Cyberbezpieczeństwo
#CyberMagazyn: Realia pracy w cyberbezpieczeństwie. „Specjalista za minimalną krajową”
Cyberbezpieczeństwo musimy traktować na poważnie. Specjaliści najwyższej klasy odpowiadający za infrastrukturę krytyczną naszego kraju powinni być należycie wynagradzani, niezależnie od instytucji, w której pracują. Nie oznacza to, że w świecie korporacji sytuacja wygląda idealnie. Ekspert z ponad 20-letnim doświadczeniem podzielił się z nami swoimi spostrzeżeniami. Pragnie jednak pozostać anonimowym.
Rozmowa z ekspertem
Oskar Klimczuk, CyberDefence24: Pierwsza różnica, którą widzisz między zatrudnieniem w korporacji a instytucjach państwowych?
Ekspert: W korporacji procesy zazwyczaj idą dosyć szybko. Nie ma czegoś takiego, że musiałbym czekać 2-3 miesiące na odpowiedź. Jeśli nie dostaję jej po tygodniu, to raczej jej po prostu nie dostanę.
Natomiast w państwówce zdarza się tak, że po 3 miesiącach dostajesz odpowiedź, że… „jednak nie”. To jest na pewno duża różnica. Jeśli chodzi o zatrudnianie, z moich doświadczeń wynika, że w korporacji rekrutacje są dużo cięższe niż w państwówce. To później procentuje tym, że jeżeli dostaniesz pracę, otrzymujesz dużo większe pieniądze.
O.K: A propos pieniędzy. Jak to jest z tymi widełkami?
E: To zależy. Korporacje coraz częściej podają widełki, ponieważ wychodzą z założenia, że nie chcą tracić czasu swojego i kandydata. Natomiast jeżeli nie podają widełek, musi być to dość mocno atrakcyjna oferta, aby mieć dużo kandydatów. Możemy zobaczyć też inicjatywę jednego z polskich portali, który prowadzi akcję promocyjną do tego, żeby wszystkie ogłoszenia były z widełkami.
Brak widełek to strata czasu. Kiedyś brałem udział w rekrutacji, która składała się z czterech etapów. Na ostatnim dowiedziałem się, jakie są faktyczne możliwe zarobki i… straciłem w sumie dużo czasu.
O.K: To było w instytucjach państwowych czy w korporacji?
E: W dużej korporacji.
Czytaj też
Zasadność awansów
O.K: Czy często zdarza się tak, że dana osoba jest awansowana na wyższe stanowisko, ale nie posiada do tego odpowiednich kompetencji?
E: Tak, to się zdarza. W korporacji miałem kierownika, który zdecydowanie się do tego nie nadawał. W ogóle nie nadawał się na jakiekolwiek stanowisko kierownicze. Jako specjalista był dobry. Natomiast zarządzanie przez zastraszanie jest złą metodą
Jeśli chodzi o państwówkę, miałem tylko dwóch słabych dyrektorów na przestrzeni wszystkich lat od kiedy tam pracuję. Jeden dyrektor zakończył karierę swoją w tamtej instytucji już po tym, jak ja odszedłem. Drugi zmienił stanowisko na wyższe.
Konkurencyjność płac
O.K: Czy w instytucje państwowe często udostępniają ogłoszenia o pracy, które są zupełnie nierynkowe? Mowa o pensji brutto.
E: Pensja brutto bardzo często w państwówce jest po prostu nierynkowa Uczelnie w tym prymują; myślą, że zatrudnią sobie specjalistę za minimalną krajową. Specjalista IT czy cyber nie pójdzie pracować za minimalną krajową, nawet z premiami. Taki ktoś to człowiek, który przesiedział dziesiątki, jak nie setki nocy, przeczytał setki, jak nie tysiące książek czy artykułów, stron dokumentacji technicznej, przećwiczył wiele razy różne rozwiązania. Jakiś błąd zawsze może się zdarzyć, natomiast nie oszukujmy się - ten czas musi mieć odwzorowanie w pensji.
To jest coś, czego nie rozumie bardzo dużo firm państwowych, że jeżeli zatrudniamy jakiegoś specjalistę, to musimy mu zapłacić, bo nie dajemy mu pieniędzy za to, że coś zrobi w pół godziny. Płacimy mu za to, że przez 10 lat uczył się jak to robić w pół godziny, a nie w dwa tygodnie. To przede wszystkim podejście mentalne powinno zmienić się w budżetówce.
O.K: Co tak naprawdę motywuje ludzi, którzy się zgłaszają do pracy za minimalną krajową, ewentualnie z dodatkami?
E: Poszedłem pracować może nie za minimalną krajową, ale za nieduże pieniądze na jednej z uczelni. Musiałem po prostu psychicznie odpocząć od pewnych rzeczy, m.in. od korpo, w którym poprzednio pracowałem. Dało mi to wytchnienie, a potem po prostu poszukałem sobie czegoś innego.
O.K: Jeżeli mowa o zatrudnieniu na stałe, takim dość przyszłościowym, to w tym momencie państwówka nie jest aż tak atrakcyjna?
E: To zależy. Z tego co wiem, instytuty badawcze dosyć mocno inwestują w swoich specjalistów, dlatego że przetwarzają technologię, mają wiedzę, produkty, know-how i tego trzeba bronić. W dzisiejszym świecie mamy wszystko zdigitalizowane i nikt nie przyjdzie za minimalną krajową do takiej firmy.
O.K: Czyli można też powiedzieć, że państwówka państwówce nierówna?
E: Tak, masz rację. Tak jak mówię, uczelnie na przykład płacą bardzo słabo. Ostatnio dowiedziałem się, że jedna ze spółek kolejowych też chce zatrudniać specjalistów od cyber za minimalną krajową z dodatkami… To infrastruktura krytyczna i trochę śmiech na sali. Nie wiem kto tam przyjdzie, ale nie spodziewałbym się za dużo po tych ludziach.
Czytaj też
Dyspozycyjność
O.K: W tej branży jesteś cały czas pod prądem. Nigdy nie wiesz, kiedy coś się wysypie.
E: Siedzę w branży IT od dwudziestu paru lat w sumie, licząc jeszcze tam jakieś studia, douczanie się i tak dalej, a licząc własną naukę od nastolatka to jest ponad trzydzieści lat. Czyli trzydzieści lat siedzenia, tłuczenia w komputery. To nie wygląda jak w biurze. Praca w IT i w cyber w szczególności jest taka, że trzeba być na zawołanie.
Dzisiaj pracuję 8-16, jutro 9-17, a pojutrze pojadę gdzieś w teren o 2. Niestety z tym też trzeba się liczyć i za to też trzeba zapłacić.
O.K: Często pewnie nie możesz powiedzieć „nie”?
E: Nie mogę powiedzieć nie, bo jeżeli ja nie pojadę, czy ktoś nie pojedzie z mojego zespołu, to dana usługa może nie działać, np. duże systemy. Czasem ze względu na np. atak. Wówczas dochodzi do sparaliżowania systemów i my musimy w nocy ruszyć w drogę, aby ogarnąć ten temat.
O.K: Czyli tak naprawdę można powiedzieć z pełną świadomością, że specjalista IT pracuje praktycznie bez przerwy.
E: Pracuje ciągle, chyba że jest na urlopie.
Czytaj też
Cyberbezpieczeństwo a IT
O.K: Jakie są największe plusy pracy na uczelni? Poza tym, że wtedy faktycznie mogłeś odpocząć od tego korpo-życia?
E: Można było mieć dostęp do całkiem ciekawych technologii. Uczelnie prowadzą badania, projekty, można się sporo nauczyć. Tylko trzeba chcieć.
O.K: Mówisz ogólnie o IT?
E: Właśnie nie wiem, jak rozpatrywać to cyberbezpieczeństwo - czy jeszcze jako część IT, czy już jako oddzielną branżę. Kiedyś grafika też była włączana do IT. Dzisiaj grafika komputerowa jest zupełnie oddzielną branżą, więc być może należy rozpatrywać cyber jako właśnie już oddzielną branżę. Jest tak dużo specjalistów, tak mnogo tematów. Mamy utrzymanie, programistów, obronę, atakujących, pentesterów… Tych specjalizacji jest kilkadziesiąt w tym momencie.
O.K: Czyli tak naprawdę nie można powiedzieć, że jest jeden konkretny zestaw umiejętności, które trzeba umieć, żeby pracować w cyber?
E: Nie, tu mamy specjalizacje i tych specjalizacji mamy multum.
Grzechy cyberbezpieczeństwa i dodatek teleinformatyczny
O.K: Mógłbyś wymienić jakieś takie największe „grzechy” lub pewne patologie, z którymi się spotkałeś zarówno w państwówce i korporacjach?
E: Korpo to kultura wiecznego… (wulgaryzm). To jest coś strasznego, tego się nie da czasem przeżyć. Chociaż mój późniejszy kierownik mocno to tonował. Nie istniało wtedy żadne „work-life-balance”.
Jeśli mowa o instytucjach państwowych, bardzo często słyszeliśmy, że będzie x pieniędzy, po czym się okazuje, że ten x pieniędzy jest brutto, a nie netto. Więc odpowiada nam 30% z tego, o czym myśleliśmy. Kontynuując poprzedni wątek, jeżeli firma płaci najniższą krajową bądź trochę powyżej tej mniejszej krajowej, to nie może liczyć na specjalistów z wysokiej półki. Został uruchomiony jakiś czas temu dodatek teleinformatyczny dla specjalistów cyber, ale też nie wszędzie, np. w PKP tego nie ma. Należy też dodać, że te poziomy wsparcia też są zróżnicowane. Dobrze by było zobaczyć, ile organizacji tak naprawdę bierze pieniądze z tego funduszu.
Czytaj też
O.K: Słyszałem taką opinię, że dużo osób nie zmienia pracy w budżetówce ze względu na ten dodatek. Według Ciebie to prawda?
E: Według mnie tak, ten dodatek zatrzymał przynajmniej część ludzi. Czy zatrzyma ich na dłużej? Nie wiem. Inflacja nadal jest wysoka, a dodatki jakoś specjalnie nie rosną.
Procesy, odpowiedzialność i delegowanie zadań
O.K: Czyli tak naprawdę w niektórych aspektach pracy największym problemem jest po prostu niekonkurencyjność pensji w momencie zatrudnienia?
E: To jest jedna rzecz. Druga jest taka, że wszystko dzieje się bardzo powoli. Procesy zmian, dostosowania do wymagań nie tyle rynkowych co dnia dzisiejszego trwają zbyt długo. Jest zbyt wiele poziomów, zbyt wiele akceptacji. To powinno być zrobione „just like that”. Natomiast jeżeli muszę czekać 2 czy 3 miesiące na jakąś decyzję, to jestem 3 miesiące w plecy. Powinienem mieć tę decyzję w ciągu tygodnia.
O.K: A więc jest problem ze wskazaniem osoby decyzyjnej?
E: Brak jest delegacji zadań. Odczułem to na uczelniach i w innych państwówkach. Wspomniane delegacje zadań i razem z nimi odpowiedzialność nie istnieją, ponieważ decyzje zapadają na samej górze. Są prezesi, dyrektorzy, rektorzy, zarządy tych firm, a spokojnie mógłby być na przykład naczelnik wydziału.
O.K: Twoim zdaniem pewne decyzje podejmowane są na za wysokim szczeblu?
E: Zdecydowanie. Przykładem może być to, że jeżeli chcemy się zatrudnić na jakiejś uczelni czy w jakiejś firmie państwowej to niejednokrotnie jest tak, że albo rektor albo główny dyrektor podpisuje z nami umowę o pracę.
Czytaj też
„Umowa o pracę to nie wszystko”
O.K: Zatrudnienie odbywa się jedynie na podstawie umowy o pracę?
E: Państwówka w pandemii nauczyła się, że umowa o pracę to nie jest wszystko. Wcześniej zatrudniano faktycznie na umowę o pracę, natomiast po pandemii zacząłem zauważać, że jest wybór w formie zatrudnienia i przynajmniej część z tych firm daje także możliwość pracy na B2B, zleceniu, a nawet na umowie o dzieło, co jest na przykład wygodne dla programistów. Możesz też przy tym korzystać z części benefitów dla etatowców, np. opieki medycznej czy kart sportowych.
O.K: Czyli zmiany mają miejsce?
E: Tak, ale zdecydowanie za wolno.
O.K: Ale zgodzisz się chyba, że jest lepiej niż było kiedyś?
E: Tak. Jestem ciekawy jak będzie w przyszłości, bo jest duże zapotrzebowanie na specjalistów cyber.
O.K: Jest sporo kursów o tej tematyce, więc…
E: Pomińmy ten temat… (śmiech). Część ludzi idzie na jakiś tam bootcamp, płaci za to niebotyczne pieniądze, po czym po trzech tygodniach stwierdzają: „Jestem programistą/programistką, dajcie mi 15 tysięcy”. To tak nie działa. Trzeba dużo pokory do pracy w cyber.
Czytaj też
Rady od praktyka
O.K: Chciałbyś coś jeszcze dodać? Zwłaszcza zwracając się do ludzi, którzy np. planują szukać pracy i mają już pewne doświadczenie?
E: Zauważyłem, że jest mało ofert na tzw. entry level. Pierwsze to są najczęściej oferty juniorskie. Tylko, że na ofertę juniorską zazwyczaj jest rok, dwa lata doświadczenia. W tym momencie nie ma właściwie firm, które chciałyby się podjąć przeszkolenia zawodowego osób zaczynających karierę. Są tylko spółki, które chcą już ludzi doświadczonych, a tego nie da się w tym momencie zrobić, bo po prostu takich brakuje na rynku. A z kolei ci, którzy kończą studia, mają problem ze znalezieniem pracy, no bo nie mają tego wymaganego roku czy dwóch doświadczeń.
O.K: Lepsze są studia czy kursy?
E: Myślę, że studia i kursy to jest najlepsze rozwiązanie. Plusem kursów jest to, że mamy dużą paczkę i potwierdzenie, jeżeli zdajemy jakiś certyfikat. Z kolei na studiach rozwijamy się także społecznie - poznajemy ludzi, mamy jakieś kontakty. No nie oszukujmy się, zawsze jakieś jeden, czy dwa, czy trzy kontakty nam z tej uczelni zostaną.
O.K: Dziękuję za rozmowę.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany