Kde vzít kyberbezpečnostní experty? A proč nespoléhat jen na nábor

Kybernetická bezpečnost je stále relativně mladý obor, který nemá silnou základnu stávajících expertů. I proto musí firmy, které chtějí mít tuto oblast ve svých rukou, aktivně vyhledávat talenty a pracovat s nimi dlouhodobě, což mimo jiné znamená i si je vychovávat vlastními silami.

Kybernetická bezpečnost je oblastí, která se v uplynulých letech proměnila z podpůrné IT disciplíny v plnohodnotnou agendu. Agendu, kterou musí ve firmě někdo zajišťovat. Jenže shánění odborníků v této oblasti není snadné, a to jak vzhledem k citlivosti tématu, tak dostupnosti expertů.

Nejde jen o jednu roli

Častou chybou, kterou firmy dělají, je, že hledají „cybersecurity specialistu“, jako by šlo o jednu univerzální roli. Ve skutečnosti se jedná o několik různých směrů, které se liší způsobem práce, kompetencemi i tím, kde takové lidi získat.

Na jedné straně stojí technická kybernetická bezpečnost. To jsou lidé, kteří pracují přímo se systémy. Řeší zranitelnosti, monitorují provoz, reagují na incidenty, testují zabezpečení. Typicky jde o role jako bezpečnostní analytik, specialista SOC, penetration tester nebo bezpečnostní architekt. Na druhé straně je řízení kybernetických rizik. Tady nejde primárně o technologie, ale o pochopení dopadů. Tito lidé překládají technické hrozby do byznysového jazyka. Řeší compliance, nastavují procesy, hodnotí rizika, komunikují s vedením. Patří sem role jako cyber risk manager, GRC specialista nebo CISO.

Oba světy se doplňují, ale málokdy se překrývají v jedné osobě. Technický expert bez kontextu může řešit věci, které nemají pro firmu zásadní význam. Manažer rizik bez technického zázemí zase nemusí správně vyhodnotit, co je skutečně kritické. Prvním krokem tedy není nábor. Prvním krokem je ujasnit si, koho vlastně hledáte.

Kandidáti mohou mít různorodý profil

Technické role obvykle vyžadují hlubší specializaci. Juniorní analytik může začínat s monitoringem a postupně se učit. Penetration tester nebo architekt už musí mít praktické zkušenosti a schopnost samostatně řešit problémy. Naopak v oblasti řízení rizik se častěji uplatňují lidé s širším přehledem. Nemusí nutně umět programovat nebo konfigurovat systémy, ale musí rozumět principům a být schopni komunikovat napříč firmou.

To má zásadní dopad na to, kde takové lidi hledat. Technické experty často najdete mezi vývojáři, administrátory nebo lidmi, kteří už pracují v IT. Specialisté na řízení rizik mohou přicházet i z jiných oblastí, například z auditu, compliance nebo projektového řízení. Jakmile si tohle ujasníte, začíná teprve skutečné hledání.

Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Zobrazit

Několik cest, jak odborníky získat

Podobně jako v jiných oborech existují i v oblasti kyberbezpečnosti v zásadě tři cesty, jak odborníky získat: externí nábor, výchova vlastních lidí a práce se studenty. Žádná z nich sama o sobě nestačí. Dokonale fungují až v kombinaci. Externí nábor je nejviditelnější a nejrychlejší variantou. Potenciálních kandidátů je ale málo a aktivně práci většinou nehledají. Proto je potřeba se na jejich nábor opravdu důkladně soustředit, což znamená, že nestačí jen klasický inzerát.

Nábor takových talentů probíhá v několika rovinách. Firma musí umět kandidátům vysvětlit, proč by měli jít právě sem, jaké problémy budou řešit a jakou budou mít roli a zázemí. Odborníci si totiž nevybírají jen podle mzdy, ale sledují i stav oblasti bezpečnosti ve firmě a celkový přístup k ní. Jakékoli podceňování této oblasti okamžitě poznají. 

S přesvědčováním pomůže dlouhodobá otevřenost firmy. Cení se práce s komunitami, účast na odborných akcích a snaha navazovat vztahy dlouhodobě. Firma, která o bezpečnosti jasně komunikuje, bude pro kandidáty zajímavější než ta, která o ní nemluví. Důležité je i přímé oslovení kandidátů. Personalizované, konkrétní, založené na reálném pochopení profilu kandidáta.

Pokud člověk zvládne najmout ajťáka, zvládne jakýkoliv jiný nábor

Zobrazit

Vychovávejte a nebuďte závislí na trhu

Druhá cesta je méně viditelná, ale o to důležitější. Místo hledání hotových expertů začnete systematicky rozvíjet vlastní zaměstnance. V praxi to znamená vytipovat lidi, kteří mají potenciál, typicky z IT, ale nejen odtud, a dát jim prostor učit se, zapojit je do reálných projektů a postupně je posouvat.

Možnosti vzdělávání v oblasti kyberbezpečnosti

Vedle formálního vzdělání existuje široká škála možností, jak rozvíjet znalosti v praxi. Řada z nich umožňuje systematický rozvoj od základní orientace v problematice až po expertní úroveň. Hodí se tedy právě i pro rozvoj interních zaměstnanců.

Online platformy:

• Hack The Box – praktické simulace útoků a obrany (hackthebox.com)
• TryHackMe – strukturované kurzy a scénáře (tryhackme.com)
• Cybrary – komplexní vzdělávací platforma (cybrary.it)

Certifikace:

• CISSP (isc2.org) – pokročilá certifikace pro bezpečnostní profesionály
• CEH (eccouncil.org) – etický hacking
• CompTIA Security+ (comptia.org) – vstupní certifikace

Výhoda je zásadní. Tito lidé znají firmu, její systémy i její kulturu a jejich loajalita bývá výrazně vyšší. Nevýhodou je čas. Z juniora se senior nestane za rok. Proto je důležité začít co nejdříve. Z pohledu managementu je to jedna z nejjistějších investic. Vytváříte si vlastní kapacitu, která není závislá na trhu.

Studenti mají potenciál

Třetí cestou je investice do budoucnosti. Studenti vysokých škol už během studia hledají první zkušenosti. Firmy ale váhají, protože „ještě nic neumí“. To je však krátkozraké. Studenti mají aktuální znalosti, chuť učit se a často i větší flexibilitu než zkušení kandidáti. Klíčové je, jak s nimi pracujete. Atraktivní je například možnost nabídnout studentům stáže. Ty by ale neměly být jen o sledování. Je potřeba studenty zapojit do reálných aktivit, samozřejmě s omezenou odpovědností, ovšem s jasným přínosem.

Velmi dobře funguje zapojení studentů do analýzy incidentů, testování nebo interních projektů. Pod vedením zkušenějších kolegů se učí rychleji a zároveň přinášejí nový pohled. Spolupráce může mít i formu diplomových prací, které řeší konkrétní problém firmy. Touto cestou si firmy budují pipeline talentů. Nečekají, až se objeví na trhu. Vytvářejí si je. A nevadí, že zrovna jeden konkrétní kandidát, s nímž právě firma spolupracovala, nakonec najde uplatnění jinde.

Kde hledat budoucí talenty pro oblast kyberbezpečnosti

Praha:

České vysoké učení technické v Praze, Fakulta informačních technologií

• Programy: počítačová bezpečnost; informační bezpečnost
• Silný technický základ, důraz na praktické dovednosti a architekturu systémů

České vysoké učení technické v Praze, Fakulta elektrotechnická

• Programy: otevřená informatika
• Silný technický základ, důraz na praktické dovednosti a schopnost se přizpůsobit

Brno:

Masarykova univerzita, Fakulta informatiky

• Programy: kyberbezpečnost; počítačové systémy, komunikace a bezpečnost
• Široký záběr od sítí po bezpečnost aplikací

Vysoké učení technické v Brně, Fakulta informačních technologií

• Programy: informační technologie a umělá inteligence
• Propojení bezpečnosti s telekomunikacemi a hardwarem

Zlín:

Univerzita Tomáše Bati ve Zlíně, Fakulta aplikované informatiky

• Programy: kybernetická bezpečnost
• Prakticky orientované studium s vazbou na průmysl

Ostrava:

Vysoká škola báňská – Technická univerzita Ostrava, Fakulta bezpečnostního inženýrství

• Programy: bezpečnostní inženýrství; technická bezpečnost
• Technické pojetí bezpečnosti v širším kontextu (IT + fyzická bezpečnost)

Hradec Králové:

Univerzita Hradec Králové, Fakulta informatiky a managementu

• Programy: aplikovaná informatika
• Možnost zaměření na bezpečnost v rámci IT

Další relevantní směry (napříč školami)

• Informační technologie, aplikovaná informatika, administrace ICT
• Bezpečnostně-právní studia a forenzní obory
• Telekomunikační a informační systémy

Práce firem se studenty a s interními kandidáty jim nakonec pomůže i s oním získáváním externích expertů, protože i špičkoví odborníci řeší, jaké budou mít další možnosti rozvoje a také odkud se berou jejich kolegové. Přístup ke školením, certifikacím a konferencím i celková otevřenost firmy jsou v tomto ohledu klíčovými faktory. Firmy, které sdílejí své zkušenosti, publikují nebo spoluutvářejí komunitu, působí důvěryhodněji.

Přijměte pomocnou ruku

Práci se sháněním kyberbezpečnostních expertů může usnadnit i umělá inteligence. Pomůže s lepším vyhledáváním talentů, analýzou jejich zkušeností i identifikací jejich potenciálu. Ale pozor, při samotné interakci naopak odborníci očekávají lidský přístup, a ne „AI nábor“. Jak na to, prozradí již brzy jeden z chystaných O₂ CyberCastů, kde se problematice náboru IT odborníků včetně specialistů na kyberbezpečnost věnuje José Kadlec.

V některých případech pak může být vhodnou volbou i outsourcing těchto specializovaných dovedností.

Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky

Zobrazit

Co si z článku odnést?

• Kybernetická bezpečnost je komplexní oblast, která vyžaduje od firem velkou pozornost a v případě hledání talentů systematický přístup.
• Nesoustřeďte se na jeden zdroj talentů – klasický nábor stačit nemusí. Věnujte se i vzdělávání vlastních lidí nebo práci se studenty.
• Existuje celá řada online platforem, které vzdělávání v oblasti kyberbezpečnosti usnadňují.
• Talenty osloví otevřenost a upřímnost. Buďte součástí komunity a komunikujte o svých aktivitách na poli kyberbezpečnosti.
• Nebojte se oslovit odborníky a navázat v oblasti kybernetické bezpečnosti spolupráci s důvěryhodnými externími partnery.

Kateřina Dobrá
Marketingový specialista pro B2B

Káťa se věnuje tvorbě článků, O2 CyberCastu a newsletterů na téma kyberbezpečnosti a moderních technologií. Srozumitelně překládá složitá témata do lidské řeči, propojuje technický svět s praxí a ráda jde pod povrch věcí. Zaměřuje se na bezpečnost dat, nové technologické trendy a jejich reálný dopad na firmy i jednotlivce.