Мы регулярно проводим стажерские программы для студентов старших курсов вузов и в этом году, несмотря на COVID-19, решили не нарушать традицию. Предусмотрев все меры безопасности, в августе мы запустили программу под кодовым названием Jet Security Start. После прохождения нескольких этапов отбора каждому стажеру назначался куратор, который вкладывался в его развитие и давал ему практические задания. Сегодня я приоткрою завесу тайны о том, как происходил отбор участников стажировки. Расскажу, из каких этапов он состоял, какие задачи нужно было решить желающим присоединиться к нашей команде, как мы оценивали их ответы. Статья будет полезной тем, кто только начинает карьеру в ИБ и задумывается о поиске стажировки.
За что я люблю стажировки, или выход из замкнутого круга
Я хорошо помню, как 12 лет назад сама училась в университете по специальности «Организация и технология защиты информации». Направление считалось очень перспективным, но лекции были полны теории, а хотелось практики. На четвертом курсе я задумалась о поиске работы и стажировке. У меня не было четкого представления, что творится в мире ИБ, кто такие интегратор, «заказчик» и вендор. Я не до конца понимала, чем конкретно хотела заниматься, но осознавала, что не была готова положить свой диплом на полку. Поэтому начала искать вакансии и ходить на собеседования, но постоянно сталкивалась с одним и тем же: работодателям нужны были сотрудники с хорошим опытом, и не все были готовы брать на неполный рабочий день. Получался какой-то замкнутый круг. Кстати, общаясь со студентами, я поняла, что до сих пор ничего не изменилось. Мне повезло: я все-таки нашла подходящую вакансию в небольшом интеграторе, который готов был сотрудничать с начинающим специалистом и вкладываться в его развитие. И это был отличный старт!
Этап 0. Регистрация
Для участия в нашей стажировке желающим нужно было зарегистрироваться на сайте программы и заполнить небольшую анкету. В ней было всего четыре вопроса:
- Почему вы выбрали информационную безопасность как направление вашего развития?
- Расскажите о своих учебных интересах: какие из прослушанных курсов вам больше всего понравились? Почему?
- Какие направления деятельности в области информационной безопасности вам интересны? Чем вам хотелось бы заниматься в области информационной безопасности?
- Назовите последнее крупное событие в мире информационной безопасности. Что вы о нем знаете?
Этап 1. Тестовое задание
На этом этапе нам было важно понять, кто из ребят серьезно относится к работе и готов инвестировать свое время в профессиональное развитие. Для этого мы предлагали участникам выполнить тестовое задание из двух кейсов.
Пример задания
Вы стали ИБ-директором небольшого регионального банка. За первый рабочий день вы узнали некоторые данные о его инфраструктуре: головной офис (ГО) и Центр обработки данных (ЦОД). Вся сеть разделена на два сегмента: серверный (в него вошли серверы СУБД MS SQL, Oracle, MS Exchange, MS AD, веб-серверы и т. д.) и пользовательский (в нем расположены 300 рабочих станций пользователей и локальные принтеры). В компании есть один канал в интернет с пропускной способностью 1 Гбит/c. Пропускная способность канала между ЦОД и ГО — 10 Гбит/c. Здания находятся в разных концах города. На данный момент банк не использует никаких организационных и технических мер защиты, кроме антивирусов. Также, по словам ИТ-службы, базовая безопасность настроена на сетевом оборудовании. В штате вашего отдела ИБ всего один инженер с техническим уровнем сильно ниже среднего.
На второй рабочий день вам сообщают о серьезном инциденте. Департамент продаж обнаружил, что база клиентов вашего банка уже около полугода продается в даркнете. При этом она обновляется раз в 2-3 недели. Судя по всему, база настоящая.
Ваша задача:
1. Подготовить план действий на ближайшую неделю для генерального директора (полстраницы – страница А4).
2. Сформировать план развития ИБ в банке на ближайший год. Сформулируйте кратко ваши предложения (полстраницы – страница А4).
Такие задания помогают быстро оценить, насколько человек старался, есть ли логика в его размышлениях, ограничился ли он только организационными мерами или упомянул технические. Просмотрев большое количество работ, мы легко могли распознать, был ли ответ взят из интернета или подготовлен самостоятельно.
Например, такой ответ мы не принимали:
План развития ИБ на ближайший год
– Составить нормативную базу банка в отношении ИБ согласно действующему законодательству (политики, положения, приказы, журналы и т. д.)
– Провести полный аудит ИСПДн и КИИ
– Составить полную модель угроз всех систем (или по уникальной модели на каждую систему)
– В соответствии с моделью приступить к изготовлению технического задания на модернизацию и совершенствование безопасности ИС
– Реализовать все наработанные ТЗ согласно законодательству РФ и требованиям банка
По итогам анализа резюме и тестового задания мы приглашали студентов на очную встречу и просили их предварительно ознакомиться с дополнительными материалами. В качестве темы специально выбрали DevSecOps: она относительно новая на рынке ИБ, и ей явно не учат в университете. Так мы хотели понять, насколько ребята готовы изучать материал самостоятельно и опять же инвестировать свое время.
Этап 2. Первая очная встреча
На встрече мы рассказывали о компании и о стажировке, отвечали на вопросы и оценивали, насколько ребята успели подготовиться, освоить новую для них тему. Мы предлагали им ответить на несколько вопросов по присланному материалу, не ограничивая в возможности использовать дополнительные ресурсы, в том числе интернет.
Пример задания
Представьте, что вы работаете в нашей компании по направлению защиты контейнеров. К нам обратился потенциальный заказчик, у которого используется платформа управления контейнерами на основе продукта Kubernetes. Он ничего не знает про безопасность, но потенциально понимает, что контейнеры и систему управления контейнерами нужно защищать. Заказчик хочет услышать, какие существуют подходы к защите систем контейнеризации, какие есть средства защиты и для чего их можно использовать.
Задачи:
1. Нарисуйте потенциальному заказчику общую схему архитектуры Kubernetes и опишите на схеме места с примерами угроз безопасности. Раскройте (опишите своими словами) заказчику суть каждой угрозы и последствия, которые она за собой несет.
2. Опишите потенциальному заказчику механизмы защиты, которые закрывают угрозы, описанные в пункте 1.
3. Подготовьте перечень вопросов для заказчика, которые позволят вам понять нынешнее состояние и сформировать предложение по защите инфраструктуры среды контейнеризации.
Выполнение этой задачи мы оценивали с точки зрения умения грамотно излагать мысли, задавать вопросы, рисовать схемы и структурировать большой объем информации. Несмотря на то, что ребята не были ограничены в части доступа к ресурсам, они многое писали из головы, со своей интерпретацией, а взятое из интернета легко распознавалось. Следующим шагом после решения задачи было собеседование с HR.
Этап 3. Вторая очная встреча
Понимая, что не у всех студентов есть практический опыт и большое количество знаний, чаще всего мы смотрим на так называемые soft skills. Именно их мы и оценивали на второй встрече:
умение работать в команде;
сообразительность;
- коммуникативные навыки;
- бодрость;
- дотошность, внимание к деталям;
- проявление лидерских качеств.
Для проверки перечисленных навыков мы предложили студентам самостоятельно разделиться на команды по четыре человека. В каждой из них был руководитель или эксперт из нашего подразделения, который выполнял роль «заказчика». Для всех команд мы предварительно придумали кейс, приближенный к реальной жизни. Командам нужно было прочитать кейс, понять, что нужно на выходе, затем задать все необходимые вопросы заказчику, подготовить систему защиты и презентовать результат. На выполнение задания у ребят было около двух часов времени, флипчарт, бумага и маркеры.
Пример кейса
Представьте, что вы — команда интегратора. У вас есть:
- архитектор, отвечающий за проектирование архитектуры решения;
- менеджер проекта, ответственный за его организационную составляющую;
- технический ответственный, выполняющий внедрение спроектированного решения на площадке.
Ваш заказчик — крупная телекоммуникационная компания, в которой есть департаменты ИБ (ДИБ) и ИТ (ДИТ). Недавно она присоединила к себе дочерние организации, и сейчас продолжается объединение ИТ-ландшафта основной и дочерних компаний. В этот переходный период пока еще нет единого стандарта безопасности. Для многих ресурсов, в том числе содержащих коммерческую информацию, не настроено разграничение доступа, или доступ имеют те, чьи обязанности не предполагают его наличия. ДИТ и ДИБ не совсем ладят друг с другом. ДИТ обычно считает, что ДИБ внедряет и использует бесполезные инструменты безопасности, не до конца настроенные или не работающие вовсе. В компании очень много информационных ресурсов. Сотрудники могут работать внутри сети (проводная, беспроводная) или удаленно: к части ресурсов можно подключаться удаленно напрямую, к части — только через VPN-клиент.
Проблема
В компании произошла крупная утечка клиентской базы. Клиенты сообщают, что им начали массово звонить и предлагать услуги другие компании этого же сектора. ДИБ принял решение внедрить систему защиты от утечек информации (DLP). К вам как к интегратору обратился начальник ДИБ и попросил рассказать о DLP. ДИТ выступает против внедрения DLP, мотивируя это увеличением нагрузки на ИТ-оборудование, ростом количества обращений пользователей с проблемами и необходимостью нанять дополнительных сотрудников для обслуживания DLP-системы.
Подготовьтесь к встрече с обоими департаментами и предложите им DLP-систему, удовлетворяющую потребностям заказчика.
Ребята довольно быстро поделились на команды, и начался мозговой штурм. Сразу выделились лидеры, которые взяли управление результатом на себя. Те, у кого есть опыт, активнее задавали вопросы. Но задача руководителя состояла не только в том, чтобы вовлечь всех в процесс, но и вживаться в разные роли и усложнять кейс. Было интересно наблюдать, как ребята реагировали на большое количество вопросов, включая каверзные.
Работа в команде над кейсами очень четко показывает, как человек думает, как он взаимодействует со своими напарниками, как задает вопросы и к каким выводам приходит.
Например, в этом кейсе ребята на встрече с «заказчиком» узнали его потребности и ожидания от функционала продукта. Затем собрали информацию о том, какие решения есть на рынке, «на салфетке» сформулировали критерии сравнения. Далее каждый участник взял себе одно решение, изучил информацию о нем в интернете и записал, каким из выбранных критериев оно соответствует. Так получилось небольшое сравнение. Совместно ребята выделили один продукт, наиболее полно подходящий под запрос, и нарисовали небольшую схему на флипчарте. Затем им нужно было презентовать результат и обосновать решение, при этом каждый «держал микрофон». Результат совместной работы был налицо.
Немного статистики
1 месяц длился отбор на стажировку
200 заявок на участие получено
125 резюме отобрано рекрутером
50 ответов получено по тестовому заданию
31 человек приглашены на первую очную встречу
16 человек приглашены на вторую очную встречу
9 участников прошли отбор на стажировку в Jet Security Team
При выполнении первого отборочного задания мне помогли университетские знания, второе задание было по посвящено теме DevSecOps, о которой я до этого ничего не знала. Для подготовки нам прислали статьи и записи вебинаров, я сделала большой конспект, который мне и помог на следующем этапе. Прошел уже почти месяц, как меня взяли в команду, и мне нравится, что здесь я успеваю работать по 25-30 часов в неделю и продолжать учебу в вузе. С первых дней стажировки у меня появилась возможность работать с новейшими ИБ-системами, обмениваться новостями рынка с коллегами, постепенно меня начали подключать к работе в настоящих проектах с заказчиками. У меня есть куратор, начальник группы и руководитель отдела, которые всегда готовы ответить на мои вопросы. А еще в отличие от университета, где я изучаю ИБ только финансовой отрасли, здесь мне предстоит работать и с промышленными предприятиями, и с телекомом, и с ритейлом, и с госсектором.
Самым интересным и трудным стало второе собеседование, когда нас поделили на команды и дали задания. Моей команде досталась задача подобрать DLP-систему для «заказчика». Получилась проверка на стрессовую ситуацию: тема была мне не особо знакома, пришлось буквально за 15 минут вникнуть в задачу, разобраться, что и как, и начать делать. В итоге я справился, и уже месяц в команде. Сейчас занимаюсь сетевой безопасностью, изучаю все то, что впоследствии нужно будет делать на проектах: как строятся сети, какие решения используются для их защиты и так далее. Тема интересная, а если у меня возникают вопросы, куратор или ребята из отдела всегда готовы помочь. Хочется поскорее во всем разобраться и окунуться в проектную деятельность.
Выводы
Отбор из нескольких этапов помог нам оценить готовность и целеустремленность ребят идти до конца, а командная работа с кейсами позволила выявить ценные навыки у будущих участников стажировки. Ребята в свою очередь получили возможность совмещать учебу и работу и приобрести практический опыт на реальных проектах.
Чтобы быть в курсе следующего набора на стажировку, напишите нам на [email protected].
Руководитель департамента проектирования и внедрения Центра информационной безопасности «Инфосистемы Джет»
Комментарий недоступен