top of page
Szukaj

Od archeolożki do pentesterki - jak zmienić zawód i zostać specjalist(k)ą w Cybersecurity

Magdalena Dąbrowska to kobieta z pasją w życiu, która opowiedziała mi jak można zmienić zawód, by z humanistki stać się ekspertką w obszarze twardych technologii.


Zacznijmy jednak od początku, w tym artykule dowiesz się:

  • czym różni się zmiana kwalifikacji, branży i zawodu

  • jakie są obecne trendy na rynku pracy w dobie postcovidowej

  • jakie cechy ułatwiają osiągnięcie celu w zmianie zawodu

  • kogo szukają pracodawcy w dobie pandemii

  • na czym polega praca pentestera

  • jak zdobywać nowe kompetencje

  • poznasz prawdziwą historię z happy endem zmiany zawodu do Cybersecurity

Zmiana zmianie nierówna

Przekwalifikowanie, czyli najmniej ingerująca zmiana w obszar życia zawodowego. Zazwyczaj wiąże się z nabyciem dodatkowych kompetencji, ale w tym samym zawodzie, np. poszerzeniem kwalifikacji, dodatkowymi możliwościami, dodatkowymi uprawnieniami, w ramach tej samej grupy zawodowej.

Przebranżowienie, inaczej zmiana branży w ramach tego samego zawodu, charakter pracy i zakres zadań nie ulega zmianie, wykonywane jest to np. w innym sektorze gospodarki.

Całkowita zmiana zawodu, największa zmiana, która staje się wyzwaniem i coraz większą koniecznością na obecnym rynku pracy.

Zmiana zawodowa - trendy na polskim rynku pracy

Do 2019 roku można było mówić o rynku pracownika, co związane jest z faktem, że pracodawcy tracili średnio 16 % swoich pracowników z inicjatywy leżącej po stronie pracownika, a nie organizacji. Największy, bo aż 24% wskaźnik dotyczył logistyki i transportu, umiarkowany 20%-16% w firmach doradczych, prawnych, centrach usług dla biznesu, handlu detalicznym, produkcją, IT, telekomunikacją. Poniżej średniej, 15%-11% znajdowały się: bankowość, farmacja, branża motoryzacyjna i FMCG.

Rok 2020 przyniósł zupełnie odmienny obraz rynku pracy, który z dnia na dzień stał się rynkiem pracodawcy. Na podstawie danych z raportu pracuj.pl (Praca w czasie pandemii. Badanie Pracuj.pl), przygotowanego pod koniec kwietnia, na podstawie badania ok. 2 tys. użytkowników portalu ustalono:

-Ponad 40% badanych obawia się utraty pracy w związku z epidemią korona wirusa, a aż 60% – obniżki wynagrodzenia lub zmiany zasad zatrudnienia.

-Aż 77% zatrudnionych respondentów gotowych jest przyjąć nową ofertę pracy. Co więcej, 64% spośród szukających pracy jest gotowych w obecnej sytuacji się przekwalifikować.

-58% przyjęłoby ofertę pracy, jeśli gwarantowałaby stabilne i bezpieczne zatrudnienie.

-9 na 10 badanych chce móc pracować przynajmniej częściowo zdalnie po zniesieniu ograniczeń związanych z koronawirusem, a większość respondentów spodziewa się wzrostu znaczenia pracy zdalnej w przyszłości.

Kogo teraz poszukują pracodawcy

Także na podstawie badania portalu pracuj.pl (Kogo szukają firmy w czasach kwarantanny), przeprowadzonego w połowie kwietnia, można zaobserwować kilka ciekawych zmian, jednak ta najciekawsza z perspektywy artykułu dotyczy stabilności zatrudnienia w branży IT. To właśnie pracownicy tego sektora stanowili drugą, najczęściej poszukiwaną grupę kandydatów (17%).

Wnioski z raportów

Na podstawie powyższych danych można zaobserwować, że pracownikom zależy na stabilnej pracy, na potrzeby której są w stanie zmienić swoje dotychczasowe kompetencje, a zapotrzebowanie na pracowników w branży IT stale rośnie.

Sama branża Cybersecurity, jak powiedziała mi Magda podczas naszej rozmowy wpłynęła na jej życie na wielu płaszczyznach, jedną z nich jest duże poczucie stabilizacji zatrudnienia. Ogromna otwartość rynku pracy na Jej umiejętności oraz możliwość elastycznej pracy zdalnej.

Wywiad z Magdą Dąbrowską

Z Magdą miałam przyjemność rozmawiać online, miało być 30-40 minut, wyszło ponad 2 godziny… To wszystko dlatego, że Magda jest sobą pełną pasji, która opowiada tak, że chce się słuchać i zadawać ciągle nowe pytania :)

Historia Magdy jest niezłym materiałem na książkę o zmianie zawodu z happy endem. Magda z wykształcenia jest archeologiem, pracowała zawodowo w muzeum, jeździła na wykopaliska, w między czasie zajmowała się prowadzeniem warsztatu złotniczego, graniem na harfie oraz odkrywaniem wciąż nowych pasji w życiu, jaką jest np. łucznictwo. Kiedy sytuacja losowa spowodowała, że musiała spędzić w łóżku kilka długich miesięcy zdecydowała się nadal eksplorować swoje pasje. Od zawsze było Jej blisko do świata IT, myślała, by pogłębić tajniki programowania. Lecz reklama celowana stanęła na Jej drodze i podstawiała linki do świata Cybersecurity. Tak to się zaczęło. Od pierwszego kliknięcia w reklamę celowaną, odbycia pierwszego kursu i poznania świata Cyberprzestrzeni. Została pentesterką.

Pentester, czyli kto?

Pentesterzy nazywani są także etycznymi hakerami, czyli white hats Ich praca polega na

przeprowadzaniu kontrolowanych ataków na systemy czy usługi które zostały im udostępnione. Posługują się tymi samych metodami jak cyberprzestępcy. Różnią się tylko, a może przede wszystkim intencją. Jeżeli pentester znajdzie podatność, zgłasza ją w raporcie do naprawy.

Pentesty mogą dotyczyć badania infrastruktury, aplikacji, usług, mogą być webowe, mobilne a czasem nawet terenowe.

Nie pytaj jak długo, pytaj co jeszcze?

Jeżeli myślisz o zmianie zawodowej i chcesz dokładnie wiedzieć ile zajmuje to czasu, ja odpowiem jak typowy psycholog: to zależy. Na szczęście Magda potwierdza moje zdanie. W osiągnięciu sukcesu w samodzielnym zdobyciu wiedzy i umiejętności kluczowa jest postawa, czyli trzeci komponent kompetencji :)

Nie da się oszacować ilości godzin poświęconych na kursach, zgłębianiu tajników w literaturze oraz ćwiczeniu na własnym labie. Jak mówi Magda, nigdy nie jest wystarczająco dużo. Praca w tak dynamicznej branży jaką jest Cybersecurity codziennie zmusza, albo zachęca (to zależy od postawy), do eksplorowania i nauki.

Jakie cechy mogą być predyktorem sukcesu?

Na postawie naszej rozmowy ustaliłyśmy, że z pewnością nie zaszkodzi, a pomoże: być osobą sumienną, wytrwałą, a przede wszystkim ciekawą zagadnień cyber, ze znajomością języka angielskiego. Kiedy Magda powiedziała mi, że czasami potrzebuje kilku dni, a może nawet tygodni, by przekonać samą siebie do tego, że jednak nie uda się złamać pewnego zabezpieczenia, ja wiedziałam, że to nie dla mnie. Brak cierpliwości i umiejętności odraczania gratyfikacji mógłby przeważyć i sprowadzić mnie na manowce w takiej pracy :)

Od czego zacząć?

Zmiana zawodowa to proces długotrwały. Najpierw należy dobrze poznać siebie:

  • mocne strony

  • potencjały

  • słabe strony

  • zagrożenia

  • możliwości

Czasami warto zapytać osoby współpracujące o szczery feedback, jak nas odbierają, jakie umiejętności są naszymi dominującymi, co można zmienić - to w przypadku dużej otwartości i szczerości respondentów.

Istnieje dużo materiałów, które wspierają w takim poznaniu siebie.

Drugim krokiem jest podjęcie decyzji o kierunku i stopniu zmiany: ma to być poszerzenie kwalifikacji, czy całkowita zmiana zawodu?

Trzeci krok to podjęcie działania.

W przypadku trudności, zawsze można zgłosić się do doradcy zawodowego lub coacha biznesowego.

Jak zacząć zdobywać kompetencje w Cybersecurity?

Dzięki uprzejmości Magdy przedstawię Jej rekomendacje zdobywania konkretnych tajników:

1. Kursy, które można zacząć realizować samodzielnie przed podjęciem zobowiązujących działań, jakimi są studia, Magda zaczęła od kursu z udemy za 35zł., wiele godzin praktycznego kursu etycznego hackingu. Tak to się zaczęło. Jeden prosty krok spowodował zmianę calej życiowej ścieżki.  

2. Literatura, w dużej mierze angielskojęzyczna, choć już są pierwsze publikacje po polsku.

  • Dafydd Stuttard - The Web Application Hacker's Handbook

  • David Kennedy - Metasploit: The Penetration Tester's Guide

  • Peter Kim - The Hacker Playbook: Practical Guide To Penetration Testing

  • Justin Seitz - Black Hat Python. Język Python dla hakerów i pentesterów

  • Kevin Mitnick - Duch w sieci. Moje przygody jako najbardziej poszukiwanego hakera wszech czasów

  • Wil Allsopp - Advanced Penetration Testing: Hacking the World's Most Secure Networks

3. Studia, coraz więcej uczelni w Polsce decyduje się otwierać dedykowane kierunki dla osób zainteresowanych konkretnie Cybersecurity, są to między innymi:

  • studia dzienne: Politechnika Wrocławska - Wydział Elektroniki - Cyberbezpieczeństwo, Wojskowa Akademia Techniczna - Wydział Cybernetyki - Kryptologia i Cyberbezpieczeństwo

  • studia dzienne z elementami Cybersecurity: Politechnika Warszawska - Wydział Matematyki i Nauk Informacyjnych - Informatyka i Systemy informacyjne, Uniwersytet Warszawski - Wydział Matematyki, Informatyki i Mechaniki - Informatyka

  • studia podyplomowe: Polsko - Japońska Akademia Technik Komputerowych - Cybersecurity, Szkoła Główna Handlowa - Zarządzanie cyberbezpieczeństwem, Uniwersytet Warszawski - Wydział Prawa i Administracji - Cyberbezpieczeństwo

4. USOS, czyli elektroniczny system obsługi studiów. Większośc wykładów na publicznych uczelniach jest otwarta. Wystarczy sprawdzić w planie zajęć gdzie i kiedy odbywają się zajęcia, a przed wykładem kulturalnie zapytać prowadzącego, czy można wziąć udział w roli słuchacza.


5. Konstrukcja własnego labu, według Magdy jest to najważniejszy krok w samodzielnym zdobywaniu umiejętności. Żadna teoria nie da tyle, co godziny spędzone na klikaniu :)

Budowę zaczyna się od zainstalowania usługi do wirtualizacji systemów, by stworzyć tam odseparowane od naszego środowiska nowe systemy operacyjne, które pozwolą testować nieco szalone pomysły.

Jako pierwsza maszynę wirtualna należy zainstalować system operacyjny który

będzie maszyna atakująca czyli środowiskiem bytowania.

Dla przyszłych pentesterów świetnymi wyborami będzie Kali Linux lub Parrot Sec. Oba są w pełni przystosowane do nauki pentestów. Są skonfigurowane i zaopatrzone w ogromną bazę narzędzi, których znajomość będzie niezbędna w świecie zawodowym.

Następnie należy zainstalować systemy które będą ofiarami.

Mogą to być stare systemy pełne luk bezpieczeństwa lub specjalnie przygotowane do nauki podatne maszyny publikowane w Internecie.

Boxy do nauki można znaleźć na przyklad w projekcie (OWASP) Broken Web Applications lub na https://www.vulnhub.com/


6. CTF, capture the flag, konkursy organizowane w Internecie polegające na znalezieniu flagi (z reguły w formie pliku tekstowego), ukrytej gdzieś za luką

bezpieczeństwa. Mogą występować jako przygotowane maszyny do instalacji w labie oraz w świecie rzeczywistym. Czasem za rozwiązany CTF przygotowane są nagrody. Zadania z reguły nie należą do najłatwiejszych i czasem wymagają bardzo kreatywnego podejścia. To świetne ćwiczenie! Zbiór zadań z różnych stron świata: https://www.wechall.net/ , świetne jest także: https://www.hackthebox.eu/


7. Bug Bounty, jest to sposób zdobycia wprawy oraz komercyjnego doświadczenia, a czasem niemałej gotówki. Programy bug bounty to serwisy zbierające oferty ogromnej ilości firm, które chcą przetestować swoje bezpieczeństwo. W efekcie czego dostaje się prawdziwą możliwość testowania produktów, Tesli, Facebooka czy Allegro. Nie są to ćwiczenia a prawdziwe produkty i usługi więc należy pamiętać, by zawsze czytać zasady przystąpienia do danej platformy. Kategorycznie należy czytać zakres zamawianego testu i nigdy, przenigdy nie wychodzić poza to co zostało zamówione przez producentów oprogramowania. To może nieść konsekwencje prawne i przekreślić dalszą karierę w cyber. W tej branży jak nigdzie indziej liczy się zaufanie do pracownika.

Za znalezione i zaraportowane błędy może czekać nagroda (ponownie, należy czytać zasady, nie wszystkie firmy wypłacają nagrody pieniężne).

Znalezione błędy należy trzymać w tajemnicy aż do czasu podjęcia przez firmę decyzji i możliwości ujawnienia szczegółów.

Dwa bardzo popularne programy:

Należy zwrócić szczególną uwagę na fakt, iż jesli planuje się karierę w cyberbezpieczeństwie należy pozostawać w zgodzie z prawem. Pentesty (w tym edukacyjnie) wykonuje się tylko i wyłącznie na platformach do tego przeznaczonych oraz takich na których hakowanie istnieje pisemna zgode właściciela (lub właścicieli jesli aplikacja korzysta z dodatkowych uslug zewnetrznych). Działanie wbrew tej zasadzie lub z brakiem jej poszanowania moze wiązać się z konsekwencjami prawnymi, w niektórych wypadkach nawet skreślić na rynku pracy, gdzie zaufanie do etycznego hakera jest podwaliną budowania całej relacji firma - kandydat/pracownik. 

Co robić ze zdobywanymi umiejętnościami?

W dzisiejszym świecie sprawa jest prosta, należy się chwalić swoimi dokonaniami, najlepiej na dedykowanej platformie, jaką jest LinkedIn. Z uporem maniaka będę powtarzać, że dobry, czyli wypełniony o konkretne dane, umiejętności, kursy, osiągnięcia profil jest wizytówką i umożliwia rekruterom znalezienie kandydata.

Tak stało się też w przypadku Magdy, odpowiedziała na wiadomość Rekrutera, przeszła kilkuetapowy proces rekrutacji i dostała pierwszą pracę w nowym już zawodzie.

Brzmi jak historia z bajki, która została osiągnięta dzięki ciężkiej pracy i pasji oraz spotkaniu odpowiednich ludzi w odpowiednim czasie, którzy zdecydowali się zaufać umiejętnościom i postawie pełnej pasji. Świetnym potwierdzeniem tej teorii jest książka Malcolma Gladwella, Poza Schematem.

Jak sama Magda mówi pierwsze dni pracy były szalone, tempo, w którym nabywała wiedzę i skille przyprawiało o zawrót głowy.

Wskazówka dla Menedżerów decydujących się na zatrudnienie nieoszlifowanych talentów, pamiętaj, aby zagwarantować wsparcie zespołu i dokładnie zaplanować onboard takiego pracownika. Brak doświadczenia w korporacji, zupełnie inny charakter pracy oraz przejście z trybu ćwiczeniowego na operację na otwartym sercu jest ogromnym szokiem, który należy jak najlepiej zamortyzować. Tu z pewnością wesprze Was dział HR :)

Dziś Magda rozwija się w międzynarodowej korporacji, jest ekspertką w zakresie pentestingu, posiada umiejętności z zakresu twardych technologii oraz świetnie komunikuje się z otaczającym światem. To doskonałe połączenie, którym niewiele osób może się pochwalić.

Myślę, że z Magdą spotkam się nieraz, by móc porozmawiać o świecie Cybersecurity :)




ree


Komentarze

Formularz subskrypcji

Dziękujemy za przesłanie!

  • LinkedIn
  • Facebook

©2020 by HR4Cyber. Stworzone przy pomocy Wix.com

bottom of page