Durante tres meses, nosotros, dos estudiantes de cuarto año, hemos estado trabajando en el departamento de seguridad de la información de
LANIT-Integration . Nos gustaría compartir nuestras impresiones sobre esta etapa de ingreso a la profesión y en un gran negocio de TI. Este artículo será útil para todos los que van a obtener un trabajo en una especialidad o que estén interesados en por qué comenzar a estudiar el curso "Seguridad de la información". Le ayudará a comprender qué aproximadamente tendrá en los primeros meses de trabajo en una gran empresa, qué problemas surgirán en el camino y, lo más importante, cómo resolverlos.
FuenteCapítulo 1. Seguridad de la información desde cero o ...
Está lejos de ser un secreto que en Rusia, después de la graduación, es difícil para los estudiantes encontrar trabajo en su especialidad, sin mencionar las buenas prácticas mientras estudian. Las personas llenas de deseo de adquirir conocimiento y trabajo, se ven obligadas a escuchar los rechazos de cada empleador, lo que requiere de inmediato mucha experiencia laboral. Este enfoque está firmemente arraigado en Rusia, razón por la cual las mentes jóvenes y los tipos realmente buenos que se graduaron del instituto deberían ir a trabajar a nuestras panaderías favoritas bajo la supervisión de aquellos que no han terminado sus estudios y decidieron trabajar en la cafetería local en su primer año o después del ejército. Diga lo que quiera, pero esto no significa que tal destino aguarde a todos.
Como estudiantes de tercer año de la especialidad "Seguridad de la información" de la Universidad de Kurskaya y mientras esperamos la próxima sesión, nuestro grupo comenzó a buscar organizaciones que les permitieran recibir capacitación práctica en nuestra especialidad. En el proceso de encontrar un trabajo, encontramos problemas típicos de nuestro perfil de capacitación y no solo. El hecho es que no tenemos suficiente experiencia laboral e incluso práctica (aunque vinimos por ello), y que los jefes de las organizaciones mismas no saben dónde ubicarnos para el mejor funcionamiento de la seguridad de la información en la empresa.
Como resultado, durante los tres años de estudio, el conocimiento adquirido no nos permite describir claramente la imagen que nos esperará después de la graduación. Existe el temor de que nos encontremos entre personas que no han encontrado trabajo en una especialidad para la cual ya hemos pasado parte de nuestra vida.
"Seguridad de la información" es una frase que en algún lugar alguien pudo haber escuchado, pero que no le dio ninguna importancia particular. Resultó que la especialidad es importante, pero la capacitación en esta especialidad se está desarrollando mal.
En el proceso de encontrar un trabajo, ya nos desesperamos, pero lo deseado llegó a nuestra propia universidad en la persona del jefe del departamento de seguridad de la información de la empresa
LANIT-Integration con una oferta para visitar Open Day. El propósito del evento fue encontrar personas dignas para una pasantía en la empresa que representa. Estábamos encantados con la oportunidad, aunque desde el exterior nos pareció que parecía un camino apenas pisado en el césped de un pug de tres patas chocando contra una carretera con un número infinito de carriles.
Mi grupo y yo somos afortunados de que el jefe del departamento de seguridad de la información de LANIT-Integration se refiera a aquellos que ayudan y brindan a los jóvenes la oportunidad de conseguir un trabajo. No estábamos obligados a ser maestros en el campo de la seguridad de la información, solo era necesario mostrar nuestro sincero deseo y determinación en la capacitación y el desarrollo.
En la jornada de puertas abiertas, nos recibieron con té y galletas. Escuchamos una presentación de la gerencia de la compañía y comenzamos a escribir pruebas de ingreso. Hubo tres: conocimiento de la parte técnica, inglés y prueba de coeficiente intelectual. También fue necesario escribir un ensayo sobre el tema "Por qué quiero trabajar aquí". Se nos advirtió de inmediato que el conocimiento en esta etapa no es una panacea, lo principal es demostrar nuestro deseo de desarrollarnos en el campo de TI. Habiendo escrito un ensayo muy específico, esperaba que atrapara a los lectores con su originalidad. Y ha llegado.
El siguiente paso estaba esperando. Asumimos el papel de Hachiko en anticipación de una respuesta importante después de la reunión. Queríamos ser los mejores entre todos los que intentaron ingresar a LANIT, pero tenían miedo de temblar las rodillas y dejarnos pasar por la taquilla. Cuando se anunciaron los resultados de la reunión, nos dimos cuenta de que no era en vano que comenzaran esto, y que nos darían la oportunidad de demostrar que ya estábamos en el personal del departamento de seguridad de la información.
