На дворе лето, и для многих студентов стал насущным вопрос: а куда мне пойти на практику? Хорошая новость в том, что в это же время у большинства работодателей начинаются стажерские программы.
В прошлом году я сам искал компанию для старта в карьере, не понимал, с чего начинать, и совсем не ожидал, что смогу так быстро вырасти. Итак, под катом — мой опыт быстрого и комфортного старта в ИБ в крупной компании!
С чего я начинал?
Искать работу я начал после окончания третьего курса в НИУ ВШЭ по специальности «компьютерная безопасность». Тогда технические базовые предметы уже были позади, и я стал изучать программы по специальности вроде основ информационной безопасности. На нашем факультете обязательна проектная деятельность, так что к тому времени мне удалось получить опыт в разработке инструмента для проектирования программно-логических интегральных схем.
Начал я с резюме. Тут многие сталкиваются со страхом «белого листа» и не знают, что писать. Существует распространенное заблуждение, что работодателю будут неинтересны ваши успехи в школе и вузе. Это не так, но главное — не переусердствовать. Например, я добавил информацию об успехах в олимпиадах по информатике, упомянул опыт выступлений на научных конференциях и опыт практической работы в вузе. Для создания резюме я использовал готовый шаблон на HH.ru и там же искал работу.
Во время поиска я понял, что нужно всегда быть готовым к общению с потенциальным работодателем: брать звонки со всех номеров, постоянно проверять почту и мессенджеры.
Полезно почитать описания вакансий, чтобы понять, какие навыки и знания востребованы, и постараться быстро устранить пробелы в знаниях. Мне сразу стало понятно, что стоит изучить сетевые технологии, законы в области ИБ и повторить средства защиты информации.
Думаю, практически в любой компании пригодится знание сетей, так что рекомендую ознакомиться с серией статей «Сети для самых маленьких». Еще можно погрузиться в нюансы законодательства в интересующей вас области — это будет часто мелькать в текстах вакансий.
Не стоит бояться отказов — скорее всего, их будет много. Я искал стажировку около месяца, откликаясь ежедневно на вакансии, и получил десятки отказов, прежде чем попасть в «Инфосистемы Джет». К сожалению, мне не давали развернутую обратную связь после собеседований, поэтому, в чем была причина отказов, я так и не понял. Возможно, мне не хватило знаний в каких-то областях. Зато с каждым разом я лучше понимал, что нужно работодателям от молодых специалистов, как правильно подавать себя на собеседованиях и, конечно, какие задачи и корпоративная культура окажутся мне больше по душе.
Более подробно о составлении резюме и поиске первой работы писала моя коллега в своей инструкции.
Как пройти отбор на стажировку?
Отбор в «Инфосистемы Джет» проходил в три этапа: тестовое домашнее задание, собеседование с HR и еще одна задача, которую нужно было решить в процессе встречи, а также участие в кейс-клубе по командам.
Этап 1
После подачи заявки мне отправили задание, в котором нужно было реализовать аудит информационной безопасности для ООО «Ромашка» и предложить меры для улучшения уровня защищенности организации.
Пример задания
Руководитель службы ИБ ООО «Ромашка» пригласил вас в качестве стороннего аудитора, для того чтобы вы посмотрели на ситуацию своим экспертным взглядом и дали рекомендации по следующим вопросам:
Существующие топ-5 критических проблем с обоснованием, почему выбраны именно они, с опциональным описанием нежелательных ситуаций, к которым они могут привести, и с обязательным quick win по их устранению.
На какие аспекты деятельности компании с точки зрения ИБ стоит обратить внимание, кроме тех, что указал руководитель службы ИБ ООО «Ромашка»?
Генеральный директор попросил руководителя службы ИБ привести существующую ситуацию в ИБ в соответствие с российским законодательством и лучшими мировыми практиками, чтобы избежать возможных киберрисков. Соответственно, руководитель службы ИБ попросил вас, как эксперта в области ИБ, помочь ему с поставленной задачей. Какие мероприятия вы посоветуете реализовать для достижения поставленных целей? Какие топ-5 организационных и топ-5 технических мер вы предложите реализовать в рамках этих мероприятий?
