Olyannyira felértékelődött az IT-biztonság, hogy például Németországban már a legjobban fizetett szakemberek lettek az IT-biztonsági szakértők, átlagosan évi 75 ezer eurót lehet keresni ezen a pályán. A vastag eurókötegek ellentétele azonban a szerteágazóbb tudás. Közel sem elég, hogy valaki ért a víruskeresőkhöz, és tudja konfigurálni a vállalati tűzfalat. A felértékelődés nem véletlen: szintén német adat, hogy a vállalatok kétharmadát dokumentáltan érte már hackertámadást – és minden második támadás sikeres is volt! Ebből következik, hogy ma már iparágtól függetlenül minden szervezet komoly veszélynek van kitéve.

Mindenki akar IT-biztonsági szakértőt

A támadásoknak való kitettség erősödése magával hozta a szakemberigény növekedését is. De kiket, pontosabban milyen képességű, tudású és felkészültségű szakembereket keresnek?

A legtöbb állásajánlatban a pozíciót meglehetősen tágan fogalmazzák meg: IT-biztonsági szakértő, adatvédelmi vagy adatbiztonsági szakember szerepel az elnevezésben, de sokan keresnek tanácsadókat is, sőt egyre gyakoribb, hogy IT-biztonságra szakosodott szoftverfejlesztőt keres egy szervezet.

Leszámítva a szoftverfejlesztőket szinte mindegy is, milyen fogalommal írják le az adott pozíciót. Az elvárásokban ugyanis nagyon kicsi a különbség: nincs szignifikáns eltérés a követelményekben, amiket egy adatbiztonsági vagy egy IT-biztonsági szakemberrel szemben támasztanak.

A két legfontosabb követelmény a stratégiai gondolkodás és a sebezhetőségmenedzsment. Ez szinte minden esetben elvárás. A Computerwoche több száz németországi hirdetést vizsgált meg, és mindegyikben talált erre utaló mondatot.

Elvárás egyfelől, hogy a szakértő képes legyen feltárni a vállalati rendszer sebezhetőségeit, stratégiát alkotni a védelemre. Mivel azonban a hackertámadások gyakran azért sikeresek, mert a dolgozók nem ismerek vagy figyelmen kívül hagyják a biztonsági irányelveket, a biztonsági szakértő feladata az is, hogy az alkalmazottakat felkészítse a veszélyekre, ellenőrizze az irányelvek betartását. Szintén fontos feladata, hogy felkészítse a menedzsmentet, az ügyfeleket és a biztonsági feladatokkal (is) foglalkozó részlegeket a szükséges feladatokra.

Nem a diploma számít…

A kulcspozíciókban elsősorban a tapasztalat számít és nem a diploma. Műszaki ismeretek nélkül azonban ezt a munkát sem lehet jól csinálni. Amikor egy vállalat IZ-biztonsági szakértőt keres, éppen ezért főleg a munkatapasztalatot és fontosabb műszaki ismereteket határozza meg az elvárások között. Egy IT-biztonsági szakértő számára ma már elengedhetetlen, hogy jártas legyen a hálózati protokollokban (például a TCP/IP), a titkosítási technológiákban vagy épp a hozzáférés-kezelésben (utóbbiról szól e havi kiemelt témánk).

Ugyancsak elvárás az IT-biztonsági szabványok – például az ISO/IEC 27000-es szabványcsalád – ismerete. Ehhez kapcsolódóan jó, ha egy IT-biztonsági szakértő a helyi törvényi szabályozás részleteivel is tisztában van – Magyarországon például az Infotörvényt, valamint a GDPR-harmonizáció miatti legutóbbi módosításait kell alaposan ismerni.

A szakirányú végzettség a szerteágazó feladatok miatt ma már lényegében csak a szoftverfejlesztői területen elvárás. Ha azonban általánosan IT-biztonsági szakértőt keres egy cég, ez már másodlagos. Legfeljebb abból a szempontból érdekes, hogy a felsőfokú végzettséggel rendelkezők jellemzően könnyebben tovább(át)képezhetők.

Az IT-biztonság ma már a vállalatok egészét, lényegében az összes üzleti folyamatot áthatják. Ezeket a folyamatokat egy közgazdász végzettségű szakember sokkal jobban átlátja, és – természetesen megfelelő informatikai ismeretek birtokában –, az IT-biztonsági követelményekkel összhangba tudja hozni. Ugyanígy, a compliance-követelmények szigorodása miatt jó eséllyel pályáznak IT-biztonsági szakértőknek meghirdetett állásokra jogászok is – szintén megfelelő műszaki ismeretek birtokában. Utóbbiak például sokkal könnyebben megbirkóznak azzal, hogy a vállalatukat biztonsági szempontból is felkészítsék az EU általános adatvédelmi rendelete, a GDPR követelményeire.