Jak zapewnić cyberbezpieczeństwo w firmie, gdy na rynku brakuje specjalistów? Wywiad z Marcinem Marczewskim – CEO Resilia

clock 8m 49s

Każda organizacja, niezależnie od wielkości i branży, narażona jest na szereg cyberzagrożeń. Postępująca cyfryzacja i wzrost aktywności cyberprzestępców sprawia, że zapotrzebowanie na wykwalifikowanych pracowników rośnie. Jak zapewnić odpowiedni poziom bezpieczeństwa w tak mało sprzyjających warunkach? Jak firmy mogą radzić sobie wobec braku specjalistów na rynku?

Zapraszamy do lektury wywiadu z Marcinem Marczewskim – CEO Resilia, wykładowcą i architektem cyberbezpieczeństwa.

W firmach w całej Polsce brakuje specjalistów ds. cyberbezpieczeństwa. Szacuje się, że braki te sięgają nawet 17,5 tys. specjalistów, a na jednego kandydata przypada siedem nieobsadzonych wakatów. Co odpowiada za taki stan rzeczy?

Marcin Marczewski: Przyczyn braku kadrowych jest na pewno kilka. Podkreślmy, że problem dotyczy zarówno sektora prywatnego, jak i publicznego. Zwiększenie zapotrzebowania na specjalistów ds. cyberbezpieczeństwa wynika przede wszystkim z postępu cyfryzacji i konieczności dostosowywania się do zmian, które postęp ten wymusza. Dzisiaj w zasadzie każde przedsiębiorstwo opiera się na infrastrukturze IT, przetwarza dane cyfrowe oraz realizuje swoje usługi z użyciem technologii informatycznej.

Problem braków kadrowych w znaczny sposób spotęgował także wybuch pandemii i upowszechnienie pracy zdalnej. Pandemia i jej następstwa przyczyniły się również do wzrostu świadomości dotyczącej cyberzagrożeń. Zyskujący w tym czasie na popularności phishing, działania hakerskie wykorzystujące socjotechnikę czy ataki na niedostosowaną do pracy zdalnej infrastrukturę IT otworzyły firmom oczy. Dodatkowo ataki hakerskie związane z inwazją Rosji na Ukrainę spowodowały, że cyberzagrożenia przestały być czymś abstrakcyjnym i firmy odczuły realną potrzebę zabezpieczania organizacji.

Choć obserwujemy wzrost zainteresowania studiami cyberbezpieczeństwa, to na rynku w dalszym ciągu nie przybywa wystarczającej liczby specjalistów. A podkreślmy, że samo skończenie studiów nie wystarczy. Kandydat powinien mieć odpowiednie doświadczenie, aby stanowić rzeczywiste wsparcie dla biznesu. Może on być częścią zespołu odpowiedzialnego za cyberbezpieczeństwo, ale nie stać na jego czele…

Jakie dodatkowe wyzwania dla firm generuje brak specjalistów ds. cyberbezpieczeństwa?

M.M.: Brak wykwalifikowanych specjalistów doprowadza do sytuacji, w których organizacje zatrudniają pracowników z minimalnym doświadczeniem, mając nadzieję, że zatrudnione osoby szybko doszkolą się i nabiorą odpowiednich kompetencji. Jak możemy się domyślać i co wcześniej zasygnalizowałem – nie zdaje to egzaminu. Szczególnie w przypadku większych firm, wymagających wykwalifikowanych specjalistów, będących architektami cyberbezpieczeństwa.

Z kolei firmy, mające na etatach doświadczonych specjalistów, mierzą się z problemem wykradania i podkupowania pracowników. Wyzwaniem więc jest nie tylko zatrudnienie, ale także utrzymanie eksperta w szeregach organizacji.

Kolejnym problemem są koszty. Specjaliści ds. cyberbezpieczeństwa są dzisiaj w na tyle komfortowej sytuacji, że mogą nie tylko przebierać w ofertach, ale również żądać wysokich płac. Według serwisu pulshr.pl średnie miesięczne wynagrodzenie to 15 tys. złotych. Jednak z mojego doświadczenia wynika, że prawdziwi eksperci oczekują znacznie wyższych płac, a ci najbardziej wykwalifikowani liczą na wynagrodzenie nawet powyżej 50 tys. złotych… Są to kwoty, na które mogą sobie pozwolić tylko naprawdę duże korporacje. Nic też nie wskazuje na szybkie zmiany w tej kwestii. W branży cyberbezpieczeństwa rynek pracownika utrzyma się z pewnością jeszcze przez długi czas.

Przeczytaj również: Czy deepfake to przyszłość phishingu?

Czy za cyberbezpieczeństwo w firmie może odpowiadać wewnętrzny dział utrzymania IT?

M.M.: Zdecydowanie minęły już czasy, w których za cyberbezpieczeństwo odpowiadał tylko dział IT. Szczególnie w dużych przedsiębiorstwach, posiadających rozbudowaną infrastrukturę sieciową, nie powinno iść to w parze. Rozdzielność funkcji IT i cyberbezpieczeństwa wynikać powinna przede wszystkim z racji odrębnych priorytetów i kompetencji. Co więcej: takie podejście pozwala każdej z jednostek skupić się na swoich kluczowych zadaniach.

Obowiązki specjalistów ds. cyberbezpieczeństwa wykraczają daleko poza kompetencje pracowników obszaru utrzymania infrastruktury IT. W przeciwieństwie do pracowników IT, cybereksperci muszą mieć wiedzę z zakresu protokołów bezpieczeństwa, szyfrowania, socjotechniki, odpierania ataków hakerskich, prawa czy analizy zagrożeń. Podczas gdy pracownik działu IT to zazwyczaj absolwent studiów informatycznych, to specjalistą od bezpieczeństwa IT jest osoba, która skończyła studia cyberbezpieczeństwa lub legitymująca się takimi certyfikatami jak między innymi: CISSP, CISA, CISM, CRISC, CEH, GSEC, OACP, SSCP, Security+, CASP+, GCIH, OSCP oraz Lead Auditor ISO 27001.

Jeśli nie dział utrzymania IT i nieetatowi specjaliści ds. cyberbezpieczeństwa to co? Outsourcing?

M.M.: Tak, outsourcing cyberbezpieczeństwa jest w stanie skutecznie zabezpieczyć firmowe zasoby, o ile nie korzystamy z rozwiązań – nazwijmy to – „pudełkowych”. Tego typu usługa musi zostać „uszyta na miarę”, to znaczy należy ją dostosować do specyfiki danej organizacji.

Nie chodzi też o to, aby wybrać firmę oferującą nieskończony wachlarz usług, tylko taką, która zaproponuje odpowiednie, spersonalizowane działania. Realizację usług powinna więc poprzedzać dokładna analiza potrzeb. Firma outsourcingowa musi najpierw poznać sposób funkcjonowania przedsiębiorstwa, jego zasoby i krytyczne punkty. Tak, aby realizować działania w sposób optymalny, najbardziej skuteczny i odpowiadający na możliwości finansowe klienta.

Współpraca nie może polegać jedynie na wdrożeniu danych rozwiązań czy wykonywaniu poleceń. Specjaliści powinni stanowić ciągłe wsparcie, stale wzmacniać bezpieczeństwo organizacji i dążyć do realizacji jej celów biznesowych, tak jakby byli oni częścią zespołu. W mojej ocenie najlepszą opcją jest coraz bardziej popularna usługa outsourcingu cyberbezpieczeństwa (Caas – Cybersecurity as a Service) – w naszej ofercie nazwana VCISO.

Na czym dokładnie polega outsourcing VCISO?

M.M.: Usługa VCISO, czyli Wirtualnego Cyber Eksperta polega na zdalnej realizacji zadań szefa bezpieczeństwa informacji (CISO – Chief Information Security Officer). Zdalny ekspert w kompleksowy sposób zarządza cyberbezpieczeństwem, wdrażając odpowiednie rozwiązania na poziomie formalno-proceduralnym, technologicznym i organizacyjnym. VCISO chroni sieć i zasoby informatyczne, buduje, wdraża i doskonali program świadomości cyberbezpieczeństwa oraz wzmacnia kompetencje pracowników w tym zakresie.

Warto podkreślić, że Wirtualny Cyber Ekspert nie działa w pojedynkę. To zespół specjalistów, wykwalifikowanych w danych obszarach wiedzy, dysponujących właściwymi umiejętnościami i zaawansowanymi narzędziami technologicznymi. Na przykładzie naszej usługi, mogę powiedzieć, że VCISO całkowicie zwalnia organizację z konieczności zatrudniania specjalistów ds. cyberbezpieczeństwa wewnątrz swojej struktury.

Czy pomysł na realizację usługi VCISO wziął się bezpośrednio z deficytu cyberspecjalistów na rynku?

M.M.: Tak, z obserwacji rynku, ale i z wieloletniej pracy z naszymi klientami. Realizując usługi z zakresu cyberbezpieczeństwa, zauważyliśmy, że problem sięga znacznie dalej niż brak wyspecjalizowanych ekspertów. Organizacje mają także trudności z kwestiami formalno-proceduralnymi, technologicznymi i budżetowymi. Dodatkowo rozwój technologii oraz pojawianie się coraz to nowych, bardziej zaawansowanych cyberzagrożeń nie sprzyja zapewnieniu odpowiedniego poziomu cyberbezpieczeństwa. Widzimy też, że przedsiębiorstwa mają problem z oceną w jakim stopniu rzeczywiście dobrze chronią swoją infrastrukturę IT, a energia, którą przeznaczają na działania z zakresu cybersecurity, utrudnia im realizację podstawowych celów biznesowych.

Pomysł na VCISO związany był również z innym obszarem, w którym działamy. Kompleksowość VCISO doskonale wpisuje się w głoszoną przez nas ideę wzmacniania odporności biznesowej poprzez umiejętne zarządzanie ryzykiem i ciągłością działania.

Przeczytaj również: W jaki sposób hakerzy kradną hasła i jak się przed tym chronić?

Czy Wirtualny Cyber Ekspert jest rzeczywiście w stanie całościowo zadbać o bezpieczeństwo cyfrowe organizacji? Czy przeszkodą nie jest właśnie jego „wirtualność”?

M.M.: To, co można uznać za wadę tego rozwiązania, wbrew pozorom jest jedną z jego większych zalet. Zdalna realizacja usługi pozwala bowiem na większą obiektywność w działaniu. VCISO gwarantuje swoją dostępność, obecność i dyspozycyjność w każdej chwili. Reakcja na incydenty nie jest opóźniona ze względu na odległość specjalistów. Realizują oni swoje działania w podobny sposób jak wewnętrzni pracownicy organizacji (z tym że dysponują większym doświadczeniem i praktyką wynikającą ze współpracy z różnymi organizacjami).

„Wirtualność” naszego VCISO nie oznacza, że nasi specjaliści dostępni są tylko online. Praca VCISO polega również na bezpośredniej weryfikacji stosowanych zabezpieczeń w fizycznych lokalizacjach, organizacji szkoleń awareness, czy realizacji audytów bezpieczeństwa u dostawców naszych klientów.

Nie zapominajmy, że cyberbezpieczeństwo nie leży tylko po stronie specjalistów. Na kwestie te powinni zwracać uwagę wszyscy pracownicy.

M.M.: Tak, to prawda. Niestety to pracownicy w dużej mierze odpowiedzialni są za incydenty, wycieki danych i zainfekowanie sprzętów. Dlatego w ramach usługi VCISO budujemy programy świadomości cyberbezpieczeństwa i organizujemy szkolenia dla wszystkich pracowników firmy. Tego typu działania poprzedzone są odpowiednią analizą. Na podstawie przeprowadzonych wywiadów, incydentów, testów czy kampanii socjotechnicznych, przygotowujemy odpowiedni program edukacji pracowników.

Na jakie inne korzyści mogą liczyć klienci, którzy zdecydują się na usługę VCISO?

M.M.: Usługa VCISO to także ograniczenie kosztów zatrudnienia, utrzymania i ciągłego szkolenia pracowników. Dodatkowo znika problem związany z urlopami, zwolnieniami chorobowymi i rotacją pracowników. Koszty maleją również ze względu na brak konieczności inwestowania w najnowsze technologie, oprogramowanie i sprzęt.

Najważniejszą jednak kwestią jest gwarancja skuteczności rozwiązań cyberbezpieczeństwa oraz zyskanie pewności, że organizacja jest chroniona zgodnie z najnowszym poziomem wiedzy i aktualnymi przepisami prawa.

Czy wybierając usługę VCISO trzeba realizować ją w całości, czy można zdecydować się na wybrany zakres usług?

M.M.: Klient ma możliwość wybrania takiego zakresu usług VCISO, jakiego dokładnie potrzebuje. Aby ułatwić decyzję, przygotowaliśmy trzy pakiety odpowiadające na zapotrzebowania firm z różnych sektorów, branż i o różnej wielkości. Nie zamykamy się jednak sztywno w tych podziałach i przygotowujemy indywidualne pakiety dostosowane do specyfiki danej organizacji. Wirtualny Cyber Ekspert może stanowić wsparcie w różnych wymiarach czasowych, począwszy od ¼ do kilku etatów.

Cyberbezpieczeństwo w firmie


Chcesz „wynająć” naszego VCISO? Wyślij mail na [email protected] lub wypełnij szybki formularz na podstronie dedykowanej usłudze VCISO. 

Przejdź do formularza i opisu VCISO

 

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:




    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:



      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!