Garant-blok.ru

Гарант Блок
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Охранник – специалист по безопасности

Что это за человек, специалист по технике безопасности и охране труда? Какие требования предъявляются к такому работнику? И что он должен делать в организации? О всём об этом сегодня и расскажем. Признайтесь, Вас же давно уже мучал этот вопрос.

Естественно, это не первый раз, когда мы пишем про специалиста по технике безопасности и охране труда. Немногим ранее мы выпустили замечательную статью, в которой мы рассматривали профстандарт для этой позиции. Что ж, если захотите углубиться в тему, обязательно переходите и изучайте.

Специалист по технике безопасности и охране труда — это тот человек, что отвечает за организацию безопасного труда в организации. Это тот человек, кто следит за выполнением требований охраны труда. Готовит необходимые документы и доносит соответствующую информацию до работников. Словом, давайте о всём об этом подробнее.

Карьера специалиста по безопасности

Мы сейчас готовимся ко второй части хакерского турнира. Предвидя возможные вопросы от журналистов и людей, далёких от ИБ, хочу заранее рассказать, почему на выходе получатся далеко не хакеры, и как вообще выглядит карьера специалиста по безопасности.

Безопасник сегодня, грубо говоря, может и перекладывать бумажки, и ходить по периметру с радиоборудованием, и составлять планы Disaster Recovery, и непосредственно заниматься исправлением дыр в софте. Специализаций очень много. Все зависит от конкретной организации: ее размера, типов защищаемой информации, используемых технологий и так далее. Понятно, что интереснее всего работа там, где необходима реальная безопасность, а не фиктивная (бумажная), есть высокий уровень автоматизации.

Давайте посмотрим, откуда берутся и как получаются такие специалисты.

Образование

Разумеется, для того чтобы стать специалистом по информационной безопасности, нужно иметь техническое образование. Лучше всего — специальность, в которой есть слова «автоматизация», «безопасность», «программирование» или «математика». Несколько лет назад очень ценились выпускники исключительно таких ВУЗов как МИФИ, МВТУ, МГУ и МФТИ. За последние годы к ним добавилось достаточно много региональных университетов с примерно аналогичными программами обучения.

Очень важен английский язык, в особенности — технический. Чем раньше вы его начали учить — тем лучше. Если вы закончили ВУЗ, но ещё не говорите по-английски бегло, стоит записаться на хорошие курсы.

Ещё в образовании для разных специализаций важно «качать» криптографию (очень хороший базовый курс есть на Курсере) и математику в целом, разбираться в используемом в компании железе (чаще всего речь о телефонии, камерах и так далее), очень хорошо понимать архитектуру сети в теории и знать особенности всего железа на практике, иметь опыт системного администрирования как MS, так и *nix, плюс хотя бы какой-нибудь серверный опыт с HP и IBM. Всё это познаётся на курсах, семинарах для студентов от крупных компаний, они чаще всего бесплатные, например, КРОК регулярно проводит обучение для студентов по разным направлениям, информация доступна здесь. Ряд вещей, вроде умения работать с паяльником — это чисто домашняя практика. Кстати, сам паяльник вам не понадобится, но вот понимание железа на низком уровне — очень даже.

Ещё одна важная часть работы безопасника — это некоторая социальность. Дело в том, что меры безопасности практически всегда так или иначе замедляют работу процессов компании, и людям приходится объяснять, почему это необходимо. Отстаивать каждое решение, проводить тренинги, доказывать свою правоту руководству и так далее. Ещё один аспект — это уже упомянутая работа с социальной инженерией, которая просто обязательно требует хотя бы базовых знаний психологии.

Первая работа

На выходе из ВУЗа будущий герой безопасности либо никому не нужен (в целом), либо воспринимается как отличный стажер для крупного бизнеса. Причина в том, что всё в работе зависит от конкретного окружения и конкретных угроз. То есть обучиться можно только на практике именно в той компании, где предполагается рост.

