PracaCyberbezpieczeństwo
Specjalista ds. bezpieczeństwa IT – jak dostać pracę?
Do rozpoczęcia pracy na stanowisku specjalisty z zakresu bezpieczeństwa IT niezbędna jest m.in. praktyka w zakresie administracji systemami IT, a także – znajomość zagadnień związanych z ochroną środowisk teleinformatycznych oraz trendów i bieżących zagrożeń w obszarze IT. Jednocześnie, rosnące znaczenie kwestii bezpieczeństwa IT w realiach biznesowych sprawia, że na rynku pracy coraz bardziej brakuje osób potrafiących wziąć odpowiedzialność za ten obszar. Jak zatem wygląda poszukiwanie pracy na stanowisku specjalisty IT z perspektywy rekrutera?
Powszechne wykorzystanie technologii IT oraz świadomość, jak ważna jest informacja sprawia, że zarówno indywidualni użytkownicy, jak i firmy są bardziej narażeni na ataki cyberprzestępców. W związku z tym dla wielu organizacji, w szczególności operujących ogromnymi ilościami danych, kluczowa staje się tematyka bezpieczeństwa. W ostatnich 2–3 latach wiele firm zainwestowało znaczne środki oraz wdrożyło nowe projekty związane bezpośrednio ze zwiększeniem poziomu bezpieczeństwa informatycznego. Dodatkowo, wejście w życie w 2018 roku nowej ustawy o ochronie danych osobowych GDPR/RODO spowodowało, że mniejsze organizacje również musiały wprowadzić rozwiązania i procedury podnoszące poziom cyberbezpieczeństwa. Z tego powodu specjalizacja security w IT nabrała jeszcze większego znaczenia.
Specjalista ds. bezpieczeństwa IT – charakterystyka stanowiska
Pracę w obszarze security można rozpocząć, nie posiadając kierunkowej edukacji ani ukończonych kursów, ale konieczna jest praktyczna styczność z tematem. Osoby pracujące na stanowisku specjalisty ds. bezpieczeństwa IT z reguły zaczynają od bardzo szerokich i ogólnych zagadnień i z biegiem czasu kierunkują swój rozwój na konkretną specjalizację, co z kolei może wymagać pogłębienia wiedzy na kursach. Niektóre projekty, na przykład publiczne lub związane z bankowością, wymagają posiadania certyfikatów potwierdzających konkretne kompetencje. W domowym zaciszu nie będziemy mieli możliwości, aby poznać szczegóły szeroko pojętej tematyki security, są one zdobywane podczas praktyki zawodowej.
W obszarze security wyróżniamy dwie główne specyfikacje stanowisk:
1. Offensive security
2. Deffensive security
Są to dwie różne perspektywy. Pierwsza specjalizacja wymaga konieczności postawienia się na miejscu osoby próbującej złamać zabezpieczenia firmy. Druga dotyczy punktu widzenia osoby zabezpieczającej organizację, od której wymagana jest znajomość rodzajów zagrożeń i ataków oraz stosowanych przez hackerów technik, co umożliwia wypracowanie skutecznej obrony. Współpraca przedstawicieli tych dwóch specjalizacji jest bardzo ważna. Przeprowadzając kontrolowany „atak”, pracownik wykrywa luki w oprogramowaniu, infrastrukturze czy systemach. Następnie przedstawia raport z wyników swojej pracy i na jego podstawie osoby odpowiadające za obszar deffensive mogą uaktualnić systemy obronne w firmie – firewalle, antywirusy, ale też procedury, a nawet całe strategie.
Dodatkowo, możemy dokonać podziału, uwzględniając poziom kompetencji technicznych i biznesowych na:
1. Role techniczne,
2. Role biznesowe,
3. Role łączone – na przykład specjalista ds. bezpieczeństwa IT.
Drugi podział jest bardziej przystępny dla osób stawiających pierwsze kroki w tym środowisku:
• W rolach technicznych możemy wyróżnić wszystkie stanowiska, gdzie wymagana jest znajomość technikaliów – tester penetracyjny, security engineer, security architect.
• W rolach biznesowych oczekuje się głównie umiejętności analitycznych, komunikacyjnych, a także w wielu przypadkach doświadczenia w audycie, ocenie ryzyka czy szeroko rozumianej współpracy z innymi podmiotami biznesowymi.
• Role łączone są najczęściej połączeniem roli technicznej z biznesową i wiążą się z odpowiedzialnością za techniczny aspekt bezpieczeństwa aplikacji, infrastruktury i sieci oraz analizą incydentów, procesów i procedur, rekomendacją usprawnień w organizacji, koordynacją szkoleń.
Specjalista ds. bezpieczeństwa IT okiem rekrutera
Jako rekruter, poszukując kandydatów na stanowiska specjalista ds. bezpieczeństwa IT, zwracam uwagę przede wszystkim na dotychczasowe doświadczenie kandydata. Szukam osób, które zdobyły wcześniej umiejętności zarówno w pracy z systemami, jak i infrastrukturą IT. Ważne jest to, aby kandydat miał doświadczenie w projektach związanych z procedurami, procesami lub strategią, a jego dotychczasowe stanowiska wymagały od niego wykorzystywania umiejętności komunikacji i analizy. Dalsze kryteria, czyli doświadczenie w konkretnych obszarach security, są już uwarunkowane wymaganiami danej firmy i na pewno podnoszą wartość kandydata w oczach rekrutera. Podczas spotkania rekrutacyjnego kandydat może się spodziewać przede wszystkim szczegółowej rozmowy na temat obszaru realizowanych zadań oraz case study, czyli projekcji, jak zareagowałby w przypadku określonej sytuacji. W zależności od branży oraz charakteru stanowiska security, firmy badają też znajomość konkretnego obszaru gospodarczego, konkretnych procedur i norm.
