O specjalistach ds. cyberbezpieczeństwa, a także zabezpieczeniu organizacji przed atakiem cybernetycznym – mówi Adam Gałach, Prezes Galach Consulting
Jak deficyt pracowników IT wpływa na cyberbezpieczeństwo przedsiębiorstw?
Odpowiedź jest pozornie prosta – negatywnie. Problem jest jednak zdecydowanie bardziej złożony. Nie każda organizacja może sobie pozwolić na utrzymywanie specjalistów zajmujących się wyłącznie cyberbezpieczeństwem. O ile w przypadku dużych organizacji tworzenie dedykowanych stanowisk lub nawet działów zajmujących się tą tematyką powoli staje się standardem, o tyle w przypadku mniejszych podmiotów odpowiedzialność za działania związane z ochroną przed cyberatakami spoczywa na pracownikach służb informatycznych, przede wszystkim administratorach systemów. W związku z tym byłoby dobrze, gdyby ci pracownicy posiadali odpowiednie kompetencje i mieli czas na zajmowanie się również zabezpieczeniem systemów informatycznych. W praktyce niestety często brakuje jednego i drugiego. Wydawać by się mogło, że przy powszechnym dostępie do materiałów, również darmowych, poświęconych problematyce cyberbezpieczeństwa, zbudowaniem kompetencji w tym zakresie nie powinno być problemu, ale nasze obserwacje wskazują niestety na coś wręcz przeciwnego.
Z zabezpieczeniem systemów informatycznych jest trochę tak jak z ubezpieczeniem. Wydaje się być niepotrzebne, dopóki nie wydarzy się jakiś incydent. Niestety, mam wrażenie, że w ten sposób problem cyberbezpieczeństwa jest postrzegany w mniejszych organizacjach, czego przykładem są chociażby doniesienia prasowe dotyczące ataków na, co poniektóre, urzędy samorządu terytorialnego.
Podsumowując – optymalnym rozwiązaniem jest zatrudnienie osób dedykowanych do zajmowania się zabezpieczeniem organizacji przed atakami cybernetycznymi. Jeżeli jednak nie jest to możliwe – czy to ze względu na ograniczenia budżetowe, czy też ze względu na niedostępność właściwych kandydatów – zadania te powinny być powierzone administratorom.
Alternatywnym lub dodatkowym rozwiązaniem może być skorzystanie ze wsparcia zewnętrznego – czy to w zakresie wykonywania części zadań związanych z zarządzaniem cyberbezpieczeństwem czy też w celu doradzania oraz nadzorowania wykonywanych przez administratorów czynności.
W ostatnich kilku latach mamy wysyp propozycji kursów i szkoleń, których celem jest wyedukowanie i przekwalifikowanie osób, które do tej pory nie miały styczności z IT. Różnego rodzaju szkoły programowania obiecują szkolenia kusząc późniejszymi wysokimi wynagrodzeniami na rynku. Czy Pana zdaniem osoby, które ukończyły tego rodzaju kursy posiadają odpowiednią wiedzą i kompetencję, aby móc pracować jako specjaliści ds. cyberbezpieczeństwa?
Trudno w sposób jednoznaczny odpowiedzieć na to pytanie, ponieważ kursy i szkolenia są bardzo różne. Sądzę jednak, że warto zwrócić uwagę na kwestię posiadania podstawowej wiedzy, bez której trudno stać się specjalistą. Nie wyobrażam sobie, jak można zajmować się zabezpieczeniem systemów informatycznych bez znajomości chociażby zasad funkcjonowania systemów operacyjnych czy protokołów sieciowych. To jednak nudne, dużo ciekawsze jest przecież uruchomienie oprogramowania, które umożliwi zaatakowanie systemu. W efekcie mamy operatorów narzędzi służących do testowania zabezpieczeń, którzy uważają, że wiedzą, który przycisk nacisnąć. Tak jak wcześniej powiedziałem – nie chcę generalizować, ale obawiam się, że z takimi przypadkami możemy niejednokrotnie się spotkać.
Chciałbym również wspomnieć o problemie utożsamiania specjalisty do spraw cyberbezpieczeństwa z pentesterem. O ile przeprowadzanie testów penetracyjnych sprawdzających odporność infrastruktury informatycznej na próby ataków jest bez wątpienia ważne, o tyle z perspektywy organizacji chcącej chronić swoje systemy ważniejszym jest, żeby mieć na pokładzie kogoś, kto wie jakie zabezpieczenia wdrożyć, jak wykryć symptomy ataku i wreszcie w jaki sposób poradzić sobie z incydentem. Jeżeli kurs obejmuje jedynie techniki ataków to takiej wiedzy prawdopodobnie na nim nie pozyskamy.
W takim razie jakie kompetencje powinien posiadać specjalista ds. cyberbezpieczeństwa? Czy są jakieś warunki konieczne (must have), dzięki którym wiemy, że dany człowiek jest specjalistą prawdziwym, a nie udawanym?
Zależy czym taki specjalista miałby się zajmować. Inne wymagania będziemy stawiali konsultantowi, który ma zajmować się testami bezpieczeństwa, inne osobie mającej monitorować systemy i wykrywać próby ewentualnych ataków, jeszcze inne specjaliście weryfikującemu bezpieczeństwo kodu tworzonego oprogramowania. Co do weryfikacji kompetencji – na szczęście jest szereg certyfikatów potwierdzających posiadaną wiedzę, do których otrzymania wymagane jest zarówno zdanie egzaminu, jak i posiadanie udokumentowanego doświadczenia zawodowego. Chyba najbardziej przekrojowym, obejmującym szereg domen bezpieczeństwa – poczynając od zarządzania bezpieczeństwem, poprzez szeroko pojęte bezpieczeństwo teleinformatyczne, a kończąc na zabezpieczeniu budynków i pomieszczeń – jest CISSP (Certified Information Systems Security Professional). Na pewno warto zwrócić uwagę na certyfikaty ISACA, takie jak CISA (Certified Information Systems Auditor) czy CRISC (Certified in Risk and Information Systems Control). Jest również szereg specjalistycznych certyfikatów, dotyczących poszczególnych dziedzin cyberbezpieczeństwa, które powinien posiadać specjalista, adekwatnie do zadań, które mają mu być zlecone. W naszej firmie dbamy o to, aby konsultanci, wraz z rozwojem swoich kompetencji, zdawali egzaminy branżowe kończące się otrzymaniem jednego z takich certyfikatów.
Zatrudniając specjalistę ds. cyberbezpieczeństwa trzeba oczywiście zwrócić uwagę na przebieg jego kariery zawodowej, aczkolwiek życiorys zawodowy może być mylący. Osobiście spotykałem się z sytuacjami, gdy osoby pracujące na stanowiskach, których nazwy wskazywały na znaczne zaangażowanie w problematykę bezpieczeństwa systemów informatycznych, bynajmniej nie miały z tą dziedziną wiele do czynienia.
Na koniec – dobrze byłoby, żeby kandydat posiadał doświadczenie w pracy dla organizacji zbliżonej do tej, która prowadzi rekrutację – zarówno z uwagi na skalę organizacji jak i branży, w jakiej działa. To samo dotyczy zresztą sytuacji, w której decydujemy się na skorzystanie ze wsparcia wyspecjalizowanej firmy zajmującej się problematyką cyberbezpieczeństwa – co może być w praktyce prostszym, szybszym i – w ogólnym rozrachunku – tańszym rozwiązaniem.
Adam Gałach – jest twórcą, współwłaścicielem i prezesem zarządu Galach Consulting Sp. z o.o. Zagadnieniami bezpieczeństwa teleinformatycznego zajmuje się zawodowo od ponad 25 lat. Przed utworzeniem, w 2004 roku, firmy Galach Consulting, pracował w jednym z globalnych koncernów, gdzie kierował międzynarodowym programem budowy centrum kompetencyjnego w zakresie cyberbezpieczeństwa. Wraz ze swoim zespołem realizował projekty dla instytucji rządowych i samorządowych, a także firm reprezentujących szerokie spektrum sektorów gospodarki – poczynając od banków i instytucji finansowych, poprzez różnorakie firmy usługowe, kończąc na szeroko rozumianym przemyśle. Posiada uznane certyfikaty branżowe, jest autorem szeregu książek i artykułów poświęconych problematyce zarządzania bezpieczeństwem informacji i cyberbezpieczeństwem. Ma słabość do ciężarów – w wolnych chwilach trenuje trójbój siłowy.
Last Updated on 18 sierpnia, 2022 by Anastazja Lach