في بداية مهنة ، يبدو أن الزملاء الأكثر نجاحًا قد قطعوا شوطًا طويلاً ، لأنهم منذ البداية كانوا يعرفون في أي اتجاه يجب بذل الجهود. ولكن بمرور الوقت ، هناك فهم بأنه لا توجد "معرفة سرية" ولا يمكن أن تكون هناك "سلسلة متتالية من الإجراءات". ومع ذلك ، من الممكن تمامًا صياغة المبادئ العامة للتنمية التي ستساعد في تحقيق النجاح في مجالك ، إذا بذلت بالطبع جهدًا كافيًا في ذلك. سنتحدث عن هذا تحت الخفض.
اسمي دميتري جادار ، أعمل كرئيس لقسم أمن المعلومات في Tinkoff.ru. من بين مهماتي الرئيسية في الوقت الحالي التخطيط لاستراتيجية وتطوير ثقافة أمن المعلومات في المنظمة. أقود فريقًا يضم أربعة أقسام توفر مكافحة الاحتيال الداخلي والاستجابة للحوادث وأمن المعلومات والبنية التحتية للامتثال وأمن التطبيقات. قبل ذلك ، عمل كمهندس في تكامل الأنظمة وخبير التشفير في LANKripto. بعد أن اكتسب خبرة في تطوير وتنفيذ الأنظمة ، انتقل إلى البنوك - Raiffeisen و Barclays و General Electric و FC Discovery. خلال مسيرتي ، مررت بجميع مستويات التسلسل الهرمي للشركات ، بدءًا من الأول - وهو طالب عمل حرفياً في مجال الطعام.
نظرًا لأن الناس يحبون القصص في حبري ، فقد قررت مشاركة قصتي لهذا الغرض حتى يتمكن طلاب اليوم من إلقاء نظرة على تجربة الآخرين والحصول على عدد أقل من المطبات في مسارات حياتهم المهنية. فكر في الأمر على أنه قراءات يوم الجمعة ، على الرغم من أنني سأحاول تقديم بعض النصائح عند الاقتضاء.
كل شيء يبدأ بالتعليم
مجموعة التقنيات المستخدمة في أمن المعلومات ، ومجموعة من التهديدات المحتملة تتغير باستمرار. تغيير سريع في مهارات تخفيض قيمة المناظر الطبيعية في مجال أدوات محددة ، ولكن هناك معرفة ومهارات أساسية مطلوبة اليوم تمامًا مثلما فعلوا قبل 10 سنوات. أنها تساعد على التطور.
في مرحلة اختيار الجامعة ، قليل من الناس يفكرون في سيولة المعرفة في المستقبل البعيد. اختر وفقًا لموضوعك المفضل. وكذلك فعلت أنا. لكنني اخترت أقوى جامعة من حيث دخلت - انتهى بي المطاف في معهد موسكو للفيزياء الهندسية في قسم التشفير - في الأساس الرياضيات البحتة. عندها فقط تطور كل هذا إلى البرمجة والمجالات ذات الصلة.
في رأيي ، فإن أهم عنصر توفره الجامعة هو بنية في الرأس تتكيف لإتقان وتصفية تدفقات كبيرة من المعلومات. الآن ، من غير المحتمل أن أتذكر بعض التعاريف الحرفية ، ولن أثبت نظرية كوشي لنظرية المجموعة دون قراءتها مرة واحدة. لكنني دائمًا أستخدم الهيكل الذي أرسته الجامعة. تتحلل أي مهمة عالية المستوى في رأسي إلى مكعبات صغيرة ، وأرى على الفور تنفيذها العملي للتفاصيل. هذا يسمح لك بالتعمق في كل المهام التي واجهتها.
أفضل نصيحة يمكن تقديمها لمقدمي الطلبات اليوم هي محاولة العثور على مؤسسة تعليمية قادرة على ذلك ، ولكنها ستتطلب الحد الأقصى من العمالة ، من أجل إرساء الأساس اللازم منذ البداية. بشكل عام - أثناء التدريب ، يجب ألا تبحث عن طرق سهلة ، ولكن حاول الحصول على أقصى استفادة من التدريب. في هذه الحالة ، فإن الموضوعات الأساسية للدراسة ، في رأيي ، هي الرياضيات (والمشتقات في شكل الجبر ، والتشفير ، وما إلى ذلك) والبرمجة بلغات منخفضة المستوى - فهي تسمح لك بإتقان وتنظيم كميات كبيرة من المعلومات المفيدة ، وتشغيلها بكفاءة ، وفصل الشيء الرئيسي عن الثانوي.
