IT Professional Security - ΤΕΥΧΟΣ 75

T7506/07/08.2022
Cover Issue
διεξαγωγή ελέγχων, όχι μόνο του ISMS αλλά και άλλων
διαδικασιών, καθώς και τη διορατικότητα και τη
δυνατότητα κατανόησης και επαλήθευσης της αποτελεσματικότητας
όλων των διαδικασιών (εγκαταστάσεις,
φυσική ασφάλεια, ανθρώπινοι πόροι κ.λπ.).
Πέρα από τις παραπάνω δεξιότητες, ένας επαγγελματίας
του τομέα της Ασφάλειας Πληροφοριών θα πρέπει
να έχει πραγματική εμπειρία στην ασφάλεια των
πληροφοριών και πληροφορικής, κατά προτίμηση στον
τομέα της κυβερνοασφάλειας, σε διάφορα έργα, για διάφορους
πελάτες, διαφορετικών επιχειρηματικών τομέων,
ιδανικά σε διάφορες χώρες. Διαφορετικά, θα έχει
μόνο θεωρητικές δεξιότητες, οι οποίες στην πραγματικότητα
δε βοηθούν όσο θα μπορούσε κανείς να νομίζει.
• διεξαγάγει συνεδρίες ευαισθητοποίησης και εκπαίδευσης
για τους χρήστες
• πραγματοποιήσει αυτοέλεγχους, ανάλυση κενών ή
εσωτερικούς ελέγχους
• εξασφαλίσει την παρακολούθηση των σχεδίων δράσης
κ.λπ.
Η παραπάνω λίστα εργασιών, που προφανώς δεν είναι
εξαντλητική, υπονοεί ότι ο επαγγελματίας Ασφάλειας Πληροφοριών
πρέπει να έχει δεξιότητες ασφαλείας, κάτι που
είναι φυσιολογικό, αλλά επίσης - και αυτό που οι περισσότεροι
ξεχνούν - τις μη τεχνικές δεξιότητες που απαιτούνται.
Πιο συγκεκριμένα, ένας επαγγελματίας στον τομέα της
Ασφάλειας Πληροφοριών πρέπει:
• Να είναι καλός διαπραγματευτής, ώστε να μπορεί να
πείσει τα ενδιαφερόμενα μέρη για το έργο - ή μέρη
του έργου - του, για να πάρει την έγκριση και τη δέσμευσή
τους.
• Να έχει καλές επικοινωνιακές δεξιότητες, ώστε να
μπορεί να μεταφέρει το μήνυμα και να βεβαιωθεί για
την κατανόησή του από τον συνομιλητή.
• Να είναι καλός παρουσιαστής με καλές δεξιότητες
παρουσίασης, ώστε να μπορεί να παραδώσει το μήνυμα
και να εξασφαλίσει την προσοχή του κοινού
μέσω εξειδικευμένων τεχνικών παρουσίασης.
• Να είναι καλός εκπαιδευτής, αφού το κοινό – στις περισσότερες
των περιπτώσεων - θα είναι από διάφορους
τομείς και μάλλον όχι σχετικοί με την Ασφάλεια
Πληροφοριών.
• Να είναι καλός διαχειριστής έργου, ώστε να εξασφαλίσει
τη διεύθυνση και την ομαλή εκτέλεση των σχεδίων
δράσης, καθώς και την τήρηση των προθεσμιών.
• Να έχει πολυεπίπεδες γνώσεις, απαραίτητες στην
Διατηρώντας το επίπεδο της εξειδίκευσης.
Επιλογή ή Δίλημμα;
Ορισμένες θέσεις εργασίας έχουν ελάχιστες απαιτήσεις αναφορικά
με την ανάγκη ενημέρωσης και διαρκούς εκπαίδευσης
των εργαζόμενων, ενώ σε κάποιες δεν υπάρχουν
καν οι ελάχιστες αυτές απαιτήσεις. Η κτήση ενός πτυχίου
ή ενός πιστοποιητικού είναι ικανή συνθήκη απασχόλησης.
Αντίθετα, στον χώρο της Ασφάλειας Πληροφοριών και της
κυβερνοασφάλειας, μια μεγάλη παύση μπορεί να μετατρέψει
έναν ειδικό με 20 χρόνια εμπειρίας σε έναν απλό επαγγελματία
του χώρου με ξεπερασμένες δεξιότητες.
Οι τεχνολογίες προχωρούν και αναπτύσσονται γρήγορα,
φέρνοντας νέα τρωτά σημεία, νέες απειλές, τεχνικές άμυνας
και, συνεπακόλουθα, νέα πλαίσια, πρότυπα, νόμους και κανονισμούς.
Αυτό είναι κάτι που δυσκολεύει έναν επαγγελματία
σε θέματα ασφάλειας πληροφοριών να διατηρήσει το
επίπεδο της εμπειρίας και της τεχνογνωσίας του.
Το να φτάσουμε στο επόμενο επίπεδο είναι ένας άλλος αγώνας.
Κοστίζει χρήματα, χρόνο και προσπάθεια για μάθηση
και απόκτηση νέων δεξιοτήτων. Υπολογίζοντας την Απόδοση
Επένδυσης κάθε εκπαίδευσης, απόκτησης γνώσεων
ή πιστοποίησης, είναι ξεκάθαρο ότι δεν τίθεται θέμα επιλογής.
Η συνεχής αναβάθμιση και εξέλιξη των δεξιοτήτων των
επαγγελματιών Ασφάλειας Πληροφοριών είναι μονόδρομος.
Πώς είναι η εργασία στον τομέα της Ασφάλειας
Πληροφοριών;
Υπάρχουν τρεις ρόλοι που μπορεί να έχει ένας επαγγελματίας
Ασφάλειας Πληροφοριών: Υλοποιητής (ονομάζεται επίσης
Σύμβουλος), Ελεγκτής (ή Αξιολογητής), ή Εκπαιδευτής.
Ως Υλοποιητής, όταν η εργασία παρέχεται για μια εταιρεία
παροχής συμβουλευτικών υπηρεσιών, συνήθως υπάρχει
16 security