Я б в ИБшники пошёл, пусть меня научат
Говорят, что наше время человеку в течение жизни придётся сменить несколько карьер. В то же время дальше постулирования данной проблемы дело, как правило, не заходит. Не претендуя на то, чтобы сделать этот материал всеобъемлющим, на примере своей сферы деятельности хочется поразмышлять как это могло бы выглядеть в реальности: с одной стороны с какими сложностями человек может столкнуться, а с другой как его реальный опыт может помочь ему освоиться в новой роли.
Давно известно, что все мы разные, а также то, что к очередному жизненному этапу мы подходим с вполне определённым ресурсным багажом — профессиональный опыт, социальные навыки, нетворк, капитал — не использовать который было бы недальновидно.
На то, чтобы поделиться размышлениями, меня навел свой собственный опыт, в рамках которого я по сути два раза целенаправленно приходил/возвращался в информационную безопасность из ИТ, а также работа с начинающими специалистами в качестве ментора, которая показывает, что знание своего типа личности помогает понять в какой конкретно роли мы можем себя реализовать лучшим образом.
Пример из жизни: молодой человек, студент, обучающийся на кафедре информационной безопасности, тщетно ищет в себе технаря (пентестера, админа и т.п.), страдает от того, что ему это не интересно в то время как все друзья вокруг уже в теме. Разговариваем с ним; подозревая несостыковку, предлагаю пройти тест и выяснить свой тип личности (см. MBTI — рекомендую!); выясняем, что он EFSP (кодовое название «Развлекатель»); вспоминаем, что в своей жизни он успел отметиться вожатым в лагере, барменом и организатором мероприятий; приходит в голову мысль: «а не хочешь ли попробовать себя в качестве, скажем, PM?» … через месяц человек устраивается в ИБ контору как PM и работает в своей ИБшной теме, выполняя те задачи, которые ему натуральным образом свойственны. Все счастливы.
NB: как вы, возможно, уже заметили про психоанализ выше сказано существенно больше, чем про информационную безопасность, и это не случайно. Инфобез, в контексте этой статьи используется исключительно потому, что это моя сфера деятельности и давать примеры из неё сильно проще. По ходу чтения, можете спокойно представлять примеры из других отраслей. И, да, кстати: т.к. корочки с приставкой «психо» у меня нет, все рассуждения касательно «типа личности» и тому подобного выше и далее по тексту просьба воспринимать исходящими от любителя, самостоятельно разобравшегося в вопросе.
Важно отметить, что этим коротким текстом я бы не хотел вызвать ложного ощущения, что всё возможно или что всё просто. Например, я с трудом могу представить, как профессиональному музыканту или художнику (тем, которых можно охарактеризовать как «творцы») «перейти в ИБ»; в то же время я сомневаюсь, что они туда сильно хотят … И, естественно, это не «просто» — бесплатный сыр бывает только в мышеловке. Надо приложить очевидные усилия и смиренно принять ограничения, имеющиеся в ситуации, когда ты берёшься за что-то новое.
Работая над текстом, в качестве субъектов, желающих перейти в ИБ, я мысленно представляю тех, кто так или иначе участвует в бизнес процессах: технари, управленцы, учёные, менеджеры проектов, сэйлзы, маркетологи, консультанты, предприниматели, юристы, HRы и другие.
Итак, если говорить про сложности.
Если сравнить людей «из ИБ» и «не из ИБ», то логически единственное объективное преимущество первых в контексте работы в данной сфере — это наличие хард скиллов, наличие которых позволяет иметь авторитет среди коллег и клиентов. Соответственно, последним есть смысл поработать в этом направлении, чтобы быть в теме. Важной задачей при этом является спланировать для себя дорожную карту развития и избавить себя от лишних телодвижений. Условно, сэйлзу, который собирается продавать межсетевые экраны не нужно постигать азы тестирования на проникновение на курсе «Специалист по ИБ». Не поймите неправильно: если интересно разобраться, то вперёд! Будущий работодатель и клиент будут только «за» — каждый выбирает как инвестировать своё время и деньги.
Другая сложность — психологическая, и связана она с тем, что смена рода деятельности подразумевает, переход в среду, где у вас ещё нет авторитета и его надо снова, практически с нуля, зарабатывать. Не каждый к этому готов. В то же время, если принять, что карьеру менять именно «придётся», то, возможно, есть смысл научиться в момент, когда нужно принять решение и засучить рукава, засовывать своё эго в задний карман брюк. Не будем так же забывать и про финансы. В отличие от психологической составляющей, это вполне себе объективный фактор, который зависит от того какую пользу вы приносите, но так или иначе, это всё ещё про авторитет.
Как реальный опыт и ресурсы могут помочь освоиться в новой роли.
Такие роли как менеджер проектов, сэйлз, маркетолог, владелец продукта и ряд других, можно считать не привязанными к конкретному продукту или услуге. К этой ситуации неплохо подходит студенческий метод «методичка есть — разберёмся». В первом приближении выглядит так, что в этом случае наиболее целесообразно постигать специфику прямо в процессе работы, постепенно развиваясь. В этом помогают универсальные умения по выстраиванию взаимоотношений, планированию, координинации, приоритизации, поиску решений и др. Если человек успешен в такой роли уже, скорее всего при должном интересе к новому продукту, у него всё тоже получится.
Более того (опять же — не новость), иногда отсутствие знаний, помогает; например, в ситуации, когда требуется посмотреть на проблему глазами другого человека, скажем, клиента, а не фокусироваться на том насколько наш продукт классный внутри или какие высококлассные люди работают в компании. Недавно услышал прекрасную фразу: «суп лучше варить, находясь снаружи кастрюли» — к этому контексту тоже немного подходит.
Если говорить про технарей, то админу освоить управление СЗИ не должно составить большого труда; девелоперу, разобраться как реверсить код — тоже; тестировщику поиск уязвимостей также может показаться чем-то родным; как и девопсу — настройка SAST в CI/CD. Ключевой момент в том, что при такой смене нужно переключить свой мозг в режим «security first» — если это по духу, то проблем быть не должно.
Говоря про руководителей, надо понимать, что чем выше ты поднимаешься, то в твои задачи в первую очередь входят вопросы, связанные со стратегией, финансами, рисками, наймом и тп. Из моей практики выглядит так, что интерес к своей команде, стремление понять суть проблемы, умение слышать в купе с правильными практиками менеджмента — вполне себе достаточный джентельменский набор для руководителя в любой отрасли.
Нетворк. Нетворк может помочь самым разным и часто неожиданным образом. Можно продолжить работать с теми же клиентами; можно продолжить работать по новому направлению с поставщиками, в надёжности которых уверен; можно воспользоваться советом. Например, во время второго захода в ИБ, мне было нужно начать работать с регуляторикой, чего я раньше не делал. Мне помог совет от коллеги-консультанта, который предложил «смотреть на регуляторику как на код» — там и определения, и объекты, и функции, и ссылки (в т.ч. битые), и патчи; там и хороший код, и ужасный код — в общем всё, как полагается.
Финансы. Обучение стоит денег; плюс, финансовая подушка никому ещё не мешала. Надо тратиться на обучение постоянно, тогда и траты на переход в новую роль, когда бы он не потребовался, не будут выбиваться из общей колеи. Стоит учитывать, что чем выше желаемая позиция, тем дольше её придётся искать и есть хороший шанс, что первое время доход может слегка просесть (см. пункт про сложности).
Резюмируя
Основная мысль, которую хотел донести и обсудить, заключается в том, что успех перехода в ИБ новую отрасль определяется не только и не столько профессиональными знаниями, сколько в первую очередь софт скиллами и сильными сторонами личности. Последние у вас есть уже и они являются ключевым подспорьем как в развитии, так и смене карьеры. На освоение харда требуется время, но это, как говориться: «дело техники».
В связи с этим хотел бы отдельно упомянуть всем известный, но редко используемый корректно, SWOT анализ. Не буду расписывать саму матрицу, т.к. это прекрасно сделано 100500 раз; отмечу лишь то, как при выполнении упражнения уйти от субъективизма в оценке своих сильных/слабых сторон и возможностей/угроз, и перейти к чёткой бинарной структуре. Так вот: сильные и слабые стороны оцениваем относительно конкурентов (чем вы лучше / в чём они превосходят вас), а возможности и угрозы — относительно рынка (высокие ли на рынке зарплаты, открываются ли новые компании, есть ли потребность в специалистах, и тп).
Что делать дальше после того как всё распределено по своим квадрантам тоже, как правило, описывается, но тем не менее приведём один из вариантов, который лично мне заходит:
Сильные Стороны && Возможности => используем;
Слабые Стороны && Возможности => устраняем слабые стороны (либо соглашаемся, что готовы упустить возможности);
Сильные Стороны && Угрозы => купируем, снижаем риски;
Слабые Стороны && Угрозы (зона беззащитности) => Думаем как защититься, либо принимаем риск;
Как это применить к переходу в ИБ оставляю на размышления читателя.
Закончить хотелось бы на позитивной ноте и сказать, что ИБ как сфера деятельности действительно очень широка и предполагает большое количество возможностей для специалистов с самым разным бэкграундом. В отношении хард скиллов ошибочно полагать, что есть хард скилл «информационная безопасность». Зачастую, общего между, скажем, двумя технарями «из ИБ» и «не из ИБ», или двумя менеджерами проектов «из ИБ» и «не из ИБ» больше, чем в ситуации, когда оба они — технарь и PM — «из ИБ».
DISCLAIMER: автор не несёт ответственности за принятые читателем карьерные (и любые другие) решения, принятые в результате прочтения статьи.
