Боряна Кулинска е професионалист с над 10 години опит в областта на информационната сигурност и риск мениджмънт с доказан опит във финтех индустрията. В момента заема позицията Head of Information Security Governance, Risk and Compliance в myPOS.
Извън ежедневната си професионална роля, Боряна е активен член на ISACA Sofia Chapter, където е част от Управителния съвет. Тя вярва в постоянното учене и усъвършенстване и притежава множество престижни сертификации, включително CISSP, CISM, CCISO, CBSP и CIPM (IAPP).
Тя е ментор в менторската програма на ISACA и Women4Cyber, където помага на млади специалисти да развиват своите умения и да се утвърждават в сферата на киберсигурността.
- Какви бяха първите ти стъпки – образование, курсове, първа работа? Какво би посъветвала някой, който е на същото място днес?
Честно казано, на 19 години рядко някой знае със сигурност какво иска да прави с живота си и това е напълно нормално. Най-важното е никога да не се страхуваш да пробваш нещо ново. Ако положиш нужните усилия, всичко е възможно.
Започнах с бакалавър по финанси – доста далеч от киберсигурността, Но по-късно осъзнах какво ми е интересно и записах магистратура по информационна сигурност. Вярвам силно в непрекъснатото учене, затова и до днес редовно се записавам в курсове, сертификации и уъркшопи (ако ме следвате в LinkedIn, сигурно сте забелязали 😅)
Първият ми сертификат в сферата беше CompTIA Security+, който беше добра основа. Първата ми работа беше във фабрика за паркет като офис асистент! Оттогава знам всичко за качествения паркет и как се реди тип шеврон. Но като професионалист ме изгради първата ми позиция в София в startup платформа за peer-to-peer bitcoin lending. Малък екип от под 10 човека, което беше страхотна среда за учене. Именно там открих колко ми е интересна темата за fraud prevention и investigation, което естествено ме насочи към роли, свързани с risk management и борба с измами. С времето тази работа и натрупаният опит прераснаха в интерес и преминаване към информационна сигурност и риск мениджмънт.
Моят съвет към хората, които тепърва започват:
- Изберете нещо, което наистина ви е интересно, но не се страхувайте да пробвате и неочаквани посоки
- Давайте повече от себе си – усилията се забелязват и възвръщаемостта винаги идва.
- Инвестирайте в себе си: в знания, умения и среда. Това е инвестиция, която никога не се обезценява.
- Ако имате възможност, работата в startup ще ви даде възможност да опитате от всичко, така най-добре ще разберете какво ви привлича, а какво – не. В големите компании просто се оглеждайте – има какво да научите от всеки екип. Бъдете любопитни.
- Кой е проектът или случаят, с който се гордееш най-много и който е имал реално положително въздействие?
Истината е, че най-голямата ми лична гордост са хората, на които съм била ментор или съм успяла да помогна по някакъв начин. Да си дори малка част от нечий успех или да си оставил някаква положителна следа в професионалния им път – това няма как да се сравни с нито един сертификат или проект. Но сега сериозно, ако говорим за конкретен проект – гордея се изключително много с внедряването и сертифицирането по ISO 27001 в Weavr. Успях да го направя за под 6 месеца, без външни консултанти, и то с цялостно изграждане на политики, процеси и внедряване на нови системи. Още по-специалното е, че това се случи в първите ми 6 месеца след започване в компанията. Беше много интензивно, но и изключително ценно и с реален бизнес ефект. Това нямаше да бъде възможно без свободата и подкрепата, която получих от моя мениджър Adrian Mizzi, CTO @ Weavr.
- Смяташ ли, че жените носят различна перспектива или умения в киберсигурността? Какви са нашите „суперсили“ в тази сфера? Лично аз не вярвам, че полът сам по себе си е определящ за качествата или уменията на един професионалист. Киберсигурността изисква аналитично мислене, критична преценка, комуникация, устойчивост и постоянство – качества, които не зависят от пола, а от личността, опита и мотивацията. Ако положим достатъчно усилия, всеки човек, независимо дали е мъж или жена, може да бъде изключително добър в тази сфера. Разбира се, разнообразието в екипите е важно и носи реална стойност: различни гледни точки, подходи и начини на мислене често водят до по-балансирани и ефективни решения.
- Коя е най-вълнуващата или най-предизвикателната част от работата ти?
За мен най-вълнуващото в работата е разнообразието – няма еднакви дни, всичко се променя, а с това и начинът, по който мислим и действаме. Никога не съм харесвала рутината. Харесва ми, когато има казус, който ме кара да мисля, да разследвам, да се адаптирам. В киберсигурността често се налага да взимаме бързи решения, понякога под напрежение, които имат реални последствия за организацията. Обичам, когато мога да оптимизирам процес, да подобря нещо, да направя нещата по-ефективни.
Разбира се, има и предизвикателства, но точно това придава смисъл на работата ми.
Често се връщам към една любима притча, която използвам като вътрешен компас:
There was a farmer who lost his horse. And neighbors came over to say, „Oh, that’s too bad.“ And the farmer said, „Good or bad, hard to say.“ Days later, the horse returns and brings with it seven wild horses. And neighbors come over to say, „Oh, that’s so good!“ And the farmer just shrugs and says, „Good or bad, hard to say.“ The next day, the farmer’s son rides one of the wild horses, is thrown off and breaks his leg. And the neighbors say, „Oh, that’s terrible luck.“ And the farmer says, „Good or bad, hard to say.“ Eventually, officers come knocking on people’s doors, looking for men to draft for an army, and they see the farmer’s son and his leg and they pass him by.And neighbors say, „Ooh, that’s great luck!“ And the farmer says, „Good or bad, hard to say.”
В работата (а и в живота) често се сблъскваме със ситуации, които в момента изглеждат като „страхотни“ или „ужасни“, но с времето осъзнаваме, че всичко е част от пътя. И всеки момент има своя смисъл.
5.Кой е най-ценният урок, който си научила не от успех, а от грешка, допусната в работата?
Грешките не са страшни, стига след тях да има анализ, действие и подобрение. За това често правя паралел с incident management – никой не очаква да няма проблеми, но от ключово значение е как се подготвяш за тях и какво правиш след това.
Ретроспекциите са задължителни, било то лични или в екип. Ако не си направиш труда да разбереш защо се е случило нещо и какво можеш да подобриш, пропускаш истинската стойност на грешката. А грешките често са най-добрите учители – стига да си готов да ги слушаш.
Някои от най-важните ми уроци са:
- Планирай добре, дори за привидно „очевидни“ неща;
- Don’t assume – винаги проверявай, дори когато нещо изглежда сигурно;
- И най-важното – помисли предварително какво може да се обърка, за да си готов и да реагираш спокойно.
Don’t assume. Validate. Plan.
6.Когато затвориш лаптопа, с какво обичаш да се занимаваш? Имаш ли страст или хоби, за което малко хора знаят?
Честно казано, когато затворя лаптопа, обикновено хващам телефона – не е най-здравословното, но е истина.
Иначе обожавам да пътувам, а дори самото планиране на пътувания ми носи удоволствие – да търся маршрути, интересни места, хубави хотели и ресторанти. Обичам да тествам нови неща – дали ще е ново място, ново изживяване или просто нещо, което не съм правила досега. Разбира се, и женските глезотии са част от това: разкрасителни процедури, масажи, време за себе си. Има и моменти, в които съвсем спонтанно решавам, че ми се иска да се запиша на някой курс или да взема нов сертификат – така, между другото.
- Кои са трите най-важни умения (технически или „меки“), които са нужни за успех в тази сфера днес?
Винаги съветвам хората, на които съм била ментор: направете си проучване. Разглеждайте обяви за работа, обърнете внимание на споменатите технологии, следете профили на професионалисти, които са в ролите, към които се стремите, използвайте ги като референция и вдъхновение, а не като точен път, който трябва да следвате..
Киберсигурността е динамична и изисква непрекъснато развитие. Според мен три от най-важните умения днес са:
- Адаптивност
Светът се променя бързо – нови технологии, заплахи, регулации. Успешният специалист умее да се ориентира в новото, да реагира бързо и да излиза от рамката, когато се налага.
- Aналитично мислене
Да мислиш критично, да не приемаш всичко наготово, да можеш да откриваш проблеми
- Resourcefulness
Не е нужно да знаеш всичко. Важно е да знаеш как да намираш, проверяваш и използваш информацията. А днес това включва и да можеш да се възползваш от AI за търсене, за автоматизация, за анализ, за документиране.
Най-ценното? Да не чакаш някой да ти даде отговорите, а да знаеш как да ги откриеш и да ги приложиш умно.
8.Коя е най-често срещаната техническа грешка или пропуск в сигурността, който виждаш дори в големи и добре подготвени организации?
Не бих коментирала компании, в които съм работила, но ако се опрем на публични инциденти и анализи, най-често срещаният пропуск остава cloud misconfiguration – неправилни IAM роли, публично достъпни ресурси, overly permissive access. Друг класически пропуск е липсата на MFA, особено за администраторски акаунти. И не на последно място – липсата на видимост. Много екипи нямат пълен инвентар на системите си, а когато не знаеш какво имаш, трудно можеш да го защитиш.
9.Смяташ ли, че обществото все още гледа по-различно на женската амбиция в сравнение с мъжката?
Да, има го и всяка жена, която е била достатъчно амбициозна, се е сблъсквала с това. Не вярвам, че решението е да се съобразяваме с очакванията или да се „поберем“ в някакъв шаблон. Не трябва да сме комформисти. Challenge the status quo. Аз вярвам, че промяната идва малко по малко, когато всяка жена направи своята крачка. Нищо лошо няма в това да бъдеш подценен, ако това означава да трябва да се доказваме малко повече – нека.
10.Какъв е най-важният съвет, който би дала на млада жена или момиче, което сега обмисля кариера в киберсигурността?
Бъди смела, любопитна и последователна. Не се страхувай от непознатото, от грешките или от това да започнеш отначало. Никой не започва с всички отговори – успехът идва с желание за учене. Използвай трудностите и препятствията като възможности за развитие. Търси примери, които да те вдъхновят. Постави си цели и направи план. Speak up and put yourself forward. Киберсигурността има нужда от повече жени – с различни гледни точки, умения и подход!
Интервюто е взето от Силвия Сергиева – млада посланичка по програмата Youth Ambassador Programme на Women4Cyber Foundation. Програмата е насочена към млади хора на възраст между 18 и 26 години, които искат да вдъхновяват следващото поколение жени в сферата на киберсигурността.