在职业生涯的开始,似乎更成功的同事已经走了很长一段路,因为他们从一开始就知道应该朝哪个方向努力。 但是随着时间的流逝,人们已经认识到,对于某些“胜利的行动序列”,没有,也没有“秘密知识”。 但是,如果您付出了足够的努力,则很有可能制定有助于您在该领域取得成功的一般发展原则。 我们将在削减范围内进行讨论。
我叫Dmitry Gadar,我是Tinkoff.ru信息安全部门的负责人。 目前,我的主要任务包括计划策略和发展组织中的信息安全文化。 我领导的团队包括四个部门,这些部门提供反内部欺诈,事件响应,信息安全和合规性基础结构以及应用程序安全性。 在此之前,他曾在LANKripto担任系统集成工程师和密码分析员。 在获得系统开发和实施方面的经验后,他移居银行-Raiffeisen,Barclays,General Electric,FC Discovery。 在我的职业生涯中,我从公司的第一层开始就经历了公司各个层次的工作-一个真正为食品工作的学生。
由于人们喜欢哈布雷(Habré)上的故事,因此我决定分享我的目的,以便今天的学生可以了解他人的经历,并减少职业道路上的颠簸。 尽管我会在适当的时候尝试提供一些建议,但可以将其视为星期五的读数。
这一切都始于教育
信息安全中使用的技术堆栈以及潜在威胁的范围正在不断变化。 景观的快速变化使特定工具领域的技能贬值,但如今就像10年前一样,如今对基础知识和技能的需求也越来越高。 他们帮助发展。
在选择大学的阶段,很少有人会想到遥远的将来知识的流动性。 根据您喜欢的主题进行选择。 我也是 但是我选择了我进入的那所大学中最强大的大学-我最终进入了密码学系的莫斯科工程物理研究所-本质上是纯数学。 直到那时,所有这些才发展到编程和相关领域。
我认为,大学提供的最重要的要素是适合于掌握和过滤大量信息流的头部结构。 现在,我不太可能逐字回忆一些定义,并且我不会一经阅读就证明了柯西关于群论的定理。 但是我总是使用大学规定的结构。 我脑海中的任何顶级任务都分解为小立方体,我立即看到了它对细节的实际实现。 这使您可以深入了解遇到的每个任务。
可以为当今的申请者提供的最佳建议是,尝试找到一个能够但从一开始就奠定必要基础的教育机构,但该机构将能够但需要最大的人力。 通常,在培训期间,您不应寻找简单的方法,而应尽量从培训中获得最大收益。 在我看来,在这种情况下,我认为学习的基本主题是数学(以及代数,密码学等形式的派生形式)以及使用低级语言进行编程-它们使您能够掌握和构造大量有用的信息,有效地进行操作,并将主要事物与次要事物分开。
为了提高实践技能,最好去上班,并设法使他们处于实际环境中。 同时,您应该仔细考虑用人单位的选择,并事先讨论在工作中将要提出的确切建议(以开始发展真正的技术技能的实践,而不是处理纸上的文件,而是在一个很酷的公司中进行)。
第一份工作-第一次经历
第一份工作不太可能决定您的职业道路。 但是,它将提供寻找“他们的”领域所必需的实际项目的经验。 这是了解您感兴趣的事情以及在您的环境中什么对您真正重要的唯一方法。
此外,如果他们突然在大学通过了您的学习,这是一个获取必要知识的机会。 现在,不了解基本知识的人有时会以初级程度来找我面试:网络如何工作,操作系统如何工作,OSI模型是什么。 所有这些都是基本原理,如果不了解这些原理,不仅在信息安全方面,而且在整个IT领域都将难以发展。
重要的是要记住,不仅必须收集知识库,而且还要不断发展知识库。 即使是那些主要与企业互动的人,也必须了解组织所处的技术基础架构,以便正确地翻译需求并制定安全的决策。 企业通常会说自己的语言,IT则在其细节中体现这一点,而信息安全应该是两个世界之间的桥梁,有助于建立正确的安全体系结构。 即 信息安全应涉及项目实施的所有阶段和阶段,并深深地浸入各个方面。 例如,在业务决策要求中。 对业务本身并不重要的最小变更通常使您可以“通过设计确保”产品的生产-从一开始就对产品产生了影响,从而消除了对昂贵且并非始终有效的不安全产品保护手段的需求。 因此,安全开发或实施的周期不仅应包括对产品将安装在哪些服务器上,如何与现有基础架构集成的理解,还应对业务流程和业务的新风险有深刻的了解。
深度和广度的增长
安全道路是不断发展的道路。 但是从我的角度来看,在此过程中要做的最少的事情就是查看建议的位置。 我担心工作簿中的职位或行的时间已经过去了-我已经是副总裁,部门总监等。 因此,现在至少致电一名普通专家。 对我而言,参与业务的安全发展,能够实施更改并查看工作结果对我而言更为重要。
在信息安全框架中进行开发,您不应局限于任何一个位置或方向,例如,仅加密即可。 这太狭narrow了-必须对更多的东西感兴趣。 而且我认为,在金钱或职位上的某些偏爱可以忽略不计,尤其是在职业开始之初,他们更喜欢有趣的事情,并且可能是困难而负责的工作。
我最奇怪的过渡是从管理公钥基础结构到创建反欺诈系统。 那是2008年-互联网发展迅速的第一个金融危机,可能也是远程银行系统中的第一波欺诈浪潮。 几乎没有组织为此做好准备,这是一个新的方向。 我和IT部门开始在我们的膝盖上建立反欺诈措施,并介绍基本的保护措施。 对我而言,这是建立客户档案,识别欺诈者,跟踪其行为的全新体验。 自然,在我的公务中没有写过任何这类的东西。 对我来说,在一个广度的地方发展很有趣。 随后,这种兴趣发展为新的职业机会,从而为知识开辟了新的视野。
就个人而言,前几位雇主为我提供了一个良好的开端,并对行业的发展有了一个大致的了解-他们提供了丰富的经验,帮助我确定了方向。 我在编程和管理方面都尝试过自己。 这些是我仍然需要的有用技能,我会尝试发展它们。 由于这一点,我可以与IT进行交流,即使不是一次交流,也可以是近距离交流,因为我知道一切都是从内部进行的,以及如何进行的。 我可以和程序员交谈,因为我自己曾经写过代码。 现在,如果不做准备,我不太可能编写出最好的代码,但是我的经验足以使工作更富有成效。
通常,您需要尽可能多地了解知识,尝试处理和构造新信息,因为积累的知识越多,提供安全解决方案的难度就越大。 如果没有发展,那么该考虑换工作了。
必须记住,信息安全不是IT安全。 仅安装防病毒或任何其他解决方案并对其进行正确配置是不够的。 它不是那样工作的。
信息安全应浸入所有项目和业务流程中。 潜水的深度越深,您越会意识到自己所了解的知识很少,并且越能看到发展的广度。 我认为,这是该领域的一大优势-专家的水平发展几乎没有限制。
第二点是,必须像技术基础一样不断地审查知识。 如果某些解决方案是在信息安全中实施的,则这并不意味着它们已正确实施或不会随时间而变得不安全。 安全是一种职业,一种应对一定数量偏执狂的特定方法。 这是正确的,因为安全性始终应放在首位:您需要重新考虑自己的决定,以免您未提供最佳方法。
如果安全警卫在某个时候认为对他来说一切都很好(完全安全),则他可能不再是一名安全警卫。 我还没有看到该领域的优秀专家停止开发。
信息安全是一个过程,而不是某些最终结果。 如果停止此过程,则组织将逐渐进入不安全状态。 为了使流程不会停止,必须有支持它的工具,并且必须加以实施,以免干扰,而是帮助企业赚钱。 例如,根据我们纳入Otkritie银行项目的结果,一段时间后,企业本身找我们并要求参加这些项目。 这是正确的方法-当企业本身对实施安全产品感兴趣并且知道存在不会阻碍其实施但会帮助使其安全的安全性时。
您必须不断挑战自己。 例如,对我而言,最后的挑战之一是向Tinkoff.ru的过渡。 这不是传统的银行,而是金融机构和IT公司之间的桥梁。 因此,这里的安全方法不是“禁止”的,这与我非常接近。
信息安全应有助于减少对业务的威胁,它应提供替代方法或以某种方式减少已识别的风险。 Tinkoff.ru的工作方式类似于通用电气或其他美国公司。 在这里,您可以做一些事情并立即查看工作结果,而不必遇到任何障碍,例如复制品“这不是我的职责”。 如果这些人或团队认为确实需要这样做,那么他们会接受并做到这一点。 在这样的环境中,我喜欢与其他团队互动并在管理层和同事的支持下建立信息安全性。
而且,当您寻找另一份工作时,您需要仔细查看公司的内部环境和内部人力资源要求的设置。 在具有西方管理的大公司中,最常见的做法是成功。 注意您要去的区域的团队和发展方向是非常重要的。 在面试中询问您在过去六个月中取得的成就是什么样的团队,公司和您的下个季度部门面临的目标是什么,将为您分配实现这些目标的角色?
专家还是经理?
领导力和团队管理并非始终是技术专家发展的自然步骤。 但是到了某个时候,我意识到了一件简单的事情。
领导力是需要发展的技能以及技术知识。 没有任何特殊礼物,几乎不可能从头开始有效地管理团队。 总的来说,这和技术技能的培养是一样的。
您需要定期与团队沟通,讨论优点/缺点,正确沟通。 有必要在团队中形成一种文化并跟踪其遵守情况。 为了学习这一点,我参加了各种管理培训,提供反馈,观察有效的管理者的行为方式,将所获得的知识付诸实践。
一次,通用电气IT主管给了我领导力发展的一大动力,她本人是一个非常出色的领导者,管理着庞大的IT部门,但又不是一位深厚的IT专家。 看着她的工作,我试图与团队互动,征求反馈意见并评估团队的行为,行为如何变化,措施的有效性。 根据通用电气的内部文化,团队还向我的领导者提供了反馈,他与他们讨论了什么是有效的,什么是无效的,并对我进行了评论。
当您计划升级管理技能的工作时,了解组织中的人员管理文化非常重要。 通常,在西方公司中,它的发展程度更高,在州中则更少。 值得提出与管理相关的问题-是否存在反馈文化,如何组织反馈,领导与团队和每个直属下属见面的频率,软技能如何发展? 您需要了解会议上出现的一系列问题:是否在讨论完成任务的方法(而不仅仅是完成任务的状态),还是员工的积极素质和发展领域? 提到的每一个要点都将有助于在管理领域更快地前进。
在起步阶段,许多领导人都会犯典型的错误,如果有观察员可以指出这些错误,那就太好了。 例如,有些年轻的经理不愿意坚持自己的意见,或者不严厉压制计划中未经授权的变更或对期望的无效管理。
这是生意。 我们必须按照组织的目标行事。 我们都在这里实现某些目标。 人们应该能够团队合作。 领导者的任务是团结这个团队,使每个成员都能最有效地工作。 有时,这需要一定的刚性。 她的缺席或团队内部的友谊转移可能会伤害管理层。 有新手领导让团队放松。 例如,如果某人没有参加领导任命的会议,我认为这是不可接受的。 还有一些人对此原谅。 但事实并非如此。 这不是一次友好的聚会,但可以说是团队计划。 如果一个人没有来,重要的是将他放在一边并讲话,以免再次发生这种情况,因为 它阻碍了目标的实现。 有些人很难进行这样的对话,因为这不是最愉快的对话。 但是,避免冲突情况会导致领导者的重要性降低,并且整个团队的可控性也会下降。
以我的经验,在大型公司中,公司人事管理会得到更好的发展。 在小型企业中,关系是建立在组织所有成员彼此之间的个人沟通基础上的,而在人事管理上的大量投资似乎无效。 可能是通用电气(General Electric)使我意识到,必须认真处理所有这些问题,这不仅仅是计划战略或某些特定的技术解决方案。
当然,领导者的责任范围不限于团队内部的互动。 来到新的组织中,不仅要研究新的技术挑战,还必须与同级别的同事建立关系,发展安全文化。
在信息安全领域,交互和建立跨功能的安全性极为重要。 为此,必须与业务,运营部门,风险以及其他所有人建立有效的沟通。 从这个角度来看,对于信息安全负责人而言,了解他所处的环境以及他是否能够与与他处于同一水平的人们进行有效的沟通非常重要。
管理团队的能力也是自我完善的一种方式,您可以不断地发现新发现。 例如,不久前,我意识到我很早以前就跨界了,当时我担心雇用比自己聪明的人。 相反,我尝试雇用一支超强的“梦之队”,在这里我可以向所有人学习。
在我职业生涯的开始,我像其他许多领导者一样对待这件事。
推荐建议
除了结果以外,我想提出一些建议。 最主要的是要不断学习,而不仅仅是在工作中。 , . - , . , — 15- youtube .
, -, . « »: «7 » . , . , , .
. :
- — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
- — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
, , . . , . , , . , . , .