С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Регистрация

Професия: Data Protection Officer (DPO)

За професията разказва Борислав Сестримски, един от първите DPO у нас, а понастоящем експерт по киберсигурността в компанията Amatas
Share Tweet Share
Снимка

 Фотограф: Цветелина Белутова

Според влезлия в сила на 25 май тази година Регламент за защита на личните данни (GDPR) всяка публична организация, фирма или институция, която работи с особено големи масиви от лични данни, е длъжна да назначи служител по защита на личните данни, или т.нар. DPO (Data Protection Officer). Въпросното лице отговаря както за съответствието на вътрешните писани и фактически правила с предписанията на регламента, така и за комуникацията със субектите на данни, Комисията за защита на личните данни и други органи, които имат по една или друга законова линия правомощия в областта на обработването на данни.

Длъжността е съвсем нова, за нея все още няма стандартизирани правила и в момента DPO-то в дадена компания обикновено е служител от отдела за вътрешен одит или IT дирекцията, който съвместява няколко функции. Но технологиите променят бизнеса по такъв начин, че в близко бъдеще длъжността DPO ще бъде също толкова важна за една организация, колкото е главният счетоводител или главният юрисконсулт.

Можем да кажем, че DPO е от професиите на бъдещето - пресечната точка на две до момента отделни направления в науката като информационните технологии и правото.

Повече за професията разказва
Борислав Сестримски, експерт по киберсигурност в Amatas и DPO специалист
Кариерата на Борислав Сестримски започва на позиция системен администратор, а впоследствие се занимава с киберсигурност в банка и работи като IT проджект мениджър. В момента е експерт по киберсигурността в компанията Amatas и един от първите DPO специалисти в България още преди влизането в сила на Регламента за защита на личните данни, популярен с абревиатурата GDPR.

Моята професия
Data Protection Officer (DPO) е нова длъжност, която свързва киберпространството с юридическия свят. Мостът между тях е необходим, за да се опазят нашите права, личните ни данни и нашата конфиденциалност. Тази длъжност е много важна за компании, които работят изключително с лични данни, макар да ми е трудно да посоча компания, която да не попада под изискванията на регламента.

Докато много от процесите в компютърния свят се автоматизират - вече има програми, които могат да компилират програмен код например, професията DPO и тази на киберексперта много трудно може да се автоматизира. Ролята на човешкия фактор е изключително голяма. Това е нещо, което според много от нашите колеги няма да изчезне в бъдеще, а, както знаете, много от професиите ще изчезнат. Вземете счетоводителя например - вече има много програми, които правят онлайн счетоводство, всичко се изчислява автоматично и, колкото и грубо да звучи, счетоводството най-вероятно ще изчезне след време. Докато DPO и киберекспертът няма да изчезнат, защото винаги ще има хора, които ще постъпят глупаво или ще допуснат грешка, и такива като нас, които да ги защитават. Това няма как да го автоматизираш.

Моето образование
DPO преплита две специфични направления в науката - едното е свързано изцяло с киберсвета: информационни технологии, инженеринг на електронни устройства; познаване не само на софтуера, но и на хардуера, на роботи, дронове и други елементи, които все по- често ще имат вмешателство в нашия живот. Пример: "Алекса" беше създадена като изкуствен интелект, софтуер, но не след дълго "Амазон" пусна устройство, хардуер, който поставяме в домовете си. И оттук се пораждат въпроси с морални измерения: "Алекса" 24 часа в денонощието ли ни записва, къде отива тази информация, как се обработва, кой има достъп до нея и т.н. Всички тези въпроси имат юридически аспекти, но за да знаеш какво е движението на информацията във виртуална среда, трябва да имаш подходящите знания: да знаеш какво е микрофон, как той модулира звука, как го записва, къде го записва, кой го анализира, какви скриптове се използват. Когато изпаднеш в юридически спор, твоите аргументи стават чисто технически. Това е разликата между юрисконсулта и DPO.

Факт е, че до момента не е имало нужда от специално образование за DPO. Имаме юридическо образование в правните факултети, имаме компютърно образование. Но тази нова длъжност създаде една специфична нужда и университетите трябва да се преориентират в много кратко време. Най-добре е там, където се четат компютърни науки, да се въведат курсове по юридическо образование, свързано с киберзащитата.

В България, а и не само, трудно се намират DPO, защото повече от хората, които се занимават с IT, намират юридическата страна на професията за трудна и натоварваща. От друга страна, тези, които имат перфектното юридическо образование, трудно могат да навлязат в дълбочина в IT. Може би ще измине по-дълъг период, докато се получи някаква симбиоза.

Пътят дотук
Аз не съм учил специално, за да стана експерт по защита на данните. Това беше естествен процес. Ние преживяхме това, което нашите деца и бъдещи студенти ще изучават като история. В момента моят опит и моят профил покриват изискванията за тази длъжност.

Дълги години бях системен администратор - над 20. След което специализирах в банковия сектор. Започнах като системен администратор, отивайки в дирекция "Банкова сигурност" започнах да се занимавам изцяло с киберсигурността на банката, след което станах IT проджект мениджър и завърших като DPO. Истината е, че най-добрият DPO може да бъде отгледан в организацията, не нает. Oпитът с бизнес процесите и събирането на информация, работата от години в една организация прави перфектния DPO.

Моите задачи и отговорности
DPO взима решения за бъдещето на информационните технологии в структурата на организацията, не само за тяхната защита. Tой трябва да има план за действие за години напред. Неговата роля е пряко свързана със скоростта на реакция при инцидент. DPO не може да си позволи да се учи от грешките си днес. DPO не се занимава с това дали организацията има силни пароли, а от движението на информацията: от създаването на един документ в електронната среда, разпечатването му на хартия, съхранението му, унищожаването на хартиения носител, криптирането на електронния документ – DPO отговаря за целия поток на информацията от-до.

Той е медиатор между всички участници в процеса за събиране съхранение и използване на персонална информация. През неговите ръце минават всички правила в компанията, които трябва да се изпълняват, за да са чисти тези процеси. Чете сухи документи и съставя такива.

Снимка

 Фотограф: Цветелина Белутова



Нужните имения и опит
DPO трябва да е специалист по мрежи и информационни системи, трябва да ги познава изоснови. Трябва да може да се изразява, да пише добре, да съставя голямо количество документи. Има много добри програмисти или много добри мрежари, но ако ги накараш да опишат даден процес, най-вероятно няма да могат. Едно е да можеш да пишеш, друго е да съставиш документ с начало, изложение, заключение, с референции. Това се учи по-сериозно в университета с един куп дисциплини, които не са IT.

DPO e човек, който разбира от мениджмънт, на "ти" е с програми за планиране и с изпълнение на проекти. Трябва да е поживял човек, да е поработил в компании, да е бил в бранша, тъй като DPO в банка е различен от DPO в електронен магазин. Истинският професионалист много добре познава сектора и има сериозни IT познания.

DPO трябва да познава не само технологиите и как те работят, а и какви са съвременните тенденции и пазара на предлаганите технологии. Aко трябва да съхранява информация в облака и да използва криптирана част, за нея той може да използва различни софтуери. Всеки от тях може да му върши работа, но той трябва да избере най-перспективния, най-подходящия за компанията, да съгласува това с IT отдела - доколко е възможно, колко би струвалa тази интеграция, да го представи на мениджмънта и т.н. Това лице в юридически аспект носи много отговорности и негова задача е да казва на мениджмънта всичко право в очите. В повечето случаи той ще констатира и ще им казва неизгодни неща, свързани с разходи.

Моите предизвикателства
Предизвикателството в тази работа е като това да сглобиш лего - да постигнеш най-добър резултат с инструменти, предоставени от другите. Защото DPO работи със заварено положение, не започва от нулата. Тази структура, обезпечаваща движението на информацията в една компания, зависи от DPO и трябва да издържи всички натоварвания на външния свят. Негов е изборът за общото минимално ниво на сигурност и той трябва да знае винаги кои са най-слабите страни и да търси решения за тях. DPO е очите, ушите и ръцете на мениджърите в една компания по отношение на обработката на информация.

Моето удовлетворение
Да се справиш с описаните предизвикателства е и най-голямото удовлетворение от работата.

Заплатата
Трудно може да се коментира стартово заплащане на DPO, но в зависимост от големината на организацията може да започва от 5 хил. лв. нагоре. Това е позиция, която е много добре платена. DPO може да е повече от 1 човек, може да е цял екип или цяла дирекция.

Моите източници на информация
Почти всеки ден отделям по два часа за самообучение. Смятам, че в моя бранш се работи с опита от последните 6 до 8 месеца, всичко назад е една добра история, която ти помага.

Моите планове за развитие
Сега съм cyber security architect в Amatas - длъжност, която е свързана повече с консултация на компании по изграждане на киберинфраструктура, security assessment, penetration testing, user acceptance testing, cyber security operation centers (SOC) development и др. Водя и обучения, но те не са водещи в моята професия.
Търсени умения
- любопитство
- адекватна реакция
- гъвкавост
- технически познания и умения
- работа с документи

*Статията е част от специалното издание на "Кариери" - "Моята кариера (септември 2018): Новите професии".


HR and Leadership Forum: Management 4.0

24 октомври 2018 г.

Повече подробности на capital.bg/hrforum

HR and Leadership Forum: Management 4.0



Акценти в програмата:

  • Как да привлечем точните таланти с помощта на креативни подходи, нови технологии и изкуствен интелект?
  • Как да развиваме хората в екипа си “в крак” с новите тенденции и подходи в сферата на обученията?
  • Кои са факторите, които правят хората щастливи на работното им място и какво и как да направим, за да ги осигурим?
  • Какво прави лидерите лидери?
  • Как да развием култура на иновативност и предприемачество и кои от новите стартъп модели (не) работят?

capital.bg/hrforum

 
Share Tweet Share
още от тази рубрика:

Реклама

Реклама

© 2003-2018 Икономедиа АД съгласно Общи условия за ползване ново. Политика за бисквитките ново. Декларация за поверителност ново.
Поставянето на връзки към материали в сайтовете на Икономедиа е свободно. Уеб разработка и дизайн на Икономедиа. Сайтът използва графични елементи от famfamfam + DryIcons. Някои снимки © 2018 Associated Press и Reuters. Всички права запазени.
Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов.
mobile Към мобилната версия на сайта

Бизнес: КапиталКариериБизнесРегалГрадът.bgОдитFoton.bg

Новини: ДневникЕвропа

IT: IDG.BGComputerworldPC WorldCIONetworkworld

Развлечение: БакхусLIGHT

На английски: KQuarterly