W czasach, gdy coraz więcej usług zostaje przenoszonych w przestrzeń cyfrową, bezpieczeństwo danych odgrywa kluczową rolę. Jest to szczególnie ważne zwłaszcza w organizacjach finansowych, które budują swój kapitał i prestiż na zaufaniu i poczuciu bezpieczeństwa klientów. Jakość zabezpieczeń i zdolność zapobiegania zagrożeniom są istotne ze względu na wartości operacji, ochronę danych osobowych i informacji handlowych.
– Praca specjalisty IT Security w branży finansowej często oferuje dużo ciekawsze wyzwania niż w innych gałęziach rynku. Sektor finansowy jest mocno uregulowany. Istnieje wiele regulacji i norm narzucających wymagania w obszarze security. Zaspokojenie wszystkich zewnętrznych i wewnętrznych wymogów jest sporym, ale jednocześnie bardzo ciekawym wyzwaniem – mówi Michał Jarmołkowicz, Security Engineering Director w UBS.
Czasy, gdy jedna osoba zajmowała się całym obszarem bezpieczeństwa danych, dawno minęły. Coraz więcej organizacji decyduje się na powołanie dedykowanych zespołów IT Security złożonych ze specjalistów potrafiących stworzyć szczelny system zabezpieczeń, który pozwala reagować na ataki nawet najlepiej zorganizowanych grup cyberprzestępców. Ze względu na szybkość oraz skalę transakcji przetwarzanych przez aplikacje biznesowe, a także dynamikę, z jaką zmieniają się wykorzystywane technologie, w obszarze IT Security niezbędny jest nieustanny rozwój wykorzystywanych narzędzi.
– Specjaliści IT Security muszą wciąż poszukiwać nowych sposobów automatyzacji wykonywanych procesów i zadań, rozwijać je i nadzorować. Dostępne obecnie narzędzia i platformy pozwalają robić to na niespotykaną wcześniej skalę – mówi Michał Jarmołkowicz. – Do rozszerzenia naszych zdolności w obszarze Cyber Defense już teraz wykorzystujemy zaawansowane rozwiązania oparte o sztuczną inteligencję. Pomaga nam to chronić organizację przed ciągle zmieniającymi się i wszechobecnymi cyberzagrożeniami – dodaje.
Jak pokazują badania, cyberataki zdarzają się dość często – w 2019 roku co druga firma w Polsce odnotowała przynajmniej jeden cyberincydent. Największym ryzykiem pozostają wycieki danych za pośrednictwem złośliwego oprogramowania – phishing, czyli wyłudzanie danych uwierzytelniających, oraz ogólne tzw. kampanie ransomware.
Bezpieczeństwo IT jest ważne nie tylko dla klientów, których dane staramy się chronić. Ma także duże znaczenie biznesowe z punktu widzenia rozwoju samej organizacji. Dziś to w dużej mierze od sprawnej pracy działów IT Security zależy bowiem, w jakim tempie firma może funkcjonować i konkurować na rynku.
– Największym wyzwaniem zespołów IT Security jest dostarczanie takich rozwiązań, które z jednej strony zagwarantują odpowiedni poziom bezpieczeństwa i informacji o tym, co dzieje się w systemie, a z drugiej – pozwolą biznesowi działać dynamicznie – zauważa Michał Jarmołkowicz.
Ścieżki rozwoju
Ze względu na to, że IT Security to szeroki obszar obejmujący wszystkie aspekty budowania, utrzymania i rozwoju systemów informatycznych, w firmach często zostają wydzielone działy skupiające się na wyzwaniach, z jakimi przychodzi się mierzyć organizacji. Można tu wspomnieć między innymi o Identity and Access Management, Data Protection czy Cyber Security. W UBS w ramach tych specjalności pojawiają się możliwości rozwoju dla wielu specjalistów, takich jak np. Risk & Control Specialist, Business Analyst, Technical Architect, Software Engineer, System Engineer, Quality & Test Engineer, Project Manager czy Service & Product Manager. Możliwości rozwoju w obszarze IT Security jest więc wiele, ale czym się one różnią? Jakich kompetencji wymagają poszczególne stanowiska?
Risk & Control Specialist nieustannie dba o poprawę jakości, skupia się na budowaniu świadomości zidentyfikowanego ryzyka i koordynowaniu zadań mających na celu jego minimalizowanie. Z kolei Business Analyst prowadzi liczne rozmowy z klientami, by zrozumieć wymagania projektu i uchwycić je w postaci procesu. Technical Architect odpowiada za projektowanie i rozwijanie technicznych platform gwarantujących bezpieczeństwo firmy. Quality & Test Engineer tworzy, wykonuje i dokumentuje rozwiązania, które sprawiają, że produkty firmy działają w zamierzony sposób, zgodny z wszelkimi wymaganiami. Senior Test Engineer planuje, organizuje i kontroluje wszystkie aktywności związane z testami, gwarantując jakość rozwiązań. Software Engineer projektuje i rozwija rozwiązania – od małych komponentów po pełne aplikacje potrzebne do wspierania lub realizowania działań w obszarze IT Security. System Engineer odpowiada zaś za utrzymanie środowisk w optymalnej formie oraz dba o wysoką jakość przygotowania uruchomień produktów.
Każdy z tych specjalistów odgrywa ważną rolę w całościowym procesie dostarczania, rozwoju i utrzymania rozwiązań z zakresu bezpieczeństwa danych. Stanowiska różnią się względem wykonywanych zadań, w związku z czym wymagają też innych predyspozycji, wiedzy czy doświadczenia. Natomiast wszyscy pracują z wieloma zaawansowanymi systemami o globalnej skali, dbając zarówno o bezpieczeństwo i stabilność, jak i dobre osiągi aplikacji.
– Niezależnie od roli kluczowe jest jednak myślenie o wykonywanych zadaniach w kategorii procesu. Nie chodzi o to, byśmy pracowali automatycznie, ale o to, byśmy wiedzieli, czego od nas oczekują inni oraz by inni wiedzieli, czego my od nich oczekujemy, i aby obie strony dostrzegały zależności – zaznacza Michał Jarmołkowicz.
Poszukiwane umiejętności
Ułatwieniem do rozpoczęcia pracy w obszarze IT Security może być wiedza zdobyta na kierunkach Cyberbezpieczeństwo i Informatyka, ale – w zależności od roli – może być ona mniej wymagana, podobnie jak umiejętność programowania.
– Osobom zainteresowanym karierą w obszarze IT Security polecam ukończenie skróconego kursu czy zapoznanie się z książką dla CISO (Chief Information Security Officer). To pozwoli zaznajomić się z podstawowymi pojęciami i rodzajami wyzwań – radzi Michał Jarmołkowicz.
W pracy w zespole IT Specialist mile widziana jest certyfikacja CISSP, która wymaga doświadczenia w zawodzie. Dla osób, które dopiero rozpoczynają karierę, dostępna jest opcja Associate of (ISC)² CISSP, która potwierdza zdobycie wiedzy teoretycznej i daje 6 lat na zdobycie wiedzy praktycznej oraz ukończenie pełnej certyfikacji.
– Warto nieustannie kształcić się w ogólnym kierunku, by szeroko orientować się w zagadnieniach IT Security, a szczegółowo zgłębiać jedynie wybrane obszary. Niektórzy robią to w celu zdobycia wymarzonej pozycji Chief Information Security Officera – zarówno z uwagi na wyzwania, jak i gratyfikację finansową, potrafiącą sięgać wysoko – zauważa dodatkowo Michał Jarmołkowicz.
Praca w IT Security staje się coraz bardziej atrakcyjna także ze względu na stabilność zatrudnienia – tak cenioną w tych niepewnych czasach. Szacuje się, że obecnie na świecie brakuje miliona specjalistów ds. IT Security i deficyt ten będzie się pogłębiać. Praca w obszarze bezpieczeństwa danych jest więc szansą dla każdego, kto odnajdzie pasję w tej dziedzinie, niezależnie od skończonego kierunku studiów.
Wywiad z Maciejem Frymorgenem, Security System Engineerem w UBS