Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Nie płeć, a misja mają znaczenie w branży security

05 kwiecień 2023

Nie płeć, a misja mają znaczenie w branży security
Aleksandra Kornecka

Aleksandra Kornecka

Aleksandra Kornecka, Security Engineer w OLX Group, laureatka pierwszej edycji konkursu “Rising Star in Cybersecurity” jest zdania, że płeć nie powinna być czynnikiem wpływającym na podejście do pracy, a zamiast tego ważne jest współdziałanie i wspólna misja. Szansą dla kobiet w branży jest np. udział w konkursie "Rising Star In Cybersecurity" — w ostatnim wydaniu zachęcaliśmy do wzięcia w nim udziału. Jak wpłynął i jakie dał możliwości naszej rozmówczyni?

Zacznijmy od tego, czy widzi Pani różnice w podejściu mężczyzn i kobiet do pracy w cyberbezpieczeństwie? Jeśli tak, jakie są to różnice?

Aleksandra Kornecka: Prawdę mówiąc, płeć szefów czy współpracowników nigdy nie była dla mnie istotna. Zależy mi na pracy z osobami rozumiejącymi, że cyberbezpieczeństwo to “sport zes-połowy”. Znam zarówno kobiety bardzo przejęte misją chronienia zasobów organizacji i pracujące po godzinach, by lepiej wypełnić tą misję, jak i takie, które pracują od 9 do 17 i nie zaprzątają sobie głowy cyberbezpieczeństwem po pracy. Znam mężczyzn, którzy “przeżywają” każdą znalezioną podatność bezpieczeństwa, jak i takich, którzy wykonują obowiązki zawarte w umowie, nie troszcząc się o nic ponad to. Kluczowe jest znalezienie równowagi — tak by dać z siebie zespołowi to co trzeba, ale też nie musieć przesiadywać po godzinach.

Dlaczego w cyberbezpieczeństwie, czy bezpieczeństwie w ogóle, Pani zdaniem, łatwiej pracę znaleźć jednak mężczyznom?

A.K.: Moją pierwszą reakcją na to stwierdzenie był sprzeciw — dlaczego mężczyznom miałoby być łatwiej znaleźć pracę w cyberbezpieczeństwie? Po chwili namysłu stwierdziłam, że coś w tym, niestety, jest — w ostatnich kilkudziesięciu latach mainstream kulturowy wpaja społeczeństwu, że IT, a tym bardziej cyberbezpieczeństwo, to jest z jakiegoś powodu branża “typowo dla mężczyzn”. Ja nie widzę takiej zależności. Branża IT jak i cyberbezpieczeństwo naprawdę jest dla wszystkich, którzy są nimi zainteresowani oraz nabywają potrzebne kompetencje.

Być może taka percepcja “że kobietom jest trudniej” bardziej działa z drugiej strony — jako że środowisko tej pracy wygląda na bardziej przystosowane do mężczyzn, bardziej oczywiste dla nich — czy to będą niszowe żarty, czy po prostu przyzwyczajenie do widoku mężczyzn, czy pokłosie stereotypów.

Czasy “chłopców w bluzach z kapturem siedzących w piwnicy” jako tych, którzy głów-nie zajmują się cyberbezpieczeństwem — ci raczej zajmowali się hackingiem, niż normalna pracą — już minęły. Oczywiście oni nadal funkcjonują, jednak większość ofert pracy na rynku dotyczy “zwykłych stanowisk” w “zwykłych organizacjach”, w których liczy się realna praca i pomoc przy zabezpieczaniu oraz kontrolowanym atakowaniu infrastruktury i aplikacji organizacji w celu zapewnienia jej wystarczającego poziomu bezpieczeństwa przed zagrożeniami z zewnątrz.

Co do kolejnych myśli na temat tendencji płci w pracy — być może para tradycjonalistyczne wychowanie i przestarzałe trendy kulturowe w stylu “kobiety na polonistykę, mężczyźni na matematykę” nadal pokutują i powodują wolniejszy przyrost kobiet w IT.

Może też w jakimś stopniu brakuje tzw. “role models” kobiecych, przez co mniejszej ilości kobiet wydaje się, że to praca też dla nich. Coś w tym jest, bo jeśli widzisz samych mężczyzn w cyberbezpieczeństwie, to trudniej ci uwierzyć, że to branża też dla ciebie. Mam nadzieję, że coraz mniej ludzi będzie myślało w ten sposób, albo chociaż poszukują tych “role models” i odszukają — bo ich nie brakuje, może są czasem po prostu mniej wyeksponowane.

Czy organizacja takich inicjatyw, jak chociażby "Rising Star In Cybersecurity" może zmienić to podejście?

A.K.: Inicjatywy takie jak ten konkurs pomagają pokazać oczywistą oczywistość — że w cybersecurity jest miejsce dla osób identyfikujących się jako kobiety, że one tam są i że trzeba ich więcej. Takie inicjatywy jako kierowane do kobiet mają moc eksponować “role models”, które są w branży w mniej-szości, pomóc je odkrywać, a tym samym pomagają ośmielać różne osoby do podążania za swoimi zawodowymi zainteresowaniami niezależnie od baga-żu doświadczeń rodzinnych i kulturowych.

Co dał Pani udział w konkursie?

A.K.: Korzyści jest wiele. Zarówno pod kątem rozwoju osobistego i kompetencji miękkich, jak i rozwoju w cybersecurity. Konkurs polega na opisaniu, jaki wpływ na firmę miał projekt, który się realizowało samodzielnie lub w zespole. Potem trzeba nauczyć się o nim opowiadać tak, by przekonać jury, że właśnie on był najbardziej zmieniający status quo. W tym celu należy przygotować prezentację oraz przemyśleć zarówno sam opis, jak i wskaźniki biznesowe i/lub techniczne którymi można się pochwalić.

Proces i etapy konkursu przypominają nieco rundy startupowe, kiedy walczy się o pozyskanie inwestorów. Liczą się zarówno twarde fakty, merytoryka, ale też tzw. “buyin” inwestorów. Tyle że tematem jest cyberbezpieczeństwo, a nagrodą studia.

Jeśli ktoś nie miał dotąd doświadczeń w przemówieniach publicznych, to może być dodatkowo wartościowa przygoda. Ponadto sam konkurs daje dostęp i kontakt do znakomitych specjalistek i specjalistów. Z morza osób na rynku pracy czy kontaktów na LinkedIn stajesz się osobą, którą się pamięta, da-rzy poważaniem i może w przyszłości, którą chętnie się zatrudni.

Osobiście bardzo doceniłam spotkania z liderkami działów bezpieczeństwa z różnych obszarów, jakie dane mi było poznać w czasie konkursu. To też pole do potencjalnych wspólnych działań w przyszłości, a do tego są to najzwyczajniej w świecie świetne osoby.

Ogromnym zbiorem korzyści są same studia, czyli nagroda w konkursie. Poza oczywistą wartością, jaką jest wiedza i poznanie doświadczeń praktyków wykładających przedmioty w programie tych studiów, studia są genialną okazją do networkingu, nawiązywania kontaktów biznesowych, a nawet przyjaźni.

Są to studia podyplomowe, a zatem mamy tu do czynienia z osobami studiującymi, które już są na rynku pracy i to najczęściej parę lat, które mają też wiele doświadczeń i spostrzeżeń i pole do wymiany wiedzy.

Kto wie, czym mogą zaowocować te kontakty w bliższej lub dalszej przyszłości. Możliwe jest wszystko — od wspólnego prowadzenia podcastu, przez mentoring czy barterowy konsulting aż po założenie razem firmy.

Czy udział w konkursie miał wpływ na Pani karierę zawodową?

A.K.: Co do wpływu konkursu na moją karierę zawodową, to stanowi on dla mnie świetny wpis do CV, znacząco poszerzył mi też sieć kontaktów, a ponadto trwają obecnie moje studia podyplomowe i już widzę korzyści, o których wspomniałam wcześniej. Część treści z programu studiów przyda mi się niemal od razu w obecnej pracy, także mój przełożony też jest rad, że podeszłam do konkursu i zdobyłam te studia.

Jakie cele chciałaby Pani osiągnąć w przyszłości w dziedzinie cyberbezpieczeństwa? Czy konkurs pomoże w ich realizacji?

A.K.: Pod względem celów zawodowych konkurs dał mi świetną ”wędkę”, a ode mnie zależy, jakie ryby i ile ich złowię. Zdecydowanie konkurs wspiera realizację celów. Zależy mi bardzo na rozwoju w obszarze cloud security, ale też compliance i tutaj zdecydowanie już znalazłam pomocne treści oraz kontakty. Szczegółowych celów pozwolę sobie nie zdradzać, ale, oczywiście, są wśród nich certyfikaty branżowe poświadczające kompetencje, jak i różne działania dające zabezpieczenie na przyszłość, by zdobyć jak najlepszą pracę, kiedy przyjdzie czas na taką zmianę.

Im więcej wiemy, tym więcej widzimy, ile jeszcze nie wiemy. Praca w cybersecurity to dla mnie nieustanne poznawanie i przyglądanie się, w którym kierunku chcę iść dalej. Obecnie mam już wystarczające podstawy, by widzieć horyzont możliwości oraz znam obszary potencjalnego rozwoju. Badam cały czas siebie, jak i rynek, by zdecydować, jaki kierunek będzie dla mnie najlepszy.

Jest Pani zaangażowana w działania na rzecz popularyzacji cyberbezpieczeństwa. Jakie działania Pani prowadzi?

A.K.: Od prawie 7 lat jestem zaangażowana w szerzenie wiedzy i wymianę doświadczeń poprzez wystąpienia publiczne na różnych wydarzeniach, np. meetupy, konferencje w Polsce i zagranicą, pisanie artykułów, mentorowanie. Wcześniej jako quality assurance engineer oraz tester, potem jako security engineer.

Jestem też członkinią stowarzyszenia ISSA Polska oraz sympatyczną Cyber Women Community — poznałam tę społeczność dzięki konkursowi. Największym osiągnięciem w mentoringu jest dla mnie moment, kiedy osoba którą uczę/której doradzam dostaje pracę albo, gdy mówi, że widzi postęp w swojej ścieżce. W takich momentach czuję, że to, co robię ma naprawdę sens. Największym osiągnięciem przy wystąpieniach jest dla mnie, kiedy ktoś podzieli się ze mną informację, że to, co przekazałam bardzo mu się przyda albo wyjaśniło mu wiele rzeczy.

Widzę też, że miewam szerokie zasięgi swoich postów na social mediach i od czasu do czasu staram się to wykorzystywać w popularyzacji dobrych praktyk cyberbezpieczeństwa, ostrzeganiu przed cyberoszustwami lub w poszerzeniu zasięgu dla osób poszukujących pracy.

Miłym momentem było, kiedy koleżanka z pracy poprosiła mnie o link do listy “punktów cyber-higieny” napisanej prostym językiem zrozumiałym dla ludzi spoza IT, którą stworzyłam z myślą o bezpieczeństwie znajomych oraz osób z rodziny moich kontaktów. W takich momentach czuję, że to co robię ma naprawdę sens.

Jakie rady miałaby Pani dla kobiet, które chcą rozpocząć karierę w dziedzinie cyberbezpieczeństwa lub zwiększyć swoją wiedzę i umiejętności w tej dziedzinie?

A.K.: Jeśli interesują Cię tematy dotyczące cyberbezpieczeństwa, to nie rezygnuj z ich odkrywania. Poszukuj sprzymierzeńców i życzliwych osób, które Ci pomogą, nie słuchaj osób zachęcających Cię do tego różnymi słowami. Najgorsze, co można powiedzieć albo usłyszeć: “Nie dasz rady”, guzik prawda.

Warto poszukać darmowych wydarzeń na miejscu i online, traktujących o cyberbezpieczeństwie — jak ISSA Polska, Cyber Women Commu-nity, konferencje What The Hack, CONFidence, BSides meetup, OWASP meetup, SecOps meet-up itd. Warto poszukać lokalnie w swoim mieście.

Co do zwiększania wiedzy i kompetencji, to zależy od kierunku w cyberbezpieczeństwie, jaki nas interesuje. Dobrą wiadomością jest, że w internecie jest ogrom materiałów w różnych formatach, w tym mnóstwo darmowych. Gorsza wiadomość jest taka, że, jeśli nie pracowało się wcześniej w IT, to może być trudno rozeznać się w jakości materiałów, ich przydatności na realnym rynku pracy oraz w zrozumieniu czasami, jak ich bezpiecznie używać.

Ponadto by mieć dobry start w cyberbezpieczeństwie, warto jest przyswoić sobie choć podstawy podstaw IT — np. zrozumieć bardzo ogólnie naturę oprogramowania, hardware’u, budowę aplikacji, podstawy wiedzy o protokołach komunikacji i Internecie. Trzeba zrozumieć, z jakich stron mogą nadejść zagrożenia, o których potem przyjdzie nam się uczyć, bądź też, jak zaatakować samodzielnie aplikację w kontrolowanych warunkach — i za zgodą zleceniodawcy. Dobrze jest też rozeznać, jakie obszary cyber-bezpieczeństwa istnieją. Mogę wymienić przy-kładowo: application security, pentesting, network security, embedded software security, se-curity operations an incident response (oraz Se-curity Operations Center), infrastructure security i cloud security, security awareness and crisis communication, security compliance.

Jako security engineer mam do czynienia po trochu z różnymi z tych obszarów, jednak w zależności od firmy można pracować na specjalizowanym stanowisku. Również nazwy stanowisk potrafią bardzo się różnić w różnych firmach. Na pewno też warto zadbać o znajomość języka angielskiego pozwalającą na swobodne czytanie dokumentacji i przyswajanie materiałów szkoleniowych. Choć w ostatnich latach pojawiło się wiele materiałów po polsku, to świat cybersecurity, podobnie jak całe IT, porozumiewa się oraz tworzy ważne treści głównie po angielsku. Również informacje o wyciekach, narzędziach, komunikaty są najczęściej po angielsku.

Dla osób szukających wiedzy oraz umiejętności z zakresu bezpieczeństwa aplikacji oraz pentestingu mogę polecić laboratoria na platformach TryHackMe, Hack The Box, OWASP JuiceShop. Ponadto światowy standard bezpieczeństwa aplikacji OWASP Top Ten (web i mobile), a także OWASP Cheatsheets, a także kolejne projekty OWASP. Polecam też narzędzie Burp Suite Community oraz szkolenia firmy PortSwigger. Dla pogłębienia wiedzy polecam rozmaite materiały jak np. Rozmowa Kontrolowana podcast, portal Niebezpiecznik, portal Zaufana Trzecia Strona, Hacker-news i wiele, wiele innych. Dla osób zapoznających się, czym ogólnie jest cyberbezpieczeństwo po polsku polecam materiały Kacpra Szurka, a także Szkołę Security Macieja Kofela. Na koniec życzę wszystkim osobom zainteresowanym cyberbezpieczeństwem odważnego dążenia do swoich marzeń oraz bezpiecznego korzystania z technologii wokół nas.

Dziękujemy za rozmowę i życzymy dalszych sukcesów!

Rozmawiała: Monika Świetlińska

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności