Al comienzo de una carrera, parece que los colegas más exitosos han recorrido un largo camino, porque desde el principio sabían en qué dirección deberían hacerse los esfuerzos. Pero con el tiempo, se comprende que no hay y no puede haber "conocimiento secreto" sobre una cierta "secuencia ganadora de acciones". Sin embargo, es muy posible formular principios generales de desarrollo que ayudarán a lograr el éxito en su campo, si, por supuesto, pone suficiente esfuerzo en esto. Hablaremos de esto debajo del corte.
Mi nombre es Dmitry Gadar, trabajo como jefe del departamento de seguridad de la información de Tinkoff.ru. Entre mis tareas principales en este momento están la planificación de una estrategia y el desarrollo de una cultura de seguridad de la información en la organización. Dirijo un equipo que incluye cuatro departamentos que proporcionan fraude anti-interno, respuesta a incidentes, seguridad de la información e infraestructura de cumplimiento y seguridad de aplicaciones. Antes de eso, trabajó como ingeniero en integradores de sistemas y criptoanalista en LANKripto. Tras adquirir experiencia en el desarrollo e implementación de sistemas, se mudó a los bancos: Raiffeisen, Barclays, General Electric, FC Discovery. Durante mi carrera, pasé por todos los niveles de la jerarquía corporativa, comenzando por el primero: un estudiante que literalmente trabajaba para la alimentación.
Como a la gente le encantan las historias de Habré, decidí compartir la mía con el propósito de que los estudiantes de hoy puedan ver la experiencia de otras personas y obtener menos obstáculos en sus carreras. Piense en ello como lecturas del viernes, aunque intentaré dar algunos consejos cuando sea apropiado.
Todo comienza con la educación.
La pila de tecnologías utilizadas en la seguridad de la información y el espectro de amenazas potenciales cambia constantemente. Un cambio rápido de las habilidades de devaluación del paisaje en el campo de herramientas específicas, pero hay conocimientos y habilidades fundamentales que se demandan hoy como lo hicieron hace 10 años. Ayudan a desarrollarse.
En la etapa de elegir una universidad, pocos piensan en la liquidez del conocimiento en un futuro lejano. Elija de acuerdo a su tema favorito. Yo también. Pero elegí la universidad más poderosa de las que ingresé; terminé en el Instituto de Física de Ingeniería de Moscú en el Departamento de Criptografía, esencialmente matemática pura. Solo entonces todo esto se convirtió en programación y campos relacionados.
En mi opinión, el elemento más importante que proporciona una universidad es una estructura en la cabeza adaptada para dominar y filtrar grandes flujos de información. Ahora es poco probable que recuerde algunas definiciones textualmente, y no probaré el teorema de Cauchy para la teoría de grupos sin leerlo una vez. Pero siempre uso la estructura que la Universidad ha establecido. Cualquier tarea de nivel superior en mi cabeza se descompone en pequeños cubos, e inmediatamente veo su implementación práctica en los detalles. Esto le permite sumergirse profundamente en cada una de las tareas encontradas.
El mejor consejo que se puede dar a los solicitantes de hoy es tratar de encontrar una institución educativa que pueda, pero que requiera la máxima mano de obra, para sentar las bases necesarias desde el principio. En general, durante el entrenamiento no debe buscar formas fáciles, sino tratar de aprovecharlo al máximo. En este caso, las materias básicas para el estudio, en mi opinión, son las matemáticas (y derivados en forma de álgebra, criptografía, etc.) y la programación en lenguajes de bajo nivel: le permiten dominar y estructurar grandes volúmenes de información útil, operarla de manera eficiente y separar lo principal de lo secundario.
Y para el desarrollo de habilidades prácticas, lo mejor es ir a trabajar y tratar de ponerlas en condiciones reales. Al mismo tiempo, debe considerar cuidadosamente la elección del empleador y debatir de antemano qué se propone exactamente hacer en el trabajo (para comenzar la práctica de desarrollar habilidades técnicas reales, y no tratar con trozos de papel cambiantes, sino en una empresa genial).
Primer trabajo - primera experiencia
Es poco probable que el primer trabajo determine su trayectoria profesional. Sin embargo, proporcionará la experiencia de proyectos reales, necesarios para buscar "su" esfera. Esta es la única forma de comprender lo que le interesa hacer y lo que es exactamente importante para usted en su entorno.
Además, esta es una oportunidad para obtener los conocimientos necesarios, si de repente te pasaron en la universidad. Ahora, las personas que no conocen las cosas básicas a veces acuden a mí para entrevistas como juniors: cómo funciona la red, cómo funcionan los sistemas operativos, cuál es el modelo OSI. Todos estos son los principios básicos, sin el conocimiento de que será difícil de desarrollar no solo en seguridad de la información, sino también en TI en su conjunto.
Es importante recordar que la base de conocimiento no solo debe recopilarse, sino también desarrollarse constantemente. Incluso aquellos que interactúan principalmente con el negocio deben comprender la infraestructura técnica en la que opera la organización para traducir adecuadamente los requisitos y tomar decisiones seguras. A menudo, una empresa habla su propio idioma, TI lo incorpora en sus detalles, y la seguridad de la información debe ser el puente entre los dos mundos que ayuda a crear la arquitectura segura correcta. Es decir La seguridad de la información debe participar en todas las etapas y etapas de la implementación del proyecto, profundamente inmerso en todos los aspectos. Por ejemplo, en un requisito de decisión comercial. Los cambios mínimos que no son críticos para el negocio en sí a menudo le permiten hacer un producto "seguro por diseño", lo que ha influido en el producto desde el principio, lo que elimina la necesidad de costosos y no siempre efectivos medios de protección para productos inseguros. Por lo tanto, el ciclo de desarrollo o implementación seguro debe incluir no solo una comprensión de en qué servidores se instalará el producto, cómo se integra con la infraestructura existente, sino también una comprensión profunda del proceso comercial y los nuevos riesgos para la empresa.
Crecimiento en profundidad y amplitud.
La ruta de seguridad es una ruta de desarrollo continuo. Pero desde mi punto de vista, lo menos que hay que hacer en este proceso es mirar la posición propuesta. Ya pasó el tiempo en que me preocupaba un puesto o una línea en un libro de trabajo: ya era vicepresidente, director de departamento, etc. Así que ahora llame al menos a un especialista ordinario. Para mí es mucho más importante participar en el desarrollo seguro de la empresa, poder implementar cambios y ver el resultado de mi trabajo.
Desarrollado en el marco de la seguridad de la información, no debe limitarse a una sola posición o dirección, por ejemplo, solo criptografía. Esta especificidad es demasiado estrecha: uno debe estar interesado en algo más. Y creo que algunas preferencias en dinero o en el puesto pueden descuidarse, especialmente al comienzo de una carrera, prefiriendo más interesante y puede ser un trabajo difícil y responsable.
La transición más extraña que tuve fue de administrar la infraestructura de clave pública para crear un sistema antifraude. Era 2008, la primera crisis financiera con suficiente desarrollo de Internet y, probablemente, la primera ola de fraude en los sistemas bancarios remotos. Casi ninguna organización estaba lista para esto, era una nueva dirección. IT y yo comenzamos a construir antifraude de rodillas e introducir medidas básicas de protección. Para mí, fue una experiencia completamente nueva en la creación de perfiles de clientes, identificación de estafadores, seguimiento de su comportamiento. Naturalmente, nada de eso fue escrito en mis deberes oficiales. Fue interesante para mí desarrollarme en algún lugar en amplitud. Posteriormente, este interés se convirtió en nuevas oportunidades profesionales, que, a su vez, abrieron nuevas perspectivas en el conocimiento.
Personalmente, los primeros empleadores me proporcionaron un buen comienzo y una comprensión general de lo que está sucediendo en la industria: me brindaron una experiencia diversa que me ayudó a orientarme. Me probé tanto en programación como en administración. Y estas son habilidades útiles que todavía necesito, y trato de desarrollarlas. Gracias a esto, puedo comunicarme con TI, si no en uno, a un nivel cercano, porque sé cómo funciona todo desde adentro, cómo funciona. Puedo hablar con programadores, porque yo mismo una vez escribí código. Ahora, es poco probable que pueda escribir el mejor código sin preparación, pero mi experiencia es suficiente para una comunicación más productiva.
En general, debe profundizar lo más posible en el conocimiento, tratar de procesar y estructurar nueva información, porque cuanto más acumule conocimiento, más fácil será ofrecer soluciones seguras. Si no hay desarrollo, entonces es hora de pensar en un cambio de trabajo.
Debe recordarse que la seguridad de la información no es seguridad informática. No es suficiente instalar un antivirus o cualquier otra solución y configurarlo correctamente. No funciona así.
La seguridad de la información debe estar inmersa en todos los proyectos y procesos comerciales. Y cuanto más buceas, más te das cuenta de que sabes muy poco y más ves la amplitud del desarrollo. En mi opinión, esta es una gran ventaja en esta área: prácticamente no hay límite para el desarrollo horizontal de un especialista.
El segundo punto es que el conocimiento, como la base técnica, debe revisarse constantemente. Si algunas soluciones se implementan en la seguridad de la información, esto no significa que se implementaron correctamente o que no se volvieron inseguras con el tiempo. Una caja fuerte es una vocación, un cierto enfoque para trabajar con una cierta cantidad de paranoia. Y esto es correcto, porque la seguridad siempre debe estar en la cabeza: debe reconsiderar sus propias decisiones, tener miedo de no ofrecer el mejor enfoque.
Si en algún momento el guardia de seguridad decide que todo está bien con él (completamente seguro), probablemente deje de ser un guardia de seguridad. No he visto buenos especialistas en este campo que se hayan detenido en el desarrollo.
La seguridad de la información es un proceso, no un resultado final. Y si este proceso se detiene, la organización gradualmente llegará a un estado inseguro. Para que el proceso no se detenga, debe haber herramientas que lo respalden, y deben implementarse para no interferir, sino para ayudar al negocio a ganar dinero. Por ejemplo, de acuerdo con los resultados de nuestra inclusión en los proyectos en el Banco, Otkritie, después de un tiempo, el negocio en sí se nos acercó y solicitó participar en los proyectos. Este es el enfoque correcto: cuando la empresa misma está interesada en implementar productos seguros y sabe que hay seguridad que no impedirá su implementación, pero ayudará a que sea segura.
Debes ponerte constantemente desafíos. Por ejemplo, para mí, uno de los últimos desafíos fue la transición a Tinkoff.ru. Este no es un banco clásico, sino un cruce entre una institución financiera y una compañía de TI. En consecuencia, el enfoque de seguridad aquí no es "prohibitivo", lo cual está muy cerca de mí.
La seguridad de la información debería ayudar a reducir las amenazas a las empresas, debería ofrecer una alternativa o de alguna manera reducir los riesgos identificados. El enfoque para trabajar en Tinkoff.ru es similar al de General Electric u otras compañías estadounidenses. Aquí puede hacer algo e inmediatamente ver el resultado de su trabajo, sin tener que sentir ningún obstáculo en su camino, como las réplicas "este no es mi deber". Si los muchachos o equipos ven que realmente hay que hacerlo, lo toman y lo hacen. En ese entorno, me gusta interactuar con otros equipos y crear seguridad de la información con el apoyo de la gerencia y los colegas.
Y cuando está buscando otro trabajo, debe observar de cerca el clima interno de la empresa y la configuración dictada por los recursos humanos internos. Muy a menudo, las prácticas exitosas se encuentran en grandes empresas con gestión occidental. Es muy importante prestar atención al equipo y al vector de desarrollo del área en la que va. Pregunte en la entrevista qué tipo de equipo han sido sus logros en los últimos seis meses, qué objetivos enfrenta la empresa y su división para el próximo trimestre, ¿qué papel se le asignará para alcanzarlos?
Especialista o gerente?
El liderazgo y la gestión del equipo no siempre es un paso natural en el desarrollo de un especialista técnico. Pero en cierto punto, me di cuenta de una cosa simple.
El liderazgo son habilidades que deben desarrollarse, así como conocimientos técnicos. Difícilmente es posible, sin tener ningún don especial, administrar eficazmente un equipo desde cero. En general, este es el mismo trabajo sobre usted mismo que el desarrollo de habilidades técnicas.
Necesita comunicarse regularmente con el equipo, discutir los pros / contras, comunicarlos correctamente. Es necesario formar una cultura en un equipo y hacer un seguimiento de su cumplimiento. Para aprender esto, asistí a varios entrenamientos de gestión, sobre retroalimentación, vi cómo se comportan los gerentes de manera efectiva y puse en práctica el conocimiento adquirido.
En un momento, el Director General de TI de Electric Electric me dio un gran impulso al desarrollo del liderazgo, que ella misma era un líder muy bueno, gestionó un gran departamento de TI, sin ser un profundo especialista en TI. Al ver su trabajo, traté de interactuar con el equipo, solicitar comentarios y evaluar el comportamiento del equipo, cómo cambia, qué tan efectivas son las medidas. De acuerdo con la cultura interna de General Electric, el equipo también dio retroalimentación a mi líder, y él discutió con ellos lo que es efectivo y lo que no es efectivo, y me dio comentarios.
Al solicitar un trabajo donde planea actualizar sus habilidades administrativas, es importante comprender qué tipo de cultura de administración de personal hay en la organización. Por lo general, en las empresas occidentales está más desarrollado, en menos estado. Vale la pena hacer preguntas relacionadas con la gestión: ¿existe una cultura de retroalimentación, cómo está organizada, con qué frecuencia se reúne el líder con el equipo y con cada subordinado inmediato, cómo se desarrollan las habilidades blandas? Debe comprender la variedad de problemas que surgen en las reuniones: ¿se discute el enfoque para cumplir con las tareas (y no solo el estado de su finalización) o las cualidades positivas de los empleados y las áreas de desarrollo? Cada uno de los puntos mencionados ayudará a avanzar más rápido en el campo administrativo.
En la etapa inicial, muchos líderes cometen errores típicos y es bueno si hay un observador que pueda señalarlos. Por ejemplo, hay gerentes jóvenes que no están listos para insistir en sus opiniones o reprimir con dureza los cambios no autorizados en los planes o la gestión ineficaz de las expectativas.
Esto es un negocio Y debemos comportarnos de acuerdo con los objetivos de la organización. Todos estamos aquí para lograr ciertos objetivos. Y las personas deberían poder trabajar en equipo. Y la tarea del líder es unir a este equipo para que cada miembro trabaje de manera más eficiente. A veces esto requiere cierta rigidez. Su ausencia o la transición a las amistades dentro del equipo pueden dañar la administración. Hay líderes novatos que permiten que el equipo se relaje. Por ejemplo, considero inaceptable si la persona no asistió a la reunión que nombró el líder. Y hay chicos que perdonan esto. Pero no debería ser así. Esta no es una reunión amistosa, sino, digamos, planificación de equipo. Si una persona no ha venido, es importante llevarlo a un lado y hablar para que esto no vuelva a suceder, porque dificulta el logro de objetivos. Es difícil para algunos chicos tener una conversación así porque no es la más agradable. Pero evitar situaciones de conflicto puede conducir a una disminución en la importancia de un líder y una pérdida de la capacidad de control del equipo en su conjunto.
En mi experiencia, la gestión del personal corporativo está mejor desarrollada en grandes empresas. En una pequeña empresa, las relaciones se basan en la comunicación personal de todos los miembros de la organización entre sí, y las inversiones serias en la gestión de personal aquí parecen ineficaces. Probablemente, fue General Electric el que me empujó al hecho de que todo esto debe tratarse seriamente, no menos que planificar una estrategia o algunas soluciones técnicas específicas.
Naturalmente, la esfera de responsabilidad del líder no se limita a las interacciones dentro del equipo. Al llegar a una nueva organización, uno no solo tiene que profundizar en los nuevos desafíos tecnológicos, sino también construir relaciones con colegas del mismo nivel y desarrollar una cultura de seguridad.
En el campo de la seguridad de la información, la interacción y la creación de seguridad multifuncional es extremadamente importante. Para hacer esto, es necesario construir comunicaciones efectivas con el negocio, con unidades operativas, con riesgos, con todos los demás. Y desde este punto de vista, es importante que el jefe de seguridad de la información entienda en qué tipo de entorno se encuentra y si será capaz de establecer una comunicación efectiva con aquellas personas que se encuentran al mismo nivel que él.
La capacidad de administrar un equipo también es una forma de superación personal, en la que constantemente haces nuevos descubrimientos. Por ejemplo, no hace mucho tiempo, me di cuenta de que había cruzado la línea hace mucho tiempo cuando tenía miedo de contratar tipos más inteligentes que yo. Por el contrario, trato de contratar un "equipo de ensueño" súper fuerte donde puedo aprender algo de todos.
Al comienzo de mi carrera, traté esto de manera diferente, como muchos otros líderes.
Recomendaciones
En lugar de los resultados, quiero dar algunas recomendaciones. Lo principal es estudiar constantemente, y no solo en el trabajo. , . - , . , — 15- youtube .
, -, . « »: «7 » . , . , , .
. :
- — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .