Cybersecurity: lipsa de forţă de muncă sau lipsa de cunoştinţe ale HR...

Cybersecurity: lipsa de forţă de muncă sau lipsa de cunoştinţe ale HR în proces de recrutare?

Autor: Eduard Bisceanu

Unul dintre subiectele cele mai discutate în discuţiile din comunitatea de (cyber) securitate este cel legat de penuria de forţă de muncă din domeniu. Cu toate că este evident că este o problemă reală să construiești echipa potrivită de securitate pentru majoritatea business-urilor, există totuși o mulţime de lucruri care trebuie clarificate pentru a avea o înţelegere comună asupra acestui fenomen. Pe de o parte, mi se cere adesea să recomand oameni pentru astfel de job-uri, dar de obicei mi se cere nu un specialist în securitate, ci un „hacker”, un IT-ist specializat pe securitate, un specialist în securitatea reţelelor sau alte acronime similare. Solicitările de acest tip vin de la executivi de top, sau de la HR, de obicei din companii/organizaţii non IT. Acest fapt ar putea să pară grozav, comparând cu lipsa de îngrijorare legată de securitate pe care aceste categorii de oameni o manifestau cu mai mulţi ani în urmă. Dar avem totuși o mare problemă… modul în care unii specialiști HR sau chiar CxO sondează piaţa muncii pentru specialiști ne spune ceva despre nivelul lor de înţelegere relativ la aptitudinile de care au nevoie în acest domeniu.Deoarece nu doresc să-i supăr pe specialiștii HR sau pe executivii pe care îi cunosc, dar doresc să fiu totuși foarte onest în ceea ce am de spus, nu voi comenta mai mult despre motivele care stau în spatele lipsei unei viziuni clare în procesul de recrutare de specialiști în (cyber) securitate, dar voi reproduce câteva dintre sfaturile/ întrebările pe care le dau atunci când sunt consultat pe acest subiect:

  • Care este nivelul de maturitate în materie de securitate al organizaţiei pentru care recrutaţi? Cunoaște vreun model de maturitate în privinţa securităţii, sau urmează vreun standard/framework de management?
  • Dacă organizaţia este bine poziţionată în legătură cu aspectele de mai sus, specialistul HR se va baza exclusiv pe managerul de securitate al acelei organizaţii pentru a scrie descrierea job-urilor pentru toţi membrii echipei de securitate și pentru a-i intervieva din perspectiva competenţelor/cunoștinţelor?
  • Dacă procesul de recrutare este realizat pentru companii aflate la început de drum în realizarea unui framework de guvernanţă în domeniul securităţii, mai întâi au nevoie de o evaluare exactă a categoriilor de competenţe și cunoștinţe care trebuie căutate de către specialiștii HR pe piaţa muncii. Aceasta este o sarcină pe care un specialist HR nu o va putea duce la bun sfârșit niciodată.
  • Dacă există o nevoie de securitate determinată de un alt motiv decât conformitatea, atunci cel mai bun nume al acelei nevoi este RISC.
  • Dacă știţi deja care sunt riscurile la care business-ul/organizaţia voastră este expusă, puneţi-le pe hârtie și veţi avea un prim filtru pentru căutarea de specialiști în securitate.
  • Companiile și organizaţiile mici au alte nevoi decât corporaţiile și organizaţiile mari în privinţa alocării de resurse pentru securizarea operaţiunilor lor.
  • În orice caz, toată lumea are nevoie de o abordare bazată pe risc, și doar bazându- se pe o astfel de evaluare, cineva poate determina care este dimensiunea echipei de securitate și care sunt competenţele necesare în cadrul acelei echipe. Aceasta, de asemenea, NU este o sarcină pentru HR.
  • Din momentul în care necesităţile sunt bine descrise, aș recomanda o examinare atentă a profilului de specialist căutat, bazată pe necesităţile identificate. Dacă este necesară o competenţă specifică de securitate (securitate de reţea, securitate de aplicaţie, securitatea informaţiilor s.a.m.d.) atunci cine va conduce această categorie de personal și cine le va trasa sarcinile?
  • În această situaţie organizaţia are nevoie de un manager de securitate? Dacă da, atunci căutaţi un manager de securitate experimentat și nu un „hacker”, nu un inginer IT, nu un dezvoltator, nu pe cineva care să răspundă la incidente sau oricare altă persoană cu abilităţi practice. Aceștia pot fi specialiști foarte buni, dar de regulă nu vor reuși să înţeleagă business-ul pentru care îi angajaţi, cadrul general de riscuri de securitate și nu vor fi niciodată în stare să vorbească pe limba business-ului și a executivilor, necesară pentru a construi și rula un framework de securitate adaptat scopurilor de business și operaţionale.
  • Recrutaţi bazându-vă pe competenţele de care aveţi nevoie, dar și bazându-vă pe ÎNCREDERE.
  • NCREDEREA este baza unei cooperări mai bune între specialiștii în securitate și cei în HR 🙂
  • Job-ul de manager de securitate este un job în sine, așa că nu angajaţi manageri cu experienţă pentru a se ocupa de securitate, căutaţi manageri de securitate. CV-ul și realizările lor profesionale vorbesc de la sine. Cel mai simplu și concret test care i se poate da unui manager de securitate este sa fie pus să explice (ad hoc, vorbit și scris) un subiect complex de securitate cibernetică unui executiv ne-tehnic și să fie capabil să dezbată același subiect complex cu un expert practic în disciplina securităţii IT.
  • Reduceţi constrângerile de conformitate pentru echipele de securitate – conformitatea este importantă dar nu este similară cu securitatea.
  • Știind că salariile reprezintă un subiect important, voi simplifica și acest aspect: stabiliţi cât este de importantă securitatea pentru business-ul/operaţiunile voastre și investiţi în mod corespunzător. Un rol de securitate slab plătit nu poate fi ocupat de un specialist de top în domeniu sau poate ușor deveni un risc.
  • Managerul de securitate (CSO, CISO…) trebuie să raporteze poziţiei corespunzătoare din organizaţie pentru a putea fi împuternicit să ia deciziile corespunzătoare și pentru a avea vizibilitate.
  • Stabiliţi investiţiile în securitate bazându-vă pe o abordare bazată pe riscuri – dacă angajaţi managerul de securitate potrivit, ar trebui sa fie simplu – aceasta este prima sarcină pe care un specialist angajat pe o astfel de poziţie ar trebui să o rezolve.
  • O mulţime dintre fluxurile de lucru generează sau sunt expuse riscurilor de securitate – asiguraţi-vă că echipa de securitate este implicată în evaluarea/stabilirea lor.
  • Managementul de top este o ţintă valoroasă pentru infractori și alte tipuri de actori care pot crea riscuri de securitate organizaţiei voastre – uneori, anumite riscuri trebuie abordate chiar și în mediul personal al managerilor de top.
  • Nu investiţi bani într-un mediu IT în lipsa unei evaluări de securitate – chiar dacă veţi avea cea mai bună echipă IT din lume, aceasta se va concentra de obicei pe funcţionalitate și eficienţă și nu neapărat pe securizarea mediului IT.
  • Investiţi în educaţia de securitate în funcţie de roluri. Un volum uriaș de breșe exploatate și atacuri cibernetice utilizează în continuare oamenii ca vectori de atac, aceștia rămânând cea mai mare vulnerabilitate. Educaţia rămâne singura măsură de diminuare a riscurilor.
  • Chiar dacă eu cred că oricine merită o a doua șansă, de regulă nu cred în „hackeri etici”, care au învăţat securitate prin a fi mai întâi infractori, sau în companiile care se promovează cu astfel de specialiști. Nu este nimic demn de laudă în a avea un cazier infracţional. Există specialiști foarte buni, inteligenţi, de securitate, care și-au dobândit calificativele studiind și cercetând fără a fura datele și banii altor oameni. Iar… dacă o astfel de persoană are un cazier infracţional, el/ea nu a fost chiar așa de bună pe cât ar putea să creadă despre sine.

Eu consider că atunci când este recrutat un specialist în (cyber) securitate, specialistul HR trebuie supervizat de un manager de securitate sau de un expert de înalt nivel în securitate dinafara companiei. Construirea unei echipe de securitate adaptată riscurilor și obiectivelor de afaceri va conduce la un framework matur de securitate potrivit pentru orice organizaţie Punctul de plecare trebuie să-l constituie oamenii din spatele securităţii, nu tehnologia. Dacă afir

maţiile de mai sus vi se par prea generale sau învechite, atunci nu aveţi nevoie de servicii de consultanţă în domeniul securităţii, dar credeţi-mă, bazându-mă pe discuţiile pe care le am aproape zilnic pe acest subiect și de asemenea bazându-mă pe concluziile care se pot trage

 din marile eșecuri în construirea unor framework-uri adecvate de securitate cu care ne întâlnim din ce în ce mai des (WannaCry, non Petya, BadRabbit s.a.m.d.) pot afirma, fără ezitare, că există o mulţime de oameni cărora le sunt necesare, când vine vorba să angajeze oameni de securitate – punctele esenţiale. Și da, am pus cyber între paranteze intenţionat… nu există securitate cibernetică în lipsa securităţii de afaceri și/sau operaţionale, incluzând securitatea fizică și personală

BIO

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard a fost CSO în cadrul Unicredit Bank România şi ocupă în prezent poziția de National Technology Officer în cadrul Microsoft România.