Membalas komentar "bagaimana saya jatuh cinta pada keamanan siber"

Dalam posting kecil ini saya ingin menjelaskan beberapa komentar darimoooVdan industri secara keseluruhan.



Hanya ingin memperjelas beberapa poin penting:

• puasa tidak dimaksudkan untuk menyinggung perasaan seseorang atau untuk mengutuk pilihan seseorang, serta untuk meningkatkan holivar, hasutan, dll. dll. ;
• pos tidak membawa seruan apa pun untuk memilih apa pun;
• kenapa posting dan bukan komentar? dan itulah mengapa "Anda dapat mengomentari publikasi yang tidak lebih dari 30 hari ..". Secara umum, saya membaca peraturan dan memutuskan bahwa itu akan baik-baik saja.

Jadi, setelah membaca komentar, seseorang mendapat perasaan bahwa, secara umum, petugas keamanan adalah semacam pretzel yang jauh dari IT, dengan sindrom penjaga sangat mungkin terjadi pada seekor ternak . Mungkin memang demikian, di banyak kantor sharazhkiny, tetapi ada kasus lain, yang akan saya bicarakan nanti, tetapi untuk saat ini saya ingin melihat beberapa poin dari komentar.

1.

Saya juga berpikir saya akan menjadi pentester, pemrogram sistem, penggiat jejaring, dan secara umum Tuan Robot. Faktanya, segala sesuatu yang teknis hanya belajar sendiri dan bukan sebaliknya.

ada beberapa universitas dengan pendekatan "kering" seperti itu. Secara umum, ada begitu banyak tempat dan di hampir semua spesialisasi, kecuali yang "sangat profesional" (dan bahkan tidak selalu!), Dan semua yang berguna dalam pekerjaan adalah "hanya belajar sendiri dan tidak ada yang lain." Dan secara umum, kualitas universitas di Federasi Rusia ke arah TI sangat menyedihkan, pelatihan direduksi menjadi membaca materi, entah bagaimana menarik nilai mereka ke telinga siswa, mengeluarkan ijazah TI dan tunggul yang berat di belakang dan mengirimkan masa depan TI yang cerah ke bursa tenaga kerja. ... Oleh karena itu, (ini sangat penting sekarang, ini sangat relevan jika Anda adalah calon peserta yang cocok untuk dinas militer) akan sangat bodoh atau tidak untuk membiasakan diri dengan program pelatihan dalam spesialisasi di mana Anda akan pergi, dan kemudian menarik kesimpulan "haruskah" ...

2.

Seperti apa pendidikan ini? Nah, perpaduan antara manajemen dengan yurisprudensi dan sindrom penjaga - dan pengetahuan ini tidak berlaku di mana pun kecuali Rusia, dan jika ada tujuan untuk pindah ke luar negeri, itu hanya buang-buang waktu.

tentang "pindah ke luar negeri". Yah, saya tidak akan membuat kesimpulan dengan tegas, saya memiliki kesempatan untuk bekerja di satu perusahaan di MSC, di mana seorang petugas keamanan bekerja selama 3 tahun, menjadi Juni, bekerja di luar negeri dan menulis berton-ton dan megaton makalah yang sama, hanya menurut ISO. Hanya di sana, berbeda dengan perusahaan kami, tugas IBshnik tidak hanya mencakup menggulirkan kertas, tetapi juga memantau pelaksanaan dan kepatuhannya yang sebenarnya. Jadi, karena bijak, Anda dapat dengan mudah menjelajahi ini, apa itu, Eropa.

3.

- . ( ) , , — , — .

Ini berlaku untuk semuanya, yah, hampir semuanya. Supaya tidak jauh-jauh saya kasih contoh lain, suatu ketika saya belajar ke arah “technical design”, pada umumnya saya harus menjadi seorang designer, pada tahun ke-3 saya sudah menimba ilmu di mata pelajaran design yang penting seperti “filsafat”, “ilmu politik”, memology budaya dan hal-hal seperti itu, kemudian saya pindah ke fakultas lain dan di sana saya sudah memilih spesialisasi lain. Sekitar seperlima dari kelompok bekerja sebagai desainer, sisa kerja keras dilakukan untuk pengujian, pemrograman, analitik Big-Data, penulisan, penjualan, dll. Dan begitulah cara kerjanya, ya. Seseorang selalu mempelajari segalanya sendiri, mempelajari apa yang menarik, dan ijazah, pada prinsipnya, adalah formalitas, selembar kertas yang menjelaskan bahwa Anda telah melihat sesuatu yang tanpanya TYPE tidak dapat menerobos dalam hidup.

4.

Sisanya - ya, mereka bekerja di bidang keamanan informasi. Apa yang mereka lakukan? Mereka menulis selembar kertas. Ton. Megatons. Ini hampir tidak ada hubungannya dengan IT.

siapa apa. Saya telah melihat dan menulis kertas seperti itu seharga 80 ribu sebulan, bekerja di kastil terdekat. Cocok untuk saya, seolah-olah Anda sedang duduk, selama 2/3 hari Anda tidak melakukan apa-apa, 1/3 Anda menulis, Anda dapat uang. Seseorang menyukainya. Rekan saya saat itu, secara diam-diam dari kantornya, membantu orang lain untuk lulus audit IS, menasihati orang lain tentang keamanan informasi, pada kenyataannya, dia hanya mengambil keuntungan dari pengisap paranoia orang lain - dia memasang segala macam pemisah pada telepon, mencari bug, memasang colokan dari UAV dan sejenisnya. -nya.

lima.

. , . — , , . ( ) — . — .

plot legenda ini berlaku untuk sebagian besar lowongan dan spesialisasi. Teman saya duduk di semacam departemen teknis, di beberapa jenis perusahaan untuk produksi daun jendela rol dan pintu garasi, juga berada dalam posisi 0 dalam semua ini. Tetapi teman ayahnya, BOSS, datang dan berkata, “Jadi nah, orang ini , putra teman saya, datang ke sini untuk mempelajari desain dan mempraktikkannya. dokumentasi dan produk kami. Anda akan membantunya, misalnya ... ”dan hanya itu. Anak itu entah bagaimana keluar selama 3 tahun, lalu pergi ke suatu tempat dalam penjualan.



Secara umum, ketika seseorang adalah orang tingkat menengah biasa yang melakukan kesalahan, maka untuk keamanan informasi seperti itu akan segera dimulai dan diakhiri tepat di tempat pertama membuang kertas, tamu, iso, politisi, dll. Jika seseorang memiliki keinginan dan semangat, Anda selalu dapat menambahkan teori keamanan informasi tingkat tinggi ke dalam pengetahuan Anda - pengujian penetrasi, pengembangan, jaringan, dll. - dengan demikian mencapai level baru. Dan secara umum, pekerjaan dalam keamanan informasi dibangun dengan cara berbeda di mana pun. Interpretasi paling populer dari mereka yang saya lihat secara pribadi adalah sebagai berikut - seorang ISShnik terutama terlibat dalam dokumen, politisi, dan "tangannya" adalah Enikei, yang memasang perangkat lunak ISS yang berbeda, mengaturnya, dll. dan seorang Swiss, dan penuai, dan seorang gamer ", yang meraba-raba isian teknis, tahu bagaimana di firewall, mampu meluncurkan kebijakan perangkat lunak anti-virus,meraba-raba kriptografi dalam berbagai bentuknya, dan seterusnya.



Auditor bezopasnik adalah tokoh penting bifidobacterium dari dunia IT (atau mungkin bukan IT, xs), habitat JSCs, LLCs, LSM, dan waktu "O" Tsar Gorokh lainnya, yang menjadi sasaran kekerasan birokrasi dari badan inspeksi dan lain-lain. Pada suatu waktu, orang-orang seperti itu menahan segunung dokumen seukuran Andromeda, mempelajari semua penjatahan, dan sebagai hasil dari sintesis mimpi buruk Consultant + dan FSTEC, para ahli teori terungkap. Tujuan mereka adalah selembar kertas, dokumen, tindakan, laporan. Senjata mereka adalah pengetahuan tentang spasi baris dalam dokumen dan nomor GOST. Dan akhirnya, ia dengan bangga berada di puncak rantai makanan ini - seorang petugas keamanan yang mengetahui aspek teknis dari masalah tersebut, yang tidak tahu apa-apa pada tingkat "tetapi sekarang, memperbarui ke pompa Kaspersky", pada tingkat yang serius. Biasanya, kita berbicara tentang spesialis yang lebih sempit. Saya pernah melihat ini, mantan insinyur jaringan.



Saya telah membaca komentar di bawah posting tentang keamanan informasi dan diberi keajaiban. Orang-orang memiliki pemahaman yang aneh tentang lowongan di TI. Seseorang benar-benar berpikir bahwa universitas berhutang sesuatu kepada seseorang ... "Saya seharusnya sangat ajaib dan pintar, saya kuliah, tapi saya TIDAK diajar." Sekali lagi, ketika orang pergi untuk belajar, jika mereka melakukannya, tidak menjadi masalah untuk bertanya - dan apa yang akan mereka ajarkan. Dan ternyata Vasya Pupkin belajar sebagai administrator sistem, programmer, perancang, penguji, petugas keamanan, dll., Tetapi dia tidak diajari seperti itu, sementara Vasya sendiri berusaha keras untuk ini. Spesialisasi yang diminta sempit tidak diajarkan di perkuliahan.



Saat terpisah - Orang-orang bertanya "Tapi haruskah saya pergi?" Bagi Anda semua yang menanyakan pertanyaan ini, jawabannya adalah Tidak. Anda tidak akan menjadi petugas keamanan yang baik, tidak ada programmer, tidak ada administrator, dan tidak ada siapa pun) Ketika seseorang mengajukan pertanyaan seperti itu, ia hanya mengatakan bahwa tidak ada inti motivasi, dia dipimpin, dan tidak ingin tulus. Dan semua spesialisasi TI ini membutuhkan kesabaran, daya tahan, ketelitian dan ketelitian yang tinggi, semua ini biasanya akan hilang dengan cepat, pada kesulitan pertama, jika Anda awalnya tidak tahu apa yang Anda lakukan. Juga tidak ada gunanya melihat beberapa kasus tertentu dan menarik kesimpulan tentang profesinya, seseorang yang diinginkan dan bisa, dan seseorang berpikir bahwa dia akan membawa semuanya dalam gelombang dan berakhir di pantat. Sekali lagi tidak ada yang diberikan begitu saja, tidak ada yang akan mengajarkan apapun dimanapun,semua yang telah mencapai sedikit sesuatu adalah jenis fanatik terhadap bisnis mereka, pekerjaan mereka, hobi mereka. Ini dan institut tidak diperlukan.



Mungkin harus ada semacam akhiran, tapi saya sangat lelah menulis bahwa kesimpulan tentang siapa dia seharusnya dan apakah bermanfaat untuk mencampuri tidak hanya dalam keamanan informasi, tetapi juga di TI secara keseluruhan - semua orang akan melakukannya sendiri!



"

Setelah membalik bukunya, gulung di sekitar kumis Anda - semua hasilnya bagus,

pilih

rasanya!"

V.V. Mayakovsky.