Добро пожаловать в ИБ-консалтинг! Специалисты AKTIV.CONSULTING – о выборе профессии и возможностях самореализации

AKTIV.CONSULTING – бизнес-направление Компании «Актив», специализирующееся на консалтинге и аудите в сфере информационной безопасности. Основу команды составляют высококвалифицированные консультанты по информационной безопасности. Чем привлекает эта сфера молодых специалистов, а также опытных профессионалов, уже имеющих солидный бэкграунд в ИБ? Для ответа на этот вопрос мы выбрали трех героев – представителей разных возрастных групп. Как оказалось, попробовать себя в ИБ-консалтинге может каждый, но для полноценного карьерного роста потребуются определенные навыки. Какие? Давайте узнаем из первых уст.

Ольга Копейкина: «Полностью реализуюсь как эксперт и приобретаю новые компетенции в профессиональной среде»

Досье:

Возраст: 37 лет.

Должность: ведущий консультант по ИБ в направления AKTIV.CONSULTING (компания «Актив).

Круг обязанностей: решение различных задач в рамках проектной деятельности. Взаимодействие с заказчиками с целью выявления их актуальных потребностей, участие в разработке мер по оптимизации процессов. Участие в мероприятиях по тематике ИБ, в том числе, в качестве спикера. Поиск новых потенциальных заказчиков и партнеров, установление связи с ними для дальнейшей продуктивной работы.

Образование: РГУТиС, ИИТ, Организация и технология защиты информации

Предыдущее место работы: начальник Управления ИБ в структуре крупной госкорпорации.

История успеха в ИБ-консалтинге:

До AKTIV.CONSULTING мне довелось получить большой опыт проектной деятельности в ИТ и ИБ как в организациях госсектора, так и в нескольких ИТ-компаниях: ARinteg, «Инфосистемы Джет», «Белл Интегратор», A-security, Avilex. Накопленные за этот период знания очень пригодились мне в последующем в реализации сложных комплексных задач по построению собственной ИБ в промышленной организации.

После этого я провела семь лет в структуре крупной государственной компании с штатом более 3000 человек, пройдя путь от руководителя проектов по комплексной безопасности до начальника управления ИБ. Последняя должность по факту подразумевала круг обязанностей CISO: решение полного спектра вопросов, относящихся к решению задач ИБ, начиная с операционной деятельности по мониторингу сети и заканчивая защитой объектов КИИ с разными категориями значимости. Это огромный объем работы, сложные нетривиальные задачи, в том числе – привлечение контрагентов и построение договорных отношений, взаимодействие с конструкторами и инженерами по подбору и внедрению технических решений, налаживание отношений с ИТ-службой и выстраивание общих векторов работы. Поскольку Управление ИБ под моим руководством создавалось «с нуля» из отдела ИБ, существовала также задача подбора и развития персонала, построения ролевой модели, формирования компетенций.

Мне очень нравилось управление командой: работа с людьми, которым ты доверяешь и с которыми делаешь одно дело, координация их деятельности, развитие их знаний и навыков. Это действительно здорово: видеть, как из многих отдельных компонентов складывается общий результат, решение реально работает и приносит пользу не только на уровне одной организации, а на уровне корпорации а, возможно, даже государства. Амбициозные цели и высокая степень ответственности меня не пугали: наоборот, они давали мне больше возможностей и стимул для развития, расширения опыта.

К сожалению, работа в государственном секторе на текущий момент часто представляется достаточно монотонной, к тому же таким организациям сложно конкурировать с коммерческими компаниями в части оплаты труда, что влечет за собой выгорание и текучку кадров. К тому же у меня было высокое желание расширять свои компетенции и продолжать профессиональный рост, в связи с чем и было принято решение о переходе в команду AKTIV.CONSULTING.

Сейчас в AKTIV.CONSULTING у нас разнонаправленный пул проектов ИБ, которые, к тому же, достойно оплачиваются. Каждый день приходится осваивать что-то новое. Я пришла с большим бэкграундом в области ИБ промышленного сектора, и теперь изучаю нормативную базу и особенности ее применения в части финансовых организаций. У каждого заказчика свой уникальный кейс, и даже при одной и той же начальной задаче всё равно необходимо тщательно подбирать для него адаптированное решение.

Благодаря этому сильно прокачиваются и софт-скиллы – например, навыки коммуникаций. К каждому заказчику нужно найти индивидуальный подход, чтобы он остался доволен качеством сервиса и получил максимум пользы от предложенного решения. Огромную роль при этом играют взаимоотношения в профессиональной команде: в AKTIV.CONSULTING все сотрудники целеустремленные, заточенные на развитие. Здесь действительно интересно работать, черпать новые знания и навыки, делиться собственным опытом. Коллегам это тоже интересно, от тебя никто не отмахивается. Такое бывает далеко не в каждой организации.

