Как стать автором
Обновить
156.33
Рейтинг
Ростелеком-Солар
Безопасность по имени Солнце

Не человек для работы, а работа для человека: мои ошибки при организации стажировок для студентов

Ростелеком-СоларИнформационная безопасностьЗаконодательство в ITКарьера в IT-индустрииIT-компании

Пару недель назад мы объявили набор стажеров в нашу дирекцию по интеграции. Среди профессий, в которых мы предлагаем попробовать свои силы, есть аудит ИБ, аттестация и консультирование. Во время стажировки я буду курировать это направление, поэтому хочу поделиться опытом введения новичков в профессию. За несколько лет я выработал подход, который позволяет стажерам увидеть творчество в такой суровой сфере, как комплаенс и не потерять мотивацию, закопавшись в нормативке.

Несколько лет назад я посмотрел выступление дирижера Бенджамина Цандера на TED Talks «Сила классической музыки», где целый зал людей впервые в своей жизни слушал и слышал классическую музыку, потому что научился это делать. «Вы можете осветить целую деревню глазами этого мальчика», – сказал Цандер об одном из своих слушателей. Это и есть результат понимания. Именно тогда у меня закралась мысль, что и в моей повседневной работе все должно обстоять точно так же.

Опыт, сын ошибок трудных

Опыт работы со студентами у меня появился еще до того, как я пришел в «Ростелеком-Солар». Несколько лет назад я был должен выстроить рабочие процессы ИБ-интегратора в государственной организации, попутно укомплектовав штат специалистов. Речь шла про весь цикл работ: от инвентаризации до аттестации и эксплуатации, а свободных рук не было совсем. Поначалу руководство рассчитывало найти высококвалифицированных специалистов с большим стажем – чтобы как в анекдоте: «и дракона победить могли, и положительный опыт организации концертов Бориса Моисеева в Дагестане имели». После довольно долгих попыток реализовать мечты пришло рискованное решение попробовать перехватить толковых ребят пораньше – пока они еще студенты. Первый опыт оказался не очень удачным. Оказалось, что недостаточно просто позвать ребят, раздать им задачи и контролировать ход их выполнения.

В большинстве случаев для человека без опыта задачи из серии «сделай модель угроз для такого-то проекта», «напиши проект защиты» и т. п. – пустой звук. Студент слушал часовую лекцию о том, как это делается, кивал головой, что все понял, и исчезал до конца практики или времени, отведенного на тестовые задания. Да, какой-то результат был, но только для галочки.

При этом маленькие рутинные задачи, такие как перевести полезный документ на русский язык, заполнить тысячу записей в журнале, привести документ к единому стилю, уничтожали всякий интерес к работе. Задачи выполнены хорошо, но желания остаться нет.

Я понял, что дело не в студентах, а в подходе к стажировке. Не надо растить универсального солдата под названием «специалист по ИБ». Надо разделить эту должность на подзадачи: моделирование угроз, проектирование, аудит, аттестация, пентест, управление проектами (собственно, именно так все и будет на нашей предстоящей стажировке). Однако тут возникает еще один момент – на мой взгляд, ключевой для молодого специалиста, только-только узнающего профессию на практике.

Мотивировать, а не сломать студента

В начале стажировки я обычно провожу две лекции – вводную и мотивационную. С вводной все понятно, а мотивационная нужна для того, чтобы рассказать ребятам, какие задачи бывают, как их выполнять, как получается результат, в чем его ценность и кем он востребован. А дальше начинается индивидуальный подход. За эти годы я понял для себя одну важную вещь: не надо ломать характер человека. Если начинать карьеру с того, к чему вообще не лежит душа, это вполне ожидаемо отпугнет от профессии.

Поэтому после вводной и мотивационной лекций я беседую с каждым студентом. Я никогда не пытался формализовать этот процесс, это обычное общение. Пытаюсь найти общий язык с человеком, разговорить его, понять, чем он увлекается и в чем силен. Например, новый стажер любит музыку. В смысле, не просто меломан, а разбирается в ее законах, понимает, как формируется композиция. Или его страсть – программирование. Спрашиваю, что именно его привлекает в этом. Получается абсолютно живой разговор, помогающий понять склонности человека, его характер. Параллельно я пытаюсь провести и показать человеку параллели с информационной безопасностью, с теми процессами, в которых он может быть задействован. Важно понять, с чем ребятам будет работать комфортно, что у них, скорее всего, будет хорошо получаться, а что вообще не их.

И, исходя из этого, уже можно делить студентов по направлениям. Общительным я предлагаю попробовать себя в аудите и консалтинге: там предстоит много разговаривать с заказчиком, его айтишниками и безопасниками, без прокачанных коммуникативных навыков тут непросто добиться успеха. Более замкнутые товарищи часто выбирают проектирование и пентест. Конечно, общаться с коллегами здесь тоже придется, но немалая часть работы проходит наедине с собой. Ребятам, которые сильны в программировании, возможно, будет интересно строить модели угроз и нарушителя: здесь пригодится умение систематизировать, мыслить алгоритмами, просчитывать в голове разные варианты развития событий.

Если найти в рабочих процессах применение сильным сторонам студента, он загорится дальше развиваться в этом направлении. Вызвать азарт, дать человеку радость от того, что он делает, гораздо важнее, чем просто обучать. При этом важно, чтобы стажер понимал всю цепочку работ и видел значение и значимость своих задач.

Учимся читать, писать и планировать

Еще в первые годы работы со студентами я понял, что они не умеют это делать. Не спешите обижаться. Речь о профессиональных навыках, которым не учат в университете – они появляются с опытом. Поэтому теперь я начинаю работу со своими стажерами именно с этого.

Когда я говорю об умении писать, я имею в виду навыки работы с офисными пакетами. Я объясняю ребятам, что, если мы говорим о комплаенсе, придется самостоятельно готовить огромное количество документов. Если успеваю продолжить до того, как увижу их быстро удаляющиеся затылки, то добавляю: если владеть стилями, уметь оформлять таблицы и верстать не с помощью пробелов, то всю эту работу можно делать играючи. В ином случае – да, возненавидишь ее через пару дней. Но я же имею дело с ребятами, которые как минимум изучали в университете программирование, а может, даже знают про CSS. Поэтому часто бывает достаточно объяснить, что Word не сильно отличается от веб-верстки. Потом отправляю студента проходить курс по Microsoft Office на их официальном сайте. Не для галочки, а для того, чтобы человек мог ускорить свою работу, исключив повторение однотипных действий. Использование шаблонов, стилей, стандартных блоков и скриптов VBA сокращает рутинные операции до минимума. А постоянно создавать однотипные документы с нуля, конечно, даже конкуренту врагу не пожелаешь.

Читать тоже придется переучиваться. Мы живем в эпоху победившего инфостиля. Тексты принято писать без трехэтажных конструкций, продвинутые сервисы общаются с клиентами максимально простым и понятным языком. И вот современный студент открывает нормативку, видит зашкаливающее количество канцеляризмов, постоянные тавтологии и думает, что это неправильно, так нельзя. Но такова документация, юридические тексты законов и тому подобное – они пишутся не для людей, и читать их нужно другим способом – «сканированием», то есть считывая только значимую информацию. Еще один аспект правильного чтения в нашем деле – прочитали текст закона, открываем комментарии юристов, судебную практику. Потому что с одной нормативкой далеко не уедешь.

И о планировании. Тут все как в мультфильме «Крылья, ноги и хвосты»: «Лучше день потерять, потом за пять минут долететь». Я это объясняю еще во время мотивационной лекции. Вы можете сделать работу за один час, а можете потратить четыре на автоматизацию, но зато потом на такие же задачи вообще времени не тратить. Так вот планирование в конечном счете сводится именно к тому, чтобы автоматизировать повторяющиеся задачи – снова в помощь программирование, которое изучали в универе.

Но перед этим в планировании нужно освоить базу: оценку трудозатрат на единицу работу и оценку полноты входных данных. Здесь уже на помощь приходит математическая статистика (не теория вероятностей, ведь они решают противоположные задачи). Самый простой метод – оценка по трем точкам, когда смотришь худший результат, максимальный результат и математическое ожидание. Он позволяет снизить погрешность от субъективности оценки.

Остаться в ИБ

Конечно, один из главных мотивирующих факторов – возможность получить работу после стажировки. Чтобы ее целью была не только оценка за практику, нужно увлечь студента профессией, показать ему перспективы. Те условия, которые есть у нас, позволяют вчерашним стажерам получить карьерное развитие без смены работодателя. Направлений много, заказчики федерального уровня – есть куда расти и в чем развиваться. Было бы желание. Другими словами, успешная карьера студента начинается не где-то там в будущем, а уже прямо сейчас можно почувствовать себя полноценным членом большой команды.

Какие навыки мы ценим

Сильными не рождаются, сильными становятся. Основная сложность состоит в том, чтобы понять какие навыки развивать и поддерживать, ведь наше сознание пластично и то, что не используется, отмирает. У каждой компании, у каждого специалиста существует свое видение полезных навыков. Ниже озвучиваю список, рожденный в результате моего опыта.

Начну с профессиональных скиллов. Хорошему ИБ-специалисту совершенно точно пригодятся математические знания – теория множеств, алгебра, теория групп, теория вероятностей, математическая статистика, теория графов. Буду полезны навыки программирования – C#, VBA, Python. Понятно, что будет сложно в ИБ без понимания устройства сетей, систем и т. п. Придется разбираться и в нормативке и правильно ее читать (см. выше). Владеть базовыми инструментами, такими как Word, Excel, Visio, PowerPoint, на уровне экзамена Microsoft тоже здорово. Но, как говорится, не умеешь – научим (см. выше).

Еще один важный навык – это развитое абстрактное мышление, которое еще называют «системностью» и аналитическим складом ума. Поясню. Как я уже сказал, я занимаюсь комплаенсом. Уже само это слово вместе с аудитом и аттестацией способно отпугнуть очень многих. Однако именно умение смотреть на конкретные ежедневные рутинные задачи как на элементы системы, подлежащей автоматизации, делает работу творческой. Мне очень часто приходится сталкиваться с нетипичными проектами, поэтому у меня уже большой опыт в стандартизации того, что еще не стандартизировано. Умение проводить аналогии, обобщать уже сделанное позволяет не заниматься весь день мелкими однотипными задачами, а делать их быстро, посвящая рабочее время интересным и нестандартным проектам.

И конечно, важны критическое мышление, чувство юмора, развитый эмоциональный интеллект, умение и желание общаться, задавать вопросы. Без этих качеств будет тяжко где угодно.

Почему могут не взять на работу после стажировки?

Вообще, причины схожи с теми, из-за которых можно лишиться работы или не пройти испытательный срок, даже будучи специалистом. Дальнейшему сотрудничеству могут помешать несколько моментов.

Если стажер с опозданием эскалирует проблемы, не сообщает руководителю проекта и куратору, что что-то пошло не так, то он вредит не только себе. Зависает одна задача – зависнут те, которые с ней связаны. Как я уже говорил, нужно, чтобы стажер, делая часть, понимал процесс в целом и чувствовал свою ответственность за общий результат.

Еще один вариант проблем с коммуникацией – когда человек стесняется спрашиваешь, если не знает, и, наоборот, не стесняется спрашивать, если знает ответ или, по крайней мере, знает, где его найти. Тут важно почувствовать этот баланс. Нельзя быть необщительным букой – стажер просто недополучит знания, которые мог бы получить. Ну а про вред общему делу я уже сказал выше. Но и перебарщивать не стоит: бывает, что человек все знает, но то ли от неуверенности, то ли от чего-то еще постоянно переспрашивает.

Сотрудничества не получится, если человек альтернативно понимает прочитанное (стандарты, законы, нормативные акты). Лечится тем самым умением читать. Но у кого из нас даже в обычной жизни не возникало: «Ой, да что там разбираться, тут и так все понятно!» В ИБ, и особенно в комплаенсе, так точно не надо.

И вполне вероятно, что предложение остаться не получит стажер, который увлечен какой-то мечтой, а ИБ – это только миг. Но это скорее про то, что не надо насиловать себя и заниматься нелюбимым делом.

Вместо заключения

Возможно, кто-то ждал от этой статьи большей конкретики – чем занимается такой-то специалист, какие навыки ему нужны. Но я хотел рассказать не об этом. Стандартное описание функционала тех, кто отвечает за комплаенс в сфере информационной безопасности, несложно нагуглить, но вряд ли оно способно завлечь и подтолкнуть к выбору именно этой профессии. В своем посте я хотел показать, что дело не в обязанностях, а в подходе человека к работе. Сложно полюбить нормативку и множество документов сами по себе, но можно полюбить процессы, в которых ты участвуешь, которые ты нередко сам придумываешь, чтобы получить максимальный результат.

Однажды среди моих стажеров был парень, который вообще-то увлекался программированием и хотел стать веб-дизайнером, но в итоге он пошел в проектировщики, осознав связь между ГОСТами 34-й серии (разработка и эксплуатация автоматизированных систем) и каскадными таблицами стилей. Он стал писать стандарты, потому что ему понравилось, как он автоматизировал свою работу, как научился управляться с документами и быстро готовить их.

Я уверен, что хорошая стажировка – это не история для галочки, которую поставят себе студент и сама компания, чтобы потом пойти каждый своей дорогой. Стажировка – это начало большого пути, и он сразу должен быть интересным и полезным.

Автор: Алексей Матвеев, ведущий консультант по информационной безопасности Дирекции по интеграции компании «Ростелеком-Солар»

Теги:стажировкааудит безопасностиcomplianceростелеком-солар
Хабы: Ростелеком-Солар Информационная безопасность Законодательство в IT Карьера в IT-индустрии IT-компании
Всего голосов 14: ↑14 и ↓0 +14
Просмотры7.1K

Похожие публикации

Frontend-разработчик Vue.js
Ростелеком-СоларМосква
Fullstack разработчик (Golang)
Ростелеком-СоларМоскваМожно удаленно

Лучшие публикации за сутки