Отсюда три вывода:

  • Хорошо рассчитывать на многолетнюю карьеру в одном месте.
  • Чем раньше вы начнёте знакомиться с будущей компанией — тем лучше. Оптимально — проходить практику прямо в ней.
  • Важно в целом развивать личные качества вроде системного мышления и ответственности — они пригодятся в любых условиях.

Очень важен наставник-ментор — скорее всего, старший специалист или руководитель, который будет вводить в курс всего, рассказывать про практические особенности и объяснять, какие грабли были раньше. Без него вы обречены на повторное хождение по ним же.

Дальше в целом есть два частых варианта: первый — вы медленно растёте в одной компании. Второй — набиваете кучу шишек на первом месте работы, и уже будучи побитым, но опытным, циничным и настороженным, начинаете работать на больший оклад в другом месте.

Читать еще:  Курсы кадрового делопроизводства обучение онлайн и дистанционно

Образ жизни и перспективы

Достаточно частый вопрос от студентов — «кого качать: сисадмина или безопасника»? У опытных людей это сопоставление вызывает улыбку: это как сравнивать тёплое с мягким. На первых порах заработки примерно одинаковые. У безопасника больше шансов на успешную руководящую карьеру, но и больше ответственности: ранняя седина, сердечно-сосудистые заболевания и другие следствия постоянного стресса — это профессиональные риски. Сисадмин, конечно, тоже волнуется, но в случае его провала дело ограничивается головомойкой и восстановлением из бекапа.

«Прокачанный» безопасник получает больше, поскольку, опять же, ближе к принятию решений (и рискам) компании. В крупном бизнесе правила в этой сфере простые — чем больше на тебе рисков, тем больше доход.

Работа специалиста по ИБ часто накладывает отпечаток на образ жизни. Во-первых, профессию не принято афишировать. Несколько ваших знакомых веб-дизайнеров, сисадминов, менеджеров по продажам или-что-там-ещё могут оказаться куда выше в иерархии компании — и на самом деле работать в безопасности. Собственно, я знаю нескольких человек на Хабре, у которых в профиле написана совсем другая должность, нежели в реальности.

Во-вторых, иногда встречаются ограничения по поездкам. В детали здесь вдаваться не буду, но если коротко — в расчёте на карьеру в ряде государственных компаниях английский лучше учить дома, а не регулярно выезжать на практику в другие страны. Поскольку опыт в профильных государственных структурах и службах ценится высоко, лучше об этом думать заранее.

Как правило, на ключевых позициях в службах ИБ в корпоративной среде (в компаниях с многолетней историей) доминируют люди в погонах или с аналогичным прошлым. Это свой мир, свои ценности, критерии счастья и правды.

Пограничные специальности

При развитии бизнеса (в молодых структурах) очень часто безопасник вырастает или из системного администратора, или из кого-то из разработки, например, проект-менеджера. Просто в какой-то момент становится понятно, что нужен человек, который возьмёт на себя ряд обязанностей — и у кого-то получается легче и проще. Куда реже безопасник получается из финансового аналитика (или чего-то подобного) или юриста (кстати, это одна из немногих гуманитарных профессий, из которой можно перейти в ИБ).

Из оформившегося специалиста по ИБ может вырасти специалист по управлению рисками (это уже финансы), на практике — параноик, показывающий, где и что нужно резервировать, плюс как восстанавливаться в каких ситуациях. Это случается в крупном бизнесе, и в России сейчас тематика Disaster Recovery только начинает приобретать популярность. Возможен и обратный процесс, когда сначала потребуется закрыть риски технической инфраструктуры, а уже потом этот процесс перейдёт в обеспечение безопасности в более широком плане.