На данный момент я продолжаю расширять профессиональные знания. Помимо нормативной базы, хотелось бы лучше освоить более прикладные ИТ-направления: вопросы интеграции, технические аспекты построения системы обеспечения ИБ, настройку средств защиты информации. Кроме того, мне интересна тема социальной инженерии, противодействия ее незаконному применению, профайлинг внутреннего нарушителя. По данным экспертов, более 90% утечек данных происходит из-за ошибок внутренних сотрудников компаний, которые зачастую действуют несознательно, под влиянием мошенников, или же совершают нарушения из человеческого фактора – лени и невнимательности. Важно понимать, как выглядит психологический портрет нарушителя, как ему противостоять, как проводить профилактику и мотивировать персонал для предотвращения угроз.

Какие есть источники для саморазвития? В первую очередь это желание делать свою работу качественно. Кто ищет информацию – тот всегда ее найдет. Когда мне пришлось заниматься безопасностью КИИ, это понятие только возникло, мало кто понимал, что это такое, и ни одного обучающего курса по КИИ не было. Оказалось, что огромный объем относящейся к этой теме информации можно найти в открытом доступе – ты можешь ее проанализировать, выбрать нужные и непротиворечивые сведения и на этой основе делать выводы, формировать best practices при решении тех или иных задач. В результате многие аспекты, которые впоследствии были утверждены в документах ФСТЭК, совпали с теми идеями, которые я ранее принесла в команду. Это большой, но ценный труд, результаты которого по-настоящему мотивируют.

Также в разное время я проходила обучающие курсы. Думаю, что ни одно новое знание не бывает лишним, приносит дополнительные навыки. Например, изучив киберкриминалистику, я поняла на техническом уровне, как действует нарушитель, как происходит компьютерная атака, как работает вредоносное ПО.

Особо отмечу, что сейчас в AKTIV.CONSULTING сложилась отличная профессиональная команда, у которой всегда можно найти поддержку более опытных коллег, если самому не хватает понимания, сложно найти нужные ресурсы или необходимо уточнить какую-то трактовку.

Блиц-опрос

Три главных качества, которыми должен обладать ИБ-консультант.

Первое – трудолюбие, ведь путь осилит идущий. У тебя всегда есть определенные дедлайны проектов, и, если ты не вписываешься в сроки, значит не справляешься.

Второе – целеустремленность. ИБ-консалтинг – это в основном не монотонная работа, а постоянное достижение намеченных целей, преодоление трудностей, которое ведет к развитию.

Третье – терпение. Консультант работает с людьми, совершенно разными по темпераменту и стилю общения. Помимо хорошего навыка коммуникаций, именно терпение помогает воспринимать заказчика в профессиональном ключе, вести с ним адекватный диалог.

Три совета для ИТ-специалиста, желающего стать ИБ-консультантом.

Первый совет: любой бэкграунд в ИТ или смежных сферах (например, юриспруденции) может быть полезен, нужно только «развернуть» его в направлении безопасности. Большинство вопросов ИБ регулируются, поэтому знание нормативной базы станет большим преимуществом.

Имея же бэкграунд в ИТ, стоит просто взглянуть на знакомые системы с точки зрения нарушителя: представить, что тебе нужно систему взломать, найти у нее уязвимые места. А потом – уже как консультант – попробовать эти болевые точки перекрыть. Как правило, у ИТ-специалистов, пришедших в ИБ, хорошо получается моделировать угрозы и заниматься усилением защиты.

Второе, конечно – необходимость постоянного самообразования. Сильно помогает помощь более опытных коллег внутри команды, внешние профильные курсы. Никогда не надо стесняться задавать вопросы: даже если вопрос кажется глупым или неуместным, лучше его озвучить. В итоге всё равно вы получаете новые знания, а ваши коллеги – понимание того, какие темы стоит обсуждать более широко. То есть вопросы приносят пользу как начинающим специалистам, так и общему делу.

Третье – безусловно, не нужно бояться пробовать что-то новое, развиваться в смежных сферах, расширять свой профессиональный кругозор. Можно всю жизнь делать очень хорошо только однотипные задачи, не имея при этом возможности маневрировать на рынке труда, а можно освоить дополнительные навыки, решать ряд различных задач, при этом повысив свой уровень востребованности и дохода.

Развивайся в ИБ вместе с AKTIV.СОNSULTING!

Приходите в нашу команду, учитесь новому, влияйте на будущее ИБ-консалтинга.