Для выполнения задач было предоставлено подробное описание рода деятельности и структуры компании, ее бизнес-процессов и используемых технологий. Также была предоставлена логическая схема компании.
Пример описания организации
Компания ООО «Ромашка» занимается выращиванием цветов и их продажей на розничном рынке и является компанией полного цикла (от производства до продажи).
У компании есть следующие площадки:
центральный офис в г. Москве;
ферма со складом в г. Зеленограде;
пять розничных точек продажи в г. Москве.
В компании работают 67 сотрудников:
генеральный директор — 1;
служба кадров — 3;
бухгалтерия — 3;
служба финансов — 2;
отдел маркетинга — 3;
служба безопасности (включая охранников) — 4;
хозяйственная служба (логисты, кладовщики, грузчики, водители, садовники/агрономы, технологи) — 25;
отдел продаж (включая кассиров/флористов на 5 розничных точках) — 15;
разработчики — 3;
ИТ-служба — 6;
ИБ-служба — 1.
Логическая схема компании для наглядности представлена ниже:
Какие передовые методы применяет компания для выращивания цветов:
в почву внедрены датчики, отслеживающие уровень кислорода, уровень содержания удобрения и т. д.;
используется система кондиционирования с возможностью централизованной смены температуры и влажности воздуха (реализуется главным технологом из центрального офиса на основе полученных данных);
технологические работники используют планшеты для сбора информации с датчиков и передачи информации посредством Wi-Fi через интернет в «Систему мониторинга растениеводства».
Критически важным для компании является приложение «Система мониторинга растениеводства», которое работает в режиме 24/7/365. Приложение является собственной разработкой, оно также позволяет получать технологическую эффективность 196% по сравнению с обычными методами выращивания цветов.
Кроме того, в компании есть следующие ИТ-сервисы и ИС, которые физически размещены в серверной в центральном офисе:
Active Directory (1 лес, 1 домен, 1 контроллер домена);
почтовая служба (Exchange), в том числе приложение Outlook Web App;
«1С: Зарплата и управление персоналом»;
«1С: Бухгалтерия»;
«1С: Розница».
ООО «Ромашка» существует 1 год и показывает феноменальные экономические результаты. В компанию буквально месяц назад наняли руководителя службы ИБ, который в первый месяц своей работы описал нынешнее положение дел.
Список замечаний CIS:
Нет формализованных документов в области ИБ, кроме политики по информационной безопасности, которая была скачана из интернета и немного адаптирована работниками ИТ-службы.
В настоящий момент не проводятся никакие мероприятия, направленные на защиту персональных данных в компании.
В компании есть сетевой инженер в ИТ-службе, который спроектировал и реализовал сетевую инфраструктуру, но проектной документации никакой нет. Вся информация у сетевого инженера в голове. Есть лишь выполненная карандашом схема (l2-l3) сети на листе А4, который висит на рабочем месте сетевого инженера.
Сеть сегментирована на несколько vlan на коммутаторе ядра. В отдельные сегменты выделены: 1) АРМ работников в офисе, телефонов и офисного оборудования; 2) ИТ-сервисы и ИС; 3) АРМ кассиров в розничных филиалах.
Единственный источник информации о проблемах в работе сети — жалобы пользователей.
После аварии на центральном коммутаторе восстановление работоспособности сети заняло более трех дней, несмотря на то что подменное оборудование производителем было предоставлено уже на следующий день.
Почтовая служба (включая OWA, ActiveSync, smtp и imap) доступна пользователям компании из сети Интернет посредством port forwarding на пограничном маршрутизаторе.
ИС на базе «1С» и интерфейсы администрирования Active Directory доступны только из внутренних корпоративных сегментов.
Приложение «Система мониторинга растениеводства» имеет клиент-серверную архитектуру:
клиентская часть устанавливается вручную на Android-планшеты технологов с root-правами;
серверная часть приложения развернута в серверной комнате в центральном офисе и опубликована в интернете посредством port forwarding на пограничном маршрутизаторе;
информация с планшетов передается через сеть Интернет посредством протокола TLS 1.1.
Кассы в розничных филиалах арендуют терминалы ДБО у Банка для совершения платежей за покупки.
