В один теплый осенний день, когда стало понятно, что моим оптимистичным оценкам по поводу скорого отказа от стратегии государства российского на импортозамещение не суждено было сбыться, я задумался над классическим вопросом, который время от времени настигает почти каждого: "А что, если завтра уволят?" На самом деле этим вопросом я задался достаточно давно, подготовив план действий на так называемый worst case, то есть худший сценарий развития событий. А так как в последнее время многие из моих коллег и друзей столкнулось с этим вопросом воочию, то решил я выложить некоторые размышлизмы на эту тему. Авось, кому-то и будет полезно.
Итак, сначала я выделил дюжину основных направлений, куда может (не факт, что должен, и не факт, что пойдет) пойти специалист по информационной безопасности. Сразу надо сказать, что все это достаточно условно и возможность уйти в одно из этих направлений очень сильно зависит от множества условий (менталитет, возраст, амбиции и т.п.). Врядли человек, 10 или 20 лет, отработавший руководителем ИБ, пойдет эксплуатировать средства защиты (хотя все возможно). Да и с молодежью тоже не все просто - очень часто приходится сталкиваться с тем, что человек поруководивший около года одним человеком уже претендует на роль руководителя департамента ИБ (а уж если человек еще и MBA прошел, то это вообще труба - невовремя пройденный MBA только вредит). Итак, вот моя дюжина:
Итак, сначала я выделил дюжину основных направлений, куда может (не факт, что должен, и не факт, что пойдет) пойти специалист по информационной безопасности. Сразу надо сказать, что все это достаточно условно и возможность уйти в одно из этих направлений очень сильно зависит от множества условий (менталитет, возраст, амбиции и т.п.). Врядли человек, 10 или 20 лет, отработавший руководителем ИБ, пойдет эксплуатировать средства защиты (хотя все возможно). Да и с молодежью тоже не все просто - очень часто приходится сталкиваться с тем, что человек поруководивший около года одним человеком уже претендует на роль руководителя департамента ИБ (а уж если человек еще и MBA прошел, то это вообще труба - невовремя пройденный MBA только вредит). Итак, вот моя дюжина:
- Разработка. Не секрет, что многие специалисты по ИБ в бытность свою начинали программистами (я тоже так начинал в одном из московских ящиков, программируя на ассемблере средство криптографической защиты). Если бытность эта была не так давно или в процессе основной работы навыки кодера утрачены не были, то можно попробовать вернуться к истокам и второй раз войти в ту же реку (кто вообще придумал глупость, что дважды в одну реку войти нельзя?).
- Консалтинг / интеграция. Это одно из самых очевидных и зачастую популярных направлений. В него можно идти отовсюду - от заказчика, от вендора, от другого интегратора. Но и консалтинг/интеграция тоже бывают разные. Тут вам и разработка архитектуры, и проведения аудита, и пентесты, и разработка бумажек, и юридические (околоюридические) консультации, и мониторинг ИБ.
- Продажи. Можно пойти в продавцы. Не знаю, не пробовал. Это особый склад характера, но многие открывают себя заново именно в этой сфере.
- Обучение. Обучать, конечно, нужно уметь, но... дело это наживное и приходит с опытом. Чем больше опыта ИБ за спиной у человека, ищущего работу, тем более интересным он может быть докладчиком/преподавателем. И в отличие от 5-10-летней давности, сегодня ситуация с возможностью учить на порядок лучше. Есть учебные центры, которые готовы брать интересные (это ключевое слово) курсы. Есть тот же Интуит или иные онлайн-площадки, где можно предложить уже разработанные или будущие курсы.
- Писатель. С писателем ситуация аналогичная преподаванию. Возможно это даже две стороны одной медали. Мне можно возразить, что много на этом не заработаешь, но я склонен подисскутировать на эту тему. Можно писать статьи, можно целые книги. Ценник разный, время подготовки публикации разное. Но это одна из возможностей, которой не стоит пренебрегать в отдельных случаях. Опять же по-моему опыту скажу, что писать научиться можно. Можно научиться писать быстро и хорошо. Первые мои статьи я вымучивал неделями; сейчас на материал по известной мне теме уходит часа 3-4 (на 10-12 тысяч знаков). При знании английского языка горизонты расширяются еще больше.
- Юридическая поддержка. Как бы не спорили и не ругали тему "бумажной" ИБ, но она по-прежнему в цене. И чем больше наши законодатели и регуляторы выпускают нормативных актов, тем больше потребности в грамотной юридической поддержке ИБ. Немногие безопасники будут самостоятельно вникать во все хитросплетения нашего законодательства, а вот заплатить человеку сведущему вполне готовы.
- Аналитики ИБ. Это специфический вектор для продолжения своей карьеры. Таких людей сегодня катастрофически не хватает, но и не каждый безопасник готов сходу пойти на эту работу. Тут нужно уметь наблюдать и подмечать то, что не лежит на поверхности. Расследовать инциденты, анализировать вредоносное ПО, анализировать атаки... Нужно повышение квалификации, чтобы свой опыт трансформировать в эту сферу. Но учитывая рост интереса к таким специалистам, можно успеть занять нишу, в которой будут скоро толкаться все (или почти все).
- Эксплуатация СЗИ. Эта работа востребована как никогда, но желающих пойти на такие должности немного. Оставлю это направление без комментариев.
- Регулятор. Да-да, можно попробовать пойти к регулятору - в ФСТЭК, ЦБ, РКН, ФСБ... Сам не пробовал и не знаю, насколько это легко и насколько это возможно. Очевидно, что для молодежи этот путь гораздо менее тернист, чем для поколения более зрелого. Но учитывая все возрастающую роль органов исполнительной власти и все большую информатизацию, проверяющих, регулирующих и обеспечивающих национальную безопасность будет не хватать.
- Организатор мероприятий. Хороший тамада для свадьбы или конферансье для концерта всегда был на вес золота. В области информационной безопасности ситуация аналогичная - не хватает хороших специалистов, способных сформировать хорошую программу мероприятия, найти для него какие-нибудь фишки, найти спикеров и заставить их делать что-то в правильном направлении, а еще и промодерировать мероприятие. Такие люди могут быть востребованы на рынке, емкость которого, правда, не очень большая. Сюда же попадают и те, кто проводит мероприятия, находя правильных спикеров и правильную аудиторию и сводя их вместе.
- Та сторона баррикад. Без комментариев, но примеры, когда человек официально работает и пентестером ("белой шляпой"), и взломщиком ("черной шляпой") в нашей отрасли не так уж и редки. Разумеется, это удел молодежи, у которой границы этического поведения немного сдвинуты или вовсе размыты, но бывает, что и у более старшего поколения ориентиры пошатываются.
- Стартап. Помню, на эту тему хороший доклад делал Рустем Хайретдинов на Уральском форуме в Магнитогорске. Поэтому не буду повторять его тезисы относительно разработки нового продукта. Поверну по другому. Продукт бывает не только средством защиты информации, о чем рассказывал Рустем. Это может быть интересный курс, онлайн-площадка для проведения мероприятий или курсов, аналитика, сайт, социальная сеть для безопасников, игра и т.п. Я уже писал про геймификацию в ИБ и могу еще раз повторить - в России катастрофически не хватает хороших игр по ИБ. А за них, я уверен, будут платить корпоративные заказчики или организаторы мероприятий. Пример той же Лаборатории Касперского, которая продает лицензии на свою игру по промышленной ИБ, только подтверждает это.
Я за 23 года в ИБ из всего вышеперечисленного пробовал почти все; кроме 7-го, 9-го, 11-го и 12-го пунктов. Поэтому могу сказать, что это не высосанные из пальца направления карьерного компаса, - это все вполне осуществимые вещи, которые могут приносить определенный доход. Не факт, что такой же доход, что и на прошлом месте работы. Но может быть и обратная ситуация. Возможно именно выйдя в чистое поле может открыться второе дыхание... Кто знает...
Все перечисленные выше варианты трудоустройства (или фриланса) явно не совпадают с тем, что называет специалистом по информационной безопасности Минтруд и о для кого он пишет и утверждает свои профстандарты. Но в конце концов так ли важно, выполняете ли вы требования непонятно кем написанного стандарта? Главное, чтобы работа приносили удовольствие, пользу и доход. А все остальное уже и не важно.
Все перечисленные выше варианты трудоустройства (или фриланса) явно не совпадают с тем, что называет специалистом по информационной безопасности Минтруд и о для кого он пишет и утверждает свои профстандарты. Но в конце концов так ли важно, выполняете ли вы требования непонятно кем написанного стандарта? Главное, чтобы работа приносили удовольствие, пользу и доход. А все остальное уже и не важно.
25 коммент.:
Спасибо вам за пост :)
Спасибо. Я бы ещё добавил продукт/проджект менеджемент у вендоров. Но тут тоже особый характер нужен.
А я продукт-менеджеров в консалтинг причислил
Отличный список - сохраню себе! Три года назад сидела без работы четыре месяца, зарабатывала статьями в журналы и работала над грантом в университете (по теме ИБ). Это почти стартап, но иное, все-таки госзаказ, так что тоже можно включить.
Включу
вот я еще не решил, чем буду заниматься ;-)
Троллить будешь и критиковать
Можно еще в РП, хороших РП кот наплакал
В РПЦ.
Куда?
Как же варианты:
1) Открыть свое юридическое лицо (будем считать, что по ИБ)?
2) Вообще не заниматься ИБ, а продавать собственный мед например?:) (в общем вариант уйти из этой отрасли и тоже куча вариантов).
Хммм... Действительно, а куда же может пойти специалист по ИБ? :)
Давайте вместе подумаем. Что-то не увидел ещё несколько вариантов "возможностей":
№13. Счастливая удача: выиграть в лотерею, казино. Получить наследство.
№14. Стать нейрохирургом.
№15. Заняться гаданием по руке, или ещё какой-нибудь "хиромантией".
Ну, может же? Если захочет.
Я как человек ищущий, как раз сейчас занимаюсь "выбором пути". Поэтому очень скептически отношусь к статье Алексея. Нет, конечно, если у вас инициалы А. Л. и более 15 лет стажа, то вы можете всё бросить и попытать счастья в смежных с основным видах деятельности.
А что делать, если девочка-кадровик ровесница вашего трудового стажа-профессионального опыта и не сразу поняла, как вы неимоверно крут в своем деле? :)
Рассмотрим другого, вымышленного человека. Как объяснить, почему CISO после 10 лет руководства департаментом ИБ хочет переключиться от руководства к "рукоприкладству": заниматься настройкой "коробок" или кодингом?
Нет, CISO конечно может делать это на добровольных началах своим знакомым, но кто же его с таким overqualified наймёт?
С другой стороны технологии, например в той же разработке ПО, не стояли на месте... Вы готовы с 0 разобраться как дела обстоят в настоящее время? А ваши потенциальные работодатели готовы к этому? :)
Решили заниматься юридической поддержкой? Ну, у вас же есть юридическое образование для повышения степени доверия к вашим консультациям? Может быть. Вариант. :)
Ещё одна "подводная грабля", с которой может столкнуться человек широкого профиля: недоверчивое отношение на собеседовании с узким специалистом. Правильно! Ну, как же соискатель может знать всё обо всём? Никак, а значит он не знает ничего, скорее всего. Всем спасибо, все свободны. И никого не интересует, что соискатель достаточно быстро может войти в курс дела решая реальные кейсы. Позже я ещё вернусь к этому вопросу.
Кстати, а что обычно пытаются узнать у вас на собеседовании? Снова правильно! Вчера, собеседующий вас, "героически" порешал неведомую, трудно воспроизводимую беду, может даже вымышленную, а сегодня способы её решения выносятся для обсуждения на собеседование. И не важно, что эта беда может случиться только в очень специфичном окружении с никому неизвестной штукой. Очень плохо, что вы этого не знаете. :)
Ещё вариант. Жил-был технарь, "коробки" крутил, СЗИ насаждал. И вдруг решил стать гуманитарием! Статьи писать, блоги вести... Внезапно! А вот только не берут его собственные статьи никуда, не нужны они никому. А из блога только "твиттер камня" выходит. Какая жаль...
Хотя, есть же ещё статьи продавленные маркетологами работодателя и такие же блоги: покупайте наших слонов. С такой же информационной полезностью. Это успех?
И самое вкусное. Покажу на примере аналитиков. Ранее вы не были аналитиком, но хотите им стать и, как вам кажется, обладаете необходимыми качествами и навыками. Просто применять их пока не удавалось. Поздравляю, вы лучший кандидат на "карусельку": не берём без опыта работы, пока не взяли - откуда опыт? :) Все хотят нанимать 100%-соответствующих требованиям специалистов, но прилагать усилия к переманиваю от конкурентов не желают. И "докачивать" до необходимого уровня от 70-80% тоже не хотят. Пичалька. :)
Итак, вам всё ещё кажется, что открыты все пути?
Мне не кажется, я знаю. Но можно себя утешать, что мир вокруг плох
С мой точки зрения мир не так уж и плох, а скорее всего лишь реален. Но если обсуждаем мы сферического безопасника в вакууме, то у кого-нибудь "возможно именно выйдя в чистое поле может открыться второе дыхание..." :)
Наверно возможно все, но и я согласен с andrey lemesh. Алексей, напишите работодателям (вендорам, интеграторам и потребителям...) как создавать рабочие места, зарабатывать на ИБ не через страшилки (или откаты), а повышением рентабельности. И не придётся хорошему безопаснику искать работу :)
...А что делать, если девочка-кадровик ровесница вашего трудового стажа-профессионального опыта и не сразу поняла...
актуально!
George: мне кажется, это сам безопасник, если он хороший, должен делать и рассказывать своему руководству не страшилки, а про рентабельность. Не?
Vadim: выходить на человека, которому нужно закрыть вакансию
Andrey Lemesh, ваши "отмазки" по поводу трудоустройства смахивают на вариант, когда специалистом по ИБ становятся по воле родителей либо ошиблись с профессией. В этой сфере, как правило, "выживают" люди, интересующиеся ИБ, а не те, кто делает вид, что работает.
Ser-storchak, полагаю, что Andrey Lemesh из числа интересующихся ИБ. Иначе зачем он читает Алексея Лукацкого, как Вы и я? Не спешите называть отмазками то, что быть может сами позже назовете аргументами. Предположим Вы крут, но уязвимость в juniper или cisco или подкупность программиста оказалась круче. У собственника вашей компании снимут деньги (например, как в этом году в энергобанке, несколько сотен млн.руб). Вас уволят с дисквалификацией. Страшилка? Да, лучше говорить не об этом, а о непрерывномюсти и рентабельности, о работе с людьми. Они (мы) главная уязвимость. О поднятии уважения к безопаснику через предоставление ценностей от ИБ для целей бизнеса. Говорят, даже если вас съели, у вас все равно есть два выхода. Пусть Алексей Лукацкий продолжает учить нас тому, чтоб не съели :-)
Извините, а можно весь Ваш профиль посмотреть?
Сергей, насколько я понял, это ваше: http://ser-storchak.blogspot.ru/ ?
"Все статьи блога отражают личную точку зрения автора и не имеет никакого отношения..."
Касательно моих "отмазок" могу лишь добавить, что как и Алексей, всего лишь имею примеры описанных мной событий.
Отправить комментарий