Главная » Хабрахабр » От джуниора до директора: байки одного безопасника

От джуниора до директора: байки одного безопасника

На старте карьеры кажется, что более успешные коллеги далеко пошли, потому что с самого начала знали, в каком направлении нужно прикладывать усилия. Но со временем появляется понимание, что «тайного знания» о некой «выигрышной последовательности действий» нет и быть не может. Однако вполне можно сформулировать общие принципы развития, которые помогут добиться успеха в своей области, если, конечно, прикладывать к этому достаточный объем усилий. Об этом и поговорим под катом.

Среди моих основных задач на данный момент — планирование стратегии и развитие культуры информационной безопасности в организации.
Меня зовут Дмитрий Гадарь, я работаю руководителем департамента информационной безопасности Tinkoff.ru. До этого работал инженером в системных интеграторах и криптоаналитиком в компании ЛАНКрипто. Руковожу командой, включающей четыре управления, которые обеспечивают противодействие внутреннему мошенничеству, реагирование на инциденты, инфраструктуру информационной безопасности и compliance, а также application security. За время своей карьеры я прошел все уровни корпоративной иерархии, начав с самого первого — студента, работавшего в буквальном смысле за еду. Получив опыт в разработке и внедрении систем, перешел в банки — Raiffeisen, Barclays, General Electric, ФК Открытие.

Расценивайте это как пятничное чтиво, хотя я постараюсь дать ряд советов, где это будет уместно. Поскольку на Хабре любят истории, я решил поделиться своей с той целью, чтобы сегодняшние студенты могли взглянуть на чужой опыт и набить поменьше шишек на своем карьерном пути.

Все начинается с образования

Стек технологий, используемых в информационной безопасности, да и спектр потенциальных угроз постоянно меняется. Быстрая смена ландшафта обесценивает навыки в области конкретных инструментов, но есть фундаментальные знания и умения, которые сегодня востребованы точно так же, как и 10 лет назад. Именно они помогают развиваться.

Выбирают в соответствии с любимым предметом. На этапе выбора вуза немногие задумываются о ликвидности знаний в какой-то отдаленной перспективе. Но я выбрал наиболее сильный университет из тех, куда поступил, — попал в МИФИ на кафедру криптографии — по сути математики в чистом виде. Так же сделал и я. Только потом все это переросло в программирование и смежные области.

Я сейчас вряд ли вспомню дословно некоторые определения, да и теорему Коши для теории групп не докажу, не прочитав ее ни разу. На мой взгляд, важнейший элемент, который дает вуз, — структура в голове, адаптированная для освоения и фильтрации больших потоков информации. Любая верхнеуровневая задача у меня в голове раскладывается на маленькие кубики, и я сразу вижу ее практическую реализацию до деталей. Но структурой, которую заложил Университет, я пользуюсь постоянно. Это позволяет довольно глубоко погружаться в каждую из встречающихся задач.

В целом — на время обучения не стоит искать легких путей, а стараться получить максимум пользы от обучения. Лучший совет, который можно дать сегодняшним абитуриентам — постараться найти учебное заведение, которое будет по силам, но потребует максимальных трудозатрат, чтобы с самого начала заложить необходимый базис. При этом базовыми предметами для изучения, на мой взгляд, являются математика (и производные в виде алгебры, криптографии и пр.) и программирование на низкоуровневых языках — они позволяют осваивать и структурировать бОльшие объемы полезной информации, эффективно ей оперировать, отделять главное от второстепенного.

При этом стоит внимательно отнестись к выбору работодателя и заранее обсудить, что конкретно предлагается делать на работе (чтобы стартовать практику для развития реальных технических навыков, а не заниматься перекладыванием бумажек, но в крутой компании). А для развития практических навыков лучше всего идти работать и стараться получить их в реальных условиях.

Первая работа — первый опыт

Маловероятно, что первая работа определит ваш карьерный путь. Однако она обеспечит опыт реальных проектов, необходимый для поиска «своей» сферы. Только так можно понять, чем вам интересно заниматься и что именно для вас важно в окружении.

Сейчас ко мне на собеседования на позицию джуниора иногда приходят ребята, которые не знают базовых вещей: как устроена сеть, как работают операционные системы, что такое модель OSI. Кроме того, это шанс подтянуть необходимые знания, если вдруг они прошли мимо вас в вузе. Все это — основные принципы, без знания которых сложно будет развиваться не только в информационной безопасности, но и в ИТ в целом.

