Zapotrzebowanie na specjalistów z zakresu bezpieczeństwa automatyki przemysłowej jest ogromne i stale rośnie. Kandydaci mają wygórowane wymagania finansowe, a często niedostateczne kompetencje. I chociaż coraz więcej ośrodków akademickich otwiera kierunki związane z bezpieczeństwem OT lub rozważa ich utworzenie, to problem pozostaje nierozwiązany. Rekrutacje zewnętrzne nie przynoszą oczekiwanych rezultatów. Jak zatem budować centra kompetencyjne i pozyskiwać do nich pracowników? „Nasze kilkuletnie doświadczenia pokazują, że doskonałym źródłem mogą być zasoby wewnętrzne. W każdej organizacji, zarówno dużej, jak i małej, można znaleźć aktywne osoby, które poszukują wyzwań i chcą się rozwijać. Powinien być jednak spełniony jeden warunek: komórka cyberbezpieczeństwa musi być dla nich atrakcyjnym miejscem pracy” – mówi Bogusław Kowalski, szef CERT w Grupie Energa.

Dlaczego tak trudno jest znaleźć ludzi do pracy w cyberbezpieczeństwie?

To elitarna grupa w obszarze IT, charakteryzująca się bardzo wysokimi kompetencjami. Dodatkowo specjalista z tej dziedziny musi posiadać unikalny zestaw umiejętności. Niewiele jest takich osób w Polsce. Dlatego rzadko sprawdzają się rekrutacje zewnętrzne. Podejmowaliśmy zakrojone na szeroką skalę próby i efektem było wyselekcjonowanie sześciu potencjalnych kandydatów, z których ostatecznie żaden nie rozpoczął pracy.

Jak można sobie z tym problemem poradzić?

Od jakiegoś czasu preferuję wyszukiwanie takich perełek wewnątrz organizacji. Oczywiście przy poszanowaniu wszystkich interesariuszy – innych dyrektorów, którym zabieramy z zespołów najlepszych ludzi. Jeśli w mojej firmie pracuje kilka tysięcy osób, to muszą się znaleźć odpowiedni ludzie. Tak naprawdę w każdej organizacji są interesujący kandydaci.

W mojej ocenie ta strategia sprawdza się najlepiej. Warunkiem jest pełna aprobata dla takich działań kadry kierowniczej. Jeśli wszyscy zgodzą się co do tego, że najlepsi ludzie powinni trafiać do cyberbezpieczeństwa, nie powinno być problemów ze znalezieniem odpowiednich kandydatów. Wówczas pozostaje tylko kwestia dojrzałości menedżerów, żeby się porozumieli. Wszyscy muszą widzieć i rozumieć nadrzędny interes organizacji w stosunku do swoich partykularnych interesów. Kiedy to podejście zostanie wsparte przez zarząd, mamy do czynienia z rozwiązaniem systemowym.

Dodatkowo, jeśli komórka cyberbezpieczeństwa będzie atrakcyjnym miejscem pracy, to ludzie są na tyle inteligentni, że sami będą chcieli się do niej dostać.

Jeśli wszyscy zgodzą się co do tego, że najlepsi ludzie powinni trafiać do cyberbezpieczeństwa, nie powinno być problemów ze znalezieniem wewnątrz organizacji odpowiednich kandydatów.

Jak sprawić, żeby komórka cyberbezpieczeństwa była postrzegana jako atrakcyjne miejsce pracy?

Oczywiście potrzeba odrobinę marketingu. Nie można jednak robić tego wyłącznie na pokaz. Należy realizować prawdziwe, ambitne projekty. Takie, których realizacją na koniec roku można się pochwalić, a nie żeby pozostawały jedynie na slajdach PowerPointa. Kiedy realizujemy takie projekty, ludzie chętnie sami garną się do struktur cyberbezpieczeństwa.

Potrzeba także trochę aktywności. Jeśli udaje się zidentyfikować potencjalnych kandydatów, należy ich jak najczęściej angażować w różnego rodzaju przedsięwzięcia. Przykładowo, kiedy prowadzone są jakieś manewry cyberbezpieczeństwa typu Capture the flag, to uczestniczyć w nich powinien mieszany zespół, składający się częściowo np. z przedstawicieli działu infrastruktury. Dla nich udział w manewrach tego typu może być atrakcyjny, może stanowić ogromny impuls intelektualny. Weźmy np. superspecjalistę od technologii Microsoft, który może być już nieco znudzony dotychczasowymi obowiązkami. W cyberbezpieczeństwie może dostrzec atrakcyjną alternatywę dla siebie.

W jakich departamentach warto szukać takich perełek?

Jestem przekonany, że dobry specjalista z cyberbezpieczeństwa powinien posiadać gruntowne przygotowanie z zakresu sieci, w szczególności protokołów, zwłaszcza TCP/IP. Musi także znać narzędzia i potrafić analizować ruch sieciowy. To podstawa. Jeśli przychodzi kandydat, który aplikuje do działu cyberbezpieczeństwa, a zastanawia się, odpowiadając na pytanie, czy protokół UDP to protokół połączeniowy czy bezpołączeniowy, to z góry wiadomo, że się nie nadaje.

Zatem przede wszystkim departament infrastruktury, a w nim działy środowiska serwerowego, sieci, a nawet wsparcia użytkownika, jeżeli tam są systemy związane z końcówkami, czyli np. antywirusy czy szyfrowanie dysków. Ludzie stamtąd też dobrze rokują, żeby stać się specjalistami z zakresu cyberbezpieczeństwa.

Kiedy wybierzemy grupę składającą się z takich supersieciowców, superserwerowców oraz superekspertów w zakresie wsparcia i odpowiednio ją zorganizujemy w ramach CERT, to możemy być pewni, że uda nam się stworzyć doskonały zespół. Takie konglomeraty świetnie funkcjonują. Poszczególni członkowie zespołu wzajemnie się uzupełniają.

Tak to wygląda w naszym CERT. Jestem automatykiem z wykształcenia i pracowałem na polu automatyki. Pracuje u nas człowiek, który wyrósł jako ekspert od środowiska Microsoft, inny odpowiada za procedury ISO 27001 oraz część ludzi związanych z ryzykiem, wsparciem. Jestem zwolennikiem budowania zespołu łączącego ekspertów mających różne doświadczenia. Wówczas wspólna praca w celu znalezienia incydentów jest bardziej skuteczna.

Jeśli uda się zidentyfikować potencjalnych kandydatów, to trzeba ich jak najczęściej angażować w różnego rodzaju przedsięwzięcia, na przykład w manewry z zakresu cyberbezpieczęństwa.

Na co zwrócić uwagę, identyfikując potencjalnych kandydatów?

Tak jak powiedziałem wcześniej: przy dobrym marketingu wewnętrznym, przy realizowaniu ciekawych zadań z zakresu cyberbezpieczeństwa, chętni sami się zgłaszają. To inteligentni, aktywni ludzie, poszukujący wyzwań. Większość z czasem wypala się i chce się rozwijać. A kiedy ktoś się chce rozwijać, to widzi, które komórki w organizacji robią ciekawe projekty.

Kiedy uda się już nawiązać kontakt, co dalej?

Kiedy uda się zdobyć wstępną deklarację zainteresowania kandydata, to rozpoczyna się trudny okres negocjacji z aktualnym szefem takiego potencjalnego pracownika. Trzeba pokazać interes organizacji z szerszej perspektywy. Zwykle się to udaje. Niemniej do tego jest potrzebne wsparcie zarządu.

Rozmawiał Rafał Jakubowski

Przy dobrym marketingu wewnętrznym i przy realizowaniu ciekawych zadań z zakresu cyberbezpieczeństwa chętni sami się zgłaszają. To inteligentni, aktywni ludzie, poszukujący wyzwań.

Bogusław Kowalski był prelegentem na konferencji InfraSEC Forum 2019.