Магдалена Гамишева е търговски директор в CLICO България. Обича морето и често изпълнява кулинарните желания на хората около себе си. За Магдалена успехът зависи от много фактори. Относно проблема с неравенството между половете, тя счита, че в България не е толкова актуален. Според нея всеки мениджър, управляващ компания, трябва да оценява качествата както на кандидатите, така и на служителите си, като се фокусира върху това колко са компетентни, без да се влияе от странични фактори. Според нея, че трябва да развиваме и стимулираме професионалните си качества, без да отдаваме значение на пола. Според Магдалена женската визия и чар понякога помагат, но определено не мисли, че някой би взел ключово решение, само защото срещу него стои жена. Тя споделя с нас, че намира трудности в това да разграничи личния от професионалния си живот и го отдава на факта, че самата тя харесва много работата си и черпи вдъхновение от нея. Магдалена е професионалист, но и перфекционист – държи всичко да бъде съвършено. За ролята си на търговски директор в компания за ИТ сигурност тя споделя, че е нужно постоянно да научава нови и нови неща, както и винаги да бъде информирана за новите тенденции. Магдалена смята, че именно това е и една от причините, заради които се е насочила към технологичния бранш. Тя е на мнение, че сключването на сделка е като игра на шах – трябва да мислим няколко хода напред, да предвидим всички фактори, които могат да ни повлияят и да сме изцяло подготвени, за да сме сигурни, че клиентът ни ще остане доволен. Според Магдалена не могат да бъдат поставени конкретни часови рамки на един работен ден. По-скоро трябва да търсим начин да се справим с всичко и обмисляме различни варианти, благодарение, на които да постигнем целите си. Съветът на Магдалена е да открием нещото, което ни откъсва от ежедневната рутина и ни кара да живеем тук и сега.

“Затварянето на сделка е като игра на шах- мислиш няколко хода напред, предвиждаш всички фактори, които биха могли да наклонят вечните и взимаш своевременни решения. Но най-важното е да си подготвиш домашното и да си сигурен, че това което предлагаш на клиента е най-правилното за него.”

Споделете нещо специфично за Вас, което не можем да научим от LinkedIn. 

Имам домашен любимец куче – чехословашки вълчак, което отскоро е част от нашето семейство и изпълва живота ни с много смях, игри и усмивки. Обичам морето, обичам да шофирам и нека не звучи нескромно, но съм добър шофьор… И не на последно място веднъж в седмицата изпълнявам кулинарни желания на колектива.

Срещали ли сте някакви предизвикателства в своя кариерен път във връзка с това, че сте жена?

Случва се понякога при първоначалните контакти с чуждестранни компании. Усеща се леко недоверие, дори нотка подценяване, но щом отговориш с професионализъм, опит и познания, много бързо променяш тази нагласа.

Наясно ли сте колко жени работят на Вашата позиция?

Да и това ме мотивира още повече да развивам професионалиста в мен и да усъвършенствам знанията си ежедневно. Според Евростат 42% от ръководните позиции в България се заемат от жени. Друго проучване за „Най-добри страни в Европа за работа на жени“, оценяващо икономическа равнопоставеност на жени, заемащи ръководни позиции и отношение спрямо майчинство, отрежда първото място на България. Смятам, че успехът зависи от много фактори и затова второто проучване е по-обстойно. Има все още над какво да работим като общество, но сме в правилната посока и стъпка по стъпка ще го постигнем.

Смятате ли, че проблемът с неравенството между половете все още е актуален в България и по света?

В някои региони по света е особено актуален. За България може би не в толкова голяма степен. Според мен всеки мениджър, управляващ компания трябва да оценява качествата на кандидатите и служителите си, стъпвайки на техните компетенции, а не по полов признак. И въпреки че сме израснали като общество, все още определяме някои задължения/качества като типични женски или мъжки, а би трябвало да работим в посока развиване и стимулиране на професионални качества при хората, които имат интерес и желание за развитие, независимо дали са мъже или жени.

Прочетете още вдъхновяващи истории за жените от тех индустрията в българското издание на WR Tech тук.

Каква политика следва компанията Ви по отношение за насърчаване на разнообразието?

Определено търсим разнообразието при назначенията, защото искаме CLICO да бъде място, в което различни хора изграждат екип и работят заедно без предубеждения и разделителни линии помежду им; имат свобода за лично и професионално развитие.

Как ви приемат мъжете колеги в компанията? Имат ли различно отношение към Вас?

Трябва да попитате тях 🙂 Аз не усещам различно отнoшение спрямо мен.

Помага ли женската визия и чар за това да бъдете успешна в професионално отношение? (пример: улеснява ли комуникацията?)

Всички знаем поговорката “По дрехите посрещат, по ума изпращат”. Погледнaто в тази светлина – да, понякога помага, но определено не мога да кажа, че някой би взел ключово решение само, защото насреща стои жена.

Как съчетавате личния с професионалния живот? Имате ли някакво правило, което спазвате?

Може би съчетаването на личния с професионалния живот би билo по-леснo, ако мога да се изключвам от работна вълна в свободното си време. За мен е трудно, защото постоянно обмислям всичко. Но това го отдавам на факта, че работата ми харесва и ме вдъхновява, както и че перфекционистът в мен иска всичко да е съвършено.

Кои източници следите и можете да препоръчате на нашата аудитория? (подкасти, страници, инфлуенсъри, влогъри, т.н).

Darknet Diaries, блоговете на вендорите ни, а те не са никак малко, имайки предвид богатото портфолио на CLICO, Gartner (както класациите за различни решения, така и анализи за бъдещи фокус решения), SANS institute, разбира се и български – „Говори интернет”, „Гласът на Капитал”, „Парите говорят”. През останалото свободно време предпочитам хубава книга за компания.

Какво представлява професията на търговския директор в компания, предлагаща решения за ИТ сигурност? Как минава един Ваш работен ден? Кое Ви вдъхнови да се насочите към технологичния бранш?

Представлява комбинирането на много качества, част, от които отговорност, инициативност, дипломатичност, организацонни и търговски умения, намиране на нови клиенти и поддържане на удовлетвореността на настоящите, подпомагане на екипа. Нужно е постоянно обновяване на знанията и информираност за новите тенденции – „ученето през целия живот“ при нас е ежедневие . Това е и една от причините да се насоча към технологичния бранш. Той претърпява бурно развитие и постоянно възниква нуждата от нови решения, подпомагащи бизнеса, както и такива, които го защитават и допринасят за неговата сигурност и безпрепятственото му функциониране. Една успешна кибератака нанася множество видими и невидими щети на компанията, а понякога води и до директни загуби за бизнеса, които се възстановяват, ако изобщо успеят, в продължение на месеци или дори години.

Какви качества трябва да притежава човек, за да„затвори“ успешно една сделка? Тези качества зависят ли от пола, според Вас?

От пола – не, но от опита – да. Затваряне на сделка е като игра на шах – мислиш няколко хода напред. Предвиждаш всички фактори, които биха могли да наклонят везните и взимаш своевременни решения. Но най-важното е да си подготвиш домашното и да си сигурен, че това, което предлагаш на клиента, е най-правилното за него. Така той ще е с едно главоболие по-малко и спокоен с инвестицията, която е направил. Разбира се, понякога може да не постигнеш успех, но анализът на всичко, което се е случило и “объркало”, ще помогне занапред.

Как и къде трябва да се поставят границите между работния ден и живота след това, когато всичко се случва на едно място? Можете ли да дадете за пример няколко добри практики и съвети? 

Лично аз не мога да поставя граница, но и не искам. Когато работата те вълнува и е близка до натурата ти, нямаш желание за това. Работният ден няма часови рамки, а търсиш и мислиш различни начини, за да постигнеш целите си. Съвети и добри практики.. хм.. Бих казала на всеки – намерете нещо, което ви откъсва поне за малко от ежедневната рутина и ви кара да живеете тук и сега, да потуши бурята от прииждащи мисли и тревоги. За едни това е спорт, разходка, време с любими хора, четене, музика, или правене на нищо (dolce far niente). За мен практика за разтоварване се оказа йогата – време за себе си, време без мисли, време за тук и сега.

Какво означава да си търговски директор в CLICO България? Как минава един Ваш работен ден?

Екипът на CLICO расте, дори през изминалата трудна година наехме няколко нови колеги. Резултатите на компанията и доверието на клиентите ни са маркер за успехa на целия колектив. Работният ми ден е постоянен – със ставането преди 6, до лягането късно вечер (а понякога ме преследва и в сънищата 🙂 ). Постоянно мислиш в различни посоки – както над общите цели и пътя за постигането им, така и в дълбочина за конкретно предизвикателство, пред което си изправен. Доволна съм, че работя с такъв сплотен и целеустремен екип и съм сигурна, че ни очакват още много вълнуващи дни.

Любима дреха?

Рокля.

Високи или ниски обувки?

Високи.

Кое е задължителното нещо, без което не излизате в чантата си?

Ключ за кола – свободата да стигнеш където и когато пожелаеш.

Любим цвят червило?

Гланц за устни.

Кое типично женско качество/ задължение Ви е чуждо?

Мрънкането. Винаги съм избирала да се изправя челно пред предизвикателствата, вместо да търся оправдания и да бягам от отговорност. Това ми помага в живота, а особено в работата е голямо предимство.

Коя кауза бихте подкрепили/ Подкрепяте в момента?

Повече книги в малки читалища и библиотеки, тяхното популяризиране и дигитализиране.

Ако желаете да прочетете още мотивиращи истории за успехи и кариерно израстване, присъединете се към общността на DevStyleR от #Тech професионалисти, иноватори и ентусиасти тук.

На тазгодишния OpenFest 2021 Матияс проведе лекция под името: “Устойчивост с отворен код”. В тази презентация Матиас споделя защо Greenbone вярва, че подходът с отворен код е най -добрият за техните клиенти, партньори и служители.

Матиас Зейтлер е партньор в Coworking Bansko – база за хора, които по-скоро работят заедно, отколкото сами в полите на Пирин. Той изгражда работна екосистема там, като в момента се фокусира върху изграждането на проект за Coliving в Банско. Матияс редовно провежда и говори на различни технически, coworking  и startup събития. Веднъж годишно той организира Bansko Nomad Fest – едноседмичен празник на независимия начин на живот. Матиас е управляващ директор на Greenbone Networks Bulgaria. Опитът му е в областта на компютърните науки като притежава MBA от университета в Санта Клара, както и диплома по инженерство от Политехническия университет в Залцбург.

Цялото интервю с Матиас Зейтлер може да прочетете на английски език в нашето международно издание DevStyleR.IO като последвате линка тук.

Изследването 2020 Phishing Attack Survey, направено от GreatHorn, включва 317 ИТ и кибер специалисти, 38% от които пък, споделят, че през миналата година именно служител от организацията е бил причина компанията да стане жертва на фишинг атака.

“Това изследване ясно показва колко много компании са били таргетирани от подобни фишинг имейли. С такава значителна част на успешни атаки, времето, загубено за възстановяване, може да окаже неблагоприятно въздействие върху производителността и рентабилността. В момента е по-важно от всякога компаниите да предоставят на служителите си знанията и инструментите, необходими за разпознаване, защита и избягване на фишинг атаките, ” споделя Кевин О’Брайън, CEO на GreatHorn.

Повече от половината отговорили за забелязали увеличение на зловредните имейли от началото на пандемията, докато една трета от тях са забелязали същото, но от януари месец. Анкетираните (62%) масово посочват също, че не вярват възрастта да има нещо общо с податливостта към фишинг атаките и смятат, че няма значение на колко години е даден служител.

Интересно е, че относно таргетирането, мненията са изключително сходни. Голяма част от анкетираните вярват, че такъв тип атаки биха били насочени специално към CEO или Lead позиции. 56% са на мнение, че мениджърите на средно ниво са основна цел, докато 51% посочват, че работниците от начално ниво са основен приоритет за атаки.

Все пак, ставайки дума за виновници – 40% са по-склонни да посочат с пръст работниците, докато 29% вярват, че фишинг атаките определено могат да свалят реномето на екипите по ИТ сигурност. Но пък 51% не са променили бюджетите си за сигурност, за разлика от други 56%, които споделят, че са пренасочили достатъчно средства за сигурност.

Но каквито и да са посочените резултати, явно е, че ИТ екипите стават все по-добре в улавянето на фишинг атаки, като 40% посочват, че за справянето им е било необходимо по-малко от един час, за разлика от други 15%, за които е отнело между един и четири дни.

Сътрудничеството между Aruba, компания на Hewlett Packard Enterprise, и Microsoft цели да подобри сигурността и работата на ИТ екипите.

„Предпазването на организациите от атаки изисква цялостен поглед към сигурността, основан на отворен подход при защитата на устройствата и приложенията “, казва Ираван Хира, генерален директор на Hewlett Packard Enterprise operated by Selectium. „Aruba ClearPass предоставя политика на управление на мрежовата инфраструктура от всеки доставчик, докато Microsoft Endpoint Manager осигурява сигурно, интегрирано управление на устройства и приложения от всеки източник. Съгласуването на ClearPass и Microsoft Endpoint Manager адресира сигурността при крайните точки за широк спектър от устройства и приложения на ИТ, IoT, BYOD и оперативни технологии (OT), използвани в различните индустрии.“

Важно е да се отбележи, че Aruba е член на Асоциацията за интелигентна сигурност на Microsoft – екосистема от независими доставчици на софтуери за сигурност, разработващи интегрирани решения за по-добра защита при кибер заплахи. От тази гледна точка Aruba е завършила интеграцията, тестването и удостоверяването на ClearPass Policy Manager с Microsoft Endpoint Manager – унифицирана платформа за управление. Реално Microsoft Endpoint Manager включва Configuration Manager и Microsoft Intune. ClearPass Policy Manager е интегриран и в Microsoft Defender Advanced Threat Protection (ATP) – унифицирана платформа за защита на крайните точки, която помага на организациите да предотвратяват, откриват, разследват и реагират срещу кибератаки.

Aruba също така си сътрудничи с Microsoft за подобряване на ефективността и сигурността при контрола на достъпа чрез разработване на стандартизиран подход за поддръжка на множество методи за удостоверяване и видове идентичност в една заявка за автентификация. Решението използва протокола Tunneled EAP (TEAP), за да комбинира идентичност на машина и потребител в една заявка.

„Комбинирането на контрол на достъпа до мрежата със сигурността на крайните точки, включително оценки на риска и експозицията, дава синергия на двете технологии и гарантира на бизнеса, че правилните устройства имат достъп до правилните мрежови ресурси. Тази интеграция позволява на клиентите ни да опростят своята инфраструктура за сигурност и дава възможност на двете решения да осигурят по-високи нива на сигурност”, допълва Моти Гинди, CVP, Microsoft Threat Protection.

ClearPass Policy Manager използва разпознаваемостта на ниво устройство от Microsoft Endpoint Manager и Microsoft Defender ATP, за да създаде, приложи и наложи политики за достъп до мрежово и приложно ниво, в това число и дистрибутирани SD-WAN локации. ClearPass налага среда на нулева толерантност (Zero trust environment), при която на IT, IoT и OT устройства е отказан достъп до мрежата, ако идентификацията им не е предварително потвърдена. ClearPass предоставя гранулирана видимост на устройствата в мрежата и налага политики за контрол на достъпа въз основа на сигурността на крайните точки и съгласуваността между Microsoft Endpoint Manager и Microsoft Defender ATP.

Технологичната интеграция е важна за гарантирането на сигурността в областта на онлайн програмите за обучение, което вече се използва широко като алтернатива на присъствената форма в училища и университети по цялия свят.

„С увеличаване броя на виртуалните класни стаи и нарасналото използване на споделени инструменти за обучение, сигурността е от първостепенно значение, особено що се отнася до защита на студенти, преподаватели и персонал “, казва Дейвид Боос, технологичен директор в Техническия институт в Мичъл. „Интегрирането на ClearPass с пакета на Microsoft Endpoint Manager бе революционна промяна за нас по отношение на лесното внедряване и възможността да разберем и анализираме по-добре безжичната си мрежа.“

Как намирате Global Tech Summit? Как се чувствате тук?

Наистина съм впечатлен. За пръв път съм в България. Впечатлен съм от разнообразието от лектори и техните теми, качеството на презентациите и пространството наистина е вдъхновяващо. Толкова е готино, че тук можем да видим много млади хора, хора с техните деца. Това е вдъхновение.

Имате ли някакви познания за българската IT общност?

Опитът ми е ограничен. Шефът ми управляваше офис тук и той ми разказа за своите преживявания. Той беше много впечатлен от качеството на инженерите.

Имате ли златно правило?

Златното ми правило е последователност. Това е последователността на работата, дори консистентност за кода, който пиша и това предизвиква някои предизвикателства в моята компания, но като цяло последователността е най-важна.

Имате ли някакви технологични страхове за бъдещето?

Най-големият ми страх е вероятно последиците за сигурността. Имам всичките си светлини, свързани с интернет. Те са само крушки, но сигурността ме засяга. Може би ще имаме технологичен балон и ще имаме крах, какъвто сме имали в миналото с ерата на dotcom. Като цяло се вълнувам от неща като AI и машинно обучение и от възможностите, които са отворени за нас всеки ден.

Какъв е Вашият съвет към по-младите разработчици?

Бъдете любознателни, задавайте въпроси, не приемайте това, което хората ви казват. Когато бях в университета, учех код, но бях гладен за още и просто не се задържам с това, което се случва. Наистина е важно да имате страст към това, което правите. Останалото е лесно. Грижата за това и интересът са двете големи неща.

Интервюто проведе Стефан Стефанов

Fraud Detector е услуга, която засича аномалии в транзакциите. Детекторът  обработва  имейл адреси, IP адреси и други транзакции, и информация за регистрация на акаунти, както и създава маркери за индикации на фалшиви транзакции.

Fraud Detector обработва тази информация с помощта на алгоритми, както и информационни детектори, разработени за  потребителите, за да изгради модели, които разпознават потенциално неблагонадеждни домейни и формации от IP адреси. 

След създаването на модела, потребителят може да го конфигурира, за да създаде начини за действия, базирани на прогнозите на модела. Fraud Detector може да идентифицира съмнителни акаунти или транзакции, преди да са направени поръчки. Според Amazon, моделите с машинно учене на Fraud Detector могат да засекат до 80% повече опасни акаунти и транзакции, отколкото досегашните методи.

CodeGuru създава модели с  AI, тренирани в 10 хил. от най-известните open source проекти, като моделите могат да изчислят оригиналния код, както е бил написан. Когато системата отчете проблем, тя генерира съобщение с информация за това какъв е проблемът и как да бъде решен. CodeGuru открива най-неефективните части от кода, като създава профил на всеки пет минути, който отчита неща, като утилизацията на процесора и забавянето на връзката. CodeGuru вече е бил използван за вътрешна дейност в Amazon и е доказал ефективността си, оптимизирайки 80 хил. приложения.

Облакът Gen 1 имаше архитектура, която не успяваше напълно да изолира потребителите един от друг или от компанията, която осигурява услугата. В Gen 2 всяка машина включва отделен хардуер за панела за управление, а отделни мрежи са използвани за информацията на потребителите и контролните функции. Това прави системата по-трудна за хакване, докато в същото време Oracle не е в състояние да вижда информацията на потребителите. Трета, независима мрежа е използвана, за да замени целия firmware в една машина, преди тя да бъде използвана от различен потребител. 

В близките месеци Oracle ще представи Cloud Guard и Maximum Security Zones за своята Gen 2. Cloud Guard е machine-learning център за операции по сигурността, който следи за вируси и алармира засегнатите от вируса потребители, както и сам предприема действия, като заключване на акаунт, например. Когато приложенията и останалата информация бъдат оставени в Maximum Security Zon, те остават там и не се местят, въпреки че впоследствие Oracle ще даде възможност на потребителите да мигрират проектите си, ако не искат да работят в облака. 

И двата проекта ще са разработени в следващите между два и шест месеца.

Фото кредит: Симеона Герджикова

Имат ли място младите програмисти и стартъпите в държавната администрация?

Младите програмисти не представляват проблем по никакъв начин и смятам, че те трябва да са там, както там е една по-зряла компания. В определени аспекти младата компания може да даде по-свежи идеи и по-добри методи за реализация на даден проблем. Това, че дадена компания е стартъп, според мен, категорично не означава, че тя не може да си свърши работата или да не може да направи читав софтуер. По-скоро не трябва да сравняваме компаниите дали са млади или стари, а смятам, че е важно какви практики имат. Може да имаме на пазара компания от 20 години с програмисти, които имат изключително сериозен опит, но да допусне много сериозни пропуски, свързани със сигурността, а от друга страна може да имаме млада компания, която да се справи с разработката на този софтуер и от функционална и от security гледна точка. Причината за това ще бъде, че компанията е по-модерна. И разбира се, обратното, от друга страна годините опис си казват думата. Смятам, че комбинацията от двете е добра.

На какво се дължи това, че са застарели технологиите в държавната администрация? Какви са причините, според теб финансови ли са или са организационни? 

Според мен причините са на доста по-високо ниво, отколкото ние предполагаме. Донякъде са финансови, но от друга страна смятам, че голяма част от финансите не отиват при правилните направления. Според мен е по-скоро липсата на осведоменост и липсата на желание да се мисли за сигурност. Разсъждаваме по традиционния начин, че на нас няма да ни се случи. Всички финанси отиват за разработка на функционален и бърз софтуер и много малко се влага в сигурността. До последните години се смяташе, че сигурността е нещо, което не е нужно. През последните няколко години компаниите започнаха да разработват софтуер с ясната идея, че той трябва да е много сигурен. Поне в България. При държавните администрации проблемът е освен финансов, от друга страна модернизирането на софтуера или на която и да е уеб апликация, мобилно приложение, или някаква мрежа от системи. Това модернизиране е свързано с модернизирането на доста други неща. Давам за пример един счетоводен софтуер, който в повечето държавни администрации не е съвместим с модерните операционни системи. Или уеб приложенията, които се използват, са толкова остарели, че те не могат да се обновят или да се подобри тяхната функционалност. Необходимо ще е да се пренапишат изцяло, а тук навлизаме в сериозна инвестиция. Непосредствено, ако се наложи да се направи ъпдейт на всички системи, тъй като съм виждал в държавни администрации все още да се използват  Windows XP и Windows 7, за които е известно, че имат десетки уязвимости. Един потенциален ъпдейт към последна версия на Windows 10 или към друга операционна система означава, че всеки един софтуер, било то счетоводен, софтуер за човешки ресурси, CRM, ERP и т.н., ще трябва да се обнови или да се закупи нов такъв, който да е съвместим с новите операционни системи.

Могат ли отворените технологии да решат този проблем? Какво ти е мнението за Linux и неговите дистрибуции? 

Аз лично като експерт, ако трябва да реша технологичен проблем, ползвам единствено Linux машини. Windows използвам само за ежедневната си работа, като потребител. Иначе за технологично решение винаги залагам на Linux, особено за сървърна среда. Това налага много промени да се имплементира в държавна институция. В повечето държавни институция преобладават Windows сървъри. Съответно, има наети Windows експерти, които са системни администратори в тази област. Евентуално преквалифициране или подмяна на персонала отново би представлявало голяма промяна. Аз бих имплементирал доста отворени технологии и смятам, че в доста голяма част от случаите тези системи са по-добри от техните платени алтернативи, поради това че има много голяма и активна общност, която допринася тези системи да се развиват, а от друга страна отвореният софтуер е ограничен до разработчиците, работещи в съответната компания. Двата подхода имат съответните плюсове и минуси.

Едно от решенията след случая с НАП е да си направи одит на IT сигурността. Как се прави такъв одит по учебник и как би го направил ти?

Фото кредит: Симеона Герджикова

По повод на одитите в една организация или как да протече одит в НАП например. На първо място трябва да се направи оценка на риска. Прави се оценка на потенциалните рискове, които има за тази организация. Прави се Threat Model (модел на заплахите) и на базата на това се разбира какви биха били заплахите за съответната организация. В случай, че системите са публично достъпни, то в Threat Model-а ще бъдат заложени атаки от външен произход. В случай, че в организацията се крият ключови системи или сървъри, съдържащи важна информация, към Threat Model-a трябва да се добавят атаки от вътрешен произход, атаки, които са произлезли от неосведомеността на потребителите и много други. На база на този модел на заплахите и на базата на това какво въздействие биха имали тези заплахи, като например база данни и SQL Injection заплаха, т.е. какво въздействие ще има това върху организацията. Ако базата данни е добре защитена, дори и да има такава уязвимост налична в системите, тя няма да има голямо въздействие, защото базата данни е защитена и криптирана, дори и да изтече, тя няма да може да се прочете. А ако не е достатъчно добре защитена – без парола и криптиращ механизъм следва, че въздействието от такава потенциална атака върху самата организация ще бъде огромна. Това, разбира се, е само един от примерите за заплахи. На база вероятност за дадена атака да се случи върху определена организация, колко пъти годишно може да се случи, колко е лесна за експлоатиране и т.н. по определени формули се изчислява т.нар. оценка на риска и се прави цялостен анализ. На база на тази оценка на риска се изготвят превантивни мерки или такива, които да отстранят проблемите. Понякога е възможно и да приемем риска. Превантивните мерки могат да включват подсилване на сървърната сигурност, подсилване на мрежовата сигурност, извършване на тестове на сигурността, с които да се направи допълнителен анализ и проверка, подобряване на програмния код и начина на неговото съхранение и много други. Валидна мярка е и обучение на служителите на организацията. Всички тези неща се залагат в програмата по сигурност на базата на оценката на риска, която е направена. Впоследствие една оценка за сигурност на такава организация би наложила извършването на няколко неща. Първото е цялостен IT одит на системите, което включва одит на методите за достъп до системите; одит на методите, с които се съхванява информацията; какви са правата на всеки един потребител върху системата; има ли достатъчно добър запис на логове върху системата; има ли резервни копия; къде на тази система се намира информация в чист вид и т.н. Това представлява IT Systems Security одит (различно от Information Security Audit).

Въпросният одит, който се извършва от гледната точка на администратор, който има достъп до всяка една система, може да открие също мрежови проблеми, може да открие проблеми с неправилно разделение на мрежата или неправилно сегментиране на чувствителна информация. На базата на този одит се правят препоръки какво трябва да се подобри в сигурността на системите. Оттам нататък следва всяка една компания да извърши някакъв външен тест за проверка на сигурността. Било то vulnerability scanning, ако нивото на информация не е особено критично или пък цялостен penetration test на всички уеб приложения, мобилни приложения, на компютърните мрежи и системи като този тест вече ще покаже пропуските и уязвимостите от гледната точка на външен за компанията хакер. Както стана изключително популярен в последните дни терминът “бели хакери”. Според тези тестове се проверява цялостната IT сигурност и отново се изготвя доклад с мерки за отстраняване на проблемите и съответната оценка на риска и въздействието на компанията. На база на този доклад се разпределят задачи към дивелъпмънт екипа на компанията – към системните администратори, към мрежовите администратори като всеки има своя роля и трябва да запуши уязвимостите, които са открити на неговата част от инфраструктурата. След тези тестове се решават тези проблеми. Друго, което смятам, че трябва да се направи, то е заложено и в Закона за киберсигурност на критични доставчици на услуги, е да се направи обучение на служителите. Всеки един служител трябва да е минал, макар и базово обучение по сигурност, да е запознат със заплахите, да разпознава фалшив сайт, както и фишинг имейли и въобще как да съхранява чувствителната информация и др. Проверката на осведомеността на служителите също спада към частта с одитите. Впоследствие в зависимост от нуждите на съответната компания се организират нещата по различен начин. При определени стандарти компанията трябва да има цялостна програма за реакция при инциденти. Тогава този анализ или одит ще включва проверката и на тези реакции. Симулира се инцидент в компанията и се проследяват действията на служителите, логовете, системите за сигурност, които проверяват кой е осведомен в случай на атака.

Фото кредит: Симеона Герджикова

Освен чисто технологичния одит всяка една компания трябва да направи проверка на политиките и процедурите, които са налични. Защото компанията може да има перфектна сигурност от техническа гледна точка, но ако това не е подкрепено със съответните политики и процедури или насоки за защита на системите, тогава може да има правни последици. В един цялостен одит би трябвало да се включват следните неща – анализ на политики и процедури; анализ на IT системите от гледната точка на администратор; проверка на сигурността; задължителен penetration testing, като обикновено това се извършва от външна компания или от вътрешен екип, след съответното разделение на отговорности чрез политики, за да се избегне конфликт на интереси. Това е цялостният процес на одит в една компания от точка “А” до “Я”.

Ако трябва да се промени начина, по който държавата работи с данни и да трябва да сменим личната карта, какви ще са алтернативите на подобна технологична промяна?

До голяма степен вече го имаме. Разполагаме с биометричните данни, електронен подпис и други техники, с които може да се обвърже идентичността на даден човек с конкретен електронен запис. Така или иначе данните ще съществуват в традиционния ни познат вид поне в следващите 50 години някъде, дори да е на хартия. Има доста законови изисквания в тази насока. Дори те да имат дигитална алтернатива. Смятам, че няма да видим скоро такъв тип промяна на данни или алтернативи на дигитализирани такива. Много трябва да учим още. Трябва да минат няколко поколения, за да се промени мисленето на човешкия вид и да се прибегне до такава стъпка.

Посещавал си много конференции и конгреси за киберсигурност. Какво е новото в тези технологии?

Изключително много се набляга на AI или на практика т.нар. Machine Learning. Дори компаниите за сигурност масово наблягат на решения, които да не използват традиционните мерки за засичане на атаки на базата на сигнатури, а се набляга на аномалиите в поведението на дадено приложение или аномалия в самия трафик. Това е едно от основните неща. Вторият най-сериозен тренд в момента е създаването на 5G мрежи и изграждането на тяхната сигурност, въпреки че там нещата са горе-долу ясни и няма какво толкова да се обърка. Нещата се решават на ниво протокол, което прави доста по-лесно осигуряването на защитата. При мрежата за разлика от уеб приложенията нямаме тази възможност да създаваме безброй много свои решения и да използваме външни библиотеки. Обикновено при мрежите нещата функционират по стандартен начин. Доста по-рядко се откриват уязвимости. Третият тренд, който наблюдаваме напоследък, са умни градове и интернет на нещата. Като в момента в много европейски градове започват да текат инициативи към много сериозно модернизиране на градовете и смятам, че това ще е гореща тема в следващите няколко години. Също така се набляга на разработката на роботи с някаква форма на изкуствен интелект.

Приемаме ли факта, че киберсигурността е част от ежедневието ни?

Смятам, че всеки един от нас трябва да разбере, че живеем в киберепоха. Киберсигурността е част от ежедневието ни. Така че всеки един човек трябва да се запознае как се съхранява своята информация, а в случай, че той е от другата страна и е човек, който взима решения, следва да вземе съответните мерки за сигурност в компанията си, за да предотврати кражба на данни.

Интервюто проведе Атанас Нейчев

BULPROS е иновативна IT компания, развиваща дейност в глобален мащаб, определяна като една от най-бързо развиващите се технологични компании според престижните доклади на Deloitte “Technology Fast 50 in CE” и “Technology Fast 500 in Europe, Middle East, and Africa”, както и според класациите Inc. 5000 Europe, Financial Times 1000 Europe и др.

Г-н Славов, Вие сте новият председател на Българската Аутсорсинг Асоциация. Какви са Вашите амбиции и кои от целите, поставени от предишното ръководство, ще следвате?

През последните години аутсорсинг секторът се развива и расте с двуцифрен темп, като за изминалата година представлява 3.6% от БВП. Интересът от чужди инвеститори и възможностите за бизнес нарастват, така че има всички предпоставки тази позитивна тенденция да се запази, при условие че се обърне сериозно внимание на предизвикателството с кадрите. Затова един от приоритетите ще бъде реализиране на подходяща политика за справяне с този казус. Едно възможно решение е мотивиране на квалифицираните българи в чужбина да се завърнат и да работят в родината си. За да се случи това обаче е необходимо да се обединят заинтересованите асоциации, клъстъри и браншови организации и да се предприемат конкретни сериозни мерки. Целите ни са общи, така че ще работим в посока реализиране на съвместни проекти за представяне на предимствата на България като дестинация. Друг възможен подход е привличане на чуждестранни кадри.  

България вече е разпознаваема и предпочитана аутсорсинг дестинация, но има възможност за развитие на потенциала на индустрията, като направим още няколко града по-атрактивни локации за реализиране на аутсорсинг проекти. Пример са Благоевград, Велико Търново, Бургас и Русе, които имат необходимите предпоставки и ще работим в тази посока.

Голяма част от технологичните компании в България, и в частност софтуерните компании, всъщност са част от аутсорсинг индустрията. Как развитието на тази индустрия повлиява служителите в ИТ сектора?

Аутсорсинг секторът на глобално ниво претърпява много интересни промени, в следствие на развитието на технологиите (облачните услуги, AI, Big Data и т.н.). Традиционното търсене на експерти за изпълнение на конкретни проекти се измества от нарaстващия интерес към доставяне на добавена стойност. Все повече говорим за споделени услуги, аутсорсинг на бизнес процеси, управление на човешките ресурси и т.н. Софтуерът вече е навлязъл във всички сфери, което е свързано с нарастване на интереса към услугите, свързани с информационни технологии. Тези промени се отразяват върху индустрията и заетите в IT сектора, като се повишава необходимостта от квалифицирани кадри.

Г-н Славов, Вие сте съосновател на BULPROS, една от най-успешните и бързоразвиващи се компании не само в България, но и в региона. Каква е тайната на успеха?

Да, фактите сочат, че през 2010 г. започнахме 5 човека в един офиса, а сега сме 1200 в 17 офиса в Европа и Северна Америка. Успехът се дължи най-вече на професионалистите, които работят всеки ден за него. Важна част от успеха са също така отличните партньорски взаимоотношения, основани на доверие, които сме изгради още от самото начало, с компании като Microsoft, Cisco, IBM, SAP и т.н.

Много от разработчиците на софтуер мечтаят да стартират собствен бизнес и да изградят компании от ранга на BULPROS. Кои са основните качества, необходими на тези млади предприемачи?

Важно е да действаш и да взимаш решения. Те невинаги ще бъдат най-правилните, но като сгрешиш, може бързо да се поправиш и да вървиш напред. От основно значение е непрекъснато да се развиваш, да си любопитен и да учиш. Особено в IT сферата, промените се случват с изключителна бързина, което предполага винаги да си отворен и любознателен. А ако искаш да отидеш една крачка напред и да бъдеш визионер, е необходимо не само да следиш тенденциите, но и да ги предвиждаш. И не на последно място – важно е да се занимаваш с това, което ти е интересно.

Разкажете накратко за целите и на BULPROS? Какво да очакваме в бъдеще?  

Целите са свързани с успех и растеж. През последните години не само се развивахме с бързи темпове, но и анализирахме пазарните тенденции и необходимости. Вследствие на това изградихме новото си портфолио от пазарни предложения, които отговарят на световните икономически тенденции и изисквания. Те имат за цел през следващите години да помогнат на компаниите в тяхната успешна дигитална трансформация: Индустриална дигитализация (Industry Digitalization), IT сигурност (IT Security), Решения за съвместна работа (Collaboration), Модернизация на приложенията (Application Modernization), Инфраструктурна трансформация (Infrastructure Transformation), технологични услуги (Technology Services), услуги, свързани с продажби и обслужване на клиенти. Основните индустрии, върху които се фокусира компанията, са производство, професионални услуги, телекомуникации, здравеопазване, търговия, финансови и застрахователни услуги.

В основата на постиженията на една компания е добрият екип. Как успявате да задържате качествените хора и да ги мотивирате да бъдат двигател на успеха?

Всяка задача, всеки проект и успех са свързани с правилните хора – те са най-важният капитал. Аз съм щастлив, че гръбнакът на BULPROS са хора, които повярваха в идеята в началото и се развиха заедно с компанията, за да бъде тя в момента една от най-бързо развиващите се технологични организации. Служителите ни работят в среда, която се основава на ценностите на компанията – Trust, Passion, Excellence.