6 июня, 2018, BIS Journal №2(29)/2018

На перепутье


Бодрик Александр

вице-президент по информационной безопасности, CISA, ITIL Expert (ISACA Moscow)

Музипов Фарит

руководитель направления ИБ банка (ТОП-50)

История одного поиска работы

В один солнечный день в банк топ-100 была введена временная администрация, и перед отделом ИБ и его руководителем (всего 3 человека) встала задача поиска нового работодателя. Поиск осложнялся тем, что CISO работал в банке третий год и не имел намерения его покидать – руководство и процессы были достойного уровня. То есть путей отступления он заранее не подготовил.

Первым делом CISO навел справки у коллег и разослал письма: кто мог бы забрать сотрудников отдела ИБ? Каждый из бойцов обладал значимыми компетенциями, и обоих довольно быстро подобрали ИТ-компании. К настоящему времени оба вполне успешны на своих должностях.

CISO И ПОИСК РАБОТЫ

А вот работа для самого CISO нашлась не сразу. Нужно отдать должное, банк выполнил свои обязательств по выплате выходного пособия, что несколько ослабило давление материальных обстоятельств.

Основные встречи и переговоры CISO вел с крупными банками и интеграторами, предлагали ему, как правило, позицию консультанта. Позиция вполне удовлетворительная, но для нашего CISO все же недостаточная. Тем более, что сам по себе активный поиск, частые переговоры, доброжелательный отклик коллег предоставляли на тот момент главное – ощущение востребованности и эмоциональную поддержку. CISO видел, что рынку специалисты его уровня нужны, и понимал, вернее, ощущал, что достойная работа рано или поздно появится.

В конце концов, примерно через полгода он получил оффер от крупного банка и готов был его принять, но неожиданно пришел еще один оффер – от небольшого государственного банка, где нужно было трансформировать и со временем возглавить функцию ИБ.

Перед CISO встала дилемма. В крупном банке светила перспектива стать «винтиком» корпоративной машины. Но несколько друзей CISO уже были поглощены аналогичными машинами и благополучно «потонули» в корпоративной рутине, оставив в ней как мечты о развитии и творчестве, так и, похоже, свои перспективы.

В небольшом банке ключевым и, собственно, и определившим выбор преимуществом была возможность самостоятельно закрывать широкий и разнообразный спектр задач по ИБ.

ИСПЫТАТЕЛЬНЫЙ СРОК

Важный момент: испытательный срок оказался действительно испытанием, вступительным экзаменом. Перейдя в новый для себя вид банка (государственный банк), CISO столкнулся и с новыми вызовами («Мозги первое время просто кипели»). Однако ранее накопленный опыт и набор личностных качеств помог и «выплыть», и преуспеть.

Аллегорически ситуацию можно представить так. В любой организации есть некая система управления ИБ. Даже если нет подразделения или офицера по ИБ, то обязательно есть или грамотный администратор, у которого «болит душа» (с «пристрастием» настраивает FW, AV), или ответственные бизнес-руководители, отчетливо понимающие, что информация – такой же актив, как и финансовые средства, и аккуратность в обращении с ней является обязательным условием непрерывности бизнес-процессов и реализации стратегий.

В конце концов всегда есть тот самый спонсор (драйвер) функции ИБ, который и инициировал либо активно поддержал создание подразделения/должности лидера ИБ, и готов тему ИБ обсуждать и продвигать.

Совокупно спонсор и текущие участники системы ИБ составляют потенциальный пул для поиска и привлечения союзников, без которых новому лидеру ИБ будет проблематично не то, что проводить какие-то преобразования, но даже пройти испытательный срок.  

Мораль простая. Лидер по ИБ обязан быть гибким. Навязшая в зубах ситуация «Ребята, вы все делаете неправильно!» чаще всего приводит к печальному исходу, потому что невозможно добиться реальных изменений в организации без конструктивного общения со смежниками, спонсором и ключевыми участниками системы управления ИБ. Тут альтернативы нет: договаривайся или проиграй!

Наш CISO сумел договориться.

РАБОТА НА УПРЕЖДЕНИЕ

Какой опыт можно извлечь из этой истории?

Урок первый. Потеря работы – как гром среди ясного неба. Поэтому к поиску новой работы нужно быть готовым заранее, то есть всегда.

Урок второй. При поиске работы нужно отчетливо понимать, какие проблемы («головняк») мы должны решить для нанимающей нас организации и непосредственно ее руководителя. В идеале нужно проактивно моделировать разные ситуации и развивать соответствующие компетенции «на всякий случай».

Урок третий. Как писал известный юморист Роберт Асприн: «Доблесть неизвестная не лучше неизвестной трусости». В реальной жизни ни один руководитель не пригласит на собеседование (если речь идет о достаточно высокой должности) человека, которого не знает, никогда не слышал о нем и не имеет на него рекомендаций. Неизвестный рынку специалист не попадет в шорт-лист, будь он хоть трижды подходящий.

Урок четвертый. Теория «Сила слабых связей» - это сила! Основной выигрыш при поиске работы дают именно «слабые связи» (люди, с которыми видишься всего несколько раз в год). Для развития сети «слабых связей» возможно участвовать в волонтерских движениях, профессиональных ассоциациях (например, ISACA), комитетах АРБ и ТК, конференциях, социальных сетях и т.д. В профессиональных и волонтерских организациях всегда есть определенный фронт работ («поляна» для деятельности), в том числе и для молодых специалистов без большого опыта и редких навыков. Такая активность позволяет получить нужные контакты и в принципе понять, как мыслят корпоративные безопасники.

Урок пятый. Слова кандидата о самом себе в ходе собеседования (интервью) подвергаются большему сомнению, чем его репутация – когда он получает независимые рекомендации с рынка от внешних людей. Также очевидно, что рекомендации от участников профессиональных сообществ намного ценнее иных вариантов («брат», «сват» и т.п).

Урок шестой. Испытательный срок – это еще не работа, а вступительный экзамен, составляющая процесса поиска работы. Тут главное – способность интегрироваться в новую систему взаимоотношений, а значит, умение договариваться. Голой конфронтацией надежной ИБ не построить. В одной из организаций директор по ИТ как-то воскликнул: «Наконец-то пришел безопасник, с которым можно работать (в смысле договариваться – авт.)».

РЕЗЮМЕ

Информационная безопасность – это гораздо больше о людях, чем о технике. Технику создают, выбирают, внедряют и эксплуатируют люди. Поэтому технические знания, образование, опыт – это необходимое, но далеко не достаточное условие при приеме вас (нас) на новую хорошую работу.