Bezpieczeństwo informacji to bardzo szeroka dziedzina, obejmująca wszystkie obszary działań informatycznych. Jego znaczenie w dzisiejszym świecie biznesu jest nie do przecenienia, a rola ta stale rośnie wraz z przenoszeniem coraz większej liczby usług w przestrzeń cyfrową. Kwestie zabezpieczeń i zapobiegania zagrożeniom są szczególnie istotne w obszarze finansów, ze względu na wartość operacji, a także wrażliwe dane osobowe i informacje handlowe. Stanowią również ważny punkt zainteresowania organizacji finansowych, które postrzegane są jako instytucje zaufania publicznego i jako takie budują swój kapitał, prestiż i konkurencyjność na zaufaniu i poczuciu bezpieczeństwa swoich klientów.
W obrębie bezpieczeństwa IT można wyróżnić trzy główne obszary. Pierwszy to zarządzanie bezpieczeństwem, polegające na tworzeniu jego zasad.
– Każde przedsiębiorstwo potrzebuje wewnętrznych regulacji dostosowanych do własnej specyfiki działania – tłumaczy Witosław Wolański, architekt korporacyjny, Banking IT w Nordea Bank AB Oddział w Polsce. – Dotyczą szerokiego spektrum, od polityki bezpieczeństwa po szczegółowe regulacje dotyczące bezpieczeństwa informacji i różnych obszarów przetwarzania danych czy aktywności użytkowników.
Drugi obszar to zagadnienia związane z bezpieczeństwem operacji, czyli praktyczne zabezpieczenie systemów informatycznych, śledzenie zachodzących w nich zdarzeń, ich interpretacja i reagowanie na zjawiska niepożądane bądź ataki. Trzeci stanowi wsparcie projektów w dziedzinie bezpieczeństwa informacji.
– To bardzo szeroki obszar, w ramach którego eksperci mają za zadanie, przy zastosowaniu wewnętrznych regulacji i najlepszych praktyk bezpieczeństwa, wspierać rozwój bezpiecznych systemów funkcjonujących w infrastrukturze informatycznej przedsiębiorstwa – tłumaczy ekspert.
Cechą charakterystyczną tej branży jest jej zmienność. Wraz z pojawianiem się nowych technologii i ich rozwojem rosną wyzwania związane z zapewnianiem bezpieczeństwa informacji. Nasz ekspert za największe i jednocześnie najciekawsze obecnie uznaje połączenie wielu systemów, wykorzystanie wielu urządzeń i pracę oraz korzystanie z zasobów z różnych miejsc. Wymaga to wysokiej skuteczności zabezpieczeń.
Ścieżka kariery
To, w jakim miejscu rozpocznie się ścieżka kariery w bezpieczeństwie IT i dokąd poprowadzi, zależy od wielu czynników. Rozwój nowych możliwości technicznych nie zwalnia i przekłada się na dynamikę branży, zatem mogą pojawić się zarówno nowe role, jak i niestandardowe wyzwania na istniejącym już stanowisku.
– Dużo zależy od wielkości przedsiębiorstwa, jego struktury organizacyjnej, podejścia do bezpieczeństwa – opisuje Witosław Wolański. W mniejszej firmie może to być ścieżka ekspercka (techniczna) albo związana z zarządzaniem bezpieczeństwem, czyli tworzeniem regulacji wewnętrznych. W większych organizacjach, na kolejnym etapie kariery, można zarządzać zespołami ludzi zajmujących się bezpieczeństwem. Duże firmy budują centra bezpieczeństwa (ang. cyber defence center) z wieloma specjalistycznymi rolami i korporacyjną ścieżką kariery.
Poszukiwane umiejętności
Czego pracodawcy oczekują od kandydatów do pracy na stanowisku specjalisty ds. bezpieczeństwa IT?
Przede wszystkim wiedzy – mile widziany jest dyplom studiów kierunkowych – a także znajomości branży i zrozumienia zasad bezpieczeństwa IT oraz jego szczególnej roli w finansach. Przydatne może okazać się doświadczenie w analizie danych i wiedza techniczna z zakresu administracji systemami. Plusem będzie również znajomość procesów i zasad bezpiecznego dostępu do systemów.
W pracy na tym stanowisku potrzebne będą zdolności zarówno analizy, jak i syntezy, a także umiejętność rozwiązywania problemów.
– Bardzo przydaje się praktyka, szczególnie nabyta przy wyjaśnianiu incydentów produkcyjnych, niekoniecznie związanych z bezpieczeństwem – dodaje ekspert. – Składając różne elementy tego typu układanek, analizując ciągi przyczynowo-skutkowe niepowodzeń, zaczynamy rozumieć, jak daleko systemom informatycznym i obsługującym je ludziom do doskonałości i jak ważne jest oparcie codziennej pracy na zdefiniowanych procesach, procedurach i metodykach działania. Przestaje się wówczas widzieć w nich biurokratyczne twory, a zaczyna się je postrzegać jako zbiory zasad porządkujących działania, podobne na przykład do kodeksu drogowego.
Od specjalisty ds. bezpieczeństwa IT oczekuje się również dyspozycyjności, która w tym przypadku oznacza gotowość do pracy w niestandardowych godzinach w razie konieczności interwencji, gdy pojawi się zagrożenie lub wystąpi incydent w systemie.
Portret kandydata uzupełniają umiejętności miękkie w zakresie komunikacji, zdolność skutecznego przekazywania informacji zarówno specjalistom, jak i laikom, umiejętność pracy zespołowej i współpracy, także wirtualnej, w międzynarodowym środowisku, a zatem znajomość języka angielskiego. Mile widziana jest również „smykałka” techniczna.
Co ekspert radzi chcącym rozpocząć karierę w bezpieczeństwie IT? Przede wszystkim śledzenie aktualnych trendów i mediów branżowych.
– Kandydat może też samodzielnie sprawdzać swoje praktyczne umiejętności, np. zabezpieczając swój system i łącząc go bezpośrednio z internetem – mówi Witosław Wolański. – Zapewni to trochę doświadczenia, choć późniejsza praca i tak będzie zależała od aktualnych potrzeb pracodawcy, których nie da się przewidzieć. Oprócz tego warto poznawać różne metody zarządzania IT. Rozumienie i znajomość norm ISO 27000 też niewątpliwie będzie atutem.
Architekt korporacyjny, Banking IT , Nordea Bank Abp SA Oddział w Polsce
Ukończyłem Podstawowe problemy techniki na Politechnice Gdańskiej
Kwalifikacje dodatkowe: Certyfikaty TOGAF i ITIL, różne szkolenia, takie jak BCM, Analiza Biznesowa
Największe plusy mojej pracy: Udział w dużych projektach, praca w międzynarodowym zespole i możliwość ciągłej nauki.
Dlaczego warto u nas pracować: Nordea to duża i stabilna instytucja międzynarodowa, atmosfera pracy jest bardzo dobra.
Czym zajmuje się specjalista w zakresie bezpieczeństwa IT w instytucji finansowej? Jakie kierunki można wyróżnić w obrębie tej dziedziny?
Myślę, że można wymienić trzy obszary. Pierwszy związany jest z zarządzaniem bezpieczeństwem, a ściślej mówiąc, z tworzeniem ram tego zarządzania (ang. governance). Każde przedsiębiorstwo potrzebuje wewnętrznych regulacji dostosowanych do własnej specyfiki działania, począwszy od polityki bezpieczeństwa, na szczegółowych regulacjach dotyczących bezpieczeństwa informacji i różnych obszarów przetwarzania danych czy aktywności użytkowników skończywszy. Podstawowymi narzędziami są tutaj normy ISO z serii 27000, powiązane normy dotyczące zachowania ciągłości działania i zbiory dobrych praktyk.
Drugim obszarem jest bezpieczeństwo operacji, czyli wszystkie działania związane z praktycznym zabezpieczeniem systemów informatycznych, śledzeniem zachodzących w nich zdarzeń, ich interpretacją i reagowaniem na zjawiska niepożądane bądź ataki. Do dyspozycji są systemy wspomagające zarządzanie bezpieczeństwem – klasy SIEM, systemy monitorujące czy też aktywnie wyszukujące słabe punkty.
Trzecim obszarem, często zaniedbywanym, jest wsparcie projektów w dziedzinie bezpieczeństwa informacji. To bardzo szeroka dziedzina, w ramach której eksperci mają za zadanie, przy zastosowaniu wewnętrznych regulacji i najlepszych praktyk bezpieczeństwa, wspierać rozwój bezpiecznych systemów funkcjonujących w infrastrukturze informatycznej przedsiębiorstwa.
Jakie są największe i najciekawsze wyzwania w bezpieczeństwie IT – dziś i jutro?
Myślę, że i największe, i najciekawsze wyzwanie jest jedno. Wszystko jest teraz połączone i coraz trudniej dziś wskazać granice infrastruktury wewnętrznej i zewnętrznej. Użytkownicy oczekują – i słusznie – możliwości pracy zawsze i wszędzie, przy wykorzystaniu wielu urządzeń. Laptopy i smartfony podłączone zdalnie do zasobów firmy są dzisiaj normą, a to podnosi poprzeczkę skuteczności zabezpieczeń.
Oprócz tego wyzwanie stanowi kwestia zagrożenia wewnętrznego (ang. insider threat). Mamy z jednej strony coraz precyzyjniejsze i bardziej wymagające zewnętrzne regulacje dotyczące ochrony danych, a z drugiej dużą rotację pracowników, którym są przyznawane uprawnienia potrzebne do wykonywania zadań. Bardzo łatwo tu o nadużycia, które trzeba umieć odpowiednio wcześnie wykryć.
Wyzwaniem jest też budowanie świadomości użytkowników, popularyzowanie kwestii bezpieczeństwa na poziomie dla nich zrozumiałym i jednocześnie skutecznym w praktyce. Ważne, żeby tzw. bezpiecznik nie był policjantem, ale partnerem, który pokazuje, jak można te same rzeczy robić lepiej i bezpieczniej.
Jak aktualne trendy, zwłaszcza nowoczesne technologie, zmieniają tę branżę?
Myślę, że wszystkie technologie klasy Big Data, które pozwalają w czasie zbliżonym do rzeczywistego analizować olbrzymie ilości informacji, np. z systemów monitorowania i rejestrowania zdarzeń, interpretować je, wiązać i wykrywać symptomy potencjalnych ataków, mogą zdecydowanie wspierać bieżącą pracę w bezpieczeństwie operacyjnym. Istnieją również systemy pozwalające modelować stan wdrożenia i realizacji polityki bezpieczeństwa, a także do zarządzania wymaganiami bezpieczeństwa w projektach. To olbrzymie ilości informacji do przetwarzania, bardzo trudne do zarządzania bez odpowiednich narzędzi.
Jak rozpocząć karierę w bezpieczeństwie IT? Jakie wykształcenie jest niezbędne? Jakie doświadczenie może być przydatne?
Odnoszę wrażenie, że nie kształci się specjalistów w tej dziedzinie, a dość trudno poruszać się tu bez ogólnej wiedzy technicznej, i to dość szerokiej. Bardzo przydaje się praktyka, szczególnie nabyta przy wyjaśnianiu incydentów produkcyjnych, niekoniecznie związanych z bezpieczeństwem. Składając różne elementy tego typu układanek, analizując ciągi przyczynowo-skutkowe niepowodzeń, zaczynamy zrozumieć, jak daleko systemom informatycznym i obsługującym je ludziom do doskonałości i jak ważne jest oparcie codziennej pracy w zdefiniowanych procesach, procedurach i metodykach działania. Przestaje się wówczas widzieć w nich biurokratyczne twory, a zaczyna się je postrzegać jako zbiory zasad porządkujących działania, podobne na przykład do kodeksu drogowego.
Są liczne ścieżki certyfikacji, spośród których najważniejsze to CISSO oraz CISA. Można również zdobywać certyfikaty z zakresu metodyk, takich jak COBIT. Należy jednak zastrzec, że metodyki są narzędziami i każde przedsiębiorstwo będzie je wdrażało i stosowało na własny użytek, dopasowując je do swoich potrzeb i wysuwając na pierwszy plan tylko niektóre obszary.
Jaka może być ścieżka kariery w bezpieczeństwie IT? Jakie są możliwości rozwoju zawodowego?
Na to pytanie nie ma jednoznacznej odpowiedzi. Dużo zależy od wielkości przedsiębiorstwa, jego struktury organizacyjnej, podejścia do dziedziny bezpieczeństwa. Dlaczego tak uważam? Otóż nie wszędzie dział bezpieczeństwa IT będzie rozbudowany, więc dla specjalisty w tej dziedzinie będzie możliwa ścieżka albo ekspercka, techniczna, albo bardziej związana z zarządzaniem bezpieczeństwem, czyli tworzeniem regulacji wewnętrznych. W większych organizacjach jest jeszcze opcja zarządzania zespołami ludzi zajmujących się bezpieczeństwem. Duże firmy budują centra bezpieczeństwa (ang. cyber defence center).
Jak wygląda Pana ścieżka kariery?
Zaczynałem jako specjalista ds. bezpieczeństwa systemów informatycznych, mając szerokie doświadczenie w budowie i wsparciu takich systemów, ale z minimalną wiedzą programistyczną. Zrozumieć dziedzinę bezpieczeństwa pozwoliła mi praca związana z analizą incydentów, dzięki której dowiedziałem się, jak pracują ludzie i co prowadzi do realnych zagrożeń, a także jak można im zapobiegać i skutecznie na nie reagować. Obecnie łączę pozycję architekta korporacyjnego i architekta bezpieczeństwa w bardzo dużym projekcie informatycznym.
Co radziłby Pan młodemu człowiekowi, który chce rozpocząć karierę w dziedzinie bezpieczeństwa IT?
Jeśli jest to dziedzina, która rzeczywiście interesuje kandydata, to przede wszystkim powinien być na bieżąco z pojawiającymi się w niej trendami, śledzić media branżowe. Może też samodzielnie sprawdzać swoje praktyczne umiejętności, np. zabezpieczając swój system i łącząc go bezpośrednio z internetem. Zapewni mu to trochę doświadczenia, choć późniejsza praca i tak będzie zależała od aktualnych potrzeb pracodawcy, których nie da się przewidzieć.
Warto poznać różne metodyki zarządzania IT, w tym szczególnie ITIL czy COBIT, ale niekoniecznie od razu zdobywać z nich certyfikaty – na to będzie czas. Rozumienie i znajomość norm ISO 27000 niewątpliwie będzie atutem. Można również studiować publicznie dostępne materiały, np. niemieckiego BSI.
Architekt korporacyjny, Banking IT , Nordea Bank Abp SA Oddział w Polsce
Jest piątek, późne październikowe popołudnie, biuro już dawno opustoszało, pakuję się do wyjścia i rozpoczęcia weekendu. Dzwoni telefon na biurku, odbieram i po drugiej stronie operator z Call Center informuje, że mają niepokojące zgłoszenie od klienta i chociaż przekazali już sprawę do zespołu utrzymania (maintenance), to uznał, że należy również poinformować zespół bezpieczeństwa. Klient zostawił numer kontaktowy i natychmiast oddzwaniam, by poznać szczegóły. Sprawa rzeczywiście wygląda poważnie i należy się nią natychmiast zająć. Kilka telefonów później uruchomiony jest w pełni zespół problemowy: analitycy weryfikują logi systemowe, developerzy (programiści) sprawdzają newralgiczne obszary kodu, właściciel systemu, którego dotyczy problem, informowany jest na bieżąco o postępach prac. Następnego dnia gotowa i przetestowana poprawka w okienku utrzymaniowym zostaje wdrożona do systemu.
Najważniejsza organizacja
Mogłoby się wydawać, że to banalny opis codzienności w wielu instytucjach. A jednak jest tu wiele elementów, na które warto zwrócić uwagę, bo mogą na pierwszy rzut oka nie być oczywiste.
W świecie online w zasadzie nie ma przerw w pracy i należy być gotowym na interwencję w każdej chwili, nawet odbiegającej od normalnych godzin pracy. Trzeba być przygotowanym na trudne i nieprzewidziane sytuacje. Operator z Call Center nie musiał do końca rozumieć szczegółów opisanego przez klienta problemu, ale miał świadomość, że nie należy ignorować nawet najmniejszych sygnałów świadczących o tym, że system nie pracował zgodnie z oczekiwaniami. Brał udział w szkoleniach z elementów bezpieczeństwa systemów i potrafił rozpoznać, że zgłoszenie dotyczy komponentu istotnego z punktu widzenia bezpieczeństwa. Co więcej, operator wiedział również, co w takiej sytuacji zrobić, gdzie i jak zarejestrować zgłoszenie i kogo powiadomić o incydencie. Miał też odpowiednie narzędzia – system do zgłaszania i obsługi błędów w systemach informatycznych oraz dostęp do materiałów intranetowych opisujących proces i procedury reagowania w przypadku błędów, awarii czy incydentów.
Same narzędzia do zgłaszania incydentów nie wystarczyłyby, gdyby nie miały oparcia w odpowiednio przygotowanej organizacji – zespole ludzi i dyżurach pełnionych właśnie na wypadek takich sytuacji. Analitycy pracowali na danych o zdarzeniach zarejestrowanych w systemie oraz innych współpracujących systemach, dzięki czemu mieli możliwość skorelowania różnych zdarzeń oraz ułatwioną interpretację i mogli szybciej dojść do istoty problemu. Dysponując centralnym repozytorium kodu, wskazali moduł odpowiedzialny za błąd, co ułatwiło dyżurnemu programiście przygotowanie poprawki.
Dzięki systemowi wspierającemu testy automatyczne, bazującemu na przygotowywanych na bieżąco scenariuszach testowych, na wydzielonej testowej instancji systemu docelowego można było szybko i sprawnie wypróbować poprawkę i sprawdzić, czy nie wprowadza niepożądanych skutków ubocznych. Po pozytywnym przejściu testów poprawka została uwzględniona w automatycznie wygenerowanej paczce zmian do wdrożenia w systemie docelowym. Sama instalacja paczki odbyła się również automatycznie, przy minimalnym czasie niedostępności usług i bez potrzeby wykonywania licznych manualnych kroków przez operatora systemu. Na wypadek niepowodzenia system przygotowany był również do automatycznego wycofania zmiany.
Informacje o przejściu do kolejnych kroków rejestrowane były w systemie obsługi incydentów, dzięki czemu zarządzający oraz wszystkie inne osoby zaangażowane w obsługę incydentu były na bieżąco informowane o stanie i postępie prac.
Realne bezpieczeństwo
Myśląc o bezpieczeństwie systemów informatycznych czy szerzej o bezpieczeństwie informacji, często najpierw kojarzymy wyrafinowane zabezpieczenia, takie jak ściany ogniowe, systemy monitoringu i reagowania, systemy wykrywania szkodliwego oprogramowania. W tym kontekście można się zastanawiać, co przytoczony wyżej opis ma wspólnego z bezpieczeństwem?
Otóż ma bardzo dużo, gdyż na realne bezpieczeństwo składa się wiele czynników – nie tylko możliwość wykrycia incydentu, ale przede wszystkim zdolność skutecznej reakcji. A ta opiera się na przygotowaniu organizacji i ludzi, ich wiedzy, świadomości oraz na dysponowaniu właściwymi narzędziami, które wspierają działania różnych specjalistów, zaangażowanych do obsługi incydentu.