El primer día, llenaron todo lo que se requería de nosotros, se arrojaron en rollos baratos desde la tienda más cercana, como debería ser para los estudiantes pobres, y estaban listos para explorar un nuevo capítulo en nuestra vida, que actualmente no está abierto y puede mantenerse unido en cualquier momento, como páginas con chicas de una revista de autos en manos de un adolescente de catorce años de los 90. En los primeros días de nuestro contacto con colegas, no necesitaban decir: "Olvida todo lo que te enseñaron en el instituto", porque es imposible olvidar lo que no estaba en nuestras cabezas, a diferencia de los pensamientos de tu novia sobre Ryan Gosling. Tal vez había un conocimiento mínimo, pero ciertamente no fue suficiente para comprender lo que estaban discutiendo en la oficina, y esto no tuvo nada que ver con el hecho de que tuvo dificultades con Ryan.
FuenteEl principal problema del conocimiento obtenido en la universidad fue la oferta desigual, sin una secuencia determinada y sin comprender la idea principal del campo de actividad. Por lo tanto, queda claro que nuestra primera tarea fue estudiar los conceptos básicos de seguridad de la información.
Capítulo 2. Toca dos veces la seguridad de la información después de dos mayúsculas
En la primera semana de nuestro trabajo en LANIT-Integration, no estaba claro a qué agarrarnos. Para que podamos entender lo que está haciendo la compañía, los curadores nos reunieron en una sala de reuniones, donde describieron en términos generales dónde podemos movernos. Se decidió dividirnos y dar conocimiento al estilo de "Uno es uno, el otro es diferente", ya que el departamento de seguridad de la información en LANIT-Integration se divide en dos áreas principales: consultoría e ingeniería.
La primera dirección implica la presencia de un conocimiento profundo del marco legal y los estándares internacionales en el campo de la seguridad de la información. Además, los consultores deben estar bien versados en las tecnologías modernas de la información para comunicarse con especialistas técnicos de clientes al mismo nivel. La actividad principal de esta área es la interacción con los clientes, la formación de un conjunto de medidas para proteger la información y la traducción de los requisitos técnicos al sector de la ingeniería. Los ingenieros están trabajando en los datos. Deben entender qué remedios son mejores para usar en un caso dado. Entonces, inmediatamente comenzamos a darnos cuenta de cómo funciona el proceso y quién tiene qué responsabilidades.
Sucedió que resultó estar en la dirección de consultoría, y mi amigo, en ingeniería. Decidimos que era demasiado pronto para elegir una especialización, ya que aún no habíamos estado a la vanguardia. Por lo tanto, asumimos diferentes tareas en diferentes direcciones juntos. Aquí es donde surgieron las primeras dificultades.
La tarea de consultoría fue estudiar las leyes básicas y los documentos legales que se encuentran con mayor frecuencia en las actividades de
LANIT-Integration . Entonces, el primero en caer en nuestro bagaje de conocimiento:
- FZ-149 "Sobre la información, las tecnologías de la información y la protección de la información", en la que se basa todo el aspecto legal de la información,
- FZ-152 "Sobre datos personales",
- FZ-187 "Sobre la seguridad de la infraestructura de información crítica de la Federación de Rusia",
- Orden FSTEC No. 21,
- Orden FSTEC No. 17,
- Orden FSTEC No. 235,
- Orden FSTEC No. 239,
- Orden FSB No. 378,
- Decisión gubernamental No. 127,
- Decisión del Gobierno No. 1119.
Fue bastante fácil para nosotros leer, estudiar y comprender las leyes federales, los decretos del gobierno y otros documentos en el campo de la seguridad de la información, pero la tarea en el área técnica es mucho más complicada. Su esencia era que era necesario describir en detalle todos los medios de protección de la información (SZI). Ejemplos de tales sistemas son IPS / IDS, SIEM, PAM, DLP, firewalls, etc.
Esta no es la lista completa, ya que hay muchos fondos, y se cruzan. Pero incluso para esta pequeña lista, fue muy difícil encontrar información simple y necesaria que hablara sobre los principios del trabajo, y no sobre las funciones principales. En el instituto, raramente teníamos que encontrarnos con conceptos como SZI, por lo que el material no tenía una buena base técnica.
Al final de la primera semana, nos dimos cuenta de que necesitábamos estructurar la recepción de información y establecer la base correcta y competente. Y al comienzo de la segunda semana, nos reunimos con los curadores para discutir el material y la secuencia de acciones. Como resultado, llegaron a un acuerdo de que los dos estaríamos más cómodos y más productivos para estudiar la misma información. Discutimos un plan de desarrollo individual para el período de prueba, en el primer mes del cual se incluye el libro "CISSP All-In-One Exam Guide" de Sean Harris.
Todo especialista en seguridad de la información novato debe dedicar tiempo a este libro. Fue escrito en 2011. Algunas cosas en él ya no son relevantes hoy en día, pero es muy informativo, afecta todos los aspectos de IS en la organización: desde la seguridad física y los estándares internacionales hasta una descripción detallada de la mayoría de los protocolos y la criptografía cuántica. Absorbimos grandes cantidades de datos escritos en un lenguaje comprensible y bien estructurado. En paralelo, se realizaron tareas internas. Por ejemplo, como compilar cuestionarios sobre diversos medios de protección de la información. E incluso asistió a una reunión con uno de los clientes. Durante las conversaciones entre nuestros colegas, escuchamos muchas palabras incomprensibles que se introdujeron de inmediato en los motores de búsqueda, y la información encontrada se grabó en calcomanías y se pegó cuando fue posible.
Mi lugar de trabajo en el primer mes de trabajo.Para la segunda y tercera semana, continuamos estudiando la Guía de examen todo en uno CISSP. Esta lección no prometía ser más divertida e interesante que el patihard local, pero la necesitábamos para interponernos. Nos llevó dos semanas leer novecientas páginas. Las cosas técnicas yacían en el cerebro en lugares muy duros, pero la esencia estaba clara. Lo más importante que entendimos es que la idea de seguridad de la información debe provenir de la administración. Tiene la mayor responsabilidad de toda la información, los activos y el personal y, por lo tanto, debe contribuir en todo sentido a la protección de la información y la creación de las condiciones necesarias para el funcionamiento del sistema de seguridad de la información. Además, el libro describe actividades en diferentes niveles: administrativo, físico y técnico. Cada nivel se describe en detalle con analogías y, lo más importante, es comprensible. Este libro ayudará a todos los que quieran entender qué es el SI, aunque no muy profundamente, pero la comprensión ya aparecerá, y esta es la base.
Capítulo 3. El equipo y la comunicación.
En cualquier lugar de trabajo, siempre es importante prestar atención a las relaciones de las personas dentro de la organización. Siempre es bueno cuando las personas están abiertas y cuando puedes hablar sobre varios temas relacionados no solo con el trabajo. Especialmente cuando se trata del lugar donde una persona ha estado durante mucho tiempo. Para mí era importante poder contactar a mis colegas y estar en la misma onda con ellos. En LANIT-Integration, no tuve ningún problema para comunicarme con los curadores y otros colegas, excepto quizás un montón de preguntas que afectan directamente un trabajo específico. Quisiera agradecerles a todos por la ayuda, la atención y la gran paciencia que nos brindan, porque tenemos mucho que preguntar, aclarar y corregir. Las relaciones en nuestro departamento las puedo describir como buenas y gratuitas. Recuerdo la serie "Office", a menudo le doy analogías.
Las buenas relaciones no se limitan al departamento. Se relacionan con toda la organización como un todo. La información que se distribuye dentro de la empresa siempre tiene como objetivo garantizar un trabajo eficaz y cómodo tanto en la oficina como fuera de ella. Los empleados reciben notificaciones sobre la mejor manera de llegar a casa, saludos de cumpleaños, recordatorios de vacaciones, etc. Todo esto hace que la atmósfera en el equipo sea más cálida.
FuenteCapítulo 4. El final del período de prueba y resumen
De acuerdo con el contrato, teníamos tres meses para un período de prueba, al final del cual se debe tomar una decisión sobre si somos aptos para la integración LANIT o no.
En el transcurso de estos meses, estudiamos actos legales regulatorios, herramientas de seguridad de la información, asistimos a la conferencia de la Cumbre de BISA y al evento de Tecnologías Positivas, realizamos un análisis del mercado de seguridad de la información y las empresas de TI, desarrollamos documentación para varios proyectos y, lo más importante, absorbimos mucho conocimiento y experiencia. Nos quedó claro que no debemos apresurarnos a elegir una dirección en seguridad de la información, ya que hay dos tipos interesantes de actividades en consultoría e ingeniería, así como documentación aburrida. Es necesario tener una base suficiente de conocimiento y experiencia en una dirección u otra para decidir con precisión lo que nos gusta. Por lo tanto, en este momento estamos cumpliendo tareas y nos estamos desarrollando en estas dos direcciones. Naturalmente, esto no es fácil, pero vemos una imagen completa de lo que están haciendo los expertos en seguridad de la información en nuestra empresa. Estamos interesados en hacer lo que estamos haciendo ahora, incluso si a veces las tareas no están directamente relacionadas con la seguridad de la información en general, pero todas están involucradas y no hay nada de qué preocuparse.
Al final de toda la historia, me gustaría señalar que es difícil decir lo que piensan nuestros colegas y la gerencia sobre nosotros: lo intentamos, pero nos sonríen. ¿Qué significa esto? Solo ellos lo saben.
El resultado del período de prueba se conocerá después de escribir estas líneas. Creemos en lo mejor. Toda buena y buena suerte, que, espero, no nos dejará.
La compañía, por cierto, tiene puestos internos Artículo escrito con
RZhuravlevPS
Venderé VAZ 21011 1986, kilometraje 180k, color - deporte y lujo
Precio negociable, pujando por el capó
8903363283 * Maxim