ولتطوير المهارات العملية ، من الأفضل الذهاب إلى العمل ومحاولة الحصول عليهم في ظروف حقيقية. في الوقت نفسه ، يجب أن تفكر بعناية في اختيار صاحب العمل وأن تناقش مقدمًا ما يُقترح بالضبط القيام به في العمل (من أجل البدء في ممارسة تطوير المهارات التقنية الحقيقية ، وعدم التعامل مع قطع الورق المتغيرة ، ولكن في شركة باردة).
الوظيفة الأولى - التجربة الأولى
من غير المحتمل أن تحدد الوظيفة الأولى مسارك المهني. ومع ذلك ، فإنه سيوفر تجربة المشاريع الحقيقية اللازمة للبحث عن المجال "الخاص بهم". هذه هي الطريقة الوحيدة لفهم ما أنت مهتم به وما هو مهم بالنسبة لك في بيئتك.
بالإضافة إلى ذلك ، فهذه فرصة لاكتساب المعرفة اللازمة ، إذا مررت فجأة في الجامعة. الآن ، الأشخاص الذين لا يعرفون الأشياء الأساسية يأتون إلي أحيانًا لإجراء مقابلات كمبتدئين: كيف تعمل الشبكة ، وكيف تعمل أنظمة التشغيل ، وما هو نموذج OSI. كل هذه هي المبادئ الأساسية ، وبدون معرفة سيكون من الصعب تطويرها ليس فقط في أمن المعلومات ، ولكن أيضًا في مجال تكنولوجيا المعلومات ككل.
من المهم أن نتذكر أنه لا يجب جمع قاعدة المعرفة فحسب ، بل يجب تطويرها باستمرار. حتى أولئك الذين يتفاعلون في المقام الأول مع الأعمال يجب أن يفهموا البنية التحتية التقنية التي تعمل فيها المنظمة من أجل ترجمة المتطلبات بشكل صحيح واتخاذ القرارات بشكل آمن. غالبًا ما تتحدث الشركة عن لغتها الخاصة ، وتجسد تكنولوجيا المعلومات ذلك في تفاصيلها ، ويجب أن يكون أمن المعلومات هو الجسر بين العالمين الذي يساعد على جعل البنية الآمنة الصحيحة. أي يجب أن يشارك أمن المعلومات في جميع مراحل ومراحل تنفيذ المشروع ، ومغمور بعمق في كل جانب. على سبيل المثال ، في متطلبات قرار العمل. غالبًا ما تسمح لك التغييرات الطفيفة التي ليست حاسمة بالنسبة للأعمال التجارية نفسها بصنع منتج "مؤمنًا بالتصميم" - بعد أن أثر على المنتج في البداية ، مما يلغي الحاجة إلى وسائل مكلفة وغير فعالة دائمًا لحماية المنتجات غير الآمنة. وبالتالي ، يجب أن تتضمن دورة التطوير أو التنفيذ الآمن ليس فقط فهم الخوادم التي سيتم تثبيت المنتج عليها ، وكيفية تكاملها مع البنية التحتية الحالية ، ولكن أيضًا فهم عميق لعملية الأعمال والمخاطر الجديدة للأعمال.
النمو في العمق والاتساع
مسار السلامة هو مسار التطوير المستمر. ولكن من وجهة نظري ، فإن أقل شيء يمكن فعله في هذه العملية هو النظر إلى الموقف المقترح. لقد مر الوقت الذي كنت قلقًا فيه بشأن منصب أو سطر في كتاب العمل - كنت بالفعل نائب الرئيس ، مدير القسم ، إلخ. لذا اتصل الآن بأخصائي عادي على الأقل. من الأهم بالنسبة لي أن أشارك في التطوير الآمن للعمل ، حتى أتمكن من تنفيذ التغييرات ورؤية نتيجة عملي.
بالتطوير في إطار أمن المعلومات ، يجب ألا تقتصر على أي موضع أو اتجاه واحد ، على سبيل المثال ، التشفير فقط. هذه خصوصية ضيقة للغاية - يجب على المرء أن يهتم بشيء أكثر. وأعتقد أنه يمكن إهمال بعض التفضيلات في المال أو في المنصب ، خاصة في بداية المهنة ، مفضلين أكثر إثارة للاهتمام ويمكن أن يكون عملًا صعبًا ومسؤولًا.
أغرب انتقال قمت به كان من إدارة البنية التحتية للمفتاح العام إلى إنشاء نظام مكافحة الاحتيال. كان عام 2008 - أول أزمة مالية ذات تنمية كافية على الإنترنت ، وربما الموجة الأولى من الاحتيال في الأنظمة المصرفية عن بعد. تقريبا لم تكن أي منظمة مستعدة لذلك ، كان اتجاهًا جديدًا. بدأت أنا و IT ببناء مكافحة الاحتيال على ركبنا وإدخال تدابير الحماية الأساسية. بالنسبة لي ، كانت تجربة جديدة تمامًا في بناء ملفات تعريف العملاء ، وتحديد المحتالين ، وتتبع سلوكهم. بطبيعة الحال ، لم تتم كتابة أي شيء من هذا القبيل في واجباتي الرسمية. كان من المثير للاهتمام بالنسبة لي أن أتطور في مكان ما في اتساع. في وقت لاحق ، نما هذا الاهتمام إلى فرص وظيفية جديدة ، والتي بدورها فتحت وجهات نظر جديدة في المعرفة.
شخصياً ، زودني أصحاب العمل القلائل الأوائل ببداية جيدة وفهم عام لما يحدث في الصناعة - لقد أعطوا تجربة متنوعة ساعدتني على توجيه نفسي. حاولت نفسي في البرمجة وفي الإدارة. وهذه مهارات مفيدة ما زلت بحاجة إليها ، وأحاول تطويرها. بفضل هذا ، يمكنني التواصل مع تكنولوجيا المعلومات ، إن لم يكن في وقت واحد ، ثم على مستوى وثيق ، لأنني أعرف كيف يعمل كل شيء من الداخل ، وكيف يعمل. يمكنني التحدث مع المبرمجين ، لأنني بنفسي كتبت الرمز مرة واحدة. الآن ، من غير المحتمل أن أكون قادرًا على كتابة أفضل رمز بدون إعداد ، لكن خبرتي كافية لتواصل أكثر إنتاجية.
بشكل عام ، تحتاج إلى أن تذهب قدر الإمكان في المعرفة ، وتحاول معالجة المعلومات الجديدة وهيكلتها ، لأنه كلما زاد تراكم المعرفة ، أصبح من الأسهل تقديم حلول آمنة. إذا لم يكن هناك تطور ، فقد حان الوقت للتفكير في تغيير الوظيفة.
يجب أن نتذكر أن أمن المعلومات ليس أمن تكنولوجيا المعلومات. لا يكفي تثبيت مضاد فيروسات أو أي حل آخر وتكوينه بشكل صحيح. لا يعمل هكذا.
يجب أن يكون أمن المعلومات مغمورًا في جميع المشاريع والعمليات التجارية. وكلما تعمقت في الغوص ، كلما أدركت أنك تعرف القليل جدًا ، وكلما رأيت اتساع التطور. في رأيي ، هذه إضافة كبيرة في هذا المجال - لا يوجد حد عمليًا للتطور الأفقي للمتخصص.
النقطة الثانية هي أنه يجب مراجعة المعرفة ، مثل القاعدة الفنية ، باستمرار. إذا تم تنفيذ بعض الحلول في أمن المعلومات ، فهذا لا يعني أنها تم تنفيذها بشكل صحيح أو أنها لم تصبح آمنة مع مرور الوقت. السلامة هي مهنة ، نهج معين للعمل مع قدر معين من البارانويا. وهذا صحيح ، لأن الأمن يجب أن يكون دائمًا في المقدمة: أنت بحاجة إلى إعادة النظر في قراراتك الخاصة ، للخوف من أنك لم تقدم أفضل نهج.
إذا قرر حارس الأمن في مرحلة ما أن كل شيء على ما يرام معه (آمن تمامًا) ، فربما يتوقف عن كونه حارسًا أمنيًا. لم أر متخصصين جيدين في هذا المجال توقفوا عن التطور.
إن أمن المعلومات عملية وليس نتيجة نهائية. وإذا تم إيقاف هذه العملية ، ستصل المنظمة تدريجياً إلى حالة غير آمنة. حتى لا تتوقف العملية ، يجب أن تكون هناك أدوات لدعمها ، ويجب تنفيذها حتى لا تتدخل ، ولكن لمساعدة الشركة على كسب المال. على سبيل المثال ، وفقًا لنتائج إدراجنا في المشاريع في البنك ، Otkritie ، بعد فترة ، جاءت الشركة نفسها إلينا وطلبت المشاركة في المشاريع. هذا هو النهج الصحيح - عندما تكون الشركة نفسها مهتمة بتنفيذ منتجات آمنة وتعلم أن هناك أمانًا لن يعيق تنفيذها ، ولكنه سيساعد على جعلها آمنة.