Разграничение прав доступа не производилось, всем пользователям назначены те права, которые они попросили, но в то же время пользователям запрещено работать под локальной учетной записью администратора.
На рабочих местах сотрудников в центральном офисе установлены антивирусные решения с возможностью централизованного управления.
Компания достаточно быстро растет, нет актуального реестра активов, компьютеры и планшеты закупаются «стихийно и хаотично».
ПО на компьютерах и планшетах обновляется в соответствии с настройками автоматического обновления по умолчанию, ПО на серверах обновляется в случае обнаружения некорректной работы ПО по жалобам пользователей.
Пользователям запрещено использовать флешки и любые другие съемные носители информации.
В связи с эпидемиологической обстановкой работники центрального офиса частично (посменно) перешли на удаленный режим, для доступа к рабочим станциям в корпоративной сети ИТ-служба организовала VPN-доступ на базе решения Open Source с однофакторной доменной аутентификацией с личных домашних компьютеров пользователей.
За время существования компании уволилось несколько человек, их учетные записи до сих пор активны в AD.
Пользователям, работающим на ферме и складе, запрещено выносить планшеты и устанавливать любое ПО самостоятельно.
Лишь 3 сотрудника сменили (по собственной инициативе) пароль от доменной учетной записи за 1 год работы.
Для доступа к ИТ-инфраструктуре проброшен один ssh-туннель, о котором было известно лишь сетевому инженеру.
Резервное копирование осуществляется только для критически важного приложения «Система мониторинга растениеводства».
Сканирование на уязвимости никогда не производилось.
СЗИ, за исключением антивирусного ПО, в компании отсутствуют.
Разработчики периодически дописывают приложение и принудительно обновляют в ручном режиме на планшетах. Никакую информацию о приложении никому не сообщают, даже вновь пришедшему руководителю службы ИБ.
Все разработчики работают удаленно.
Исходные коды приложения «Система мониторинга растениеводства» хранятся непосредственно на сервере приложения.
Компания в том числе сотрудничает с различного рода поставщиками удобрений и оптовых партнеров по продаже цветов.
На решение задания у меня ушло несколько дней. Было интересно разбираться в особенностях технологического стека компании и его потенциальных уязвимостях. Пришлось много почитать о разных технологиях и различиях в версиях, а также об известных уязвимостях в них.
Задание мне показалось несложным, особенно из-за наличия детального описания. Тем более что выявить области, которые следует тщательнее исследовать, мне помог ChatGPT. После этого меня пригласили на дальнейший этап.
Этап 2
Перед ним HR попросил всех ознакомиться со статьей про облака, по которой потом задавали вопросы. Главная цель — понять, как я усвоил новую для себя тему. Саму статью ежегодно готовят эксперты компании, она может касаться любой темы в ИБ, с которой должен быть знаком начинающий специалист.
Пример структуры статьи
Представим, что в этом году за основу будет взята тема SOC. Что наши эксперты обязательно включат в статью:
— определение SOC;
— задачи SOC;
— из чего состоит SOC;
— модель организации SOC;
— технологическое ядро SOC.
За заданием последовал личный разговор с HR, в ходе которого мне более подробно рассказали о центре информационной безопасности, о его структуре и культуре, охарактеризовали направления работы, а также описали атмосферу в компании «Инфосистемы Джет». В процессе общения с HR мы поговорили о различных вопросах, связанных с безопасностью и смежными сферами.
Также на этой встрече HR узнает, в каком направлении ИБ вам хотелось бы развиваться в дальнейшем. Если вы еще не определились, не переживайте: вам помогут подобрать подходящее направление. Я тоже сначала не знал, чем конкретно хочу заниматься, но, попав в свой отдел, понял, что мне подобрали подходящее место.
Этап 3
Финальный отбор проводился в формате кейс-клуба. Всех поделили на команды из 4–5 человек и предложили решить задачу, приближенную к рабочей.
Вместе с товарищами по команде нам нужно было разработать план по улучшению информационной безопасности в компании N. По желанию можно было разделить обязанности, но мы обошлись без этого и делали всё вместе.
Предварительно мы получили несколько вводных о заказчике в формате:
Пример описания компании
Крупный российский банк с представительствами в РФ. Штаб-квартира находится в Москве, филиалы распределены по крупным городам. У нового ИТ-директора появилась задача: привести ИБ в порядок и запланировать бюджет на следующий год.
Большую часть информации можно было узнать только во время встреч с ИТ- и ИБ-департаментами, а также с руководством компании. К ним нужно было подготовиться — как минимум набросать примерный пул вопросов, который поможет решить нам поставленную задачу. Естественно, мы общались не с реальным заказчиком, а со специалистами компании «Инфосистемы Джет», которые «отыгрывали» отведенные им роли.
Самой сложной была неоднозначность ответов. Как и в реальности, существуют элементы инфраструктуры, про которые никто ничего точно не знает, но тем не менее они функционируют. После бесед со всеми представителями «заказчика» мы составили для себя описание компании и ее наиболее ценных ИТ-активов. На базе этого был разработан план повышения уровня информационной безопасности в организации. Следующим не менее сложным шагом стала презентация и защита наших идей.
После мы получили объемную обратную связь: какие решения были удачными, а с чем мы прогадали. Например, мы забыли предложить заказчику установить антивирус.
От стажера до инженера
После прохождения всех этапов мне сделали оффер и предложили поработать в отделе защиты АСУ ТП и КИИ. Наши заказчики — промышленные предприятия, для которых очень важна непрерывность технологического процесса. И поэтому нередко специалистам приходится выезжать на их объекты, которые могут находиться в труднодоступных местах — например, в Якутии.
На время испытательного срока у каждого стажера есть свой наставник, который помогает быстрее адаптироваться в компании, знакомит с коллегами, проводит экскурсию по офису, рассказывает, как устроены ключевые бизнес-процессы, и помогает по всем вопросам. Но в принципе обратиться за помощью можно к кому угодно, все коллеги очень отзывчивы. Также на этапе адаптации очень помогает встреча с HR-директором, на которой рассказывается про историю компании, руководство, масштабные проекты и «плюшки» для сотрудников.
Что мне показалось самым комфортным: для многих вещей предусмотрены четкие критерии. Например, чтобы пройти испытательный срок, необходимо выполнить задачи, прописанные в оффере. Так каждый понимает, чем будет заниматься эти три месяца, что конкретно нужно изучить и сделать для выполнения поставленных задач. Одной из моих задач во время испытательного срока было знакомство с Vipnet Xfirewall. Сейчас в рамках индивидуального плана развития я изучаю «Кибер Бэкап» и Kaspersky Industrial CyberSecurity.
Встречались и трудности в процессе адаптации, но их было не так много. Было сложно привыкнуть к тому, что все коллеги общаются на «ты» — на это мне потребовалось около двух месяцев.
Если вы еще учитесь, то самый очевидный вопрос: а как совмещать работу с учебой? За всех не скажу, но у меня это хорошо получалось и тогда, и сейчас. Обычно вас просят уделять работе от 25 до 40 часов в неделю. Выбрать комфортное для себя время можно в зависимости от загруженности в вузе. Я выбрал 25 часов, из которых 16 проводил в офисе, а в оставшееся время работал удаленно. Рабочие часы можно гибко подстраивать под пары, чтобы не было пересечений, или работать во время лекций, как делают многие. Но, по моему мнению, работа не должна мешать учебе.
Попробуйте на старте стажировки определить для себя векторы развития. Немногие думают о карьерном росте в начале пути и преследуют цель получить хоть какой-то опыт. Это не совсем правильно, лучше сразу подумать о будущем, чтобы потом не жалеть о потраченном времени. Здорово, если в компании предусмотрены Performance review или ИПР, — это помогает определить свои цели на ближайшее время и двигаться четко по плану. Такой подход помог мне вырасти до инженера за 8 месяцев.
За время работы в компании «Инфосистемы Джет» я подключился к множеству интересных проектов, познакомился с ключевыми продуктами ИБ и поработал с профессионалами с богатым опытом. Стажировки в нашем центре информационной безопасности стартуют каждый год в начале лета. Если вам это интересно, регистрируйтесь по ссылке.