Répondre au commentaire "comment je suis tombé pour la cybersécurité"

Dans ce petit article, je voudrais faire la lumière sur le commentaire demoooVet l'industrie dans son ensemble.



Je veux juste clarifier quelques points importants:



  • le jeûne n'est pas destiné à offenser quelqu'un ou à condamner le choix de quelqu'un, ainsi qu'à gonfler l'holivar, la démagogie, etc. etc. ;
  • le poste ne comporte aucun appel pour le choix de quoi que ce soit;
  • pourquoi un post et pas un commentaire? et c'est pourquoi "Vous pouvez commenter les publications qui ne datent pas de plus de 30 jours ..". En général, j'ai lu les règles et j'ai décidé que ce serait bien.


Ainsi, après avoir lu le commentaire, on a le sentiment que, au sens général, un agent de sécurité est une sorte de bretzel loin de l'IT, avec le syndrome du gardien il est fort possible qu'un bétail . Il en est peut-être ainsi dans de nombreux bureaux sharazhkiny, mais il y a d'autres cas, dont je parlerai un peu plus tard, mais pour l'instant, je voudrais faire ressortir quelques points du commentaire.



1.

Je pensais aussi que je serais un pentester, un programmeur système, un réseauteur et en général Mr.Robot. En fait, tout ce qui est technique n'est qu'auto-apprentissage et pas autrement.
il y a pas mal d'universités avec une telle approche «sèche». En général, il y a tellement d'endroits et dans presque toutes les spécialités, à l'exception des «très professionnels» (et même pas toujours!), Et tout ce qui est utile dans le travail est «juste l'auto-apprentissage et rien d'autre». Et en général, la qualité des universités de la Fédération de Russie dans la direction informatique est très déplorable, la formation est réduite à la lecture d'un cours de matériel, tirant en quelque sorte leurs notes par les oreilles des étudiants, délivrant un diplôme informatique et une lourde souche dans le dos et envoyant un avenir informatique brillant à la bourse du travail ... Par conséquent, (c'est particulièrement important maintenant, c'est doublement pertinent si vous êtes un futur entrant apte au service militaire) il serait ou ne serait pas très stupide de vous familiariser avec le programme de formation dans la spécialité où vous allez aller, puis de tirer des conclusions "si c'est nécessaire" ...

2.

À quoi ressemble cette éducation? Eh bien, un mélange de gestion avec la jurisprudence et le syndrome du gardien - et cette connaissance n'est applicable nulle part sauf en Russie, et s'il y a un objectif de déménager à l'étranger, c'est une perte de temps.

sur "déménager à l'étranger". Eh bien, je ne tirerais pas de conclusions aussi sans équivoque, j'ai eu la chance de travailler dans une entreprise du MSC, où un agent de sécurité a travaillé pendant 3 ans, en juin, a travaillé à l'étranger et a écrit les mêmes tonnes et mégatonnes de documents, uniquement selon l'ISO. Seulement là-bas, contrairement à nos entreprises, les tâches d'un spécialiste de l'IB comprenaient non seulement le laminage du papier, mais également le contrôle de son exécution et de sa conformité. Donc, étant raisonnable, vous pouvez facilement vous promener dans cette, qu'est-ce que c'est, l'Europe.

3.

- . ( ) , , — , — .
Cela s'applique à tout, eh bien, presque tout. Afin de ne pas aller loin, je donnerai un autre exemple, à un moment donné j'ai étudié dans le sens du "design technique", en général, je dois devenir designer, dès la 3ème année j'ai ramassé mes queues dans des sujets de design aussi importants que "philosophie", "science politique", mémologie études culturelles et des trucs comme ça, puis j'ai été transféré dans une autre faculté et là j'ai déjà choisi une autre spécialité. Environ un cinquième du groupe travaille en tant que concepteurs, le reste du travail est consacré aux tests, à la programmation, à l'analyse Big Data, à la rédaction, aux ventes, etc. Et c'est comme ça que ça marche, oui. Une personne apprend toujours tout elle-même, apprend ce qui attire, et un diplôme est, en principe, une formalité, un morceau de papier qui montre clairement que vous avez vu de la merde sans laquelle TYPE ne peut pas percer dans la vie.

4.

Le reste - oui, ils travaillent dans le domaine de la sécurité de l'information. Que font-ils? Ils écrivent des morceaux de papier. Des tonnes. Mégatonnes. Cela n'a presque rien à voir avec l'informatique.

qui quoi. J'ai vu et écrit de tels morceaux de papier pendant 80 000 par mois, travaillant dans un château voisin. Cela me convenait, comme si vous restiez assis, pendant 2/3 jours, vous ne faites rien, 1/3 vous écrivez, vous gagnez de l'argent. Quelqu'un aime ça. Mon camarade alors, secrètement de son bureau, a aidé d'autres personnes à passer un audit SI, a conseillé quelqu'un d'autre sur la sécurité de l'information, en fait, il a simplement profité de la paranoïa d'autres personnes - il a installé toutes sortes de déconnecteurs sur les téléphones, a recherché des bugs, a mis des prises de drones et autres. -nya.

cinq.

. , . — , , . ( ) — . — .
cette intrigue de la légende s'applique à la plupart des postes vacants et des spécialités. Mon ami a siégé dans une sorte de département technique, dans une sorte d'entreprise pour la production de volets roulants et de portes de garage, étant également profond dans tout cela. Mais l'ami de son père, BOSS, est venu et a dit: «Alors non, ce type , le fils de mon ami, est venu ici pour étudier le design et pratiquer dans ces domaines. documentation et nos produits. Vous l'aiderez, par exemple ... »et c'est tout. L'enfant est sorti pendant 3 ans, puis est allé quelque part dans la vente.



En général, lorsqu'une personne est un type moyen ordinaire de déception, alors pour une telle sécurité de l'information, elle commencera et se terminera immédiatement exactement à l'endroit où fstack les déchets de papier, les invités, l'ISO, les politiciens, etc. Si une personne a le désir et le zèle, vous pouvez toujours ajouter un niveau plus élevé de théorie de la sécurité de l'information à vos connaissances - tests de pénétration, développement, réseaux, etc. - atteignant ainsi un nouveau niveau. Et juste en général, le travail dans le domaine de la sécurité de l'information se construit de différentes manières partout. Les interprétations les plus populaires de celles que j'ai personnellement vues sont les suivantes - un IBshnik est principalement engagé dans la paperasse, les politiciens et ses «mains» sont enikei, qui installent différents logiciels, les personnalisent, etc. et un Suisse, et un faucheur, et un joueur ", tâtonne pour le bourrage technique, sait utiliser les pare-feu, est capable de déployer des politiques de logiciels antivirus,cherche la cryptographie sous ses nombreuses formes, et ainsi de suite.



L'auditeur bezopasnik est une figure importante de la bifidobactérie du monde de l'informatique (ou peut-être pas de l'informatique, xs), l'habitat des JSC, des LLC, des ONG et d'autres temps «O» du tsar Gorokh, qui sont soumis à la violence bureaucratique des organes d'inspection et autres. À un moment donné, de telles personnes ont freiné une montagne de documents de la taille d'Andromède, ont appris tout le rationnement et, à la suite de la synthèse cauchemardesque de Consultant + et FSTEC, des théoriciens sont apparus. Leur but est des morceaux de papier, des documents, des actes, des rapports. Leur arme est la connaissance de l'interligne dans les documents et les numéros GOST. Et enfin, il traîne fièrement au sommet de cette chaîne alimentaire - un agent de sécurité qui connaît l'aspect technique du problème, qui ne sait pas au niveau de "mais maintenant, mise à jour vers le pompage Kaspersky", au niveau sérieux. En règle générale, nous parlons de spécialistes plus restreints. J'ai vu cela une fois, un ancien ingénieur réseau.



J'ai lu les commentaires sous les articles sur la sécurité de l'information et j'ai été émerveillé. Les gens ont une étrange compréhension des postes vacants en informatique. Quelqu'un pense vraiment que l'université doit quelque chose à quelqu'un ... "Je dis que j'étais tellement magique et intelligent que je suis allé à l'université, mais on ne m'a PAS appris." Encore une fois, quand les gens vont étudier, s'ils le font, ce ne serait pas grand-chose de se demander - et ce qu'ils vont enseigner. Et il s'avère que Vasya Pupkin est allé étudier en tant qu'administrateur système, programmeur, concepteur, testeur, agent de sécurité, etc., mais on ne lui a pas appris de cette façon, tandis que Vasya lui-même a mis un effort total dans ce domaine. Les spécialités restreintes demandées ne sont pas enseignées lors des conférences.



Un autre moment - Les gens demandent "Mais devrais-je y aller?" Pour tous ceux qui posent cette question, la réponse est non. Vous ne ferez pas un bon agent de sécurité, pas de programmeur, pas d'administrateur et personne) Quand une personne pose de telles questions, cela dit seulement qu'il n'y a pas de noyau de motivation, il est conduit et ne veut pas sincèrement. Et toutes ces spécialités informatiques demandent une patience de fer, de l'endurance, de la minutie et de la perspicacité, tout cela disparaîtra généralement rapidement, aux toutes premières difficultés, si vous ne saviez pas au départ ce que vous faisiez. Cela ne vaut pas non plus la peine d'examiner certains cas particuliers et de tirer des conclusions sur la profession, quelqu'un voulait et pouvait, et quelqu'un pensait qu'il apporterait tout dans une vague et se retrouverait sur le cul. Encore une fois, rien n'est donné comme ça, personne n'apprendra rien nulle part,tous ceux qui ont réalisé quelque chose un peu sont des fanatiques de leur entreprise, de leur travail, de leur passe-temps. Tel et l'institut n'est pas nécessaire.



Il devrait probablement y avoir une sorte de fin, mais je suis tellement fatigué d'écrire que les conclusions sur qui il devrait être et s'il vaut la peine de se mêler non seulement de la sécurité de l'information, mais de l'informatique dans son ensemble - tout le monde le fera lui-même!



"

Après avoir retourné le livre, enroulez-le autour de votre moustache - tous les ouvrages sont bons,

choisissez

le goût!"

V.V. Mayakovsky.



All Articles