Ważne jest to, aby kandydat miał doświadczenie w projektach związanych z procedurami, procesami lub strategią, a jego dotychczasowe stanowiska wymagały od niego wykorzystywania umiejętności komunikacji i analizy.
Techniczne umiejętności IT mogą być weryfikowane poprzez zadanie, które kandydat wykonuje w domu, a wyniki są analizowane przez firmę. Przykładem takiego typu rekrutacji jest rola testera penetracyjnego. Kandydat otrzymuje link do specjalnie przygotowanej strony, którą następnie testuje pod kątem luk bezpieczeństwa oraz przedstawia raport z wynikami. Na stanowiskach związanych z IT Security znajomość języka angielskiego jest wymogiem uzależnionym od stopnia umiędzynarodowienia firmy. Z reguły wszystkie narzędzia wspierające bezpieczeństwo są dostępne w języku angielskim, jednak do jego obsługi wystarczy znajomość języka branżowego. Miałem okazję prowadzić rekrutację dla dużej polskiej organizacji, gdzie znajomość języka angielskiego nie była konieczna.
Więcej ofert pracy i wyższe wymagania
W ciągu ostatnich kilkunastu miesięcy zauważyłem, że wzrosła liczba projektów rekrutacyjnych w obszarze security. Dodatkowo, stanowiska stają się coraz bardziej specjalistyczne, a wymagania, które mają charakter techniczny znajdują miejsce w rolach o nastawieniu biznesowym. Ma to swoje zalety i wady. Pozwala na wejście w obszar szerszemu gronu kandydatów, którzy nie mieli doświadczenia związanego z bezpieczeństwem. Z drugiej strony dana specjalizacja może spowodować, że rekrutacja dotyczy bardzo wąskiego profilu kandydatów i tym samym znacznie ogranicza liczbę zainteresowanych projektem osób. Z perspektywy kandydata może również pojawić się ryzyko, że aplikując na specjalistyczną rolę, „zaszufladkują” się w konkretnej niszy technologicznej, co ograniczy ich rozwój w open-sourcowym środowisku. Obecnie jednak znaczna większość firm bazuje na rozwiązaniach, które są ogólnie znane i dostępne.
Bardziej naturalnie jest wejść w techniczne role security osobom, które wcześniej pełniły funkcje administratora, specjalisty ds. sieci czy na przykład testera. Wymienione typy stanowisk są „usadowione” bliżej technologii, a osoby zajmujące te stanowiska mają częstszy kontakt z innymi technicznymi rolami.
Na rynku można też zauważyć, że bardziej naturalnie jest wejść w techniczne role security osobom, które wcześniej pełniły funkcje administratora, specjalisty ds. sieci czy na przykład testera. Wymienione typy stanowisk są „usadowione” bliżej technologii, a osoby zajmujące te stanowiska mają częstszy kontakt z innymi technicznymi rolami. Z kolei pracownicy pełniący wcześniej stanowisko analityka, project managera, support specialist lub inne wymagające częstszej komunikacji z członkami zespołów lepiej odnajdą się w rolach o charakterze biznesowym.
Z pomocą przychodzą nam również uczelnie – już w trakcie studiów możemy wybrać specjalizację, która jest zgodna z naszymi indywidualnymi preferencjami. Dzięki solidnym podstawom, usystematyzowanej wiedzy oraz często zajęciom praktycznym uzyskujemy wartościowy background do rozmowy z rekruterem na temat teoretycznych aspektów bezpieczeństwa.
Dobre perspektywy zatrudnienia
Branża security przeżywa obecnie wielki „boom” jednak nie jest to apogeum. Dynamika rozwoju technologicznego otaczającego nas świata determinuje zwiększenie nakładów na bezpieczeństwo informacji oraz wdrażanie nowych rozwiązań, które zabezpieczą przed potencjalnymi atakami cyberprzestępców. Firmy stają przed ogromnie trudnym zadaniem – muszą stwarzać nowe miejsca pracy i inwestować znaczne środki w rozwój kompetencji swoich pracowników oraz w nowe rozwiązania techniczne. Dzięki temu z jednej strony osoby rozpoczynające swoją karierę zawodową mają bardzo szerokie pole do wyboru swojego ulubionego obszaru specjalizacji, a z drugiej bardziej doświadczeni pracownicy mogą poszerzyć swoje kompetencje o nowe umiejętności.
Marek Templer, Senior IT Consultant, IT Knowledge Leader w agencji rekrutacyjnej Experis
Cyberbezpieczenstwo – temat rzeka. Jeżeli ktoś chce sprobowac swoich sil to polecam wlozyc sporo pracy własnej po godzinach i polaczyc to z dobra podyplomowka. Ja swoja robilem na WSKZ-ecie i sobie bardzo chwaliłem. Papier to papier, dobry specjalista zawsze zostanie doceniony