Hrvatska stručnjakinja za informacijsku sigurnost, Biljana Cerin, nedavno je imenovana u Upravni odbor International Information Systems Security Certification Consortium ili (ISC)². S obzirom na to da je (ISC)² najveće i najutjecajnije tijelo koje se bavi informacijskom sigurnošću, imenovanje na tako odgovornu poziciju veliko je priznanje. Tim više što je Biljana Cerin među rijetkim stručnjacima iz Europe i jedina iz Hrvatske u tom tijelu.

Biljana Cerin iz sebe ima bogatu karijeru u upravljanju rizikom informacijske sigurnosti, nositeljica je brojnih certifikata, a među njenim klijentima nalaze se brojna zvučna imena iz Hrvatske, ali i svijeta. Upravo zato odlučili smo iskoristiti priliku i napraviti intervju s njom.

Čestitamo na imenovanju u (ISC)². Što to točno znači za vas osobno, ali i što to imenovanje podrazumijeva?

Hvala Vam - za mene je to veliko stručno priznanje. Struka prepoznaje i cijeni trud prije svega - (ISC)² broji preko 125.000 članova iz cijelog svijeta i sve nas povezuje ljubav prema bavljenju informacijskom sigurnošću. Upravni odbor (ISC)² se sastoji se 13 članova, a  svake se godine mijenja njih 4 ili 5. Postojeći članovi odbora između 125.000 certificiranih stručnjaka za sigurnost - članova (ISC)² iz cijelog svijeta, odabiru nekoliko ljudi koji su se svojim radom na razvoju struke posebno istaknuli, a uz to imaju iskustvo i znanje kakvi se očekuju od članova upravnog odbora. Četiri nova izabrana člana upravnog odbora stupaju na dužnost s prvim danom sljedeće godine. Mandat traje 3 godine.

Čime ćete se baviti kao član Upravnog odbora (ISC)²-a?

Članovi Upravnog odbora (ISC)² određuju strategiju, upravljaju i nadziru organizaciju, osiguravaju pridržavanje (ISC)² etičkog kodeksa, te dodjeljuju certifikate kvalificiranim kandidatima. Zbog nedostatka stručnjaka za informacijsku sigurnost na svjetskoj razini, strogih regulatornih zahtjeva na informacijsku sigurnost, te nedovoljno suradnje s drugim profesijama, fokus mog programa je na uključivanju što više mladih ljudi u struku i približavanje informacijske sigurnosti i aktivnosti (ISC)² ostalim profesijama i koliko je to moguće, regulatorima.

Godinama se bavite IT sigurnošću i upravljanjem rizicima za što imate i cijeli niz certifikata. U posljednje vrijeme fokus vam je na GDPR-u. Iz vašeg iskustva, jesu li hrvatske tvrtke spremne na uvođenje GDPR-a i shvaćaju li važnost te europske direktive?

Mislim da je sad već situacija u Hrvatskoj daleko bolja nego početkom godine, ali je i dalje potrebno raditi na podizanju svijesti o važnosti ove regulative kako bi se tvrtke stigle na vrijeme pripremiti za sve ono što ona donosi. U tu svrhu Ostendo Consulting pokrenuo je i tzv. veliku školu GDPR-a u suradnji s portalom ICT Business, te redovito održavamo stručna predavanja u suradnji s učilištima Algebra i ILBA. Kroz sve te aktivnosti prenosimo znanja koja smo stekli u radu na međunarodnim projektima za klijente kao što su Amgen, Stanford University, MGM Resorts International, Merck te brojne domaće tvrtke.

Općenito, koliko hrvatske tvrtke i državne institucije posvećuju pozornosti IT sigurnosti? Što su nam "najslabije točke" odnosno na što najmanje obraćamo pozornost?

Ne mogu govoriti općenito, različite tvrtke su na različitim razinama zrelosti u pristupu upravljanju informacijskom sigurnošću. Pojedine grane industrije, kao što su financijski ili telekom sektor, već su niz godina izložene strogim regulatornim zahtjevima i informacijska sigurnost takvih organizacija je na zavidnoj razini, međutim u ostalim sektorima ima mnogo prostora za poboljšanje. Meni su najdraži klijenti koji informacijskoj sigurnosti pristupaju ozbiljno zbog toga što su i sami svjesni koliko je ona bitna u ostvarivanju njihovih poslovnih ciljeva, a ne samo zbog usklađenja s regulatornim zahtjevima. Mislim da se puno više može napraviti u državnim i javnim tijelima, za koje postoje i obaveze prema već postojećim zakonima, međutim problemu se ne pristupa sustavno, troši se mnogo novaca na djelomična rješenja, a uprave tih tijela često ne prepoznaju važnost sustavnog upravljanja rizicima informacijske sigurnosti. Nova Uredba o zaštiti osobnih podataka će sigurno promijeniti ovu situaciju, jer implementacijom organizacijskih i tehničkih mjera za zaštitu osobnih podataka zapravo štitite i cjelokupan sustav, međutim smatram da je potrebno više raditi na osvješćivanju odgovornih ljudi o nužnosti primjene Uredbe. Rok do 25.5.2018. brzo se smanjuje, a posla je puno.

Spominje se kako bismo uskoro mogli imati informatiku kao obavezni predmet u školama, Vi ste završili FER i cijeli ste život u IT-u. Što bismo po vama trebali napraviti kako bismo nove generacije koje tek dolaze pripremili na digitalni svijet i naučili ih digitalnim vještinama koje će im biti potrebne u budućnosti?

Mislim da ih trebamo naučiti razmišljati i naučiti kako učiti. Sjećam se svog prvog sata matematike na FER-u i onog što nam je profesor tada rekao – mi nismo tu da vas sve naučimo, mi smo tu tek da vam pokažemo kako ćete naučiti ono što vam je potrebno. Informatika je odličan mehanizam za poticanje logičkog načina razmišljanja, obrade informacija, zaključivanja i stvaranja novih sadržaja. Uvođenjem informatike kao obaveznog predmeta idemo znatno brže u smjeru toga da djecu naučimo razmišljati o onome što uče, ne samo učiti napamet ili za ocjenu, i to u svim predmetima. Nove generacije rođene su u digitalnom svijetu, mislim da te vještine nisu nešto što im trebamo objašnjavati na tradicionalan način – treba im samo omogućiti pristup i podučiti ih kako se ispravno služiti raspoloživim alatima, te definirati vještine koje trebaju postići kroz obrazovanje a koje će im kasnije koristiti u svakodnevnom radu. Ne možemo dopustiti da dijete izađe iz osnovne škole, a da ne zna na internetu pronaći vjerodostojnu informaciju, iako se npr. savršeno dobro služi društvenim mrežama. Mislim da tu postoji određeni nesrazmjer kojeg možda nismo svjesni i na kojeg je potrebno više obratiti pažnju u radu s djecom.