Поддержание в форме

Каждый день нужно выделять около часа на образование: это единственный шанс оставаться в целом подготовленным к тому, что происходит с технологиями. Нужно постоянно читать конкретику по известным ситуациям взломов, осваивать новые системы — и при этом всё время думать как злоумышленник снаружи. Именно для такого обучения и создавался симулятор Cyber Readiness Challenge: созданная специалистами Symantec по ИБ с большим опытом, моделируемая сеть корпорации содержит характерные детали для многих крупных сетей.

Сложность в том, что быть готовым ко всему просто нельзя. Если лет 15 назад действительно можно было знать все без исключения особенности своей технической среды, то сейчас хакеры атакующей группы (например, конкурентов или, что куда чаще — мошенников) будут по умолчанию более подготовленными в конкретных технологиях. Это значит, что вам либо нужно иметь в своём штате специалистов-виртуозов с узкими специализациями, либо знать таковых, чтобы в случае проблем иметь возможность быстро с ними посоветоваться или привлечь для решения проблемы.

Разумеется, в форме нужно поддерживать не только себя, но и свой отдел, а также вообще всех людей в компании. Здесь два простых принципа — аудиты-проверки и учебные тревоги.

Напоследок

Разумеется, выше описан некий собирательный образ, который может радикально отличаться от того, что есть в вашей компании. У каждого свои потребности и свои исторически сложившиеся принципы, поэтому подход к безопасности может быть очень разным.

Поскольку в сфере ощущается острый дефицит людей с опытом, мы регулярно проводим разные обучающие мероприятия. Как я уже говорила, ближайшее крупное — это турнир CRC (организаторы — Symantec и мы, КРОК). Приходите участвовать, если хотите максимально применить свои знания.

Читать еще:  Процедура получения гражданства после вида на жительство

Этот турнир поможет не только дать знания участникам, но и получит традиционную огласку в СМИ (вот отчёты с прошлых, например). Ожидаем эффекта, который будет ощутимо полезен для сферы.

Обязанности телохранителей, особенности профессии

В любом частном охранном предприятии четко прописаны должностные инструкции каждого из сотрудников. Персональному охраннику при составлении договора оглашается список дополнительных требований, которые не идут вразрез с действующим законодательством. По сути, телохранитель является четким исполнителем, чьи обязанности прописаны в документах. Но виртуозам охранного дела для качественного выполнения взятых на себя обязательств приходится творчески подходить к работе. Это обусловлено психологическими особенностями конкретного клиента, когда приходится быть интеллектуалом, психологом и проявлять колоссальное терпение при тесном сотрудничестве с охраняемым лицом.

Принимая во внимание специфику условий личной охраны, претенденту ЧОПы и ЧОО иногда предъявляют дополнительные требования, такие как:

  1. Наличие высшего образования, позволяющего безупречно выполнять определенные обязанности.
  2. Владение иностранными языками.
  3. Половой признак (женщины-телохранители в России – все же большая редкость).
  4. Опыт работы в спецслужбах или правоохранительных органах.
  5. Наличие личного автотранспорта с отточенным до совершенства опытом экстремального вождения.
  6. Определенная внешность и стиль в одежде.
  7. Постоянный тесный контакт с правоохранительными организациями для полноценного выполнения обязанностей по обеспечению безопасности.

Индивидуальный график работы телохранителя будет подчинен полностью жизненному ритму охраняемой особы. Одной из важных черт характера личного охранника является дар убеждения, когда необходимо разъяснить клиенту правила поведения в случае угрозы жизни. Грамотно проведенный инструктаж, доверительные отношения с охраняемым лицом помогут выполнить приоритетную задачу телохранителя – сохранить жизнь и здоровье вверенного человека.

Стек знаний и навыков специалиста по информационной безопасности

Данная отрасль включает пентестеров, разработчиков, изучающих готовый код и указывающих на его изъяны, а также специалистов по сетям. Соответственно, требуемые знания и навыки также достаточно обширны. Пробежимся по порядку.

Что должен знать специалист по ИБ?