Даже те, кто в основном взаимодействует с бизнесом, должны понимать техническую инфраструктуру, в которой работает организация, чтобы правильно транслировать требования, делать решения безопасными. Важно помнить, что базу знаний надо не только набрать, но и постоянно развивать. Т.е. Часто бизнес говорит на своем языке, ИТ воплощают это в своей специфике, а информационная безопасность должна быть тем мостиком между двумя мирами, который помогает сделать правильную защищенную архитектуру. Например, в бизнес-требования к решению. информационная безопасность должна участвовать во всех стадиях и этапах реализации проектов, глубоко погружаться в каждый аспект. Таким образом цикл безопасной разработки или внедрения должен включать в себя не только понимание, на каких серверах будет установлен продукт, как он интегрируется с существующей инфраструктурой, но также глубокое понимание бизнес-процесса и новых рисков для бизнеса. Минимальные не критичные для самого бизнеса изменения в этих требованиях зачастую позволяют сделать продукт «secured by design» — повлияв на продукт в самом начале, что исключит необходимость применения дорогостоящих, и не всегда эффективных средств защиты для небезопасных продуктов.

Рост вглубь и вширь

Путь безопасника — это путь постоянного развития. Но с моей точки зрения в этом процессе меньше всего нужно смотреть на предлагаемую должность. Время, когда меня волновала позиция или строка в трудовой книжке, прошло — я уже был вице-президентом, директором департамента и т.п. Так что теперь называйте хоть рядовым специалистом. Гораздо важнее для меня участвовать в безопасном развитии бизнеса, иметь возможность реализовывать изменения и видеть результат своей работы.

Это слишком узкая специфика — надо интересоваться чем-то большим. Развиваясь в рамках информационной безопасности, не стоит ограничиваться какой-то одной позицией или направлением, к примеру, только лишь криптографией. И я считаю, что можно пренебречь некоторыми преференциями в деньгах или в должности, особенно в начале карьеры, предпочитая более интересную и может быть сложную и ответственную работу.

Это был 2008 год — первый финансовый кризис при достаточном развитии интернета и, наверное, первая волна мошенничества в системах дистанционного банковского обслуживания. Самый странный переход, который был у меня — из управления Public key infrastructure в создание антифрод системы. Мы с ИТ начали на коленке строить антифрод и внедрять базовые меры по защите. Практически ни одна организация не была к этому готова, это было новое направление. Естественно, в должностных обязанностях у меня не было написано ничего подобного. Для меня это был абсолютно новый опыт построения профилей клиентов, выявления мошенников, отслеживание их поведения. Впоследствии этот интерес вырос в новые карьерные возможности, которые, в свою очередь, открывали новые перспективы в знаниях. Мне просто было интересно развиваться куда-то вширь.

Я попробовал себя и в программировании, и в администрировании. Лично мне несколько первых работодателей обеспечили хороший старт и общее понимание того, что происходит в отрасли — дали разнородный опыт, который помог сориентироваться. Благодаря этому я могу общаться с ИТ если не на одном, то на близком уровне, потому что знаю, как все устроено изнутри, как это работает. И это полезные навыки, которые нужны мне до сих пор, и я стараюсь их развивать. Сейчас я вряд ли смогу без подготовки написать оптимальный код, но имеющегося у меня опыта достаточно для более продуктивного общения. Могу разговаривать с программистами, потому что сам когда-то писал код.

Если же развития нет — пора подумать о смене работы. В целом нужно как можно больше углубляться в знания, пытаться обработать и структурировать новую информацию, ведь чем больше ты накапливаешь знаний, тем проще предлагать безопасные решения.

Недостаточно поставить антивирус или любое другое решение и правильно его настроить. Надо помнить, что информационная безопасность — это не IT-security. Это так не работает.

И чем глубже ты погружаешься, тем больше понимаешь, что ты очень мало знаешь, и тем больше видишь пути развития вширь. Информационная безопасность должна погружаться во все проекты и бизнес-процессы. В этом, на мой взгляд, большой плюс данной области — практически нет предела горизонтальному развитию специалиста.

Если внедрены какие-то решения в информационной безопасности, это не означает, что они внедрены правильно или с течением времени не стали небезопасными. Второй момент заключается в том, что знания, как и техническую базу, надо постоянно пересматривать. И это правильно, потому что безопасность постоянно должна быть в голове: надо пересматривать свои же решения, опасаться, что ты предложил не самый лучший подход. Безопасник — это призвание, определенный подход к работе с некоторой долей паранойи.

Я не видел хороших специалистов в этой сфере, остановившихся в развитии. Если в какой-то момент безопасник решает, что у него все хорошо (полностью безопасно), наверное, он перестает быть безопасником.

