Самозащита. Учимся работать на себя в ИБ. Константин Швецов

Самозащита. Учимся работать на себя в ИБ. Константин Швецов
Добрый день, коллеги! Сегодня я хочу представить вам свой новый проект "Самозащита". Это проект о людях, которые работают на себя в сфере информационной безопасности: о тех, кто работает по договору, выполняет подряд, называет себя фрилансером, о самозанятых, индивидуальных предпринимателях и руководителях собственных предприятий. О тех кто один в поле воин. Почему мне интересно об этом рассказывать? Потому что я сама "шабашу" с 2011 года: пишу статьи, продаю книгу, веду лекции и вебинары, работала по совместительству, выполняла научную работу по гранту и другие виды работ за деньги (а еще много чего абсолютно бесплатно). Я знаю о множестве подводных камней при работе на себя, но еще большего не знаю и хочу узнать. А заодно поделиться с вами полезной информацией. Это проект совместного обучения и вдохновения. Давайте вместе осваивать самые разные способы заработка в нашей профессии!

Первым специалистом, который решил поделиться своим опытом, стал Константин Швецов . Ниже представлены мои вопросы (выделено жирным) и ответы Константина. Приятного и полезного чтения!

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.
Константин Швецов. Фото из facebook .
Образование – Организация и технологии защиты информации, работаю по специальности уже около 14 лет. Опыт довольно разнообразный, от бумажной безопасности до пентестов и анализа кода на уязвимости. Из сферы ИБ не приходилось заниматься разве что только реверсом и аналитикой малвари.
2. Где сейчас живете?
В Казани
3. Когда начали заниматься фрилансом/подрядом/удаленкой?
В начале 2015 года. Стимулом был кризис в декабре 2014, когда я решил, что нужно иметь дополнительный источник дохода в иностранной валюте.

4. Какие виды работы вы выполняете?
Опять же самую разнообразную, чаще всего требуется анализ безопасности инфраструктуры, веб-приложений или каких-то отдельных узлов у заказчика. На втором месте – подготовка документации для сертификации или просто по требованию инвестора/партнеров.
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Очень много работы было с разнообразными стартапами, так же работал с крупными предприятиями, но как представитель подрядчика-интегратора.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?
Да, чаще всего ГПХ. Обращаю внимание на санкции в случае просрочек и календарный план работ.
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
Нет, пока ничего не оформлял.
8. Где ищете заказы?
Основная площадка – Upwork.com, иногда знакомые подкидывают заказы, но это скорее исключение.
9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Я думаю, не особенно важна, при работе с зарубежными заказчиками куда важнее портфолио и наличие, как говорят, industry recognized certificates. Это же влияет и на стоимость услуг, точнее проще обосновать, почему ты просишь 50 долларов в час, а не 20 ????
10. Как проводятся переговоры? Устно, письменно?
Предварительно обычно устно, но я стараюсь закрепить результаты письменно (в чате или скайпе), что бы была история переговоров, на которую можно было бы сослаться в случае возникновения спора.
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Для некоторых «типовых» видов работ у меня уже есть выработанная такса, от неё я отталкиваюсь, когда договариваюсь о цене с заказчиком. В основном исхожу из того, сколько времени мне надо потратить на подготовку и проведение самой работы. Ну и смотрю по общению с заказчиком, насколько я готов «упасть» в цене ради работы с ним.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Для работы с зарубежными заказчиками – нет. Хотя, как я упоминал, им важны профессиональные сертификаты, но начинать можно и без них. Для работы на российском рынке, по-хорошему требуется лицензия ФСТЭК (и образование юр.лица).
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Календарём iOS, синхронизированным с Google ????
14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Как я уже писал, у меня есть «типовые» работы, по которым я знаю примерную нагрузку и могу с точностью до 2-3 часов сказать заказчику, когда он получит результат. То, что выходит за рамки «типовых» задач или является новым, не очень изученным направлением, я примерно прикидываю, основываясь на опыте. Стараюсь для этого дробить задачи на отдельные короткие куски и оценивать их отдельно. Так проще спланировать нагрузку.
15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?
На первом месте, конечно, интуиция. Из выработанных для себя правил: надо быть настороже с заказчиками из восточных стран. С ними особенно тщательно проговаривать и фиксировать договорённости по работам. Не раз случались ситуации, когда требовали дополнительно что-то сделать, аргументируя это словами – а я думал, это тоже входит в твои работы (в особо «запущенных» случаях – я плачу деньги, делай, что сказано!). Тоже в большей части относится и к заказчикам из стран СНГ или эмигрировавших соотечественниках. С заказчиками из западной Европы и Америки такого ни разу не происходило за 5 лет. Хотя всегда бывают исключения и у меня в практике есть пара-тройка заказчиков из Юго-Восточной Азии о которых я вспоминаю исключительно с теплотой и улыбкой, а также 2 русских заказчиков из США.
16. Расскажите интересный/смешной/пугающий случай из практики.
Самый интересный случай был, пожалуй, когда на длительном проекте у большого заказчика представляли нового удаленного сотрудника – моего знакомого из моего же города ????. Где же ещё встретиться двум российским безопасникам, как не в корпоративном чате калифорнийской конторы.
17. Какой совет можете дать начинающим фрилансерам?
Для начала, пока ещё формируете своё портфолио (даже если у вас 20 лет работы CISO, на интернет-площадках ваше резюме не смотрят) старайтесь ставить минимальную цену или делайте некоторые работы бесплатно за отзыв. Смотрите внимательно на историю заказчика, даже из положительных отзывов можно сделать выводы (а также смотрите, оставляет ли сам заказчик отзывы фрилансерам). Если есть сомнения, то либо соглашайтесь только на почасовую оплату с трекингом времени (на Upwork это 100% защищенный вариант), либо просто отказывайтесь, не смотря на обещания больших денег.
Большое спасибо за ответы!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте:  https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

Alt text