Cyberbezpieczeństwo stanowi część obowiązków wielu zawodów, a także stało się zawodem samym w sobie. Przyjrzyjmy się bliżej niektórym potencjalnym opcjom kariery.
Zawody związane z cyberbezpieczeństwem występują obecnie w wielu formach i rolach, które łączą w sobie takie cechy jak ochrona prywatności, rozwój, bezpieczeństwo fizyczne i audyt.
Zawody w korporacjach
W przeszłości organizacje o wysokim poziomie bezpieczeństwa (takie jak organizacje obronne lub wywiadowcze), a także podmioty przetwarzające transakcje o wysokiej wartości (sektor usług finansowych, giełdy papierów wartościowych i podmioty przetwarzające karty płatnicze) w pierwszej kolejności skupiały się na zabezpieczeniu swoich systemów. Oznacza to, że sektory te koncentrowały się na wewnętrznych kontrolach w swoich firmach w celu zabezpieczenia informacji.
W latach sześćdziesiątych XX wieku rosnące komercyjne wykorzystanie komputerów (takich jak IBM mainframe) stworzyło potrzebę kontroli i audytu technologii informacyjnych. Doprowadziło to do powstania zawodu skupionego na kontroli i audycie, który nadal stanowi część codziennej pracy na wielu stanowiskach w nowoczesnych organizacjach.
W 1969 r. w Los Angeles w Kalifornii (USA) powstało Stowarzyszenie Audytorów Elektronicznego Przetwarzania Danych (EDPAA). Stowarzyszenie to jest dziś znane jako ISACA i jest jedną z organizacji, które zapewniają szkolenia i (takie jak CISA, CISM i CSX-P) dla profesjonalistów w dziedzinie cyberbezpieczeństwa.
Dawniej bezpieczeństwo korporacyjne (na które składają się strażnicy, ćwiczenia przeciwpożarowe i zamki) uważało cyberbezpieczeństwo za niewielką część swojej profesji, o ile w ogóle tak było. Wówczas uważano, że bezpieczeństwo IT jest związane tylko z wewnętrznymi usługami informatycznymi: stacjami roboczymi, mainframe'ami i sieciami.
Stopniowo fizyczne systemy bezpieczeństwa zaczęły być podłączane do sieci, a fizyczne środki bezpieczeństwa (na przykład drzwi i zamki) nie były w stanie chronić informacji przed dostępem z zewnątrz przez Internet.
Obecnie liderzy ds. bezpieczeństwa korporacyjnego zwracają uwagę na bezpieczeństwo informacji, ponieważ procesy cyfrowe stanowią o wiele bardziej znaczącą część działalności firmy. Ponadto, informatyka stała się bezpieczeństwem informacji. Oznacza to zabezpieczanie informacji niezależnie od tego, czy są one zapisane na papierze, czy w formie cyfrowej.
Bezpieczeństwo IT i bezpieczeństwo informacji (później nazwane cyberbezpieczeństwem) były początkowo postrzegane jako odrębne profesje. Jednak wraz z konwergencją cyfrową profesje te zaczęły się zmieniać i łączyć. Mimo to tradycyjne role (kierowników ds. bezpieczeństwa korporacyjnego i kierowników ds. bezpieczeństwa IT) nadal istnieją.
Wraz z wejściem w życie RODO (GDPR) w 2018 r. firmy zostały zobowiązane do powołania dedykowanych inspektorów ochrony danych (data privacy officers, DPO) w celu opracowania praktyk chroniących prywatność ich pracowników i klientów. Prywatność wymaga kontroli bezpieczeństwa, co oznacza, że specjaliści ds. bezpieczeństwa i prywatności ściśle ze sobą współpracują i współdziałają, ponieważ dążą do tego samego celu.
Chociaż niektóre tytuły (takie jak DPO) są bardzo często stosowane, role różnią się w zależności od organizacji i branży. Ponadto każda rola lub niektóre z jej zadań mogą zostać zlecone konsultantowi z firmy świadczącej usługi profesjonalne, co doprowadziło do powstania znaczącej branży doradztwa w zakresie bezpieczeństwa cybernetycznego.
Popularne zawody związane z bezpieczeństwem cybernetycznym w organizacjach
Główny specjalista ds. bezpieczeństwa informacji (Chief Information Security Officer, CISO)
CISO jest zazwyczaj odpowiedzialny za rozwój kultury i procesów bezpieczeństwa oraz kierowanie operacjami i funkcjami związanymi z bezpieczeństwem informacji. Specjaliści CISO pełnią rolę tłumaczy pomiędzy biznesem, kierownictwem, dostawcami, władzami i technicznymi specjalistami ds. bezpieczeństwa cybernetycznego.
Menedżer lub specjalista ds. bezpieczeństwa informacji/ cybernetycznego/ informatycznego
Specjaliści ci dbają o codzienne procesy bezpieczeństwa, wspierają projekty związane z bezpieczeństwem i koordynują incydenty dot. bezpieczeństwa. Przygotowują również polityki i wytyczne szkoleniowe i dla personelu. Przekształcają politykę i zasady w wykonalne zadania w organizacji.
Menedżer lub specjalista ds. bezpieczeństwa
Menedżerowie ds. bezpieczeństwa świadczą bardziej tradycyjne usługi bezpieczeństwa, takie jak fizyczna kontrola dostępu, które w coraz większym stopniu mają charakter cyfrowy. Menedżerowie ds. bezpieczeństwa zapewniają pracownikom konkretne bezpieczeństwo, jednocześnie dbając o cyberbezpieczeństwo samej usługi.
Audytor systemów informatycznych
Specjalista ds. audytu testuje środki kontroli bezpieczeństwa (fizyczne i cyfrowe) i przedstawia zalecenia dotyczące ich poprawy. Czasami używają specjalnych narzędzi, takich jak skanery, aby przetestować rzeczywiste konfiguracje. Audytorzy dostarczają niezależnych i obiektywnych opinii, aby pomóc innym w rozwoju praktyk.
Konsultanci
Konsultanci również biorą udział w zatrudnianiu, coachingu, mentoringu lub w inny sposób wspierają te zadania. Konsultanci często wywodzą się z jednego z powyższych stanowisk.
Od hobby do kariery w etycznym hakowaniu
Jak dowiedzieliśmy się w rozdziale 1, istnieją różne rodzaje hakerów. W odróżnieniu od wczesnych lat istnienia tej profesji, hakerzy white hat i inni "hobbyści" etycznego cyberbezpieczeństwa są dziś w stanie przekształcić swoją pasję w zawód.
Na stanowisku korporacyjnym dni są pracowite, zwykle pełne spotkań z kolegami i klientami wewnętrznymi lub zewnętrznymi. To pozostawia niewiele miejsca na eksplorowanie lub testowanie kreatywnych pomysłów (hacków), chyba że przynoszą one natychmiastowe efekty. Bardzo niewiele organizacji jest w stanie finansowo zatrudnić pełnoetatowych analityków, chyba że są to instytucje badawcze sponsorowane przez rząd.
Jednak w miarę rozwoju rynku cyberbezpieczeństwa i globalizacji możliwości zatrudnienia, praca zdalna i badania naukowe stały się niszą, w której wysoko wyspecjalizowani hobbyści/badacze - tak zwani "etyczni hakerzy" - mogą zarabiać na życie.
Bug bounties
Platformy crowdsourcingowe, takie jak HackerOne, zapewniają hakerom metodę zarabiania na ich "hakowaniu" lub angażowania się w "polowanie na błędy (bug hunting)". Każdy może dołączyć do tych platform mniej lub bardziej anonimowo oraz szukać organizacji, które mają tak zwane programy "bug bounty". Za pośrednictwem tych programów organizacje mogą zaoferować swój produkt, usługę, aplikację lub fragment kodu do przetestowania. Jeśli któryś z hakerów na platformie znajdzie lukę w oprogramowaniu, otrzymuje nagrodę w zależności od jakości i wagi znaleziska.
W najlepszym przypadku ta opcja kariery była postrzegana jako idealna dla przyszłej pracy; możesz pracować z dowolnego miejsca, kiedy tylko chcesz, i dobrze zarabiać. Niemniej jednak było też trochę krytyki. Po pierwsze, bardzo niewielu etycznych hakerów zarabia dobrze przez długi okres czasu. Firmy mogą błędnie zakładać, że mogą zastąpić systematyczne testy przypadkowymi wynikami bug bounty.
Każda organizacja powinna mieć swój własny program ujawniania luk w zabezpieczeniach. Program bug bounty zazwyczaj nie jest konieczny. Program ujawniania błędów definiuje sposób, w jaki badacze mogą bezpiecznie informować o szczegółach luk oraz o tym, jak są one wewnętrznie obsługiwane i naprawiane. Program bug bounty jest czymś, co możesz rozważyć, jeśli korzyści z niego płynące wydają się przeważać nad ewentualnymi wydatkami finansowymi i czasem potrzebnym na zarządzanie nim.
Ponadto, zgodnie z niektórymi badaniami, platformy bug bounty używają umów NDA, aby przehandlować milczenie łowcy nagród za możliwość wypłaty. Pozwala to niektórym korporacjom na uciszanie hakerów bug bounty na temat najpoważniejszych luk w zabezpieczeniach bez ich naprawiania. To również oznacza dla użytkowników wspomnianego oprogramowania niebezpieczeństwo włamania.
