Resposta ao comentário "como me apaixonei pela segurança cibernética"

Neste pequeno post, gostaria de lançar alguma luz sobre o comentário demoooVe a indústria como um todo.



Quero apenas esclarecer alguns pontos importantes:

• o jejum não tem a intenção de ofender alguém ou condenar a escolha de alguém, bem como inflar holivar, demagogia, etc. etc. ;
• o posto não carrega nenhuma chamada para a escolha de nada;
• por que uma postagem e não um comentário? e é por isso que "Você pode comentar sobre publicações que não tenham mais de 30 dias ..". Em geral, li as regras e decidi que não haveria problema.

Assim, ao ler o comentário, fica-se com a sensação de que, no sentido geral, um segurança é uma espécie de pretzel longe de TI, com a síndrome do vigia é bem possível que seja um gado . Talvez seja esse o caso, em muitos escritórios de sharazhkin, mas há outros casos, dos quais falarei um pouco mais tarde, mas, por agora, gostaria de destacar alguns pontos do comentário.

1

Também pensei que seria um pentester, um programador de sistema, um networker e, em geral, o Sr. Robô. Na verdade, tudo que é técnico é apenas auto-estudo e não o contrário.

existem algumas universidades com uma abordagem tão "seca". Em geral, existem tantos lugares e em quase todas as especialidades, com exceção de "muito profissional" (e mesmo assim nem sempre!), E tudo o que é útil no trabalho é "apenas auto-estudo e nada mais." E, em geral, a qualidade das universidades na Federação Russa na direção de TI é muito deplorável, o treinamento se resume à leitura de um curso de materiais, de alguma forma puxando as notas dos alunos pelas orelhas, emitindo um diploma de TI e um pesado toco nas costas e enviando um futuro brilhante de TI para a bolsa de trabalho ... Portanto, (isso é especialmente relevante agora, é duplamente relevante se você for um futuro candidato ao serviço militar), seria ou não muito estúpido familiarizar-se com o programa de treinamento na especialidade para onde vai e, em seguida, tirar as conclusões "deveria ...

2

Como é essa educação? Bem, uma mistura de gestão com jurisprudência e a síndrome do vigia - e esse conhecimento não se aplica em nenhum lugar exceto na Rússia, e se há uma meta de mudar para o exterior, é uma perda de tempo.

sobre "mudar para o exterior". Bem, eu não tiraria conclusões de forma inequívoca, tive a chance de trabalhar em uma empresa na MSC, onde um oficial de segurança trabalhou por 3 anos, sendo um junho, trabalhou no exterior e escreveu as mesmas toneladas e megatons de papéis, apenas na ISO. Só aí, ao contrário das nossas empresas, cabia ao especialista de SI não só enrolar o papel, mas também acompanhar a sua efetiva execução e cumprimento. Então, sendo sensato, você pode facilmente vagar nesta Europa, o que é.

3 -

- . ( ) , , — , — .

Isso se aplica a tudo, bem, quase tudo. Para não ir longe darei outro exemplo, em uma época eu estudei na direção de "design técnico", em geral, devo me tornar um designer, no 3º ano peguei meu rabo em disciplinas de design tão importantes como "filosofia", "ciências políticas", memologia estudos culturais e coisas assim, aí me transferi para outra faculdade e aí já escolhi outra especialidade. Cerca de um quinto do grupo trabalha como designers, o resto do trabalho árduo é dedicado a testes, programação, análise de Big Data, redação, vendas etc. E é assim que funciona, sim. A pessoa sempre aprende tudo sozinha, aprende o que puxa, e um diploma é, em princípio, uma formalidade, um pedaço de papel que deixa claro que você viu alguma merda sem a qual o TYPE não consegue sair na vida.

4

O resto - sim, eles trabalham na área de segurança da informação. O que eles estão fazendo? Eles escrevem pedaços de papel. Toneladas Megatons. Não tem quase nada a ver com TI.

quem o quê. Eu vi e escrevi esses pedaços de papel por 80 mil por mês, trabalhando em um castelo próximo. Me convinha, como se você estivesse sentado, por 2/3 dias você não fez nada, 1/3 você escreve, você ganha dinheiro. Alguém gosta disso. Meu camarada então, secretamente de seu escritório, ajudou outros a passar por uma auditoria de SI, aconselhou alguém sobre segurança da informação, na verdade, ele simplesmente lucrou com os idiotas da paranóia de outras pessoas - ele instalou todos os tipos de desconectores nos telefones, procurou bugs, colocou plugues de UAVs e semelhantes. -nya.

cinco.

