Безусловно не существует единого качества, которые бы на 100% "покрывало должность пресейл-инженера". Это всё же комплекс знаний и умений. Когда ты работаешь с заказчиком нужно уметь слышать людей на той стороне, уметь понимать, что они хотят и если запрос заказчика важный и правильный, то нужно донести это до команды разработки. Я считаю, что это одно из важных качеств.
Согласен чтобы "100%" перечень навыков составить нужно пойти на условности. Так к примеру пресейл-инженер в ИБ должен обладать набором навыков отличным от того же пресейла в бизнес софте, но есть пересечения которые будут общими и при этом не встречаться во всех других позициях. Тот же умение находить общий язык с заказчиком стараясь не просто выявить его потребность, но и находить технические решения включающие продвигаемые продукты или услуги. И в обратную, обладать достаточной технической компетенцией и уверенностью, чтобы отвечать заказчику или сейлу, что как они хотят работать не будет и надо делать по другому.
Думаю, что спокойная манера общения располагает собеседника к себе). Под спокойной я скорее понимаю (как Вы правильно сказали), умение контролировать себя, чем флегматичность.
На своем опыте знаю что иногда в общении нужно показывать эмоции или даже "характер", при этом помня о том с кем ты говоришь и с какой целью., а это со стороны не всегда считывается как "спокойный разговор".
Из открытых источников :)
Нацеленно глубоко не копал, но не сталкивался с такими статьями. Если поделитесь - буду крайне благодарен =)
Для начала хочу выразить благодарность за то, что вы рассказываете об этой специфичной и непростой специальности!
Однако считаю, что в статье очень мало информации о том, кто такой пресейл-инженер. Описанные "базовые знания" (в которых упомянута техническая база), упор на саморазвитие, умение говорить и находить общий язык, конечно, важны, но это настолько общие рекомендации, что под них могут подойти и сисадмины, и техподдержка, и руководители проектов, и разработчики, и даже продажники, если посмотреть под определённым углом. Считаю, что не хватает подробностей о том, почему пресейл-инженер именно "пресейл".
"Умение говорить ровным, спокойным голосом расположит собеседника к себе." — для пресейла действительно важно уметь располагать к себе, но не для каждого специалиста и не в каждой ситуации подходит ровный и спокойный голос. Тут скорее важно уметь контролировать себя во время разговора и управлять диалогом.
"Иногда инструкции и задачи бывают очень объёмные и, ошибившись один раз в начале, можно всю последующую работу отправить «в мусорную корзину», потратив в итоге в три раза больше времени на поиск ошибки вместо того, чтоб один раз сделать всё правильно." — нередко пресейл сталкивается с задачами, для которых нет готового правильного решения, и приходится оценивать риски действия и бездействия, а иногда и брать на себя ответственность. Но да, принцип "семь раз отмерь — один отрежь" крайне важно соблюдать.
И хотел бы спросить: откуда были взяты данные по грейдам пресейл-инженеров?
Приятно видеть что появляется больше контента для привлечения "свежей крови" в ИБ.
Не увидел в статье некоторых, на мой взгляд важных моментов:
Сфера информационной безопасности очень широкая. Набор знаний и навыков АИБа и Пентестера в прикладном применение мало в чем пересекается. А рядом еще есть специалисты по НПА и бумажной безопасности, аналитики и операторы в SOC, форензика, инженеры-настройщики и еще тележка разных направлений развития. Абитуриенту будет крайне полезно определиться куда он хочет двигаться дальше на самых первых курсах, еще не вовсе до поступления в ВУЗ.
Зарплаты в ИБ тоже крайне неоднородны. По личным ощущениям, надо бы где-то поискать релевантную статистику, первые года три работы лучше не рассчитывать на высокие зарплаты. "Прыгать" между работодателями в поисках вкусного оффера вряд ли даст такой же результат как в остальном IT, да и может привести к не самым приятным последствиям, о чем еще упомяну ниже.
Работа в сфере информационной безопасности связана с доступом к чувствительной информации. Даже если не брать зафиксированные NDA, в организации может присутствовать много процессов, ресурсов и данных, которые не регламентируются, но их разглашение за пределами может привести к негативным последствиям. Так что работодатели более пристально рассматривают "зеленых" кандидатов, оценивая на сколько его погружение в процесс может навредить, а те кто "прыгает" между работами, для поиска места поудобней, вызывают еще больше вопросов.
От предыдущего пункта и не самое большое кол-во стажировок у организаций. Мало того что на подготовку программы стажировки в ИБ нужны значительные ресурсы (временные/человеческие), так еще и нужно придумать как сделать так, чтобы стажер был полезен, но после окончания стажировки, если не будет принят в организацию, не ушел с какой-нибудь чувствительной информацией.
Сроки проектов в ИБ больше чем в разработке. По это причине работодатель, ищущий кандидатов в новообразованный отдел ИБ или строящийся SOC, рассчитывает на то что кандидат проработает хотя бы пару лет, так как менять людей "в процессе" будет сложно. Но и в уже уставившихся отделах ИБ онбординг сотрудников может занимать месяцы и выходить за пределы испытательного срока.
ИБ это часть ИТ. Не везде, тенденция меняется, но такая ситуация продолжает встречаться. При таком раскладе бюджет в организации распределяется на ИБ "по остаточному принципу", что сказывается на используемом инструментарии и зарплатах сотрудников отдела ИБ.
Начал с того, что ИБ широкая сфера, а завершу обратным тезисом: в большинстве направлений специалиста ИБ есть две дисциплины которые так или иначе будут необходимы - нормативка и сетевка. И если погружение в нормативку от направления к направлению может сильно меняться, то сетевка будет востребована везде. Так что если абитуриент рассматривает свой карьерный путь в ИБ, то стоит обращать внимание на ВУЗы где отдается много внимание сетевым технологиям.
Ну и под конец, приятно что в статье были перечислены ВУЗы в которых есть стоящие внимание направления подготовки, но это же все Москва, где региональные ВУЗЫ? =)
Личная мотивация для пресейлов это отдельная боль. Пока не сталкивался с адекватными универсальными вариантами. Всегда это либо натягивание сейловой, либо совы на глобус)
Не берусь за всех, но тут есть проблема "курицы и яйца". После университета специалисты выходят неготовыми для бизнеса, да и для многих старт в виде 1-3 лет за ЗП кассира в пяторочке, при этом с куда более сложными и комплексными задачами, мало интересен. А на рынке даже С-Пб стартовых позиций не много. Большинству, как указано в статье, нужны люди, которые готовы прийти и начать делать. При этом могут возникать забавные ситуации, когда на позиию среднего специалиста, который нужен еще вчера, могут по году и больше искать кандидата.
По моему личному, субъективному наблюдению, среди пользовательских компьютеров ~80-90% это Windows, той или иной степени актуальности. Правда, тенденция на "отечественную ОС" потихоньку начинает менять баланс сил.
Я просто вспомнил случай из практики, когда пользователь сумел обойти минимальную длину и когда пришел срок менять, система не принимала "старый пароль", считая что такого быть не может =)
Ну, во-первых, за невыполнение можно получить «по голове» от надзирающих органов. Даже если условные разработчики сидя в России зарегистрированы на Кипре, это не значит что им не надо выполнять местный (или Европейский) комплайнс. На свою вину не знаю ситуацию на Кипре, но у Европы и Америки свои есть нормы и правила, за которые наказывают не менее строго. Другой вопрос про их соотношение с реальной безопасностью, но на эту тему уйма материалов и мнений в сети. Во-вторых, закрывать требования регулятора когда он уже стучится в дверь чревато. В нашей стране, в зависимости от целей и настроения проверяющего органа, можно получить по полной, даже если клятвенно обещаешь доделать все в самые короткие сроки. В-третьих, ИБ как раз про предотвращение потерь, а не реагирование в последний момент. В зависимости от типа компании, вполне разумнее прикрыть «тылы» от требований регуляторов заранее. В-четвёртых, есть организации, которым по закону необходимо выполнять требования и тут уже зависит от руководства, им «шашечки или ехать», т.е. выполнять требования все равно придётся, но будет ли при этом обеспечиваться реальная безопасность - не всегда зависит от безопасника «на местах». В-пятых, даже в наших РД есть best practices которые не выполняются теми, кто обязан, потому что в их понимании все РД бесполезны полностью и они лучше знают. В-шестых, и последних, иногда, все наши приказы ФСТЭК и прочие РД единственный способ у безопасника выбить деньги из бюджета на новую СЗИ.
Если коротко, то это на значит что без всего содержания РД нельзя безопасника считать безопасником, но ориентироваться в них уметь это такой же навык как владения сканерами сети, умение настраивать специфичные NGFW или владение скриптовыми языками - добавляет ценность.
К сожалению нельзя, есть нормы и их нужно выполнять, так или иначе. А про соотношение с реальной безопасностью - вопрос неоднозначный и у каждого тут свое мнение.
Не во всем согласен с автором, но вопросы такие встречал. Чаще всего, на начальной позиции. Потом научился в ответ спрашивать "вам шашечки или ехать" и собеседования начали проходить более продуктивно)
А вообще это скорее перечень вопросов-клише и "плохих советов", т.к.:
Типов специальностей в ИБ уйма, так что любой из вопросов по отдельности для каждой конкретной позиции должен идти с контекстом, из-за чего когда их много на собесе это явно говорит что интервьюер не понимает что будет конкретно делать работник.
Рассказать про серьезные вещи с прошлой работы не получится, так как даже если нет NDA и совести, то это не значит что то каким СЗИ и как ты защищал на прошлом месте пользовательские эндпоинты можно разглашать. На мой взгляд на такие вопросы будут давать информацию об опыте 5-ти летней давности, что как бы уже мало релевантно, а учитывая что СЗИ мог покупаться только ради закрытия комплаенса, то это вряд ли поможет в определении навыков.
Опять же про СЗИ с которыми работал на предыдущем месте - это вполне может быть запрещено к разглашению или человек не скажет просто ради того, чтобы перестраховаться.
Если мы говорим о "специалистах ИБ - универсалах своего дела", то тут не вопросов про бизнес-процессы, а ведь универсал должен, в том числе понимать и учитывать потребности бизнеса.
Спрашивать про антивирус в 2021 - некорректно, чистых антивирусов почти не осталось. Если уж и упоминать, то в ключе "антивирусного движка" и в каких еще классах СЗИ они встречаются и как используются, кроме эндпоинтов.
Ну и отдельно насмешивший лично меня вопрос:
минимальная длина пароля для учетных записей в AD и почему?
Копирайт-бот создал рекламную статью, в корпоративный блог, о теории захвата интернета корпоративными ботами на основе ИИ, из перевода и сокращения статьи иностранного СМИ и мемов...цеп замкнулась!
P.S. Это не в претензию автору, просто после прочтения именно такая мысль сформировалась ;)
Так теперь же геймдев состоит только из мобильных тыкалок и инди. Первые преносят нереальные доходы, что позволят брать новичков и учить, вторые не приносят денег вовсе, так что готовы брать новичков, которые горят идеей и готовы работать за опыт.
Все остальное, это высший эшелон, в который попадают только опытные или по связям.
А, ну и всегда есть "гении" которые вне "пищевой цепочки" =)
Согласен чтобы "100%" перечень навыков составить нужно пойти на условности. Так к примеру пресейл-инженер в ИБ должен обладать набором навыков отличным от того же пресейла в бизнес софте, но есть пересечения которые будут общими и при этом не встречаться во всех других позициях. Тот же умение находить общий язык с заказчиком стараясь не просто выявить его потребность, но и находить технические решения включающие продвигаемые продукты или услуги. И в обратную, обладать достаточной технической компетенцией и уверенностью, чтобы отвечать заказчику или сейлу, что как они хотят работать не будет и надо делать по другому.
На своем опыте знаю что иногда в общении нужно показывать эмоции или даже "характер", при этом помня о том с кем ты говоришь и с какой целью., а это со стороны не всегда считывается как "спокойный разговор".
Нацеленно глубоко не копал, но не сталкивался с такими статьями. Если поделитесь - буду крайне благодарен =)
Для начала хочу выразить благодарность за то, что вы рассказываете об этой специфичной и непростой специальности!
Однако считаю, что в статье очень мало информации о том, кто такой пресейл-инженер.
Описанные "базовые знания" (в которых упомянута техническая база), упор на саморазвитие, умение говорить и находить общий язык, конечно, важны, но это настолько общие рекомендации, что под них могут подойти и сисадмины, и техподдержка, и руководители проектов, и разработчики, и даже продажники, если посмотреть под определённым углом. Считаю, что не хватает подробностей о том, почему пресейл-инженер именно "пресейл".
"Умение говорить ровным, спокойным голосом расположит собеседника к себе." — для пресейла действительно важно уметь располагать к себе, но не для каждого специалиста и не в каждой ситуации подходит ровный и спокойный голос. Тут скорее важно уметь контролировать себя во время разговора и управлять диалогом.
"Иногда инструкции и задачи бывают очень объёмные и, ошибившись один раз в начале, можно всю последующую работу отправить «в мусорную корзину», потратив в итоге в три раза больше времени на поиск ошибки вместо того, чтоб один раз сделать всё правильно." — нередко пресейл сталкивается с задачами, для которых нет готового правильного решения, и приходится оценивать риски действия и бездействия, а иногда и брать на себя ответственность. Но да, принцип "семь раз отмерь — один отрежь" крайне важно соблюдать.
И хотел бы спросить: откуда были взяты данные по грейдам пресейл-инженеров?
А на портал расширений свою работу не выкладывали?
https://addons.ptsecurity.com/
Приятно видеть что появляется больше контента для привлечения "свежей крови" в ИБ.
Не увидел в статье некоторых, на мой взгляд важных моментов:
Сфера информационной безопасности очень широкая. Набор знаний и навыков АИБа и Пентестера в прикладном применение мало в чем пересекается. А рядом еще есть специалисты по НПА и бумажной безопасности, аналитики и операторы в SOC, форензика, инженеры-настройщики и еще тележка разных направлений развития. Абитуриенту будет крайне полезно определиться куда он хочет двигаться дальше на самых первых курсах, еще не вовсе до поступления в ВУЗ.
Зарплаты в ИБ тоже крайне неоднородны. По личным ощущениям, надо бы где-то поискать релевантную статистику, первые года три работы лучше не рассчитывать на высокие зарплаты. "Прыгать" между работодателями в поисках вкусного оффера вряд ли даст такой же результат как в остальном IT, да и может привести к не самым приятным последствиям, о чем еще упомяну ниже.
Работа в сфере информационной безопасности связана с доступом к чувствительной информации. Даже если не брать зафиксированные NDA, в организации может присутствовать много процессов, ресурсов и данных, которые не регламентируются, но их разглашение за пределами может привести к негативным последствиям. Так что работодатели более пристально рассматривают "зеленых" кандидатов, оценивая на сколько его погружение в процесс может навредить, а те кто "прыгает" между работами, для поиска места поудобней, вызывают еще больше вопросов.
От предыдущего пункта и не самое большое кол-во стажировок у организаций. Мало того что на подготовку программы стажировки в ИБ нужны значительные ресурсы (временные/человеческие), так еще и нужно придумать как сделать так, чтобы стажер был полезен, но после окончания стажировки, если не будет принят в организацию, не ушел с какой-нибудь чувствительной информацией.
Сроки проектов в ИБ больше чем в разработке. По это причине работодатель, ищущий кандидатов в новообразованный отдел ИБ или строящийся SOC, рассчитывает на то что кандидат проработает хотя бы пару лет, так как менять людей "в процессе" будет сложно. Но и в уже уставившихся отделах ИБ онбординг сотрудников может занимать месяцы и выходить за пределы испытательного срока.
ИБ это часть ИТ. Не везде, тенденция меняется, но такая ситуация продолжает встречаться. При таком раскладе бюджет в организации распределяется на ИБ "по остаточному принципу", что сказывается на используемом инструментарии и зарплатах сотрудников отдела ИБ.
Начал с того, что ИБ широкая сфера, а завершу обратным тезисом: в большинстве направлений специалиста ИБ есть две дисциплины которые так или иначе будут необходимы - нормативка и сетевка. И если погружение в нормативку от направления к направлению может сильно меняться, то сетевка будет востребована везде. Так что если абитуриент рассматривает свой карьерный путь в ИБ, то стоит обращать внимание на ВУЗы где отдается много внимание сетевым технологиям.
Ну и под конец, приятно что в статье были перечислены ВУЗы в которых есть стоящие внимание направления подготовки, но это же все Москва, где региональные ВУЗЫ? =)
А на портал расширений PT не добавляли?
addons.ptsecurity.com
На PHD позитив показывал MVP - выглядело интересно.
Личная мотивация для пресейлов это отдельная боль. Пока не сталкивался с адекватными универсальными вариантами. Всегда это либо натягивание сейловой, либо совы на глобус)
Не берусь за всех, но тут есть проблема "курицы и яйца". После университета специалисты выходят неготовыми для бизнеса, да и для многих старт в виде 1-3 лет за ЗП кассира в пяторочке, при этом с куда более сложными и комплексными задачами, мало интересен. А на рынке даже С-Пб стартовых позиций не много. Большинству, как указано в статье, нужны люди, которые готовы прийти и начать делать. При этом могут возникать забавные ситуации, когда на позиию среднего специалиста, который нужен еще вчера, могут по году и больше искать кандидата.
Помню Wargaming в Питере делал свою академию. Подход с самого начала был менее скурпулезный)
Это средняя температура по больнице. Даже скорее температура в амбулаторной, а ИБ это интенсивная терапия.
В ИТ в среднем зарплата выше чем в ИБ. А в ИБ зарплата пентестера в среднем выше чем АИБа, если вы конечно найдете вакансию чистого АИБа.
По моему личному, субъективному наблюдению, среди пользовательских компьютеров ~80-90% это Windows, той или иной степени актуальности. Правда, тенденция на "отечественную ОС" потихоньку начинает менять баланс сил.
Рассмешил не в смысле, что вопрос плохой.
Я просто вспомнил случай из практики, когда пользователь сумел обойти минимальную длину и когда пришел срок менять, система не принимала "старый пароль", считая что такого быть не может =)
Ну, во-первых, за невыполнение можно получить «по голове» от надзирающих органов. Даже если условные разработчики сидя в России зарегистрированы на Кипре, это не значит что им не надо выполнять местный (или Европейский) комплайнс. На свою вину не знаю ситуацию на Кипре, но у Европы и Америки свои есть нормы и правила, за которые наказывают не менее строго. Другой вопрос про их соотношение с реальной безопасностью, но на эту тему уйма материалов и мнений в сети. Во-вторых, закрывать требования регулятора когда он уже стучится в дверь чревато. В нашей стране, в зависимости от целей и настроения проверяющего органа, можно получить по полной, даже если клятвенно обещаешь доделать все в самые короткие сроки. В-третьих, ИБ как раз про предотвращение потерь, а не реагирование в последний момент. В зависимости от типа компании, вполне разумнее прикрыть «тылы» от требований регуляторов заранее. В-четвёртых, есть организации, которым по закону необходимо выполнять требования и тут уже зависит от руководства, им «шашечки или ехать», т.е. выполнять требования все равно придётся, но будет ли при этом обеспечиваться реальная безопасность - не всегда зависит от безопасника «на местах». В-пятых, даже в наших РД есть best practices которые не выполняются теми, кто обязан, потому что в их понимании все РД бесполезны полностью и они лучше знают. В-шестых, и последних, иногда, все наши приказы ФСТЭК и прочие РД единственный способ у безопасника выбить деньги из бюджета на новую СЗИ.
Если коротко, то это на значит что без всего содержания РД нельзя безопасника считать безопасником, но ориентироваться в них уметь это такой же навык как владения сканерами сети, умение настраивать специфичные NGFW или владение скриптовыми языками - добавляет ценность.
К сожалению нельзя, есть нормы и их нужно выполнять, так или иначе. А про соотношение с реальной безопасностью - вопрос неоднозначный и у каждого тут свое мнение.
Не во всем согласен с автором, но вопросы такие встречал. Чаще всего, на начальной позиции.
Потом научился в ответ спрашивать "вам шашечки или ехать" и собеседования начали проходить более продуктивно)
А вообще это скорее перечень вопросов-клише и "плохих советов", т.к.:
Типов специальностей в ИБ уйма, так что любой из вопросов по отдельности для каждой конкретной позиции должен идти с контекстом, из-за чего когда их много на собесе это явно говорит что интервьюер не понимает что будет конкретно делать работник.
Рассказать про серьезные вещи с прошлой работы не получится, так как даже если нет NDA и совести, то это не значит что то каким СЗИ и как ты защищал на прошлом месте пользовательские эндпоинты можно разглашать. На мой взгляд на такие вопросы будут давать информацию об опыте 5-ти летней давности, что как бы уже мало релевантно, а учитывая что СЗИ мог покупаться только ради закрытия комплаенса, то это вряд ли поможет в определении навыков.
Опять же про СЗИ с которыми работал на предыдущем месте - это вполне может быть запрещено к разглашению или человек не скажет просто ради того, чтобы перестраховаться.
Если мы говорим о "специалистах ИБ - универсалах своего дела", то тут не вопросов про бизнес-процессы, а ведь универсал должен, в том числе понимать и учитывать потребности бизнеса.
Спрашивать про антивирус в 2021 - некорректно, чистых антивирусов почти не осталось. Если уж и упоминать, то в ключе "антивирусного движка" и в каких еще классах СЗИ они встречаются и как используются, кроме эндпоинтов.
Ну и отдельно насмешивший лично меня вопрос:
Серьезно? Лет 5 назад, когда еще смотрел, там было засилье однотипных тайтлов в которых вся "задумка" заканчивалась на синопсисе...
Копирайт-бот создал рекламную статью, в корпоративный блог, о теории захвата интернета корпоративными ботами на основе ИИ, из перевода и сокращения статьи иностранного СМИ и мемов...цеп замкнулась!
P.S. Это не в претензию автору, просто после прочтения именно такая мысль сформировалась ;)
Так теперь же геймдев состоит только из мобильных тыкалок и инди. Первые преносят нереальные доходы, что позволят брать новичков и учить, вторые не приносят денег вовсе, так что готовы брать новичков, которые горят идеей и готовы работать за опыт.
Все остальное, это высший эшелон, в который попадают только опытные или по связям.
А, ну и всегда есть "гении" которые вне "пищевой цепочки" =)