Takmer tri štvrtiny firiem na Slovensku má problém nájsť kvalifikovaných IT odborníkov. Podľa septembrového prieskumu nám chýba pätnásťtisíc IT profesionálov. Čo sa však týka nedostatku bezpečnostných odborníkov, problém majú všetci. „Ak počítame iba nevyhnutné pozície, potrebujeme minimálne dvetisíc profesionálov,“ varuje Miroslav Havelka z Kompetenčného a certifikačného centra kybernetickej bezpečnosti.
Všetci sa zhodujú
Kybernetická bezpečnosť strháva na seba čoraz viac pozornosti. Spúšťačom boli legislatívne povinnosti aj udalosti za ostatný rok. „Je to aj dôsledok zvýšených kybernetických hrozieb, ktorým čelia všetky firmy, bez ohľadu na ich veľkosť alebo oblasť podnikania,“ potvrdzuje rastúci záujem o služby kybernetickej bezpečnosti aj Lukáš Okál Security lead Microsoft Česká republika a Slovensko.
Organizácie všetkých typov a vo všetkých sektoroch sú konfrontované s otázkou, ako dokážu chrániť seba aj svojich zákazníkov. Povinnosti a kompetencie v kybernetickej bezpečnosti tak „pristáli na stole“ najmä ítečkárom, právnikom a občas aj personalistom. Citovaný aktuálny prieskum spoločnosti Microsoft o nedostatku IT odborníkov nás však varuje, že ani tam nie sú nekonečné personálne zdroje.
Už nemáme odložený čas
Kritické sú najmä pozície manažéra kybernetickej bezpečnosti v organizáciách štátnej správy a v zdravotníctve a tesne nad priepasťou stojí samospráva. „Nemáme ani personálne, ani finančné zdroje,“ stručne charakterizuje stav Jana Červenáková viceprezidentka Únie miest Slovenska.
Primátori sú ako štatutári zodpovední za kybernetickú bezpečnosť, ale ak musia v súčasnosti riešiť esenciálne služby pre mesto, kybernetická ochrana sa často opiera o nádej, že „nás si nikto nevšimne“. V tomto zazlieva Jana Červenáková štátnej správe, že mestám udeľuje iba úlohy a povinnosti a neposkytuje podporu, či už ide o rozpočet, vzdelávanie, alebo zdieľanie zdrojov.
Aj tí najlepší hľadajú
Obrovský nedostatok kvalifikovaných špecialistov nie je žiadnym tajomstvom, ale obsadiť seniorné posty je samo osebe výzva. „Čo nás prekvapuje, nie je ani tak konkrétna oblasť, ktorá by dlhodobo v zručnostiach kandidátov absentovala, ale skôr vnímanie seniority verzus skutočne prezentované zručnosti,“ hovorí Michal Srnec, CISO Aliter Technologies. Veľa kandidátov vie zručnosti demonštrovať len na konkrétnom type výrobcu a nie vo všeobecnosti, teda koncepčne. Jeho kolegyňa, HR manažérka Zuzana Ištoková sa o to viac sústreďuje na prácu s talentmi: „Učí nás to viac a lepšie ich počúvať a názory, postoje a odporúčania citlivo zvážiť.“ Venuje informáciám z praxe zvýšenú pozornosť a vyberá tie, ktoré vie spoločnosť aplikovať a rozvíjať v súlade s technologickými trendmi.
Pohli sa ľady
„Intenzívne vnímame, že už aj zákazníci z iných odvetví ako IT začali venovať bezpečnosti zvýšenú pozornosť,“ pripája sa ku kolegom Jozef Bálint bezpečnostný špecialista Alison Slovakia.
Takže napríklad taký bezpečnostný architekt má na pracovnom trhu hodnotu futbalovej hviezdy. Aby bol schopný navrhnúť a implementovať kombináciu sieťovo a datacentrovo orientovaných opatrení na zabezpečenie prevencie, detekcie a reakcie na bezpečnostné incidenty, musí rozumieť mnohým oblastiam. A tieto opatrenia musia byť v súlade s bezpečnostnými politikami, ktoré vyplývajú z biznis a technických požiadaviek.
Aj by platili, ale niet komu
Rastislav Beňo, manažér informačnej bezpečnosti Mitsubishi Chemical Advanced Materials, pripomína situáciu, keď mnohí riaditelia bezpečnostných odborov nemohli pre obmedzenia nákladov obstarať tú či onú technológiu. Dnes sa častejšie stretáva s problémom, že „napriek všetkým krízam dnešného sveta už pre mňa nie je takým problémom obstaranie technológie, ale skôr služby s pridanou hodnotou“. Chýbajú aj dodávatelia, ktorí okrem základnej prevádzky a údržby vedia poskytnúť aj expertízu, analýzu, vedenie a strategickú podporu.
Aj snaha sa počíta
Kompetenčné centrum vypravilo do života už viac ako stovku manažérov kybernetickej bezpečnosti.
„Až na kurze som zistil, čo bude náplň mojej práce,“ je až príliš časté hodnotenie od účastníkov vzdelávacích kurzov. Miroslav Havelka sa tak stretáva s úprimnou snahou organizácií splniť zákonné požiadavky, ale najmä so zaskočenými adeptmi.
Do zodpovedajúcich pracovných pozícií sa často ustanovujú špecialisti z príbuzných odborov, ktoré sa zaoberajú ochranou údajov a je potrebné ich pripraviť na postupné zvládanie požiadaviek v kybernetickej bezpečnosti.
Do roka a do dňa
Problémom Slovenska tak stále zostáva nedostatok disponibilných profesionálov v kybernetickej bezpečnosti. Cieľom je preto v najkratšom možnom čase získať potrebný počet kvalifikovaného personálu a obsadiť aspoň roly, ktoré sú povinné zo zákona. Potrebujeme zároveň dobrú definíciu úloh, kompetencií a vedomostí profesionálov kybernetickej bezpečnosti. Je to dobrý základ na vybudovanie bezpečnostných oddelení, platové tabuľky aj nastavenie vzdelávania.
Každý profesionál má svoju rolu
Od januára budúceho roku bude účinná vyhláška o znalostných štandardoch v kybernetickej bezpečnosti. Vyhláška zároveň stanovuje dvanásť rol kybernetickej bezpečnosti na Slovensku.
Rola v kybernetickej bezpečnosti predstavuje konkrétne úlohy a činnosti. Zároveň sú s ňou spojené povinnosti aj oprávnenia pri návrhu, vývoji a prevádzke siete alebo informačného systému.
Tým, že vyhláška opisuje roly, stanovuje aj znalostné štandardy. Je to zároveň výborná navigácia pre personalistov, štatutárov, školy aj písanie životopisov. A dobrá správa pre menšie firmy? Pozícia môže zahŕňať aj viacero rol.
Trend je upskilling
Ak zapĺňame prázdny priestor na trhu práce, najefektívnejšie je vydať sa cestou ďalšieho vzdelávania, či už odborného, rekvalifikačného alebo kontinuálneho. Aj vzdelaní profesionáli takto môžu napredovať v práci, alebo si nájsť ďalšie príležitosti v organizácii. Dlhodobým riešením pre personálne posilnenie kybernetickej bezpečnosti však zostáva vysokoškolské vzdelávanie.
Ivan Kotuliak, dekan FIIT STU, je realistom a upozorňuje, že kvalitné vzdelávanie sa nedá urýchliť a počet študentov musí zodpovedať kapacitám univerzity. Takže ak sa školy zatiaľ pasujú s nulovým záujmom rezortu školstva aj nedostatkom pedagógov, stovky absolventov informačnej bezpečnosti môžeme očakávať tak o päť rokov.