×Закрыть

Из программистов — в безопасники, или куда податься после вузовской скамьи?

В последнее время спрос на специалистов по информационной безопасности заметно возрос — они становятся востребованы уже не только в больших фирмах, но и гораздо меньших по размерам компаниях.

Потребность в Information Security Officer, как называется эта должность у «буржуев», усугубляется и сложными экономическими условиями в стране. Многие сотрудники чувствуют скорое увольнение, кто-то просто недоволен своей зарплатой, и в хаосе меняющегося люди ищут способы заработать, не брезгуя и незаконными методами, которые причиняют ущерб их работодателям. Например, «слить» немного данных своего работодателя.

К сожалению, хороших «безопасников» сегодня найти трудно, поэтому компании ищут тех, кто годен к обучению данной не самой простой профессии, в том числе студентов старших курсов и выпускников «чисто программистских» специальностей. Попробуем посмотреть, чем карьера в сфере ИБ может быть для них привлекательной, и с какими сложностями при смене рода деятельности придется столкнуться.

Немного иллюстраций: последствия «дыры» в ИБ

Чтобы объяснтить"на пальцах«, для чего бизнесу информационная безопасность, приведу один из свежих случаев. Собственник украинской фирмы, занимающейся торговлей, решил устроить проверку топ-менеджерам, которые работали с ним с самого основания компании. Впоследствии ему пришлось уволить финансового директора и главного бухгалтера, которые работали с ним более десяти лет. Оказалось, что в результате событий, происходящих в стране, эти сотрудники решили основать конкурирующее предприятие, а после, воспользовавшись своим служебным положением, нанесли убытки своей «родной» компании, ставшей их конкурентом.

Вспоминая «подвиги» топ-менеджмента HTC, можно абстрагироваться от многострадальной Украины, и признать, что проблема — глубже и шире, чем желание «наловить рыбки в мутной воде», а значит, как и в случае с разработкой кода, работа в сфере безопасности есть всегда и везде.

Портрет безопасника

Интересно, что далеко не каждый специалист по информбезопасности смог бы «распутать» приведенный выше случай. Работать в ИБ должен человек, которому интересны живые люди с их психологическими тонкостями и трудностями, но при этом обладающий складом ума логическим, и даже где-то немного параноидальным. Безопасники шутят, что это их профессиональная болезнь, и с ними трудно не согласиться.

При всём этом для ИБ нашего времени нужно понимание специальных технологий. Это не только (и не столько) криптография, сколько работа с данными, которые собираются о каждом пользователе множества внутрикорпоративных систем. И в больших компаниях это и есть big data, о которой столько пишут на DOU.

Зачем ИБ-работодателям студенты-программисты

Специалисты «старой школы» не успевают за трендами
Отставной военный или СБУшник может быть прекрасным психологом, который задействует в работе большое количество методов, позволяющих всегда находиться в курсе того, что происходит в коллективе. Но бурное развитие IT в «корпоративном мире» привело к тому, что полученных им на службе навыков зачастую оказывается недостаточно для полноценного проведения служебных расследований. При этом далеко не все специалисты по информационной безопасности «старой школы» имеют желание и возможности для изучения новых методов работы.

ИБ-выпускники недостаточно подготовлены
Далеко не все вузы в наше время могут предоставить специалистов, способных без предварительной подготовки заняться предотвращением и расследованием ИБ-инцидентов. По сути дела, программа таких специальностей в 95% случаев — это чудовищный гибрид любой инженерной специальности со странными спецкурсами, авторы которых в глаза не видели службу информационной безопасности более-менее серьезной компании.

Приведу пример. Типичный план обучения в вузе по специальностям, которые связаны с ИБ, включает такие курсы: безопасность сетей; теоретические основы компьютерной безопасности; безопасность баз данных; правовое обеспечение ИБ; основы ИБ; комплексное обеспечение ИБ автоматизированных систем; технические средства и методы защиты информации; криптографические методы защиты информации; организационное обеспечение ИБ; программно-аппаратные средства обеспечения ИБ. На словах это кажется очень впечатляющим, однако на деле всё не так хорошо. На все перечисленные выше дисциплины на самом деле отводится только от 900 до 1500 часов, тогда как на занятия, которые не относятся именно к профессиональной деятельности, в общей сложности выделяется аж 2200 часов. И сейчас речь идет лишь о теории — на практику в итоге времени вообще не остается. Впрочем, последнее применимо не только к ИБ, так что не будем о грустном.

Вузы в своих образовательных программах ориентируются на преподавание комплексных знаний, которые сильно расширяют кругозор студентов. И это очень хорошо, однако благодаря большому количеству гуманитарных дисциплин и предметов, которые не имеют непосредственного отношения к тематике ИБ, в учебной программе сегодня почти не остается времени на практику и обучение прикладной работе с конкретными решениями, а также знакомство с законодательством. А именно применение этих решений в рамках существующего правового поля и является задачей Information Security Officer.

И если для будущих программистов существуют десятки и сотни учебных курсов, где они могут выучить языки, технологии и фреймворки; если для них есть учебники и примеры кода, то всего этого в сфере ИБ в таком количестве нет. Да и попробуйте попрактиковаться дома с какой-нибудь IPC-системой, которая должна работать на предприятии с 500 рабочими станциями!

Потребности рынка
Поэтому очень часто в реальной жизни зарождающуюся службу ИБ в быстро растущей компании возглавляет какой-нибудь не хватающий звезд с неба сисадмин, которому за рабочие прегрешения спускают указание разбираться во всех этих системах. Но он в силу админских привычек часто не видит за деревьями леса, т.е. не в состоянии качественно проанализировать данные, которые льются на него из всех систем, разработать все необходимые политики безопасности и проследить за их реализацией в реальной жизни.

Именно поэтому важная задача для многих компаний — взращивать кадры, которые будут уникальным образом сочетать качества очень разных специалистов и возьмут на себя заботу об ИБ. И нет ничего удивительного в найме людей, склонных к такой работе, если они готовы развиваться в этой сфере, невзирая на опыт и прочие мелкие трудности.

Надо ли оно вам?

Сразу скажу, что обратной дороги нет. Видеть программистов, ставших безопасниками, мне приходилось, а вот наоброт — ни разу. Очень уж сильна профессиональная деформация в этой области. «Пылка любовь» со стороны бывших коллег «перебежчику» тоже обеспечена — примерно как к хулигану, ставшему вдруг милиционером, со стороны бывших приятелей по дворовой банде, уж извините за сравнение.

Бьют «безопасников» тоже много и больно, потому что любая их ошибка обходится компании очень дорого. Но зато и ногой дверь в кабинет любого сотрудника, включая гендиректора, офицер ИБ в случае чего сможет открыть в 99 компаниях из 100. Несомненный плюс также в том, что «безопасник» — специалист довольно редкого профиля, что хорошо отражается на его доходах.

Но, как я уже говорил выше, ИБ — это всегда работа с людьми и документами, мало похожая на написание кода. Поэтому если вас прет от отладки и изучения новых версий C#, вряд ли это для вас.

И в любом случае, нужно будет очень и очень много пахать. Еще раз отмечу, что сегодня студентам вузов недостает, в первую очередь, именно практических навыков. Учебное заведение способно предоставить только основу, которая необходима для усвоения остальных умений и знаний. Поэтому учиться придется много, и не всегда по книгам, но зато цена полученного опыта позволит вам стать уникальным специалистом на рынке труда.

30 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

Спустя 2 года закончила обучение в НАУ- професіонал в сфері захисту інформаційної безпеки. Знаний этот псевдовуз/недовуз дал мне обрыдаться как мало.
Но, будучи студенткой успела подать заявку на стипендию (и получила ее) на обучение в Kyiv Cyber Academy по теме авторизованого сертифікаційного курсу CERTIFIED ETHICAL HACKER (CEH v.9).
Вот на днях иду учиться.
Дорогие специалисты, могу ли я получить какие-то рекомендации от вас на дорожку?))

Здравствуйте, дяденьки (вряд ли в этой ветке отписывались тетеньки) =)
Случился у меня как-то инцидент (без подробностей), который дал мне пищу для ума.
Я прошерстила всякие ВУЗы на предмет второго высшего и хочу с вами посоветоваться.
Имеет ли смысл мне как женщине постигать науку в данном направлении и чем принципиально отличаются эти две специальности: инженер по безопасности информационных и коммуникационных систем и профессионал по организации защиты информации с ограниченным доступом?

И вообще, какое отношение к женщинам в этой сфере , если имеются такие?

Пысы: не насмехаться

Простите, а зачем идти на второе высшее, если образование в стране гавно? Не лучше ли по безопасности пройти онлайн зарубежные курсы и получить сертификаты? Толку больше и эффективнее.
Отношение к женщине всегда в инженерных/технических отраслях предвзятое, имхо

не лучше. Информационная безопасность — это процесс! Т.е. никакие курсы вам не дадут того ОПЫТА, который НУЖЕН для достойной работы офицером ИБ.

И вообще, какое отношение к женщинам в этой сфере , если имеются такие?
Очень нравиться, когда женщина лезет под стол искать отвалившийся провод.

Пысы. А вообще всем пофиг женщина ты или нет с точки зрения выполнения работы. Не пофиг мужикам с других точек зрения.

К сожалению, на нашем рынке достаточно контор которые занимаются менеджерской безопасностью, и очень мало которые занимаются практической безопасностью(т.е. реверс-инжиниринг, поиск уязвимостей, разработка собственных инструментов для тестирования), а в данном направлении студенту-программисту было бы проще развернуться.

Они просто не особенно рекламируют свои услуги на масс-маркете:)

Услуги услугами, вакансий нет. Вернее есть, но только от самсунга.

Ciklum тоже готов предложить такую вакансию, не только самсунг :)

я уж было подумал услышать историю в духе www.hackerstrip.com ;). Идем на www.sans.org/...ritical-security-controls — 20 critical security controls «на сейчас». Как по мне то менеджер без технического бэкграунда хрен с этим разберется. Какой у нас сейчас объем рынка it security услуг в Украине?

Эти истории — не совсем формат для DOU, скорее для xakep.ru

ИБ — это всегда работа с людьми и документами, мало похожая на написание кода.

Якщо говорити про політики безпеки і іншу нудну фігню, то так.
Але Security Research — це теж ІБ. І от якраз там багато reverse engineering, скриптів, та адміністрування.

При чому часто доводиться писати ледь не повноцінне ПО з повноцінним ООП для емулювання роботи клієнта\сервера або супер-пупер фазера.

Моє особисте IMHO — спеціаліст ІБ, що не програмує хоча б на початковому рівні — це аутсайдер ринку ІТ.

p.s. мабуть стаття все ж таки про менеджмент.

Про него, родимый

Мда... Я навпаки з «безопасника» пішов в QA. Мабуть досяг стелі, в менеджмент іти не хотілося, у вендора систем безпеки на той момент посад в українському офісі не було, та і займаються на найвищій сходинці скоріше продажами.
Тут треба розрізняти «паперову» безпеку (написання політик, правил, процедур) і «залізну» (інсталяцію і налаштування файрволів, управління VPN каналами, тощо.). Я був саме другим, перший тип роботи, як на мене — трохи нуднуватий і більше відноситься до менеджменту. Другий це по суті теж саме системне адміністрування, тільки більш специфічних систем.

Створенням нового (програмуванням) тут не пахне, бо майже всі системи західні, ви лише можете налаштовувати метрики тих чи інших алгоритмів в них. Більше творчості в скриптах зв«язки все це в єдине ціле.

І так, досвід ІТ безпеки допомагає мені в тестуванні бачити дірки в безпеці тих продуктів які я тестую, але «сюрприз» — клієнтам як правило це нафіг не потрібно, і це їх право, як замовників.

По грошах — переважна більшість заробляють в рази менше програмістів, про прив"язку до $$ мовчу. Заради інтересу рік ходив по співбесідах (резюме відкривало дорогу практично на будь-яку вакансію) — знайти щось більше $1000 до війни було не реально, а зараз і того гірше.

Удивлен. Видимо, просто ЗП предлагают по квалификации

Та ні, зп всюди пропонують виходячи з бюджету проекту, відділу. Яка б кваліфікація не була.Мою можна подивитися на ЛінкедІн.

Здравствуйте, дяденьки (вряд ли в этой ветке отписывались тетеньки) =)
Случился у меня как-то инцидент (без подробностей), который дал мне пищу для ума.
Я прошерстила всякие ВУЗы на предмет второго высшего и хочу с вами посоветоваться.
Имеет ли смысл мне как женщине постигать науку в данном направлении и чем принципиально отличаются эти две специальности: инженер по безопасности информационных и коммуникационных систем и профессионал по организации защиты информации с ограниченным доступом?
И вообще, какое отношение к женщинам в этой сфере , если имеются такие?
Пысы: не насмехаться

чем принципиально отличаются эти две специальности: инженер по безопасности информационных и коммуникационных систем и профессионал по организации защиты информации с ограниченным доступом?
Если брать программу Физтеха КПИ, то на БИКС изучают более компьютерные науки: теорию информации и кодирования, проектирование программных комплексов и т.д., а на ЗИОД — более физические: радиомониторинг и радиопротиводействие, методы технической защиты, поля и волны в системах ТЗИ.

На счет женщин — не думаю, что какое-то особое отношение:)

Несомненный плюс также в том, что «безопасник» — специалист довольно редкого профиля, что хорошо отражается на его доходах.
Весьма засомневаюсь. Это расходная статья корпоративного бюджета. В отличие от программиста в софтверной компании, приносящего доход.
ИБ — это всегда работа с людьми и документами, мало похожая на написание кода.
Это да, согласен. Но возникает вопрос — почему вы публикуете такую статью на девелоперском ресурсе? ;)
Сразу скажу, что обратной дороги нет. Видеть программистов, ставших безопасниками, мне приходилось, а вот наоброт — ни разу.
Плохо наблюдали... :)

1 — это как страховка, денег стоит, но окупается; 2 — сам в прошлом девелопер; 3 — уже наблюдаю здесь в комментах, спасибо

Сможете перечислить в треде ~10 контор, которые готовы за это платить хотя бы от 2k индексируемой зарплаты?

Не имею права разглашать:(

Cколько в Украине есть вакансий Information Security Officer с зп равной Java senior’a?

Не всегда эти вакансии есть на duo и hh. Этим ИБ отличается от ИТ

просто мне кажется количество таких вакансий можно на пальцах одной руки пересчитать, тем более это в основном работа далеко не самая интересная, в основном бумажная и рутинная работа в стиле написание/поддержание толстенных томов политик безопасности, подгонку под ISO стандарты и т.п. и т.д. при этом работодатель вряд ли будет индексировать зп, и если она и была на уровне 1-2 года назад, то сейчас, думается что мало где будут платить зп эквивалентную 3-4 к долларов.

Расследования тоже бывают, у одного из наших клиентов — едва ли не каждую неделю

Т.е. ИБ отличается от ИТ тем, что в ИТ есть много хороших высокооплачиваемых вакансий, а в ИБ — нет?

ИБ — это в основном менеджерская работа и рутины тут намного больше чем может показаться на первый взгляд. Поэтому если не тянет к менеджменту, то ИБ явно не для вас :)
Многие также путают ИТ-безопасноть и ИБ, которая включает в себя ИТ. Спрос чисто на ИТ-безопасников намного выше чем на менеджеров ИБ, всякие там администраторы безопасности, сетевики, в общем технические специалисты.

В последнее время спрос на специалистов по информационной безопасности заметно возрос — они становятся востребованы уже не только в больших фирмах, но и гораздо меньших по размерам компаниях.
Здесь бы хотелось увидеть хоть какие-то пруфы :(
Вакансий
Information Security Officer
просто минимум, а стажировок я вообще не встречал.

И еще немаловажный факт, что сейчас зарплатные ожидания хороших безопасников намного превышают ту цифру, которую готовы платить украинские работодатели.

А если кто-то серьёзно задумывается о менеджменте ИБ, могу рассказать более подробно за чашечкой пива или кружечкой чая/кофе (:

Про рутину соглашусь, но и адреналина хватает. В целом, я бы сказал, что уровню рутины соответствует PM’у в ИТ-проекте. Про пруфы — см. ответ к комментарию Dmitriy Chaban. Про зарплаты — да, во многих отраслях наблюдается ухудшение, но оно не такое страшное, как может показаться на первый взгляд.

Подписаться на комментарии