Au début d'une carrière, il semble que les collègues les plus performants aient parcouru un long chemin, car dès le début ils savaient dans quelle direction les efforts devaient être faits. Mais avec le temps, on comprend qu'il n'y a pas et ne peut pas y avoir de «connaissance secrète» d'une certaine «séquence gagnante d'actions». Cependant, il est tout à fait possible de formuler des principes généraux de développement qui aideront à réussir dans votre domaine, si, bien sûr, vous y consacrez suffisamment d'efforts. Nous en parlerons sous la coupe.
Je m'appelle Dmitry Gadar, je travaille en tant que chef du département de sécurité de l'information de Tinkoff.ru. Pour l'instant, je planifie une stratégie et développe une culture de la sécurité de l'information dans l'organisation. Je dirige une équipe qui comprend quatre départements qui fournissent la fraude anti-interne, la réponse aux incidents, l'infrastructure de sécurité et de conformité des informations et la sécurité des applications. Avant cela, il a travaillé comme ingénieur dans les intégrateurs de systèmes et cryptanalyste chez LANKripto. Ayant acquis une expérience dans le développement et la mise en œuvre de systèmes, il a rejoint les banques - Raiffeisen, Barclays, General Electric, FC Discovery. Au cours de ma carrière, j'ai traversé tous les niveaux de la hiérarchie d'entreprise, en commençant par le tout premier - un étudiant qui travaillait littéralement pour la nourriture.
Puisque les gens aiment les histoires sur Habré, j'ai décidé de partager la mienne à cet effet afin que les étudiants d'aujourd'hui puissent regarder l'expérience des autres et avoir moins de bosses sur leur cheminement de carrière. Considérez-le comme des lectures du vendredi, bien que j'essaierai de donner quelques conseils le cas échéant.
Tout commence par l'éducation
La pile de technologies utilisées dans la sécurité de l'information et l'éventail des menaces potentielles sont en constante évolution. Un changement rapide du paysage dévalue les compétences dans le domaine des outils spécifiques, mais il y a des connaissances et des compétences fondamentales qui sont demandées aujourd'hui comme il y a 10 ans. Ils aident à se développer.
Au stade du choix d'une université, peu pensent à la liquidité des connaissances dans un avenir lointain. Choisissez selon votre sujet préféré. Moi aussi. Mais j'ai choisi l'université la plus puissante de celles où je suis entré - je me suis retrouvé à l'Institut de génie physique de Moscou au Département de cryptographie - essentiellement des mathématiques pures. Ce n'est qu'alors que tout cela s'est développé en programmation et dans des domaines connexes.
À mon avis, l'élément le plus important qu'une université offre est une structure dans la tête adaptée pour maîtriser et filtrer les grands flux d'information. Maintenant, il est peu probable que je me souvienne de certaines définitions textuellement, et je ne prouverai pas le théorème de Cauchy pour la théorie des groupes sans le lire une fois. Mais j'utilise toujours la structure que l'Université a établie. Toute tâche de haut niveau dans ma tête se décompose en petits cubes, et je vois immédiatement sa mise en œuvre pratique dans les détails. Cela vous permet de plonger assez profondément dans chacune des tâches rencontrées.
Le meilleur conseil qui puisse être donné aux candidats d'aujourd'hui est d'essayer de trouver un établissement d'enseignement qui sera en mesure, mais nécessitera un travail maximum, afin de jeter les bases nécessaires dès le début. En général - pendant la formation, vous ne devriez pas chercher de moyens simples, mais essayez de tirer le meilleur parti de la formation. Dans ce cas, les sujets de base pour l'étude, à mon avis, sont les mathématiques (et les dérivés sous forme d'algèbre, de cryptographie, etc.) et la programmation dans des langages de bas niveau - ils vous permettent de maîtriser et de structurer de grands volumes d'informations utiles, de les exploiter efficacement et de séparer l'essentiel du secondaire.
Et pour le développement des compétences pratiques, il vaut mieux se rendre au travail et essayer de les acquérir en conditions réelles. Dans le même temps, vous devez examiner attentivement le choix de l'employeur et discuter à l'avance de ce qui est exactement proposé de faire au travail (afin de commencer la pratique pour développer de réelles compétences techniques, et non pas de déplacer des morceaux de papier, mais dans une entreprise sympa).
Premier emploi - première expérience
Il est peu probable que le premier emploi détermine votre cheminement de carrière. Elle apportera cependant l'expérience de projets réels, nécessaires à la recherche de "leur" sphère. C'est le seul moyen de comprendre ce qui vous intéresse et ce qui est exactement important pour vous dans votre environnement.
