Władza to także możliwość wpływania na zarząd, bycie dla niego ważnym, możliwość uzyskania budżetu...

Tak, ale to już nie jest kwestia umocowań, raczej umiejętności "miękkich", wyczucia i zdrowego rozsądku. Nie mogę np. nagminnie straszyć nieprzewidywalnymi konsekwencjami zrobienia czy niezrobienia czegoś. Moje opinie będą dla zarządu ważne, o ile będą znajdować pokrycie w rzeczywistości - nie mogę rzucać słów na wiatr.

Z drugiej strony, staram się być proaktywny i udowadniać zarządowi, że nasza praca jest firmie obiektywnie potrzebna. Raz na rok, a czasem nieco częściej, przedstawiam zarządowi informację o tym, jak wygląda stan naszego zagrożenia. Najlepszym narzędziem w takiej prezentacji są statystyki z firewalli czy systemów antywirusowych. Pokazanie kierownictwu, że firma jest atakowana cały czas, w dzień i w nocy, wielu ludziom otwiera oczy - kilkadziesiąt tysięcy ataków miesięcznie mówi samo za siebie.

Jeśli chodzi o budżet, to akurat raczej nie jest problemem. Oczywiście, należy znowu przypomnieć, że firma to miejsce robienia biznesu - priorytet inwestycyjny zawsze będzie więc wskazywać na usługi generujące przychody. Gdyby była taka potrzeba, moglibyśmy zapewne kupować, budować i wdrażać więcej niż obecnie, ale jest pytanie, czy kolejne systemy rzeczywiście coś wnoszą do podwyższenia stanu bezpieczeństwa. Zdarzało mi się nie wykorzystać budżetu w całości, a to np. dlatego, że dostępne na rynku rozwiązania IDS - w czasie, gdy rozważaliśmy zakup - nie spełniały naszych oczekiwań.

Każdą władzę trzeba jakoś kontrolować. Kto w PTC weryfikuje pracę Działu Bezpieczeństwa pod względem merytorycznym?

Kto kontroluje kontrolerów? Życie - poprzez incydenty, audyty wewnętrzne realizowane przez wyspecjalizowany dział, audyty zewnętrzne zamawiane przez Dział Bezpieczeństwa jako dodatkowy element weryfikacyjny, audyty zewnętrzne wynikające z uregulowań prawnych, np. GIODO lub też rytmu procesów biznesowych, np. audyty zamknięcia roku finansowego, zgodności z SOX [amerykańską ustawą Sarbanes-Oxley związaną z rejestracją korespondencji i innych danych na potrzeby dowodowe - przyp. red.], czy też czynności kontrolne zlecane czy wręcz realizowane samodzielnie przez udziałowców.

Skąd biorą się ludzie w komórkach organizacyjnych związanych z bezpieczeństwem? Jak weryfikować kwalifikacje -chyba nie przez umiejętność włamania się tu czy tam? Jak oceniać motywacje?

To dosyć trudny problem. Jest podstawowy dylemat: bierzemy ludzi z doświadczeniem w odpowiednich służbach, ryzykując, że będą preferowali postawy i rozwiązania "oldskulowe", albo stawiamy na osoby z doświadczeniem technicznym, np. doświadczonych administratorów, którzy z różnych względów chcą zmienić profil zawodowy. Co do zatrudniania "hackerów" to bynajmniej nie jest to zły pomysł, ale pod warunkiem, że człowiek dojrzał na tyle, że chce się zająć tematem bezpieczeństwa bardziej profesjonalnie, mając zaplecze w dużej firmie.

Motywacje można w praktyce oceniać tylko na podstawie intuicji, choć oczywiście nie należy też zaniedbać typowych czynności weryfikacyjnych wypracowanych przez działy kadrowe. Trzeba jednak powiedzieć, że środowisko analityków bezpieczeństwa jest dosyć hermetyczne - zadając kilka właściwych pytań, można się sporo dowiedzieć.

Jak wygląda proces dokształcania zawodowego ludzi w komórkach związanych z bezpieczeństwem? Czy poza produktowymi na polskim rynku są dostępne jakieś profesjonalne szkolenia w tej dziedzinie?

W Polsce oferta jest bardzo słaba. To raczej nasi ludzie prowadzą szkolenia. Żeby dowiedzieć się czegoś naprawdę konkretnego, trzeba przeważnie jechać za granicę, a najlepiej za ocean.