ジュニアからディレクターへ：ある警備員の物語

キャリアの開始時に、成功した同僚は長い道のりを進んでいるようです。なぜなら、彼らは最初からどの方向に努力すべきかを知っていたからです。 しかし、時間が経つにつれて、特定の「勝つ一連のアクション」について「秘密の知識」は存在せず、存在することはできないという理解があります。 ただし、もちろん十分な努力を払えば、あなたの分野で成功を収めるのに役立つ開発の一般原則を策定することはかなり可能です。 これについては、以下で説明します。







私の名前はDmitry Gadarです。Tinkoff.ruの情報セキュリティ部門の責任者です。 現時点での私の主なタスクは、戦略を計画し、組織内の情報セキュリティの文化を発展させることです。 私は、内部不正防止、インシデント対応、情報セキュリティおよびコンプライアンスインフラストラクチャ、アプリケーションセキュリティを提供する4つの部門を含むチームを率いています。 それ以前は、システムインテグレーターのエンジニアおよびLANKriptoの暗号解読者として働いていました。 システムの開発と実装の経験を積んだ後、彼は銀行に移りました-ライファイゼン、バークレイズ、ゼネラル・エレクトリック、FCディスカバリー。 私のキャリアの中で、私は企業のヒエラルキーのすべてのレベルを最初から始めました-学生は文字通り食物のために働きました。



人々はHabréのストーリーが大好きなので、今日の学生が他の人の経験を見て、キャリアパスの衝突を少なくできるように、目標を共有することにしました。 それを金曜日の読書と考えてください。ただし、必要に応じていくつかアドバイスをします。

それはすべて教育から始まります

情報セキュリティで使用される技術のスタック、および潜在的な脅威の範囲は常に変化しています。 ランドスケープの急速な変化は、特定のツールの分野のスキルを低下させますが、10年前と同じように、今日求められている基本的な知識とスキルがあります。 彼らは開発に役立ちます。



大学を選ぶ段階では、遠い将来の知識の流動性について考える人はほとんどいません。 お気に入りのテーマに応じて選択してください。 私もそうしました。 しかし、私は入学した大学の中で最も強力な大学を選びました-私はモスクワ大学物理学研究所の暗号学科に行きました。これは本質的に純粋な数学です。 その後、すべてがプログラミングおよび関連分野に成長しました。







私の意見では、大学が提供する最も重要な要素は、大量の情報の流れを習得しフィルタリングするようになっている頭の中の構造です。 今、私はいくつかの定義を逐語的に思い出すことはありそうにありませんし、グループ理論のコーシーの定理を一度読まないと証明しません。 しかし、私は常に大学が定めた構造を使用しています。 私の頭の中のトップレベルのタスクは小さな立方体に分解され、私はすぐにその実用的な実装を詳細に見ることができます。 これにより、発生した各タスクを十分に深く掘り下げることができます。



今日の志願者に与えられる最善のアドバイスは、最初から必要な基礎を築くために、できるが最大限の労力を必要とする教育機関を見つけることです。 一般的に-トレーニング中は簡単な方法を探すべきではありませんが、トレーニングを最大限に活用してください。 この場合、私の意見では、研究の基本的な主題は数学（および代数、暗号化などの形の派生物）と低レベル言語でのプログラミングです。大量の有用な情報を習得して構造化し、それを効率的に操作し、主要なものを二次的なものから分離することができます。



そして実践的なスキルの開発のためには、仕事に行って実際の条件でそれらを取得しようとすることが最善です。 同時に、雇用主の選択を慎重に検討し、職場で正確に提案されていることを事前に議論することは価値があります（実際の技術スキルを開発するための練習を開始し、紙片を扱うのではなく、クールな会社で）。

最初の仕事-最初の経験

最初の仕事があなたのキャリアパスを決定することはまずありません。 ただし、「自分の」領域を検索するために必要な実際のプロジェクトの経験を提供します。 これは、あなたが何に興味を持っているのか、そしてあなたの環境であなたにとって何が重要なのかを理解する唯一の方法です。



