Vom Junior zum Direktor: ein Sicherheitsbeauftragter

    Zu Beginn einer Karriere scheint es, dass mehr erfolgreiche Kollegen einen langen Weg gegangen sind, weil sie von Anfang an wussten, in welche Richtung sie sich bemühen sollten. Im Laufe der Zeit besteht jedoch das Verständnis, dass es nicht das "geheime Wissen" einer bestimmten "gewinnenden Abfolge von Handlungen" gibt und nicht geben kann. Es ist jedoch durchaus möglich, allgemeine Entwicklungsprinzipien zu formulieren, die zum Erfolg in Ihrem Bereich beitragen werden, wenn Sie sich natürlich ausreichend bemühen. Wir werden darüber unter dem Schnitt sprechen.



    Mein Name ist Dmitry Gadar, ich arbeite als Leiter der Abteilung für Informationssicherheit Tinkoff.ru. Meine Hauptaufgaben im Moment sind das Planen einer Strategie und die Entwicklung einer Informationssicherheitskultur in einer Organisation. Ich führe ein Team von vier Abteilungen an, das Gegenmaßnahmen gegen internen Betrug, Reaktion auf Vorfälle, Infrastruktur für Informationssicherheit und Compliance sowie Anwendungssicherheit bietet. Zuvor arbeitete er als Ingenieur in Systemintegratoren und Kryptoanalytiker bei Lancrypto. Nachdem er Erfahrungen in der Entwicklung und Implementierung von Systemen gesammelt hatte, wechselte er zu Banken - Raiffeisen, Barclays, General Electric, Otkritie FC. In meiner Karriere habe ich von Anfang an alle Ebenen der Unternehmenshierarchie durchlaufen - einen Studenten, der buchstäblich für Lebensmittel arbeitete.

    Da ich Geschichten über Habré mag, habe ich mich dazu entschlossen, meine Geschichte zu teilen, damit die heutigen Studenten die Erfahrungen eines anderen sehen und weniger Klumpen auf ihrem Karriereweg auffüllen können. Betrachten Sie dies als Freitagslesung, obwohl ich versuchen werde, einige Tipps zu geben, wo dies angebracht wäre.

    Alles beginnt mit der Ausbildung


    Der in der Informationssicherheit verwendete Technologienstapel und die Bandbreite potenzieller Bedrohungen ändern sich ständig. Schnelle Landschaftsveränderungen entwerten die Fähigkeiten bestimmter Werkzeuge, aber es gibt ein grundlegendes Wissen und Fähigkeiten, die heute genauso gefragt sind wie vor zehn Jahren. Sie helfen bei der Entwicklung.

    Bei der Wahl einer Universität denken nur wenige Menschen über die Liquidität des Wissens aus entfernter Perspektive nach. Wählen Sie entsprechend Ihrem Lieblingsthema. Ich habe das gleiche gemacht. Aber ich habe die stärkste Universität unter denjenigen gewählt, die ich betreten habe - ich bin an die Kryptographie-Abteilung des MEPI gekommen - im Wesentlichen reine Mathematik. Erst dann entwickelte sich alles zu Programmierung und verwandten Bereichen.



    Meiner Meinung nach ist das wichtigste Element, das die Universität bietet, die Struktur im Kopf, die für das Beherrschen und Filtern großer Informationsströme ausgelegt ist. Ich kann mich jetzt kaum noch an einige Definitionen wortwörtlich erinnern, und ich kann den Satz von Cauchy für die Gruppentheorie nicht beweisen, ohne ihn einmal zu lesen. Aber die Struktur, die die Universität gelegt hat, benutze ich ständig. Jede Top-Level-Aufgabe in meinem Kopf wird in kleine Würfel zerlegt, und ich sehe sofort ihre praktische Umsetzung im Detail. Auf diese Weise können Sie die einzelnen Aufgaben ganz genau untersuchen.