Podobnie jak w przypadku wielu innych biznesów platformowych, pojawia się również krytyka dotycząca potencjalnego naruszenia prawa pracy, które w wielu krajach zmuszałoby pracodawców do dbania o swoich pracowników. Haker bug bounty jest technicznie rzecz biorąc swoim własnym pracodawcą i dlatego trudno jest zapewnić prawa pracownicze za pośrednictwem platformy.
Przeczytaj wywiad z hakerem bug bounty.
Ofensywne i defensywne profesje związane z bezpieczeństwem
W ofensywnych i defensywnych zadaniach związanych z bezpieczeństwem, "czerwony zespół" odnosi się do ofensywy w celu testowania kontroli, a "niebieski zespół" odnosi się do drużyny broniącej.
Testowanie penetracyjne (w skrócie “pentesting”) jest formą ofensywnego i eksploracyjnego testowania systemu, aplikacji, usługi, serwera, sieci, urządzenia, a nawet pojazdu (jak samolot czy samochód). Czerwony zespół celuje w większe podmioty, takie jak korporacja jako całość.
Ta forma testowania, inaczej niż w przypadku bug bounty, posiada cel, zakres, klienta, kryteria sukcesu i związaną z tym zapłatę. Niektóre organizacje mogą zatrudniać "pentesterów" na swojej liście płac, ale częściej takie specjalistyczne zadania są zlecane firmom, które specjalizują się w tej dziedzinie. Różnica pomiędzy hakerstwem okazjonalnym a pentestingiem polega na tym, że pentesterzy zapewniają pewność i są systematyczni w swoim podejściu, starając się objąć większość potencjalnych metod ataku.
Przykłady ról zespołów czerwonych/niebieskich
Czerwone: Techniczny pentester
Pentesterzy używają ofensywnych, komercyjnych i własnych narzędzi do testowania celu lub gromadzenia informacji pozyskanych z celu. Częściej identyfikują słabości konfiguracji niż nowe luki w oprogramowaniu. Myślą jak hakerzy typu black hat, ale wykorzystują hakerstwo do dobrych celów. Pentesterzy tworzą rekomendacje dla innych specjalistów ds. cyberbezpieczeństwa, jak naprawić znalezione słabości.
Czerwone: Członek czerwonego zespołu
Czerwony zespół to testerzy z szerokim zakresem umiejętności, od tradycyjnego pentestingu do obchodzenia fizycznych kontroli i stosowania metod socjotechniki. Tego rodzaju specjaliści pracują w zespole, który posiada zróżnicowany zestaw umiejętności. Czerwony zespół kreatywnie testuje kombinacje zabezpieczeń w celu znalezienia nowych słabych punktów.
Niebieskie: Architekt ds. IT/Cyberbezpieczeństwa
Architekci bezpieczeństwa projektują i wdrażają struktury dla usług IT, podobnie jak ich odpowiednicy w branży budowlanej. Architekci bezpieczeństwa planują strukturę sieci, usług związanych z bezpieczeństwem, a nawet usług zlecanych na zewnątrz, jeśli nie są świadczone wewnętrznie.
Architekci bezpieczeństwa biorą pod uwagę to, w jaki sposób każde konto użytkownika i maszyny jest identyfikowane lub autoryzowane (IAM), a także w jaki sposób rejestrowane są różne zdarzenia. Architekt bezpieczeństwa może skupić się na określonym obszarze (jak IAM, usługi sieciowe lub chmurowe) lub brać pod uwagę architekturę całego przedsiębiorstwa.
Niebieskie: Analityk / specjalista SOC
Centrum operacji bezpieczeństwa (SOC) to funkcja, w której organizacja centralnie monitoruje większość logów i zdarzeń w swoim środowisku IT. SOC posiada swoje specjalne narzędzia i usługi, które zbierają i korelują ogromną ilość wpisów w logach lub zdarzeń wywołanych przez zadane reguły.
Analityk SOC jest odpowiedzialny za tworzenie i rozwijanie zestawu reguł przy użyciu tych narzędzi w celu identyfikacji podejrzanych zdarzeń i w razie potrzeby rozpoczyna proces dochodzenia. Ci "pierwsi respondenci" (tzw. Tier 1) często pracują w trybie 24/7/365. Analitycy SOC mogą eskalować bardziej wymagające dochodzenia do poziomu 2, który może mieć bardziej doświadczonych specjalistów od cyfrowej kryminalistyki - sztuki znajdowania elektronicznych dowodów potencjalnego naruszenia bezpieczeństwa.
Bezpieczeństwo w procesie tworzenia
Rozwój cyberbezpieczeństwa nie jest zajęciem wyłącznie dla dedykowanych specjalistów ds. cyberbezpieczeństwa, ale także dla wszystkich pracowników IT. Technicznie rzecz biorąc, wszystko odbywa się w oparciu o kod. Kod to zestaw instrukcji czytelnych dla człowieka, który jest pisany (opracowywany), a następnie kompilowany do postaci obiektu wykonywalnego przez maszynę. Ten obiekt wykonywalny jest następnie testowany przez programistę. Po przetestowaniu plik wykonywalny jest przenoszony do środowiska operacyjnego (OPS), gdzie wchodzi w interakcję z innymi programami, serwerami i usługami.
Wszystkie te fazy mogą powodować powstawanie wad bezpieczeństwa na skutek błędnego projektu lub pomyłki. Dlatego ważne jest, aby zapewnić bezpieczeństwo samego kodu, komponentów i ich interakcji od samego początku procesu. W przeciwieństwie do pentestingu (który koncentruje się na znajdowaniu słabych punktów, gdy kod jest już w produkcji), coraz więcej najbardziej efektywnych działań związanych z bezpieczeństwem jest wykonywanych przed lub w trakcie tworzenia oprogramowania.
Przykłady stanowisk związanych z bezpieczeństwem w procesie tworzenia
Inżynier bezpieczeństwa
Programiści bezpieczeństwa skupiają się na usługach, które są decydujące dla bezpieczeństwa cybernetycznego, takich jak usługi identyfikacji i autoryzacji.
Mistrz bezpieczeństwa (w projekcie rozwoju)
Mistrzowie bezpieczeństwa, zazwyczaj starsi programiści, koncentrują się na praktykach bezpiecznego kodowania. Są oni mentorami i trenerami dla innych programistów i innych członków zespołu projektowego. Zapewniają, że testy bezpieczeństwa i inne działania związane z bezpieczeństwem (na przykład przeglądy kodu) odbywają się zgodnie z planem.
Cyberbezpieczeństwo: kariera przyszłości
Zapotrzebowanie na specjalistów ds. cyberbezpieczeństwa w różnych branżach rośnie dziś bardziej niż kiedykolwiek. Cyfrowa transformacja naszego codziennego życia i pracy powoduje zapotrzebowanie na te umiejętności we wszystkich sektorach i dziedzinach. Największe obawy rządów, przedsiębiorstw i obywateli budzi fakt, że rozpowszechnienie cyfryzacji i nowych technologii przekracza nasze możliwości w zakresie szkolenia wykwalifikowanych specjalistów ds. bezpieczeństwa cybernetycznego, którzy są niezbędni do zabezpieczenia naszego świata online.
W swoim corocznym badaniu na 2020 r. (ISC)², międzynarodowa organizacja non-profit zrzeszająca członków zajmujących się bezpieczeństwem cybernetycznym, oszacowała, że w Europie występuje luka kadrowa w postaci ponad 168 000 stanowisk, których nie można obsadzić wykwalifikowanymi specjalistami ds. bezpieczeństwa cybernetycznego. W skali globalnej są to ponad 3 miliony. Chociaż ta przewaga popytu nad podażą pracowników zmniejszyła się od 2020 r. ze względu na ogólne spowolnienie gospodarcze spowodowane przez Covid19, nadal utrzymywała się na wysokim poziomie i oczekuje się, że będzie szybko rosła.
Pomimo działalności ponad 500 uniwersytetów i instytucji akademickich w całej Europie przyznających certyfikaty i stopnie naukowe dla specjalistów ds. cyberbezpieczeństwa, rosnący popyt znacznie przewyższa podaż. Jednym z rozwiązań, które może pomóc wypełnić tę lukę, jest znalezienie przez pracodawców i pracowników sposobów na przekwalifikowanie się w pracy lub w ramach doskonalenia zawodowego. Ukończenie tego kursu może być doskonałym początkiem takiej drogi. Więcej informacji o tym, gdzie można zdobyć dalsze umiejętności w zakresie cyberbezpieczeństwa można znaleźć na stronie Digital SkillUp.
Sign up to solve exercises
Po ukończeniu rozdziału 5 potrafisz już:
zrozumieć, w jaki sposób powstające technologie mogą zapewnić nowe możliwości, ale także stworzyć zagrożenia w zakresie cyberbezpieczeństwa
omówić niektóre z przyszłych implikacji dla cyberbezpieczeństwa
zrozumieć, jakie rodzaje zawodów są dostępne dla specjalistów ds. bezpieczeństwa cybernetycznego