No início de uma carreira, parece que os colegas mais bem-sucedidos percorreram um longo caminho, porque desde o início eles sabiam em que direção os esforços deveriam ser feitos. Mas, com o tempo, fica claro que não há "conhecimento secreto" sobre uma "sequência vencedora de ações" e não pode existir. No entanto, é bem possível formular princípios gerais de desenvolvimento que ajudarão a obter sucesso em seu campo, se, é claro, você colocar bastante esforço nisso. Falaremos sobre isso por baixo.
Meu nome é Dmitry Gadar, trabalho como chefe do departamento de segurança da informação da Tinkoff.ru. Entre as minhas principais tarefas no momento, estão planejando uma estratégia e desenvolvendo uma cultura de segurança da informação na organização. Lidero uma equipe que inclui quatro departamentos que fornecem fraudes anti-internas, resposta a incidentes, infraestrutura de segurança e conformidade de informações e segurança de aplicativos. Antes disso, ele trabalhou como engenheiro em integradores de sistemas e analista de criptografia na LANKripto. Tendo adquirido experiência no desenvolvimento e implementação de sistemas, mudou-se para bancos - Raiffeisen, Barclays, General Electric, FC Discovery. Durante minha carreira, passei por todos os níveis da hierarquia corporativa, começando desde o início - um aluno que literalmente trabalhava para alimentação.
Como as pessoas adoram histórias sobre Habré, decidi compartilhar as minhas para esse fim, para que os alunos de hoje possam ver a experiência de outras pessoas e ter menos dificuldades em suas carreiras. Pense nisso como leituras de sexta-feira, embora tentarei dar alguns conselhos, quando apropriado.
Tudo começa com a educação
A pilha de tecnologias usadas na segurança da informação e o espectro de ameaças em potencial estão mudando constantemente. Uma rápida mudança de cenário desvaloriza as habilidades no campo de ferramentas específicas, mas há conhecimentos e habilidades fundamentais que estão sendo procurados hoje, exatamente como fizeram há 10 anos. Eles ajudam a se desenvolver.
Na fase de escolha de uma universidade, poucos pensam na liquidez do conhecimento em um futuro distante. Escolha de acordo com o seu assunto favorito. Eu também. Mas escolhi a universidade mais poderosa entre as que ingressei - acabei no Instituto de Física de Engenharia de Moscou, no Departamento de Criptografia -, essencialmente, matemática pura. Somente então tudo isso se transformou em programação e campos relacionados.
Na minha opinião, o elemento mais importante que uma universidade fornece é uma estrutura na cabeça adaptada para dominar e filtrar grandes fluxos de informação. Agora, é improvável que eu lembre algumas definições literalmente, e não vou provar o teorema de Cauchy para a teoria de grupos sem lê-lo uma vez. Mas eu sempre uso a estrutura que a Universidade estabeleceu. Qualquer tarefa de nível superior em minha cabeça se decompõe em pequenos cubos, e eu imediatamente vejo sua implementação prática nos detalhes. Isso permite que você mergulhe profundamente em cada uma das tarefas encontradas.
O melhor conselho que pode ser dado aos candidatos de hoje é tentar encontrar uma instituição educacional capaz de, mas exigirá o máximo de trabalho, a fim de estabelecer as bases necessárias desde o início. Em geral - durante o treinamento, você não deve procurar maneiras fáceis, mas tente tirar o máximo proveito do treinamento. Nesse caso, os assuntos básicos para estudo, na minha opinião, são matemática (e derivadas na forma de álgebra, criptografia etc.) e programação em linguagens de baixo nível - permitem dominar e estruturar grandes volumes de informações úteis, operá-las com eficiência e separar o principal do secundário.
E para o desenvolvimento de habilidades práticas, é melhor ir trabalhar e tentar colocá-las em condições reais. Ao mesmo tempo, você deve considerar cuidadosamente a escolha do empregador e discutir com antecedência o que exatamente se propõe a ser feito no trabalho (para iniciar a prática de desenvolvimento de habilidades técnicas reais e não lidar com trocas de pedaços de papel, mas em uma empresa legal).
Primeiro emprego - primeira experiência
É improvável que o primeiro emprego determine sua carreira. No entanto, proporcionará a experiência de projetos reais, necessários para buscar a "esfera" deles. Essa é a única maneira de entender o que você está interessado em fazer e o que exatamente é importante para você em seu ambiente.
Além disso, esta é uma chance de obter o conhecimento necessário, se de repente eles passaram por você na universidade. Agora, as pessoas que não sabem as coisas básicas às vezes vêm a mim para entrevistas como juniores: como a rede funciona, como os sistemas operacionais funcionam, qual é o modelo OSI. Todos esses são os princípios básicos, sem o conhecimento dos quais será difícil desenvolver não apenas em segurança da informação, mas em TI em geral.
É importante lembrar que a base de conhecimento deve não apenas ser coletada, mas também constantemente desenvolvida. Mesmo aqueles que interagem principalmente com os negócios devem entender a infraestrutura técnica em que a organização opera, a fim de traduzir adequadamente os requisitos e tomar decisões seguras. Geralmente, uma empresa fala seu próprio idioma, a TI incorpora isso em suas especificidades e a segurança da informação deve ser a ponte entre os dois mundos que ajuda a criar a arquitetura segura correta. I.e. a segurança da informação deve estar envolvida em todas as etapas e etapas da implementação do projeto, profundamente imersa em todos os aspectos. Por exemplo, em um requisito de decisão de negócios. Alterações mínimas que não são críticas para a própria empresa geralmente permitem que você crie um produto "protegido pelo design" - tendo influenciado o produto desde o início, o que elimina a necessidade de meios de proteção caros e nem sempre eficazes para produtos inseguros. Portanto, o ciclo de desenvolvimento ou implementação seguro deve incluir não apenas um entendimento de quais servidores o produto será instalado, como ele se integra à infraestrutura existente, mas também um profundo entendimento do processo de negócios e novos riscos para os negócios.
Crescimento em profundidade e largura
O caminho da segurança é um caminho de desenvolvimento contínuo. Mas, do meu ponto de vista nesse processo, o mínimo a fazer é olhar para a posição proposta. O tempo em que eu estava preocupado com uma posição ou uma linha em um caderno de trabalho já passou - eu já era vice-presidente, diretor de departamento etc. Então agora chame pelo menos um especialista comum. É muito mais importante para mim participar do desenvolvimento seguro dos negócios, ser capaz de implementar mudanças e ver o resultado do meu trabalho.
Desenvolvendo na estrutura de segurança da informação, você não deve se limitar a nenhuma posição ou direção, por exemplo, apenas criptografia. Essa é uma especificidade muito estreita - é preciso estar interessado em algo mais. E acho que algumas preferências em dinheiro ou posição podem ser negligenciadas, principalmente no início de uma carreira, preferindo mais interessantes e podem ser um trabalho difícil e responsável.
A transição mais estranha que tive foi do gerenciamento da infraestrutura de chave pública até a criação de um sistema antifraude. Era 2008 - a primeira crise financeira com desenvolvimento suficiente da Internet e, provavelmente, a primeira onda de fraude nos sistemas bancários remotos. Quase nenhuma organização estava pronta para isso, era uma nova direção. Eu e a TI começamos a criar antifraude de joelhos e a introduzir medidas básicas de proteção. Para mim, foi uma experiência completamente nova na criação de perfis de clientes, identificação de fraudadores, rastreamento de comportamento. Naturalmente, nada disso estava escrito em meus deveres oficiais. Foi apenas interessante para mim desenvolver algo em algum lugar. Posteriormente, esse interesse se transformou em novas oportunidades de carreira, que, por sua vez, abriram novas perspectivas no conhecimento.
Pessoalmente, os primeiros empregadores me deram um bom começo e uma compreensão geral do que está acontecendo no setor - eles deram uma experiência diversificada que me ajudou a me orientar. Eu me experimentei tanto em programação quanto em administração. E essas são habilidades úteis que eu ainda preciso, e tento desenvolvê-las. Graças a isso, posso me comunicar com a TI, se não em uma, e em um nível próximo, porque sei como tudo funciona por dentro, como funciona. Eu posso conversar com programadores, porque eu mesmo escrevi um código. Agora é improvável que eu consiga escrever o melhor código sem preparação, mas minha experiência é suficiente para uma comunicação mais produtiva.
Em geral, você precisa entrar o máximo possível em conhecimento, tentar processar e estruturar novas informações, porque quanto mais você acumular conhecimento, mais fácil será oferecer soluções seguras. Se não houver desenvolvimento, é hora de pensar em uma mudança de emprego.
Deve-se lembrar que a segurança da informação não é segurança de TI. Não é suficiente instalar um antivírus ou qualquer outra solução e configurá-lo corretamente. Não funciona assim.
A segurança da informação deve estar imersa em todos os projetos e processos de negócios. E quanto mais fundo você mergulha, mais percebe que sabe muito pouco e mais vê a amplitude do desenvolvimento. Na minha opinião, essa é uma grande vantagem nessa área - praticamente não há limite para o desenvolvimento horizontal de um especialista.
O segundo ponto é que o conhecimento, como a base técnica, deve ser constantemente revisado. Se algumas soluções forem implementadas em segurança da informação, isso não significa que elas foram implementadas corretamente ou não se tornaram inseguras com o tempo. Um cofre é uma vocação, uma certa abordagem para trabalhar com uma certa quantidade de paranóia. E isso é certo, porque a segurança sempre deve estar na cabeça: você precisa reconsiderar suas próprias decisões, ter medo de não oferecer a melhor abordagem.
Se em algum momento o segurança decidir que está tudo bem com ele (completamente seguro), ele provavelmente deixará de ser um segurança. Não vi bons especialistas nesse campo que pararam no desenvolvimento.
A segurança da informação é um processo, não um resultado final. E se esse processo for interrompido, a organização gradualmente chegará a um estado inseguro. Para que o processo não pare, é preciso haver ferramentas para apoiá-lo, e elas devem ser implementadas para não interferir, mas para ajudar a empresa a ganhar dinheiro. Por exemplo, de acordo com os resultados de nossa inclusão nos projetos do Banco em Otkritie, depois de um tempo, o próprio negócio veio até nós e pediu para participar dos projetos. Essa é a abordagem correta - quando a própria empresa está interessada em implementar produtos seguros e sabe que há segurança que não impedirá sua implementação, mas ajudará a torná-la segura.
Você deve constantemente se desafiar. Por exemplo, para mim, um dos últimos desafios desse tipo foi a transição para o Tinkoff.ru. Este não é um banco clássico, mas um cruzamento entre uma instituição financeira e uma empresa de TI. Assim, a abordagem à segurança aqui não é "proibitiva", o que é muito próximo de mim.
A segurança da informação deve ajudar a reduzir as ameaças aos negócios, oferecer uma alternativa ou de alguma forma reduzir os riscos identificados. A abordagem para trabalhar no Tinkoff.ru é semelhante à General Electric ou a outras empresas americanas. Aqui você pode fazer algo e ver imediatamente o resultado do seu trabalho, sem ter que sentir nenhum obstáculo no caminho, como as réplicas "este não é meu dever". Se os caras ou equipes veem que realmente precisa ser feito, eles pegam e fazem. Nesse ambiente, gosto de interagir com outras equipes e criar segurança da informação com o apoio da gerência e dos colegas.
E quando você procura outro emprego, precisa olhar atentamente para o clima interno da empresa e as configurações ditadas pelo RH interno. Na maioria das vezes, práticas bem-sucedidas são encontradas em grandes empresas com gerenciamento ocidental. É muito importante prestar atenção à equipe e ao vetor de desenvolvimento da área em que você está indo. Pergunte na entrevista que tipo de equipe suas conquistas foram nos últimos seis meses, quais objetivos a empresa e sua divisão estão enfrentando para o próximo trimestre, que papel lhe será atribuído para alcançá-las?
Especialista ou gerente?
Liderança e gerenciamento de equipe nem sempre são um passo natural no desenvolvimento de um especialista técnico. Mas, a certa altura, percebi uma coisa simples.
Liderança são habilidades que precisam ser desenvolvidas, além de conhecimento técnico. Dificilmente é possível, sem nenhum presente especial, gerenciar efetivamente uma equipe do zero. Em geral, este é o mesmo trabalho em si mesmo que o desenvolvimento de habilidades técnicas.
Você precisa se comunicar regularmente com a equipe, discutir os prós / contras, comunicá-los corretamente. É necessário formar uma cultura em uma equipe e acompanhar a conformidade com ela. Para aprender isso, participei de vários treinamentos de gestão, no feedback, observei como os gerentes se comportam, colocam em prática o conhecimento adquirido.
Ao mesmo tempo, um grande impulso ao desenvolvimento da liderança me foi dado pelo diretor de TI da General Electric, que era uma líder muito legal, gerenciava um enorme departamento de TI, embora não fosse um especialista em TI. Observando o trabalho dela, tentei interagir com a equipe, solicitar feedback e avaliar o comportamento da equipe, como ela muda, a eficácia das medidas. De acordo com a cultura interna da General Electric, a equipe também deu feedback ao meu líder, e ele discutiu com eles o que é eficaz e o que é ineficaz, além de me fazer comentários.
Ao se candidatar a um emprego em que planeja atualizar suas habilidades administrativas, é importante entender que tipo de cultura de gerenciamento de pessoal existe na organização. Geralmente nas empresas ocidentais, é mais desenvolvido, no estado - menos. Vale a pena fazer perguntas relacionadas à gerência - existe uma cultura de feedback, como ela é organizada, com que frequência o líder se reúne com a equipe e cada subordinado imediato, como as habilidades sociais se desenvolvem? Você precisa entender o leque de questões que surgem nas reuniões: a abordagem para a realização de tarefas (e não apenas o status de sua conclusão) é discutida ou as qualidades positivas dos funcionários e áreas de desenvolvimento? Cada um dos pontos mencionados ajudará a avançar mais rapidamente no campo administrativo.
No estágio inicial, muitos líderes cometem erros típicos e é bom se houver um observador que possa apontar para eles. Por exemplo, existem jovens gerentes que não estão prontos para insistir em suas opiniões ou reprimir duramente as mudanças não autorizadas nos planos ou o gerenciamento ineficaz das expectativas.
Isto é um negócio. E devemos nos comportar de acordo com os objetivos da organização. Estamos todos aqui para alcançar certos objetivos. E as pessoas devem ser capazes de trabalhar em equipe. E a tarefa do líder é unir essa equipe para que cada membro trabalhe com mais eficiência. Às vezes, isso requer alguma rigidez. Sua ausência ou a transição para amizades dentro da equipe pode prejudicar a gerência. Existem líderes iniciantes que deixam a equipe relaxar. Por exemplo, considero inaceitável se a pessoa não comparecer à reunião que o líder nomeou. E há caras que perdoam isso. Mas não deveria ser assim. Não é uma reunião amigável, mas, digamos, planejamento de equipe. Se uma pessoa não veio, é importante afastá-la e conversar para que isso não aconteça novamente, porque dificulta a consecução dos objetivos. É difícil para alguns caras ter essa conversa porque não é a mais agradável. Porém, evitar situações de conflito pode levar a uma diminuição na importância de um líder e a uma perda de controle da equipe como um todo.
Na minha experiência, a gestão de pessoas corporativas é melhor desenvolvida em grandes empresas. Em uma pequena empresa, as relações são construídas com base na comunicação pessoal de todos os membros da organização, e investimentos sérios na gestão de pessoas aqui parecem ineficazes. Provavelmente, foi a General Electric que me levou ao fato de que tudo isso deve ser seriamente tratado, nada menos que planejar uma estratégia ou algumas soluções técnicas específicas.
Naturalmente, a esfera de responsabilidade do líder não se limita às interações dentro da equipe. Chegando a uma nova organização, é preciso não apenas mergulhar em novos desafios tecnológicos, mas também construir relacionamentos com colegas do mesmo nível, desenvolver uma cultura de segurança.
No campo da segurança da informação, a interação e a criação de segurança interfuncional são extremamente importantes. Para fazer isso, é necessário construir comunicações efetivas com os negócios, com unidades operacionais, com riscos e com todos os outros. E desse ponto de vista, é importante para o chefe de segurança da informação entender em que tipo de ambiente ele se encontra e se será capaz de efetivamente construir comunicações com as pessoas que estão no mesmo nível que ele.
A capacidade de gerenciar uma equipe também é uma maneira de auto-aperfeiçoamento, na qual você constantemente faz novas descobertas. Por exemplo, não muito tempo atrás, percebi que havia ultrapassado esse limite há muito tempo quando tinha medo de contratar homens mais espertos do que eu. Pelo contrário, tento contratar um “time dos sonhos” super forte, onde posso aprender algo com todos.
No começo de minha carreira, eu tratei isso de maneira diferente, como muitos outros líderes.
Recomendações
Em vez dos resultados, quero dar algumas recomendações. O principal é estudar constantemente, e não apenas no trabalho. , . - , . , — 15- youtube .
, -, . « »: «7 » . , . , , .
. :
- — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .