Najczęstszym problemem wśród specjalistów zajmujących się bezpieczeństwem informacji jest brak kompetencji cyfrowych. Niedobór specjalistów wysokiej klasy w tym obszarze jest identyfikowany z zagrożeniem dla cyberbezpieczeństwa, a dalej dla przychodów, bezpieczeństwa i stabilności gospodarczej. To prawda – jednak tylko do pewnego stopnia. W taki sposób problem jest definiowany w większości przypadków – jedynie jako brak wykwalifikowanych kandydatów na podobne stanowiska. Z naszych doświadczeń wynika, że nie do końca tak jest.
Ile kompetencji cyberbezpieczeństwa można kupić za 10 tys. PLN?
Niektóre problemy związane z zatrudnianiem pracowników bezpieczeństwa odzwierciedlają szersze kwestie kadrowe: każdy chce mieć „gotowego do potrzeb człowieka” – specjalistę, ale niekoniecznie za stawkę rynkową. Często słyszymy argumenty odnoszące się do „braku czasu na szkolenia kogoś” z jednoczesną deklaracją „potrzeby natychmiastowego złagodzenia zagrożeń”.
Czym w ogóle jest cyberbezpieczeństwo?
Wiele organizacji wydaje się budować wymagania kadrowe w zakresie cyberbezpieczeństwa wokół tytułu zawodowego w dziedzinie informatyki. Dawniej była to dobra strategia, ale obecnie tytuły zawodowe związane z informatyką i cyberbezpieczeństwem nieco się rozbiegają – z kilku powodów.
Oczywiście cyberbezpieczeństwo jest bezpośrednio skorelowane z informatyką, zarówno pod kątem zasobu wiedzy, jak i codziennych czynności. Jednak większość osób zajmujących się informatyką chce tworzyć oprogramowanie. Ponadto większość programów edukacyjnych z zakresu informatyki oferuje niewielki zakres wiedzy w obszarze bezpieczeństwa. Częściowo wynika to z faktu, że jest ogrom innych materiałów do omówienia, a częściowo dlatego, że samo bezpieczeństwo nie jest jeszcze odrębną dziedziną. Dla złagodzenia braków kadrowych obiecujące są dziś metodologie DevSecOps. Dzięki nim programiści mogą z czasem poznawać dziedzinę i zacząć dbać o bezpieczeństwo, jednak w tej chwili nie są to jeszcze bardzo popularne metodologie.
O którym cyberbezpieczeństwie mówimy?
Póki co, sama problematyka bezpieczeństwa jest niedokładnie zdefiniowana. Obejmuje tak wiele różnych zestawów umiejętności, że nawet doświadczeni eksperci ds. bezpieczeństwa często nie wiedzą jaki dokładnie powinien być zakres ich odpowiedzialności. Ta specjalizacja obejmuje takie elementy, jak analiza złośliwego oprogramowania, testy penetracyjne, przegląd kodu, analiza kryminalistyczna, analiza zagrożeń, ocena ryzyka, ocena zgodności, kryptografia – szyfrowanie, monitorowanie sieci i reagowanie na incydenty. Wymaga także zrozumienia innych dziedzin, w tym tworzenia oprogramowania, architektury aplikacji, architektury informacji, wizualizacji danych, prawa, podstawowych zasad biznesowych i skutecznej komunikacji. Czasami wymaga wiedzy z dziedzin takich jak geopolityka, ekonomia globalna, przeciwdziałanie terroryzmowi, psychologia behawioralna i metody statystyczne.
Żadna instytucja, póki co, nie jest w stanie skutecznie tego wszystkiego ująć w jednym programie. Ponadto potrzeby poszczególnych organizacji będą również zdeterminowane różniącymi się od siebie strategiami, architekturami bezpieczeństwa oraz perspektywą osób odpowiedzialnych za zatrudnianie. Oznacza to, że nawet doświadczeni specjaliści po prostu muszą stale zdobywać nowe umiejętności.
Dlatego właśnie zawodowe stopnie zdobyte na uczelniach, nie przystają do rzeczywistości, a sama dziedzina jest tak odporna na kategoryzację. Obecnie tylko osoby nieustająco uzupełniające wiedzę w tym obszarze mogą czuć się prawdziwymi specjalistami. Z naszego doświadczenia wynika, że jest to kluczowa cecha eksperta cyberbezpieczeństwa: nieustanne zainteresowanie dziedziną, ideą bezpieczeństwa, czy doniesieniami w tym obszarze. Taki specjalista po prostu nauczy się wszystkiego, czego będzie od niego wymagała sytuacja – często taka, do której trudno będzie znaleźć eksperta z doświadczeniem w tym obszarze, bo cyberzagrożenia nieustannie się zmieniają i stale napotykamy na jakieś zupełnie nowe.
Skuteczniej: wyszkolić własnych ekspertów ds. cyberbezpieczeństwa
Inwestowanie w niewykwalifikowanych, ale zmotywowanych kandydatów może wydawać się ryzykowne. Byłoby wspaniale, gdyby można po prostu stworzyć eksperta bezpieczeństwa ze studenta, ale zarówno historia, jak i rozwój dziedziny cyberochrony wskazują na potrzebę budowania kompetencji, a nie „kupowania” ich w ten sposób. Kluczem do pozyskania odpowiedniego specjalisty jest przetestowanie jego pasji. Dla ekspertów ds. cyberbezpieczeństwa ciągłe uczenie się jest częścią pracy.
Jeśli już znajdujemy kogoś, kogo ciągnie do tematu cyberbezpieczeństwa z tytułu zainteresowań, to postawienie na szkolenie takiej osoby jest celowe. Z naszych doświadczeń wynika, że pasjonaci są bardziej efektywni, zaś ich szkolenie nie winduje kosztów tak, jak zatrudnianie ekspertów „na miarę”. Musimy również podkreślić, co także wynika z naszego doświadczenia, że wielu najlepszych kandydatów będzie pochodzić z innych środowisk, niż tradycyjnie – informatyka. Samouki, pasjonaci, hobbyści i kandydaci do nauki programowania są chętni i zdolni do uczenia się, a w związku z tym do osiągania sukcesów w tej coraz istotniejszej dla życia i gospodarki dziedzinie.