Владислав Крылов: «Обеспечение ИБ в каждой компании, независимо от отрасли, – это звено в глобальной системе безопасности всей страны»

Досье:

Возраст: 29 лет.

Должность: консультант по ИБ направления AKTIV.CONSULTING (компания «Актив).

Круг обязанностей: участие в большом количестве разнообразных проектов, в основном в области комплаенса.

Образование: МГТУ им. Н.Э. Баумана, кафедра «Защита информации».

Предыдущее место работы: подразделение МГТУ им. Н.Э. Баумана по обеспечению защиты информации.

История успеха в ИБ-консалтинге:

Можно сказать, что предрасположенность к карьере в ИБ у меня появилась еще в школе, более того – передалась по наследству. Мой отец много лет работал в сфере безопасности, а я с детства интересовался технологиями. И когда в старших классах я узнал про кафедру информационной безопасности в МГТУ им. Баумана, пазл сложился.

Со временем я убедился в том, что эта профессия для меня: она предполагает решение актуальных проблем, большое количество интересных и важных для всех задач. В нашей стране значение подразделений ИБ всегда было крайне высоким, но формат их работы со временем менялся. Задачи по охране территориального, физического периметра, которая тоже во многом связана с безопасностью информации, с развитием цифровизации во многом сменились на более сложные задачи по защите цифрового периметра. Технологический прогресс потребовал новых компетенций у специалистов, которые этим занимаются.

Сегодня в сфере ИБ существует множество популярных и перспективных направлений: разработка безопасного ПО, пентесты, комплаенс, услуги SOC.

При этом в условиях дефицита кадров в области ИБ многие компании предпочитают не держать в штате усиленное подразделение квалифицированных специалистов ИБ, а привлекать профессионалов по модели аутсорсинга. Это направление мне показалось особенно интересным: оно дает возможность развиваться в разных сферах, в зависимости от профиля заказчика – компании из ТЭК, финансовой отрасли, горнодобывающей промышленности и т. д.

До AKTIV.CONSULTING я около семи лет проработал в ИБ-подразделении МГТУ им. Баумана, отвечая за обеспечение информационной безопасности университета в целом, а также реализуя коммерческие проекты у внешних заказчиков вуза. За это время у меня сформировался ряд компетенций, которые действительно помогают взаимодействовать с заказчиками из различных сфер, говорить с ними на одном языке, формировать для них решения, соответствующие необходимым требованиям по ИБ.

Сейчас в команде консультантов AKTIV.CONSULTING я задействован в проектах, преимущественно связанных с комплаенсом, то есть оценкой соответствия защищенности ИТ-инфраструктуры заказчиков нормативной документации – прежде всего, 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». К нам обращаются организации-субъекты КИИ, которым нужно корректно выстроить систему обеспечения ИБ на критически важных объектах. Таких проектов сегодня ведется довольно много. Также в последнее время я участвую в проектах, связанных с защитой персональных данных. В любом случае – очень важно подготовить документацию таким образом, чтобы организация не просто соответствовала требованиям регулятора «на бумаге», но и могла эффективно применять обозначенные решения на практике. Каждый раз, когда заказчик берет предложенное ему по регламенту средство защиты и убеждается в его реальной эффективности, – это наша победа.

Важность этой работы сложно переоценить: ведь обеспечение ИБ в каждой компании, независимо от отрасли, – это звено в глобальной системе безопасности всей страны. Чтобы защититься от огромного количества хакерских атак и утечек персональных данных, нужно выстраивание комплексной системы. Проблемы в области ИБ в любой крупной компании означают появление рисков и уязвимостей у всех остальных.

Пока что мои планы по профессиональному развитию связаны с накоплением и анализом опыта, полученного от старших коллег – ведущих и главных консультантов. На каждом проекте находятся определенные моменты, по которым нужно получить совет и таким образом развивать компетенции. Например, у одного из коллег я учусь техническим нюансам работы средств защиты: как работают программы, почему они могут сбоить и как составить работающие регламенты средств защиты таким образом, чтобы сбоев не было. Большую ценность имеют и взаимодействия со специалистами регулирующих организаций, проводящими проверки: общаясь с ними, можно выяснить, на какие аспекты регулятор обращает больше внимания.

Мое самообразование в основном связано с чтением профильных телеграм-каналов: например, по облачной безопасности, пентестам. Я полагаю, что в той области, которой я занимаюсь непосредственно сейчас, можно быстро набить руку в ходе текущих проектов. Поэтому дополнительно я стараюсь вникать в те темы, с которыми реже сталкиваюсь в профессиональной деятельности. Это тоже очень важно – ведь консалтинг предполагает разностороннее развитие специалиста во всех сферах ИБ, и если у заказчика возникнут вопросы о защите облачной среды или виртуальной сети, нужно уметь на них отвечать.

Блиц-опрос

Кому бы ты посоветовал профессию ИБ-консультанта?

В ИТ-консалтинг определенно стоит идти тому, кто накопил в рамках своей предыдущей работы определенный релевантный (айтишный, юридический и т. д.) опыт и готов применять его для оказания помощи заказчикам по построению надежной ИТ-инфраструктуры.

Три совета для ИТ-специалиста, желающего стать ИБ-консультантом.

Первое: в ИБ-консалтинг имеет смысл переходить, если у тебя есть опыт взаимодействия с контрагентами, регуляторами. Но даже при отсутствии соответствующего опыта, работая в команде с более опытными коллегами, вы сможете развить свои компетенции и уверенно справляться с задачами, связанными с взаимодействием в сфере ИБ.

Второе: взаимодействуйте с другими профессионалами в области информационной безопасности. Занимая активную и проактивную жизненную позицию, вы сможете обмениваться опытом и обучаться у коллег, что значительно повысит вашу квалификацию.

Третье: важно смотреть на ИБ, как на комплексный процесс, встроенный и защищающий жизнедеятельность всей компании. Это сложно сделать, если не пытаться разобраться, как устроены бизнес-процессы на уровне всей компании и какое место в них занимает ИБ. Данный подход позволяет увидеть больше вариантов, решения конкретной задачи заказчика, вместо жестких ограничений можно предложить более гибкие подходы, но при этом не менее эффективные.

Развивайся в ИБ вместе с AKTIV.СОNSULTING!

Приходите в нашу команду, учитесь новому, влияйте на будущее ИБ-консалтинга.

Анастасия Калиничева: «Нашла идеальную работу на стыке ИБ, юридической практики и взаимодействия с людьми»

Досье:

Возраст: 27 лет

Должность: специалист по ИБ направления AKTIV.CONSULTING (компания «Актив»).

Круг обязанностей: разработка методологического обеспечения консалтинговых продуктов, участие в консалтинговых проектах в роли методолога, взаимодействие с заказчиками в роли консультанта, подготовка экспертных материалов для телеграм-канала компании.

Образование: МГТУ им. Н.Э. Баумана, кафедра «Защита информации».

Предыдущее место работы: ведущий специалист по информационной безопасности в крупнейшем российском банке.

История успеха в ИБ-консалтинге:

Мне со школы нравилось программирование, и я изначально связывала свою будущую карьеру с ИТ. Кафедра вуза, на которую я попала, готовила в основном сотрудников государственных служб по направлению технической защиты информации: мы изучали физические каналы утечки данных, основы технической разведки. Мне это было интересно, поскольку я хотела приносить максимально возможную пользу стране. Я даже окончила военную кафедру вуза и получила воинское звание – лейтенант запаса.

Но потом я поняла, что коммерческие проекты в сфере ИБ тоже приносят огромную пользу для обеспечения безопасности страны, особенно в ИТ-компаниях, которые участвуют в различных технических комитетах (например ТК 122, ТК 362), как AKTIV.CONSULTING. Кроме того, в ИТ-компаниях, по сравнению с государственными и окологосударственными организациями, гораздо меньше регламентированных, бюрократических процедур, которые сильно ограничивают возможности развития.

Окончательное решение о переходе в сферу ИБ-консалтинга я приняла благодаря отличному ИБ-комьюнити, которое сложилось у нас во время обучения в вузе. На одной из встреч я сказала знакомому, что хотела бы реализовать свои возможности на стыке методологической работы в ИБ, юридических аспектов и взаимодействия с людьми. Он и посоветовал идти в консалтинг. В поисках наиболее подходящего работодателя я вспомнила, как на межотраслевой конференции АБИСС на меня произвела впечатление Анастасия Харыбина, председатель ассоциации АБИСС и по совместительству руководитель AKTIV.CONSULTING. Поэтому, я с радостью откликнулась на вакансию и с нетерпением ждала ответа.

Недавно успешно завершился мой испытательный срок в должности специалиста. Сейчас в мой круг обязанностей входит методологическое обеспечение консалтинговых продуктов компании: например, я разрабатываю регламент создания консалтинговых услуг. Чаще я участвую в консалтинговых проектах как методолог, но иногда взаимодействую с заказчиками как консультант, таким образом погружаясь глубже в специфику подразделения. Также я пишу экспертные материалы для нашего телеграм-канала, что позволяет расширить осведомленность в самых разных темах.

В отличие от многих известных мне компаний, в AKTIV.CONSULTING сразу погружают в текущие проекты, дают возможность получить «боевой» опыт и, кстати, понять, насколько тебе близка концепция команды. Думаю, что ИБ-консалтинг – это одна из тех сфер, которые дают возможности для максимальной прокачки как навыков в ИТ/ИБ, так и софт-скиллов. Мне нравится, как наше руководство видит развитие компании, нравится разнообразие проектов. Каждый день я получаю много новой информации, и испытываю от этого большое удовольствие.

Работа в ИБ предполагает постоянное самообучение. На предыдущих местах работы я получила большой опыт в сфере конфиденциальной информации и персональных данных, в том числе гостайны. Сейчас мне так же интересно обеспечение ИБ в финансовой сфере и на промышленных предприятиях. Я очень благодарна команде, которая активно подключает меня к решению практических задач заказчиков, и планирую постепенно вырасти до консультанта по ИБ. Хочется вникнуть в процессы планирования, организации проекта, расчета трудозатрат и т. д.

Для того, чтобы получать оперативно актуальную информацию, в Телеграм у меня создана отдельная вкладка «ИБ», в которой собрано около 30 каналов: официальных государственных ресурсов вроде канала Роскомнадзора, а также каналов крупных игроков ИБ-рынка и экспертных отраслевых ресурсов.

Важно, что в AKTIV.CONSULTING разработана внутренняя система грейдов, где уделено внимание всем направлениям, в том числе профессиональному росту специалистов. По сути, тебе в руки дают четкую методичку о том, как достичь желаемой позиции, для этого нужно иметь определенную экспертизу и знания. Система гибкая, в нее можно вносить свои предложения, расширяя критерии хард- и софт-скиллов.

Кроме того, отличным мотивирующим примером для меня являются коллеги, я вижу их рост и развитие, те интересные и сложные проекты, с которыми они работают, и это укрепляет меня в мысли, что мне тоже нужно прокачивать свои профессиональные скиллы. Все достижимо!

Блиц-опрос

Три важнейших качества, которыми должен обладать продвинутый ИБ-консультант.

Первое: ответственность при работе с заказчиками. Здесь не бывает неважных аспектов. Кроме того, чрезвычайно важен тайм-менеджмент, умение работать в жестких временных рамках. Сейчас я исследую разные подходы к планированию, чтобы найти наиболее подходящий способ эффективно справляться с большим количеством параллельных задач.

Второе: любовь к своему делу. Не представляю себе консультанта, который будет действовать вопреки своему желанию. Наша работа – это не только выполнение договора с заказчиком, но и презентации на стендах, выступление на вебинарах, продвижение бренда. Для этого у специалиста должны «гореть глаза». Заказчик должен видеть консультанта, который увлечен своим делом и к которому хочется обращаться.

Третье: непрекращающееся развитие и следование актуальным трендам. Нужно постоянно актуализировать знания, изучать российские и зарубежные источники, повышать экспертность с помощью коллег.

Кому бы вы посоветовали работу в ИБ-консалтинге? Какие бы советы дали для успешного старта?

В нашей работе нужен определенный склад ума и характер. ИБ-консалтинг – это не только про долгосрочное планирование и планомерное выполнение задач, а еще и про ситуационную работу, когда нужно что-то выдать прямо сейчас. Когда общаешься с человеком лицом к лицу, уже не можешь загуглить ответ. Нужно уметь подстраиваться под обстоятельства, под определенных людей, учитывая сферу их деятельности и требования. В консалтинге, безусловно, есть место и методологии, но спектр задач консультанта гораздо шире.

Первый совет – не бояться выйти из зоны комфорта, учиться успешно справляться с самыми разными ситуациями.

Второй совет – приспособить и во многом поменять внутренние психологические «фильтры». Некоторые специалисты привыкли не брать на себя больше задач, помимо тех, которые входят в план, а также не берут задачи, в которых, по их мнению, они недостаточно хорошо разбираются. В ИБ-консалтинге без этого никак: нужно принимать все задачи и постоянно работать над новым материалом, «прокачивая» свою экспертизу.

Третий – обязательно развивать умение работать в команде, учиться достигать синергии с коллегами. К слову, в AKTIV.CONSULTING командный дух очень сильный, поэтому данная задача решается просто: здесь тебя всегда поддержат.

Развивайся в ИБ вместе с AKTIV.CONSULTING!

Приходите в нашу команду, учитесь новому, влияйте на будущее ИБ-консалтинга.

Реклама. АО «Актив-софт», ИНН: 7729361030. Erid: 2SDnjc5r9zt