top of page
Keresés

Miért nem leszel jobb szakember attól, hogy még egy kurzust veszel?

  • 6 órával ezelőtt
  • 5 perc olvasás

A tudás és a képesség közötti szakadékról, őszintén



A Udemy folyamatosan leáraz, a LinkedIn Learning emlékeztet, hogy három hónapja nem nyitottad meg, és az inbox tele van "Certified in 5 days" ajánlatokkal. Veszel három kurzust, és jól érzed magad.

Aztán három év múlva meglátod, hogy ki se nyitottad egyiket sem.

Ismerős? A CyberCamp podcast első epizódjában erről beszélgettünk – arról, hogy a GRC és információbiztonsági szakmában miért nem konvertálódik a tanulás értékké, és mi az, ami valójában hiányzik a legtöbb szakember fejlődéséből.

Ez a cikk a beszélgetés végén veszi fel a fonalat.


A szerszámosláda megtelt. És most...?

A GRC szakmában senki nem szenved tudáshiányban. Szabványokkal, keretrendszerekkel, módszertanokkal tele van a padlás – ISO 27001, NIST, COBIT, NIS2, DORA, és sorolhatnánk. Aki néhány éve benne van a szakmában, az már látott, olvasott, esetleg be is vezetett is belőlük többet.

A probléma nem az, hogy nincs elég szerszám a ládában. A probléma az, hogy mikor melyiket kell elővenni.

Más szóval: a szabványismeret egy eszköz. De az, hogy egy konkrét szituációban – ahol a menedzsment nem kooperál, az IT ellenáll, a költségvetés szűk, és az audit három hónap múlva jön – te mit csinálsz először, az egy teljesen más kompetencia.

Ez a döntési képesség. És ezt egyetlen "kurzus" sem tanítja meg.


A papírgyár illúziója

Van egy kényelmes narratíva a szakmában: ha van elég dokumentum, van biztonság. Hatvannyolc oldalnyi szabályzat, tizennyolcszor legyártva, és akkor minden rendben.

Nem.

A dokumentum önmagában nulla értékű, ha nincs mögötte működő folyamat. Aki ezt csinálta már éles környezetben, az tudja. Aki még nem, az általában meg van győződve róla, hogy a policy megírása egyenlő a probléma megoldásával.

A podcastban ezt úgy fogalmaztuk meg: a cél az, hogy a papírgyárat ugorjuk meg minél hamarabb úgy, hogy valid legyen, és utána kezdjünk bele az érdemi szakmai munkába. Ami azt jelenti: hol van a cégnek az értéke, mit kell ténylegesen védeni, és azok, akiknél a pénz van, értik-e, hogy egy ransomware támadás hatvanmillió forintjába is kerülhet a szervezetnek?


Miért "ragadnak be" a jó szakemberek?

A GRC szakmában rengeteg az okos, képzett ember, akire mégsem bíznak döntést. Ez nem véletlen, és nem is igazságtalanság – van mögötte egy minta.

Sok szakember a tudásgyűjtés fázisában ragad. Újabb certifikáció, újabb szabvány, újabb módszertan. Ez biztonságos, mérhető, és jól néz ki a LinkedIn profilban. De ez nem ugyanaz, mint értéket teremteni egy szervezetben.

Az értékteremtés ott kezdődik, ahol a tudást kontextusba helyezed. Ahol nem azt mondod, hogy "az ISO 27001 A.8.1 szerint asset inventoryt kell készíteni", hanem azt, hogy "a ti környezetetekben most az admin jogosultságok felülvizsgálata a legkritikusabb, mert ha holnap jön a ransomware, ez a legnagyobb kitettségetek, és ezt két nap alatt meg tudjuk csinálni."

Az első mondat tudás. A második mondat képesség. A kettő között van az a szakadék, amin a legtöbb szakember nem jut át.


A hibázás az egyetlen tanulási mód

Ez kemény kijelentés, de a podcastban mindketten egyetértettünk benne: a hibázás nem az egyik legjobb módja a tanulásnak. Hanem az egyetlen.

A probléma az, hogy a legtöbb munkakörnyezetben a hibázás feltételei nem adottak. Vagy annyira éles a környezet, hogy az ember leblokkol és nem mer hibázni, mert fél a következményektől. Vagy pont fordítva: nem bíznak rá olyan feladatokat, amikből tanulhatna, mert "nincs elég tapasztalata". Excelt másol, Control-C, Control-V, és abból soha nem tanul semmit.

Volt egy anekdota a beszélgetésben: a nagyvállalati friss menedzser, aki elrontott valamit, és az utána következő tanulság többet ért, mint bármilyen MBA program. Az a fajta zsigeri tapasztalat, amikor a saját döntésed következményeivel szembesülsz, az beég. Az nem felejtődik el, mint egy slide deck.