    Die besten Ratschläge, die den heutigen Bewerbern geboten werden können, sind die Suche nach einer Bildungseinrichtung, die ihr Bestes gibt, aber es erfordert größtmögliche Anstrengung, um die notwendige Grundlage von Anfang an zu schaffen. Im Allgemeinen - für die Dauer des Trainings sollten Sie nicht nach einfachen Wegen suchen und versuchen, den größtmöglichen Nutzen aus dem Training zu ziehen. Meines Erachtens sind Mathematik (und Ableitungen in Form von Algebra, Kryptographie usw.) und das Programmieren in einfachen Sprachen die Grundfächer des Studiums. Sie ermöglichen es Ihnen, große Mengen nützlicher Informationen zu beherrschen und zu strukturieren, um sie effizient zu betreiben und die wichtigsten von den sekundären zu trennen.

    Und für die Entwicklung praktischer Fähigkeiten ist es am besten, zur Arbeit zu gehen und zu versuchen, sie unter realen Bedingungen zu erhalten. Gleichzeitig lohnt es sich, die Wahl des Arbeitgebers sorgfältig zu überdenken und im Voraus zu besprechen, was auf der Arbeit ausdrücklich vorgeschlagen wird (die Praxis zu beginnen, um echte technische Fähigkeiten zu entwickeln, und sich nicht mit dem Wechsel von Papieren befassen, sondern in einem coolen Unternehmen).

    Erster Job - erste Erfahrung


    Es ist unwahrscheinlich, dass der erste Job Ihren Karriereweg bestimmt. Es wird jedoch die Erfahrung realer Projekte bieten, die für die Suche nach "seiner" Sphäre notwendig sind. Nur so können Sie verstehen, woran Sie interessiert sind und was für Sie in Ihrer Umgebung wichtig ist.

    Außerdem ist dies eine Chance, das nötige Wissen zu sammeln, wenn sie plötzlich in der Highschool an Ihnen vorbeigegangen sind. Für mich jetzt, für Interviews, wird die Junior-Position manchmal von Leuten besucht, die die grundlegenden Dinge nicht kennen: wie das Netzwerk funktioniert, wie die Betriebssysteme funktionieren, was das OSI-Modell ist. All dies sind Grundprinzipien, ohne deren Kenntnis es nicht nur in der Informationssicherheit, sondern auch in der gesamten IT schwierig zu entwickeln ist.

    Es ist wichtig zu wissen, dass die Wissensbasis nicht nur typisiert, sondern auch ständig weiterentwickelt werden muss. Selbst diejenigen, die hauptsächlich mit dem Unternehmen interagieren, müssen die technische Infrastruktur kennen, in der das Unternehmen tätig ist, um die Anforderungen richtig umzusetzen und Entscheidungen zu treffen. Häufig spricht ein Unternehmen seine eigene Sprache, die IT verkörpert es in seiner eigenen Spezifität, und Informationssicherheit sollte die Brücke zwischen zwei Welten sein, die dazu beiträgt, die richtige sichere Architektur zu schaffen. Ie Informationssicherheit sollte in alle Phasen und Phasen der Projektumsetzung einbezogen werden und in jeden Aspekt eintauchen. Zum Beispiel in den Anforderungen der Geschäftslösung. Minimale Änderungen, die für das Unternehmen selbst bei diesen Anforderungen nicht ausschlaggebend sind, machen das Produkt oft „durch Design gesichert“ - und wirken sich gleich auf das Produkt aus. Dadurch sind keine kostspieligen und nicht immer wirksamen Abhilfemaßnahmen für unsichere Produkte erforderlich. Zu einem sicheren Entwicklungs- oder Bereitstellungszyklus sollte daher nicht nur ein Verständnis dafür gehören, auf welchen Servern das Produkt installiert wird, wie es in die vorhandene Infrastruktur integriert wird, sondern auch ein tiefes Verständnis des Geschäftsprozesses und neuer Risiken für das Unternehmen.

    Tief und breit wachsen


    Der Weg der Schutzeinrichtung ist der Weg der kontinuierlichen Entwicklung. Aber aus meiner Sicht müssen in diesem Prozess die vorgeschlagenen Positionen am wenigsten betrachtet werden. Die Zeit, als ich mir Sorgen um die Position oder die Zeile in der Arbeitsmappe machte, war vergangen - ich war bereits Vizepräsident, Abteilungsleiter usw. Also jetzt mindestens einen gewöhnlichen Spezialisten anrufen. Viel wichtiger ist es für mich, an der sicheren Entwicklung eines Unternehmens mitzuwirken, die Möglichkeit zu haben, Veränderungen zu realisieren und das Ergebnis meiner Arbeit zu sehen.

    Bei der Entwicklung im Rahmen der Informationssicherheit sollten Sie sich nicht auf eine bestimmte Position oder Richtung beschränken, z. B. auf die Kryptographie. Dies ist eine zu enge Besonderheit - Sie müssen sich für etwas Großes interessieren. Und ich glaube, dass man einige Präferenzen in Bezug auf Geld oder im Amt vernachlässigen kann, vor allem zu Beginn einer Karriere, wobei er interessanter ist und schwierige und verantwortungsvolle Arbeit vorziehen kann.

    Der seltsamste Übergang, den ich hatte, war vom Management einer Public-Key-Infrastruktur hin zur Schaffung eines Betrugsbekämpfungssystems. Es war 2008 - die erste Finanzkrise mit ausreichender Entwicklung des Internets und wahrscheinlich der ersten Betrugswelle in Remote-Bankensystemen. Praktisch keine Organisation war dafür bereit, es war eine neue Richtung. Wir haben die IT auf den Knien gestartet, um Antifraud zu bauen und grundlegende Schutzmaßnahmen einzuführen. Für mich war dies eine völlig neue Erfahrung beim Erstellen von Kundenprofilen, Identifizieren von Betrügern und Verfolgen ihres Verhaltens. Natürlich hatte ich in meinen Pflichten so etwas nicht geschrieben. Es war einfach interessant für mich, mich weiter zu entwickeln. In der Folge wuchs dieses Interesse zu neuen Karrieremöglichkeiten, die wiederum neue Wissensperspektiven eröffnen.

    Für mich persönlich lieferten einige der ersten Arbeitgeber einen guten Start und ein allgemeines Verständnis für das Geschehen in der Branche - sie gaben vielfältige Erfahrungen, die zur Orientierung beitrugen. Ich habe mich in der Programmierung und Verwaltung versucht. Und das sind nützliche Fähigkeiten, die ich noch brauche und ich versuche, sie zu entwickeln. Dank dessen kann ich mit der IT kommunizieren, wenn nicht auf einer, dann auf einer nahen Ebene, weil ich weiß, wie alles von innen funktioniert, wie es funktioniert. Ich kann mit Programmierern sprechen, weil ich einmal den Code geschrieben habe. Nun kann ich ohne Vorbereitung kaum noch den optimalen Code schreiben, aber meine Erfahrung reicht für eine produktivere Kommunikation.



    Im Allgemeinen müssen Sie sich eingehender mit Wissen beschäftigen und versuchen, neue Informationen zu verarbeiten und zu strukturieren. Denn je mehr Wissen Sie sammeln, desto einfacher ist es, sichere Lösungen anzubieten. Wenn es keine Entwicklung gibt, ist es Zeit, über den Jobwechsel nachzudenken.

    Wir müssen bedenken, dass Informationssicherheit keine IT-Sicherheit ist. Es reicht nicht aus, ein Antivirus-Programm oder eine andere Lösung zu installieren und korrekt zu konfigurieren. So funktioniert es nicht.

    Informationssicherheit sollte in alle Projekte und Geschäftsprozesse eintauchen. Und je tiefer Sie gehen, desto mehr erkennen Sie, dass Sie sehr wenig wissen, und desto mehr sehen Sie den Entwicklungspfad in der Breite. Meiner Meinung nach ein großes Plus in diesem Bereich - der horizontalen Entwicklung eines Spezialisten sind praktisch keine Grenzen gesetzt.

    Der zweite Punkt ist, dass das Wissen sowie die technische Basis ständig überprüft werden müssen. Wenn Lösungen in der Informationssicherheit implementiert werden, bedeutet dies nicht, dass sie korrekt implementiert wurden oder im Laufe der Zeit nicht unsicher wurden. Sicherheit ist eine Berufung, ein gewisser Ansatz, mit einer gewissen Paranoia zu arbeiten. Und das ist richtig, denn Sicherheit muss immer im Kopf sein: Sie müssen Ihre eigenen Entscheidungen überdenken, um Angst zu haben, dass Sie den falschen Ansatz vorgeschlagen haben.

    Wenn der Bezopasnik irgendwann entscheidet, dass es ihm gut geht (völlig sicher), hört er wahrscheinlich auf, ein Bezopasnik zu sein. Ich habe auf diesem Gebiet keine guten Spezialisten gesehen, die ihre Entwicklung gestoppt haben.

    Informationssicherheit ist ein Prozess und kein Endergebnis. Wenn dieser Prozess gestoppt wird, wird die Organisation allmählich unsicher. Damit der Prozess nicht aufhört, müssen Werkzeuge zur Aufrechterhaltung vorhanden sein, und diese müssen so implementiert werden, dass sie nicht eingreifen, sondern dem Unternehmen helfen, Geld zu verdienen. Als wir beispielsweise nach einiger Zeit in Projekte bei der Bank Otkritie aufgenommen wurden, kam das Unternehmen selbst zu uns und bat darum, an Projekten teilzunehmen. Dies ist der richtige Ansatz - wenn ein Unternehmen an der Implementierung sicherer Produkte interessiert ist und weiß, dass es Sicherheit gibt, die die Implementierung nicht verhindert, aber dazu beiträgt, die Sicherheit zu gewährleisten.

    Wir müssen uns ständig einer Herausforderung stellen. Zum Beispiel war für mich eine der letzten Personen der Übergang zu Tinkoff.ru. Dies ist keine klassische Bank, sondern eine Kreuzung zwischen einem Finanzinstitut und einem IT-Unternehmen. Dementsprechend ist der Sicherheitsansatz hier nicht "unerschwinglich", was mir sehr nahe kommt.



    Informationssicherheit sollte dazu beitragen, Bedrohungen für das Unternehmen zu reduzieren, sie sollte eine Alternative bieten oder auf andere Weise die identifizierten Risiken reduzieren. Die Arbeitsweise bei Tinkoff.ru ist vergleichbar mit General Electric oder anderen amerikanischen Unternehmen. Hier können Sie etwas tun und sofort das Ergebnis Ihrer Arbeit sehen, ohne auf Ihrem Weg Hindernisse zu spüren, wie zum Beispiel Nachbildungen "dies ist nicht meine Pflicht". Wenn Jungs oder Teams sehen, was sie wirklich tun müssen, nehmen sie und machen es. In einer solchen Umgebung interagiere ich gerne mit anderen Teams und baue Informationssicherheit mit Unterstützung des Managements und der Kollegen auf.

    Wenn Sie nach einem anderen Arbeitsplatz suchen, müssen Sie das interne Klima im Unternehmen und die Einrichtungen, die das interne Personal dort bestimmt, genau unter die Lupe nehmen. Erfolgreiche Praktiken finden sich häufig in großen Unternehmen mit westlichem Management. Es ist sehr wichtig, auf das Team und den Entwicklungsvektor des Bereichs zu achten, in den Sie gehen. Fragen Sie im Interview, was das Team in den letzten sechs Monaten erreicht hat, welche Ziele für das nächste Quartal dem Unternehmen und Ihrer Abteilung gegenüberstehen, welche Rolle dabei spielen wird, um Sie zu erreichen.

    Spezialist oder Betreuer?


    Führungs- und Teammanagement ist bei der Entwicklung eines technischen Spezialisten nicht immer ein natürlicher Schritt. Aber zu einem bestimmten Zeitpunkt verstand ich eine einfache Sache.

    Führung ist Fähigkeiten, die entwickelt werden müssen, sowie technisches Wissen. Ohne ein besonderes Geschenk ist es kaum möglich, ein Team von Grund auf effektiv zu managen. Im Allgemeinen ist dies die gleiche Arbeit an sich selbst und die Entwicklung technischer Fähigkeiten.

