Dacă știţi deja care sunt riscurile la care business-ul/organizaţia voastră este expusă, puneţi-le pe hârtie și veţi avea un prim filtru pentru căutarea de specialiști în securitate. Companiile și organizaţiile mici au alte nevoi decât corporaţiile și organizaţiile mari în privinţa alocării de resurse pentru securizarea operaţiunilor lor. În orice caz, toată lumea are nevoie de o abordare bazată pe risc, și doar bazându-se pe o astfel de evaluare, cineva poate determina care este dimensiunea echipei de securitate și care sunt competenţele necesare în cadrul acelei echipe. Aceasta, de asemenea, NU este o sarcină pentru HR. Din momentul în care necesităţile sunt bine descrise, aș recomanda o examinare atentă a profilului de specialist căutat, bazată pe necesităţile identificate. Dacă este necesară o competenţă specifică de securitate (securitate de reţea, securitate de aplicaţie, securitatea informaţiilor s.a.m.d.) atunci cine va conduce această categorie de personal și cine le va trasa sarcinile? În această situaţie organizaţia are nevoie de un manager de securitate? Dacă da, atunci căutaţi un manager de securitate experimentat și nu un „hacker”, nu un inginer IT, nu un dezvoltator, nu pe cineva care să răspundă la incidente sau oricare altă persoană cu abilităţi practice. Aceștia pot fi specialiști foarte buni, dar de regulă nu vor reuși să înţeleagă business-ul pentru care îi angajaţi, cadrul general de riscuri de securitate și nu vor fi niciodată în stare să vorbească pe limba business-ului și a executivilor, necesară pentru a construi și rula un framework de securitate adaptat scopurilor de business și operaţionale. Recrutaţi bazându-vă pe competenţele de care aveţi nevoie, dar și bazându-vă pe ÎNCREDERE. ÎNCREDEREA este baza unei cooperări mai bune între specialiștii în securitate și cei în HR :) Job-ul de manager de securitate este un job în sine, așa că nu angajaţi manageri cu experienţă pentru a se ocupa de securitate, căutaţi manageri de securitate. CV-ul și realizările lor profesionale vorbesc de la sine. Cel mai simplu și concret test care i se poate da unui manager de securitate este sa fie pus să explice (ad hoc, vorbit și scris) un subiect complex de securitate cibernetică unui executiv ne-tehnic și să fie capabil să dezbată același subiect complex cu un expert practic în disciplina securităţii IT. Reduceţi constrângerile de conformitate pentru echipele de securitate – conformitatea este importantă dar nu este similară cu securitatea. Știind că salariile reprezintă un subiect important, voi simplifica și acest aspect: stabiliţi cât este de importantă securitatea pentru business-ul/operaţiunile voastre și investiţi în mod corespunzător. Un rol de securitate slab plătit nu poate fi ocupat de un specialist de top în domeniu sau poate ușor deveni un risc. Managerul de securitate (CSO, CISO…) trebuie să raporteze poziţiei corespunzătoare din organizaţie pentru a putea fi împuternicit să ia deciziile corespunzătoare și pentru a avea vizibilitate. Stabiliţi investiţiile în securitate bazându-vă pe o abordare bazată pe riscuri – dacă angajaţi managerul de securitate potrivit, ar trebui sa fie simplu – aceasta este prima sarcină pe care un specialist angajat pe o astfel de poziţie ar trebui să o rezolve. O mulţime dintre fluxurile de lucru generează sau sunt expuse riscurilor de securitate – asiguraţi-vă că echipa de securitate este implicată în evaluarea/stabilirea lor. Managementul de top este o ţintă valoroasă pentru infractori și alte tipuri de actori care pot crea riscuri de securitate organizaţiei voastre – uneori, anumite riscuri trebuie abordate chiar și în mediul personal al managerilor de top. Nu investiţi bani într-un mediu IT în lipsa unei evaluări de securitate – chiar dacă veţi avea cea mai bună echipă IT din lume, aceasta se va concentra de obicei pe funcţionalitate și eficienţă și nu neapărat pe securizarea mediului IT. Investiţi în educaţia de securitate în funcţie de roluri. Un volum uriaș de breșe
exploatate și atacuri cibernetice utilizează în continuare oamenii ca vectori de atac, aceștia rămânând cea mai mare vulnerabilitate. Educaţia rămâne singura măsură de diminuare a riscurilor. Chiar dacă eu cred că oricine merită o a doua șansă, de regulă nu cred în „hackeri etici”, care au învăţat securitate prin a fi mai întâi infractori, sau în companiile care se promovează cu astfel de specialiști. Nu este nimic demn de laudă în a avea un cazier infracţional. Există specialiști foarte buni, inteligenţi, de securitate, care și-au dobândit calificativele studiind și cercetând fără a fura datele și banii altor oameni. Iar… dacă o astfel de persoană are un cazier infracţional, el/ea nu a fost chiar așa de bună pe cât ar putea să creadă despre sine.
Eu consider că atunci când este recrutat un specialist în (cyber) securitate, specialistul HR trebuie supervizat de un manager de securitate sau de un expert de înalt nivel în securitate dinafara companiei. Construirea unei echipe de securitate adaptată riscurilor și obiectivelor de afaceri va conduce la un framework matur de securitate potrivit pentru orice organizaţie Punctul de plecare trebuie să-l constituie oamenii din spatele securităţii, nu tehnologia. Dacă afirmaţiile de mai sus vi se par prea generale sau învechite, atunci nu aveţi nevoie de servicii de consultanţă în domeniul securităţii, dar credeţi-mă, bazându-mă pe discuţiile pe care le am aproape zilnic pe acest subiect și de asemenea bazându-mă pe concluziile care se pot trage din marile eșecuri în construirea
unor framework-uri adecvate de securitate cu care ne întâlnim din ce în ce mai des (WannaCry, non Petya, BadRabbit s.a.m.d.) pot afirma, fără ezitare, că există o mulţime de oameni cărora le sunt necesare, când vine vorba să angajeze oameni de securitate – punctele esenţiale. Și da, am pus cyber între paranteze intenţionat… nu există securitate cibernetică în lipsa securităţii de afaceri și/sau operaţionale, incluzând securitatea fizică și personală.
11