Cyberbezpieczeństwo – wyzwania kompetencyjne
Cyberbezpieczeństwo – specjalistów w tej dziedzinie jest bardzo mało. To jeden z zwodów, w których braki kompetencyjne są ogromne. Szacuje się, że są to już ponad 2 miliony specjalistów w skali globalnej – alarmuje Olga Budziszewska, Technology Consultant at Accenture Capability Network.
Skończyła Pani kryminologię na Uniwersytecie Warszawskim. Czy być może to Panią skłoniło do zajęcia się tematyką cyberbezpieczeństwa? 😉
Olga Budziszewska: Skłamałabym, gdybym powiedziała, że moja ścieżka kariery była zaplanowana. Dużo było w tym przypadku, ale również muszę przyznać, że pomogłam trochę temu przypadkowi. Kryminologia na UW to absolutnie fascynujące studia i polecam każdemu, kto jakkolwiek interesuje się tematem. Z tego co wiem, do tej pory na kryminologii nie ma przedmiotów związanych z cyberprzestępczością i nie mogę powiedzieć, że tam złapałam bakcyla do cyberbezpieczeństwa, ale muszę przyznać, że zafascynowałam się przestępczością. Zaraz po studiach dostałam pierwszą pracę, w której zajmowałam się wdrażaniem systemu bezpieczeństwa informacji w jednostce administracji państwowej. Miałam charyzmatycznego szefa, który skierował mnie na studia podyplomowe z zakresu zarządzania bezpieczeństwem informacji. Były to roczne studia podyplomowe, a w ramach nich zrobiłam jeszcze kilka branżowych certyfikatów. Tak zaczęła się moja przygoda z bezpieczeństwem informacji, potem zaczęłam się trochę bardziej interesować technologią, oczywiście dużą część wiedzy zdobywałam na bieżąco podczas pracy. Również po urodzeniu dzieci – w trakcie długiego, 5cio letniego urlopu wychowawczego, starałam się wykorzystać czas jak najlepiej. Skończyłam kolejne kursy i szkolenia, często uczestniczyłam w branżowych spotkaniach i konferencjach. Obecnie specjalizuję i szkolę się bezpieczeństwie chmury obliczeniowej .
Nie obawiała się Pani powrotu na rynek pracy po tak długiej przerwie?
Bardzo się obawiałam. Pewnie było to też przyczyną tego, że nie chciałam stać w miejscu. Dlatego postanowiłam rozwijać się w ramach moich możliwości. Ucieszyłam się, kiedy mogłam wrócić do pracy. Na a Jak to często bywa, trochę przypadkiem udało mi się znaleźć pracę w Microsofcie – gdzie w zespole regionalnym zajmowałam się głównie aktywnościami związanymi z technologiami Open Source w ramach chmury Microsoft Azure Cybersecurity, było małym wycinkiem tej pracy, jednak właśnie wtedy wróciłam do bezpieczeństwa informacji, ale już nie pojmowanego tradycyjnie – jako polityki i procedury – tylko z wykorzystaniem technologii chmury obliczeniowej. Wówczas zyskałam cudownych mentorów i wspaniałych kolegów, którzy pokazali mi jak dalej iść drogą, którą podążam do dziś. W międzyczasie robiłam kolejne szkolenia i kursy – w tej branży cały czas trzeba się szkolić. Myślę, że również moje wcześniejsze doświadczenie związane z kryminologią wpłynęło na to, czym się teraz zajmuję.
Podkreśliła Pani rolę mentorów na swojej drodze zawodowej. Jak duży wpływ mieli oni na Pani karierę?
Myślę, że dobry mentor, ktoś od kogo możemy się uczyć to absolutnie kluczowa sprawa. Każdy, kto ma chociaż odrobinę oleju w głowie powinien sobie takiego mentora znaleźć. Chociaż muszę przyznać, że nie jest to łatwe, ponieważ niestety nie wszyscy chętnie dzielą się swoją wiedzą, czasem i doświadczeniem.
Jak oceniłaby Pani kondycję polskiej edukacji w obszarze cyberbezpieczeństwa? Czy jako społeczeństwo zdajemy sobie sprawę z powagi tej dziedziny?
Trudno oczekiwać, że system edukacji będzie nadążać za tempem zmian technologicznych. Jednak jeżeli miałabym subiektywnie oceniać to na pierwszym miejscu należy przyjrzeć się edukacji podstawowej, czyli edukacji najmłodszych użytkowników internetu. Na tym etapie edukacja w zakresie budowania kultury cyberbezpieczeństwa czy higieny bezpieczeństwa w sieci wśród młodych ludzi jest fatalna. Mówię to zarówno jako osoba, która uczestniczy w różnych grupach, spotkaniach, konferencjach, jak i zwykła mama, która chce wychować swoje dzieci w tych nasyconych technologią czasach. Oczywiście nie chciałabym ich wykluczyć cyfrowo tzn. zabrać telefon i każdy inny sprzęt, gdyż jest to bez sensu, natomiast jeśli chodzi o szkoły podstawowe myślę, że mamy niewielki procent placówek, które są w stanie zapewnić takie nauczanie. Osobiście jestem zwolenniczką dodania cyberbezpieczeństwa do podstawy programowej – pytanie tylko, kto mógłby takie lekcje prowadzić? Obecny stan wiedzy i kompetencje cyfrowe wielu nauczycieli są często niższe niż uczniów. Problem kadry w szkołach jest kluczowy.