    Sie müssen regelmäßig mit dem Team kommunizieren, die Vor- und Nachteile besprechen und sie richtig kommunizieren. Es ist notwendig, eine Kultur im Team zu bilden und deren Einhaltung zu überwachen. Um dies zu lernen, habe ich verschiedene Management-Schulungen durchlaufen, Feedback erhalten, gesehen, wie sich effektive Manager verhalten, ihr Wissen in die Praxis umgesetzt.

    Zu einer Zeit hatte der CIO von General Electric, der selbst ein sehr cooler Anführer war, eine riesige IT-Abteilung, war aber kein ausgewiesener IT-Spezialist. Während ich ihre Arbeit beobachtete, versuchte ich, mit dem Team zu interagieren, um Feedback zu erhalten und das Verhalten des Teams zu bewerten, wie es sich verändert und wie effektiv die eingesetzten Interventionen sind. Entsprechend der internen Unternehmenskultur von General Electric gab das Team auch meinem Vorgesetzten Feedback und erörterte ohne sie mit mir, was effektiv und was ineffektiv ist, und kommentierte mich.

    Wenn Sie sich für eine Stelle bewerben, bei der Sie Ihre Verwaltungsfähigkeiten verbessern möchten, ist es wichtig zu wissen, welche Art von Personalmanagementkultur in der Organisation steckt. In westlichen Unternehmen ist es normalerweise weiter entwickelt, in staatlichen Unternehmen weniger. Es lohnt sich, Fragen zum Management zu stellen - gibt es eine Feedbackkultur, wie ist sie organisiert, wie oft trifft sich der Manager mit dem Team und jedem unmittelbaren Untergebenen, wie entwickeln sich Soft Skills? Es ist notwendig, die verschiedenen Fragen zu verstehen, die sich bei den Besprechungen stellen: Wird die Herangehensweise an die Erfüllung von Aufgaben (und nicht nur der Status ihrer Erfüllung) oder die positiven Qualitäten des Personals und des Entwicklungsbereichs diskutiert? Jeder der genannten Punkte trägt dazu bei, sich im administrativen Bereich schneller zu bewegen.

    In der Anfangsphase machen viele Manager typische Fehler, und es ist gut, wenn ein Beobachter auf sie zeigt. Beispielsweise gibt es junge Manager, die nicht bereit sind, auf ihrer Meinung zu bestehen oder unerlaubte Planänderungen oder ein ineffektives Erwartungsmanagement zu unterdrücken.

    Das ist ein Geschäft. Und wir müssen uns entsprechend den Zielen der Organisation verhalten. Wir sind alle hier, um bestimmte Ziele zu erreichen. Und die Leute sollten in der Lage sein, im Team zu arbeiten. Die Aufgabe des Managers ist es, dieses Team zu vereinen, damit jedes Mitglied am effektivsten arbeitet. Manchmal erfordert dies etwas Steifheit. Ihre Abwesenheit oder der Übergang zu freundlichen Beziehungen innerhalb des Teams kann dem Management schaden. Es gibt neue Führungskräfte, die es dem Team ermöglichen, sich zu entspannen. Ich halte es beispielsweise für inakzeptabel, wenn die Person nicht zu der vom Manager benannten Sitzung kam. Und es gibt Leute, die es vergeben. Es sollte aber nicht so sein. Dies ist keine freundliche Versammlung, sondern Teamplanung. Wenn eine Person nicht kommt, ist es wichtig, ihn beiseite zu nehmen und zu sprechen, damit dies nicht wieder geschieht, weil Es macht es schwierig, Ziele zu erreichen. Manche Leute finden es schwierig, ein solches Gespräch zu führen, weil es nicht besonders angenehm ist. Das Vermeiden von Konfliktsituationen kann jedoch dazu führen, dass die Bedeutung des Führers abnimmt und die Kontrolle über das gesamte Team verloren geht.

