W cyberbezpieczeństwie potrzeba ludzi ciekawych świata i ze zdolnościami do uczenia się. Najbardziej cenię współpracowników z pasją, którzy chętnie podejmują nowe wyzwania. Jako szef, chcę być jak najbliżej swojego zespołu, ułatwiać mu realizację zadań. W środowisku chmurowym w Polsce mamy jeszcze wiele do zrobienia – mówi Adam Marczyński, Chief Security Officer w firmie Operator Chmury Krajowej (OChK). 

W jaki sposób trafił Pan do Operatora Chmury Krajowej? Dlaczego postanowił Pan przejść do nowo powstającej, dopiero rozwijającej swoją działalność firmy, rezygnując z pracy w ustabilizowanej już organizacji, jaką jest Biuro Informacji Kredytowej?  

Kiedy zacząłem czytać na temat planów powołania Operatora Chmury Krajowej, pomyślałem, że praca w tej firmie może być dla mnie interesującym wyzwaniem. Zacząłem się zastanawiać, czy będąc w miejscu, w którym akurat byłem, mogę zrobić kolejny, nowy ruch na swojej ścieżce zawodowej. Miałem już spore doświadczenie zarówno z pracy w BIK-u, jak i z wcześniejszego zatrudnienia w HP oraz z udziału w projekcie chmurowym dla dużego banku. Wydawało mi się, że warto spróbować, bo rynek usług chmurowych będzie się rozwijał i nowo powstająca firma ma duże pole do zagospodarowania. Do tej pory przedsiębiorcy w Polsce sceptycznie odnosili się do korzystania z chmury obliczeniowej, ale to się będzie zmieniać. Przedsięwzięcie polegające na powołaniu Operatora Chmury Krajowej musi się więc udać.

O CHMURZE KRAJOWEJ

Jakie Pan dostał zadanie w nowej firmie? Za co konkretnie Pan odpowiada?

Moje zadanie jest bardzo proste: zadbać o to, aby chmura była bezpieczna, a jej funkcjonowanie zgodne z polskim prawem. To duże wyzwanie, zajmuje się nim cały zespół, którym kieruję.

W jaki sposób podchodzicie do realizacji tego zadania?

Chcemy postępować w sposób systematyczny i zorganizowany. Nie będziemy wymyślać nowych rzeczy. Opieramy się na istniejących standardach i frameworkach, które definiują, jakie zasady mają w chmurze obowiązywać. To przede wszystkim zgodność z normami ISO z grupy 27000 w zakresie ochrony danych oraz z normą ISO 22301 w zakresie warunków dostępności. Uzyskamy także certyfikację Cloud Security Alliance. Planujemy, że stanie się to w pierwszym kwartale 2020 roku. Przeprowadzenie audytów możliwe jest wyłącznie w działającej organizacji, inaczej nie da się wykazać, że funkcjonuje ona na określonym, wymaganym standardami poziomie. 

Jak chcecie się, jako firma, pozycjonować wobec dużych i zasiedziałych już na rynku usług chmurowych graczy, takich jak: Google, Amazon czy Microsoft? Czy ich działalność jest punktem odniesienia do tego, co robi i zamierza robić OChK? Czy traktujecie te firmy jako bezpośrednią konkurencję dla siebie?

W perspektywie biznesowej patrzymy na ich aktywność na polskim rynku w kategoriach szansy dla siebie. Nie chcemy z nimi konkurować, szukamy synergii. Oprócz oferowania własnych usług stajemy się też brokerem ich usług. Geolokalizacja ma w przypadku chmury duże znaczenie. Brak infrastruktury tych dostawców w Polsce powoduje wśród firm obawy przed wchodzeniem w chmurę. Będziemy zapewniać zainteresowanym bezpieczeństwo na poziomie sprzyjającym podejmowaniu decyzji o korzystaniu z usług w modelu cloud computing. Są obszary, w których z globalnymi graczami nie da się konkurować. Trzeba więc stworzyć warunki do swobodnego korzystania z ich usług przez polskie firmy. Inaczej dla wielu naszych firm  chmurowe usługi globalnych chmur publicznych będą nieosiągalne. 

Chcemy postępować w sposób systematyczny i zorganizowany. Nie będziemy wymyślać nowych rzeczy. Opieramy się na istniejących standardach i frameworkach, które definiują, jakie zasady mają w chmurze obowiązywać. 

O SPECJALISTACH OD CYBERBEZPIECZEŃSTWA 

Ile osób pracuje w kierowanym przez Pana zespole ds. bezpieczeństwa?

Obecnie mamy kilkunastu pracowników, ale cały czas prowadzimy rekrutację. Docelowo ma być kilkadziesiąt osób.

Mówi się, że bardzo trudno jest znaleźć na rynku dobrych specjalistów od cyberbezpieczeństwa. Czy to się potwierdza w Pana praktyce? Jak szukacie potrzebnych pracowników? 

Na początku korzystaliśmy z usług zewnętrznych konsultantów. Potem zaczęliśmy szukać poprzez własne kontakty. Nie ma chyba lepszej metody rekrutacji niż w swoim najbliższym otoczeniu. Możliwości w tym zakresie jednak w pewnym momencie się wyczerpują i trzeba sięgnąć do innych źródeł. To z kolei daje możliwość dotarcia do ekspertów ze ściśle określonych dziedzin czy specjalizacji. 

Czego oczekują dzisiaj kandydaci do pracy w branży cybersecurity? Jakie wymagania mają fachowcy od cyberbezpieczeństwa? 

Widać w tym zakresie różnice pokoleniowe. Oczekiwania nie są u wszystkich jednakowe. Zgłaszają się zarówno tacy, którzy są gotowi pracować za płacę poniżej stawki rynkowej, jak i tacy, którzy oczekują wynagrodzenia znacznie powyżej średniej w branży. 

Czym poza płacą można jeszcze skusić potencjalnych kandydatów?

Dawne benefity, typu prywatna opieka zdrowotna czy karnet na siłownię, stały się już dzisiaj standardem. Każdy pracodawca musi takie rzeczy oferować. Dla kandydatów ważne są obecnie warunki pracy, miejsce pracy, to, czy projekt, w który będą zaangażowani, jest interesujący. Pod tym względem jesteśmy bardzo atrakcyjni, bo oferujemy możliwość udziału w budowie przedsiębiorstwa od samego początku, do tego zapewniamy dostęp do najnowszych technologii. Mamy też poważnych inwestorów, którzy gwarantują środki na rozwój.

Nie ma chyba lepszej metody rekrutacji niż w swoim najbliższym otoczeniu. Możliwości w tym zakresie jednak w pewnym momencie się wyczerpują i trzeba sięgnąć do innych źródeł. To z kolei daje możliwość dotarcia do ekspertów ze ściśle określonych dziedzin czy specjalizacji.

O KIEROWANIU ZESPOŁEM CYBERSECURITY

A czego Pan, jako szef zespołu, oczekuje od ludzi, którzy mieliby z Panem pracować?

Kluczem jest zaangażowanie w realizację projektu. Ważna jest chęć do współpracy, dążenie do osiągnięcia celu. Potrzebna jest jednak przy tym też umiejętność elastycznego reagowania na zmiany sytuacji. Bo nawet w projektach o wyraźnie zdefiniowanych celach zdarza się, że to, co dzisiaj jest uznane za optymalne rozwiązanie, jutro już może takie nie być. Firmę buduje się, pracując na co dzień w zastanych warunkach, a nie wymyślając idealne koncepty. 

Co jest najważniejsze przy wyborze kandydata, jeśli chodzi o kwalifikacje zawodowe? Czy największe szanse na zatrudnienie mają  u Pana ludzie z wykształceniem informatycznym?

Na pewno informatyka jest dobrą podstawą do rozwijania kwalifikacji, których potrzebujemy. W cyberbezpieczeństwie mamy jednak do czynienia z olbrzymią zmiennością zjawisk i zdarzeń. Dlatego też u specjalistów z tej dziedziny najbardziej liczy się ciekawość i zdolność uczenia się. Najlepszymi kandydatami do pracy są ludzie z pasją. Wielu top specjalistów, najlepszych ekspertów od cyberbezpieczeństwa nie ma ukończonych żadnych studiów. Posiadają jednak ogromną, unikatową wiedzę ze swojej dziedziny. 

Jakimi cechami musi dysponować szef, żeby zarządzać takim zespołem? Co najbardziej ceni Pan u siebie jako menedżera?

Najważniejsze, żeby być blisko swojego zespołu. Nie można budować barier między sobą a ludźmi, każdy powinien mieć możliwość swobodnego dostępu do szefa. Jego rolą jest umożliwić zespołowi realizację zadań – usuwać przeszkody, a jak trzeba, również osłaniać. To musi też działać w drugą stronę: tak jak oni mogą liczyć na mnie, tak ja mogę liczyć na nich. Musimy mieć do siebie nawzajem zaufanie.

Czy to prawda, jak mówi obiegowe przekonanie, że w grupie ekspertów od zaawansowanych technologii są głównie indywidualiści, ludzie, którym trudno się pracuje z innymi?

Są różni ludzie – tacy, którzy chcą mieć zawsze rację, i tacy, którzy szukają przede wszystkim porozumienia. Ci, którzy się upierają przy swoim, stanowią często źródło konfliktów. Oczekuję od współpracowników otwartości, zawsze mogą do mnie przyjść i powiedzieć, co myślą, ale ostatecznie to ja podejmuję decyzje. Wiadomo, że ludzie mają różne osobowości, ale osobowość dominująca nie może nie dopuszczać do głosu innych, bardziej nieśmiałych. Cenię ludzi, którzy, bez względu na swój charakter chętnie przychodzą do pracy i są skłonni do podejmowania nowych wyzwań. Ważne, żeby zespół rozumiał, że jego rolą jest akceptacja kierunku, w którym ma iść organizacja. 

Na pewno informatyka jest dobrą podstawą do rozwijania kwalifikacji, których potrzebujemy. W cyberbezpieczeństwie mamy jednak do czynienia z olbrzymią zmiennością zjawisk i zdarzeń. Dlatego też u specjalistów z tej dziedziny najbardziej liczy się ciekawość i zdolność uczenia się.

O WŁASNEJ DRODZE ZAWODOWEJ 

W jaki sposób trafił Pan do pracy w dziedzinie cyberbezpieczeństwa? 

Inspiracją do podjęcia decyzji o zajęciu się tematyką cyberbezpieczeństwa była rozmowa z kolegą, specjalistą od sieci komputerowych. Doszliśmy do wniosku, że cyberbezpieczeństwo będzie się stawać coraz ważniejsze dla funkcjonowania środowisk teleinformatycznych i warto się w tym kierunku rozwijać. Postanowiłem więc z tą dziedziną związać swoją dalszą drogę zawodową. Zacząłem od zdobywania stosownych certyfikatów. To były lata 2004–2005.

Jakie studia Pan skończył?

Socjologię.

Co to ma wspólnego z cyberbezpieczeństwem? Na ile wiedza z tej dziedziny okazała się być przydatna dla Pana dalszego rozwoju zawodowego?

Jeśli chodzi o technologie, to w ogóle, ale w pracy z ludźmi bardzo się przydaje. Kończyłem różne kursy dla menedżerów, większość przekazywanej na nich wiedzy opiera się na psychologii społecznej i socjologii. Ja większość tych rzeczy znałem już ze studiów.

A co z umiejętnościami technicznymi? Jak poradził Pan sobie z przyswojeniem niezbędnych kwalifikacji informatycznych?

Jestem samoukiem. W odległej przeszłości edukacyjnej miałem epizod technologiczny związany z ukończeniem Technikum Łączności w Gdańsku.  Kluczowe według mnie było jednak to, że miałem wielką ciekawość świata nowych technologii. To pomagało mi się uczyć. Na naukę poświęcałem bardzo dużo czasu. Na początku lat 2000. pracowałem już od10 lat w branży IT jako inżynier systemowy. Przejście w stronę cyberbezpieczeństwa (nikt tak go wtedy nie nazywał) było świadome i, jak mówiłem wcześniej, wynikało z dyskusji o przyszłości branży w gronie osób o podobnych zainteresowaniach. Miałem też dużo determinacji i przekonanie, że obrałem kierunek, który będzie się stawał coraz ważniejszy dla działania firm. Dzięki temu zacząłem pracować w sferze cyberbezpieczeństwa. Jeśli poruszamy się w sferze swoich pasji, a wśród ekspertów technologii IT i cyberbezpieczeństwa jest wielu pasjonatów, łatwo przychodzi poświęcanie czasu na eksplorowanie nowych obszarów. Zazwyczaj wynika to z zainteresowań, wewnętrznej potrzeby poznawania świata, doskonalenia się i rozwijania swojej wiedzy. 

Które doświadczenia z wcześniejszej pracy przydają się Panu obecnie najbardziej na nowym stanowisku?

Nigdy nie jest tak, że jest się tylko po stronie dostawcy albo po stronie odbiorcy rozwiązań IT. Firma HP jest dostawcą, ale też sama musi zadbać o bezpieczeństwo swoje i oferowanych rozwiązań. BIK jest użytkownikiem, korzysta z dostępnych na rynku systemów, ale sam też musi świadczyć bezpiecznie swoje usługi. Teraz pracuję w firmie świadczącej usługi, u podstaw których leży zapewnienie wysokiego poziomu bezpieczeństwa. Sięgamy więc po optymalne do tego celu rozwiązania. Sami też jednak zamierzamy świadczyć klientom usługi związane z bezpieczeństwem. 

Inspiracją do podjęcia decyzji o zajęciu się tematyką cyberbezpieczeństwa była rozmowa z kolegą, specjalistą od sieci komputerowych. Doszliśmy do wniosku, że cyberbezpieczeństwo będzie się stawać coraz ważniejsze dla funkcjonowania środowisk teleinformatycznych i warto się w tym kierunku rozwijać.

O PLANACH NA PRZYSZŁOŚĆ 

Niejednokrotnie pojawiają się opinie, że ludzie od bezpieczeństwa są hamulcowymi rozwoju firmy, że rygory narzucane przez działy cyberbezpieczeństwa ograniczają lub utrudniają możliwości biznesowego działania przedsiębiorstwa. Jak to wygląda z Pana perspektywy?

Zawsze trzeba szukać rozwiązań sprzyjających rozwojowi biznesu, a nie blokujących go. Akurat w przypadku chmury bezpieczeństwo jest podstawą jej biznesowego sukcesu. Klienci zdecydują się skorzystać z usług chmurowych, gdy będą przekonani, że są one bezpieczne. Naszym zadaniem jest pokazać, że tak jest faktycznie. 

Czy myśli Pan już o swoich kolejnych wyzwaniach zawodowych? Ma Pan już plany na kolejny etap swojej kariery zawodowej?

Skupiam się teraz na tym, co robimy w OChK. To projekt na kilka lat. Jeden z najciekawszych projektów w naszym kraju, o wielkim potencjale rozwojowym. W Polsce adaptacja chmury jest ciągle na niskim poziomie, znajdujemy się w końcówce krajów europejskich pod tym względem. To się przekłada też na niski stopień innowacyjności naszych przedsiębiorstw. Liderzy innowacyjności w Europie mają wysoki wskaźnik „uchmurowienia”. Przed nami duże wyzwanie. Jednym z warunków skutecznego zachęcenia polskich firm do korzystania z chmury jest zagwarantowanie im wysokiego poziomu bezpieczeństwa. Przede mną więc na razie dużo zadań. 

A jak widzi Pan perspektywy dalszego rozwoju technologii teleinformatycznych?

Zajmuję się IT od 1993 roku, a cyberbezpieczeństwem od początku lat 2000. Widziałem już kilka rewolucji technologicznych. Według mnie kolejna właśnie się dzieje. Materializuje się ona dzięki pojawieniu się chmury i związanych z nią technologii. Stoimy też u progu następnej. Spodziewamy się, że wdrożenie 5G będzie kolejnym katalizatorem zmiany w technologii, choć nie wiemy jeszcze dokładnie, jak bardzo wpłynie ona na ekonomię, przedsiębiorstwa i życie ludzi. 

Rozmawiali Przemysław Gamdzyk i Andrzej Gontarz. 

Adam Marczyński

Chief Security Officer, Operator Chmury Krajowej; Członek Rady CSO Council 

Posiada ponad 20 lat doświadczenia w branży usług IT, w tym 10 lat w obszarze bezpieczeństwa informacji. Poprzednio pracował w Biurze Informacji Kredytowej jako dyrektor Departamentu Usług Bezpieczeństwa. Wcześniej był m.in. architektem bezpieczeństwa dla Europy Centralnej i Wschodniej w Hewlett-Packard, oficerem bezpieczeństwa dla Hewlett Packard Polska oraz dla Centralnej i Wschodniej Europy, a także menedżerem bezpieczeństwa i BCP na obszar Europy. Gościnnie wykłada na SGH, dzieląc się ze studentami swoim doświadczeniem z obszarów BCP, audytu bezpieczeństwa, zagadnień zabezpieczania danych w chmurze informatycznej i inżynierii społecznej. Posiada szereg certyfikatów z obszarów bezpieczeństwa informacji i IT (CISA, CISM, CISSP, CRISC, CEH, MCSE Security). Jest również audytorem wiodącym norm ISO 27001 i BS 25999.

Adam Marczyński będzie prelegentem na konferencji „Advanced Threat Summit 2019” (13-14 listopada 2019). Jej temat przewodni stanowią zagadnienia związane z bezpieczeństwem rozwiązań chmurowych. Szczegółowe informacje o programie można znaleźć na stronie atsummit.pl .