Итак, сначала я выделил дюжину основных направлений, куда может (не факт, что должен, и не факт, что пойдет) пойти специалист по информационной безопасности. Сразу надо сказать, что все это достаточно условно и возможность уйти в одно из этих направлений очень сильно зависит от множества условий (менталитет, возраст, амбиции и т.п.). Врядли человек, 10 или 20 лет, отработавший руководителем ИБ, пойдет эксплуатировать средства защиты (хотя все возможно). Да и с молодежью тоже не все просто — очень часто приходится сталкиваться с тем, что человек поруководивший около года одним человеком уже претендует на роль руководителя департамента ИБ (а уж если человек еще и MBA прошел, то это вообще труба — невовремя пройденный MBA только вредит). Итак, вот моя дюжина:
- Разработка. Не секрет, что многие специалисты по ИБ в бытность свою начинали программистами (я тоже так начинал в одном из московских ящиков, программируя на ассемблере средство криптографической защиты). Если бытность эта была не так давно или в процессе основной работы навыки кодера утрачены не были, то можно попробовать вернуться к истокам и второй раз войти в ту же реку (кто вообще придумал глупость, что дважды в одну реку войти нельзя?).
- Консалтинг / интеграция. Это одно из самых очевидных и зачастую популярных направлений. В него можно идти отовсюду — от заказчика, от вендора, от другого интегратора. Но и консалтинг/интеграция тоже бывают разные. Тут вам и разработка архитектуры, и проведения аудита, и пентесты, и разработка бумажек, и юридические (околоюридические) консультации, и мониторинг ИБ.
- Продажи. Можно пойти в продавцы. Не знаю, не пробовал. Это особый склад характера, но многие открывают себя заново именно в этой сфере.
- Обучение. Обучать, конечно, нужно уметь, но… дело это наживное и приходит с опытом. Чем больше опыта ИБ за спиной у человека, ищущего работу, тем более интересным он может быть докладчиком/преподавателем. И в отличие от 5-10-летней давности, сегодня ситуация с возможностью учить на порядок лучше. Есть учебные центры, которые готовы брать интересные (это ключевое слово) курсы. Есть тот же Интуит или иные онлайн-площадки, где можно предложить уже разработанные или будущие курсы.
- Писатель. С писателем ситуация аналогичная преподаванию. Возможно это даже две стороны одной медали. Мне можно возразить, что много на этом не заработаешь, но я склонен подисскутировать на эту тему. Можно писать статьи, можно целые книги. Ценник разный, время подготовки публикации разное. Но это одна из возможностей, которой не стоит пренебрегать в отдельных случаях. Опять же по-моему опыту скажу, что писать научиться можно. Можно научиться писать быстро и хорошо. Первые мои статьи я вымучивал неделями; сейчас на материал по известной мне теме уходит часа 3-4 (на 10-12 тысяч знаков). При знании английского языка горизонты расширяются еще больше.
- Юридическая поддержка. Как бы не спорили и не ругали тему «бумажной» ИБ, но она по-прежнему в цене. И чем больше наши законодатели и регуляторы выпускают нормативных актов, тем больше потребности в грамотной юридической поддержке ИБ. Немногие безопасники будут самостоятельно вникать во все хитросплетения нашего законодательства, а вот заплатить человеку сведущему вполне готовы.
- Аналитики ИБ. Это специфический вектор для продолжения своей карьеры. Таких людей сегодня катастрофически не хватает, но и не каждый безопасник готов сходу пойти на эту работу. Тут нужно уметь наблюдать и подмечать то, что не лежит на поверхности. Расследовать инциденты, анализировать вредоносное ПО, анализировать атаки… Нужно повышение квалификации, чтобы свой опыт трансформировать в эту сферу. Но учитывая рост интереса к таким специалистам, можно успеть занять нишу, в которой будут скоро толкаться все (или почти все).
- Эксплуатация СЗИ. Эта работа востребована как никогда, но желающих пойти на такие должности немного. Оставлю это направление без комментариев.
- Регулятор. Да-да, можно попробовать пойти к регулятору — в ФСТЭК, ЦБ, РКН, ФСБ… Сам не пробовал и не знаю, насколько это легко и насколько это возможно. Очевидно, что для молодежи этот путь гораздо менее тернист, чем для поколения более зрелого. Но учитывая все возрастающую роль органов исполнительной власти и все большую информатизацию, проверяющих, регулирующих и обеспечивающих национальную безопасность будет не хватать.
- Организатор мероприятий. Хороший тамада для свадьбы или конферансье для концерта всегда был на вес золота. В области информационной безопасности ситуация аналогичная — не хватает хороших специалистов, способных сформировать хорошую программу мероприятия, найти для него какие-нибудь фишки, найти спикеров и заставить их делать что-то в правильном направлении, а еще и промодерировать мероприятие. Такие люди могут быть востребованы на рынке, емкость которого, правда, не очень большая. Сюда же попадают и те, кто проводит мероприятия, находя правильных спикеров и правильную аудиторию и сводя их вместе.
- Та сторона баррикад. Без комментариев, но примеры, когда человек официально работает и пентестером («белой шляпой»), и взломщиком («черной шляпой») в нашей отрасли не так уж и редки. Разумеется, это удел молодежи, у которой границы этического поведения немного сдвинуты или вовсе размыты, но бывает, что и у более старшего поколения ориентиры пошатываются.
- Стартап. Помню, на эту тему хороший доклад делал Рустем Хайретдинов на Уральском форуме в Магнитогорске. Поэтому не буду повторять его тезисы относительно разработки нового продукта. Поверну по другому. Продукт бывает не только средством защиты информации, о чем рассказывал Рустем. Это может быть интересный курс, онлайн-площадка для проведения мероприятий или курсов, аналитика, сайт, социальная сеть для безопасников, игра и т.п. Я уже писал про геймификацию в ИБ и могу еще раз повторить — в России катастрофически не хватает хороших игр по ИБ. А за них, я уверен, будут платить корпоративные заказчики или организаторы мероприятий. Пример той же Лаборатории Касперского, которая продает лицензии на свою игру по промышленной ИБ, только подтверждает это.
Все перечисленные выше варианты трудоустройства (или фриланса) явно не совпадают с тем, что называет специалистом по информационной безопасности Минтруд и о для кого он пишет и утверждает свои профстандарты. Но в конце концов так ли важно, выполняете ли вы требования непонятно кем написанного стандарта? Главное, чтобы работа приносили удовольствие, пользу и доход. А все остальное уже и не важно.
Спасибо вам за пост 🙂
Спасибо. Я бы ещё добавил продукт/проджект менеджемент у вендоров. Но тут тоже особый характер нужен.
А я продукт-менеджеров в консалтинг причислил
Отличный список — сохраню себе! Три года назад сидела без работы четыре месяца, зарабатывала статьями в журналы и работала над грантом в университете (по теме ИБ). Это почти стартап, но иное, все-таки госзаказ, так что тоже можно включить.
Включу
вот я еще не решил, чем буду заниматься 😉
Троллить будешь и критиковать
Можно еще в РП, хороших РП кот наплакал
В РПЦ.
Куда?
Как же варианты:
1) Открыть свое юридическое лицо (будем считать, что по ИБ)?
2) Вообще не заниматься ИБ, а продавать собственный мед например?:) (в общем вариант уйти из этой отрасли и тоже куча вариантов).
Хммм… Действительно, а куда же может пойти специалист по ИБ? 🙂
Давайте вместе подумаем. Что-то не увидел ещё несколько вариантов "возможностей":
№13. Счастливая удача: выиграть в лотерею, казино. Получить наследство.
№14. Стать нейрохирургом.
№15. Заняться гаданием по руке, или ещё какой-нибудь "хиромантией".
Ну, может же? Если захочет.
Я как человек ищущий, как раз сейчас занимаюсь "выбором пути". Поэтому очень скептически отношусь к статье Алексея. Нет, конечно, если у вас инициалы А. Л. и более 15 лет стажа, то вы можете всё бросить и попытать счастья в смежных с основным видах деятельности.
А что делать, если девочка-кадровик ровесница вашего трудового стажа-профессионального опыта и не сразу поняла, как вы неимоверно крут в своем деле? 🙂
Рассмотрим другого, вымышленного человека. Как объяснить, почему CISO после 10 лет руководства департаментом ИБ хочет переключиться от руководства к "рукоприкладству": заниматься настройкой "коробок" или кодингом?
Нет, CISO конечно может делать это на добровольных началах своим знакомым, но кто же его с таким overqualified наймёт?
С другой стороны технологии, например в той же разработке ПО, не стояли на месте… Вы готовы с 0 разобраться как дела обстоят в настоящее время? А ваши потенциальные работодатели готовы к этому? 🙂
Решили заниматься юридической поддержкой? Ну, у вас же есть юридическое образование для повышения степени доверия к вашим консультациям? Может быть. Вариант. 🙂
Ещё одна "подводная грабля", с которой может столкнуться человек широкого профиля: недоверчивое отношение на собеседовании с узким специалистом. Правильно! Ну, как же соискатель может знать всё обо всём? Никак, а значит он не знает ничего, скорее всего. Всем спасибо, все свободны. И никого не интересует, что соискатель достаточно быстро может войти в курс дела решая реальные кейсы. Позже я ещё вернусь к этому вопросу.
Кстати, а что обычно пытаются узнать у вас на собеседовании? Снова правильно! Вчера, собеседующий вас, "героически" порешал неведомую, трудно воспроизводимую беду, может даже вымышленную, а сегодня способы её решения выносятся для обсуждения на собеседование. И не важно, что эта беда может случиться только в очень специфичном окружении с никому неизвестной штукой. Очень плохо, что вы этого не знаете. 🙂
Ещё вариант. Жил-был технарь, "коробки" крутил, СЗИ насаждал. И вдруг решил стать гуманитарием! Статьи писать, блоги вести… Внезапно! А вот только не берут его собственные статьи никуда, не нужны они никому. А из блога только "твиттер камня" выходит. Какая жаль…
Хотя, есть же ещё статьи продавленные маркетологами работодателя и такие же блоги: покупайте наших слонов. С такой же информационной полезностью. Это успех?
И самое вкусное. Покажу на примере аналитиков. Ранее вы не были аналитиком, но хотите им стать и, как вам кажется, обладаете необходимыми качествами и навыками. Просто применять их пока не удавалось. Поздравляю, вы лучший кандидат на "карусельку": не берём без опыта работы, пока не взяли — откуда опыт? 🙂 Все хотят нанимать 100%-соответствующих требованиям специалистов, но прилагать усилия к переманиваю от конкурентов не желают. И "докачивать" до необходимого уровня от 70-80% тоже не хотят. Пичалька. 🙂
Итак, вам всё ещё кажется, что открыты все пути?
Мне не кажется, я знаю. Но можно себя утешать, что мир вокруг плох
С мой точки зрения мир не так уж и плох, а скорее всего лишь реален. Но если обсуждаем мы сферического безопасника в вакууме, то у кого-нибудь "возможно именно выйдя в чистое поле может открыться второе дыхание…" 🙂
Этот комментарий был удален автором.
Наверно возможно все, но и я согласен с andrey lemesh. Алексей, напишите работодателям (вендорам, интеграторам и потребителям…) как создавать рабочие места, зарабатывать на ИБ не через страшилки (или откаты), а повышением рентабельности. И не придётся хорошему безопаснику искать работу 🙂
…А что делать, если девочка-кадровик ровесница вашего трудового стажа-профессионального опыта и не сразу поняла…
актуально!
George: мне кажется, это сам безопасник, если он хороший, должен делать и рассказывать своему руководству не страшилки, а про рентабельность. Не?
Vadim: выходить на человека, которому нужно закрыть вакансию
Этот комментарий был удален автором.
Этот комментарий был удален автором.
Andrey Lemesh, ваши "отмазки" по поводу трудоустройства смахивают на вариант, когда специалистом по ИБ становятся по воле родителей либо ошиблись с профессией. В этой сфере, как правило, "выживают" люди, интересующиеся ИБ, а не те, кто делает вид, что работает.
Извините, а можно весь Ваш профиль посмотреть?
Этот комментарий был удален автором.
Ser-storchak, полагаю, что Andrey Lemesh из числа интересующихся ИБ. Иначе зачем он читает Алексея Лукацкого, как Вы и я? Не спешите называть отмазками то, что быть может сами позже назовете аргументами. Предположим Вы крут, но уязвимость в juniper или cisco или подкупность программиста оказалась круче. У собственника вашей компании снимут деньги (например, как в этом году в энергобанке, несколько сотен млн.руб). Вас уволят с дисквалификацией. Страшилка? Да, лучше говорить не об этом, а о непрерывномюсти и рентабельности, о работе с людьми. Они (мы) главная уязвимость. О поднятии уважения к безопаснику через предоставление ценностей от ИБ для целей бизнеса. Говорят, даже если вас съели, у вас все равно есть два выхода. Пусть Алексей Лукацкий продолжает учить нас тому, чтоб не съели 🙂
Сергей, насколько я понял, это ваше: http://ser-storchak.blogspot.ru/ ?
"Все статьи блога отражают личную точку зрения автора и не имеет никакого отношения…"
Касательно моих "отмазок" могу лишь добавить, что как и Алексей, всего лишь имею примеры описанных мной событий.