. , . — , , . ( ) — . — .

este enredo da lenda é aplicável à maioria das vagas e especialidades. Meu amigo sentou em algum tipo de departamento técnico, em algum tipo de empresa de produção de persianas e portas de garagem, também tendo profundidade 0 em tudo isso. Mas o amigo de seu pai, BOSS, veio e disse: "Então, nah, esse cara , o filho do meu amigo, veio aqui para estudar design e praticar neles. documentação e nossos produtos. Você vai ajudá-lo, por exemplo ... ”e pronto. O garoto de alguma forma saiu por 3 anos e então foi para algum lugar na liquidação.



Em geral, quando uma pessoa é um homem comum de nível médio que é um idiota, então, para tal segurança da informação, ela começará e terminará imediatamente no local onde ficam os papéis, convidados, iso, políticos, etc. Se uma pessoa tem o desejo e o zelo, você sempre pode adicionar um nível mais alto de teoria de segurança da informação ao seu conhecimento - teste de penetração, desenvolvimento, redes, etc. - alcançando assim um novo nível. E, em geral, o trabalho com segurança da informação é construído de maneiras diferentes em todos os lugares. As interpretações mais populares daquelas que vi pessoalmente são as seguintes - um ISShnik está principalmente envolvido com papelada, políticos e suas "mãos" são enikei, que colocam diferentes softwares de ISS, configuram-no etc., outra opção, um irmão mais severo do anterior, é um ISNIK da forma " e um suíço, um ceifeiro e um jogador ", se atrapalha com o recheio técnico, sabe como em firewalls, é capaz de implementar políticas de software antivírus,atrapalha a criptografia em suas várias formas e assim por diante.



O auditor bezopasnik é uma figura importante de bifidobactérias do mundo de TI (ou talvez não de TI, xs), habitat de JSCs, LLCs, ONGs e outros "O" da época do Czar Pea, que estão sujeitos à violência burocrática de órgãos de inspeção e outros. Ao mesmo tempo, essas pessoas contiveram uma montanha de documentos do tamanho de Andrômeda, aprenderam todo o racionamento e, como resultado da síntese de pesadelo de Consultant + e FSTEC, teóricos vieram à tona. Seu propósito são pedaços de papel, documentos, atos, relatórios. Sua arma é o conhecimento do espaçamento entre linhas em documentos e números GOST. E, finalmente, ele está orgulhosamente no topo dessa cadeia alimentar - uma pessoa de segurança que conhece o aspecto técnico do problema, que não sabe no nível de "mas agora, atualizando para o bombeamento do Kaspersky", no nível sério. Via de regra, estamos falando de especialistas mais restritos. Eu vi isso uma vez, um ex-engenheiro de rede.



Eu li os comentários nas postagens sobre segurança da informação e fiquei maravilhado. As pessoas têm uma compreensão estranha das vagas em TI. Alguém realmente pensa que a universidade deve algo a alguém ... "Eu digo que fui tão mágico e inteligente que fui para a faculdade, mas NÃO fui ensinado." Mais uma vez, quando as pessoas vão estudar, se o fizerem, não seria um grande problema perguntar - e o que eles vão ensinar. E acontece que Vasya Pupkin foi estudar como administrador de sistema, programador, designer, testador, oficial de segurança, etc., mas ele não foi ensinado dessa forma, enquanto o próprio Vasya colocou todo um esforço nisto. As especialidades de demanda restrita não são ensinadas em palestras.



Um momento separado - as pessoas perguntam "Mas devo ir?" Para todos vocês que fazem esta pergunta, a resposta é não. Você não será um bom oficial de segurança, nem programador, nem administrador, nem ninguém) Quando uma pessoa faz essas perguntas, isso apenas diz que não há núcleo motivacional, ela está sendo conduzida e não quer sinceramente. E todas essas especialidades de TI exigem muita paciência, resistência, diligência e percepção, tudo isso geralmente vai embora rapidamente, nas primeiras dificuldades, se você inicialmente não sabia o que estava fazendo. Também não vale a pena olhar alguns casos particulares e tirar conclusões sobre a profissão, alguém queria e podia, e alguém pensava que ia trazer tudo numa onda e acabou na bunda. Mais uma vez, nada é dado assim, ninguém vai ensinar nada em qualquer lugar,todos os que conquistaram alguma coisa são fanáticos por seus negócios, seu trabalho, seu hobby. Tal e o instituto não é necessário.



Provavelmente deveria haver algum tipo de final, mas estou tão cansado de escrever que as conclusões sobre quem ele deve ser e se vale a pena se meter não só na segurança da informação, mas na TI como um todo - todo mundo vai fazer isso sozinho!



"

Depois de virar o livro, enrole no bigode - todos os trabalhos estão bons,

escolha

o gosto!"

V.V. Mayakovsky.