يجب أن تضع نفسك باستمرار التحديات. على سبيل المثال ، بالنسبة لي ، كان أحد التحديات الأخيرة هو الانتقال إلى Tinkoff.ru. هذا ليس بنكًا كلاسيكيًا ، ولكنه تقاطع بين مؤسسة مالية وشركة تكنولوجيا معلومات. وبناء على ذلك ، فإن النهج الأمني هنا ليس "باهظًا" ، وهو قريب جدًا مني.
يجب أن يساعد أمن المعلومات في تقليل التهديدات للأعمال ، ويجب أن يقدم بديلاً أو يقلل بطريقة أو بأخرى المخاطر المحددة. يشبه نهج العمل في Tinkoff.ru شركة جنرال إلكتريك أو الشركات الأمريكية الأخرى. هنا يمكنك القيام بشيء ما ورؤية نتيجة عملك على الفور ، دون الحاجة إلى الشعور بأي عقبات في طريقك ، مثل النسخ المتماثلة "هذا ليس واجبي". إذا كان الرجال أو الفرق يرون أنه يجب القيام به حقًا ، فهم يأخذونه ويفعلونه. في مثل هذه البيئة ، أحب التفاعل مع الفرق الأخرى وبناء أمن المعلومات بدعم من الإدارة والزملاء.
وعندما تبحث عن وظيفة أخرى ، تحتاج إلى النظر عن كثب في المناخ الداخلي في الشركة والإعدادات التي تمليها الموارد البشرية الداخلية. في أغلب الأحيان ، توجد الممارسات الناجحة في الشركات الكبيرة ذات الإدارة الغربية. من المهم جدًا الانتباه إلى الفريق ومتجه تطوير المنطقة التي تتجه إليها. اسأل في المقابلة ما هو نوع الفريق الذي كانت إنجازاتك خلال الأشهر الستة الماضية ، وما هي الأهداف التي تواجهها الشركة وقسمك للربع القادم ، ما هو الدور الذي سيتم تكليفك بتحقيقه؟
متخصص أو مدير؟
القيادة وإدارة الفريق ليست دائمًا خطوة طبيعية في تطوير متخصص تقني. ولكن في مرحلة معينة ، أدركت شيئًا بسيطًا واحدًا.
القيادة هي المهارات التي تحتاج إلى تطوير وكذلك المعرفة التقنية. من الصعب ، دون امتلاك أي هدية خاصة ، إدارة فريق من البداية بشكل فعال. بشكل عام ، هذا هو نفس العمل على تطوير المهارات التقنية.
تحتاج إلى التواصل بانتظام مع الفريق ، ومناقشة الإيجابيات / السلبيات ، والتواصل معهم بشكل صحيح. من الضروري تشكيل ثقافة في الفريق وتتبع الامتثال لها. لتعلم ذلك ، ذهبت إلى تدريبات إدارية مختلفة ، حول التغذية الراجعة ، شاهدت كيف يتصرف المديرون الفعالون ، وضعوا المعرفة المكتسبة موضع التنفيذ.
ذات مرة ، أعطتني دفعة كبيرة لتطوير القيادة من قبل مديرة تكنولوجيا المعلومات العامة العامة ، التي كانت هي نفسها رائدة رائعة ، وأدارت قسمًا كبيرًا لتكنولوجيا المعلومات ، بينما لم تكن متخصصة عميقة في تكنولوجيا المعلومات. أثناء مشاهدتها لعملها ، حاولت التفاعل مع الفريق وطلب التعليقات وتقييم سلوك الفريق ، وكيف يتغير ، ومدى فعالية التدابير. ووفقًا للثقافة الداخلية لشركة جنرال إلكتريك ، قدم الفريق أيضًا تعليقات لقائدي ، وناقش معهم ما هو فعال وما هو غير فعال ، وأعطاني تعليقات.
عند التقدم للحصول على وظيفة حيث تخطط لترقية مهاراتك الإدارية ، من المهم أن تفهم نوع ثقافة إدارة الموظفين في المنظمة. عادة في الشركات الغربية هو أكثر تطورا ، في الدولة - أقل. يجدر طرح الأسئلة المتعلقة بالإدارة - هل هناك ثقافة تغذية مرتدة ، وكيف يتم تنظيمها ، وكم مرة يلتقي القائد مع الفريق وكل مرؤوس مباشر ، كيف تتطور المهارات الشخصية؟ أنت بحاجة إلى فهم مجموعة القضايا التي تبرز في الاجتماعات: هل تمت مناقشة مقاربة إنجاز المهام (وليس فقط حالة إنجازها) أم الصفات الإيجابية للموظفين ومجالات التطوير؟ ستساعد كل نقطة من النقاط المذكورة على التقدم بشكل أسرع في المجال الإداري.
في المرحلة الأولية ، يرتكب العديد من القادة أخطاء نموذجية ومن الجيد إذا كان هناك مراقب يمكنه الإشارة إليها. على سبيل المثال ، هناك مدراء شباب غير مستعدين للإصرار على آرائهم أو قمع التغييرات غير المصرح بها في الخطط أو الإدارة غير الفعالة للتوقعات.
هذا عمل تجاري. ويجب أن نتصرف وفقا لأهداف المنظمة. نحن جميعا هنا لتحقيق أهداف معينة. ويجب أن يكون الناس قادرين على العمل في فريق. ومهمة القائد هي توحيد هذا الفريق بحيث يعمل كل عضو بكفاءة أكبر. في بعض الأحيان يتطلب هذا بعض الصلابة. يمكن لغيابها أو الانتقال إلى صداقات داخل الفريق أن يضر الإدارة. هناك قادة مبتدئون سمحوا للفريق بالاسترخاء. على سبيل المثال ، أعتبر أنه من غير المقبول إذا لم يحضر الشخص إلى الاجتماع الذي عينه القائد. وهناك رجال يسامحون هذا. ولكن لا ينبغي أن يكون الأمر كذلك. هذا ليس اجتماعًا وديًا ، ولكن ، دعنا نقول ، تخطيط الفريق. إذا لم يأتِ شخص ، فمن المهم أخذه جانباً والتحدث حتى لا يحدث ذلك مرة أخرى ، لأنه يعيق تحقيق الأهداف. من الصعب على بعض الرجال إجراء مثل هذه المحادثة لأنها ليست أكثر متعة. لكن تجنب حالات الصراع يمكن أن يؤدي إلى انخفاض أهمية القائد وفقدان السيطرة على الفريق ككل.
في تجربتي ، تم تطوير إدارة موظفي الشركات بشكل أفضل في الشركات الكبيرة. في الأعمال الصغيرة ، يتم بناء العلاقات على التواصل الشخصي لجميع أعضاء المنظمة مع بعضهم البعض ، والاستثمارات الجادة في إدارة شؤون الموظفين هنا تبدو غير فعالة. ربما كانت شركة جنرال إلكتريك هي التي دفعتني إلى حقيقة أنه يجب التعامل مع كل هذا على محمل الجد ، ليس أقل من التخطيط لاستراتيجية أو بعض الحلول التقنية المحددة.
بطبيعة الحال ، لا يقتصر مجال مسؤولية القائد على التفاعلات داخل الفريق. عند القدوم إلى منظمة جديدة ، لا يتعين على المرء الخوض في التحديات التكنولوجية الجديدة فحسب ، بل أيضًا بناء علاقات مع الزملاء من نفس المستوى ، وتطوير ثقافة السلامة.
في مجال أمن المعلومات ، يعد التفاعل وبناء الأمن متعدد الوظائف أمرًا في غاية الأهمية. للقيام بذلك ، من الضروري بناء اتصالات فعالة مع الأعمال التجارية ، مع الوحدات التشغيلية ، مع المخاطر ، مع الجميع. ومن هذا المنطلق ، من المهم لرئيس أمن المعلومات أن يفهم نوع البيئة التي يعيش فيها وما إذا كان سيكون قادرًا على بناء اتصالات فعالة مع هؤلاء الأشخاص الذين هم على نفس المستوى مثله.
القدرة على إدارة الفريق هي أيضًا طريقة لتحسين الذات ، والتي تقوم بها باستمرار باكتشافات جديدة. على سبيل المثال ، منذ وقت ليس ببعيد ، أدركت أنني تجاوزت الخط منذ فترة طويلة عندما كنت خائفة من توظيف رجال أذكى مني. على العكس ، أحاول توظيف "فريق الأحلام" القوي للغاية حيث يمكنني أن أتعلم شيئًا من الجميع.
في بداية مسيرتي ، تعاملت مع هذا الأمر بشكل مختلف ، مثل العديد من القادة الآخرين.
التوصيات
بدلاً من النتائج ، أريد أن أقدم بعض التوصيات. الشيء الرئيسي هو الدراسة باستمرار ، وليس فقط في العمل. , . - , . , — 15- youtube .
, -, . « »: «7 » . , . , , .
. :
- — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .