Продовжуємо спецпроєкт «Велика кар’єра» та розповідаємо про спеціальності, які відкривають шлях до роботи в компанії «Великої четвірки» — EY в Україні.
Сьогодні знайомимось із професією фахівця з технологічних ризиків. Це люди, без яких бізнесу сьогодні не обійтися, адже більшість даних зараз зберігається та обробляється за допомогою інформаційних систем. І кожен підприємець хоче бути впевненим, що його інформація надійно захищена, а ризики для бізнесу зведені до мінімуму. Якими проєктами займаються фахівці з технологічних ризиків та якими знаннями та якостями потрібно володіти, щоб розпочати кар’єру в цій сфері, розповідає Дмитро Лазученков — партнер, керівник напряму консультаційних послуг з технологічних ризиків EY в Україні.
Дмитро Лазученков
Про свій кар’єрний шлях
Ще студентом я працював в одній компанії фахівцем із впровадження інформаційних систем на базі технологій Microsoft. А багато моїх друзів в той час працювали в EY у різних сервісних лініях. І в них, як і в більшості спеціалістів з компаній «Великої четвірки», був свій специфічний сленг. Тож коли ми зустрічались, я не розумів близько 70% їхніх розмов, адже був «не в темі», і жартував, що доведеться мені теж піти працювати в EY, щоб залишитися з ними друзями. Так і дожартувався, що хлопці влаштували мені співбесіду на посаду фахівця з технологічних ризиків, яку я успішно пройшов.
Попри те, що в попередній компанії я вже був заступником керівника відділу, в EY я прийшов на позицію стафа. Заробітна плата не набагато, але теж була нижчою. Однак ні тоді, ні тим більше зараз я не шкодую про цей перехід. Я пропрацював в EY вже багато років і все одно відчуваю себе дуже змотивованим, адже щодня працюю над новими завданнями та спілкуюся з новими клієнтами. Мені цікаво поринати в деталі різноманітних бізнесів та технологій, працюючи над проєктами наших клієнтів. При цьому, моя професія вимагає щоденного набуття нових знань і навичок, тож мені досі є чого прагнути в професійному плані та є куди рости.
Чим займається фахівець з технологічних ризиків
Професія фахівця з технологічних ризиків з’явилась приблизно в 80-х роках XX ст. Саме в той час компанії почали переходити від ведення записів у паперових журналах до зберігання та обробки даних за допомогою інформаційних систем. Тож виникла необхідність мати спеціалістів, які б здійснювали перевірку IT-систем на предмет налаштувань безпеки та підтверджували б, що інформації з цих систем можна довіряти.
Саме з груп таких спеціалістів, що поєднували в собі розуміння архітектури ІТ-систем та навички з інформаційної безпеки, почали формуватися окремі команди в аудиторських компаніях так званої «Великої четвірки». Згодом аудиторські компанії зрозуміли, що сфера IT активно розвивається і ці спеціалісти, завдяки своєму досвіду та унікальним навичкам, можуть, окрім залучення до аудитів фінансової звітності, також надавати й інші послуги у сферах ІТ, інформаційної безпеки та інших.
Основні напрями роботи
Ми займаємося багатьма завданнями, які тісно пов'язані та мають багато точок перетину. Умовно можна виділити шість основних напрямів:
- Інформаційна безпека. Майже не існує таких робіт в галузі інформаційної безпеки, з якими б ми не впоралися, але найкомплексніше завдання — розробка стратегії розвитку функції інформаційної безпеки підприємства. Спочатку ми оцінюємо поточний стан справ з інформаційної безпеки, а потім створюємо операційну модель, де визначаємо політики та технології, які необхідно запровадити, плануємо процеси та прогнозуємо їх ключові результати, визначаємо, яких фахівців слід залучити та в якій кількості, які їм потрібні компетенції, як оцінювати ефективність їхньої роботи тощо. Тобто ми розробляємо цільовий стан функції інформаційної безпеки підприємства на найближчі 3-5 років. Після цього формуємо портфель проєктів, які треба реалізувати для досягнення запланованих результатів, та допомагаємо втілити їх у життя.
- Управління ІТ. ІТ — це функція, яка підтримує та розвиває IT-системи підприємства. У цьому напрямі найвизначнішим видом робіт є розробка IT-стратегії, що складається з двох частин: операційної моделі (все те саме, що й у випадку з інформаційною безпекою) та IT-архітектури (визначення, яким чином інформаційні системи автоматизують бізнес-процеси організації). IT-стратегія — це важлива частина сталого розвитку компанії, адже без неї неможливо спланувати всі інші бізнес-процеси. Звичайно ж, ми часто залучаємося й до менших завдань — наприклад, допомога у виборі ІТ-систем чи оцінка зрілості IT-процесів.
- Забезпечення безперервності діяльності бізнесу. В проєктах цього напряму ми убезпечуємо наших клієнтів від подій, що зазвичай несуть величезні негативні наслідки, але мають дуже малу ймовірність статися. Такі події, на кшталт виверження вулкана, війни, епідемії, повені, можуть призвести до повної зупинки діяльності організації. Повпливати на те, чи відбудеться подія, ми не можемо, але можемо визначити, яких критичних ресурсів вона позбавить організацію та розробити стратегії їх резервування. Саме на використанні резервних ресурсів ґрунтуються плани виходу з кризових ситуацій. Крім цього, ми маємо навчити усіх відповідальних використовувати резервні ресурси та протестувати, чи справді наші плани спрацюють, і у разі необхідності внести корективи.
- Приведення у відповідність до стандартів у галузях IT та інформаційної безпеки. Йдеться про допомогу нашим клієнтам в оцінці ступеня відповідності вимогам різноманітних галузевих стандартів та розробку плану заходів з набуття такої відповідності. Це можуть бути загальні регуляції з інформаційної безпеки, такі як ISO27001, NIST CSF, чи специфічні стандарти такі як TISAX для виробників автомобілів, ETSI для центрів цифрової сертифікації, WebTrust для інтернет-провайдерів, GDPR в галузі захисту персональних даних тощо. За необхідності, ми допомагаємо впроваджувати розроблені рекомендації або здійснюємо повторну перевірку після того, як компанія самостійно усуває недоліки.
- Незалежна перевірка інформаційних систем та системи внутрішніх контролів. Дуже часто регулятори, клієнти чи провайдери послуг вимагають від своїх контрагентів наявності системи внутрішніх контролів — набору організаційних та технічних заходів, які гарантують, що діяльність організації відбувається певним безпечним чином. Наше завдання — визначити, чи ефективно спроєктовані та впроваджені такі заходи, та надати висновок і рекомендації з покращення.
- Оцінка інформаційних систем в рамках аудиту фінансової звітності. З цього напряму почалась робота фахівців з технологічних ризиків, і досі він є одним із ключових видів діяльності. Ми допомагаємо фінансовим аудиторам перевіряти дані, отримані з інформаційних систем, та підтверджувати, що вони не були несанкціоновано модифіковані. Допомагають нам у цьому тестування ІТ-контролів та оцінка налаштувань безпеки інформаційних систем.
У нашій роботі не буває двох однакових проєктів. Навіть якщо приходять клієнти з однієї сфери з однаковим запитом, процес роботи та результати все одно будуть різними.
Етапи роботи
Ми працюємо у командах, які складаються зі спеціалістів різного рівня — від стафа і до старшого менеджера. Завдання кожного фахівця залежить від його компетенцій. Звісно, є рутинна робота, є більш творчі завдання, але загалом реалізація будь-якого проєкту здійснюється в кілька етапів:
- отримання інформації від клієнта;
- опрацювання інформації;
- додатковий рісьорч (за потреби);
- розробка гіпотез;
- підготовка пропозиції;
- презентація рішення клієнтові;
- впровадження власних рішень в організації клієнта (за потреби).
Hard і soft skills фахівця з технологічних ризиків
Фахівці з технологічних ризиків — це аналітики, чия предметна область знаходиться на перетині знань із трьох галузей: IT, інформаційної безпеки та керування ризиками. Фахівець має орієнтуватися в інформаційних технологіях, знати базові речі щодо роботи комп’ютерних мереж та систем, розумітись на принципах інформаційної безпеки та управління ризиками. З хард скілів їм необхідно мати аналітичні здібності та розвинене критичне мислення, бо доводиться опрацьовувати великі масиви інформації, висувати гіпотези, прораховувати ризики, давати оцінку різним процесам.
Серед базових якостей спеціаліста з технологічних ризиків повинні бути допитливість та жага до знань. Адже галузь, з якою ми працюємо, надзвичайно динамічна, в ній щодня щось змінюється, тому треба бути готовим постійно вивчати щось нове. Також бажано щиро прагнути робити бізнес-світ кращим та полегшувати життя власним клієнтам. Адже від цього залежить мотивація до роботи.
Плюси та мінуси професії
Найбільшим плюсом особисто для мене є те, що в нашій професії не буває нудно. Кожен новий проєкт мене драйвить, під час роботи з кожним клієнтом я дізнаюсь, як влаштований той чи інший бізнес. А клієнти всі різні — від хлібзаводів і компаній зв’язку до банків і держустанов. Працюючи з кожним новим проєктом, здається, що працюєш на абсолютно іншій роботі, адже щоразу потрібні нові знання, компетенції та навички. Тому наша робота — це безперервний професійний розвиток. Мені завжди було цікаво докопуватись до сутності речей, і моя професія дає мені такі нагоди. Я не уявляю жодної іншої індустрії, в якій міг би пропрацювати 15 років, не втративши інтересу.
Професія фахівця з технологічних ризиків — ідеальний варіант для тих, хто не любить рутини й кого мотивують щоденні виклики.
Перевагою EY є те, що наші клієнти — це лідери ринку, як українського, так і глобального. Працюючи з ними, можна швидко розвинути багато компетенцій та набратися унікального досвіду. Також протягом кількох останніх років нам вдалось налагодити ефективну дистанційну роботу. Раніше ніхто не міг навіть уявити, що можна проводити аудит чи консалтинг, не відвідавши компанію. А зараз ми робимо це без проблем.
До мінусів можна віднести те, що робота проєктна, і кожен проєкт має свій чіткий дедлайн. Якщо з якихось причин команда в нього не вкладається, доводиться здійснювати «трудовий подвиг», тобто працювати і вночі, і на вихідних, і на свята. Таке рідко, але буває. Крім цього, присутня певна сезонність, наприклад, у період аудитів фінансової звітності роботи зазвичай більше, ніж в інший час.
Кар’єрні перспективи
Як і всі інші спеціалісти в EY, фахівці з технологічних ризиків можуть пройти всі щаблі кар’єрної драбини від інтерна до партнера:
Intern (3-9 місяців) — Staff (1-2 роки) — Advanced Staff (1-2 роки) — Senior (3-4 роки) — Manager (3-4 роки) — Senior Manager (3-4 роки) — Partner.
Як стати фахівцем з технологічних ризиків
Жоден університет не готує фахівців конкретно з цієї спеціальності, тому ми рідко наймаємо спеціалістів на позиції вище стафа. Найлегше опанувати професію фахівця з технологічних ризиків буде людям, які навчались на інженерних факультетах або на спеціальностях, пов’язаних з IT та інформаційною безпекою, наприклад, на факультеті інформаційної безпеки НАУ та Фізико-Технічного Інституту у НТУУ «КПІ» імені Ігоря Сікорського. Також до нас приходить багато випускників з факультетів, де приділяють велику увагу розвитку аналітичного апарату, таких як факультет економічної кібернетики у КНУ імені Тараса Шевченка, Інститут прикладного системного аналізу НТУУ «КПІ» імені Ігоря Сікорського.
Однак можна приходити з будь-якою освітою. Головне — бажання професійно розвиватися та готовність вчитися й опановувати нові навички.
Ми з колегами започаткували навчальну програму EY Cyber Consulting Bootcamp, яку проводимо щоосені. Взагалі bootcamp — це формат таборів з підготовки морських піхотинців у США. Тобто це дуже інтенсивне навчання з великою кількістю практики. Саме такими є й наші буткемпи для фахівців з технологічних ризиків. Вони тривають вісім тижнів, протягом яких студенти спочатку слухають теоретичні лекції від консультантів з EY, а потім розв’язують практичні кейси. Ці кейси охоплюють всі напрями нашої роботи, тому учасники отримують повне уявлення про те, чим ми займаємось щодня. Після закінчення навчання всі студенти отримують сертифікати, а найкращих ми запрошуємо на співбесіду та пропонуємо позицію інтернів у компанії.
Про суть роботи фахівця з технологічних ризиків 🙂
Поради для тих, хто хоче розпочати кар’єру фахівця з технологічних ризиків в EY
- Майте цікавість і жагу до знань. Прагніть постійно вивчати щось нове, дізнаватися більше про вашу спеціальність та загалом про те, як влаштований світ.
- Розвивайте широкий кругозір в технологіях. IT — це індустрія, що розвивається найшвидше. Цікавтесь технологіями, відстежуйте новітні тенденції, дізнавайтеся, чим діляться експерти сфери.
- Тренуйте логіку та аналітичне мислення. Шукайте нестандартні рішення до різних життєвих ситуацій, вчіться розкладати проблеми на складові та визначати алгоритм їх вирішення, вчіться структурувати інформацію.
Бонус: професія очима штучного інтелекту
Якщо потрібно ще простіше описати, чим саме займається фахівець з технологічних ризиків, ось як ChatGPT пояснює професію дитині:
