Написать
Статьи

Кем работать: сотрудник службы безопасности банка

ArtZine 531 0

Я сотрудник службы безопасности в государственном банке из ТОП-5. Название пусть тайной останется — мы же натуры романтичные. Работаю на своём месте последние лет семь. По возрасту я преступно молод — чуть младше 30, так что при общении со “старшими братьями” наглость — залог успеха. Ну и компетентность, конечно.

Должность у меня остаётся практически одна и та же — с течением времени менялись только приставки “старший”, “ведущий”, “главный” специалист, без каких-либо уточнений, специалист чего или по какой работе.

Ходит легенда, что когда-то кадровики решили, что слова “служба безопасности” будут зря пугать людей. И провели инициативу, чтобы у нас были должности без уточнений.

Правда, эффект оказался не совсем ожидаемым: почему-то все быстро догадались, что “безымянные” люди – это СБ, и всё равно напрягаются – теперь уже от звонков и визитов “специалистов никакого направления”.

К ребятам с автоматами, которые лихо бросают бандитов фейсом в асфальт, я не отношусь – работа совершенно кабинетная.

Специализируюсь на автоматизированных системах анализа. Также администрирую средства защиты, поддерживаю защитную инфраструктуру, пишу руководства и описания систем или защищаемых ресурсов, провожу проверки, аудиты или инвентаризации. “Я ещё крестиком вышивать могу”, как говаривал Матроскин (на самом деле – не могу).

В части безопасности у нас две работы: её обеспечение через разработку и реализацию регламентов (что и как делать, чтобы не обокрали, не разломали ничего важного, не нарушили действия ничьего законодательства); и анализ – чтобы проводить расследования уже случившихся инцидентов или строить возможные в будущем модели угроз.

Хотя первая имеет отдельный подвид – учить и инструктировать сотрудников, которые про слово безопасность не слышали. У нас часто цена ошибки — статьи, которые могут доходить до уголовных. “Во многих знаниях многие печали”, и всё такое.

Если на шаге согласования сотрудник СБ ещё может повлиять на ситуацию (выявить, что клиент не надёжный, что техническое решение не защищает периметр здания, что информационный поток не обеспечивает должного уровня безопасности), и просто сказать “нельзя”, то в момент, когда пользователь своими руками открывает пришедший ему на почту файл “мои_фото.exe” – уже приходишь к разбору, откуда внутри сети взялся очередной “not-petya”.

Это, пожалуй, самое грустное — когда люди вредят и себе и коллегам не потому, что хотят, а потому, что мало разбираются в безопасности тех технологий, через которые работают. Ведь “инструктаж для дураков, мы сами все знаем”.

К слову, замечена интересная штука: чем меньше люди пишут документов для проекта, тем ненадёжнее он работает.

У нас одна из плотно зарегламентированных вещей – взаимодействие с “пожарными”, т. е. сотрудниками по чрезвычайным ситуациям. В их регламентах прописаны не только сколько самоспасателей и огнетушителей в шкафу, а шкафов на этаж, но и как часто проводить учения по одеванию самоспасателя на скорость, работе огнетушителей и эвакуации в условиях толпы. Даже тренировки по оказанию первой медицинской помощи есть, на МЧС-ных роботах отрабатываем.

Надо ли уточнять, что последние лет 20 пожары в зданиях банка бывали крайне редки?)

Рабочий день у вас сильно загружен?

Когда как. Сейчас, например, да — с 9 утра до 19-20 часов вечера. Много новых проектов, а людей не хватает. Иногда не очень плотно работаем, можно и кофе сходить выпить, и на обеде не торопясь прогуляться.

Но работа всегда найдётся — не текучка, так какой-нибудь более глобальный проект — регламент, средство защиты, изоляция и сегментация ресурсов: такие вещи нужно внедрять до того, как произойдёт то, от чего они должны защищать.

Нужно успеть и понять, что какие-то новые угрозы есть, и предупредить их. Но, к моему счастью, для меня рабочий день почти не включает общение с людьми. Это самое утомительное – постоянно выныривать из какой-то сложной и важной задачи, чтобы ответить на телефонный звонок.

У нас те коллеги, кто отвечает за большое число проектов, если звонят пользователи, телефоны даже не берут — только на почту отвечают.

А зачем сотрудникам СБ звонят пользователи?

Например, получение прав для работы в каких-то системах. Разблокировка USB-портов на компьютере. Изготовление пропуска.

Чаще всего обращаются, когда какое-то средство защиты “мешает” их работе, делает её менее удобной. Формулировку “выключите мне антивирус” я давно не встречал, но вопросов типа этого поступает много.

Выдача оборудования пользователям проходит через нас – потому что все средства защиты нужно проверить перед тем, как отдать компьютер.

Убедиться, что работает антивирус, что присутствуют глобальные политики и настройки, что закрыты USB-порты, что настроена идентификация пользователей, что стоят средства контроля утечек конфиденциальной информации. Много чего нужно проверять. Некоторые вещи — глазами и руками, это очень утомляет.

Карьерный рост возможен или вы уже на пике?

Возможен, пара ступеней вверх открыта. Потом или в начальники, или искать другие варианты.

Но я скорее исключение из правил – не люблю работать с людьми, поэтому и целом в начальники не стремлюсь, и уж тем более, ради этого не лезу в “подковерные интриги”.

Коллектив у нас очень стабильный, люди работают десятки лет, иногда не уходя на пенсию. А ещё дружный: если кто-то “вписался” и продержался хотя бы год-полтора, значит, он с нами надолго.

Я видел людей, которые уходили через полгода, и тех, кто уходил лет через 30. Таких, которые приходят, чтобы поработать пару лет, и сменить место — пока не доводилось встречать.

Впрочем, обратная сторона этой ситуации – по карьерной лестнице взбираться долго. Очень долго, к такому надо быть готовым.

А вы хотите что то менять?

Скажем так, задумываюсь… Сфера безопасности — это, на мой взгляд, хороший старт. Она даёт глубокое понимание, как работать в твоей сфере, и не допускать типовых ошибок. Когда ты сам по тридцать раз найдёшь какую-то ошибку — в регламенте или режиме работы, в используемом ПО, в архитектуре помещения, ты не будешь делать эти ошибки сам, если решишь заняться работой в этой сфере.

Аудитор пожарных систем точно знает, какие особенности здания опасны — и, если станет проектировщиком, сам их будет учитывать по умолчанию.

У нас такая же ситуация с программированием — мы настолько плотно знаем, как информационная система должна и не должна работать, какие ошибки в её архитектуре будут критичны, что сами можем их разрабатывать. Некоторые коллеги, к слову, так и сменили сферу деятельности, и теперь проектируют и разрабатывают новое ПО. К слову, пару раз пересекались уже после их перехода — и в их проектах ошибок находится куда меньше, чем у true-программистов, что забавно.

Поэтому с одной стороны, моя работа мне нравится – с другой я смотрю на неё, как на этап, после которого можно двигаться к чему-то новому.

А где готовят в сотрудники СБ? Вряд ли есть специальное образование. Если я правильно понимаю, нужна база и бесконечный опыт?

Почему не готовят? У меня образование вполне себе профильное, до 2011 года в моей альма-матер даже факультет соответствующий был. И читали лекции там бывшие сотрудники одного известного комитета: про всё, от технических средств разведки до специальных глав математического аппарата – дабы в шифровании разбирались.

Как минимум о трёх местах в Москве я знаю, где и сейчас готовят по специальности. А есть ещё куча смежных направлений — консалтинг, аудит и т. д.

Немного отдельно стоит путь через силовые гос. структуры — МВД и ФСБ, но выпускники их академий тоже достаточно высоко котируются.

Если мы говорим не о столице, а о просторах нашей необъятной Родины, то это вообще обычная практика — люди работают в МДВ или налоговой, получают определённый опыт работы “по ту сторону баррикад”, а после, наработав определённый опыт и связи – переходят в коммерческие структуры, зная, что и как им делать.

И сверх того — чётко понимая, как в тонких моментах им по своему направлению работать с государством в лице прежнего гос. органа: где положиться на помощь, где срочно отрапортоваться, дабы не пойти по статье, а где вообще отбиваться самим, потому что государству в этот вопрос вмешиваться не интересно.

Подвох только в том, что сотруднику коммерческой службы безопасности, особенно в небольшой фирме, знать и уметь нужно много больше, чем гос. служащему. А такого опыта при переходе из гос. предприятий не предоставляют.

Поэтому в основном источник кадров — или вчерашние студенты по смежным направлениям, или сотрудники СБ из других организаций.

Первое бывает, когда есть налаженные каналы взаимодействия с ВУЗами, и “молодые дарования” можно перехватывать со студенческой скамьи.

Второе — когда политика работы с персоналом у партнёров/клиентов/конкурентов позволяет сманить людей, уже не нужных на прежней работе. Сейчас, например, один большой зелёный брат поставляет на рынок труда достаточно много своих бывших работников: издержки сокращают, а контакты с людьми есть, вот и идут к знакомым — иногда и к нам так приходят. Иногда сами зовём, если общение чуть более, чем формальное, и видим, что человек скоро покинет родные пенаты, сам или не очень.

Какой средний уровень зарплаты в этой сфере? Что светит начинающему, до какого числа можно дойти, и сколько на практике чаще всего зарабатывают СБшники?

Про средний уровень сложно сказать — статистику надо собирать. А это не совсем тот вопрос, который у нас принято обсуждать.

Моя зарплата примерно 200 тысяч — это минус налоги и плюс возможные премии. Жильё я не снимаю, так что на аренду тратиться не нужно. Но супруга не работает, так что эти деньги на двоих. На то, чтобы сходить при желании в ресторан, отремонтировать что-то при необходимости, или два-три раза в год слетать в отпуск — хватает. Но нынешний рост уровня цен, например, тоже ощущается очень хорошо.

Когда я начинал в 10-х, то получал 50 тысяч. Для студентов с образованием в сфере, но без опыта работы это в принципе и было средним.

Верхний потолок — это вопрос интересный. Потому что первый вопрос, с которым столкнёшься — а до какого уровня ты СБшник? И после какого — просто директор/куратор направления безопасности?

Если предположить, что одна ступенька вверх это +50%, то думаю, что максимум — примерно миллион в месяц. Но это домыслы и фантазии – такого опыта у меня пока не было.

Насколько это нервная работа? Какими качествами нужно обладать, чтобы её выдержать, и каким людям строго противопоказано идти в службу безопасности.

Каким людям противопоказано? Ну, во-первых, творческим.

Первое правило гласит: “Всё новое — хорошо забытое старое”.
Т. е. в своей работе исходить надо из того, что все существующие процедуры, технологии и регламенты нужно выучить, понимать для чего они, в каких областях они применимы безоговорочно, в каких их нужно обходить, и если нужно, то как это сделать без нарушения твоих нормативных документов, и тем более — законодательства РФ.

Занудой ты становишься тем ещё. И вместе с тем — невыносимым гадом, который в 1000 и 1 случае, знает, как подколоть и подловить почти любого своего знакомого.

Всё, что может быть описано существующим регламентом — описывается им. Всё, что может быть решено имеющимися средствами — решается ими. Если не знаешь, что делать — идёшь к начальству, и предлагаешь три варианта решения, наилучшим образом подходящих на твой взгляд.

И только если всё вышеописанное не дало результата — приходит время творчества.

Если же человек любит “креативить” и “придумывать новое” без того, чтобы по умолчанию следовать протоколу — с высокой долей вероятности он наломает косяков. И вопрос только когда, где и какого объёма.

Во-вторых, противопоказана СБ людям чувствительным, а особенно – нуждающимся в любви и признании.

Нужно понимать, что х*рня будет происходить. Это настолько же неизбежно, насколько неприятно. Вас будут грабить, к вам будут не вовремя приходить проверки и выявлять несоответствия, вы будете делать ошибки, и не всегда успевать их исправлять.

Особенно важно понимать, что ваше начальство хочет исполнения всех порученных вам задач ещё вчера, а для бизнеса, который вы защищаете, вы — первые враги, потому что тормозите получение прибыли.

Да, будут ситуации, когда вы что-то предотвратили и кого-то спасли, но даже если ваши заслуги не переприсвоят другие, более вышестоящие герои, такие подвиги не могут быть ежедневными. А значит, большую часть времени вы — главный злодей и камень в ботинке у каждого второго, не исключая каждого первого.

Крайне редко люди будут приходить к вам со словами благодарности за то, что вы влезли в чей-то бизнес-проект с требованиями по обеспечению безопасности и тем самим увеличили его сроки, стоимость и издержки. Иногда, правда, будут, и обычно это те, кто понимает цели и задачи вашей работы. Но таких людей, как я говорил, весьма немного.

В-третьих, беспечным или пох*истичным.

Нужно понимать, что чаще всего вы — единственный, кто вообще в любом рабочем процессе задумывается о том, как не потерять всё, что только можно. Можно сказать — последний рубеж любой обороны.

С этой точки зрения люди, выбравшие своей позицией “мы протираем штаны с 9 до 6, и хоть трава не расти” — плохие кандидаты. Да, поначалу им самим будет проще, так как они не тратят нервы и демонстрируют полное спокойствие начальству и клиентам.

Но в чуть более долгой перспективе это — источник проблем, потому что возможные угрозы и векторы атак меняются, и новые возникают очень быстро.

Спокойно сидящий в кресле Гомер Симпсон (вы же помните, что он – инженер безопасности АС?) на какую-то их них отреагировать точно не успеет. А после первого провала невозмутимому покер-фейсу уже не поверят ни клиенты, ни начальство.

В общем, если человек спокойно допускает в своей работе ошибки и принимает парадигму “накосячил — потом исправлю”, то в СБ он и не продвинется далеко, и достаточно сильно рискует не просто уйти – а вылететь с треском или со статьёй.

В-четвёртых, ненадёжным.

Человек, который в своей работе допускает нечистоплотность по отношению к своим же коллегам, вылетит достаточно быстро.

Да, в отдельных случаях для нас вполне допустимо руководствоваться этикой врачей, не сообщающих пациенту всей ужасающей картины. Но если такой “врач” врёт не только пациенту, но и своим коллегам, начальству или ЛПР (ред. — лицо, принимающее решения) заказчика — он вылетит с волчьим билетом после первого же доказанного инцидента. И если не докажут, всё равно будут сторониться — у нас принято дуть на воду до обжигания молоком.

Если резюмировать, то для СБ хороший кандидат должен уметь и исполнять команды и понимать, когда они не обсуждаются; вместе с тем он должен сам постоянно стремиться к тому, чтобы углубить свои познания в используемых средствах защиты и клиентах — системах, людях и безнес-проектах, которые ему защищать.

Люди “старой закалки” сказали бы, что нужен подходящий опыт (“беспартийных и неженатых — не берём”, такая старая шутка), но в нынешних реалиях я бы это назвал скорее знанием предметной области помноженным на критическое мышление.

Говорят “наглость — второе счастье”, поэтому хоть и нельзя сказать, что это обязательное условие, для сотрудников СБ характерен приобретённый догматизм: “только я знаю, как надо. А если не я, то кто-то из моих коллег”.

Это закономерный результат, когда из раза в раз перед недовольными заказчиками и/или руководством тебе приходится отстаивать непопулярные решения, непосредственной пользы от которых никто (кроме тебя) не видит.

Вот человек, который при всём этом может остается адекватным, критически мыслящим и способным учиться новому – подходит для такой работы. Ну или работа подходит для него.

Работа, скажем прямо, нервная, с такой сложно поддерживать душевное равновесие?

Скажем так, у нас коллектив с удивительным разнообразием хобби.

Я танцую парные танцы. Один из коллег занимается парашютным спортом, другой — играет на пианино. Духовные практики, поездки по самым неожиданным уголкам мира, регулярный спорт, пейнтбол, футбол, CTF, компьютерные игры или алкогольные посиделки — это будет ещё неполный список всех встречающихся у нас способов провести время вне работы.

Поэтому, наверное, да, работа достаточно нервная, и каждый просто находит свой способ “не выгорать”.

Комментарии