Карьера специалиста по безопасности

Карьера специалиста по безопасности

Мы сейчас готовимся ко второй части хакерского турнира. Предвидя возможные вопросы от журналистов и людей, далёких от ИБ, хочу заранее рассказать, почему на выходе получатся далеко не хакеры, и как вообще выглядит карьера специалиста по безопасности.

Безопасник сегодня, грубо говоря, может и перекладывать бумажки, и ходить по периметру с радиоборудованием, и составлять планы Disaster Recovery, и непосредственно заниматься исправлением дыр в софте. Специализаций очень много. Все зависит от конкретной организации: ее размера, типов защищаемой информации, используемых технологий и так далее. Понятно, что интереснее всего работа там, где необходима реальная безопасность, а не фиктивная (бумажная), есть высокий уровень автоматизации.

Давайте посмотрим, откуда берутся и как получаются такие специалисты.

Образование

Разумеется, для того чтобы стать специалистом по информационной безопасности, нужно иметь техническое образование. Лучше всего — специальность, в которой есть слова «автоматизация», «безопасность», «программирование» или «математика». Несколько лет назад очень ценились выпускники исключительно таких ВУЗов как МИФИ, МВТУ, МГУ и МФТИ. За последние годы к ним добавилось достаточно много региональных университетов с примерно аналогичными программами обучения.

Очень важен английский язык, в особенности — технический. Чем раньше вы его начали учить — тем лучше. Если вы закончили ВУЗ, но ещё не говорите по-английски бегло, стоит записаться на хорошие курсы.

Ещё в образовании для разных специализаций важно «качать» криптографию (очень хороший базовый курс есть на Курсере) и математику в целом, разбираться в используемом в компании железе (чаще всего речь о телефонии, камерах и так далее), очень хорошо понимать архитектуру сети в теории и знать особенности всего железа на практике, иметь опыт системного администрирования как MS, так и *nix, плюс хотя бы какой-нибудь серверный опыт с HP и IBM. Всё это познаётся на курсах, семинарах для студентов от крупных компаний (они чаще всего бесплатные, например, КРОК регулярно проводит обучение для студентов по разным направлениям, информация доступна здесь. Ряд вещей, вроде умения работать с паяльником — это чисто домашняя практика. Кстати, сам паяльник вам не понадобится, но вот понимание железа на низком уровне — очень даже.

Ещё одна важная часть работы безопасника — это некоторая социальность. Дело в том, что меры безопасности практически всегда так или иначе замедляют работу процессов компании, и людям приходится объяснять, почему это необходимо. Отстаивать каждое решение, проводить тренинги, доказывать свою правоту руководству и так далее. Ещё один аспект — это уже упомянутая работа с социальной инженерией, которая просто обязательно требует хотя бы базовых знаний психологии.

Первая работа

На выходе из ВУЗа будущий герой безопасности либо никому не нужен (в целом), либо воспринимается как отличный стажер для крупного бизнеса. Причина в том, что всё в работе зависит от конкретного окружения и конкретных угроз. То есть обучиться можно только на практике именно в той компании, где предполагается рост.

Отсюда три вывода:

  • Хорошо рассчитывать на многолетнюю карьеру в одном месте.
  • Чем раньше вы начнёте знакомиться с будущей компанией — тем лучше. Оптимально — проходить практику прямо в ней.
  • Важно в целом развивать личные качества вроде системного мышления и ответственности — они пригодятся в любых условиях.

Очень важен наставник-ментор — скорее всего, старший специалист или руководитель, который будет вводить в курс всего, рассказывать про практические особенности и объяснять, какие грабли были раньше. Без него вы обречены на повторное хождение по ним же.

Дальше в целом есть два частых варианта — либо вы растёте в одной компании. Либо набиваете кучу шишек на первом месте работы, и уже будучи побитым, но опытным, циничным и настороженным, начинаете работать на больший оклад в другом месте.

Образ жизни и перспективы

Достаточно частый вопрос от студентов — «кого качать: сисадмина или безопасника»? У опытных людей это сопоставление вызывает улыбку: это как сравнивать тёплое с мягким. На первых порах заработки примерно одинаковые. У безопасника больше шансов на успешную руководящую карьеру, но и больше ответственности: ранняя седина, сердечно-сосудистые заболевания и другие следствия постоянного стресса — это профессиональные риски. Сисадмин, конечно, тоже волнуется, но в случае его провала дело ограничивается головомойкой и восстановлением из бекапа.

«Прокачанный» безопасник получает больше, поскольку, опять же, ближе к принятию решений (и рискам) компании. В крупном бизнесе правила в этой сфере простые — чем больше на тебе рисков, тем больше доход.

Работа специалиста по ИБ часто накладывает отпечаток на образ жизни. Во-первых, профессию не принято афишировать. Несколько ваших знакомых веб-дизайнеров, сисадминов, менеджеров по продажам или-что-там-ещё могут оказаться куда выше в иерархии компании — и на самом деле работать в безопасности. Собственно, я знаю нескольких человек на Хабре, у которых в профиле написана совсем другая должность, нежели в реальности.

Во-вторых, иногда встречаются ограничения по поездкам. В детали здесь вдаваться не буду, но если коротко — в расчёте на карьеру в ряде государственных компаниях английский лучше учить дома, а не регулярно выезжать на практику в другие страны. Поскольку опыт в профильных государственных структурах и службах ценится высоко, лучше об этом думать заранее.

Как правило, на ключевых позициях в службах ИБ в корпоративной среде (в компаниях с многолетней историей) доминируют люди в погонах или с аналогичным прошлым. Это свой мир, свои ценности, критерии счастья и правды.

Пограничные специальности

При развитии бизнеса (в молодых структурах) очень часто безопасник вырастает или из системного администратора, или из кого-то из разработки, например, проект-менеджера. Просто в какой-то момент становится понятно, что нужен человек, который возьмёт на себя ряд обязанностей — и у кого-то получается легче и проще. Куда реже безопасник получается из финансового аналитика (или чего-то подобного) или юриста (кстати, это одна из немногих гуманитарных профессий, из которой можно перейти в ИБ).

Из оформившегося специалиста по ИБ может вырасти либо специалист по управлению рисками (это уже финансы), на практике — параноик, показывающий, где и что нужно резервировать, плюс как восстанавливаться в каких ситуациях. Это случается в крупном бизнесе, и в России сейчас тематика Disaster Recovery только начинает приобретать популярность. Возможен и обратный процесс, когда сначала потребуется закрыть риски технической инфраструктуры, а уже потом этот процесс перейдёт в обеспечение безопасности в более широком плане.

Поддержание в форме

Каждый день нужно выделять около часа на образование: это единственный шанс оставаться в целом подготовленным к тому, что происходит с технологиями. Нужно постоянно читать конкретику по известным ситуациям взломов, осваивать новые системы — и при этом всё время думать как злоумышленник снаружи. Именно для такого обучения и создавался симулятор Cyber Readiness Challenge: созданная специалистами Symantec по ИБ с большим опытом, моделируемая сеть корпорации содержит характерные детали для многих крупных сетей.

Сложность в том, что быть готовым ко всему просто нельзя. Если лет 15 назад действительно можно было знать все без исключения особенности своей технической среды, то сейчас хакеры атакующей группы (например, конкурентов или, что куда чаще — мошенников) будут по умолчанию более подготовленными в конкретных технологиях. Это значит, что вам либо нужно иметь в своём штате специалистов-виртуозов с узкими специализациями, либо знать таковых, чтобы в случае проблем иметь возможность быстро с ними посоветоваться или привлечь для решения проблемы.

Разумеется, в форме нужно поддерживать не только себя, но и свой отдел, а также вообще всех людей в компании. Здесь два простых принципа — аудиты-проверки и учебные тревоги.

Напоследок

Разумеется, выше описан некий собирательный образ, который может радикально отличаться от того, что есть в вашей компании. У каждого свои потребности и свои исторически сложившиеся принципы, поэтому подход к безопасности может быть очень разным.

Поскольку в сфере ощущается острый дефицит людей с опытом, мы регулярно проводим разные обучающие мероприятия. Как я уже говорила, ближайшее крупное — это турнир CRC (организаторы — Symantec и мы, КРОК). Приходите участвовать, если хотите максимально применить свои знания.

Этот турнир поможет не только дать знания участникам, но и получит традиционную огласку в СМИ (вот отчёты с прошлых, например). Ожидаем эффекта, который будет ощутимо полезен для сферы.

Автор: dinabur

Источник

Оставить комментарий