12 основных помех карьере в сфере кибербезопасности и как их избежать

Существует множество историй, когда личные амбиции не позволяли IT-работникам продвигаться и развиваться дальше в своей специальности.

Такие истории хорошо знакомы директорам по информационной безопасности. Здесь можно вспомнить о, казалось бы, отличном сотруднике, который часто говорил другим, насколько он умен и заслуживает гораздо большую зарплату. В другой раз вспоминается сотрудник, который делал именно то, что требовалось, но не более того. Ни один из них не продвинулся далеко, так как их боссы, наконец, устали от морального сопротивления и решили с ними разойтись в профессиональном плане, пишет издание CSO.

Это лишь несколько способов навредить своей карьере, говорят директора по информационным технологиям, карьерные тренеры и исполнительные консультанты. Некоторые действия, такие как незаконный доступ к компьютерным системам, очевидно, являются правонарушениями, в то время как многие другие просто навредят любому продвижению по служебной лестнице.

Не обращая внимания на откровенно неэтичное и незаконное поведение (о котором профессионалы уже должны знать, чтобы не делать этого), вот 12 общих черт, которые, по словам руководителей службы безопасности, не позволят вам продвинуться по карьерной лестнице в кибербезопасности, и как вы можете избежать такой участи.

Вера в безопасность - конечная цель

«Самая большая проблема, с которой я столкнулся, - это люди, работающие в сфере безопасности, которые считают, что безопасность - это самое главное. Они исходят именно из этого и не понимают, как сами должны способствовать развитию бизнеса», - говорит Джеймс Кардер, руководитель службы безопасности компании LogRhythm, занимающейся технологиями безопасности. Он отметил, что вместо этого им нужно сотрудничать со своими коллегами по бизнес-подразделению, чтобы понять их цели, а затем быть помощником, а не препятствием.

Остальные специалисты согласны с ним. «Безопасность - это профессия, в которой существует множество стандартов, правил и рамок, но слишком часто мы пытаемся внедрять их вслепую, с точки зрения стандартов, вместо того, чтобы пытаться внедрить их в контексте бизнеса», - добавляет Расс Кирби, директор по информационной безопасности компании-разработчика программного обеспечения ForgeRock.

Застревание на месте

Точно так же Кирби видел, как профессионалы в области безопасности настолько сосредоточились на своих целях, что оттолкнули другие отделы в компаниях, которые в противном случае могли бы работать вместе, чтобы найти решение. Он указал на один сценарий, при котором сотрудники службы безопасности хотели изменить минимальную длину пароля приложения с 8 символов до более 20 символов. Команда ИТ-разработчиков отказалась, объяснив, что они могут перейти на 12 символов, но что-то большее в плане изменений потребует значительного времени и денег. Сотрудники службы безопасности отказались отступать от своих требований и тем самым создали плохую карму, получив плохую репутацию после данного инцидента.

«Если бы у сотрудников службы безопасности были лучшие отношения или они лучше слушали, они могли бы понять проблему, найти золотую середину и понять, что дорожная карта для приложения позволила бы использовать пароли любой длины в течение года», - сказал Кирби говорит. «Но непоколебимая, жесткая позиция, которую они заняли, означала, что их следует избегать, и они упускают возможности, которыми в противном случае они могли бы воспользоваться».

Действовать как будто ты самый умный

Нет никаких сомнений в том, что области безопасности привлекают множество блестящих умов. Но никто не должен верить, что он самый умный - так определенно не следует поступать. Тем не менее Лизэ Стюарт, руководитель проектов Центра индивидуальной и организационной деятельности при компании по оказанию профессиональных услуг EisnerAmper, говорит, что это обычная проблема. 

Она тренировала одного молодого сотрудника, который, по мнению руководителей, имел потенциал, но чье высокомерие сдерживало его. «Он тяжело вздыхал, когда люди не понимали, о чем он говорил. Он очень быстро начинал критиковать и всегда говорил негативные слова о других, поэтому, хотя его технические навыки были хорошими, он производил впечатление человека, которому нельзя доверять», - рассказала Стюарт, добавляя, что люди часто просили поработать с другими сотрудниками, которые «не заставляли их чувствовать себя глупыми».