И если этот процесс остановить, постепенно организация придет в небезопасное состояние. Информационная безопасность — это процесс, а не какой-то конечный результат. К примеру, по итогам нашего включения в проекты в Банке Открытие через некоторое время бизнес сам приходил к нам и просил принять участие в проектах. Чтобы процесс не останавливался, должны быть инструменты для его поддержания, причем они должны быть реализованы так, чтобы не мешать, а помогать бизнесу зарабатывать деньги. Это правильный подход — когда бизнес сам заинтересован в реализации безопасных продуктов и знает, что есть безопасность, которая не будет препятствовать его внедрению, а поможет сделать его безопасным.

К примеру, для меня одним из последних таких челенджей был переход в Tinkoff.ru. Надо постоянно ставить перед собой челленджи. Соответственно, и подход к безопасности здесь не «запретительный», что мне очень близко. Это не классический банк, а нечто среднее между финансовой организацией и ИТ-компанией.

Подход к работе в Tinkoff.ru подобен General Electric или другим американским компаниям. Информационная безопасность должна помогать снижать угрозы для бизнеса, она должна предлагать альтернативу или каким-то иным образом сокращать выявленные риски. Если ребята или команды видят, что это действительно нужно делать, они берут и делают. Здесь можно что-то сделать и сразу увидеть результат своей работы, при этом не ощущать каких-то препятствий на своем пути, вроде реплик «это не моя обязанность». В такой среде мне нравится взаимодействовать с другими командами и выстраивать информационную безопасность при поддержке руководства и коллег.

Чаще всего удачные практики встречаются в крупных компаниях с западным менеджментом. И когда вы будете подыскивать себе очередное место работы, нужно присматриваться к внутреннему климату в компании и тем установкам, которые там диктует внутренний HR. Спросите на собеседовании, какие у команды были достижения за последние полгода, какие цели на следующий квартал стоят перед компанией и вашим подразделением, какая роль в их достижении будет отведена вам? Очень важно обратить внимание на команду и вектор развития той области, в которую вы идете.

Специалист или руководитель?

Лидерство и управление командой — не всегда естественный шаг развития технического специалиста. Но на определенном этапе я понял одну простую вещь.

Вряд ли можно, не имея какого-то особого дара, с нуля эффективно управлять командой. Лидерство — это навыки, которые надо развивать также, как и технические знания. В целом это такая же работа над собой, как и развитие технических скиллов.

Необходимо формировать культуру в команде и отслеживать соответствие ей. Нужно регулярно общаться с командой, обсуждать плюсы / минусы, доносить их правильно. Чтобы научиться этому, я ходил на различные тренинги по управлению, по обратной связи, смотрел, как ведут себя эффективные руководители, применял полученные знания на практике.

Наблюдая за ее работой, я пытался взаимодействовать с командой, запрашивать обратную связь и оценивать поведение команды, как оно меняется, насколько эффективно используемые меры воздействия. В свое время большой толчок к развитию лидерства дала мне ИТ-директор General Electric, которая сама была очень крутым лидером, управляла огромным ИТ-подразделением, при этом не являясь глубоким ИТ-специалистом. В соответствии с внутренней культурой General Electric команда также давала обратную связь моему руководителю, и он обсуждал с ними без меня, что происходит эффективно, а что неэффективно, и давал комментарии мне.

Обычно в западных компаниях она более развита, в государственных — менее. При устройстве на работу, где вы планируете прокачивать свои административные скиллы, важно понимать какая культура по управлению персоналом заложена в организации. Нужно понимать спектр вопросов, возникающих на встречах: обсуждается ли подход к выполнению задач (а не только статус их выполнения) или положительные качества сотрудников и области развития? Стоит задать вопросы, имеющие отношение к управлению, — есть ли культура обратной связи, как она организована, как часто руководитель встречается с командой и каждым непосредственным подчиненным, как происходит развитие soft skills? Каждый из упомянутых пунктов поможет быстрее продвигаться на административном поприще.

К примеру, есть молодые управленцы, которые не готовы настаивать на своем мнении или жестко пресекать самовольное изменение планов или неэффективное управление ожиданиями. На начальном этапе многие руководители совершают типичные ошибки и хорошо, если есть наблюдатель, который может на них указать.

И мы должны вести себя в соответствии с задачами организации. Это бизнес. И люди должны уметь работать в команде. Все мы здесь для того, чтобы достигать определенных целей. Иногда для этого требуется некоторая жесткость. А задача руководителя — объединить эту команду, чтобы каждый член работал наиболее эффективно. Есть начинающие руководители, которые позволяют команде расслабиться. Ее отсутствие или переход на дружеские отношения внутри команды могут повредить управлению. А есть ребята, которые это прощают. Например, я считаю неприемлемым, если человек не пришел на встречу, которую назначил руководитель. Это не дружеская посиделка, а, допустим, командное планирование. Но так не должно быть. это мешает достижению целей. Если человек не пришел, важно отвести его в сторону и поговорить, чтобы этого больше не повторялось, т.к. Но избегание конфликтных ситуаций может приводить к снижению значимости лидера и потере управляемости командой в целом. Некоторым ребятам сложно провести такой разговор, потому что он не самый приятный.

В небольшом бизнесе отношения выстроены на персональном общении всех членов организации между собой, а серьезные вложения в управление персоналом тут выглядят малоэффективно. На моем опыте корпоративное управление персоналом лучше развито в крупных компаниях. Наверное, именно General Electric подтолкнула меня к тому, что всем этим необходимо серьезно заниматься, не меньше, чем планированием стратегии или какими-то конкретными техническими решениями.

Приходя в новую организацию, приходится не только вникать в новые технологические задачи, но и выстраивать отношения с коллегами того же уровня, развивать культуру безопасности. Естественно, сфера ответственности руководителя не ограничивается взаимодействиями внутри команды.

Для этого необходимо выстроить эффективные коммуникации с бизнесом, с операционными подразделениями, с рисками, со всеми остальными. В сфере ИБ крайне важно взаимодействие и построение кроссфункциональной безопасности. И с этой точки зрения руководителю по информационной безопасности важно понять, в какую среду он попадает и сможет ли он эффективно выстроить коммуникации с теми людьми, которые находятся на том же уровне, что и он.

К примеру, не так давно я понял, что давно перешел ту грань, когда опасался нанимать ребят умнее себя. Умение управлять командой — это тоже путь самосовершенствования, на котором постоянно делаешь новые открытия. Наоборот, я стараюсь нанять супер-сильную «команду мечты», где я могу чему-то учиться у каждого.

В начале карьеры я к этому относился иначе, как и многие другие руководители.

Рекомендации

Вместо итогов хочу дать несколько рекомендаций. Главная — постоянно учиться, и не только на работе. Крайне важно самостоятельно изучать новые технологии и тренды в ИТ и информационной безопасности, чтобы оставаться на волне. Если вы столкнулись с чем-то и не до конца понимаете технологию, важно потратить время на ее изучение. А вот глубина этого изучения может различаться, в зависимости от поставленных задач — от 15-минутного ролика на youtube до прохождения полноценного курса.

Мой «обязательный минимум»: «7 навыков высокоэффективных людей» Стивена Кови. По каждому направлению есть литература, но лучше читать что-то, посоветовавшись с экспертом в выбранной области. Я часто вижу неэффективную работу, и там прямо написано, как этого избежать. Наверное, это одна из самых крутых книг по личной эффективности.

По практической безопасности могу порекомендовать: Можно посещать конференции.

  • в России — Positive Hack Days, Zeronights, СyberСrimeСon и, возможно, OFFZONE;
  • за рубежом — Black Hat Conference, Chaos Communication Congress, OffensiveCon.

Что касается курсов, то на мой взгляд они должны быть прикладными, развивающими определенный навык. И совершенно не обязательно это должны быть управленческие навыки. Часто сильные технические профи становятся плохими руководителями или лидерами, теряя технические навыки и с большим трудом приобретая базовые навыки по управлению. Управление, на мой взгляд, перестало быть естественным шагом по развитию технических специалистов. Если вы не расположены к управлению людьми, стоит продолжать развиваться на техническом поприще. При этом на практике стоимость хорошего технического эксперта часто выше, чем его руководителя.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

WebAssembly в продакшне и «минное поле» Smart TV: интервью с Андреем Нагих

Разработка приложений под Smart TV — тоже «нетипичный JavaScript», когда все слышали о чём-то, но немногие лично пробовали. Интерес к WebAssembly велик, но пока что нечасто встретишь людей, использующих эту технологию в рабочем проекте. TV, а в последние месяцы так ...

[Перевод] Ethereum планирует стать на 99% экономичней

Криптовалюта скоро сядет на энергетическую диету, чтобы конкурировать с более эффективными блокчейнами На фоне ажиотажа вокруг Биткоина его «младший брат» Ethereum отошел в тень. Но проект с рыночной капитализацией около 10 млрд долларов вряд ли можно считать незаметным. И объемы ...