Ważnym elementem Europejskiego Miesiąca Cyberbezpieczeństwa jest dyskusja na temat luki kompetencyjnej w branży. O tym, jak kształtować nowe pokolenie specjalistów i jakie umiejętności są im potrzebne, mówi w rozmowie z przedstawicielami Fortinet Jeff Robbins, Practice Director w Business Communications, Inc. W ciągu ostatnich 10 lat charakter zagrożeń naprawdę się zmienił. Obecnie mamy do czynienia ze skutecznymi i zaawansowanymi technicznie cyberprzestępcami.
Oni nie tylko uruchamiają skrypty, ale dysponują wyrafinowanymi narzędziami. Nie wszyscy spoza naszej branży rozumieją poziom umiejętności, które są potrzebne, aby przeciwdziałać cyberprzestępczości.
Cyberprzestępcy są też bardzo zmotywowani z powodu pieniędzy, które mogą zarobić. Dobrze znane ataki sponsorowane przez rządy są tylko jednym z wielu przykładów. Większość z nas na co dzień ma do czynienia z zupełnie innym, nowym poziomem przestępczości niż 10 lat temu. Hakerzy są sprytni, żądni pieniędzy, uzdolnieni technicznie, a ich działania połączone w ramach jednego ekosystemu. Nic więc dziwnego, że cały czas widzimy statystyki dotyczące wzrostu poziomu cyberprzestępczości oraz liczby cyberataków.
Co według ciebie jest obecnie najlepszą obroną przed cyberprzestępczością?
Uważam, że bardzo ważne jest posiadanie silnego wewnętrznego procesu zarządzania, oceny ryzyka i zgodności procedur z prawem. Problemem, który często obserwuję, jest to, że choć wiele firm ma i politykę, i procedury, które dyktują, jak wszystko powinno działać, to często brakuje im odpowiednio przeszkolonych pracowników, którzy mogliby te zasady wdrożyć. Dlatego tak ważne jest posiadanie odpowiednio przeszkolonego personelu na poziomie eksperckim w zakresie technicznych mechanizmów kontroli, które są stosowane w danym środowisku.
Jak możemy zlikwidować lukę w umiejętnościach w zakresie cyberbezpieczeństwa?
Łatwiej powiedzieć niż zrobić, ale zatrudniając więcej ludzi! Nie mamy innego wyboru, jak tylko rozwijać talenty wewnątrz firmy. W idealnej sytuacji szukamy ludzi, którzy zaangażują się w proces zdefiniowany w celu rozwijania talentów. Średni staż pracy naszych inżynierów bezpieczeństwa wynosi ponad 10 lat, co jest świetnym wynikiem, ale musimy również zatrudniać nowe pokolenie specjalistów, którzy przejmą pałeczkę. Naszym wyzwaniem jest znalezienie następnej generacji utalentowanych pracowników. Podnoszenie kwalifikacji od wewnątrz poprzez praktyczne doświadczenie i programy certyfikacji jest niezbędne, ale niełatwe – wymaga czasu i inwestycji. Lubię powtarzać mojemu zespołowi, że o 17.00 chcemy być lepsi niż o 8.00 rano, a każda interakcja z mniej doświadczonymi inżynierami powinna mieć charakter edukacyjny.
Jaką wartość przywiązujecie do certyfikacji?
W naszej branży musimy wyróżniać się najlepszymi inżynierami. A sposobem, w jaki to udowadniamy, są certyfikaty. Pokazują one naszym klientom, że nasz zespół jest wartościowy i że jesteśmy dobrzy w tym, co robimy. Na przykład, mamy kilku specjalistów certyfikowanych na poziomie NSE 8, ale chciałbym mieć ich znacznie więcej. Muszę tylko znaleźć trochę czasu dla naszych pracowników, aby mogli przystąpić do egzaminów. Biorąc pod uwagę ich doświadczenie techniczne i branżowe, wiem, że są gotowi, co jest obiecujące, biorąc pod uwagę istniejącą lukę kompetencyjną.
Co oznacza dla ciebie posiadanie certyfikatu NSE 8?
Daję przykład i jednocześnie chcę wyróżnić naszych inżynierów spośród innych oraz wskazać odpowiednią ścieżkę kariery. Posiadanie certyfikatu poziomu 8. pokazuje naszym klientom, że mamy najlepszych ekspertów w branży. Certyfikacja udowadnia, że jesteśmy w pełni zaangażowani w swojej działalności. Pokazanie dogłębnej wiedzy na temat rozwiązań technicznych jest ważne dla klientów, gdy mówimy o tak ważnym obszarze jak cyberbezpieczeństwo.
Jakich umiejętności poszukujecie u pracowników?
W dzisiejszych czasach trudno jest zatrudnić najlepszych, ponieważ jest ich niewielu i są naprawdę drodzy. Muszę więc skupić się na inżynierach mających certyfikację na poziomach 1 i 2, którzy są chętni do nauki i rozwoju. Bardziej niż umiejętności, szukam zainteresowania i głodu wiedzy, a także ludzi, którzy mają talent do jej szybkiego przyswajania i uczenia się w trakcie pracy. Zawsze szukamy ludzi, którzy chcą coś zmienić i chcą zajmować się cyberbezpieczeństwem. Nie jest to łatwa praca, trzeba naprawdę chcieć być częścią tej dziedziny. Jest to również powód, dla którego szkolenia i certyfikaty z zakresu bezpieczeństwa cybernetycznego są tak wartościowe. Mogą pomóc w rozwoju talentu i dać możliwości zrobienia kariery tym, którzy chcą się uczyć i zainwestować swój czas w rozwój.
Jeff Robbins posiada certyfikat Network Security Expert (NSE) na najwyższym poziomie 8. w ramach programu certyfikacji NSE, prowadzonego przez Fortinet Training Institute. Aby osiągnąć ten poziom, dana osoba musi mieć znaczne doświadczenie w branży oraz wykazać się biegłością w obsłudze rozwiązań Fortinet poprzez zdanie zarówno egzaminu pisemnego, jak i praktycznego egzaminu w laboratorium.