Zu Beginn einer Karriere scheinen erfolgreichere Kollegen einen langen Weg zurückgelegt zu haben, da sie von Anfang an wussten, in welche Richtung Anstrengungen unternommen werden sollten. Im Laufe der Zeit besteht jedoch das Verständnis, dass es kein „geheimes Wissen“ über eine bestimmte „gewinnende Abfolge von Aktionen“ gibt und nicht geben kann. Es ist jedoch durchaus möglich, allgemeine Entwicklungsprinzipien zu formulieren, die zum Erfolg in Ihrem Bereich beitragen, wenn Sie natürlich genügend Anstrengungen unternehmen. Wir werden unter dem Strich darüber sprechen.
Mein Name ist Dmitry Gadar, ich arbeite als Leiter der Informationssicherheitsabteilung von Tinkoff.ru. Zu meinen Hauptaufgaben im Moment gehören die Planung einer Strategie und die Entwicklung einer Kultur der Informationssicherheit in der Organisation. Ich leite ein Team, das vier Abteilungen umfasst, die interne Betrugsbekämpfung, Reaktion auf Vorfälle, Infrastruktur für Informationssicherheit und Compliance sowie Anwendungssicherheit bereitstellen. Zuvor war er als Ingenieur für Systemintegratoren und als Kryptoanalytiker bei LANKripto tätig. Nachdem er Erfahrung in der Entwicklung und Implementierung von Systemen gesammelt hatte, wechselte er zu Banken - Raiffeisen, Barclays, General Electric, FC Discovery. Während meiner Karriere durchlief ich von Anfang an alle Ebenen der Unternehmenshierarchie - einen Studenten, der buchstäblich für Lebensmittel arbeitete.
Da die Leute Geschichten über Habré lieben, habe ich beschlossen, meine zu diesem Zweck zu teilen, damit die heutigen Studenten die Erfahrungen anderer Leute sehen und weniger Probleme auf ihrem Karriereweg haben können. Betrachten Sie es als Freitagslesungen, obwohl ich versuchen werde, gegebenenfalls Ratschläge zu geben.
Alles beginnt mit Bildung
Der Stapel von Technologien für die Informationssicherheit und das Spektrum potenzieller Bedrohungen ändern sich ständig. Ein schneller Wechsel der Landschaft entwertet die Fähigkeiten im Bereich spezifischer Werkzeuge, aber es gibt grundlegende Kenntnisse und Fähigkeiten, die heute genauso gefragt sind wie vor 10 Jahren. Sie helfen bei der Entwicklung.
Bei der Auswahl einer Universität denken nur wenige über die Liquidität des Wissens in ferner Zukunft nach. Wählen Sie nach Ihrem Lieblingsfach. Ich auch. Aber ich entschied mich für die mächtigste Universität derjenigen, an der ich eintrat - ich landete am Moskauer Institut für Technische Physik am Institut für Kryptographie - im Wesentlichen reine Mathematik. Erst dann entwickelte sich all dies zu Programmier- und verwandten Bereichen.
Meiner Meinung nach ist das wichtigste Element, das eine Universität bietet, eine Struktur im Kopf, die zum Beherrschen und Filtern großer Informationsflüsse geeignet ist. Jetzt ist es unwahrscheinlich, dass ich mich wörtlich an einige Definitionen erinnere, und ich werde Cauchys Theorem für die Gruppentheorie nicht beweisen, ohne es einmal zu lesen. Aber ich benutze immer die Struktur, die die Universität festgelegt hat. Jede Aufgabe der obersten Ebene in meinem Kopf zerfällt in kleine Würfel, und ich sehe sofort die praktische Umsetzung im Detail. Auf diese Weise können Sie sich eingehend mit den einzelnen Aufgaben befassen.
Der beste Rat, der den heutigen Bewerbern gegeben werden kann, ist zu versuchen, eine Bildungseinrichtung zu finden, die in der Lage ist, aber maximale Arbeitskräfte erfordert, um von Anfang an die notwendige Grundlage zu schaffen. Im Allgemeinen sollten Sie während des Trainings nicht nach einfachen Wegen suchen, sondern versuchen, das Beste aus dem Training herauszuholen. In diesem Fall sind die Grundfächer für das Studium meiner Meinung nach Mathematik (und Ableitungen in Form von Algebra, Kryptographie usw.) und Programmierung in einfachen Sprachen. Sie ermöglichen es Ihnen, große Mengen nützlicher Informationen zu beherrschen und zu strukturieren, sie effizient zu betreiben und die Hauptsache von der Sekundärseite zu trennen.
Und für die Entwicklung praktischer Fähigkeiten ist es am besten, zur Arbeit zu gehen und zu versuchen, sie unter realen Bedingungen zu erlernen. Gleichzeitig sollten Sie die Wahl des Arbeitgebers sorgfältig abwägen und im Voraus besprechen, was genau bei der Arbeit vorgeschlagen werden soll (um mit der Entwicklung realer technischer Fähigkeiten zu beginnen und sich nicht mit dem Verschieben von Papierstücken zu befassen, sondern in einem coolen Unternehmen).
Erster Job - erste Erfahrung
Es ist unwahrscheinlich, dass der erste Job Ihren Karriereweg bestimmt. Es wird jedoch die Erfahrung realer Projekte liefern, die für die Suche nach "ihrer" Sphäre erforderlich sind. Nur so können Sie verstehen, woran Sie interessiert sind und was genau für Sie in Ihrer Umgebung wichtig ist.
Darüber hinaus ist dies eine Chance, das notwendige Wissen zu sammeln, wenn Sie plötzlich an der Universität vorbeikommen. Jetzt kommen Leute, die die grundlegenden Dinge nicht kennen, manchmal zu mir als Junioren zu Interviews: wie das Netzwerk funktioniert, wie die Betriebssysteme funktionieren, was das OSI-Modell ist. All dies sind die Grundprinzipien, ohne deren Kenntnis es schwierig sein wird, nicht nur die Informationssicherheit, sondern auch die IT insgesamt zu entwickeln.
Es ist wichtig zu bedenken, dass die Wissensbasis nicht nur gesammelt, sondern auch ständig weiterentwickelt werden muss. Selbst diejenigen, die hauptsächlich mit dem Unternehmen interagieren, müssen die technische Infrastruktur verstehen, in der das Unternehmen tätig ist, um Anforderungen richtig zu übersetzen und Entscheidungen sicher zu treffen. Oft spricht ein Unternehmen seine eigene Sprache, die IT verkörpert dies in ihren Besonderheiten, und Informationssicherheit sollte die Brücke zwischen den beiden Welten sein, um die richtige sichere Architektur zu schaffen. Das heißt, Die Informationssicherheit sollte in alle Phasen und Phasen der Projektumsetzung einbezogen werden und tief in alle Aspekte eintauchen. Zum Beispiel in einer Geschäftsentscheidungsanforderung. Minimale Änderungen, die für das Unternehmen selbst nicht kritisch sind, ermöglichen es Ihnen häufig, ein Produkt „durch Design gesichert“ zu machen. Dies beeinflusst das Produkt von Anfang an und macht teure und nicht immer wirksame Schutzmaßnahmen für unsichere Produkte überflüssig. Der Zyklus der sicheren Entwicklung oder Implementierung sollte daher nicht nur ein Verständnis darüber beinhalten, auf welchen Servern das Produkt installiert wird, wie es in die vorhandene Infrastruktur integriert wird, sondern auch ein tiefes Verständnis des Geschäftsprozesses und neuer Risiken für das Unternehmen.
Wachstum in Tiefe und Breite
Der Sicherheitspfad ist ein Pfad der kontinuierlichen Entwicklung. Aus meiner Sicht ist das Mindeste, was in diesem Prozess zu tun ist, die vorgeschlagene Position zu betrachten. Die Zeit, in der ich mir Sorgen um eine Position oder eine Zeile in einem Arbeitsbuch machte, ist vorbei - ich war bereits Vizepräsident, Abteilungsleiter usw. Rufen Sie jetzt mindestens einen normalen Spezialisten an. Für mich ist es viel wichtiger, an der sicheren Entwicklung des Geschäfts teilzunehmen, Änderungen umsetzen und das Ergebnis meiner Arbeit sehen zu können.
Bei der Entwicklung im Rahmen der Informationssicherheit sollten Sie sich nicht auf eine Position oder Richtung beschränken, beispielsweise nur auf die Kryptografie. Dies ist eine zu enge Spezifität - man muss sich für etwas mehr interessieren. Und ich denke, dass einige Vorlieben in Bezug auf Geld oder Position vernachlässigt werden können, insbesondere zu Beginn einer Karriere, die interessanter sind und eine schwierige und verantwortungsvolle Arbeit sein können.
Der seltsamste Übergang, den ich hatte, war von der Verwaltung der Public-Key-Infrastruktur zur Schaffung eines Betrugsbekämpfungssystems. Es war 2008 - die erste Finanzkrise mit ausreichender Internetentwicklung und wahrscheinlich die erste Betrugswelle in Remotebanking-Systemen. Fast keine Organisation war dazu bereit, es war eine neue Richtung. IT und ich haben begonnen, Betrugsbekämpfung auf unseren Knien aufzubauen und grundlegende Schutzmaßnahmen einzuführen. Für mich war es eine völlig neue Erfahrung, Kundenprofile zu erstellen, Betrüger zu identifizieren und ihr Verhalten zu verfolgen. Natürlich wurde in meinen offiziellen Pflichten nichts dergleichen geschrieben. Es war einfach interessant für mich, mich irgendwo in der Breite zu entwickeln. In der Folge wuchs dieses Interesse zu neuen Karrieremöglichkeiten, die wiederum neue Perspektiven im Wissen eröffneten.
Persönlich haben mir die ersten Arbeitgeber einen guten Start und ein allgemeines Verständnis dafür gegeben, was in der Branche passiert - sie haben eine vielfältige Erfahrung gemacht, die mir geholfen hat, mich zu orientieren. Ich habe mich sowohl in der Programmierung als auch in der Verwaltung versucht. Und das sind nützliche Fähigkeiten, die ich noch brauche, und ich versuche sie zu entwickeln. Dank dessen kann ich mit der IT kommunizieren, wenn nicht auf einer, dann auf einer engen Ebene, weil ich weiß, wie alles von innen funktioniert, wie es funktioniert. Ich kann mit Programmierern sprechen, weil ich selbst einmal Code geschrieben habe. Es ist unwahrscheinlich, dass ich ohne Vorbereitung den besten Code schreiben kann, aber meine Erfahrung reicht für eine produktivere Kommunikation aus.
Im Allgemeinen müssen Sie so viel wie möglich in das Wissen eintauchen, versuchen, neue Informationen zu verarbeiten und zu strukturieren. Je mehr Sie Wissen anhäufen, desto einfacher ist es, sichere Lösungen anzubieten. Wenn es keine Entwicklung gibt, ist es Zeit, über einen Jobwechsel nachzudenken.
Es muss beachtet werden, dass Informationssicherheit keine IT-Sicherheit ist. Es reicht nicht aus, ein Antivirenprogramm oder eine andere Lösung zu installieren und korrekt zu konfigurieren. So funktioniert es nicht.
Informationssicherheit sollte in alle Projekte und Geschäftsprozesse eingebettet sein. Und je tiefer Sie tauchen, desto mehr erkennen Sie, dass Sie sehr wenig wissen, und desto mehr sehen Sie die Breite der Entwicklung. Meiner Meinung nach ist dies ein großes Plus in diesem Bereich - der horizontalen Entwicklung eines Spezialisten sind praktisch keine Grenzen gesetzt.
Der zweite Punkt ist, dass das Wissen ebenso wie die technische Basis ständig überprüft werden muss. Wenn einige Lösungen in der Informationssicherheit implementiert sind, bedeutet dies nicht, dass sie korrekt implementiert wurden oder im Laufe der Zeit nicht unsicher wurden. Ein Safe ist eine Berufung, eine bestimmte Herangehensweise an die Arbeit mit einem gewissen Maß an Paranoia. Und das ist richtig, denn Sicherheit sollte immer im Kopf bleiben: Sie müssen Ihre eigenen Entscheidungen überdenken, um befürchten zu müssen, dass Sie nicht den besten Ansatz angeboten haben.
Wenn der Wachmann irgendwann entscheidet, dass alles in Ordnung mit ihm ist (völlig sicher), hört er wahrscheinlich auf, Wachmann zu sein. Ich habe keine guten Spezialisten auf diesem Gebiet gesehen, die in der Entwicklung stehen geblieben sind.
Informationssicherheit ist ein Prozess, kein Endergebnis. Und wenn dieser Prozess gestoppt wird, wird die Organisation allmählich in einen unsicheren Zustand versetzt. Damit der Prozess nicht stoppt, müssen Tools vorhanden sein, die ihn unterstützen, und sie müssen implementiert werden, um nicht zu stören, sondern um dem Unternehmen zu helfen, Geld zu verdienen. Zum Beispiel kam nach den Ergebnissen unserer Einbeziehung in die Projekte bei der Bank, Otkritie, nach einer Weile das Geschäft selbst zu uns und bat um Teilnahme an den Projekten. Dies ist der richtige Ansatz - wenn das Unternehmen selbst an der Implementierung sicherer Produkte interessiert ist und weiß, dass es Sicherheit gibt, die die Implementierung nicht behindert, aber zur Sicherheit beiträgt.
Sie müssen sich ständig Herausforderungen stellen. Eine der letzten Herausforderungen für mich war beispielsweise der Übergang zu Tinkoff.ru. Dies ist keine klassische Bank, sondern eine Kreuzung zwischen einem Finanzinstitut und einem IT-Unternehmen. Dementsprechend ist der Sicherheitsansatz hier nicht „unerschwinglich“, was mir sehr nahe steht.
Informationssicherheit sollte dazu beitragen, Bedrohungen für Unternehmen zu verringern, eine Alternative bieten oder die identifizierten Risiken auf irgendeine Weise verringern. Die Arbeitsweise bei Tinkoff.ru ähnelt der von General Electric oder anderen amerikanischen Unternehmen. Hier können Sie etwas tun und sofort das Ergebnis Ihrer Arbeit sehen, ohne Hindernisse auf Ihrem Weg spüren zu müssen, wie die Nachbildungen „Das ist nicht meine Pflicht“. Wenn die Jungs oder Teams sehen, dass es wirklich getan werden muss, nehmen sie es und tun es. In einer solchen Umgebung interagiere ich gerne mit anderen Teams und baue mit Unterstützung des Managements und der Kollegen Informationssicherheit auf.
Und wenn Sie nach einem anderen Job suchen, müssen Sie das interne Klima im Unternehmen und die Einstellungen, die von der internen Personalabteilung vorgegeben werden, genau betrachten. Am häufigsten finden sich erfolgreiche Praktiken in großen Unternehmen mit westlichem Management. Es ist sehr wichtig, auf das Team und den Entwicklungsvektor des Bereichs zu achten, in dem Sie sich befinden. Fragen Sie im Interview, welche Art von Team Sie in den letzten sechs Monaten erreicht haben, welche Ziele das Unternehmen und Ihre Abteilung für das nächste Quartal verfolgen und welche Rolle Ihnen zugewiesen wird, um diese Ziele zu erreichen.
Spezialist oder Manager?
Führung und Teammanagement sind nicht immer ein natürlicher Schritt in der Entwicklung eines technischen Spezialisten. Aber irgendwann wurde mir eine einfache Sache klar.
Führung ist Fähigkeiten, die entwickelt werden müssen, sowie technisches Wissen. Ohne besondere Begabung ist es kaum möglich, ein Team von Grund auf effektiv zu führen. Im Allgemeinen ist dies die gleiche Arbeit an sich selbst wie die Entwicklung technischer Fähigkeiten.
Sie müssen regelmäßig mit dem Team kommunizieren, die Vor- und Nachteile besprechen und sie korrekt kommunizieren. Es ist notwendig, in einem Team eine Kultur zu bilden und deren Einhaltung zu verfolgen. Um dies zu lernen, besuchte ich verschiedene Management-Schulungen, beobachtete Feedback, beobachtete, wie effektiv sich Manager verhalten, und setzte das gewonnene Wissen in die Praxis um.
Zu einer Zeit gab mir der General Electric IT Director, der selbst eine sehr coole Führungskraft war, eine große IT-Abteilung leitete, ohne ein tiefgreifender IT-Spezialist zu sein, einen großen Impuls für die Entwicklung der Führung. Als ich ihre Arbeit beobachtete, versuchte ich, mit dem Team zu interagieren, Feedback anzufordern und das Verhalten des Teams zu bewerten, wie es sich ändert und wie effektiv die Maßnahmen sind. In Übereinstimmung mit der internen Kultur von General Electric gab das Team auch meinem Leiter Feedback, und er diskutierte mit ihnen, was effektiv und was unwirksam ist, und gab mir Kommentare.
Wenn Sie sich für eine Stelle bewerben, bei der Sie Ihre administrativen Fähigkeiten verbessern möchten, ist es wichtig zu verstehen, welche Art von Personalmanagementkultur in der Organisation vorhanden ist. Normalerweise ist es in westlichen Unternehmen stärker entwickelt, in staatslosen. Es lohnt sich, Fragen zum Management zu stellen - gibt es eine Feedback-Kultur, wie ist sie organisiert, wie oft trifft sich der Leiter mit dem Team und jedem unmittelbaren Untergebenen, wie entwickeln sich Soft Skills? Sie müssen die Bandbreite der Probleme verstehen, die bei Besprechungen auftreten: Wird der Ansatz zur Erfüllung von Aufgaben (und nicht nur der Status ihrer Fertigstellung) erörtert oder die positiven Eigenschaften von Mitarbeitern und Entwicklungsbereichen? Jeder der genannten Punkte wird dazu beitragen, im administrativen Bereich schneller voranzukommen.
In der Anfangsphase machen viele Führungskräfte typische Fehler und es ist gut, wenn es einen Beobachter gibt, der auf sie hinweisen kann. Zum Beispiel gibt es junge Manager, die nicht bereit sind, auf ihren Meinungen zu bestehen oder nicht autorisierte Planänderungen oder ineffektives Management von Erwartungen hart zu unterdrücken.
Das ist ein Geschäft. Und wir müssen uns in Übereinstimmung mit den Zielen der Organisation verhalten. Wir sind alle hier, um bestimmte Ziele zu erreichen. Und die Leute sollten in der Lage sein, in einem Team zu arbeiten. Und die Aufgabe des Leiters ist es, dieses Team so zu vereinen, dass jedes Mitglied am effizientesten arbeitet. Manchmal erfordert dies eine gewisse Steifheit. Ihre Abwesenheit oder der Übergang zu Freundschaften innerhalb des Teams kann das Management verletzen. Es gibt unerfahrene Führungskräfte, die das Team entspannen lassen. Zum Beispiel halte ich es für inakzeptabel, wenn die Person nicht zu dem vom Leiter ernannten Treffen gekommen ist. Und es gibt Leute, die das vergeben. Das sollte aber nicht so sein. Dies ist keine freundliche Zusammenkunft, sondern eine Teamplanung. Wenn eine Person nicht gekommen ist, ist es wichtig, sie beiseite zu nehmen und zu sprechen, damit dies nicht noch einmal passiert, weil es behindert das Erreichen von Zielen. Für manche Leute ist es schwierig, ein solches Gespräch zu führen, weil es nicht das angenehmste ist. Das Vermeiden von Konfliktsituationen kann jedoch dazu führen, dass die Bedeutung eines Leiters abnimmt und die Kontrollierbarkeit des gesamten Teams verloren geht.
Nach meiner Erfahrung ist das Personalmanagement von Unternehmen in großen Unternehmen besser entwickelt. In einem kleinen Unternehmen bauen die Beziehungen auf der persönlichen Kommunikation aller Mitglieder der Organisation untereinander auf, und ernsthafte Investitionen in das Personalmanagement scheinen hier unwirksam. Wahrscheinlich war es General Electric, der mich zu der Tatsache veranlasste, dass all dies ernsthaft behandelt werden muss, nicht weniger als Planungsstrategien oder einige spezifische technische Lösungen.
Natürlich ist der Verantwortungsbereich des Leiters nicht auf Interaktionen innerhalb des Teams beschränkt. Wenn man zu einer neuen Organisation kommt, muss man sich nicht nur mit neuen technologischen Herausforderungen befassen, sondern auch Beziehungen zu Kollegen auf derselben Ebene aufbauen und eine Sicherheitskultur entwickeln.
Im Bereich der Informationssicherheit ist die Interaktion und der Aufbau funktionsübergreifender Sicherheit äußerst wichtig. Um dies zu erreichen, ist es notwendig, eine effektive Kommunikation mit dem Geschäft, mit operativen Einheiten, mit Risiken und mit allen anderen aufzubauen. Unter diesem Gesichtspunkt ist es für den Leiter der Informationssicherheit wichtig zu verstehen, in welcher Umgebung er sich befindet und ob er in der Lage sein wird, effektiv Kommunikation mit Personen aufzubauen, die sich auf derselben Ebene wie er befinden.
Die Fähigkeit, ein Team zu führen, ist auch ein Weg zur Selbstverbesserung, bei dem Sie ständig neue Entdeckungen machen. Zum Beispiel wurde mir vor nicht allzu langer Zeit klar, dass ich diese Grenze schon lange überschritten hatte, als ich Angst hatte, Leute einzustellen, die klüger waren als ich. Im Gegenteil, ich versuche ein superstarkes „Traumteam“ einzustellen, in dem ich von jedem etwas lernen kann.
Zu Beginn meiner Karriere habe ich das anders behandelt als viele andere Führungskräfte.
Empfehlungen
Anstelle der Ergebnisse möchte ich einige Empfehlungen geben. Die Hauptsache ist, ständig zu lernen und nicht nur bei der Arbeit. , . - , . , — 15- youtube .
, -, . « »: «7 » . , . , , .
. :
- — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .