понедельник, 31 октября 2011 г.

Как работается в интеграторах?

   Как-то не довелось мне поработать в интеграторах, но как там все происходит меня интересовало, поэтому я взял интервью у человека работавшего и у интегратора, и у "конечника" (в отделе ИБ), для того чтобы попытаться понять разницу:) Интервью получилось несколько более обьемным чем я рассчитывал, ну да это делает картину более полной. Итак, интервью я брал у Виктора Давыдыча (руководителя ИБ процессингового центра), и вот собственно оно:

Здравствуйте, Виктор. С чего началось Ваше увлечение безопасностью?
Добрый день. 
Сначала я увлекался программированием. Писал на QBasic, начиная с 3 класса школы. Благо в школе был большой компьютерный класс, что во времена моего детства была редкость. Часто оставался после уроков. Даже не знаю что больше нравилось – сам процесс или учительница :)Помню, как писал многостраничную программу по игре в шашки в обычной тетради в клетку. Сейчас такое уже сложно представить. Сейчас мой телефон мощнее, чем мой ноутбук 5 лет назад. А тогда ПК дома был большой редкостью и я не входил в число счастливчиков.  
К 10 классу это увлечение не прошло, но писать я стал уже на Visual Basic 6.0, привлек графический интерфейс. Одно из творений даже использовалось в школе для обучения и тестирования на компьютерах учеников по школьным дисциплинам. Тогда это было в новинку.
Ну а когда пришло время выбирать университет, выбор был прагматичным. Возможно, что даже  более прагматичным, чем следовало бы. Это было начало XXI века и все твердили, что информация – это основное конкурентное преимущество государств и компаний. Я подумал, что кому то нужно будет обеспечивать безопасность этого самого преимущества. А раз она так ценна, то и специалистам данного профиля будут платить приличные деньги.
На тот момент в Киеве 3 института готовили по данному направлению. Лучшим был факультет Киевского политехнического института. На тот момент буквально несколько наборов было осуществлено на физико-технический факультет по программе Московского физико-технического института по специальности «Защита информации в компьютерных системах и сетях». Он был очень молод. Конкурс был 9 человек на одно место, и я решил, что стоит поступать именно туда. Поступил и проучился 6 лет за государственный счет, чему безумно рад.
Так что выбор был вполне осознанным и не случайным.

Сколько лет Вы уже работаете в нашей отрасли и какие грани безопасности Вам близки?
Именно информационной безопасностью я занимаюсь 4.5 года. До этого еще полтора года работал системным администратором. Задачи ИБ были, но были скорее второстепенными.
Основных направлений деятельности у меня за это время было несколько.
Первое – это реализация проектов полного цикла, в сфере информационной безопасности используя принципы проектного менеджмента. От формирования задачи до передачи решения в эксплуатацию.
Я являюсь приверженцем методологии управления проектами PMBook. Проектный менеджмент в ИБ мне интересен, так как включает в себя и исследовательскую деятельность, и построение процессов, коммуникаций, техническую составляющую, разработку архитектуры, написание документации, координирование процессов на всех этапах и постоянное общение с людьми. А в итоге позволяет четко оценить результат проделанной работы.
Второе – это функциональный менеджмент. Он ощутимо отличается от проектного. Так как перед человеком (или скорее отделом) стоят совсем иные задачи, более долгосрочные, иногда монотонные. Соответственно и методы мотивации и коммуникации необходимы совсем другие. Горизонты планирования совсем иного порядка. Необходимо выполнять много вспомогательных задач. Это совсем другой опыт. Очень интересный, хотя и местами не простой. В некоторых моментах помогает учеба на МВА в РУДН, где коллеги и преподаватели делятся опытом. В чем-то помогает собственный опыт.
Третье – это проведение аудитов и консалтинг. Очень нравится, так как заставляет очень быстро переваривать огромные объемы информации и не дает мозгу «ржаветь». Требуя от него концентрации и быстрого понимания всех процессов. Но тут не обходится без ложки дегтя. За отведенное внешнему аудитору время, нельзя понять нюансы и специфику работы процессов компании. По этой причине много чего упускается из виду и уж тем более вызывают сомнения рекомендации по улучшению процессов. Но вот что это дает компании, так это непредвзятый взгляд с боку, что действительно важно.
Четвертое – это разработка архитектуры процессов. То, что для меня столь же интересно, как и менеджмент. Нет ничего более интересного, чем создавать, что-то новое. Строя процесс или меняя его таким образом, что это экономит усилия как каждого сотрудника в частности, так и компании в целом (а следственно и затраты), при этом повышая реальный уровень безопасности. Это просто суппер. Не могу не улыбнуться, когда вижу, как результаты стараний действительно работают.
Пятое – разработка документации. Не питаю особенно сильного пристрастия к данному процессу, но в силу выполняемых задач опыта в этой области тоже достаточно много.

Что бы Вы посоветовали делать выпуснику или студенту по профилю информационной безопасности для его профессионального развития?
Сейчас много говорят о том, что студента после ВУЗа нужно переучивать. Я не согласен, не стоит просто идти в те ВУЗы, после которых, нужно переучивать. То, что мы учили в институте (то, что я успевал слушать на лекциях, когда не был на работе) очень похоже на задачи, которые возникают в реальности.
Безусловно, реальный опыт полезен, но базовые принципы одинаковые. И в хороших ВУЗах их закладывают правильно. Наверное, я бы посоветовал хорошо подумать, зачем вам ВУЗ  в принципе и что Вы хотите получить в результате его окончания.  Если же это решение осознанно, то идти работать по специальности еще учась в институте. И не говорите мне, что студенты никому не нужны. Хороших специалистов всегда дефицит. Будьте хорошим специалистом, общайтесь с хорошими специалистами и Вы им непременно станете если того захотите. Ни в коем случае не думайте, что руководители департаментов ИБ какие-то особенные. Обычные люди, которые когда то тоже были студентами. За редким исключением всегда готовые поделится опытом.

Можете ли поделиться особенностями работы на интегратора и конечного заказчика в области ИБ?
Особенности действительно есть. В интеграторе, это взрывные нагрузки, среднее или низкое качество выполняемой работы. Очень быстрый профессиональный рост. Очень интересный профессиональный и жизненный опыт, если брать аудит и консалтинг.
У конечного заказчика (конечника) все совсем по-другому. Там ты сам хозяин ситуации, если у тебя нормальное руководство. Ты понимаешь, что чем лучше ты знаешь свои процессы и чем лучше их для себя строишь, тем проще будут их тебе использовать.
Мне комфортнее в своей компании. Я понимаю, что то, что я делаю, будет работать и упрощать жизнь, в том числе и мне. Обеспечивая реальную безопасность, за которую мне не будет стыдно. А не построение средненьких процессов, ради корочки пытаясь донести, как это лучше построить клиенту, которому, в общем-то, это не очень и нужно.

Каковы Ваши планы на будущее в профессиональном плане?
Так как на данном жизненном этапе уже есть некий профессиональный и личностный опыт, сейчас вижу себя в роли руководителя подразделения информационной безопасности. А учитывая, что сейчас перенимаю в свою сферу ответственности кроме аудита еще и физическую безопасность, то может даже руководителем департамента безопасности. Включая подразделение внутреннего аудита, информационной безопасности, физической безопасности и проектный офис, для ведения проектов в этих областях и взаимодействия с третьими сторонами. Единственное слабое место здесь, это опыт работы в силовых структурах, которого у меня нет. В странах СНГ этого требует особенность специфики. Но думаю, что наличие опыта во всех иных смежных областях, а так же наличие знакомств с коллегами сможет это компенсировать.

Мне кажется, что в последнее время мы видим развитие как комплаенса так и технических сторон безопасности, согласны ли Вы что рынок ИБ в России и СНГ серьезно растет каждый год? За сколько времени он мог бы дойти до уровня США, где ИБ является очень престижной и значимой областью?
Вы знаете, тут вопрос мне кажется несколько в другом. Даже не в скорости роста рынка или внедрении систем и комплексов и не в желании кого-то догнать. Тут нечто иное.
На CIO Summit 2011 были приведены слова собственника одной из компаний руководителю ИТ, которые зачастую и отражают подход собственника к специфике ведения бизнеса в СНГ: «Ваши ИТ игрушки судя из предоставленных Вами расчетов может быть обеспечат рост прибыли компании на 3% в год, а мои связи с мером города обеспечивают 40% рост». Думаю, пояснения не нужны.
Что действительно нужно так это научиться доносить практическую пользу от ИБ, как и от ИТ  для бизнеса. Для повышения прибыли компании или минимизации потерь. ТОПам и собственникам уже до чертиков надоело слушать про риски и эфемерные угрозы. Они хотят конкретики в цифрах. Не можем посчитать, нет открытой статистики по СНГ, а зарубежная - не работает. Запомните, их это не волнует. Пока безопасность не научится себя продавать, в том числе и внутри компании, ее уделом будет трата заработанных денег другими подразделениями и отношение будет такое же. И благо для нас, что международные стандарты становятся потихоньку обязательными. Да и локальные - тоже, какими бы они не были в вопросе их качества. Не ждите прозрения руководства – доказывайте им свою пользу.
Думаю, что рынок ИБ России дорастет до США только в том случае, когда законодательная база не только будет столь строга как в США, а еще и будет столь же обязательна для исполнения.

И напоследок - чего бы Вы пожелали безопасникам в СНГ?
Постоянно тренировать свои мозги, не давая им ржаветь. Не следовать слепо требованиям стандартов, а использовать их как рекомендации и указатели направления движения. Постоянно искать возможность сделать безопасность менее громоздкой, менее заметной и более гибкой. Улучшающей, бизнес процессы, а не тормозящей их. Даже если из-за этого Вам придется доказывать аудиторам и проверяющим, что Вы не верблюд, потому как не хотите делать так же как все. Так же громоздко и дорого.
И еще – всегда стараться делать чуть-чуть больше того, что кажется Вам достаточным. Это позволит всегда делать как раз столько, сколько нужно.  

Хорошего дня!;)

Комментариев нет:

Отправить комментарий