Kolejną ważną kwestią jest doszkalanie pracowników w firmach. Jeżeli ktoś wykształcił się w świecie, w którym Telekomunikacja Polska instalowała kable telefoniczne to nie ma siły, żeby współcześnie bez dodatkowej edukacji potrafił bezpiecznie odnaleźć się w świecie cyfrowym i mam tutaj na myśli pracownika każdego działu, każdej organizacji. Kampanie phfishingowe* (polegają na podszywaniu się przez oszustów pod inną osobę, instytucję, organizację w przekazywanych odbiorcy treściach – m.in. właśnie w wiadomościach e-mail, poprzez fałszywe witryny internetowe udające prawdziwe itp., w celu nakłonienia atakowanego (użytkownika) do wykonania określonych działań, powodujących utratę ważnych przez atakowanego danych, np. numerów kart kredytowych, danych osobowych, danych logowania itp. i – nierzadko – uszczuplenie portfela atakowanego lub finansów firmy, w której pracuje… to ogromny problem na świecie i choć wydawałoby się, że już nikt na to się nie nabierze, zawsze znajdzie się ktoś to kliknie, szczególnie, że maile te stają się coraz bardziej profesjonalne. Phishingi zbierają ogromne żniwo w organizacjach. Według badania przeprowadzonego przez EY dotyczącego cyberbezpieczeństwa, w którym wypowiadały się osoby zarządzające 64% odpowiedziało, że czynnikiem wpływającym na zagrożenie bezpieczeństwa cyfrowego w firmie jest czynnik ludzki. Te same osoby w ponad 40% wskazało, że firmy nie dostarczyły odpowiedniego szkolenia swoim pracownikom.
Dużo mówimy o RODO, natomiast o bezpieczeństwie w sieci mniej, a przecież jedno łączy się z drugim. Dlaczego?
RODO na pewno dużo zmieniło, ale nie powinno być tematem, który pomija aspekt cyberbezpieczeństwa. Uczestniczę w projektach związanych z wdrażaniem RODO i nie wyobrażam sobie, że można zrobić to skutecznie pomijając aspekt bezpieczeństwa cyfrowego.
Jak wygląda zapotrzebowanie na specjalistów od cyberbezpieczeństwa w stosunku do faktycznej liczby osób o takich kompetencjach?
Specjalistów w tej dziedzinie jest bardzo mało. To jeden z zwodów, w których braki kompetencyjne są ogromne. Szacuje się, że są to już ponad 2 miliony specjalistów w skali globalnej. W ostatnim raporcie KMPG „Barometr cyberbezpieczeństwa” wskazano, że głównym powodem braku zapewnienia bezpieczeństwa w firmie jest niedobór kadr, a prezesi firm odpowiedzieli, że zatrudnienie ekspertów od bezpieczeństwa informacji jest dla nich większym problemem niż pozyskanie finansowania w tym obszarze. To ciekawy trend, bo do tej pory, finanse stanowiły niekwestionowany bloker w podniesieniu poziomu bezpieczeństwa w organizacjach.
Jak pozyskiwać takich specjalistów?
Przede wszystkim powinniśmy zachęcać ludzi do tego, żeby wybierali tę ścieżkę kariery. Wiem jak wymagające jest zbudowanie zespołu specjalistów w zakresie cyberbezpieczeństwa. Jest to złożony temat, ponieważ nie ma czegoś takiego jak ogólny specjalista do cyberbezpieczeństwa. Każdy zajmuje się jakąś specjalnością, których jest wiele. Mogę wymienić trzy główne obszary, które są kluczowe z punktu widzenia działania cyberbezpieczeństwa: technologia, organizacja i prawo. W tym momencie prawo za sprawą tego, co dzieje się w UE i nowych regulacjach nabiera dużo większego znaczenia. Dlatego poza kwestiami organizacyjnymi czy technologicznymi (które są raczej oczywiste) ważne jest, aby w organizacji mieć odpowiednią osobę, która specjalizuje się w prawie dotyczącym cyberbezpieczeństwa, np. w kontraktach z dostawcami technologii i wymaganiach związanych z zapewnieniem odpowiedniego poziomu bezpieczeństwa informacji w organizacji. .
W takim razie gdzie ich szukać?
Z tego co wiem, w Warszawie są dwie uczelnie, na których możemy znaleźć kierunki związane z cyberbezpieczeństwem – Politechnikę Warszawską i Wojskową Akademię Techniczną. Szkół podyplomowych zajmujących się tym temat w Polsce na moje oko mamy około 20-stu. Co ciekawe, co roku około 1000 absolwentów kończy studia związane z cyberbezpieczeństwem, a szacuje się, że na polskie potrzeby powinno ich być około 3 tysięcy rocznie.
Jednak samo ukończenie studiów nie wystarcza, ponieważ cyberbezpieczeństwo to obszar, do którego trudno trafić bez żadnego doświadczenia. Oczywiście jest dużo osób, które wywodzi się z IT pracuje w tej branży, a doświadczenie w zakresie bezpieczeństwa najczęściej nabywają już w trakcie projektów. Kluczowe są także certyfikaty i szkolenia branżowe, chociaż mają tyle samo zwolenników co krytyków. Osobiście uważam, że takie certyfikaty mają dużą wartość np. są uznawane w każdym kraju, co umożliwia pracę w międzynarodowych projektach. Trzeba tu wymienić certyfikacje ISACA, ISC2, CSA czy profesjonalne certyfikacje dostawców technologii jak CISCO, Microsoft, Google, AWS czy IBM.… Żadna uczelnia nie będzie miała tak zaktualizowanego programu jak te organizacje i firmy. Jednak certyfikacje nie powinny być nadużywane, ponieważ oprócz teorii oczywiście potrzebna jest praktyka.
Czytaj też „Hackathony trwają, programiści nie zwalniają„
Szukasz innowacyjnych rozwiązań rekrutacyjnych? Sprawdź Niloosoft.