Cybersecurity Career Master Plan

Cybersecurity Career Master Plan

Прочитал отличную книгу под вызывающим названием Cybersecurity Career Master Plan(2021 год).

Книга предназначена для студентов, которые рассматривают возможность связать свою карьеру с ИБ. В ней представлены советы и техники, как выстроить успешную карьеру в ИБ. Книга написана несложным английским языком, хотя её авторы американцы - 4 эксперта в области ИБ. В качестве дисклеймера нужно сразу сказать, что в издании красной нитью прослеживается создание нетворкинга для развития и продвижения кибербезопасников. Дело в том, что, как минимум, двое экспертов занимаются в США военной киберразведкой, поэтому подобные советы нужно обязательно воспринимать критически. Рассказываю, о чем идёт речь в книге.

name='more'>

В современном мире происходит всеобщая диджитализация. Все активы и услуги становятся цифровыми, количество данных стремительно растет, поэтому роль специалистов ИБ будет только возрастать. Плюсов построения карьеры в ИБ очень много: интересная работа, много разных направлений, высокая зарплата, гибкий график работы, после COVID-19 часто встречается удалёнка. Ведь преступники не ходят в отпуск и не берут выходных. Поэтому работы на всех нас хватит и в отрасли уже наблюдается заметная нехватка кадров.

Работать в ИБ совсем не скучно. Перечисляются многочисленные направления ИБ, такие как работа с техническими средствами защиты, архитектура и экспертиза, анализы рисков, комплаенс, анализ событий ИБ, управление инцидентами, расследования. Из нового это безопасность облаков и мобильных устройств. Защита больших данных, использование машинного обучения и искусственного интеллекта для этого. В организациях можно расти, как вертикально, так и горизонтально.

В США определены 16 отраслей, непрерывность функционирования которых влияет на устойчивость государства и спокойствие общества. Перечислю их:

• Chemical

• Financial services

• Commercial facilities

• Food and agriculture

• Communications

• Government facilities

• Critical manufacturing

• Healthcare and public health

• Dams

• Information technology

• Defense industrial base

• Nuclear reactors, materials, and waste

• Emergency services

• Transportation systems

• Energy

• Water and wastewater systems

(у нас аналогичные отрасли являются предметом защиты в соответствии с 187-ФЗ)

Подробно рассказывается о плюсах и минусах работы в финансовом, государственном, частном секторах экономики, в здравоохранении, в энергетическом секторе и на производстве.

Для построения эффективной ИБ большое внимание уделяется проактивной (агрессивной, наступательной) системе безопасности (offensive security). Это направление очень радует большое число начинающих специалистов, т.к. является самой практической областью ИБ.

Для того, чтобы стать признанным специалистом в области ИБ, нужно иметь сертификации. В США очень большое внимание уделяется подтверждению знаний и опыта. Например, для работы в милитари, официально утверждены конкретные сертификаты для тех или иных направлений. В не милитари де-факто часто тоже самое. Для многих работ в ИБ нужно подтверждать свои знания сертификатами. Поэтому в США много учебных вендоров и платформ для этого. Есть следующие направления для сертификаций ИБ: общие практики, пентестеры (red team), защитники (blue team), аудиторы, менеджеры. Вилка стоимости сертификатов: $150-7000.

Рассказывается, как студентам можно набирать знания, не имея опыта. Это всевозможные курсы, лекции, семинары, вебинары, конференции, игровые мероприятия, общение на форумах и в соцсетях.

Большое внимание уделяется построению собственного бренда. Можно копировать подобные практики и повышать свою экспертность и узнаваемость. В книге говорится, что нужно создать собственные профили в основных соцсетях и активно продвигать себя в них. Для международного рынка предлагаются следующие сети: Twitter, Discord, Instagram, YouTube, Clubhouse (некоторые из них заблокированы в РФ). Также можно вести собственный блог и многочисленные подкасты. У нас в России ярким примером бренда является Алексей Викторович Лукацкий.

Чтобы найти работу, нужно иметь резюме. Если нет опыта работы, тоже что-то нужно вписать в резюме. Рассказывается, что в каждой стране есть свои площадки для поиска работ. Есть международные типа LinkedIn (заблокирована в РФ). Говорится, что должно содержать резюме. Оно должно быть кратким (на 1 страницу текста), нужно перечислить все достижения (не процессы, а что было сделано), нужно проверить хватает ли 7 секунд, чтобы его оценить кадровику. Самое главное не врать. Есть специальные сайты для проведения тестовых собеседований. Есть даже платные тестовые собеседования, когда эксперты отрасли ИТ/ИБ, помогают новичкам в проверках их знаний и дают обратную связь по тому, что нужно подкачать кандидатам.

Далее рассказывается, как развивать навыки публичных выступлений. Есть специальные площадки, на которых приглашаются эксперты для выступлений. Можно выбирать темы, которые вам интересны, направлять организаторам черновики презентаций, после чего вас начнут приглашать на выступления. Когда готовите выступление, начинаете еще лучше разбираться в теме выступления. В крайнем случае можно пробовать выступать в своей школе или в институте. По мере выступлений, будет крепнуть ваш бренд, вы начнете становиться узнаваемым и востребованным в отрасли. Опять же остаётся привести пример эксперта из РФ, обладающего узнаваемой шляпой.

Как говорилось в самом начале книги, компаний, которым нужна ИБ, очень и очень много. Но в компаниях ключевое это руководители. Даются признаки токсичных руководителей и токсичных компаний. И типа если вы с такими столкнетесь, нужно вначале пожаловаться HR (американские менталитет), а если не поможет, то менять работу. Опять же организаций много, поэтому не нужно расстраиваться. Нужно понимать, что все организации абсолютно разные, поэтому в другом месте почти всё будет по-другому.

Свой путь по карьере специалиста ИБ нужно планировать с самого начала. Для этого подходит методология SMART (Specific, Measurable, Achievable, Relevant, Time-based). Свою цель (мечту) нужно разложить по полочкам, проверить её по перечисленным критериям, после чего начинать двигаться к ней. Для достижения большую пользу могут оказать наставники (менторы). Таких людей нужно тщательно искать и еще не факт, что они выберут вас. Но есть и хорошая информация. Ведь любой коллектив в организации состоит из разноплановых специалистов и поэтому работая сообща, можно одновременно развивать друг друга.

Под конец перечисляются советы, как открыть свой бизнес. Для этого нужны идеи, экспертиза, деньги и связи. И опять же даются советы, как создавать и наращивать свой нетворкинг вширь и в глубь, так как он является основой для вас, как специалистов в области ИБ.

Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Евгений Шауро

Блог специалиста по информационной безопасности