U Zagrebu, u Wespa Business & Loungeu, održan je jednodnevni događaj nazvan Gartner Chief Information Security Officers Priorities Navigator. Kako je iz samog naslova vidljivo, radilo se o setu predavanja i rasprava pretežno namijenjenim CISO-ima, no bilo koja funkcija poslovnog svijeta sigurno je mogla imati koristi.

Predavanje je održao Gartnerov analitičar Tom Scholtz koji se već više od 30 godina bavi tematikom informacijske sigurnosti. Nesigurna vremena, od tehnoloških do geopolitičkih potresa, stavila su dodatne izazove pred CISO-e – Scholtz je tako pokušao odgovoriti na pitanja koji su to glavni trendovi koji utječu na sigurnost i menadžment rizika, koji su prioriteti te najbolje prakse za povećanje otpornosti.

Presudan ljudski faktor

Predavanje je pokazalo neke zanimljive brojke proizašle iz Gartnerovih istraživanja – u čak 82 posto slučajeva kad je došlo do narušavanja informacijske sigurnosti u pitanju je bio ljudski faktor. To nije toliko šokantna brojka, makar je postotak visok, ali bilo je zanimljivo čuti da je tek 20 posto uključivalo phishing napade na koje se danas najviše polaže pažnja, barem kod pokušaja treninga zaposlenika. Predstavljen je cijeli niz alternativnih vektora napada, ali zanimljivo je bilo vraćanje na ljudsku psihologiju. Recimo, 67 posto ljudi koristi iste lozinke za više korisničkih računa, 61 posto šalje osjetljive informacije u nekriptiranom obliku putem emaila, ali čak 93 posto kaže da su svjesni da to može povećati rizik organizacije, ali i dalje to rade!

Veliki zahtjevi su stavljeni pred CISO-e sa svih strana – makar su važni za sigurnost i stabilnost organizacije, ostale visoke pozicije u poslovanju još uvijek žele potrošiti čim manje vremena, truda i novaca; problem je što IT sigurnost ne generira vrijednost. Može je zaštiti, ali ako nešto ne generira vrijednost, oni koji donose odluke, a nisu sigurnosni stručnjaci, ponašat će se sukladno tome.

Gartner je tako osmislio PIPE framework koji bi trebao CISO-ima pomoći kroz četiri dimenzije – executive influencer, future-risk manager, workforce architect i stress navigator. Svaka dimenzija ima cijeli set zahtjeva i rješenja, no vodi prema poboljšavanju poziciju CISO-a u organizaciji te na kraju, jačanju cijelog IT sigurnosnog sustava.

Zanimljivo je da, osim tehnoloških rješenja, Scholtz predlaže i neke modele potekle iz društvenih znanosti (poglavito psihologije i sociologije).

Nakon predavanja održala se panel diskusija s eminentnim hrvatskim stručnjacima iz polja informacijske sigurnosti. Na panelu su sudjelovali Biljana Cerin (Ostendo Consulting), Mladen Gavrančić (Span), Milan Parat (Privredna banka Zagreb) i Bojan Ždrnja (Infigo IS). Raspravljalo se o primjerima iz stvarnog života i načinu na koji se njihove organizacije nose s prije spomenutim problemima.

Inače, Bojana Ždrnju, koji je u hands-on IT sigurnosti duže od 20 godina, možete uloviti na nadolazećem .debugu kao jednog od tri keynote speakera. Njegova tema, From Zero to Hero: kako postati etički haker?, sigurno će zaintrigirati mnoge pa će glavna dvorana u Laubi vjerojatno biti krcata. Predavanje je na rasporedu 16. lipnja u 10:30 sati, a nešto više pojedinosti pronađite u najavi u nastavku.