Pada awal karier, tampaknya semakin banyak kolega yang sukses, karena sejak awal mereka tahu ke arah mana upaya harus dilakukan. Tetapi seiring berjalannya waktu, ada pemahaman bahwa tidak ada dan tidak mungkin ada "pengetahuan rahasia" tentang "urutan tindakan yang menang". Namun, sangat mungkin untuk merumuskan prinsip-prinsip umum pembangunan yang akan membantu mencapai kesuksesan di bidang Anda, jika, tentu saja, Anda cukup berupaya dalam hal ini. Kami akan membicarakan hal ini di bawah potongan.
Nama saya Dmitry Gadar, saya bekerja sebagai kepala departemen keamanan informasi Tinkoff.ru. Di antara tugas utama saya saat ini adalah merencanakan strategi dan mengembangkan budaya keamanan informasi dalam organisasi. Saya memimpin tim yang mencakup empat departemen yang menyediakan penipuan anti-internal, respons insiden, keamanan informasi dan infrastruktur kepatuhan, dan keamanan aplikasi. Sebelum itu, ia bekerja sebagai insinyur dalam integrator sistem dan seorang cryptanalyst di LANKripto. Setelah memperoleh pengalaman dalam pengembangan dan implementasi sistem, ia pindah ke bank - Raiffeisen, Barclays, General Electric, FC Discovery. Selama karir saya, saya melewati semua tingkatan hierarki perusahaan, mulai dari yang pertama - seorang siswa yang benar-benar bekerja untuk makanan.
Karena orang menyukai cerita tentang Habrรฉ, saya memutuskan untuk membagikan cerita saya untuk tujuan itu sehingga siswa hari ini dapat melihat pengalaman orang lain dan mendapatkan lebih sedikit tonjolan di jalur karier mereka. Anggap saja sebagai bacaan hari Jumat, meskipun saya akan mencoba memberikan beberapa saran yang sesuai.
Semuanya dimulai dengan pendidikan
Tumpukan teknologi yang digunakan dalam keamanan informasi, dan spektrum ancaman potensial terus berubah. Perubahan cepat lanskap mendevaluasi keterampilan di bidang alat khusus, tetapi ada pengetahuan dan keterampilan mendasar yang diminati saat ini seperti yang mereka lakukan 10 tahun yang lalu. Mereka membantu berkembang.
Pada tahap memilih universitas, hanya sedikit yang berpikir tentang likuiditas pengetahuan di masa depan yang jauh. Pilih sesuai dengan subjek favorit Anda. Aku juga. Tetapi saya memilih universitas yang paling kuat dari yang saya masuki - saya berakhir di Institut Teknik Fisika Moskow di Departemen Kriptografi - pada dasarnya matematika murni. Hanya kemudian semua ini berkembang menjadi pemrograman dan bidang terkait.
Menurut pendapat saya, elemen terpenting yang disediakan universitas adalah struktur kepala yang diadaptasi untuk menguasai dan menyaring arus informasi yang besar. Sekarang saya tidak mungkin mengingat beberapa definisi kata demi kata, dan saya tidak akan membuktikan teorema Cauchy untuk teori grup tanpa membacanya sekali pun. Tetapi saya selalu menggunakan struktur yang telah ditetapkan Universitas. Setiap tugas tingkat atas di kepalaku terurai menjadi kubus-kubus kecil, dan aku segera melihat penerapan praktisnya sampai detail. Ini memungkinkan Anda untuk menyelam cukup dalam ke dalam setiap tugas yang dihadapi.
Saran terbaik yang dapat diberikan kepada pelamar saat ini adalah mencoba untuk menemukan lembaga pendidikan yang akan mampu, tetapi akan membutuhkan tenaga kerja maksimal, untuk meletakkan dasar yang diperlukan dari awal. Secara umum - selama pelatihan Anda tidak harus mencari cara yang mudah, tetapi cobalah untuk mendapatkan hasil maksimal dari pelatihan. Dalam hal ini, mata pelajaran dasar untuk belajar, menurut pendapat saya, adalah matematika (dan turunannya dalam bentuk aljabar, kriptografi, dll.) Dan pemrograman dalam bahasa tingkat rendah - mereka memungkinkan Anda untuk menguasai dan menyusun volume besar informasi yang berguna, mengoperasikannya secara efisien, dan memisahkan hal utama dari yang kedua.
Dan untuk pengembangan keterampilan praktis, yang terbaik adalah pergi bekerja dan mencoba mendapatkannya dalam kondisi nyata. Pada saat yang sama, Anda harus mempertimbangkan dengan hati-hati pilihan majikan dan mendiskusikan terlebih dahulu apa yang sebenarnya diusulkan untuk dilakukan di tempat kerja (untuk memulai praktik untuk mengembangkan keterampilan teknis yang nyata, dan tidak berurusan dengan memindahkan kertas, tetapi di perusahaan yang keren).
Pekerjaan pertama - pengalaman pertama
Kecil kemungkinan pekerjaan pertama akan menentukan jalur karier Anda. Namun, itu akan memberikan pengalaman proyek nyata, yang diperlukan untuk mencari bola "mereka". Ini adalah satu-satunya cara untuk memahami apa yang Anda tertarik lakukan dan apa yang sebenarnya penting bagi Anda di lingkungan Anda.
Selain itu, ini adalah kesempatan untuk mendapatkan pengetahuan yang diperlukan, jika tiba-tiba mereka melewati Anda di universitas. Sekarang, orang-orang yang tidak tahu hal-hal dasar kadang-kadang datang kepada saya untuk wawancara sebagai junior: bagaimana jaringan bekerja, bagaimana sistem operasi bekerja, apa model OSI itu. Semua ini adalah prinsip dasar, tanpa pengetahuan yang sulit untuk dikembangkan tidak hanya dalam keamanan informasi, tetapi juga dalam IT secara keseluruhan.
Penting untuk diingat bahwa basis pengetahuan tidak hanya harus dikumpulkan, tetapi juga terus dikembangkan. Bahkan mereka yang terutama berinteraksi dengan bisnis harus memahami infrastruktur teknis di mana organisasi beroperasi untuk menerjemahkan persyaratan dengan tepat dan membuat keputusan yang aman. Seringkali sebuah bisnis berbicara dengan bahasanya sendiri, IT mewujudkan hal ini secara spesifik, dan keamanan informasi harus menjadi jembatan antara dua dunia yang membantu membuat arsitektur aman yang tepat. Yaitu keamanan informasi harus dilibatkan dalam semua tahapan dan tahapan implementasi proyek, terbenam dalam setiap aspek. Misalnya, dalam persyaratan keputusan bisnis. Perubahan minimal yang tidak penting untuk bisnis itu sendiri sering kali memungkinkan Anda membuat produk "diamankan oleh desain" - setelah memengaruhi produk di awal, yang menghilangkan kebutuhan akan harga yang mahal, dan tidak selalu merupakan cara perlindungan yang efektif untuk produk yang tidak aman. Dengan demikian, siklus pengembangan atau implementasi yang aman harus mencakup tidak hanya pemahaman tentang server mana produk akan diinstal, bagaimana mengintegrasikan dengan infrastruktur yang ada, tetapi juga pemahaman yang mendalam tentang proses bisnis dan risiko baru untuk bisnis.
Pertumbuhan dalam dan luasnya
Jalur keselamatan adalah jalur pengembangan berkelanjutan. Tetapi dari sudut pandang saya, hal yang paling tidak perlu dilakukan dalam proses ini adalah melihat posisi yang diusulkan. Waktu ketika saya khawatir tentang posisi atau garis dalam buku kerja telah berlalu - saya sudah menjadi wakil presiden, direktur departemen, dll. Jadi sekarang panggil setidaknya spesialis biasa. Jauh lebih penting bagi saya untuk berpartisipasi dalam pengembangan bisnis yang aman, untuk dapat menerapkan perubahan dan melihat hasil pekerjaan saya.
Berkembang dalam kerangka keamanan informasi, Anda tidak boleh terbatas pada satu posisi atau arah apa pun, misalnya, hanya kriptografi. Ini adalah kekhususan yang terlalu sempit - seseorang harus tertarik pada sesuatu yang lebih. Dan saya pikir beberapa preferensi dalam uang atau dalam posisi dapat diabaikan, terutama pada awal karir, lebih memilih yang lebih menarik dan dapat menjadi pekerjaan yang sulit dan bertanggung jawab.
Transisi teraneh yang saya miliki adalah dari mengelola infrastruktur kunci Publik hingga menciptakan sistem anti penipuan. Itu adalah 2008 - krisis keuangan pertama dengan perkembangan Internet yang cukup dan, mungkin, gelombang penipuan pertama dalam sistem perbankan jarak jauh. Hampir tidak ada organisasi yang siap untuk ini, itu adalah arah baru. IT dan saya mulai membangun antifraud di atas lutut kami dan memperkenalkan langkah-langkah perlindungan dasar. Bagi saya, itu adalah pengalaman yang sama sekali baru dalam membangun profil pelanggan, mengidentifikasi penipu, melacak perilaku mereka. Tentu saja, tidak ada yang tertulis dalam tugas resmi saya. Itu hanya menarik bagi saya untuk berkembang di suatu tempat seluasnya. Selanjutnya, minat ini tumbuh menjadi peluang karir baru, yang, pada gilirannya, membuka perspektif baru dalam pengetahuan.
Secara pribadi, beberapa pengusaha pertama memberi saya awal yang baik dan pemahaman umum tentang apa yang terjadi di industri - mereka memberikan pengalaman yang beragam yang membantu saya mengorientasikan diri. Saya mencoba sendiri dalam pemrograman dan administrasi. Dan ini adalah keterampilan yang berguna yang masih saya butuhkan, dan saya mencoba mengembangkannya. Berkat ini, saya dapat berkomunikasi dengan IT, jika tidak pada satu, kemudian pada tingkat dekat, karena saya tahu bagaimana semuanya bekerja dari dalam, bagaimana cara kerjanya. Saya dapat berbicara dengan programmer, karena saya sendiri pernah menulis kode. Sekarang, saya tidak mungkin dapat menulis kode terbaik tanpa persiapan, tetapi pengalaman saya cukup untuk komunikasi yang lebih produktif.
Secara umum, Anda harus masuk sebanyak mungkin ke dalam pengetahuan, mencoba memproses dan menyusun informasi baru, karena semakin Anda mengumpulkan pengetahuan, semakin mudah untuk menawarkan solusi yang aman. Jika tidak ada pengembangan, maka sudah waktunya untuk berpikir tentang perubahan pekerjaan.
Harus diingat bahwa keamanan informasi bukan keamanan TI. Tidak cukup menginstal antivirus atau solusi lain dan mengkonfigurasinya dengan benar. Itu tidak bekerja seperti itu.
Keamanan informasi harus dibenamkan dalam semua proyek dan proses bisnis. Dan semakin dalam Anda menyelam, semakin Anda menyadari bahwa Anda tahu sangat sedikit, dan semakin Anda melihat luasnya perkembangan. Menurut pendapat saya, ini merupakan nilai tambah besar di bidang ini - praktis tidak ada batasan untuk pengembangan horizontal seorang spesialis.
Poin kedua adalah bahwa pengetahuan, seperti basis teknis, harus terus ditinjau. Jika beberapa solusi diterapkan dalam keamanan informasi, ini tidak berarti bahwa mereka diimplementasikan dengan benar atau tidak menjadi tidak aman seiring waktu. Brankas adalah panggilan, pendekatan tertentu untuk bekerja dengan sejumlah paranoia. Dan ini benar, karena keamanan harus selalu ada di kepala: Anda perlu mempertimbangkan kembali keputusan Anda sendiri, takut bahwa Anda tidak menawarkan pendekatan terbaik.
Jika pada suatu saat penjaga keamanan memutuskan bahwa semuanya baik-baik saja dengannya (benar-benar aman), ia mungkin berhenti menjadi penjaga keamanan. Saya belum melihat spesialis yang baik di bidang ini yang telah berhenti dalam pengembangan.
Keamanan informasi adalah suatu proses, bukan hasil akhir. Dan jika proses ini dihentikan, organisasi secara bertahap akan datang ke kondisi yang tidak aman. Agar proses tidak berhenti, harus ada alat untuk mendukungnya, dan mereka harus diimplementasikan agar tidak mengganggu, tetapi untuk membantu bisnis menghasilkan uang. Misalnya, menurut hasil pencantuman kami dalam proyek-proyek di Bank, Otkritie, setelah beberapa saat, bisnis itu sendiri mendatangi kami dan meminta untuk berpartisipasi dalam proyek-proyek tersebut. Ini adalah pendekatan yang tepat - ketika bisnis itu sendiri tertarik untuk mengimplementasikan produk yang aman dan tahu bahwa ada keamanan yang tidak akan menghalangi implementasinya, tetapi akan membantu membuatnya aman.
Anda harus terus-menerus menetapkan tantangan bagi diri sendiri. Sebagai contoh, bagi saya, salah satu tantangan terakhir adalah transisi ke Tinkoff.ru. Ini bukan bank klasik, tetapi persilangan antara lembaga keuangan dan perusahaan IT. Karenanya, pendekatan keamanan di sini bukan "penghalang", yang sangat dekat dengan saya.
Keamanan informasi harus membantu mengurangi ancaman terhadap bisnis, harus menawarkan alternatif atau mengurangi risiko yang teridentifikasi. Pendekatan untuk bekerja di Tinkoff.ru mirip dengan General Electric atau perusahaan Amerika lainnya. Di sini Anda dapat melakukan sesuatu dan segera melihat hasil pekerjaan Anda, tanpa harus merasakan hambatan di jalan Anda, seperti replika "ini bukan tugas saya". Jika orang atau tim melihat bahwa itu benar-benar perlu dilakukan, mereka mengambilnya dan melakukannya. Dalam lingkungan seperti itu, saya suka berinteraksi dengan tim lain dan membangun keamanan informasi dengan dukungan manajemen dan kolega.
Dan ketika Anda mencari pekerjaan lain, Anda perlu melihat dengan cermat pada iklim internal di perusahaan dan pengaturan yang ditentukan oleh SDM internal. Paling sering, praktik sukses ditemukan di perusahaan besar dengan manajemen Barat. Sangat penting untuk memperhatikan tim dan vektor pengembangan wilayah tujuan Anda. Tanyakan pada wawancara apa tim pencapaian Anda selama enam bulan terakhir, tujuan apa yang dihadapi perusahaan dan unit Anda untuk kuartal berikutnya, peran apa yang akan diberikan kepada Anda untuk mencapainya?
Spesialis atau manajer?
Kepemimpinan dan manajemen tim tidak selalu merupakan langkah alami dalam pengembangan spesialis teknis. Tetapi pada titik tertentu, saya menyadari satu hal sederhana.
Kepemimpinan adalah keterampilan yang perlu dikembangkan serta pengetahuan teknis. Hampir tidak mungkin, tanpa memiliki hadiah khusus, untuk secara efektif mengelola tim dari awal. Secara umum, ini adalah pekerjaan yang sama pada diri Anda sebagai pengembangan keterampilan teknis.
Anda perlu berkomunikasi secara teratur dengan tim, membahas pro / kontra, mengomunikasikannya dengan benar. Penting untuk membentuk budaya dalam tim dan melacak kepatuhan terhadapnya. Untuk mempelajari ini, saya pergi ke berbagai pelatihan manajemen, berdasarkan umpan balik, menyaksikan bagaimana manajer yang efektif berperilaku, menerapkan pengetahuan yang didapat.
Pada suatu waktu, dorongan besar untuk pengembangan kepemimpinan diberikan kepada saya oleh Direktur TI General Electric, yang dirinya adalah seorang pemimpin yang sangat keren, mengelola departemen TI yang besar, sementara tidak menjadi spesialis IT yang mendalam. Melihat pekerjaannya, saya mencoba berinteraksi dengan tim, meminta umpan balik dan mengevaluasi perilaku tim, bagaimana itu berubah, seberapa efektif langkah-langkahnya. Sesuai dengan budaya internal General Electric, tim juga memberikan umpan balik kepada pemimpin saya, dan dia membahas dengan mereka apa yang efektif dan apa yang tidak efektif, dan mengomentari saya.
Ketika melamar pekerjaan di mana Anda berencana untuk meningkatkan keterampilan administrasi Anda, penting untuk memahami apa jenis budaya manajemen personalia dalam organisasi. Biasanya di perusahaan Barat itu lebih berkembang, di negara - kurang. Layak untuk mengajukan pertanyaan terkait dengan manajemen - apakah ada budaya umpan balik, bagaimana cara mengaturnya, seberapa sering pemimpin bertemu dengan tim dan masing-masing bawahan langsung, bagaimana soft skill berkembang? Anda perlu memahami berbagai masalah yang muncul pada rapat: apakah pendekatan untuk memenuhi tugas (dan bukan hanya status penyelesaiannya) dibahas atau kualitas positif karyawan dan bidang pengembangan? Masing-masing poin yang disebutkan akan membantu untuk maju lebih cepat di bidang administrasi.
Pada tahap awal, banyak pemimpin membuat kesalahan tipikal dan ada baiknya jika ada pengamat yang bisa menunjuk mereka. Sebagai contoh, ada manajer muda yang tidak siap untuk memaksakan pendapat mereka atau dengan keras menekan perubahan yang tidak sah dalam rencana atau manajemen ekspektasi yang tidak efektif.
Ini bisnis. Dan kita harus berperilaku sesuai dengan tujuan organisasi. Kita semua di sini untuk mencapai tujuan tertentu. Dan orang-orang harus bisa bekerja dalam tim. Dan tugas pemimpin adalah menyatukan tim ini sehingga setiap anggota bekerja paling efisien. Terkadang ini membutuhkan kekakuan. Ketidakhadirannya atau transisi ke persahabatan di dalam tim dapat melukai manajemen. Ada pemimpin pemula yang membiarkan tim santai. Misalnya, saya menganggap itu tidak dapat diterima jika orang tersebut tidak datang ke pertemuan yang ditunjuk oleh pemimpin. Dan ada orang yang memaafkan ini. Tapi seharusnya tidak begitu. Ini bukan pertemuan yang bersahabat, tapi, katakanlah, perencanaan tim. Jika seseorang belum datang, penting untuk membawanya ke samping dan berbicara sehingga ini tidak terjadi lagi, karena itu menghambat pencapaian tujuan. Sulit bagi sebagian orang untuk melakukan percakapan seperti itu karena ini bukan percakapan yang paling menyenangkan. Tetapi menghindari situasi konflik dapat menyebabkan penurunan pentingnya pemimpin dan hilangnya kontrol tim secara keseluruhan.
Dalam pengalaman saya, manajemen personalia perusahaan lebih baik dikembangkan di perusahaan besar. Dalam bisnis kecil, hubungan dibangun di atas komunikasi pribadi semua anggota organisasi satu sama lain, dan investasi serius dalam manajemen personalia di sini terlihat tidak efektif. Mungkin, General Electric yang mendorong saya pada kenyataan bahwa semua ini harus ditangani dengan serius, tidak kurang dari merencanakan strategi atau beberapa solusi teknis tertentu.
Secara alami, lingkup tanggung jawab pemimpin tidak terbatas pada interaksi dalam tim. Datang ke organisasi baru, kita tidak hanya harus mempelajari tantangan teknologi baru, tetapi juga membangun hubungan dengan rekan-rekan dari tingkat yang sama, mengembangkan budaya keselamatan.
Di bidang keamanan informasi, interaksi dan membangun keamanan lintas fungsi sangat penting. Untuk melakukan ini, perlu untuk membangun komunikasi yang efektif dengan bisnis, dengan unit operasional, dengan risiko, dengan orang lain. Dan dari sudut pandang ini, penting bagi kepala keamanan informasi untuk memahami lingkungan seperti apa dia dan apakah dia akan dapat secara efektif membangun komunikasi dengan orang-orang yang berada pada level yang sama dengannya.
Kemampuan untuk mengelola tim juga merupakan cara peningkatan diri, di mana Anda terus-menerus membuat penemuan baru. Misalnya, belum lama ini, saya menyadari bahwa saya telah melewati batas waktu yang lalu ketika saya takut mempekerjakan orang yang lebih pintar daripada diri saya sendiri. Sebaliknya, saya mencoba untuk merekrut "tim impian" yang sangat kuat di mana saya dapat belajar sesuatu dari semua orang.
Pada awal karier saya, saya memperlakukan ini secara berbeda, seperti banyak pemimpin lainnya.
Rekomendasi
Alih-alih hasilnya saya ingin memberikan beberapa rekomendasi. Yang utama adalah terus belajar, dan tidak hanya di tempat kerja. , . - , . , โ 15- youtube .
, -, . ยซ ยป: ยซ7 ยป . , . , , .
. :
- โ Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- โ Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .