От джуниора до директора: байки одного безопасника
На старте карьеры кажется, что более успешные коллеги далеко пошли, потому что с самого начала знали, в каком направлении нужно прикладывать усилия. Но со временем появляется понимание, что «тайного знания» о некой «выигрышной последовательности действий» нет и быть не может. Однако вполне можно сформулировать общие принципы развития, которые помогут добиться успеха в своей области, если, конечно, прикладывать к этому достаточный объем усилий. Об этом и поговорим под катом.
Меня зовут Дмитрий Гадарь, я работаю руководителем департамента информационной безопасности Tinkoff.ru. Среди моих основных задач на данный момент — планирование стратегии и развитие культуры информационной безопасности в организации. Руковожу командой, включающей четыре управления, которые обеспечивают противодействие внутреннему мошенничеству, реагирование на инциденты, инфраструктуру информационной безопасности и compliance, а также application security. До этого работал инженером в системных интеграторах и криптоаналитиком в компании ЛАНКрипто. Получив опыт в разработке и внедрении систем, перешел в банки — Raiffeisen, Barclays, General Electric, ФК Открытие. За время своей карьеры я прошел все уровни корпоративной иерархии, начав с самого первого — студента, работавшего в буквальном смысле за еду.
Поскольку на Хабре любят истории, я решил поделиться своей с той целью, чтобы сегодняшние студенты могли взглянуть на чужой опыт и набить поменьше шишек на своем карьерном пути. Расценивайте это как пятничное чтиво, хотя я постараюсь дать ряд советов, где это будет уместно.
Все начинается с образования
Стек технологий, используемых в информационной безопасности, да и спектр потенциальных угроз постоянно меняется. Быстрая смена ландшафта обесценивает навыки в области конкретных инструментов, но есть фундаментальные знания и умения, которые сегодня востребованы точно так же, как и 10 лет назад. Именно они помогают развиваться.
На этапе выбора вуза немногие задумываются о ликвидности знаний в какой-то отдаленной перспективе. Выбирают в соответствии с любимым предметом. Так же сделал и я. Но я выбрал наиболее сильный университет из тех, куда поступил, — попал в МИФИ на кафедру криптографии — по сути математики в чистом виде. Только потом все это переросло в программирование и смежные области.
На мой взгляд, важнейший элемент, который дает вуз, — структура в голове, адаптированная для освоения и фильтрации больших потоков информации. Я сейчас вряд ли вспомню дословно некоторые определения, да и теорему Коши для теории групп не докажу, не прочитав ее ни разу. Но структурой, которую заложил Университет, я пользуюсь постоянно. Любая верхнеуровневая задача у меня в голове раскладывается на маленькие кубики, и я сразу вижу ее практическую реализацию до деталей. Это позволяет довольно глубоко погружаться в каждую из встречающихся задач.
Лучший совет, который можно дать сегодняшним абитуриентам — постараться найти учебное заведение, которое будет по силам, но потребует максимальных трудозатрат, чтобы с самого начала заложить необходимый базис. В целом — на время обучения не стоит искать легких путей, а стараться получить максимум пользы от обучения. При этом базовыми предметами для изучения, на мой взгляд, являются математика (и производные в виде алгебры, криптографии и пр.) и программирование на низкоуровневых языках — они позволяют осваивать и структурировать бОльшие объемы полезной информации, эффективно ей оперировать, отделять главное от второстепенного.
А для развития практических навыков лучше всего идти работать и стараться получить их в реальных условиях. При этом стоит внимательно отнестись к выбору работодателя и заранее обсудить, что конкретно предлагается делать на работе (чтобы стартовать практику для развития реальных технических навыков, а не заниматься перекладыванием бумажек, но в крутой компании).
Первая работа — первый опыт
Маловероятно, что первая работа определит ваш карьерный путь. Однако она обеспечит опыт реальных проектов, необходимый для поиска «своей» сферы. Только так можно понять, чем вам интересно заниматься и что именно для вас важно в окружении.
Кроме того, это шанс подтянуть необходимые знания, если вдруг они прошли мимо вас в вузе. Сейчас ко мне на собеседования на позицию джуниора иногда приходят ребята, которые не знают базовых вещей: как устроена сеть, как работают операционные системы, что такое модель OSI. Все это — основные принципы, без знания которых сложно будет развиваться не только в информационной безопасности, но и в ИТ в целом.
Важно помнить, что базу знаний надо не только набрать, но и постоянно развивать. Даже те, кто в основном взаимодействует с бизнесом, должны понимать техническую инфраструктуру, в которой работает организация, чтобы правильно транслировать требования, делать решения безопасными. Часто бизнес говорит на своем языке, ИТ воплощают это в своей специфике, а информационная безопасность должна быть тем мостиком между двумя мирами, который помогает сделать правильную защищенную архитектуру. Т.е. информационная безопасность должна участвовать во всех стадиях и этапах реализации проектов, глубоко погружаться в каждый аспект. Например, в бизнес-требования к решению. Минимальные не критичные для самого бизнеса изменения в этих требованиях зачастую позволяют сделать продукт «secured by design» — повлияв на продукт в самом начале, что исключит необходимость применения дорогостоящих, и не всегда эффективных средств защиты для небезопасных продуктов. Таким образом цикл безопасной разработки или внедрения должен включать в себя не только понимание, на каких серверах будет установлен продукт, как он интегрируется с существующей инфраструктурой, но также глубокое понимание бизнес-процесса и новых рисков для бизнеса.
Рост вглубь и вширь
Путь безопасника — это путь постоянного развития. Но с моей точки зрения в этом процессе меньше всего нужно смотреть на предлагаемую должность. Время, когда меня волновала позиция или строка в трудовой книжке, прошло — я уже был вице-президентом, директором департамента и т.п. Так что теперь называйте хоть рядовым специалистом. Гораздо важнее для меня участвовать в безопасном развитии бизнеса, иметь возможность реализовывать изменения и видеть результат своей работы.
Развиваясь в рамках информационной безопасности, не стоит ограничиваться какой-то одной позицией или направлением, к примеру, только лишь криптографией. Это слишком узкая специфика — надо интересоваться чем-то большим. И я считаю, что можно пренебречь некоторыми преференциями в деньгах или в должности, особенно в начале карьеры, предпочитая более интересную и может быть сложную и ответственную работу.
Самый странный переход, который был у меня — из управления Public key infrastructure в создание антифрод системы. Это был 2008 год — первый финансовый кризис при достаточном развитии интернета и, наверное, первая волна мошенничества в системах дистанционного банковского обслуживания. Практически ни одна организация не была к этому готова, это было новое направление. Мы с ИТ начали на коленке строить антифрод и внедрять базовые меры по защите. Для меня это был абсолютно новый опыт построения профилей клиентов, выявления мошенников, отслеживание их поведения. Естественно, в должностных обязанностях у меня не было написано ничего подобного. Мне просто было интересно развиваться куда-то вширь. Впоследствии этот интерес вырос в новые карьерные возможности, которые, в свою очередь, открывали новые перспективы в знаниях.
Лично мне несколько первых работодателей обеспечили хороший старт и общее понимание того, что происходит в отрасли — дали разнородный опыт, который помог сориентироваться. Я попробовал себя и в программировании, и в администрировании. И это полезные навыки, которые нужны мне до сих пор, и я стараюсь их развивать. Благодаря этому я могу общаться с ИТ если не на одном, то на близком уровне, потому что знаю, как все устроено изнутри, как это работает. Могу разговаривать с программистами, потому что сам когда-то писал код. Сейчас я вряд ли смогу без подготовки написать оптимальный код, но имеющегося у меня опыта достаточно для более продуктивного общения.
В целом нужно как можно больше углубляться в знания, пытаться обработать и структурировать новую информацию, ведь чем больше ты накапливаешь знаний, тем проще предлагать безопасные решения. Если же развития нет — пора подумать о смене работы.
Надо помнить, что информационная безопасность — это не IT-security. Недостаточно поставить антивирус или любое другое решение и правильно его настроить. Это так не работает.
Информационная безопасность должна погружаться во все проекты и бизнес-процессы. И чем глубже ты погружаешься, тем больше понимаешь, что ты очень мало знаешь, и тем больше видишь пути развития вширь. В этом, на мой взгляд, большой плюс данной области — практически нет предела горизонтальному развитию специалиста.
Второй момент заключается в том, что знания, как и техническую базу, надо постоянно пересматривать. Если внедрены какие-то решения в информационной безопасности, это не означает, что они внедрены правильно или с течением времени не стали небезопасными. Безопасник — это призвание, определенный подход к работе с некоторой долей паранойи. И это правильно, потому что безопасность постоянно должна быть в голове: надо пересматривать свои же решения, опасаться, что ты предложил не самый лучший подход.
Если в какой-то момент безопасник решает, что у него все хорошо (полностью безопасно), наверное, он перестает быть безопасником. Я не видел хороших специалистов в этой сфере, остановившихся в развитии.
Информационная безопасность — это процесс, а не какой-то конечный результат. И если этот процесс остановить, постепенно организация придет в небезопасное состояние. Чтобы процесс не останавливался, должны быть инструменты для его поддержания, причем они должны быть реализованы так, чтобы не мешать, а помогать бизнесу зарабатывать деньги. К примеру, по итогам нашего включения в проекты в Банке Открытие через некоторое время бизнес сам приходил к нам и просил принять участие в проектах. Это правильный подход — когда бизнес сам заинтересован в реализации безопасных продуктов и знает, что есть безопасность, которая не будет препятствовать его внедрению, а поможет сделать его безопасным.
Надо постоянно ставить перед собой челленджи. К примеру, для меня одним из последних таких челенджей был переход в Tinkoff.ru. Это не классический банк, а нечто среднее между финансовой организацией и ИТ-компанией. Соответственно, и подход к безопасности здесь не «запретительный», что мне очень близко.
Информационная безопасность должна помогать снижать угрозы для бизнеса, она должна предлагать альтернативу или каким-то иным образом сокращать выявленные риски. Подход к работе в Tinkoff.ru подобен General Electric или другим американским компаниям. Здесь можно что-то сделать и сразу увидеть результат своей работы, при этом не ощущать каких-то препятствий на своем пути, вроде реплик «это не моя обязанность». Если ребята или команды видят, что это действительно нужно делать, они берут и делают. В такой среде мне нравится взаимодействовать с другими командами и выстраивать информационную безопасность при поддержке руководства и коллег.
И когда вы будете подыскивать себе очередное место работы, нужно присматриваться к внутреннему климату в компании и тем установкам, которые там диктует внутренний HR. Чаще всего удачные практики встречаются в крупных компаниях с западным менеджментом. Очень важно обратить внимание на команду и вектор развития той области, в которую вы идете. Спросите на собеседовании, какие у команды были достижения за последние полгода, какие цели на следующий квартал стоят перед компанией и вашим подразделением, какая роль в их достижении будет отведена вам?
Специалист или руководитель?
Лидерство и управление командой — не всегда естественный шаг развития технического специалиста. Но на определенном этапе я понял одну простую вещь.
Лидерство — это навыки, которые надо развивать также, как и технические знания. Вряд ли можно, не имея какого-то особого дара, с нуля эффективно управлять командой. В целом это такая же работа над собой, как и развитие технических скиллов.
Нужно регулярно общаться с командой, обсуждать плюсы / минусы, доносить их правильно. Необходимо формировать культуру в команде и отслеживать соответствие ей. Чтобы научиться этому, я ходил на различные тренинги по управлению, по обратной связи, смотрел, как ведут себя эффективные руководители, применял полученные знания на практике.
В свое время большой толчок к развитию лидерства дала мне ИТ-директор General Electric, которая сама была очень крутым лидером, управляла огромным ИТ-подразделением, при этом не являясь глубоким ИТ-специалистом. Наблюдая за ее работой, я пытался взаимодействовать с командой, запрашивать обратную связь и оценивать поведение команды, как оно меняется, насколько эффективно используемые меры воздействия. В соответствии с внутренней культурой General Electric команда также давала обратную связь моему руководителю, и он обсуждал с ними без меня, что происходит эффективно, а что неэффективно, и давал комментарии мне.
При устройстве на работу, где вы планируете прокачивать свои административные скиллы, важно понимать какая культура по управлению персоналом заложена в организации. Обычно в западных компаниях она более развита, в государственных — менее. Стоит задать вопросы, имеющие отношение к управлению, — есть ли культура обратной связи, как она организована, как часто руководитель встречается с командой и каждым непосредственным подчиненным, как происходит развитие soft skills? Нужно понимать спектр вопросов, возникающих на встречах: обсуждается ли подход к выполнению задач (а не только статус их выполнения) или положительные качества сотрудников и области развития? Каждый из упомянутых пунктов поможет быстрее продвигаться на административном поприще.
На начальном этапе многие руководители совершают типичные ошибки и хорошо, если есть наблюдатель, который может на них указать. К примеру, есть молодые управленцы, которые не готовы настаивать на своем мнении или жестко пресекать самовольное изменение планов или неэффективное управление ожиданиями.
Это бизнес. И мы должны вести себя в соответствии с задачами организации. Все мы здесь для того, чтобы достигать определенных целей. И люди должны уметь работать в команде. А задача руководителя — объединить эту команду, чтобы каждый член работал наиболее эффективно. Иногда для этого требуется некоторая жесткость. Ее отсутствие или переход на дружеские отношения внутри команды могут повредить управлению. Есть начинающие руководители, которые позволяют команде расслабиться. Например, я считаю неприемлемым, если человек не пришел на встречу, которую назначил руководитель. А есть ребята, которые это прощают. Но так не должно быть. Это не дружеская посиделка, а, допустим, командное планирование. Если человек не пришел, важно отвести его в сторону и поговорить, чтобы этого больше не повторялось, т.к. это мешает достижению целей. Некоторым ребятам сложно провести такой разговор, потому что он не самый приятный. Но избегание конфликтных ситуаций может приводить к снижению значимости лидера и потере управляемости командой в целом.
На моем опыте корпоративное управление персоналом лучше развито в крупных компаниях. В небольшом бизнесе отношения выстроены на персональном общении всех членов организации между собой, а серьезные вложения в управление персоналом тут выглядят малоэффективно. Наверное, именно General Electric подтолкнула меня к тому, что всем этим необходимо серьезно заниматься, не меньше, чем планированием стратегии или какими-то конкретными техническими решениями.
Естественно, сфера ответственности руководителя не ограничивается взаимодействиями внутри команды. Приходя в новую организацию, приходится не только вникать в новые технологические задачи, но и выстраивать отношения с коллегами того же уровня, развивать культуру безопасности.
В сфере ИБ крайне важно взаимодействие и построение кроссфункциональной безопасности. Для этого необходимо выстроить эффективные коммуникации с бизнесом, с операционными подразделениями, с рисками, со всеми остальными. И с этой точки зрения руководителю по информационной безопасности важно понять, в какую среду он попадает и сможет ли он эффективно выстроить коммуникации с теми людьми, которые находятся на том же уровне, что и он.
Умение управлять командой — это тоже путь самосовершенствования, на котором постоянно делаешь новые открытия. К примеру, не так давно я понял, что давно перешел ту грань, когда опасался нанимать ребят умнее себя. Наоборот, я стараюсь нанять супер-сильную «команду мечты», где я могу чему-то учиться у каждого.
В начале карьеры я к этому относился иначе, как и многие другие руководители.
Рекомендации
Вместо итогов хочу дать несколько рекомендаций. Главная — постоянно учиться, и не только на работе. Крайне важно самостоятельно изучать новые технологии и тренды в ИТ и информационной безопасности, чтобы оставаться на волне. Если вы столкнулись с чем-то и не до конца понимаете технологию, важно потратить время на ее изучение. А вот глубина этого изучения может различаться, в зависимости от поставленных задач — от 15-минутного ролика на youtube до прохождения полноценного курса.
По каждому направлению есть литература, но лучше читать что-то, посоветовавшись с экспертом в выбранной области. Мой «обязательный минимум»:»7 навыков высокоэффективных людей» Стивена Кови. Наверное, это одна из самых крутых книг по личной эффективности. Я часто вижу неэффективную работу, и там прямо написано, как этого избежать.
Можно посещать конференции. По практической безопасности могу порекомендовать:
- в России — Positive Hack Days, Zeronights, СyberСrimeСon и, возможно, OFFZONE;
- за рубежом — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
Что касается курсов, то на мой взгляд они должны быть прикладными, развивающими определенный навык. И совершенно не обязательно это должны быть управленческие навыки. Часто сильные технические профи становятся плохими руководителями или лидерами, теряя технические навыки и с большим трудом приобретая базовые навыки по управлению. Управление, на мой взгляд, перестало быть естественным шагом по развитию технических специалистов. Если вы не расположены к управлению людьми, стоит продолжать развиваться на техническом поприще. При этом на практике стоимость хорошего технического эксперта часто выше, чем его руководителя.