Podczas naszego ostatniego spotkania Kawa z Technologią pod lupę wzięliśmy bezpieczeństwo IT, o którym opowiadał Adrian Sroka – Cyber Security Expert. W naszej rozmowie spytaliśmy Adriana o codzienną pracę w dziedzinie bezpieczeństwa IT. Poprosiliśmy także, aby z perspektywy eksperta z tego obszaru podzielił się z nami nie tyle samą wiedzą, ale raczej potwierdzonymi metodami na odniesienie sukcesu w obszarze bezpieczeństwa IT.
Diverse CG: Jak wygląda praca Specjalisty ds. bezpieczeństwa IT?
Adrian Sroka: Z jednej strony, praca Specjalisty od bezpieczeństwa IT jest pełna wyzwań i różnorodności, z drugiej wymaga przede wszystkim sumienności i skrupulatności. Konkretne zadania są mocno uzależnione od obszaru bezpieczeństwa, w którym pracuje Specjalista.
Codzienne zadania architekta bezpieczeństwa składają się z kilku aspektów. Najważniejszym z nich jest modelowanie ryzyka podczas projektowania nowych funkcjonalności bądź też analizy tych już istniejących. Kolejnym elementem jest projektowanie wymagań biznesowych w bezpieczny sposób oraz rozmowy z biznesem, czy też z klientem na temat tego, jak powinniśmy zabezpieczać system i dlaczego jest to istotne. Następnym elementem pracy jest weryfikacja gotowych rozwiązań – zarówno na poziomie kodu, jak i zgodności z różnymi standardami.
DCG: Jakie umiejętności są niezbędne, co się przydaje i o czym nie można zapominać?
AS: Niezbędne są przede wszystkim solidne podstawy techniczne dotyczące wielu aspektów wytwarzania oprogramowania. Od kodu, przez infrastrukturę, aż po tematykę DevOps. Poza tym niezwykle ważne jest analityczne i nieraz krytyczne myślenie.
Bardzo istotne są również umiejętności miękkie, z tego powodu, że praca na takim stanowisku często wymaga wielu dyskusji, koordynacji z innymi specjalistami, a niekiedy edukowania innych członków zespołu.
DCG: Pięć najlepszych sposobów na zdobywanie wiedzy?
AS: Najważniejsza jest przede wszystkim praktyka. Możemy ją nabyć nie tylko podczas pracy zawodowej, ale również we własnym zakresie - np. na różnego rodzaju hackathonach czy wyzwaniach bezpieczeństwa, które pojawiają się w sieci.
Kolejnym niezwykle ważnym aspektem jest bycie na bieżąco. Obszar bezpieczeństwa dość szybko ewoluuje (choć nie tak szybko jak frontend). "Źli ludzie" wymyślają nowe rodzaje ataków, podczas gdy "dobrzy" nowe narzędzia do zabezpieczania bądź weryfikacji zabezpieczeń. Starsze zagrożenia są cały czas istotne, ponieważ stanowią zdecydowany procent wszystkich ataków sieciowych.
Jednym z niezwykle efektywnych sposobów zdobywania wiedzy w tym obszarze jest edukowanie innych. Dopiero, gdy zaczynamy tłumaczyć innym zagadnienia, jesteśmy w stanie dogłębnie je zrozumieć i skonfrontować je z rzeczywistością.
DCG: A jak jest z certyfikatami, które zagwarantują nam otwartą furtkę do kariery?
AS: Certyfikaty same w sobie nie są przepustką do kariery. Dużo ważniejsze jest doświadczenie i praktyka. Uważam, że certyfikaty są dobrą metodą na usystematyzowanie swojej wiedzy. Najpopularniejsze certyfikaty w tej dziedzinie to:CISSP dla managerów a także CEH oraz OSCP dla pen testerów.
DCG: Czy w dobie COVID-19 specjaliści ds. bezpieczeństwa IT mają dużo pracy?
AS: Sporo. Obszar bezpieczeństwa jest bardzo ważny. Należy o tym pamiętać szczególnie w okresie szybkiej reorganizacji firm w kierunku pracy zdalnej. Zapewnienie ciągłości procesów musi iść w parze z zapewnieniem adekwatnego poziomu bezpieczeństwa danych - takiego, jaki firma miała do tej pory. Do tego wszystkiego dochodzi presja czasu. Szczególnie istotna jest także troska o świadomość zagrożeń wśród pracowników (security awareness) i edukacja zespołów w tym obszarze. Bez odpowiedniego przemyślenia kwestii bezpieczeństwa, firma może niepotrzebnie eksponować się na ataki w tym i tak niespokojnym okresie.
Bezpieczeństwo IT, TECHNOLOGIE
