Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Если загуглить «работа в ИТ», то статей с заголовком «Как войти в айти» и курсов, обещающих быстрый старт в новой профессии, выпадет столько, что начнет казаться, что все вокруг только и делают, что учатся (или учат) на айтишников. ИБ-профессии дополнительно окутаны флером хакерской тематики, но в целом процесс «вкатывания» в них для человека не из индустрии от этого сильно не меняется.
Мы собрали три истории ребят, которые смогли которые работают в центре информационной безопасности: всем нашим героям около 30 лет, и до того, как перейти в новую профессию, они уже строили карьеру в других сферах, но решили всё изменить, став специалистами в сфере информационной безопасности с нуля. Чей путь был проще — решайте сами. Пост будет полезен тем, кто думает о работе в айтишной сфере, но пока сомневается (или считает, что поезд ушел вместе с перроном).
История первая. Иван
До того, как попасть в сферу информационной безопасности, я уже чем только не занимался: и проектировал микрокриогенное оборудование, и писал научные исследования по коррозии реакторных материалов, и управлял проектами в ИТ-стартапах, и администрировал процессы.
Когда я попал как менеджер в ИТ-стартап (к разработке и прочей технической части я на своей позиции отношения не имел — в общем, был совсем не «айтишником»), в моей голове поселилась мысль продолжить развиваться в этом направлении, но, скорее, с точки зрения управления и организации процессов. К технической реализации я, с одной стороны, подступаться не хотел — программировать не умел, и на тот момент восторга эта идея не вызывала. С другой — было ясно, что без знания технической специфики будет сложно, так как не будет хватать собственной экспертизы. Желание подтянуть эту экспертизу постепенно и привело меня в ИБ.
Как человек консервативный, я решил начать свой путь через магистратуру. Направление ИБ было выбрано по совету коллеги, который утверждал, что там «меньше программирования». Либо он шутил, либо я пропустил нотки (симфонию) сарказма в его словах. Я поступил на магистерскую программу «Информационная безопасность» в Институт интеллектуальных кибернетических систем на базе МИФИ.
Процесс обучения шел весело. Если вкратце, то, затыкая дыры и разрываясь между учебой и работой, я не заметил, как сквозь пересдачи и комиссии смог выйти на финишную прямую. Забегая вперед, скажу, что, защитив диплом, осознал одну вещь: если сам не начну развивать нужные мне навыки, то найти работу не смогу.
Наступил второй этап обучения — самообучение. Созревал до него я пару месяцев. В разгаре как раз была пандемия, поэтому я удачно наткнулся на кампусную программу от Coursera для российских вузов. Начал учиться программированию. Какой ящик пандоры был открыт, я тогда еще не понимал. Где-то полтора года всё свободное время уходило на курсы и решение задач. Это помогло мне прокачать самодисциплину и навыки программирования. Курсы по ИБ для меня оказались скучнее, чем по программированию. Поэтому по ИБ я поступил на бесплатную образовательную программу от крупной компании. Столько знаний и практики за три месяца я нигде до этого не получал.
На этом этапе я понял важную вещь: следует сфокусироваться на чем-то одном и не пытаться объять необъятное, иначе будет потрачено много сил и времени.
tips and tricks:
a. Выучить один язык программирования, который будешь использовать, остальные — потом, если потребуется.
b. Хочешь в ИБ — практикуйся в ИБ и программируй применительно к ИБ.
c. Следует читать статьи ведущих экспертов (например, Google project Zero) — там можно узнать много методик по исследованию различных уязвимостей и получить знатный прирост мотивации (или демотивации — как посмотреть).
d. Алгоритмы, фундаментальная криптография и т. п. — если не использовать в работе, а только для саморазвития, то лучше отложить на потом.
Итак, обучение в бесплатной школе дало мне необходимую базу знаний и ощущение, что пора начинать поиск работы. Первые попытки, кстати, сплошняком были на позиции аналитиков данных (единственные компании, которые сами меня приглашали). Там требуется хорошо знать SQL (я не знал), поэтому собеседования были неудачными. Но это был полезный опыт, после которого я научился быстро рассказывать о себе и своих навыках и перестал стрессовать перед собеседованиями. А еще понял, что никому не интересны мои сертификаты онлайн-курсов ))
После окончания школы по ИБ мне часто попадалась контекстная реклама разных летних школ и программ от ИТ-компаний, на которые я пробовался. В итоге прошел отбор на стажировку молодых специалистов в «Инфосистемы Джет». Пройти отбор — это, конечно, здорово, но дальше надо было на практике доказать свои знания. Возможностей для этого было предоставлено с лихвой: несколько проектов, куча нормативки для изучения, сжатые сроки, добро на инициативы.
Сейчас я работаю в «Инфосистемы Джет» уже больше года и занимаюсь аудитом ИБ по оценочным уровням доверия, но в планах — уйти больше в практическую безопасность (в сторону AppSec, где будут и пентесты, и разработка, и процессы) и поддерживать навыки разработки, так как хочется автоматизировать максимально документальную рутину, чтобы ускорить генерацию документации по результатам аудита.
Если суммировать, то процесс перехода из одной отрасли в другую у меня занял пару лет с момента, когда решил, что пора. Наверное, можно было как-то более оптимально выстроить процесс подготовки и перехода, систематизировать его каким-то планом, но результат (и процесс его достижения) меня устраивает. Может, в следующий раз начну с плана, но это потом.
История вторая. Владимир
До работы в области информационной безопасности я успешно отучился в строительном университете и проработал девять лет в дорожно-мостовом строительстве, семь из которых был руководителем производственно-технического отдела.
К компьютерам, да и к информационным технологиям я тяготел с самого детства, но почему-то никогда не было идеи как-то связать с этим свою жизнь. Но в 2020-м, когда пандемия ускорила процессы цифровизации в мире, а я достиг карьерного потолка в строительстве, пришло понимание, что профессию пора менять. Было даже ощущение, что я уже опаздываю на поезд под названием «войти в ИТ», но в моем случае потребовалось время, чтобы определиться, чем именно мне хотелось бы заниматься.
Поскольку у меня уже была семья, я не мог бросить основную работу на время учебы, так что оставался вариант пойти на курсы. Направление ИБ было выбрано после опроса коллег и знакомых.
Потом началась учеба — я поступил на курс с говорящим названием «Специалист по информационной безопасности с нуля» от Нетологии. Выбрал почти наугад, посмотрев описание программы. Всё было сложно, приходилось постоянно гуглить и изучать очень много дополнительного материала. Плюс ко всему я учился преимущественно по ночам, когда вся семья ложилась спать. Многие из нашей группы бросили учебу, поскольку не понимали, «чему нас учат». Я и сам сомневался, но когда вышел на работу, то понял, что учебный материал был подобран довольно грамотно, и впоследствии многие знания реально помогали на практике.
После окончания курсов и защиты диплома я начал искать новую работу — так совпало, что наступило лето, и многие компании открыли свои стажерские программы, ориентированные в первую очередь на студентов и выпускников.
Честно говоря, я переживал, что многие будут снисходительно смотреть на мое резюме «30+» человека без профильного образования, имеющего одни лишь курсы за спиной. Несколько компаний мне отказали, однако «Инфосистемы Джет» проявила интерес ко мне — позже я узнал, что на этапе отбора эйчаров подкупила моя замотивированность, а не бэкграунд — и дала мне шанс поучаствовать в дальнейших этапах отбора, которые я успешно смог преодолеть и вступить в доблестные ряды )
Я проходил стажировку в отделе защиты АСУ ТП и КИИ, так как она относительно связана с предыдущим моим опытом, хотя я изначально видел себя в другом амплуа.
Первое время было очень тяжело привыкнуть к новому профессиональному языку — все коллеги разговаривают, оперируя терминами и, зачастую, английскими словами, которых я ранее даже не все слышал.
Было странно, что все меня считали коллегой (кем я и являлся) и относились ко мне как к равному, поэтому сложно было объяснять (да и немного стыдно), что ты не знаешь каких-то базовых вещей. Но «назвался груздем — полезай в кузов». Приходилось все пробелы в базе восполнять буквально на лету.
И еще одна сложность — психологически принять тот факт, что ты все-таки уже сменил профессию, и самому себе отвечать на вопросы: «А правильно ли я сделал? Смогу ли я выдержать планку и темп?» К счастью, это быстро прошло благодаря коллективу и, собственно, работе.
В итоге я работаю в «Инфосистемы Джет» уже почти год, и мне нравится то, чем я занимаюсь. Я ни разу не пожалел, что мой выбор изначально пал именно на информационную безопасность, даже более того — с каждым днем мне это всё более интересно.
Переход из сферы строительства в ИБ занял у меня полтора года и стоил 70 000 рублей.
tips and tricks:
a. Чтобы начать учиться, многого не нужно, а вот чтобы доучиться до конца, понадобится твердая решимость. Так что следует разобраться в себе перед тем, как запрыгивать в этот поезд.
b. Будет трудно — это точно. Наивно думать, что на курсах выдадут знания, и ты весело пойдешь устраиваться на новую работу. Нет. Выдадут вектор развития, покажут ключевые моменты новой профессии, а дальше действовать нужно будет самостоятельно.
c. Чтобы успешно учиться, нужно будет вспоминать, как вы это делали (или не делали) в институте: нужно выработать режим учебы и отдыха, найти время для повторения пройденного материала.
d. Очень важно получить поддержку родных, потому что если у тебя уже есть семья, то смена профессии — не только твоя работа, но и всех домочадцев, которым придется перестроиться под новый график жизни.
e. Стоит подтянуть английский — львиная доля айтишных статей на нем.
История третья. Виктор
До ИБ я профессионально играл в баскетбол. На площадке я играл на позиции защитника, а сегодня атакую внутреннюю инфраструктуру заказчиков. Но обо всём по порядку.
С раннего детства я увлекался алгеброй и компьютерами и параллельно всегда занимался спортом. В третьем классе я посмотрел фильм «Хакеры» с молодой Анжелиной Джоли (кто помнит ее ник?) и проникся этой бунтарской атмосферой и своеобразной романтикой. Вся эта культура казалась страшно крутой и загадочной. Через несколько лет появился журнал «Хакер», а в России перехода из 90-х в 2000-е это было сродни взрыву бомбы! После прочтения одной из статей я смог в школе благодаря кейлогеру получить пароль от интернета в кабинете информатики. Такое запоминаешь на всю жизнь! В спорте всё хорошо получалось, и я решил остаться в нем, но ни на секунду не сомневался, чем буду заниматься после завершения карьеры игрока.
Хоть я и любил (заочно) всю хакерскую тематику, совершенно никакого понятия, как дело обстоит на самом деле, не имел. Поэтому для погружения в мир ИБ я выбрал по описанию на сайте онлайн-школу HACKERU (сейчас она называется Cyber-ed) и поступил на курс «Специалист по тестированию на проникновение».
Со школой мне очень повезло — преподаватели отвечали на мои вопросы даже спустя месяцы и в нерабочее время. Как-то мне преподаватели помогали решать таск на CTF посреди ночи! (Не делайте так.)
Учеба поначалу давалась тяжело, так как всё было новым и незнакомым. Но никто не говорил, что будет легко! Для понимания моего уровня поясню, что в начале обучения я задавал вопросы вроде «Как мышку "вернуть", если кликнул на экран виртуальной машины и она исчезла?»
Уже после экватора обучения я, как и многие, понял, что искать работу нужно еще до его окончания, и пора начинать ходить по собеседованиям. Многие школы «гарантируют» трудоустройство, но на деле, конечно, этого гарантировать никто не может.
На первую работу я устроился еще до окончания обучения, за что огромное спасибо всем преподавателям. Если сравнивать с учебой, то особых трудностей в работе не было. Думаю, в этом есть большая заслуга моего первого руководителя — он был очень крутой. Мне вообще везет с руководителями. Параллельно с работой я ходил на митапы и конференции, где познакомился с ребятами, которые позвали меня работать в «Инфосистемы Джет».
С сентября 2022 года я занимаюсь пентестом внутренней инфраструктуры, снова много учусь. Это дикий адреналин и драйв! Переход в сферу ИБ занял у меня год с небольшим, а по затратам около 300–350 тысяч рублей, с учетом покупки ноутбука. Не так много, чтобы идти за мечтой, верно? В перспективе хочу выйти на уровень, чтобы никакой SOC, IPS/IDS, EDR или антивирусы не могли остановить, когда попал внутрь сети. Амбициозно, согласен, но кто мы, чтобы мелочиться.
tips and tricks:
a. Не спешите выбирать род деятельности внутри ИБ. Тщательно ознакомьтесь со всеми интересующими вас вакансиями. Ведь профессий в ИБ много, а вы выбираете свое будущее.
b. Сразу готовьтесь страдать (это как играть за расу людей в War Craft 3). Но это того стоит! Тяжело в учении — легко в бою.
c. Морально подготовьтесь к тому, что первые несколько собеседований будут довольно провальными. Это нормально — анализируя прошедшие встречи, можно довольно быстро понять, что вопросы не бесконечны, и наработать навык прохождения собеседований.
d. Ходите на митапы, конференции, общайтесь в телеграме, заводите друзей в ИБ-тусовке. Она не такая большая, и, возможно, случайный собеседник в чате или на after-party после конференции станет вашим коллегой.
Для тех, кто интересуется профессиями в сфере информационной безопасности, мы сделали карту основных профессий в ИБ, чтобы вы могли выбрать карьерный путь и посмотреть, что там впереди.
Оставляем здесь превью, а файл в высоком разрешении можно открыть здесь.
Начать его можно со стажировки: на всякий случай сообщаем, что программа стажировок «Инфосистемы Джет» стартует в конце мая.