Она отметила, что сообразительность - даже самая великолепная - помогает только до определенного момента. «Многие люди считают, что их высокие технические навыки помогут им занять достойное место. Это просто неправда. Это случается только в некоторых случаях. Стиву Джобсу это могло сошло с рук, но он был исключением», - подчеркнула Стюарт.

Быть слишком робким

С другой стороны, Кэти Кассарли, заместитель директора службы карьерного роста в колледже Хайнца Университета Карнеги-Меллона, говорит, что она заметила что некоторым сотрудникам службы безопасности - особенно новым - не хватает уверенности, необходимой для продвижения по служебной лестнице. «Они думают, что они недостаточно хороши, что они недостаточно талантливы», - говорит она, добавляя, что такие работники могут отказываться от участия в новых проектах или подавать заявки на повышение из-за своей неуверенности в себе.

«Они могут не знать, как высказаться или не согласиться с начальником или коллегой, даже если они могут пролить свет, который может решить проблему или снизить риск», - говорит она. Время и опыт могут помочь им обрести уверенность, но некоторым может быть лучше, если они найдут наставника или тренера, который сможет направлять и ободрять.

Потеря хладнокровия

В наше время рабочий микроклимат часто подвергается сильному давлению, а службы безопасности часто испытывают дополнительный стресс, который возникает из-за того, что они постоянно становятся мишенью информационных угроз. «Все это чувствуют», - говорит Стюарт. Но никому не помогает момент, когда с головой закапываешься в проблему. «Тот, кто кричит, только усугубляет проблему, что наносит ущерб репутации и карьере», - отметила она, добавив, что коллеги в этом смогут увидеть только эмоциональную незрелость.

Более того, по ее словам, коллеги захотят избегать членов команды с таким отталкивающим поведением, не допуская их участия в ключевых проектах, которые могут помочь им продвинуться. «Вам действительно нужна способность контролировать свои эмоции, - добавляет она. - Более высокий уровень эмоций абсолютно приемлем, когда вы празднуете, но недопустим, когда вы имеете дело с проблемами».

Говорить только о технике

Джеймс Стэнджер, главный технический пропагандист CompTIA, торговой ассоциации по обучению и сертификации, вспоминает, как во время одной из своих первых презентаций перед советом директоров он перешел на технические разговоры, а затем увидел, как глаза его слушателей потускнели. Это типичная ошибка новичков, от которой он смог быстро избавиться, переключившись на более понятный деловой язык. Многие, однако, не знают или не пытаются переключиться с технических разговоров на деловые разговоры, говорит Стэнджер, что удерживает их подальше от залов заседаний и руководства.

«Люди проигнорируют то, что вы говорите, если вы говорите только о технических вещах. Ваша карьера не продвинется вперед, и вам придется иметь дело с нижележащими проблемами, которые вы вызываете, потому что вас никто не слушает», - говорит Стангер.

Придерживаться себя

Профессионалы в каждой области порой развиваются, помогая другим выполнять свою работу, становясь надежными партнерами своих коллег и выстраивая отношения в компании. Некоторым людям легко найти связи с другими, в то время как для иных ролей требуется такое сотрудничество, которое помогает укрепить эти связи на рабочем месте. Однако служба безопасности во многих организациях не так часто попадает в эти категории, хотя построение отношений не менее важно как для успешных программ безопасности, так и для индивидуального карьерного роста, - говорит Кимберли Руш, основательница All-Star Executive Coaching.

В результате сотрудники службы безопасности должны создавать больше возможностей для себя. Она предлагает вам дать коллегам понять, что вы заинтересованы в общении: свяжитесь с ними и задайте вопросы, признайте успехи других, назначьте встречи, чтобы учиться у других. «Вы обязательно должны делать это, если хотите иметь влияние за пределами своего [отдела]», - говорит Руш.

Неспособность развить другие навыки

Профессионалы в области безопасности ценят свои технические навыки и сертификаты, и это правильно, но им необходимо понимать, как они вписываются в общий технологический стек своей организации, ее цели, ее понимание угроз безопасности и ее устойчивость к рискам. Более того, профессионалы в области безопасности должны полагаться на это понимание по мере продвижения по служебной лестнице, чтобы добиться успеха на этом более высоком уровне. Однако многим не удается развить этот более широкий портфель деловых, управленческих и лидерских навыков.

«Специалисты по безопасности часто попадают в ловушку, уделяя много внимания техническим навыкам и недостаточно - социальным навыкам, таким как написание текстов и создание презентаций. Кибербезопасность - это информирование о решениях проблем, информирование об угрозах и рисках, а также о смягчении этих угроз и рисков. Какая польза от технических достижений, если вы не можете сообщить об их результатах или ценности нужным заинтересованным сторонам, будь то клиенты или руководство» - говорит Уилл Мендес, управляющий директор по операциям консалтинговой фирмы CyZen.

Оставаться на месте

Один из опрошенных специалистов отметил, что часто встречал сотрудников, которые работали на своей позиции уже довольно долгое время. Но это не всегда плохо, но это вызывает вопросы, достигли ли люди профессионального потолка на этом месте.

«Я смотрю на их карьерный рост и знаю, что если они долгое время оставались на определенном уровне, может быть, этому есть причина. Это красный флаг», - считает Кардер из LogRhythm. По его словам, сотрудники должны расти в профессиональном плане, осваивать дополнительные навыки, браться за новые задания и расширять свои знания. «Я ищу профессионалов в области безопасности, которые видят, что им есть куда расти», - добавляет он.

Пребывание в безопасности

Дженай Маринкович, технический директор и директор по информационной безопасности в Tiro Security и эксперт по кибербезопасности из ISACA, профессиональной ассоциации, занимающейся управлением ИТ, однажды получила резкое сообщение от наставника: она сказала ей, что не может понять бизнес-перспективу, поэтому она не могла эффективно общаться и сотрудничать с бизнес-командами. Наставник посоветовал Маринкович получить некоторый опыт за пределами службы безопасности, чтобы расширить свой кругозор. Таким образом, Маринкович устроилась на несколько должностей технического директора в стартапах, где она научилась быть более эффективным бизнес-лидером; в конечном итоге она проработала три года на ролях вне службы безопасности. «Я не была бы там, где я сегодня, если бы не сделала этого», - говорит она.

Ошибочно принимать уязвимости за риски

Многие профессионалы в области безопасности рассматривают приоритеты и задачи своей команды с точки зрения угроз кибербезопасности, выявляя уязвимости, которые необходимо устранить, вместо того, чтобы рассматривать их с более тонкой, ориентированной на бизнес точки зрения, ориентированной на риск, говорит Лиза Кор, старший директор по безопасности в компании Zendesk. Она основывается на собственном опыте, поскольку однажды она обвиняла коллег, которые одобряли изменения по электронной почте. Тогда в дело вмешался ее начальник, он напомнил ей, что реальный риск заключается в том, чтобы не получить одобрение, а не в том, как именно происходит данный процесс.

«Многие специалисты по безопасности, как правило, придерживаются строго полярного мнения о мире - черное и белое: вот уязвимость, вот как кто-то может ее использовать, вот почему нам нужно исправить это сейчас. Они не могут видеть за этой гранью. Они не видят, является ли уязвимость еще и риском. Поэтому им нужно думать об уязвимостях шире. Им нужно научиться жить с риском, чтобы понять, что это еще не совсем все», - отметила Кор.

Тактический, но не стратегический подход

Маринкович рассказала, что большинство знакомых ей сотрудников службы безопасности с большей вероятностью будут мыслить тактически, работая над линейными планами для решения проблем и удовлетворения потребностей. «Мы составляем тактические планы, которые мы называем стратегическими», - говорит она, объясняя, что такой подход может подорвать как долгосрочные потребности организации, так и помешать профессиональному карьерному росту. 

Генеральным директорам и советам директоров нужны руководители по безопасности, которые могут работать с ними, чтобы разработать видение будущего, а также понять, как безопасность обеспечивает это видение, где она действительно может помочь в его формировании и где она может даже стать отличительной чертой. Продвигаются по службе профессионалы в области безопасности, которые могут думать в этом направлении, а не представлять 12-месячный график планов безопасности.

Автор: Mary K. Pratt