De plus, c'est une chance d'acquérir les connaissances nécessaires, si tout à coup ils vous dépassent à l'université. Maintenant, des gens qui ne connaissent pas les choses de base viennent parfois me voir pour des entretiens en tant que juniors: comment fonctionne le réseau, comment fonctionnent les systèmes d'exploitation, quel est le modèle OSI. Ce sont tous des principes de base, à l'insu desquels il sera difficile de se développer non seulement en sécurité de l'information, mais aussi en informatique dans son ensemble.
Il est important de se rappeler que la base de connaissances doit non seulement être collectée, mais également constamment développée. Même ceux qui interagissent principalement avec l'entreprise doivent comprendre l'infrastructure technique dans laquelle l'organisation opère afin de traduire correctement les exigences et de prendre des décisions en toute sécurité. Souvent, une entreprise parle son propre langage, l'informatique l'incarne dans ses spécificités et la sécurité des informations devrait être le pont entre les deux mondes qui contribue à créer la bonne architecture sécurisée. C'est-à-dire La sécurité de l'information doit être impliquée à toutes les étapes et étapes de la mise en œuvre du projet, profondément immergée dans tous les aspects. Par exemple, dans une exigence de décision commerciale. Des changements minimes qui ne sont pas critiques pour l'entreprise elle-même vous permettent souvent de fabriquer un produit «sécurisé par la conception» - ayant influencé le produit au tout début, ce qui élimine le besoin de moyens de protection coûteux et pas toujours efficaces pour les produits dangereux. Ainsi, le cycle de développement ou de mise en œuvre sûrs doit comprendre non seulement une compréhension des serveurs sur lesquels le produit sera installé, comment il s'intègre à l'infrastructure existante, mais également une compréhension approfondie du processus métier et des nouveaux risques pour l'entreprise.
Croissance en profondeur et en largeur
Le chemin de la sécurité est un chemin de développement continu. Mais de mon point de vue, la moindre chose à faire dans ce processus est de regarder la position proposée. Le temps où j'étais inquiet pour un poste ou une ligne dans un cahier de travail est passé - j'étais déjà vice-président, directeur de département, etc. Alors appelez maintenant au moins un spécialiste ordinaire. Il est beaucoup plus important pour moi de participer au développement sécuritaire de l'entreprise, de pouvoir mettre en œuvre des changements et de voir le résultat de mon travail.
Développant dans le cadre de la sécurité de l'information, vous ne devez pas vous limiter à une seule position ou direction, par exemple uniquement à la cryptographie. C'est une spécificité trop étroite - il faut s'intéresser à quelque chose de plus. Et je pense que certaines préférences en termes d'argent ou de poste peuvent être négligées, notamment en début de carrière, préférant des métiers plus intéressants et peuvent être difficiles et responsables.
La transition la plus étrange que j'ai eue a été de la gestion de l'infrastructure à clé publique à la création d'un système antifraude. C'était en 2008 - la première crise financière avec un développement Internet suffisant et, probablement, la première vague de fraude dans les systèmes bancaires à distance. Presque aucune organisation n'était prête pour cela, c'était une nouvelle direction. IT et moi avons commencé à fabriquer des antifraude sur nos genoux et à introduire des mesures de protection de base. Pour moi, c'était une toute nouvelle expérience dans la création de profils clients, l'identification des fraudeurs, le suivi de leur comportement. Naturellement, rien de tel n'a été écrit dans mes fonctions officielles. C'était juste intéressant pour moi de me développer quelque part en largeur. Par la suite, cet intérêt s'est transformé en de nouvelles opportunités de carrière qui, à leur tour, ont ouvert de nouvelles perspectives dans la connaissance.
Personnellement, les premiers employeurs m'ont donné un bon départ et une compréhension générale de ce qui se passe dans l'industrie - ils ont donné une expérience diversifiée qui m'a aidé à m'orienter. Je me suis essayé à la fois en programmation et en administration. Et ce sont des compétences utiles dont j'ai encore besoin, et j'essaie de les développer. Grâce à cela, je peux communiquer avec l'informatique, sinon à un niveau, puis à un niveau proche, car je sais comment tout fonctionne de l'intérieur, comment cela fonctionne. Je peux parler avec des programmeurs, car j'ai moi-même écrit du code. Maintenant, il est peu probable que je puisse écrire le meilleur code sans préparation, mais mon expérience est suffisante pour une communication plus productive.
En général, vous devez aller le plus loin possible dans la connaissance, essayer de traiter et de structurer de nouvelles informations, car plus vous accumulez de connaissances, plus il est facile d'offrir des solutions sûres. S'il n'y a pas de développement, il est temps de penser à un changement d'emploi.
Il ne faut pas oublier que la sécurité de l'information n'est pas une sécurité informatique. Il ne suffit pas d'installer un antivirus ou toute autre solution et de le configurer correctement. Ça ne marche pas comme ça.
