Czym zajmuje się Specjalista/ka ds. bezpieczeństwa informacji? - Cyberbezpieczne Porady
Blog
lip 15
Czym zajmuje się specjalista bezpieczeństwa informacji w wirtualnym świecie?

Czym zajmuje się Specjalista/ka ds. bezpieczeństwa informacji?

Dziś opowiem o jednej z moich ról, od której zaczynałam swoją przygodę w świecie cyberbezpieczeństwa. Mowa o roli Specjalisty/ki ds. bezpieczeństwa informacji. Co do zasady, stanowisko to koncentruje się na zagadnieniach związanych z normą ISO 27001, która stanowi międzynarodowy standard dotyczący systemu zarządzania bezpieczeństwem informacji (SZBI). Ujmując to jeszcze prościej, jest to instrukcja obsługi bezpieczeństwa w firmie. Określa, jak chronić kluczowe dane i aktywa przedsiębiorstwa przed kradzieżą, zniszczeniem lub wyciekiem.

Specjalista ds. bezpieczeństwa informacji (często nazywany również Security Specialist, Information Security Analyst, Cybersecurity Specialist) to osoba odpowiedzialna za ochronę lub strategię ochrony zasobów organizacji przed zagrożeniami, takimi jak ataki hakerskie, wycieki danych, wirusy i inne formy cyberprzestępczości. Niech Was nie zmyli powtarzające się słowo „cyber”. Jeżeli Wasza firma będzie zmieniać biuro, bezpieczeństwo fizyczne również znajdzie się w zakresie wsparcia tej roli.

Jak zaraz się przekonacie, rola i sama norma ISO są dość szerokie, jednak istnieją też oferty pracy dla takiego specjalisty, które skupiają się na konkretnym obszarze.

Żródło: https://justjoin.it/, ogłoszenie z rolą Specjalisty/ki ds. bezpieczeństwa informacji i ciągłości działania.

W tym przypadku taki specjalista/ka odpowiada za firmowy plan ciągłości działania. Jest to dokument, który zawiera wytyczne, co należy zrobić, gdy w biurze zabraknie prądu, zaleje nas woda z pękniętej rury lub gdy dojdzie do czegoś naprawdę poważnego i nieprzyjemnego, jak zatrzymanie pracy firmy przez atak hakerski. Z doświadczenia wiem, że stworzenie i utrzymanie takiego planu, wraz z aktualizacją co roku, to niemałe wyzwanie, więc nie dziwię się, że takie role są często wyszczególniane jako osobne. Im większa firma, tym większe potrzeby, ale i możliwości, jeśli chodzi o zatrudnienie.

Główne zadania specjalisty/ki ds. bezpieczeństwa informacji

Poniżej znajdziesz wykaz zadań, którymi zajmują się specjaliści w tym obszarze. W trakcie lektury z pewnością zwrócisz uwagę na ich obszerność. Zdarza się, że dział bezpieczeństwa informacji składa się z zaledwie 2-3 osób i jest to zupełnie normalne. W takim układzie dużą wagę przykłada się do priorytetyzacji zadań w zespole i ustalania celów. Ponadto, nie za wszystko jesteśmy bezpośrednio odpowiedzialni. Przykładowo, jeżeli w dziale IT wydarzy się incydent, naprawia go dział IT. My jedynie (albo aż) koordynujemy incydent, doradzamy, prowadzimy rejestr incydentów, dbamy o odpowiednią analizę i dokumentację.

Do głównych zadań osób w tej roli należą:

1. Opracowywanie oraz wdrażanie polityk i procedur bezpieczeństwa:

  • Tworzenie i aktualizacja polityk bezpieczeństwa informacji, zgodnych z normami (np. ISO 27001) i przepisami prawa (np. RODO). 

Polityki dotyczą różnych obszarów. Najbardziej popularną i istotną dla każdego pracownika jest polityka „Zasady akceptowalnego użytkowania” lub „Zasady korzystania z systemów informatycznych”. To dokument, który w dużym uproszczeniu określa, co można robić na komputerze firmowym, a co jest kategorycznie zabronione. Dokumenty związane z regulacjami bardzo często powstają we współpracy z działem prawnym lub zewnętrzną kancelarią.

  • Opracowywanie procedur bezpieczeństwa, określających sposób postępowania w różnych sytuacjach (np. zarządzanie hasłami, reagowanie na incydenty). Polityki i procedury łączą się w całość z czego procedury są dużo bardziej szczegółowe. Polityka może mówić, że firmowe hasła masz przechowywać w sposób bezpieczny i nienarażający organizacji na incydenty. Procedura odpowie Ci na pytanie w jakim menedżerze haseł masz je przechowywać czy jak często aktualizować.
  • Szkolenie pracowników z zakresu bezpieczeństwa informacji, czyli szkolenie z wdrożonych polityk i procedur, zwłaszcza tzw. „Zasad akceptowalnego użytkowania”, o których wspomniałam tu już wcześniej.

2. Analiza ryzyka i zagrożeń:

  • Identyfikacja potencjalnych zagrożeń dla systemów i danych organizacji.
  • Ocena ryzyka związanego z tymi zagrożeniami (prawdopodobieństwo wystąpienia i potencjalne skutki).
  • Opracowywanie i wdrażanie strategii zarządzania ryzykiem.

Uważam, że najtrudniejszym aspektem tej pracy jest umiejętność przekonania innych o istnieniu ryzyka lub właściwego ustalenia priorytetów w organizacji. Zdecydowanym atutem są umiejętności miękkie oraz aktualna wiedza, która pozwala na rzeczowe argumentowanie proponowanych zmian.

3. Współpraca z innymi działami lub partnerami:

  • Współpraca z działem IT w celu wdrażania bezpiecznych rozwiązań technologicznych jest kluczowa. To osoby, które konfigurują systemy i utrzymują sieć, mając tym samym ogromny wpływ na cyberbezpieczeństwo. Dobry IT Engineer to także osoba świadoma podstawowych praktyk bezpieczeństwa i stosująca je w swojej codziennej pracy.
  • Współpraca z działem HR i Finansów jest równie istotna. W tych działach gromadzone są ogromne ilości danych, zazwyczaj poufnych lub po prostu danych osobowych (RODO). Dla tych osób pełnisz rolę doradcy, a czasem nawet audytora.
  • Współpraca z partnerami zewnętrznymi jest nieodzowna. Jak zapewne się domyślasz, dysponując skromnym działem bezpieczeństwa informacji i nieco większym działem IT, część prac zlecasz na zewnątrz firmy. Możesz outsourcować usługi prawne lub SOC (Security Operations Center). Na szczególną uwagę zasługuje właśnie ta druga usługa, ponieważ na rynku pracy znajdziesz również ogłoszenia na stanowisko Analityka SOC. Te zespoły odpowiadają wówczas za monitorowanie, wykrywanie i reagowanie na incydenty bezpieczeństwa w organizacji oraz w jej infrastrukturze technologicznej.

4. Testy penetracyjne i audyty bezpieczeństwa:

  • Kluczowym aspektem jest organizacja regularnych testów penetracyjnych lub zlecanie ich w razie potrzeby. Testy te przeprowadza się w celu identyfikacji luk w zabezpieczeniach naszej infrastruktury. Ciekawą formą testów są również pentesty biura, podczas których tester ma za zadanie dostać się do naszej lokalizacji bez użycia karty dostępu czy zgłoszenia jako gość.
  • Przeprowadzanie audytów bezpieczeństwa w celu oceny zgodności z politykami i procedurami bezpieczeństwa oraz reprezentowanie firmy w momencie, gdy to my jesteśmy audytowani. W tym zawodzie możesz znaleźć się po obu stronach.
  • Rekomendowanie i monitorowanie działań naprawczych w oparciu o wyniki testów i audytów.

5. Audyt dostawców i Client Due Diligence

  • Wybierając dostawców, szczególnie tych, którzy mają dostęp do naszych danych lub systemów, musimy upewnić się, że przestrzegają oni odpowiednich standardów bezpieczeństwa. Audyt dostawców to proces oceny ich polityk, procedur i zabezpieczeń w celu identyfikacji potencjalnych luk i słabości. Oraz oceny czy możemy i chcemy z kimś współpracować.  To znacznie szerszy temat i jeśli masz ochotę dowiedzieć się więcej, daj znać. Myślę, że zasługuje on na osobny wpis 🙂
  • Client Due Diligence to proces lustrzany, który zachodzi w momencie, gdy nasz potencjalny lub obecny klient chce zweryfikować poziom bezpieczeństwa swojego dostawcy. Nie zliczę, ile takich kwestionariuszy od klientów wypełniłam przez ostatnie lata, aby zapewnić ich, że nasza organizacja dba o obszar cyberbezpieczeństwa. Z biznesowego punktu widzenia jest to niezwykle ważny aspekt. Nikt nie chce współpracować z podmiotem, który może narazić go na incydent bezpieczeństwa lub cyberatak.

6. Utrzymywanie wiedzy na temat aktualnych zagrożeń:

  • Wbrew pozorom to też element naszej pracy – śledzenie najnowszych trendów w cyberbezpieczeństwie w tym incydentów, które wydarzyły się w innych firmach.
  • Czytanie raportów i analiz dotyczących zagrożeń.
  • Bycie na bieżąco w standardami takimi jak normy ISO, NIST czy CIS.

RODO, czyli dodatkowy atut.

Myślę, że w każdej branży warto mieć umiejętność, która wyróżni Cię na rynku i uzupełni Twoje portfolio. W przypadku Specjalisty/ki ds. bezpieczeństwa informacji znajomość RODO (Rozporządzenia o Ochronie Danych Osobowych) to bez wątpienia cenny atut. Dlaczego?

RODO to nie tylko zbiór przepisów prawnych, ale przede wszystkim kompleksowe podejście do ochrony danych osobowych. Specjalista, który biegle porusza się w jego meandrach, potrafi skutecznie wdrażać procedury zgodne z RODO i integrować je z SZBI (Systemem Zarządzania Bezpieczeństwem Informacji), przeprowadzać audyty, oceniać ryzyko związane z przetwarzaniem danych i szkolić pracowników. Wszystkie te elementy łączą się i przekładają na realne korzyści dla firmy, która unika wysokich kar finansowych i buduje zaufanie klientów.

W zeszłym roku rekrutowałam osobę na stanowisko Specjalisty/ki „Information Security & Privacy Specialist” z naciskiem na oba obszary – bezpieczeństwo informacji oraz „privacy”, czyli ochronę danych osobowych. O ile eksperta z jednego lub drugiego obszaru można było znaleźć, zdecydowanie trudniej było znaleźć kandydatów, którzy łączyli oba aspekty. Dlatego uważam, że warto mieć swoją specjalizację, która nie tylko odpowie na konkretne zapotrzebowanie na danym stanowisku (ciągłość działania, ochrona danych osobowych), ale w przypadku rekrutacji na klasycznego specjalistę, wyróżni nas z grona pozostałych zainteresowanych i zapewni nam miejsce w wymarzonym miejscu pracy.

Kobieta pracująca przy komputerze jako specjalistka bezpieczeństwa informacji

Na zakończenie.

Specjalista/ka ds. bezpieczeństwa informacji odgrywa kluczową rolę w ochronie organizacji przed cyberzagrożeniami. Ta praca jest niezbędna do zapewnienia poufności, integralności i dostępności danych oraz zadbania o audytowalność wszystkich procesów w firmie, które mają istotny wpływ na te aspekty.

Niezwykle ważne są również umiejętności miękkie i stworzenie środowiska współpracy z osobami, od których faktycznie zależy bezpieczeństwo organizacji, poprzez przestrzeganie ustalonych zasad i polityk. Specjaliści wraz z działem IT tworzą zgrany tandem, który, dzięki synergii swoich kompetencji, zapewniają kompleksową ochronę przed współczesnymi zagrożeniami.

About The Author