDCA model, Zahtjevi sustava ISMS, Struktura dokumentacije i zapisa, Proces uspostave i implementacije ISMS, Opseg i granice ISMS, Pristup procjeni rizika, Definicija politike sigurnosti, Definicije sigurnosnih normi, Nadzor i kontrola ISMS, Nadzor sustava, Upravljanje pregledima ISMS, Rad na korektivnim i preventivnim aktivnostima, Menadžerske metode i tehnike, Upravljanje projektima, Važnost i principi tehnologija informacijskih sustava, Arhitektura sustava IT, IT komponente, Ključne tehnologije za IT, Enkripcija i kriptografija, Metodologije procjene rizika, Implementacija analize rizika, Planiranje kontinuiteta poslovanja, Testiranje i tehnike sigurnosti, Audit ISMS, Interni auditi, Certifikacijski proces ISMS, Eksterni auditi. 

Cjelokupno školovanje i pripadna certifikacija usmjereni su na već navedene poslove koje mora obavljati menadžer informacijske sigurnosti: uspostavljanje, održavanje i poboljšanje ISMS u organizaciji.

Kako stoji stvar u praksi

Pitanje menadžera informacijske sigurnosti se može promatrati posebno u svijetu (razvijenim zemljama) i na našem prostoru. Kako mi živimo na našem prostoru, a ne negdje u svijetu, neću se osvrtati na stanje u svijetu, već prikazati stanje koje vidim ovdje.

Kao prvo, treba konstatirati da je kod nas ključni (glavni) u biti jedini kriterij cijena bilo čega ili koga. Sadržaj nije toliko značajan. Uobičajena slika odnosa vrhovne uprave prema pitanjima profesionalaca koji bi se bavili informacijskom sigurnošću je:

• da bude što jeftinije školovanje,
• da traje što kraće i
• da u nazivu ima nešto što spominje ISMS, odnosno pojam 'informacijsku sigurnost'.

Da bude što jeftinije, presudno je da se ne troše nepotrebno novci, da obrazovanje ne traje dugo jer je jako važno da zaposlenici ne gube mnogo od radnog vremena, a da u nazivu bude riječ ISMS ili tome nešto slično da se može reći, pa mi imamo stručnjaka za to područje. A to, što taj čovjek treba raditi i kako treba biti kvalificiran, pa tko i o tome još da vodi računa. Zar nije zgodno imati formalnog stručnjaka nesposobnog da radi, a onda angažirati konzultantske kuće i dobro ih plaćati? Koliko je meni poznato, samo nekoliko organizacija na našim prostorima se ne uklapa u ovaj stereotip, već su uveli ne samo formalnog, već i objektivnog kvalificiranog menadžera informacijske sigurnosti. Rezultat takvog pristupa (što jeftinije, što manje, što kraće) je da se upućuju na par dana školovanja, najčešće za tzv. 'Lead Auditora ISMS', bez obzira što auditor po profilu obrazovanja i ciljnom poslu koji treba obavljati apsolutno je nepodoban za funkciju menadžera ako nije prethodno školovan za menadžera. U ostalom, neka završeni polaznici za Lead auditore ISMS usporede program po kojem su školovani i programske teme koje su gore navedene, pa će vrlo brzo vidjeti da to nema veze jedno s drugim. O zanimanju 'auditor ISMS' ću u nekom drugom tekstu pisati više.

Osnovna ideja o profilu zanimanja 'Menadžer informacijske sigurnosti' je da on bude potpuno osposobljen za obavljanje samostalnog uvođenja ISMS u organizaciju, da bude sposoban samostalno pripremiti organizaciju za certificiranje, te da nakon toga upravlja sa cjelokupnim ISMS organizacije u smislu održavanja i poboljšanja. Tu se pojam „samostalno“ treba shvatiti uvjetno. Stvarno se misli na punu suradnju sa zaposlenicima i učesnicima informacijskog sustava. U tom svjetlu konzultanti nisu isključeni, već svedeni na izrazito specijalistička pitanja i time znatno jeftiniji za organizaciju (ako joj je to bitno). Nije problem izračunati i dokazati da je za postizanje istog cilja:  

(Ne kvalificirani ISMS menadžer) + (Mnogo učešća konzultanata)    je mnogo skuplje od (kvalificiranog ISMS menadžera) + (Malo učešća konzultanata)

Zaključak

U Hrvatskoj postoji samo jedna firma koja ima akreditiran program školovanja za EOQ menadžera ISMS i koja je do sada školovala 30-tak menadžera u Hrvatskoj i BiH.  Kroz to školovanje u nekim firmama su potpuno samostalno implementirali ISMS, jedan dio EOQ menadžera ISMS zbog nezadovoljstva tretmanom u svojoj organizaciju otišli su raditi u inostranstvo s tom kvalifikacijom, a dio je prešao na poslove konzultanata. U svakom slučaju, ako se promatra naš prostor, ostaje pomalo gorak okus u ustima da se ne kvalificiranim ljudima daje da upravljaju s organizacijom nervnog sustava tvrtke, odnosno informacijskim sustavom, bez i malo  razmišljanja da je informacijski sustav (ne čitaj IT sustav) i njegova sigurnost jedan od elementarnih faktora opstanka organizacije.

Mr.sc. Zdenko Adelsberger, dipl.inž.
CIS ISM, EOQ  ISMSM, ISMS LA, EOQ  QA, EOQ  QSM, EOQ  OHSSM

URL poveznica za ovaj ulaz

Komentari (0)

RSS feed komentari