La sécurité de l'information doit être immergée dans tous les projets et processus métier. Et plus vous plongez profondément, plus vous réalisez que vous en savez très peu et plus vous voyez l'ampleur du développement. À mon avis, c'est un gros plus dans ce domaine - il n'y a pratiquement pas de limite au développement horizontal d'un spécialiste.
Le deuxième point est que les connaissances, comme la base technique, doivent être constamment revues. Si certaines solutions sont mises en œuvre dans la sécurité de l'information, cela ne signifie pas qu'elles ont été mises en œuvre correctement ou ne sont pas devenues dangereuses au fil du temps. Un coffre-fort est une vocation, une certaine approche pour travailler avec une certaine paranoïa. Et c'est vrai, car la sécurité doit toujours être dans la tête: vous devez reconsidérer vos propres décisions, de peur d'avoir proposé la mauvaise approche.
Si à un moment donné, l'agent de sécurité décide que tout va bien pour lui (complètement en sécurité), il cesse probablement d'être un agent de sécurité. Je n'ai pas vu de bons spécialistes dans ce domaine qui se soient arrêtés dans le développement.
La sécurité de l'information est un processus, pas un résultat final. Et si ce processus est arrêté, l'organisation se mettra progressivement dans un état dangereux. Pour que le processus ne s'arrête pas, il doit y avoir des outils pour l'accompagner, et ils doivent être mis en œuvre pour ne pas interférer, mais pour aider l'entreprise à gagner de l'argent. Par exemple, selon les résultats de notre inclusion dans les projets de la Banque, Otkritie, après un certain temps, l'entreprise elle-même est venue nous voir et a demandé à participer aux projets. C'est la bonne approche - lorsque l'entreprise elle-même souhaite mettre en œuvre des produits sûrs et sait qu'il existe une sécurité qui n'entravera pas sa mise en œuvre, mais contribuera à la rendre sûre.
Vous devez constamment vous lancer des défis. Par exemple, pour moi, l'un des derniers défis de ce type a été la transition vers Tinkoff.ru. Ce n'est pas une banque classique, mais un croisement entre une institution financière et une entreprise informatique. En conséquence, l'approche de la sécurité ici n'est pas «prohibitive», ce qui m'est très proche.
La sécurité de l'information devrait aider à réduire les menaces pesant sur les entreprises, elle devrait offrir une alternative ou en quelque sorte réduire les risques identifiés. L'approche pour travailler chez Tinkoff.ru est similaire à General Electric ou à d'autres sociétés américaines. Ici, vous pouvez faire quelque chose et voir immédiatement le résultat de votre travail, sans avoir à ressentir d'obstacles sur votre chemin, comme les répliques «ce n'est pas mon devoir». Si les gars ou les équipes voient que cela doit vraiment être fait, ils le prennent et le font. Dans un tel environnement, j'aime interagir avec d'autres équipes et renforcer la sécurité des informations avec le soutien de la direction et de ses collègues.
Et lorsque vous cherchez un autre emploi, vous devez examiner de près le climat interne de l'entreprise et les paramètres dictés par les RH internes. Le plus souvent, les bonnes pratiques se retrouvent dans les grandes entreprises à direction occidentale. Il est très important de faire attention à l'équipe et au vecteur de développement de la zone dans laquelle vous vous rendez. Demandez à l'entretien quel type d'équipe vos réalisations ont été au cours des six derniers mois, quels sont les objectifs de l'entreprise et de votre division pour le prochain trimestre, quel rôle vous sera attribué pour les atteindre?
Spécialiste ou manager?
Le leadership et la gestion d'équipe ne sont pas toujours une étape naturelle dans le développement d'un spécialiste technique. Mais à un certain moment, j'ai réalisé une chose simple.
Le leadership est des compétences qui doivent être développées ainsi que des connaissances techniques. Il n'est guère possible, sans avoir de cadeau particulier, de gérer efficacement une équipe à partir de zéro. En général, c'est le même travail sur vous-même que le développement des compétences techniques.
Vous devez communiquer régulièrement avec l'équipe, discuter des avantages / inconvénients, les communiquer correctement. Il est nécessaire de former une culture au sein d'une équipe et d'en suivre le respect. Pour apprendre cela, je suis allé à diverses formations de gestion, sur le feedback, j'ai regardé comment les managers efficaces se comportent, mis en pratique les connaissances acquises.
À un moment donné, une grande impulsion au développement du leadership m'a été donnée par le directeur informatique de General Electric, qui elle-même était un leader très cool, dirigeait un énorme département informatique, sans être un spécialiste informatique approfondi. En regardant son travail, j'ai essayé d'interagir avec l'équipe, de demander des commentaires et d'évaluer le comportement de l'équipe, son évolution, l'efficacité des mesures. Conformément à la culture interne de General Electric, l'équipe a également donné des commentaires à mon chef, et il a discuté avec eux de ce qui est efficace et de ce qui est inefficace, et m'a fait des commentaires.
Lorsque vous postulez pour un emploi dans lequel vous prévoyez de mettre à niveau vos compétences administratives, il est important de comprendre quel type de culture de gestion du personnel existe dans l'organisation. Habituellement, dans les entreprises occidentales, il est plus développé, sans État. Il vaut la peine de poser des questions liées à la gestion - y a-t-il une culture de rétroaction, comment est-elle organisée, à quelle fréquence le leader rencontre-t-il l'équipe et chaque subordonné immédiat, comment les compétences générales se développent-elles? Vous devez comprendre l'éventail des problèmes qui se posent lors des réunions: l'approche de l'accomplissement des tâches (et pas seulement le statut de leur achèvement) est-elle discutée ou les qualités positives des employés et les domaines de développement? Chacun des points mentionnés permettra d'avancer plus rapidement dans le domaine administratif.
Au stade initial, de nombreux dirigeants font des erreurs typiques et c'est bien s'il y a un observateur qui peut les signaler. Par exemple, il y a de jeunes managers qui ne sont pas prêts à insister sur leurs opinions ou à réprimer sévèrement les changements non autorisés dans les plans ou la gestion inefficace des attentes.
C'est une affaire. Et nous devons nous comporter conformément aux objectifs de l'organisation. Nous sommes tous ici pour atteindre certains objectifs. Et les gens devraient pouvoir travailler en équipe. Et la tâche du leader est d'unir cette équipe pour que chaque membre travaille plus efficacement. Parfois, cela nécessite une certaine rigidité. Son absence ou la transition vers des amitiés au sein de l'équipe peut nuire à la gestion. Il y a des leaders novices qui permettent à l'équipe de se détendre. Par exemple, je considère inacceptable que la personne ne vienne pas à la réunion que le chef a désignée. Et il y a des gars qui pardonnent ça. Mais il ne devrait pas en être ainsi. Ce n'est pas un rassemblement amical, mais, disons, une planification d'équipe. Si une personne n'est pas venue, il est important de la prendre à part et de parler pour que cela ne se reproduise plus, car il entrave la réalisation des objectifs. Il est difficile pour certains gars d'avoir une telle conversation car ce n'est pas la plus agréable. Mais éviter les situations de conflit peut entraîner une diminution de l'importance d'un leader et une perte de contrôlabilité de l'équipe dans son ensemble.
D'après mon expérience, la gestion du personnel d'entreprise est mieux développée dans les grandes entreprises. Dans une petite entreprise, les relations sont construites sur la communication personnelle de tous les membres de l'organisation et les investissements sérieux dans la gestion du personnel semblent ici inefficaces. C'est probablement General Electric qui m'a poussé au fait que tout cela doit être sérieusement traité, pas moins que de planifier une stratégie ou des solutions techniques spécifiques.
Naturellement, la sphère de responsabilité du leader ne se limite pas aux interactions au sein de l'équipe. Dans une nouvelle organisation, il faut non seulement se plonger dans de nouveaux défis technologiques, mais aussi nouer des relations avec des collègues du même niveau, développer une culture de la sécurité.
Dans le domaine de la sécurité de l'information, l'interaction et la création d'une sécurité interfonctionnelle sont extrêmement importantes. Pour ce faire, il est nécessaire de construire des communications efficaces avec les entreprises, avec les unités opérationnelles, avec les risques, avec tout le monde. Et de ce point de vue, il est important que le responsable de la sécurité de l'information comprenne dans quel type d'environnement il se trouve et s'il sera en mesure d'établir efficacement des communications avec ces personnes qui sont au même niveau que lui.
La capacité à gérer une équipe est également un moyen de s'améliorer, sur lequel vous faites constamment de nouvelles découvertes. Par exemple, il n'y a pas si longtemps, j'ai réalisé que j'avais franchi la ligne il y a longtemps quand j'avais peur d'embaucher des gars plus intelligents que moi. Au contraire, j'essaie d'embaucher une «équipe de rêve» super solide où je peux apprendre quelque chose de tout le monde.
Au début de ma carrière, j'ai traité cela différemment, comme beaucoup d'autres dirigeants.
Recommandations
Au lieu des résultats, je veux faire quelques recommandations. L'essentiel est d'étudier en permanence, et pas seulement au travail. , . - , . , — 15- youtube .
, -, . « »: «7 » . , . , , .
. :
- — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .