Díky vlastním zkušenostem a dotazování manažerů CISO (Chief Information Security Officer) v mnoha zemích jsme zjistili, že třetina z nich má problém s najímáním zkušených odborníků na kybernetickou bezpečnost.
Za každým technologickým řešením stojí lidé, a tak není možné jakékoliv digitální nebo kyberbezpečnostní nástroje používat bez pomoci profesionálů. Nemyslím si, že by byl problém v nedostatku talentů a nadějných mladých lidí, kteří se o práci v kyberbezpečnosti ucházejí. Viděl bych ho spíše v tom, že velké části pozic, které je potřeba obsadit, se nedostává dostatečné pozornosti, a tak zůstávají neobsazené.
Pro ty, kteří chtějí v oblasti IT zabezpečení nastartovat kariéru, je toto jedinečná šance. Je ale nutné vědět, jakou specializaci si vybrat a jaké dovednosti jsou k tomu potřeba. Proto jsem si pro vás připravil několik tipů a zároveň bych rád poukázal na některé profese, ve kterých je podle našich zjištění nedostatek zaměstnanců nejpalčivější.
Tato specializace se dostává do centra pozornosti, přičemž pokrývá ochranu dat a soukromí a dodržování zákonů s tím spojených. Odborníci, kteří pracují jako Privacy Officers, by měli mít kvalifikaci jak v legislativě, tak i v kyberbezpečnostních technologiích. Díky tomu společnostem pomohou co nejefektivněji organizovat ukládání dat, jejich zpracování a ochranu v souladu se zákony.
Většinou ale odborníci bývají zběhlejší v legislativě než v technologiích. Často se pak stává, že pracovník na pozici Data Protection Officer zná skvěle teorii, dokáže společnostem poradit, jak s daty nakládat, ale již neví, jak daný úkol provést po technické stránce. To znamená, že se pak s IT specialisty a zaměstnanci baví jinou řečí.
I to je jeden z důvodů, proč jsou odborníci v oblasti IT práva velmi dobře placeni. Například zaměstnanec na pozici Compliance and Data Protection Officer si podle PayScale či Glassdoor průměrně přijde zhruba na 1,85 milionu Kč a Privacy Officer až 2,63 milionu Kč ročně. Poptávka po těchto lidech poroste především v oblastech jako je IoT, protože u těchto řešení a služeb začínají být vyžadovány vyšší standardy zabezpečení soukromí a osobních dat.
Podíváme-li se na více technologicky zaměřené pozice, tak jednou z nich je určitě práce v kyberbezpečnostní architektuře. Jedná se o dobře známou profesi, do které se však těžce shánějí pracovníci. Společnosti se snaží najít odborníky, kteří jsou schopni vidět věci v širším kontextu a poskládat jednotlivé díly kyberbezpečnostní skládačky do jednoho fungujícího mechanismu.
Tito odborníci by měli mít co největší přehled o všech aspektech kyberbezpečnosti uvnitř společnosti, ať už se jedná o endpoint ochranu nebo mechanismy zabezpečení před zacílenými útoky. V problematice nemusí být ani tak zběhlí jako specifičtí experti, ale jejich znalosti musí být dostatečné na to, aby dokázali postavit funkční ochranný systém. To vyžaduje komplexní znalosti funkcí jednotlivých částí infrastruktury a jak se navzájem ovlivňují. V neposlední řadě je důležité být schopným manažerem.
Podobně jako tomu je u pozic zabývajících se IT právem, tak i kyberbezpečnostní architekti jsou velmi dobře ohodnoceni. Payscale průměrný plat v této oblasti odhaduje na 2,85 milionu Kč ročně.
Po kyberbezpečnostních architektech, stejně jako bezpečnostních manažerech různých úrovní je poptávka ve spoustě společností. Pak zde ale máme i užší specializace, jejichž odbornost není nutná na všech pracovištích, ale i přesto se potýkáme s nedostatkem kvalifikovaných lidí. Jednou z nich je role big data analytika, který dokáže postavit matematické modely pro detekci anomálií na základě analýzy velkých dat. Tito odborníci jsou vyhledávaní především společnostmi, které využívají vyššího stupně kyberochrany nebo samy nabízejí určitý druh kyberbezpečnostních služeb (např. systémoví integrátoři nebo prodejci kyberbezpečnostních řešení).
Analýza velkých dat a matematické modely se využívají napříč mnoha oblastmi. E-komerce, jakýkoliv typ digitálních služeb a banky – prakticky všechny oblasti, kde se nějakým způsobem využívají data o spotřebitelském chování. V kyberbezpečnosti pomáhají velká data detekovat anomálie v chování různých objektů v nepřetržitém bílém šumu a vytvářejí algoritmy, které popisují, jak jednat v případě výskytu anomálií. Odborníci v této oblasti by měli být velmi zdatní v analytice, matematice, statistice a modelování. Mimo to je nezbytné, aby měli dokonalý přehled o kybernetických hrozbách a útocích. Za to vše jsou samozřejmě i náležitě odměněni. Průměrný plat takového analytika dat v kyberbezpečnosti je 2,72 milionu Kč.
Tradičnější a běžnější specializace určitě také stojí za zmínku, protože se zde stále nachází prostor pro zlepšení a příležitosti, kterých se vyplatí chopit.
V centrech bezpečnostních operací (SOC) panuje v podstatě nepřetržitá poptávka po zaměstnancích, nicméně požadavky se v průběhu času mění. Schopnost detekovat problémy a reagovat na ně vystřídaly jejich prevenci. Vyšlo totiž najevo, že není možné předejít 100 % útoků a infekcí. Místo toho je kladen důraz na to, aby společnosti byly schopny napadení detekovat co nejdříve, minimalizovat následky a přežít v konkurenceschopných podmínkách.
Kvůli tomu v centrech bezpečnostních operací potřebují odborníky, kteří dokážou detekovat hrozby a následně se s nimi i vypořádat. Kromě samotného monitoringu se od nich požaduje tvorba pravidel pro detekci a schopnost přetransformovat jakýkoliv útok nebo podezřelé uživatelské chování do algoritmu, který by stejné situace v budoucnu dokázal zachytit.
Kromě technických schopností se určitě dá pracovat i na těch manažerských. Není zdaleka výjimkou, že manažeři v kyberbezpečnosti nejsou příliš zběhlí v jemných dovednostech, mezi které patří například komunikace, vůdcovství, efektivní vyjednávání, cit pro byznys či znalost trhu. Nedostatečných komunikačních schopností si u absolventů oboru kyberbezpečnosti všímá 70 % vedoucích pracovníků v IT.
Kyberbezpečnostní manažeři na jakékoliv úrovni by měli být schopni vést své oddělení tak, aby dostálo firemním požadavkům na zabezpečení. Zároveň by měli být schopni mluvit s ostatními zaměstnanci srozumitelnou řečí a v případě potřeby komunikovat s ostatními odděleními uvnitř organizace. Zajímavé je, že ani na těch nejvyšších manažerských pozicích nejsou schopnosti vést tým považovány za prioritu. V průzkumu mezi CISO manažery z roku 2018 jsme dokonce zjistili, že pouhá 2 % z nich považují schopnost vést lidi za jednu ze tří nejdůležitějších vlastností úspěšného CISO manažera.
Nové pozice v IT bezpečnosti se často objevují v nejrůznějších oborech a vyžadují poměrně hluboké znalosti z různých odvětví. Univerzitní programy zaměřené na tuto oblast nemohou pokrýt celé spektrum problematiky, a proto je sebevzdělání zcela nezbytné, chcete-li se stát schopným kyberbezpečnostním odborníkem.
Zejména studenti si musí vybrat pole působnosti, kterému se budou chtít věnovat a v něm následně rozvíjet své schopnosti. Jakmile začnou pracovat, je stěžejní, aby se jejich práce nestala rutinní, a nevyvinul se tak u nich syndrom vyhoření. Na začátku kariéry se sice rutině jen stěží vyhnou, ale je pouze na nich, jestli budou proaktivní a budou pracovat na nových věcech a sebezdokonalovat se. Naštěstí existuje celá řada vzdělávacích materiálů, zdrojů a komunit, které všechny pomáhají vylepšovat jejich vědomosti a naučí je něco nového.
Pomoc ve zlepšování dovedností může přijít i ze strany zaměstnavatele. Řada společností, zejména z oblasti IT, které berou kyberbezpečnost velmi vážně, pravidelně investuje do dalšího vzdělávání, školení a rozvoje svých zaměstnanců. Ze strany zaměstnanců je pak důležité si ujasnit priority a vybrat si takový směr, ve kterém se chtějí zdokonalovat. Následně mohou budovat kariéru, zdokonalovat se a demonstrovat své schopnosti tak, aby se odlišili od šedi rutinního pracovního dne.
Autor je generální ředitel Kaspersky pro východní Evropu
PŘEDPLATNÉ
ČLÁNKY DO MAILU