さらに、大学で突然合格した場合に必要な知識を引き出すチャンスです。 さて、基本的なことを知らない人は、時々、下級職でのインタビューのために私のところに来ます。ネットワークの仕組み、オペレーティングシステムの仕組み、OSIモデルとは何か。 これらはすべて基本的な原則であり、知識がないと、情報セキュリティだけでなくIT全体での開発も困難になります。



知識ベースは蓄積されるだけでなく、絶えず開発されなければならないことを覚えておくことが重要です。 主にビジネスと対話する人でさえ、要件を正しく翻訳し、安全に意思決定を行うために、組織が運営する技術インフラストラクチャを理解する必要があります。 多くの場合、ビジネスは独自の言語を話しますが、ITはこれを具体的に具体化しており、情報セキュリティは、適切なセキュアアーキテクチャを構築するのに役立つ2つの世界の架け橋になるはずです。 つまり 情報セキュリティは、プロジェクトの実装のすべての段階と段階に関与し、あらゆる側面に深く没頭する必要があります。 たとえば、ビジネス上の意思決定要件。 ビジネス自体にとって重要ではない最小限の変更により、製品を「設計によって保護」することができます。最初は製品に影響を与えます。これにより、安全ではない製品を保護するための高価で必ずしも効果的な手段が不要になります。 したがって、安全な開発または実装のサイクルには、製品がインストールされるサーバー、既存のインフラストラクチャとの統合方法の理解だけでなく、ビジネスプロセスとビジネスの新しいリスクの深い理解も含まれる必要があります。

深さおよび幅の成長

安全パスは、継続的な開発のパスです。 しかし、私の観点からすると、このプロセスで最もやるべきことは、提案された位置を確認することです。 仕事の本の中で役職や行が心配になった時は、すでに副学長、学部長などでした。 そこで、少なくとも普通の専門家に電話してください。 私がビジネスの安全な発展に参加し、変更を実施し、私の仕事の結果を見ることができるようになることは、私にとってはるかに重要です。



情報セキュリティのフレームワークで開発する場合、たとえば暗号化だけなど、特定の位置や方向に制限されるべきではありません。 これは特異性が狭すぎます-もっと何かに興味があるに違いありません。 そして、特にキャリアの初めに、お金やポジションでのいくつかの選好を無視することができ、より面白く、困難で責任ある仕事になる可能性があると信じています。



私が持っていた最も奇妙な移行は、公開鍵インフラストラクチャの管理から不正防止システムの作成へでした。 それは2008年でした-十分なインターネット開発を伴う最初の金融危機であり、おそらく、リモートバンキングシステムにおける最初の詐欺の波です。 これに対応する組織はほとんどなく、新しい方向性でした。 ITと私はひそかに不正防止を構築し、基本的な保護対策を実施し始めました。 私にとっては、顧客プロファイルの作成、詐欺師の特定、行動の追跡におけるまったく新しい経験でした。 当然のことながら、私の職務にはこの種のものは何も書かれていませんでした。 私はどこかで広範に開発することに興味がありました。 その後、この関心は新しいキャリアの機会に成長し、それが知識の新たな展望を切り開きました。



個人的には、最初の数人の雇用主は私に良いスタートを切り、業界で何が起こっているのかを全般的に理解してくれました。 私はプログラミングと管理の両方に挑戦しました。 そして、これらは私がまだ必要とする有用なスキルであり、私はそれらを開発しようとします。 これのおかげで、私はITと通信することができます。そうでない場合でも、近いレベルで通信できます。なぜなら、すべてが内部からどのように機能するか、どのように機能するかを知っているからです。 私自身もコードを書いたことがあるので、プログラマーと話すことができます。 今、私は準備なしで最高のコードを書くことはできそうにありませんが、私の経験はより生産的なコミュニケーションに十分です。







一般に、知識をできるだけ蓄積し、新しい情報を処理して構造化する必要があります。知識を蓄積するほど、安全なソリューションを提供しやすくなります。 開発がない場合は、転職について考えます。



情報セキュリティはITセキュリティではないことに注意してください。 ウイルス対策またはその他のソリューションをインストールして正しく構成するだけでは不十分です。 それはそのように機能しません。



情報セキュリティは、すべてのプロジェクトとビジネスプロセスに組み込まれるべきです。 そして、深く潜るほど、あなたはごくわずかしか知らないことに気づき、開発の幅が広く見えるようになります。 私の意見では、これはこの分野で大きなプラスです-スペシャリストの水平的な開発に実質的に制限はありません。



2番目のポイントは、技術ベースと同様に、知識を絶えずレビューする必要があるということです。 情報セキュリティでいくつかのソリューションが実装されている場合、これはそれらが正しく実装されたか、時間の経過とともに安全でなくなったという意味ではありません。 金庫とは、職業であり、一定量の妄想に取り組むための特定のアプローチです。 セキュリティは常に頭になければならないため、これは正しいことです。最善ではないアプローチを提案したことを恐れて、自分の決定を再考する必要があります。



ある時点で、警備員がすべてが完全に安全（完全に安全）であると判断した場合、おそらく警備員ではなくなります。 この分野では、開発をやめた優秀な専門家はいません。



情報セキュリティはプロセスであり、最終的な結果ではありません。 このプロセスが停止すると、組織は徐々に危険な状態になります。 プロセスが停止しないように、それをサポートするツールが必要であり、干渉しないように実装する必要がありますが、ビジネスの収益化に役立ちます。 たとえば、Otkritie銀行のプロジェクトへの参加の結果によれば、しばらくして、ビジネス自体が私たちのところに来て、プロジェクトへの参加を求めました。 これは正しいアプローチです。ビジネス自体が安全な製品の実装に関心があり、その実装を妨げないが、安全にするのに役立つセキュリティがあることを知っている場合。



常に課題を設定する必要があります。 たとえば、私にとって最後の課題の1つは、Tinkoff.ruへの移行でした。 これは古典的な銀行ではなく、金融機関とIT企業の間のクロスです。 したがって、ここでのセキュリティへのアプローチは「禁止」ではなく、私に非常に近いものです。







情報セキュリティは、ビジネスへの脅威を軽減するのに役立つはずであり、代替手段を提供するか、特定のリスクを軽減する必要があります。 Tinkoff.ruで働くアプローチは、ゼネラルエレクトリックや他のアメリカ企業と似ています。 ここでは、「これは私の義務ではありません」レプリカのように、パスに障害を感じることなく、何かをして作業の結果をすぐに見ることができます。 みんなやチームがそれを本当にする必要があると思ったら、彼らはそれを取り、それをします。 このような環境では、経営陣や同僚のサポートを受けて、他のチームとやり取りし、情報セキュリティを構築するのが好きです。



また、別の仕事を探しているときは、会社の内部環境と、内部HRによって決定される設定を詳しく調べる必要があります。 ほとんどの場合、成功したプラクティスは、欧米の経営者を持つ大企業で見られます。 チームとあなたが行っている地域の発展のベクトルに注意を払うことは非常に重要です。 インタビューで、過去6か月間に達成したチームの種類、次の四半期の会社と部門が直面している目標、それらを達成するためにどのような役割が割り当てられますか？

スペシャリストまたはマネージャーですか？

リーダーシップとチーム管理は、常に技術スペシャリストの開発における自然なステップではありません。 しかし、ある時点で、私は1つの簡単なことに気付きました。



リーダーシップは、技術的知識と同様に開発する必要があるスキルです。 特別な贈り物がなければ、チームをゼロから効果的に管理することはほとんど不可能です。 一般に、これは技術スキルの開発と同じ作業です。



チームと定期的にコミュニケーションを取り、賛否両論について話し合い、それらを正しく伝える必要があります。 チームで文化を形成し、そのコンプライアンスを追跡する必要があります。 これを学ぶために、私はさまざまな管理トレーニングに参加し、フィードバックで、効果的なマネージャーの行動を観察し、得られた知識を実践に移しました。



かつて、私自身、非常にクールなリーダーであり、巨大なIT部門を管理しながら、深いITスペシャリストではなかったGeneral Electric ITディレクターから、リーダーシップの開発への大きな刺激が与えられました。 彼女の作品を見ながら、チームとやり取りし、フィードバックを要求し、チームの行動、それがどのように変化するか、影響測定がどれほど効果的かを評価しようとしました。 General Electricの内部文化に従って、チームは私のリーダーにもフィードバックを行い、彼は何が効果的で何が効果的でないかについて彼らと話し合い、私にコメントしました。



管理スキルのアップグレードを計画している仕事に応募する場合、組織内の人事管理の文化の種類を理解することが重要です。 通常、欧米の企業では、州ではより開発されており、少ないです。 マネジメントに関連する質問をする価値があります-フィードバック文化、それがどのように編成されているか、リーダーがチームおよび各直属部下とどのくらいの頻度で会うか、ソフトスキルはどのように発達するのですか？ 会議で生じる問題の範囲を理解する必要があります。タスクを完了するためのアプローチ（完了のステータスだけでなく）が議論されていますか、または従業員と開発分野の前向きな資質ですか。 言及された各ポイントは、管理分野でより速く前進するのに役立ちます。



最初の段階では、多くのリーダーが典型的な間違いを犯します。彼らを指し示すことができるオブザーバーがいるのは良いことです。 たとえば、自分の意見を主張したり、計画の不正な変更や期待の非効率な管理を厳しく抑制したりする準備ができていない若いマネージャーがいます。



これはビジネスです。 そして、私たちは組織の目的に従って行動しなければなりません。 私たちはすべて、特定の目標を達成するためにここにいます。 そして、人々はチームで働くことができるはずです。 そしてリーダーの仕事は、このチームを結集して、各メンバーが最も効率的に働くようにすることです。 時にはこれにはある程度の剛性が必要です。 彼女の不在またはチーム内での友情への移行は、経営陣を傷つける可能性があります。 チームをリラックスさせる初心者リーダーがいます。 例えば、リーダーが任命した会議にその人が来なかった場合、それは受け入れられないと考えます。 そして、これを許す人がいます。 しかし、そうではないはずです。 これは友好的な集まりではありませんが、たとえば、チーム計画です。 人が来ていない場合、それが二度と起こらないように、彼を脇に連れて話しかけることが重要です。 目標の達成を妨げます。 一部の人にとっては、このような会話は最も楽しいものではないため、難しいものです。 ただし、競合状況を回避すると、リーダーの重要性が低下し、チーム全体の制御性が失われる可能性があります。



私の経験では、企業の人事管理は大企業でより良く開発されています。 中小企業では、組織のすべてのメンバーの相互の個人的なコミュニケーションに基づいて関係が構築され、ここでの人事管理への深刻な投資は効果がないように見えます。 おそらく、ゼネラル・エレクトリックが私にこのすべてを真剣に対処しなければならないという事実に駆り立てたのは、計画戦略またはいくつかの特定の技術的解決策にほかなりません。



当然、リーダーの責任範囲はチーム内のやり取りに限定されません。 新しい組織に来て、人は新しい技術的課題を掘り下げるだけでなく、同じレベルの同僚との関係を構築し、安全文化を発展させなければなりません。







情報セキュリティの分野では、相互作用と機能横断的なセキュリティの構築が非常に重要です。 これを行うには、ビジネス、運用部門、リスク、他のすべての人との効果的なコミュニケーションを構築する必要があります。 そしてこの観点から、情報セキュリティの責任者は、自分がどのような環境にいるのか、そして彼と同じレベルの人々とのコミュニケーションを効果的に構築できるかどうかを理解することが重要です。



— , . , , , . , - « », - .



, .

推奨事項

. — , . , . - , . , — 15- youtube .



, -, . « »: «7 » . , . , , .



. :

• — Positive Hack Days, Zeronights, yberrimeon , , OFFZONE;
  
  
• — Black Hat Conference, Chaos Communication Congress, OffensiveCon.
  
  

, , . . , . , , . , . , .