Najcz?stszym problemem w?ród specjalistów zajmuj?cych si? bezpiecze?stwem informacji jest brak kompetencji cyfrowych. Niedobór specjalistów wysokiej klasy w tym obszarze jest identyfikowany z zagro?eniem dla cyberbezpiecze?stwa, a dalej dla przychodów, bezpiecze?stwa i stabilno?ci gospodarczej. To prawda – jednak tylko do pewnego stopnia. W taki sposób problem jest definiowany w wi?kszo?ci przypadków – jedynie jako brak wykwalifikowanych kandydatów na podobne stanowiska. Z naszych do?wiadcze? wynika, ?e nie do ko?ca tak jest.
Ile kompetencji cyberbezpiecze?stwa mo?na kupi? za 10 tys. PLN?
Niektóre problemy zwi?zane z zatrudnianiem pracowników bezpiecze?stwa odzwierciedlaj? szersze kwestie kadrowe: ka?dy chce mie? „gotowego do potrzeb cz?owieka” – specjalist?, ale niekoniecznie za stawk? rynkow?. Cz?sto s?yszymy argumenty odnosz?ce si? do „braku czasu na szkolenia kogo?” z jednoczesn? deklaracj? „potrzeby natychmiastowego z?agodzenia zagro?e?”.
Czym w ogóle jest cyberbezpiecze?stwo?
Wiele organizacji wydaje si? budowa? wymagania kadrowe w zakresie cyberbezpiecze?stwa wokó? tytu?u zawodowego w dziedzinie informatyki. Dawniej by?a to dobra strategia, ale obecnie tytu?y zawodowe zwi?zane z informatyk? i cyberbezpiecze?stwem nieco si? rozbiegaj? – z kilku powodów.
Oczywi?cie cyberbezpiecze?stwo jest bezpo?rednio skorelowane z informatyk?, zarówno pod k?tem zasobu wiedzy, jak i codziennych czynno?ci. Jednak wi?kszo?? osób zajmuj?cych si? informatyk? chce tworzy? oprogramowanie. Ponadto wi?kszo?? programów edukacyjnych z zakresu informatyki oferuje niewielki zakres wiedzy w obszarze bezpiecze?stwa. Cz??ciowo wynika to z faktu, ?e jest ogrom innych materia?ów do omówienia, a cz??ciowo dlatego, ?e samo bezpiecze?stwo nie jest jeszcze odr?bn? dziedzin?. Dla z?agodzenia braków kadrowych obiecuj?ce s? dzi? metodologie DevSecOps. Dzi?ki nim programi?ci mog? z czasem poznawa? dziedzin? i zacz?? dba? o bezpiecze?stwo, jednak w tej chwili nie s? to jeszcze bardzo popularne metodologie.
O którym cyberbezpiecze?stwie mówimy?
Póki co, sama problematyka bezpiecze?stwa jest niedok?adnie zdefiniowana. Obejmuje tak wiele ró?nych zestawów umiej?tno?ci, ?e nawet do?wiadczeni eksperci ds. bezpiecze?stwa cz?sto nie wiedz? jaki dok?adnie powinien by? zakres ich odpowiedzialno?ci. Ta specjalizacja obejmuje takie elementy, jak analiza z?o?liwego oprogramowania, testy penetracyjne, przegl?d kodu, analiza kryminalistyczna, analiza zagro?e?, ocena ryzyka, ocena zgodno?ci, kryptografia – szyfrowanie, monitorowanie sieci i reagowanie na incydenty. Wymaga tak?e zrozumienia innych dziedzin, w tym tworzenia oprogramowania, architektury aplikacji, architektury informacji, wizualizacji danych, prawa, podstawowych zasad biznesowych i skutecznej komunikacji. Czasami wymaga wiedzy z dziedzin takich jak geopolityka, ekonomia globalna, przeciwdzia?anie terroryzmowi, psychologia behawioralna i metody statystyczne.
?adna instytucja, póki co, nie jest w stanie skutecznie tego wszystkiego uj?? w jednym programie. Ponadto potrzeby poszczególnych organizacji b?d? równie? zdeterminowane ró?ni?cymi si? od siebie strategiami, architekturami bezpiecze?stwa oraz perspektyw? osób odpowiedzialnych za zatrudnianie. Oznacza to, ?e nawet do?wiadczeni specjali?ci po prostu musz? stale zdobywa? nowe umiej?tno?ci.
Dlatego w?a?nie zawodowe stopnie zdobyte na uczelniach, nie przystaj? do rzeczywisto?ci, a sama dziedzina jest tak odporna na kategoryzacj?. Obecnie tylko osoby nieustaj?co uzupe?niaj?ce wiedz? w tym obszarze mog? czu? si? prawdziwymi specjalistami. Z naszego do?wiadczenia wynika, ?e jest to kluczowa cecha eksperta cyberbezpiecze?stwa: nieustanne zainteresowanie dziedzin?, ide? bezpiecze?stwa, czy doniesieniami w tym obszarze. Taki specjalista po prostu nauczy si? wszystkiego, czego b?dzie od niego wymaga?a sytuacja – cz?sto taka, do której trudno b?dzie znale?? eksperta z do?wiadczeniem w tym obszarze, bo cyberzagro?enia nieustannie si? zmieniaj? i stale napotykamy na jakie? zupe?nie nowe.
Skuteczniej: wyszkoli? w?asnych ekspertów ds. cyberbezpiecze?stwa
Inwestowanie w niewykwalifikowanych, ale zmotywowanych kandydatów mo?e wydawa? si? ryzykowne. By?oby wspaniale, gdyby mo?na po prostu stworzy? eksperta bezpiecze?stwa ze studenta, ale zarówno historia, jak i rozwój dziedziny cyberochrony wskazuj? na potrzeb? budowania kompetencji, a nie „kupowania” ich w ten sposób. Kluczem do pozyskania odpowiedniego specjalisty jest przetestowanie jego pasji. Dla ekspertów ds. cyberbezpiecze?stwa ci?g?e uczenie si? jest cz??ci? pracy.
Je?li ju? znajdujemy kogo?, kogo ci?gnie do tematu cyberbezpiecze?stwa z tytu?u zainteresowa?, to postawienie na szkolenie takiej osoby jest celowe. Z naszych do?wiadcze? wynika, ?e pasjonaci s? bardziej efektywni, za? ich szkolenie nie winduje kosztów tak, jak zatrudnianie ekspertów „na miar?”. Musimy równie? podkre?li?, co tak?e wynika z naszego do?wiadczenia, ?e ??wielu najlepszych kandydatów b?dzie pochodzi? z innych ?rodowisk, ni? tradycyjnie – informatyka. Samouki, pasjonaci, hobby?ci i kandydaci do nauki programowania s? ch?tni i zdolni do uczenia si?, a w zwi?zku z tym do osi?gania sukcesów w tej coraz istotniejszej dla ?ycia i gospodarki dziedzinie.