  1. Формированию навыков информационной безопасности предшествует получение необходимых знаний. Будущий специалист по обеспечению информационной безопасности должен знать:
  2. Устройство Linux — как работать с командной строкой, файловой системой, как управлять пользователями и обеспечивать сетевую безопасность.
  3. Python, к преимуществам которого относятся низкий порог вхождения и тот факт, что код эксплойтов PoC чаще всего пишется именно на этом языке.
  4. Веб-технологии: HTTP, CSS, JavaScript, браузеры, Same Origin Policy, ClientSide-технологии.
  5. Методологии и инструменты поиска уязвимостей в работе с серверной и клиентской частью веб-приложений.
  6. Реверс-инжиниринг — обратная разработка программ для выявления уязвимостей. Полезно ознакомиться с отладчиками OllyDbg, x64dbg и GDB.
  7. Проводные и беспроводные сети: Wi-Fi, Bluetooth, GSM.
  8. Криптография: хеш-функции, Message Authentication Code, симметричное и асимметричное шифрование.

Что должен уметь специалист по ИБ?

Специалист, прошедший обучение, далее должен получить опыт, и идеально, если практическому развитию послужат реальные проекты, которые, например, предоставляют курсы по информационной безопасности. Именно благодаря опыту и будут сформированы навыки в работе с информационной безопасностью.

Разумеется, всё зависит от конкретной специальности, но к наиболее распространённым навыкам безопасников в целом относятся:

  1. Безопасная разработка — обеспечивает приложению устойчивость к несанкционированному доступу и минимизирует уязвимости, заранее устраняя баги и логические ошибки в коде.
  2. Обеспечение безопасности в облачных технологиях — выбор правильных инструментов, гибкость инфраструктуры, защита отдельных видов данных и транзакций.
  3. Управление рисками — своевременное обнаружение и минимизация рисков возникновения различных угроз.
  4. Threat Hunting — целенаправленный поиск следов взлома или вредоносных программ, недоступных для обнаружения стандартными средствами защиты.

В обязанности специалиста по информационной безопасности часто входят разработка и внедрение мероприятий по предотвращению информационных рисков. Он должен знать о возможных уязвимостях, следить за процессом написания и отладки кода, постоянно анализировать риски и при необходимости уметь устранять угрозы.

К задачам безопасников нередко относится обучение команды, разъяснение, какие меры необходимо предпринимать в случае попытки взлома, и формирование прочих основных навыков по обеспечению безопасности. Такой специалист сам устанавливает и настраивает технические средства по защите данных, а также разрабатывает нормативно-техническую документацию.

Информационная безопасность как профессия

Мы выяснили, что специалист по информационной безопасности занимается защитой информации разного рода от ее утечки и неправомерного использования. Такой профессионал может стоять на страже частных и государственных компаний м алого , среднего и большого бизнеса.

Такая профессия несет в себе собственные преимущества и недостатки. Например, прослеживаются следующие преимущества:

Читать еще:  Как рассчитывается коэффициент ликвидности предприятия

востребованность на рынке труда, так как объемы информации растут с каждым часом и многая такая информация является конфиденциальной и, соответственно, вызывает интерес у мошенников;

высокая зарплата, потому что на таком специалисте лежит большая ответственность;

данная профессия подразумевает знание и применение передовых технологий безопасности, которые не используются в быту;

работа в передовых компаниях;

постоянный личный рост, обучение, форумы и тренинги;

В качестве недостатка можно выделить очень высокую ответственность, которая ложится на эксперта по информационной безопасности.

Что должен делать специалист по информационной безопасности

На плечах специалиста по кибербезопасности лежит ответственность за сохранность каких-либо сведений. К примеру, такой специалист, когда трудится на службе у государства, возможно , соприкасается и отвечает за сохранность информации, которая имеет государственную важность, а возможно , даже является государственной тайной.