A "majd a képzés megoldja" csapda

Sokan úgy tekintenek egy-egy képzésre, mint egy kulcsra: elvégzem, és utána kinyílik valami. Jobb pozíció, magasabb fizetés, több felelősség.

Ez ritkán működik így.

Nem azért, mert a képzések rosszak. Hanem mert a legtöbb képzés tudást ad – és a tudás szükséges, de nem elégséges feltétele annak, hogy a karriered előre mozduljon.

Amit a podcastban mondtunk: ha gyors megoldást keresel, akkor ez nem neked szól. Mert a gyors megoldás nem létezik ebben a szakmában. Ami létezik, az a tudatos, rendszeres, saját tapasztalatra épülő fejlődés, amihez kell eszköztár – de kell mellé önismeret, kontextusértés és az a képesség, hogy döntéseket hozz bizonytalan helyzetekben.

Gondolj bele: az utolsó három szakmai döntésed közül hányat hoztál meg úgy, hogy volt rá szabvány? És hányat hoztál meg úgy, hogy érezted, mi a helyes irány, de nem volt alatta módszertani háló?

Ha az utóbbi a gyakoribb, az nem baj. Az azt jelenti, hogy szakmai intuíciód van. De azt is jelenti, hogy ezt fejleszteni kell – és nem újabb slide deckekkel.


A podcastban szóba került egy zombijáték projekt is. Valaki, akinek semmi köze nem volt a játékfejlesztéshez, belecsapott egy Kickstarter kampányba, ráköltötte a pénzét, másfél évig küzdött vele, és nem lett belőle semmi.

De megtanulta, hogyan kell csapatot építeni, kompetenciát felmérni, pitchet összerakni. A csapattársai pedig – akik ugyanilyen szenvedéllyel csinálták – pont ettől a szenvedélytől kaptak állást a Siemensnél meg más nagyvállalatoknál. Nem a projekt sikere számított, hanem az, hogy látszott rajtuk: érdekel, amit csinálnak, és képesek beletenni magukat.

Ez nem interjútechnika. Ez hozzáállás. És ez a GRC szakmában is pontosan így működik.

Ha odamész egy állásinterjúra, és az jön le rólad, hogy a compliance dokumentáció téged igazából halálra untat, de jó a fizetés – az látszik. Ha viszont az jön le, hogy van egy saját projekted, egy kutatási területed, valami, amit azért csinálsz, mert tényleg érdekel – az is látszik. És ez utóbbit veszik meg.

Az ellenpéldát is elmesélte "valaki" a podcastban: tapasztalt szakember megy compliance vezetői interjúra, és véletlenül kiszalad a száján, hogy a sok dokumentációval már tele van a hócipője. Compliance állásnál. Ez a kilencven százalékban jó interjút is el tudja rontani.


Mit jelent ez a te karrieredre nézve?

Ha most GRC-ben dolgozol, vagy erre készülsz, az alábbi kérdéseket érdemes feltennod magadnak – nem azért, mert van rájuk jó válasz, hanem mert a gondolkodás rajtuk önmagában értékes:

Milyen döntést nem mersz most meghozni, és miért? Ha erre nincs válaszod, bármilyen képzés kevés lesz – ezt a podcastban szó szerint így fogalmaztuk meg.

A legutóbbi szakmai szituációban, ahol bizonytalan voltál, mi alapján döntöttél? Szabvány, megérzés, kolléga tanácsa, vagy halasztás?

Az elmúlt egy évben a tanulásaid közül mi az, amit ténylegesen alkalmaztál? Ha tízből kettőt, az már jó arány. De ha tízből nullát, akkor nem tanulási, hanem alkalmazási problémád van.

Van-e olyan terület a szakmában, ami tényleg érdekel – nem csak jól fizet vagy jól néz ki a CV-ben?


A GRC karrier nem olyan, mint egy skill tree egy videójátékban, ahol szépen egymás után nyitod ki a szinteket. Nem lineáris. Vannak benne zsákutcák, visszalépések, váratlan áttörések és hosszú platók, ahol úgy érzed, nem haladsz.

Ez normális. A szakmai fejlődés sosem az, amit a LinkedIn posztok sugallnak, a valóság az, hogy mindenki küzd, mindenki hibázik, és mindenki más módon találja meg a saját működését.

A podcastban ezt úgy mondtuk: ezt mindenkinek saját magának kell kiásni. Én elmagyarázhatom, hogyan kell kockázatelemzést csinálni, meg egy policyba mit kell beleírni. Azzal nem leszel beljebb.

Amitől beljebb leszel, az a tapasztalat – lehetőleg olyan környezetben, ahol hibázhatsz, ahol valós problémákat oldhatsz meg, és ahol van valaki, aki nem a kezedet fogja, hanem a jó kérdéseket teszi fel.


Ez a cikk a CyberCamp podcast epizódja folytatásaként készült. A podcast elérhető a YouTube mellett fő podcast platformokon is.



👇👇👇 KÖVESS MINKET! 👇👇👇

 
 
bottom of page