Ответ к комментарию «как я повелся на ИБ»

В данном маленьком посте хотелось бы немножко пролить свет на коммент от moooV и на отрасль в целом.

Сразу хочу прояснить пару важных моментов:

  • пост не несет в себе цель оскорбить кого-то или же осудить чей либо выбор, а так же раздуть холивар, демагогию и т.д. и т.п. ;
  • пост не несет никаких призывов к выбору чего-либо;
  • почему пост, а не комментарий? а вот почему «Вы можете комментировать публикации, которые не старше 30 дней..». В общем почитал правила и решил, что так будет нормально.

Итак, почитав комментарий, складывается ощущение, что в общем понимании — безопасник это эдакий далекий от IT крендель, с синдромом вахтера вполне возможно, что быдло. Пожалуй так оно и есть, во многих шаражкиных конторах, но есть и другие случаи, о которых я чуть позже скажу, а пока хотелось бы разобрать пару моментов из комментария.

1.

Тоже думал буду пентестером, системным программистом, сетевиком, и вообще мистер роботом. На самом деле все техническое — это только самообучение и не иначе.
достаточно много ВУЗов с таким «сухим» подходом. В целом так много где и почти на любой специальности, за исключением «очень профессиональных» (и то не всегда!), а все, что пригодиться в работе — «это только самообучение и не иначе». Да и в целом, качество ВУЗов в РФ по направлению IT очень плачевно, обучение сводится к тому, чтобы отчитать курс материалов, кое как за уши натянуть студентам их оценки, выдать диплом ITшника и увесистого пня под зад и отправить на биржу труда светлое айтишное будущее. Поэтому, (особенно актуально это сейчас, вдвойне актуальней если ты будущий абитуриент, годный к службе в армии) было бы или будет весьма не глупо — ознакомиться с программой подготовки на той специальности, куда ты собираешься идти, а потом делать выводы «надо ли».

2.

На что похоже это образование? Ну, смесь менеджмента с правоведением и синдромом вахтера — причем эти знания не применимы нигде кроме России и если есть цель перебраться зарубеж это пустая трата времени.
по поводу «перебраться зарубеж». Ну я бы так однозначно не делал выводов, мне довелось поработать в одной компании в МСК, где безопасник как раз 3 года, будучи джуном работал за рубежом и писал те же тонны и мегатонны бумаг, только по ISO. Только там, в отличие от наших компаний, в обязанности ИБшника входило не только накатать бумагу, а еще и следить за ее реальным исполнением и соблюдением. Так что, будучи толковым можно умотать запросто в эту, как там ее, Европу.

3.

Где-то треть моих одногруппников таки работает в итоге спецами по ИБ. Самые толковые (буквально три человека) как раз работают пентестерами, крутыми сетевиками, и системными инженерами — но тут надо понимать что они ВСЕМУ ЭТОМУ ОБУЧИЛИСЬ САМОСТОЯТЕЛЬНО И НА ГОЛОМ ЭНТУЗИАЗМЕ, а образование — лишь корочка.
Это касается всего, ну почти всего. Чтоб далеко не ходить, приведу другой пример, в свое время я учился по направлению «технический дизайн», в общем-то должен быть стать дизайнером, к 3 курсу нахватал хвостов по таким важным дизайнерским предметам как «философия», «политология»,мемология культурология и все в таком духе, потом перевелся на другой факультет и там уже выбрал другую специальность. Дизайнерами работает примерно пятая часть группы, остальных нелегкая закинула в тестирование, программирование, Big-Data аналитику, писательство, продажи и тд. А вот так оно и работает, да. Человек всегда учится всему сам, учится тому, что тянет, а диплом в принципе формальность, бумажка, дающая понять, что ты видел некоторое дерьмо без которой ТИПА не пробиться в жизни.

4.

Остальные — да, работают в сфере ИБ. Чем они занимаются? Пишут бумажки. Тоннами. Мегатоннами. К айти это отношения почти не имеет.
кому что. Я вот видел и писал такие бумажки за 80к в месяц, работая в ближайшем замкадье. Меня это устраивало, типо сидишь, 2/3 дня ниче не делаешь, 1/3 чето пишешь, получаешь деньги. Кому-то нравится. Товарищ мой тогда, в тайне от своей конторы помогал другим проходить ИБшный аудит, еще кого-то консультировал по ИБ, на самом деле просто наживался на лохах чужой паранойе — устанавливал всякие размыкатели на телефоны, искал жучки, ставил заглушки от БПЛА и тому подобная х-ня.

5.

И еще один пример. У меня есть друг, не окончивший даже двух курсов высшего образования. Совершенно не айтишник — скорее смесь бандита, вышибалы, и чОткого пацанчика. Устроился по блату несколько лет назад в крупную гос компанию ИБшником (не имея к этому никакого отношения) — уже год как начальник отдела ИБ там. Знаний — ноль.
этот сюжет легенды примерим к большинству вакансий и специальностей. У меня товарищ сидел в каком то техническом отделе, на каком то предприятии по производству рольстваней и гаражных ворот, также будучи глубоким 0 в этом всем. Но пришел BOSS его папаши друг, и сказал «Так нах, вот этот парень сын моего друга пришел сюда учиться проектированию и практиковаться в тех. документации и нашей продукции. Помогать ему будешь вот ты например...» и все. Пацан кое как выезжал 3 года, потом ушел куда-то в продажи.

В целом, когда человек обычный среднего типа звена увалень, то для таких ИБ начнется и сразу закончится ровно на том месте, где фстэковская макулатура, госты, iso, политики и тд. Если у человека будет желание и усердие, всегда можно подбить свои знания теорией ИБ более высокого уровня — пентестинг, разработка, сети и тд. — тем самым выйти на новый уровень. А вобще работа в ИБ везде строится по разному. Самые популярные интерпретации из тех, что я лично видел такие — ИБшник в основном занимается бумагой, политиками, а его «руки» это эникеи, которые ставят разный ибшный софт, настраивают его и тд, другой вариант, более суровый собрат предыдущего — ИБшник вида «и швец, и ЖНЕЦ, и на дуде игрец», шарит за техническую начинку, умеет в межсетевых экранах, в состоянии накатывать политики антивирусного софта, шарит за криптографию во многих ее проявлениях и тд и тд.

Безопасник аудитор — важная фигура бифидобактерия от мира IT (а может и не IT, хз), среда обитания ОАО, ООО, НПО и прочие «О» времен царя Гороха, которые подвергаются бюрократическому насилию со стороны проверяющих органов и прочих. В свое время такие люди обуздали гору документов размером с Андромеду, выучили все нормирование, и в результате кошмарного синтеза Консультанта+ и ФСТЭК на свет вышли теоретики. Их цель бумажки, документы, акты, сводки. Их оружие — знание межстрочных интервалов в документах и номеров гост. Ну и наконец, гордо тусуется на вершине этой пищевой цепи — безопасник, знающий технический аспект вопроса, знающий не на уровне «а щас обновление на касперского накачу», на серьезном. Как правило речь идет о более узких специалистах. Видел такого один раз, бывший сетевой инженер.

Я вот читал комментарии под постами об ИБ и давался диву. Странное понимание у людей о вакансиях в сфере IT. Кто-то действительно думает, что ВУЗ кому-то чего-то должен… «Я мол такой волшебный и умный отходил в институт, а меня НЕ НАУЧИЛИ.» Еще разок, когда люди идут учиться, если идут, было бы нефигово поинтересоваться — а чему учить то будут. А получается так, Вася Пупкин пошел учиться на Сисадмина, программиста, дизайнера, тестировщика, безопасника и тд, а его не так выучили, при этом сам Вася приложил целый 0 усилий к этому. Узким востребованным специальностям на лекциях не учат.

Отдельный момент — Люди спрашивают " А вот стоит ли мне идти?" Вот для вас всех, кто задается этим вопросом, ответ — Нет. Из вас не выйдет ни хорошего безопасника, ни программиста, ни админа, да никого) Когда человек задает такие вопросы, это говорит только о том, что нет мотивационного стержня, он ведется, а не хочет искренне. А все эти айтишные специальности требуют железного терпения, выдержки, кропотливости и подходчивости, все это как правило быстро уйдет, при первых же трудностях, если вы изначально не знали на что идете. Смотреть на какие то частные случаи и делать выводы о профессии тоже не стоит, кто-то захотел и смог, а кто-то думал, что все волной принесет и в итоге оказался на жопе. Еще раз ничего не дается просто так, никто и нигде ничему учить не станет, все кто мало мальски чего то добился — это своего рода фанатики своего дела, своей работы, своего увлечения. Таким и институт то не нужен.

Наверно тут должна быть какая то концовка, но я так устал писать, что выводы о том, кем ему быть и стоит ли вообще соваться не только в ИБ, но в IT в целом — каждый сделает сам!

«Книгу переворошив,
намотай себе на ус — все работы хороши,
выбирай
на вкус!»
В. В. Маяковский.
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 6

    +5
    Жиза

    Это ты еще на программиста не пытался пойти!
    10 видов математики тебя бы тоже не оставили равнодушным.
      0

      Это была пожалуй единственная радость и боль за все время учебы в универе. Была б она более прикладной было б меньше боли. А так только синдром вахтера из оригинального комментария.

      0
      по тексту понял что eAD95 понимает раницу между ит безопасностью и безопасностью в целом, в той статье в которую идет ссылка написано на самом деле все в кучу.

      Основные свойства для ИБ это достижение оговренных условий в CIA, то есть управление(управление в смысле Managing но не Administering) рисками путем внедрения правил поведения, то есть основных контролей, превентивных, детективных и коррективных. Иб как DevOps это прежде всего культура в организации или человека.

        0

        Ну там (Первоначальном комментарии, на который линк) в кучу написано ещё и от того, что человек «повелся» на специальность. Он уже изначально поперся на ИБ, не понимая до конца профессию.
        Точно так же люди «вкатываются» в программирование, тестирование и тд) потом, через пару лет, их во все концы заебывает и они уходят.

        0
        В пору бы уже сесть и написать весь ад работы инфобезом, после 10 (практически) лет работы в этой среде, но ограничусь комментарием ко всему вышесказанному:

        1. Основываясь на своей практике, инфобез это 80% организационного подхода и 20% технического/прикладного. Причина очень проста, вы в первую очередь работаете с людьми, и только потом с системами. Инфобезник — это не системный администратор. Вы выстраиваете процессы в системах с высокой долей хаоса.
        2. В силу обстоятельств времени и сложности с переходом на 100% электронные документообороты, а так же цифровизацию производства, надо понимать что носитель информации (первая точка работы) — это что-то физическое. Чаще всего бумага. И если в организационной работе спец не может справиться с такой тривиальной вещью как бумага. Ну, вероятно, не такой он и спец.
        3. Все что касается бумажно-организационной безопасности, транслируется элементарно на электронные системы. Нет проблемы с одним, не будет и со вторым. Эдакая транзитивность методов.
        4. Период моего образования выпал на «волшебный» переходной момент между супергероями ТЗИ и Мега-хакерами. Первые мне были уже не понятны, вторые еще не понятны. Ни первое, ни второе не мешает сесть и почитать современные стандарты и тенденции. И это не считая фактов что целые госрегуляторы 2 раза успели поменять свою структуру организации и на рынок завезли абревиатуры типа ПДн, КИИ к вороху уже имеющихся, а также постепенная революция СКЗИ.
        5. Университетам всегда приходится догонять современные тенденции рынка. Просто представьте себе, сколько программ и знаний необходимо подготовить для 6 летнего образования, и как быстро сейчас меняется современный ИТ. Скорости абсолютно не сравнимы.
        6. Мой университет балансировал в попытке впихать все тонкости физики сред и волновых процессов в них, обычной и криптографической математики, правовых нюансов инфобеза и не ниже системного программирования (привет бесонные ночи с asm), и сверху изрядно посыпать все сверху текущими тенденциями рынка и тонкостей гостайны… Кто нырял хоть в одну из тем понимает, что каждая их них, по сути, бездонная. И тем не менее, современный инфобез без столь широкого профиля знаний выглядит неполноценно или, точнее, однобоко. Я не настаиваю чтобы все получали кандидата в каждой отдельной области, но вникнуть в процессы и узко специализироваться, пожалуйста.
        7. Последнии 3 года по стилю работы пересекаюсь с выпускниками различных университетов по направлению ИБ. сверхвысокой квалификации нигде не отметил, да и не надеялся. Если студент хотя бы примерно понимает о чем я с ним говорю, это уже большая удача. А дальше любой поисковый процессор и погнали.
          0

          Насчёт бумажек согласен. Делаются шаблоны, и своевременно заполняются, с новыми документами чуть сложней, но в целом справится можно.
          А так да, пора писать статью о всем труде ИБ, новомодные веяния требуют

        Only users with full accounts can post comments. Log in, please.