Специалист по защите информации — это:

Профессиональный подход и умение выстроить целую систему по защите информации.

Умение внедрять передовые технологии по защите информации: распознавание лиц или голоса, проверка по сетчатке глаза или отпечатку пальца и т. д.

Умение анализировать слабые места веб — сайтов и сервисов, принадлежащих компании, где он трудится.

Устранение возникших уязвимостей и отражение потенциальных и реальных атак.

Контроль всех систем компании, где могут возникать потенциальные угрозы.

Обучение и инструктаж других сотрудников, соприкасающихся с защищаемой информацией.

Ведение необходимой документации для отчетности и анализа правильности действий специалиста.

Специалист по информационной безопасности является одной из ключевых фигур в команде IT-специалистов, работающих в одной компании.

Каким должен быть и что должен знать специалист по кибербезопасности

В такую профессию «человека с улицы» не берут, потому что на кону слишком большая ответственность. Квалифицированный специалист по информационной безопасности должен:

обладать аналитическим складом ума;

уметь вовремя распознавать проблемы и вероятные уязвимости, а также эффективно их устранять;

очень быстро принимать верные решения, так как от скорости его решений иногда очень многое зависит;

уметь работать в команде, так как подобный специалист является командным игроком и в большинстве случаев должная безопасность достигается «руками» других специалистов, но под командованием эксперта по безопасности;

легко и быстро обучаться, потому что в этой сфере не обойтись без новых технологий, а чтобы ими овладевать, нужно постоянно обучаться;

быть внимательным даже к самым мелким деталям и брешам в системе безопасности и понимать , к чему может привести незначительная мелочь;

быть усидчивым, ответственным, коммуникабельным, стрессоустойчивым, честным, любознательным;

А еще специалист по информационной безопасности должен очень хорошо разбираться в современных интернет-технологиях и в специализированном программном обеспечении.

Где учиться

Учебные заведения

Курсы

Сегодня онлайн-образование стоит практически в одном ряду с обучением в высших и средних специальных учебных заведениях, а некоторые курсы котируются даже выше, ведь по их окончании выдается сертификат международного образца, дающий право на работу в любой стране мира. В сети можно найти огромное количество онлайн-курсов как российского, так и международного уровня. Срок обучения — от нескольких месяцев до двух лет. Кроме того, многие университеты предлагают пройти на их базе очные курсы информационной безопасности с выдачей соответствующего документа. Например:

    Бакалаврская программа «Комплексная защита объектов информации», предоставляемая университетом ИТМО.

  • Очный курс по информационной безопасности от вуза МИЭТ.
  • Какими качествами должен обладать специалист по информационной безопасности:

    • аналитический склад ума,
    • стрессоустойчивость,
    • коммуникабельность,
    • умение работать в команде,
    • внимательность.

    Профессионал несет полную ответственность за сохранность информации и должен быть готов к непредвиденным ситуациям. Также ему необходимо постоянно заниматься саморазвитием, обладать знаниями в правовой области, следить за новостями и изучать новые программные продукты. Как правило, профессиональная литература написана на английском языке, поэтому специалисту также важно знать иностранный язык.

    Преимущества профессии:

    1. Востребованность на рынке труда.
    2. Заработная плата выше средней зарплаты, например, дизайнеров.
    3. Возможность изучать самые передовые технологии защиты информации.
    4. Перспективная специальность.

    Недостатки:

    1. Высокая ответственность.
    2. Необходимо постоянно следить за обновлениями и быть в курсе последних тенденций.

    Если вы увлекаетесь информатикой, умеете быстро искать и обрабатывать информацию, не боитесь ответственности и готовы к длительному обучению, то эта профессия вам подходит. О том, где можно получить образование и прокачать необходимые навыки, можно узнать по ссылке.

    Читайте нас в Telegram — stranavozmojnostey Поделиться в социальных сетях

    голоса
    Рейтинг статьи
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector