Dejan Košutić direktor je i glavni konzultant u tvrtki Kvadra savjetovanje d.o.o., glavni je urednik Portala za informacijsku sigurnost, te često predavač je na specijalističkim seminarima vezanim uz IT revizije, upravljanje informacijskom sigurnošću i kontinuitetom poslovanja. Stoga smo i oko tih tema vodili ovaj intervju, a one su ujedno i vezane uz nedavno završenu 2. međunarodnu konferenciju o korporativnoj sigurnosti.

IT-infoNEWS: Korporativna sigurnost važno je pitanje za svaku kompaniju, bez obzira na njenu veličinu, ponajviše zbog toga što se u većini poslova koristi ICT tehnologija. Nažalost, ona predstavlja opasnost za integritet sistema i njegovu sigurnost. Korporacije svake godine ulažu znatna sredstva na elektronska korporativna sigurnosna rješenja kojima je namjera odbiti hakerske napada. Međutim, ono što većina ljudi ne shvaća , da je preko 80% sigurnosnih povreda uzrokovano insidersima… Kako to komentirate?
Dejan Košutić: Problem je da je te napade iznutra najteže otkriti, a ako se i otkriju, onda ih je najteže priznati – naime, korporacije takav „problem“ obično riješe u tišini, tako da javnost ne zna za njega.

IT-infoNEWS: Ako pogledamo današnju cjelokupnu ekonomsku situaciju u ovo vrijeme recesije, prema vašim slobodnim predviđanjima, koliki će biti utjecaj na smanjenje korporacijskih proračuna vezanih uz ulaganja u korporativne sigurnosti i u kojoj je mjeri smanjenje opravdano?
Dejan Košutić: Recesija će sigurno utjecati i na smanjenje proračuna za sigurnost, iako vjerujem da to neće biti u onoj mjeri kao što je to u ostalim područjima – naime, u ovoj godini postoje velike obveze temeljem Zakona o informacijskoj sigurnosti i Uredbe o mjerama informacijske sigurnosti koje traže de facto viši nivo ulaganja u informacijsku sigurnost nego proteklih godina.
Što se tiče opravdanja smanjivanja budžeta za sigurnost, sama uprava neke organizacije mora procijeniti da li će tim smanjenjem ostati u zakonskim okvirima, i da li je takvo smanjenje izvedivo u smislu da će i dalje pokriti sve sigurnosne rizike. Ako je odgovor na oba pitanja da, onda takvo smanjenje jest opravdano; međutim vrlo je rijetko odgovor na oba pitanja pozitivan.

IT-infoNEWS: ISO 27001 standard, objavljen u listopadu 2005, je specifikacija za ISMS (Information Security Management System). U kolikoj je mjeri uvođenje dotičnog standarda još uvijek izuzetak u Hrvatskoj, i kakve su naznake da će postati pravilo? Možda mala komparacija sa EU?
Dejan Košutić: Činjenica je da norma ISO 27001 još nije jako proširena u Hrvatskoj – certificirano je svega 10-tak tvrtki, ali očekujem da će se to brzo promijeniti. Naime, ta norma je u ovoj godini postala obvezna za de facto sva tijela državne uprave, ali isto tako je vrlo korisna i za IT dobavljače tijela državne uprave i financijskog sektora. U Europi je ta norma bitno zastupljenija, s time da najveći broj certifikata ima u Velikoj Britaniji, a u ovom dijelu Europe u Madžarskoj.

IT-infoNEWS: Sigurnost na radnome mjestu je pitanje svijesti svakoga: od poslodavca, zaposlenika do klijenata. Sigurnost je od posebne važnosti u financijskom sektoru. Iako su današnji Internet moderni sigurnosni paketi bolji i brži, većina ih ipak ne uspije u potpunosti zaštititi. Koliko su sigurne online autentifikacije i na što bi stavili naglasak ?
Dejan Košutić: Sami sustavi autentifikacije su prilično sigurni, i kada pogledate statistiku, nema puno kriminaliteta vezan za taj segment E-bankarstva. Po meni, uvijek je najveći rizik u ljudima, i to često u ljudima unutar neke organizacije – naglasak treba staviti na organizacijske postupke i rad sa djelatnicima kako bi se postigla viša razina sigurnosti.

IT-infoNEWS: Polako dolazimo na temu IT sigurnosti u bankarskoj industriji. S obzirom da banke imaju visok stupanj elektroničkih transakcija, izložene su mnogo više rizicima od recimo tvrtki iz drugih grana industrije. HNB je 2007. godine donijela na snagu „Odluku o primjerenom upravljanju informacijskim sustavom“, koju bi najkraće mogli opisati kao eksternalizacija unutarnje revizije, odnosno kao odluku kojom su banke dužne obavljati reviziju informacijskog sustava. Na taj način se je nametnula potreba za usko specijaliziranim kadrom – IT revizorima. Koja je razlika između primarnog internog revizora i IT revizora, jer mislim da su pojmovi ponekad zbunjujući?
Dejan Košutić: HNB je u navedenoj odluci navela da je unutarnja IT revizija obvezna za svaku banku, ali nije propisala da se unutarnja IT revizija mora eksternalizirati (outsourcirati), već da to pojedina banka može učiniti ukoliko nema vlastitih ljudi.
Razlika između onog što se smatra „klasičnim“ revizorom i IT revizorom je utoliko što IT revizor mora posjedovati tehnička znanja, znanja o informacijskoj sigurnosti i znanja o specifičnim metodama revizije za ovo područje. IT revizor ne ide toliko široko u reviziji koliko „klasična“ revizija, već se fokusira samo na one segmente poslovanja gdje postoji velika ovisnost o ICT tehnologiji.

IT-infoNEWS: Svi IT revizori trebaju posjedovati široki raspon vještina, stručnosti i profesionalnog razvoja. Osnovni elementi uključuju dubinsko poznavanje organizacije kao i formalne međunarodne standarde za profesionalne unutarnje revizije; tehničko razumijevanja i stručnosti, jake komunikacijske i prezentacijske vještine i certifikacije. Koliko trenutni kadar, sadašnji IT revizori zadovoljavaju navedene kriterije, jer na ta radna mjesta došao je dio ljudi koji se baš nisu „snašli“ u ostalim područjima IT-a?
Dejan Košutić: Ne bih se složio da postoji negativna selekcija ljudi za takva radna mjesta. Ono što mi se čini veći problem jest da su to ljudi koji uglavnom gledaju na problem IT-a odnosno sigurnosti sa tehničke strane, a zapravo većina rizika leži u ljudima i postupcima koji se vežu za informacijsku tehnologiju. Stoga je potrebno obučavati IT revizore u ovom „ne-tehničkom“ aspektu revizije, odnosno dati im znanje koje omogućava da revidiraju i organizacijske postupke.

IT-infoNEWS: Kako bi informatički odjel trebao izgledati kada se uspostavi IT upravljanje, odnosno što se možete vidjeti najčešće u našim bankarskim institucijama i ostalim velikim gospodarskim subjektima?
Dejan Košutić: Po meni, najbolji primjeri upravljanja informacijskom tehnologijom su oni kada se IT smatra alatom modernog poslovanja, odnosno kada postoji usklađenost IT strategije sa korporativnom strategijom, i kada korporativna strategija prepozna da joj upravo informacijska tehnologija može donijeti neke kompetitivne prednosti.

IT-infoNEWS: S obzirom na ekonomske izazove kojima smo upravo sada okrenuti, kakve savjete imate za financijske institucije kako da pronađu svoje financijske i ljudske resurse kada se rade revizije?
Dejan Košutić: Na tržištu je jako malo ljudi profila IT revizora, isto kao i profila menadžera za informacijsku sigurnost – mislim da je troškovno najisplativiji pristup izabrati mlade i perspektivne ljude i ulagati u njihovo školovanje.

IT-infoNEWS: Da li u Hrvatskoj postoji formalno obrazovni program koji se na bilo koji način naslanja na pitanje sigurnosti sustava, ili je takvo školovanje moguće isključivo putem specijalističkih treninga?
Dejan Košutić: Koliko mi je poznato, na fakultetima postoje predmeti o sigurnosti informacijskih sustava u sklopu drugih kolegija, ali nema izdvojenih studija fokusiranih na područje informacijske sigurnosti – mislim da će se to uskoro promijeniti. Za sada na tržištu postoji nekoliko kvalitetnih seminara koji pokrivaju to područje.

IT-infoNEWS: Što možete za kraj poručiti našim čitateljima, kako da oni sami pripaze na sve sigurnosne prepreke na koje nailaze u svakodnevnom korištenju računalom?
Dejan Košutić: Dovoljno je već prestati sa onim ustaljenim razmišljanjem „pa neće se to meni desiti“ – prvenstveno treba razmišljati o prevenciji, odnosno od anti-virusnih programa, do backup-a i slično. Kada se desi problem, onda je to jako skupo i obično je prekasno. (Razgovarala Sanja Ledinek)