Bezpieczny Kod

Mowię "Nie!", ale...

Opublikowano 

 przez 

Bezpieczny Kod

 w ,

Bezpieczeństwo jako benefit. Blue Team, a Red Team

W nowym odcinku podcastu Filip Rejch, Head of Cyber Security Architecture and Design w ISS, dzieli się swoim doświadczeniem w cyberbezpieczeństwie. Podkreśla, dlaczego znajomość technik ofensywnych jest kluczowa dla specjalistów Blue Team oraz jak sprzedawać ideę bezpieczeństwa menedżerom, oferując alternatywne rozwiązania. Rozmowa porusza również budowanie solidnych fundamentów bezpieczeństwa w organizacji, w tym znaczenie „cyberhigieny” i roli regulacji (np. NIS 2, DORA) w podnoszeniu poziomu bezpieczeństwa w całym łańcuchu dostaw. Filip omawia też wyzwania związane z perspektywą deweloperów i specjalistów ds. bezpieczeństwa, podkreślając wartość programów typu Security Champions i budowania relacji dla efektywnego wdrażania bezpiecznego kodu.

Najważniejsze tematy:

  • Znaczenie ofensywnych technik dla Blue Team: Nawet bez doświadczenia w pentestingu, znajomość ataków jest kluczowa dla skutecznego DevSecOps i minimalizacji ryzyka.
  • „Sprzedawanie” bezpieczeństwa i budowanie relacji: Oferowanie alternatywnych rozwiązań zamiast prostego „nie” oraz programy Security Champions pomagają we wdrażaniu bezpiecznego kodu i zarządzaniu ryzykiem.
  • Strategie budowania bezpieczeństwa i regulacje: Omówienie cyberhigieny oraz wpływu regulacji takich jak NIS 2 i DORA na podnoszenie poziomu bezpieczeństwa w całym łańcuchem dostaw.

Odcinek dostępny na YouTube, Spotify, Apple Podcasts i innych platformach.

Transkrypcja

Andrzej: Dzień dobry. Witamy na kolejnym mini wywiadzie podczas WDI. Teraz naszym gościem będzie Filip Rejch. Filip ma już całkiem dużo doświadczenia z tego, z tego co tam patrzyłem na LinkedInie, to są lata, nawet można liczone w dziesiątkach, ale mniej niż dwie. Aż tak, aż tak dużo to nie. W chwili obecnej Filip jest Head of Cyber Security Architecture and Design w międzynarodowej firmie ISS. Ale przewinął się przez wiele różnych ról w wielu dużych organizacjach i lokalnych i globalnych. Filip, powiedz nam coś o sobie, bo ty najlepiej będziesz w stanie przedstawić swoje doświadczenie. Spróbuj się przedstawić taki TLDR naszym słuchaczom, żeby wiedzieli w jakim kontekście operujesz.

Filip: Krótko, jestem bezpiecznikiem, bo poruszam się w różnych obszarach. W tym momencie skupiam się na architekturze, W bezpieczeństwie zaczynałem od Security Operations, a tak naprawdę historycznie zaczynałem od zarządzania infrastrukturą i consultingiem w tym obszarze, więc mam też trochę doświadczenia z takiego klasycznego IT, a potem stwierdziłem, że fajnie jest bronić niż utrzymywać, więc…

Andrzej: A, czyli bronić, ale nie atakować.

Filip: Nie, ja raczej preferuję tą niebieską stronę. Tak jak mówię, zaczynałem w security operations, czyli typowo monitoring, incident response, a potem bardziej systemowe podejście do tego, żeby te systemy, które tworzą się w firmach, w których pracuję, były bezpieczne. Zarówno mówimy tu o systemach bezpieczeństwa, jak i o bezpieczeństwie tych zwykłych systemów, powiedzmy.

Andrzej: To od razu będę miał jedno pytanie, które mnie niesamowicie ciekawi. To jak patrzysz, czy przykładowo bezpiecznik, który chce pracować w tej defensywnej działce takiej blue teamowej, musi koniecznie mieć doświadczenie w tej ofensywnej działce, nazwijmy ją red teamową, czy nie musi? Jak ty na to patrzysz?

Filip: Ja uważam, że Nie. doświadczenie takie per se, czyli nie musiał być Pentesterem, żeby przejść do Blue Teamu. Zresztą Soki są bardzo często takim entry pointem dla Juniorów, żeby wejść i oni od razu wchodzą do tego Blue Teamu. Natomiast uważam, że zrozumienie dla technik ofensywnych jest bardzo pomocne, no bo jeśli mamy bronić, to musimy wiedzieć przed czym się bronimy. więc nie ma potrzeby takiego doświadczenia zawodowego, natomiast edukacja w tym obszarze i poznanie, zrozumienie przeciwnika jest bardzo istotne. Nie musi być to często nawet hands on, bo czasem to będzie po prostu zupełnie inny zestaw umiejętności potrzebny do wykonywania pentestów nawet amatorsko, ale zapoznanie się z tymi technikami, czyli trzeba wiedzieć, jak chce się być Blue Teamowcem, to jednak trzeba wiedzieć, co to jest Mitre Attack.

Andrzej: Raczej podlinkujemy w referencjach dla tych, którzy nie wiedzą, bo zawsze można się dowiedzieć. i tutaj pociągnę to dowiedzieć, bo już dzisiaj rozmawialiśmy z Klarą Trzcińską i Klara wspominała o takiej ogólnej ciekawości, że to ciekawość do jakiejś nauki, do pchania się dalej. jest takim driverem, żeby dokonać jakiejś zmiany i rozumiem, że tutaj ty też idziesz w tym kierunku mówiąc, że po prostu jeżeli chcemy działać jako osoby zajmujące się stroną defensywną, to powinniśmy być zaciekawieni tą stroną ofensywną, nawet jeżeli tam nie mamy takiego hands-on doświadczenia.

Filip: Znaczy, ja zawsze uważałem, że najlepiej jest pracować czymś, co jest jakąś twoją pasją na koniec dnia. Dla niektórych osób będzie to praca ósma, szesnasta, albo nocne zmiany, jak kto lubi, w takim soku, ale z drugiej strony te osoby, które mają pasję do czegokolwiek, to jest trochę niezależne od zawodu, będą efektywniejsze, no po prostu łatwiej jest wykonywać swoją pracę defensywną, znając techniki ofensywne, łatwiej jest robić pentesty, wiedząc, co nam może pomóc. Więc w security takich zawodów, gdzie rzeczywiście ta wiedza taka dosyć dogłębna jest potrzebna, jest tutaj idealnym przykładem. Zresztą osobiście pamiętam jednego z pracowników, którego zatrudniłem do SOKÓŁ, który oficjalnie powiedział, że on chce być Pentesterem, ale potrzebuje złapać trochę tego kontekstu Blue Team i tak jak widzę jego karierę zawodową naprawdę mu się Dobrze wiedzie i ta kariera znosza do przodu i ta baza, którą dostał na początku właśnie w Blue Teamie, mimo że teraz dotyka raczej tej części ofensywnej, zakładam, że mu się przydaje.

Andrzej: Ja tutaj dodam swoje pięć groszy. Ja też z moich gdzieś tam doświadczeń i obserwacji zgadzam z tym, że właśnie wejście do Cyber Security od strony SOKÓW jest całkiem sprytnym podejściem do tematu, bo poznamy jedną stronę. Co więcej gdzieś tam te SOKI powstają i jest ssanie na rynku na tego typu osoby. a mniejsze ssanie jest na pentesterów. I może można to traktować po prostu jako pewien punkt zaczepienia. Już z góry wiedząc, że ten końcowy cel, end goal będzie trochę inny niż ta praca, którą będę wykonywał teraz. Ale jest to po prostu krok do tego finalnego celu. No i fajnie, że podajesz przykład właśnie takiej osoby, która tak weszła i jeszcze mówisz, że faktycznie się rozwija i cały czas idzie do przodu. Ja też mam takie przykłady osobiście i da się? Da się.

Filip: Ja w ogóle uważam, że security jest tak szeroką działką, że nawet jeśli się znudzimy w jakimś obszarze, to przyznam się, dzisiaj rozmawiałem ze znajomą, która powiedziała mi wprost, że jest pierwszą osobą, która odeszła od security, na co ona mi odpowiedziała, że security ma cały czas w sercu i gdzieś tam nawet jeśli robi coś innego, to myśli o tym bezpieczeństwie tej nowej pracy, ale tak naprawdę to chyba realnie jest jedyna znana mi osoba, która Odeszła od security takiego per se, natomiast znam mnóstwo osób, które miały podobną ścieżkę do mojej, czyli były programistami, administratorami, pełniły takie role typowo IT i weszły właśnie do bezpieczeństwa.

Andrzej: I potem w tym bezpieczeństwie się rozwijały, bo ty w bezpieczeństwie już trochę swoje też jesteś. I ja podbijam to, co mówisz. To mi się najbardziej podoba w cyberbezpieczeństwie, że jest szerokie i głębokie. Jak mi się znudzi już głębokość w jakimś temacie, to zawsze mogę przejść po prostu do zupełnie innego tematu w szerokości i zacząć tam wchodzić głęboko. Naprawdę taka kariera, która keeps on giving.

Filip: Tak, ja zgadzam się. i to, od czego zaczęliśmy, czyli tak naprawdę to doświadczenie zdobyte w Blue Teamie, w Red Teamie będzie skutkowało, no bo wiadomo też jak obejść tych swoich kolegów ze starego działu, no bo po prostu wiemy jak oni pracują, wiemy na przykład w którym momencie wchodzi rutyna i ile trzeba wygenerować fejkowych ataków, żeby ten jeden nasz, który ma na celu osiągnąć jakieś założenia, żeby on przeszedł i żeby umknął pod radarem tego alert fatigue, które się pojawia od patrzenia przez cały dzień w Siema takiej pierwszej linii. Z drugiej strony, w drugą stronę też działa, czyli dobry redteamowiec może być również dobrym potem blueteamowcem, bo on też rozumie te techniki ataku dużo lepiej.

Andrzej: Tak jak Sun Tzu powiedział, jak znasz siebie i znasz przeciwnika to ugrasz każdą bitwę. Dobra, ale przesuniemy się trochę do tego czym zajmujesz się teraz, bo teraz w zasadzie jesteś głową Head of Cyber Security Architecture and Design. powiedzieć w kilku słowach, czym się tak naprawdę zajmujesz w swojej roli, bo zakładam, że ona jest dość szersza. Tym bardziej, że organizacja też nie jest mała.

Filip: Organizacja nie jest mała i ja sobie tak pokułem na potrzeby właśnie tłumaczenia tej roli, bo rola architekta czy ogólnie rola okołoarchitektoniczna są bardzo często niedodefiniowane i ona może znaczyć wszystko, więc ja rozróżniam bezpieczeństwo systemów i systemy bezpieczeństwa i u nas to rozdzielamy, czyli u nas ta część architektury systemów bezpieczeństwa jest związana nierozerwalnie, czy może trochę rezerwalnie, ale generalnie skupiona na naszym Security Operations, czyli oni w ramach Security Operations projektują użycie samych systemów bezpieczeństwa, a ja się bardziej skupiam na projektach i zapewnieniu bezpieczeństwa tym systemom, które są w mojej firmie albo kupowane, albo coraz częściej dewelopowane wewnętrznie.

Krzysztof: Okej, to w takim razie Filip powiedz, jakie praktyki, Twoim zdaniem, dają najlepsze rezultaty w krótkim okresie czasu? Chodzi mi o to, jakie praktyki jesteśmy relatywnie w stanie szybko wdrożyć, które dano nam dosyć fajną stopę zwrotu. Załóżmy, że mamy taki projekt, w którym mamy totalnie nic albo jest coś zrobione po łebkach.

Andrzej: Albo jeszcze, jeszcze uprośmy. Załóżmy, że jesteś w organizacji, przyszedłeś, wzięli Cię, podkupili Cię z ISS i u nich w ogóle nie ma bezpieczeństwa. Oni wytwarzają software, u nich w ogóle nie ma bezpieczeństwa, no i właśnie biorą Ciebie, żebyś to Ty im zbudował bezpieczeństwo. Od czego byś zaczął?

Filip: Ja na to pytanie już odpowiadałem zaraz po zejściu ze sceny, bo to padło. Jak to zrobić, żeby to było dobrze? I moja odpowiedź jest po pierwsze mieć dobre umocowanie tego bezpieczeństwa. Bycie nowym w organizacji niestety zazwyczaj nie pomaga, ale skoro organizacja z jakiegoś powodu decyduje się na to, żeby zatrudnić tego pierwszego bezpiecznika, to znaczy, że albo została już dotknięta jakimś atakiem, a wiadomo, nigdy tak budżet się nie powiększa jak zaraz po ataku ransomware. To jest pierwsza rzecz, czyli posiadanie takiej siły sprawczej, po prostu umiejętność powiedzenia nie, a z drugiej strony moim zdaniem merytoryczne argumenty i rozmawianie z tymi ludźmi, którzy bo trzeba im to sprzedać, to nie jest tak, że wejdzie bezpiecznik i powie okej, od dzisiaj wprowadzamy, nie wiem, skanowanie kodu, fret modeling, cokolwiek. To nie jest tak, no bo to kosztuje, a wiadomo, że time to market to jest bardzo ważny, koszty są bardzo ważne, więc każde przedłużenie procesu wytwórczego, takiego oprogramowania, czy nawet jeśli kupujemy, ale przedłużenie wdrożenia jest problematyczne, więc tak naprawdę trzeba to trochę obudować i sprzedać. I to mówię, albo z jednej strony sprzedać to naszym zarządzającym, żeby mieć to umocowanie, z drugiej strony sprzedać merytorycznie ludziom, którzy te projekty wdrażają i umieć z nimi rozmawiać. Ja stosuję taką zasadę, że nigdy nie mówię nie. Znaczy mówię nie, to jest wpisane de facto w mój opis stanowiska, że Filip mówi nie. Przy czym ja mówię nie, ale To ale jest bardzo ważne, żeby tym ludziom nie zamknąć drogi i powiedzieć ok, dobra, to nie wdrażam tego projektu, tylko zróbmy tutaj lepiej, tutaj lepiej, tutaj lepiej. i jak im powiem jak można zrobić lepiej? i niekoniecznie to musi kosztować jakieś miliony, tylko te poprawki często mogą być bezkosztowe, tylko po prostu troszeczkę architekturę zmieniamy. To bardzo pomaga, a żeby to było bezkosztowo, to najlepiej sprzedać tą architekturę jak najwcześniej, magiczny shift left, ale tak naprawdę to to to realnie, jak przyjdę pod koniec, przed samym wdrożeniem i powiem, że jest problem, to raczej będzie się to kończyło jakąś akceptacją ryzyka, czyli oczywiście to też jest kolejny argument, żeby ludzie nie chcą brać odpowiedzialności, jeśli muszą się pod czymś podpisać, to jest dla nich zawsze problem i wtedy się stawiają, no dobra, to jeszcze tam. przedłużę to wdrożenie o trzy dni, ale jeszcze tam dołożę ten kawałek, zrobię tą integrację z SSO, mimo że mi się nie chce, włożę ten wysiłek. Więc pokazanie tej odpowiedzialności też jest jednym z tych argumentów do rozmowy, ale na koniec okazuje się, że to bezpieczeństwo Nie musi dużo kosztować. Ja jestem generalnie fanem takiego podejścia cyberhigieny i o tym staram się jak najczęściej opowiadać, że tak naprawdę to nie te zabawki za miliony, bo niestety no nasza branża swoje kosztuje, szczególnie jeśli chodzi o rozwiązania, o konsulting, ale tak naprawdę możemy mieć super siema, ale jeśli nie mamy wdrożonej polityki, haseł, czy nie mamy wdrożonego MFA, Co bardzo często wdraża się jednym kliknięciem i skorzystaniem ze służbowego telefonu, na której używamy jakiejś aplikacji, która dostarcza ten drugi faktor. To jest rzecz prosta, kosztowo nie tak droga, a diametralnie zmienia nasz security posture w kontekście identity. Więc tak naprawdę takie proste rzeczy i to ale jest chyba takim największym czynnikiem, który ułatwia rozmowę w zasadzie ze wszystkimi osobami odpowiedzialnymi za projekt.

Andrzej: Mi się podoba to, że robisz ten nacisk na niejako sprzedawanie i szukanie mostów z ludźmi, którzy… Z drugą stroną, bo to może być biznes, to mogą być ludzie w zespołach wytwórczych, ale na koniec dnia trzeba to sprzedać. Przez sprzedać mam Mam na myśli po prostu odpowiednio opakować słowami, argumentacją, która ma sens i przekonać tą drugą stronę do czemu powinniśmy to zrobić i jak dać pewne opcje, jak możemy to zrobić w takim wydaniu kosztowym, jak możemy zrobić to trochę taniej. Umiejętność przekonania wydaje mi się, że na pewnym poziomie kariery jest mega ważna, a im dalej w karierze tym jest ważniejsza umiejętność przekonywania czemu coś należy zrobić, a nie tylko takie twarde techniczne umiejętności.

Filip: Ja mam taką myśl, którą też czasem powtarzam, że trochę to już nie jest kwestia etapu kariery, tylko w ogóle to się skończyły te czasy, kiedy mieliśmy człowieka z IT siedzącego w piwnicy w kręciastej koszuli, nie odzywając się do nikogo. Niestety teraz, jeśli ktoś ma jakiekolwiek aspiracje do tego, żeby wyjść troszeczkę poza takie podstawowe zadania, musi umieć rozmawiać z klientami. Czy to będzie zwykły użytkownik który jest de facto klientem Heldesku i jeśli uda się z nim porozmawiać, normalnie wytłumaczyć i on wróci i będzie zadowolony, potem to się przekłada na rozmowy na poziomie biznesowym, czyli umiejętność właśnie sprzedaży i wdrożenia tych rzeczy, które warto wdrażać i przekonania tego biznesu, że to bezpieczeństwo Jest fajne, że ono z jednej strony nam minimalizuje ryzyka, czyli nieoczekiwane koszty bardzo często, a z drugiej strony tak naprawdę to bezpieczeństwo można sprzedawać. Tak naprawdę bezpieczeństwo w tym momencie też jest produktem de facto. Jeśli gwarantujemy, że nasze systemy są bezpieczne, oczywiście gwarantowanie, że coś jest bezpieczne jest trochę tricky, ale Handlowcowi przez gardło przejdzie dużo rzeczy. To jest oczywiście żart, ale to, że nasze systemy rzeczywiście można pokazać… jakieś zewnętrzne scoringi, że nasze systemy przechodzą pentesty, że nasz jakiś security score badany zewnętrznie jest wysoki, to może być przewaga konkurencyjna i to może być powód do tego, że nasza, właśnie nasz serwis, nasza usługa zostanie wybrana, szczególnie jeśli na przykład mówimy o tym nowym świecie, który się teraz zbliża z Nisem drugim, z Dorą. Czyli Compliance wymusza bezpieczeństwo, która np. dotyczy banków, ale dotyczy całego supply chainu, czyli całego łańcucha dostaw, więc nawet osoby, które nie pracują w bankowości, ale dostarczają sługi do bankowości, muszą dużo bardziej zwracać uwagę na na to bezpieczeństwo i bezpieczeństwo systemów, które do tych banków oferują. Czyli jeśli chcemy robić biznesy z sektorem finansowym, to bezpieczeństwo jest jakoś tam niezbędne i trzeba o nim zawsze pamiętać, więc.

Andrzej: Czyli, czyli bezpieczeństwo jako enabler, bezpieczeństwo jako feature, a nie jako przykre, przykre obowiązek.

Filip: Tak, tak, tak, tak, dlatego mówię, że to od czego zacząłem, już nie można być właśnie tym trolem w piwnicy, tylko trzeba być Czasem nawet tą koszulę założyć, jeśli trzeba. Ja wiem, że nie wszyscy lubią, jak widać ja też nie, ale trzeba rozumieć właśnie, że rozmawiamy z biznesem. i tu jest jeszcze jedna kwestia, my wydajemy kupę pieniędzy. Tak naprawdę my jesteśmy takim dosyć głęboko konsumującym centrum kosztowym i teraz jeśli uda nam się to sprzedać, Będziemy w stanie zyskać więcej pieniędzy na a, nowe zabawki, fajne zabawki, b, będziemy mieli większe możliwości, żeby się wyszkolić, czyli znowu budować kompetencje, coś co zaczęliśmy od tej, rozmawialiśmy o ciekawości i tym drive do pójścia do przodu. No jeśli mam budżet potem na szkolenia, bo udało mi się sprzedać fajną usługę, to jest dla mnie idealne rozwiązanie win-win, bo mogę wyszkolić swój zespół, mogę sam się dokształcić, tylko dlatego, że udało mi się przekonać kogoś, że właśnie bezpieczeństwo jest takim produktem, że nie jesteśmy tylko pożeraczem pieniędzy.

Krzysztof: Tak, bardzo mi się podoba, że ta dyskusja toczy się dookoła tego, że powinniśmy faktycznie mówić tym językiem biznesu, bo na koniec dnia, po tym wszystkim co robimy, najważniejszy jest po prostu biznes, to on wydaje te pieniądze i to on jest w decyzji jak ma to finalnie wyglądać.

Filip: Ja bym powiedział, że nie tylko wydaje pieniądze, on zarabia nawet decyzję.

Krzysztof: Dokładnie.

Andrzej: On generuje.

Krzysztof: Więc kiszenie się w tym własnym sosie bezpieczników, którzy chodzą z pałką i krzyczą, że wszystko jest krytyczne i najważniejsze, to też nie jest, nie tędy droga.

Andrzej: Jest nieefektywne przede wszystkim. Nikt wtedy nie jest zadowolony. Ani sami bezpiecznicy, bo tak jak powiedziałaś, nie mogą sobie pozwolić na zabawki, no bo nie dostaną budżetu. Ani biznes nie jest zadowolony, bo cały czas bezpieczeństwo mu blokuje. No i oczywiście inżyniering, inżynieria też nie jest zadowolona, bo musi dealować z tym wszystkim.

Filip: No i to jest jeszcze problem, to o czym powiedziałeś, że bezpieczeństwo, które chodzi i mówi, że wszystko jest krytyczne, to jest problem tej bajki o wilku. Jak będziemy cały czas krzyczeć, że wilk, a nic się nie dzieje. Problem jest trochę taki z bezpieczeństwem, że naszej pracy de facto nie widać, dopóki się coś nie stanie. i wtedy widać, że nie pracowaliśmy.

Krzysztof: Czyli sami sobie to robimy.

Filip: A znowu krzyczenie i mówienie, że wszystko jest krytyczne też tak nie działa. Ta część taka na cross security i biznes, czyli analiza ryzyka de facto, czy ona będzie dotyczyła cyber, czy ona będzie takim bardziej enterprise riskiem. Ona tutaj wchodzi no i no głupio wydać milion złotych na ochronę systemu za dwa tysiące.

Andrzej: Tak i raczej nie powinniśmy optować za taką decyzją biznesową. Dobrze, ja się wystrzelałem z pytań.

Krzysztof: A ja mam jeszcze jedno pytanie, które zadałem też wcześniej Bartkowi w ramach naszego wywiadu. Chciałem wrócić z tym pytaniem. Najbardziej niezrozumiana przez programistów praktyka bezpieczeństwa?

Filip: Ja bym powiedział, że bezpieczeństwo ogólnie. Ogólnie. Samo w sobie. Tak, tak, tak. I ja to jestem w stanie uzasadnić. Generalnie deweloperzy mają zupełnie inny cel niż bezpiecznicy. My jako bezpiecznicy dbamy o to, żeby nic nam się nie stało nam jako organizacji. Deweloperzy dbają o to, żeby produkt działał i żeby wyszedł na rynek. I tutaj On ma zarabiać pieniądze, on ma wyjść szybko, żeby uzyskać przewagę konkurencyjną. Wszystko co robią bezpiecznicy działa przeciwko temu. My jesteśmy tymi osobami, które to spowolnią. Oczywiście możemy próbować wchodzić w takie momenty, żeby się synchronizować i nie robić tego bardzo, tylko żeby to spowolnienie było niewielkie. Na pewno te nasze wymagania będą wprowadzały jakieś koszty, trochę więcej kodu. Trochę inne spojrzenie, być może jakieś dodatkowe systemy do kontroli kodu chociażby. To wszystko kosztuje, więc to się przekłada na biznes, więc biznesowo mamy zupełnie inne funkcje. Ale też mam doświadczenie, że jeśli się z tymi deweloperami zacznie rozmawiać, wszystkie programy typu Security Champions na przykład, to jest naprawdę duży game changer, ale niekoniecznie to musi być tak ustrukturyzowane. Wystarczy usiąść z nimi i porozmawiać, I pokazać, okazuje się, nie bez powodu przeszedłem do bezpieczeństwa, to jest po prostu sexy temat i naprawdę bardzo dużo osób chce o tym rozmawiać. i jak mówię, że pracuję w bezpieczeństwie, to o wszystko potrafią zahaczyć. i w przeciwieństwie do pracy w IT, kiedy prosili, żebym naprawił drukarkę albo pokazał coś w Excelu, To tutaj naprawdę rozmawiamy o problemach i mogę opowiedzieć mojej mamie, jakich linków nie klikać. Ona to przekaże jakimś swoim koleżankom, więc to jest fajne. Więc sprzedanie tego developerom właśnie w ten sposób, że to jest sexy, że tak naprawdę to im przynosi benefit, a jak oni to zrozumieją, jak zrozumieją też, że jeśli zaczną robić kod bezpieczny, czy projektować system bezpieczny, jeśli mówimy o architektach, to to jest też dla nich duża przewaga konkurencyjna nawet na rynku pracy, więc nawet jeśli nie mówimy o jednej organizacji, ale o o ogólnym rozwoju, a też to nie jest tak, że tylko w bezpieczeństwie chcemy się uczyć. Całe IT generalnie trochę ściąga tych ludzi, którzy muszą być na bieżąco, no bo to jest znowu część naszego stanowiska, musimy być na bieżąco. To, że pozwalamy im zdobywać tą wiedzę nie tylko z tego ich korowego obszaru, ale właśnie oni rozumieją to bezpieczeństwo i potem z automatu będą to wdrażać, oni będą wiedzieli, na co zwrócić uwagę, a więc takie sprzedanie im tego właśnie w formie takiej lżejszej i zbudowanie z nimi relacji tak, żeby się nie bali zapytać i nie bycie tym właśnie bezpiecznikiem z pałką, tylko bezpiecznikiem z nie, ale to bardzo procentuje potem w organizacji również jeśli chodzi o relacje z deweloperami, z architektami, czy właśnie z tymi funkcjami, które wspieramy, żeby system był bezpieczniejszy.

Krzysztof: Dokładnie, jak jeszcze sprzedamy im to w taki sposób, żeby zostali tymi security championami, to ich zyskuje i organizacja i oni i wszyscy są szczęśliwi.

Andrzej: Wszyscy na tym zyskują. To jest win-win dla każdej ze stron.

Filip: Dokładnie tak.

Andrzej: Dobrze, to w zasadzie to tyle. Dziękujemy za rozmowę.

Filip: Dziękuję za zaproszenie.

Andrzej: I Filipie, mam nadzieję, że do zobaczenia kiedyś w przyszłości, być może trochę dłużej.

Filip: Do zobaczenia.

Sprawdź pozostałe odcinki →

Obszary

Tagi

Assessment Podcast

Zobacz naszą ofertę

Zaciekawiła Cię tematyka tego artykułu? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →