Application security - Kulisy pracy w branży bezpieczeństwa IT


Application security to gałąź branży IT, która w Polsce uchodzi za dość niszową. Ale czy takie myślenie jest słuszne? Chcąc przybliżyć Wam ten temat, zapytałyśmy dwie przedstawicielki firmy Box, aby opowiedziały nam z perspektywy Product Managerki oraz inżynierki oprogramowania o swojej codziennej pracy i ścieżkach kariery, które doprowadziły je do branży IT.

Zacznijmy od podstawowego pytania, ponieważ wydaje nam się, że może istnieć powszechne nieporozumienie tego, czym tak naprawdę jest Application security – czy możecie wyjaśnić to własnymi słowami?

Anna Bień, Product Managerka odpowiedzialna za produkt z obszaru bezpieczeństwa danych: Jest to proces rozwijania, dodawania i testowania funkcji bezpieczeństwa w aplikacjach w celu zapobiegania lukom w ich zabezpieczeniach. Nasz produkt chroni przed zagrożeniami zewnętrznymi i wewnętrznymi, takimi jak nieautoryzowany dostęp, modyfikacje i złośliwe treści. To oczywiście tylko wierzchołek góry lodowej, ponieważ bezpieczeństwo aplikacji jest osobną dziedziną, a jednocześnie kluczowym elementem prac rozwojowych w przypadku praktycznie każdego produktu cyfrowego. Dla mnie osobiście application security jest odpowiedzią na pytanie “dlaczego”, które zadaję sobie podczas eksplorowania nowych obszarów rozwoju produktu, z którym pracuję.

Elisabeth Makedon, inżynierka oprogramowania w zespole Shield: Jest to zdolność aplikacji do działania w sposób oczekiwany przez jej użytkowników, z poszanowaniem ich poziomu uprawnień.

Jak trafiłyście do pracy w tej dość niszowej branży? Czy wasze wykształcenie ma coś z nią wspólnego?

AB: Cóż, pracuję w IT już od jakiegoś czasu, więc podstawy cyberbezpieczeństwa są  częścią mojej pracy odkąd zaczęłam jako Junior Product Manager w 2016 roku, natomiast przed dołączeniem do Boxa w 2021 nie był to mój główny obszar zainteresowania. Odpowiadając na Twoje pytanie dotyczące wykształcenia: nie mam dyplomu technicznego, ukończyłam komunikację międzykulturową i orientalistykę. Mocno wierzę, że w tej dziedzinie jest wiele ról, w których można odnieść sukces bez formalnego, uniwersyteckiego zaplecza. Potrzebna jest ciągła chęć uczenia się, dużo determinacji i odrobina odwagi na start

EM: Mam tytuł licencjacki z informatyki i matematyki stosowanej. Myślę, że dyplom z informatyki nie jest niezbędny, ale przydaje się, jeśli chcesz zostać inżynierem oprogramowania. Na ostatnim roku studiów rozpoczęłam pracę w firmie, w której opracowywałem rozwiązania dla centrów obsługi klienta. Tam też zajmowałam się wrażliwymi danymi klientów. Mogę więc powiedzieć, że całe moje życie zawodowe jest w jakiś sposób związane z bezpieczeństwem aplikacji. Myślę, że dzieje się tak dlatego, że bezpieczeństwo aplikacji jest najwyższym priorytetem w trwającej erze cyfrowej.

Czy na podstawie Waszych doświadczeń uważacie, że praca w Waszej branży wymaga określonych predyspozycji lub cech charakteru?

AB: Powiedziałbym, że tak jak w każdej innej pracy związanej z IT, trzeba być ciekawym i umieć podchodzić do wyzwań w uporządkowany i zorganizowany sposób. Podstawy pracy Product Managera są mniej lub bardziej uniwersalne we wszystkich domenach. Jeśli miałabym wymienić jedną rzecz, która wyróżnia pracę w obszarze cyberbezpieczeństwa to jest fakt, że budując nasze rozwiązania musimy zawsze myśleć wyprzedzając rynek i potrzeby naszych klientów. Klienci Boxa ufają, że będziemy w stanie strzec ich procesów i zasobów poprzez dostarczenie bezpiecznego środowiska pracy tu i teraz, ale również, że przygotujemy ich na przyszłe zagrożenia, z których mogą sobie jeszcze nie zdawać sprawy.

EM: Jeśli mówimy o branży bezpieczeństwa aplikacji, to nie ma miejsca na pochopne, impulsywne, nieprzemyślane decyzje. Osoba, która chce pracować w tym obszarze, musi umieć myśleć logicznie i być w stanie przewidywać rezultaty swoich działań. Oszuści wymyślają różne sposoby na uzyskanie potrzebnych im danych i przejęcie kontroli nad Twoją aplikacją. Dlatego konieczne jest ciągłe kształcenie się, poznawanie nowych technologii i podejść, aby aplikacja spełniała niezbędne wymagania bezpieczeństwa. Tak więc będzie naprawdę ciężko na tym polu bez umiejętności samomobilizacji.

Bezpieczeństwo aplikacji to, tak jak już wspomniałyśmy, dosyć niszowa dziedzina - co sprawiło, że się nią zainteresowałyście?

AB: Przywiodło mnie tutaj przekonanie, że jako Product Manager muszę wierzyć w produkt, nad którym pracuję. Strzeżenie własności intelektualnej i najcenniejszych zasobów naszych klientów przy jednoczesnym zapewnieniu im maksymalnie niezakłóconego doświadczenia kolaboracji to zdecydowanie coś, co spełnia te kryteria i daje mi dużo satysfakcji z całego procesu.

EM: To bardzo ważna dziedzina i dlatego mnie interesuje. Bez możliwości monitorowania bezpieczeństwa i zapewnienia, że ​​złośliwe oprogramowanie nie uszkodzi systemu, a poufne dokumenty nie dostaną się w niepowołane ręce, wszystkie inne funkcje aplikacji są bez znaczenia.

Czy możecie powiedzieć, jak wygląda Wasz przeciętny dzień pracy? Czy w ogóle istnieje coś takiego jak przeciętny dzień w Waszej branży?

AB: Na pewno są pewne stałe elementy moich dni pracy, głównie oparte na rozmowach z moimi współpracownikami. Regularnie spotykam się z moimi zespołami i interesariuszami. To wypełnia większą część mojego kalendarza. Reszta jest dość zmienna, choć są też pewne stabilne elementy, nad którymi na przykład spędzałbym X godzin w każdym kwartale. Najbardziej wyróżniające się pozycje na mojej codziennej liście rzeczy do zrobienia to: spotkania z klientami oraz naszymi zespołami sprzedaży i marketingu, praca nad bieżącymi projektami rozwojowymi z wpierającymi mnie zespołami, odpowiadanie na pytania, przekazywanie informacji interesariuszom. Resztę czasu najprawdopodobniej spędzam na tym, co powszechnie nazywamy pracą twórczą: analizowaniu elementów planu działania na nadchodzący kwartał, weryfikowaniu ich i upewnianiu się, że nasze zespoły pracują w możliwie efektywny sposób.

EM: Mój dzień zaczyna się od filiżanki kawy i planowania. Sprawdzam pocztę i kalendarz i tworzę plan dnia. Podkreślam kilka podstawowych problemów i rozwiązuję je w ciągu dnia. Bardzo ważne jest, aby nie spieszyć się z rozwiązywaniem wszystkich problemów na raz lub tylko pierwszego, który się pojawi. Wtedy w ciągu dnia będzie można pracować płynnie, a na jego koniec poczujesz satysfakcję z wykonanej pracy.

Załóżmy, że chcę zająć się bezpieczeństwem aplikacji –  od czego zacząć? Gdzie szukać wartościowych źródeł wiedzy?

EM: Nie ma właściwej drogi do rozpoczęcia pracy w naszej branży. Podobnie jak w przypadku innych zadań, najtrudniejsze jest rozpoczęcie, więc możesz po prostu zacząć od kursów na popularnych platformach. Gdy masz już ogólne zrozumienie tematu, możesz podążać za swoją ciekawością i zagłębiać się w niego zgodnie ze swoimi zainteresowaniami.

AB: Nie mogę się bardziej zgodzić z tym, co powiedziała Elizabeth. Można również wykorzystać networking i spotykać się ludźmi, którzy są już w branży i mogą wspomóc konkretnymi wskazówkami i wskazać obszary do nauki. Świetnym sposobem na rzucenie okiem na tę branżę jest uczęszczanie na spotkania skupione na danej dziedzinie, słuchanie rozmów i poznawanie ludzi, którzy wykonują swoją pracę. W ten sposób możesz dowiedzieć się, czy jest to coś, co może być dla Ciebie interesujące.

Najbliższe okazja do takiego spotkania już niedługo, bo 22 września, kiedy to odbędzie się webinar Meet Box Security - zapraszam na niego serdecznie wszystkich zainteresowanych pracą w naszej branży!

Elisabeth Makedon. Inżynierka oprogramowania zespołu Shield.
Lubię rozwiązywać złożone problemy i wyzwania, może dlatego zdecydowałem się na wielką zmianę w swoim życiu opuszczając świat programowania PHP i wskakując do magicznego świata Javy. Wolny czas lubię spędzać aktywnie, najlepiej z odrobiną adrenaliny.

Anna Bień. Product Managerka odpowiedzialna za jeden z produktów zabezpieczających Box, w IT od 2016 roku. Prywatnie językoznawczyni, kucharka amatorka i właścicielka buldoga francuskiego Bulwa.