    Nach meiner Erfahrung ist das betriebliche Personalmanagement in großen Unternehmen besser entwickelt. In einem kleinen Unternehmen basieren Beziehungen auf der persönlichen Kommunikation aller Mitglieder der Organisation untereinander, und ernsthafte Investitionen in das Personalmanagement sind hier unwirksam. Vermutlich war es General Electric, das mich dazu brachte, dass all dies ernsthaft angegangen werden muss, nicht weniger als bei der Planung einer Strategie oder mit spezifischen technischen Lösungen.

    Natürlich ist die Verantwortung des Kopfes nicht auf Interaktionen innerhalb des Teams beschränkt. Beim Eintritt in eine neue Organisation ist es nicht nur notwendig, neue technologische Herausforderungen zu erforschen, sondern auch Beziehungen zu Kollegen auf derselben Ebene aufzubauen, um eine Sicherheitskultur zu entwickeln.



    Im Bereich der Informationssicherheit sind Interaktion und der Aufbau funktionsübergreifender Sicherheit äußerst wichtig. Dazu ist es notwendig, eine effektive Kommunikation mit dem Unternehmen, mit den operativen Einheiten, mit Risiken und mit allen anderen aufzubauen. Unter diesem Gesichtspunkt ist es für den Information Security Manager wichtig zu verstehen, in welche Umgebung er fällt und ob er effektiv die Kommunikation mit Personen aufbauen kann, die sich auf derselben Ebene wie er befinden.

    Die Fähigkeit, ein Team zu führen, ist auch ein Weg der Selbstverbesserung, auf dem Sie ständig neue Entdeckungen machen. Vor nicht allzu langer Zeit wurde mir zum Beispiel klar, dass ich längst die Grenze überschritten hatte, als ich Angst hatte, Leute zu engagieren, die intelligenter sind als ich. Im Gegenteil, ich versuche ein super starkes "Dream Team" einzustellen, in dem ich von jedem etwas lernen kann.

    Zu Beginn meiner Karriere behandelte ich dies anders als viele andere Führungskräfte.

    Empfehlungen


    Stattdessen möchte ich ein paar Empfehlungen geben. Zuhause - ständig lernen und nicht nur bei der Arbeit. Es ist äußerst wichtig, neue Technologien und Trends in der IT- und Informationssicherheit eigenständig zu studieren, um auf der Welle zu bleiben. Wenn Sie mit etwas konfrontiert sind und die Technologie nicht vollständig verstehen, ist es wichtig, Zeit mit dem Studium zu verbringen. Die Tiefe dieser Studie kann jedoch je nach Aufgabenstellung variieren - von einem 15-minütigen Video auf YouTube bis zum Abschluss eines vollständigen Kurses.

    In jedem Bereich gibt es Literatur, aber es ist besser, nach Rücksprache mit einem Experten des ausgewählten Bereichs etwas zu lesen. Mein „Minimum“: „7 Skills of Effective People“ von Stephen Covey. Dies ist wahrscheinlich eines der coolsten Bücher zur persönlichen Effektivität. Ich sehe oft ineffiziente Arbeit, und dort wird direkt geschrieben, wie man es vermeiden kann.

    Sie können an Konferenzen teilnehmen. Für die praktische Sicherheit kann ich empfehlen:

    • in Russland - Positive Hack Days, Zeronights, СyberСrimeСon und möglicherweise OFFZONE;
    • Ausland - Black Hat Konferenz, Chaos Communication Congress, OffensiveCon.

    Die Kurse sollten meiner Meinung nach angewandt werden, um eine bestimmte Fähigkeit zu entwickeln. Und es muss nicht unbedingt Führungskompetenz sein. Starke technische Profis werden oft zu schlechten Anführern oder Anführern, verlieren technische Fähigkeiten und haben große Schwierigkeiten, grundlegende Managementfähigkeiten zu erwerben. Das Management ist meiner Meinung nach kein natürlicher Schritt in der Entwicklung technischer Spezialisten. Wenn Sie nicht dazu neigen, Menschen zu führen, sollten Sie sich technisch weiterentwickeln. Gleichzeitig sind in der Praxis die Kosten eines guten technischen Experten oft höher als sein Kopf.

    Jetzt auch beliebt: