Привет, ребята, после годовалого серфинга интересующих меня хабов, а именно большинства статей, которые касаются информационной безопасности и, конечно же, тем, которые касаются работы в IT-компании — я созрел написать что-то от себя.
Меня можно назвать фрэш бладом в моей специальности (кибербезопасность). Когда передо мной встал выбор — куда я хочу поступить, я насмотревшись фильмов про «суперхакеров», решил, что моя душа лежит именно к ИБ (ещё не зная тогда, на каком огромном перекрестке путей мне предстояло оказаться) я успешно вступил в ВУЗ и начал свой путь именно с обучения в «выше».
Интересовали меня по большей степени профильные предметы, начиная с программирования, «флэйринга» железом и заканчивая дисциплинами по типу «Защита ПК и Моб. устройств от вредоносов». Время шло и я начал замечать, что мой потенциал не покрывают дисциплины и всего этого будет совершенно недостаточно, чтобы стать специалистом хотя бы pre-junior уровня.
Посещая конференции, просматривая сериалы, читая статьи от уже чего-то добившихся ребят я черпал больше, чем на чертовых утренних лекциях. Важно, я не призываю молодых ребят, таких как я, бросать университеты — ни в коем случае. Каждый будущий специалист, должен понимать, что увеличение потребности в количестве целевых материалов и сужения области обучения, при уже определенной специализации — это пинок того самого университета к «естетственному отбору». Он будто говорит тебе: «Хочешь развиваться быстрее и лучше? Занимайся паралельным самообучением, придется поднапрячься с совмещением, но только так и получишь профит!».
Я начал работать над своими навыками, спрашивать, узнавать и крутить что-то своими ручками, с каждым днём понимая, что путь всё увеличивается. Найдя пару знакомств с студентами, которые уже работают по специальности, мне чудным образом выпала возможность пройти собеседование на ISO/IEC 27001 аудитора. В течении 3-х дней я начинал с 12-ти дня после учебы и до 4 утра следующего дня изучения стандартизации. Неплохо подготовился и меня взяли на позицию внутреннего аудитора информационной безопасности.
В университете, всё что мы знали о стандартизации ИБ —это скучная работа с постоянной документацией, заучиванием терминов и вот ещё что-то суперсложное и скучное...
И да, и нет!
Всё зависит от подхода компании в которой вы собираетесь работать и вашего подхода к работе. В то время, как одна вакансия является скучной для одного специалиста, она становится интересной второму.
P.S. Учтите, что моя публикация для будущих специалистов, у которых скорее всего ещё нет опыта, что проявить свет на тему стандартизации.
Около месяца я потратил на вычитку стандарта 27001 и сопутствующих ему, основной уклон я делал на 27002 и 27005. Паралельно проходил бесплатные курсы и читал книги по теме. Раз в неделю мой наставник проводил со мной небольшой брифинг о том, чему я научился и чему ещё предстоит научиться, чтобы меня не было стыдно показать заказчику аудита.
После полутора месяца работы я впервые пошёл к заказчику аудита вместе с моим наставником и я скажу вам, что это лучшее, что случалось со мной на этой работе — работа!
Проведя несколько вступительных диалогов с директорами соответствующих департаментов, которые напрямую отвечают за ИБ в компании. Совершив пару интервью с сотрудниками департаментов — мы принялись за составление плана аудита, просмотр докумментации. По сути, правильно преподнося свои услуги заказчику с целью помочь им получить сертификат, а не «тыкать носом» в ошибки их СУИБ'а.
Просмотр документации на соответствие критерям аудита это лишь небольшая часть аудита, важно найти общий язык с полностью техническим специалистом и заинтересовать его в том, что построение системы менджмента ИБ требуется не просто для получения сертификата, а для структурированного управления рабочими процессами в компании.
Надеюсь, вам было интересно прочесть мою небольшую заметку о разрушении стереотипов, навязанных недовольными преподавателями старой закалки или же ребятами, которые не любят свою работу.
Закончить хочется, одним прекрасным высказыванием: «За построение и внедрение Системы менеджмента информационной безопасности нужно платить, а за её отсутствие расплачиваться».
Немного предыстории
Меня можно назвать фрэш бладом в моей специальности (кибербезопасность). Когда передо мной встал выбор — куда я хочу поступить, я насмотревшись фильмов про «суперхакеров», решил, что моя душа лежит именно к ИБ (ещё не зная тогда, на каком огромном перекрестке путей мне предстояло оказаться) я успешно вступил в ВУЗ и начал свой путь именно с обучения в «выше».
Интересовали меня по большей степени профильные предметы, начиная с программирования, «флэйринга» железом и заканчивая дисциплинами по типу «Защита ПК и Моб. устройств от вредоносов». Время шло и я начал замечать, что мой потенциал не покрывают дисциплины и всего этого будет совершенно недостаточно, чтобы стать специалистом хотя бы pre-junior уровня.
Посещая конференции, просматривая сериалы, читая статьи от уже чего-то добившихся ребят я черпал больше, чем на чертовых утренних лекциях. Важно, я не призываю молодых ребят, таких как я, бросать университеты — ни в коем случае. Каждый будущий специалист, должен понимать, что увеличение потребности в количестве целевых материалов и сужения области обучения, при уже определенной специализации — это пинок того самого университета к «естетственному отбору». Он будто говорит тебе: «Хочешь развиваться быстрее и лучше? Занимайся паралельным самообучением, придется поднапрячься с совмещением, но только так и получишь профит!».
Я начал работать над своими навыками, спрашивать, узнавать и крутить что-то своими ручками, с каждым днём понимая, что путь всё увеличивается. Найдя пару знакомств с студентами, которые уже работают по специальности, мне чудным образом выпала возможность пройти собеседование на ISO/IEC 27001 аудитора. В течении 3-х дней я начинал с 12-ти дня после учебы и до 4 утра следующего дня изучения стандартизации. Неплохо подготовился и меня взяли на позицию внутреннего аудитора информационной безопасности.
В университете, всё что мы знали о стандартизации ИБ —
И да, и нет!
Всё зависит от подхода компании в которой вы собираетесь работать и вашего подхода к работе. В то время, как одна вакансия является скучной для одного специалиста, она становится интересной второму.
P.S. Учтите, что моя публикация для будущих специалистов, у которых скорее всего ещё нет опыта, что проявить свет на тему стандартизации.
Немного о том, как проходило моё обучение
Около месяца я потратил на вычитку стандарта 27001 и сопутствующих ему, основной уклон я делал на 27002 и 27005. Паралельно проходил бесплатные курсы и читал книги по теме. Раз в неделю мой наставник проводил со мной небольшой брифинг о том, чему я научился и чему ещё предстоит научиться, чтобы меня не было стыдно показать заказчику аудита.
После полутора месяца работы я впервые пошёл к заказчику аудита вместе с моим наставником и я скажу вам, что это лучшее, что случалось со мной на этой работе — работа!
Проведя несколько вступительных диалогов с директорами соответствующих департаментов, которые напрямую отвечают за ИБ в компании. Совершив пару интервью с сотрудниками департаментов — мы принялись за составление плана аудита, просмотр докумментации. По сути, правильно преподнося свои услуги заказчику с целью помочь им получить сертификат, а не «тыкать носом» в ошибки их СУИБ'а.
Просмотр документации на соответствие критерям аудита это лишь небольшая часть аудита, важно найти общий язык с полностью техническим специалистом и заинтересовать его в том, что построение системы менджмента ИБ требуется не просто для получения сертификата, а для структурированного управления рабочими процессами в компании.
Надеюсь, вам было интересно прочесть мою небольшую заметку о разрушении стереотипов, навязанных недовольными преподавателями старой закалки или же ребятами, которые не любят свою работу.
Закончить хочется, одним прекрасным высказыванием: «За построение и внедрение Системы менеджмента информационной безопасности нужно платить, а за её отсутствие расплачиваться».