← Ко всем статьям
Как начать карьеру в ИБ: гайд от CISO
Автор статьи: Сабина Жигальская
← Ко всем статьям
Как начать карьеру в ИБ: гайд от CISO
Автор статьи: Сабина Жигальская
ВСЕМ ПРИВЕТ!
Меня зовут Сабина Жигальская. В информационную безопасность (ИБ) я пришла в 2014 году и начала свой путь с пентеста. В то время рынок только формировался, а сами роли и направления были размыты и непонятны. За эти годы я прошла путь от технического специалиста до управления командами и сегодня работаю CISO в крупном холдинге. А в свободное время веду канал о личном опыте и карьере в ИБ «Киберпсихологика» в Telegram.
Хочу поделиться опытом и на реальных примерах людей с разными бэкграундами рассказать, как заходить в сферу в 2026-м. Думаю, статья поможет тем, кто хочет понять, с чего начать ИБ, как выстроить карьерный трек и, самое важное, не бросить всё на полпути.
Меня зовут Сабина Жигальская. В информационную безопасность (ИБ) я пришла в 2014 году и начала свой путь с пентеста. В то время рынок только формировался, а сами роли и направления были размыты и непонятны. За эти годы я прошла путь от технического специалиста до управления командами и сегодня работаю CISO в крупном холдинге. А в свободное время веду канал о личном опыте и карьере в ИБ «Киберпсихологика» в Telegram.
Хочу поделиться опытом и на реальных примерах людей с разными бэкграундами рассказать, как заходить в сферу в 2026-м. Думаю, статья поможет тем, кто хочет понять, с чего начать ИБ, как выстроить карьерный трек и, самое важное, не бросить всё на полпути.
КОНТЕКСТ: КАКОЙ ПУТЬ БЫЛ У МЕНЯ
За 11 лет я видела информационную безопасность с разных сторон: как исполнитель, управленец, преподаватель и ментор. Я работала с инфраструктурой, процессами, бизнесом и людьми. Именно этот опыт позволяет мне говорить об информационной безопасности не в теории, а по практическому опыту.
Буду честной: на старте обычно никто не понимает, кем хочет стать в увлекательном мире ИБ. Так было и со мной — ниже кратко рассказываю о своём пути.
• Закончила СПБГУАП по специальности «Комплексная защита объектов информатизации» в далёком 2014 году. Это было то время, когда вроде понимаешь, на кого выучился, но неясно, как теперь эти знания могут пригодиться на практике. Стоит отметить невероятную вовлечённость преподавателей в том, чтобы дать нам комплексные знания и научить мыслить.
• Начала работать специалистом по ИБ в компании «АКУТА». Это было на 4-м курсе и я считаю, что именно этот первый опыт работы стал решающим в карьере. Я настолько сильно увлеклась миром информационной безопасности, что уже не представляла себя уже в другом амплуа.
Компания специализировалась на исследовании безопасности информационных систем. Благодаря этой работе я впервые побывала на профильной конференции Positive Hack Days в Москве, где познакомилась с многими одноремесленниками — со многими до сих пор поддерживаем связь.
• Пошла старшим специалистом по ИБ в муниципальное учреждение — администрацию одного из районов Санкт-Петербурга. Меня позвали туда на собеседование, когда я уже год была в "АКУТЕ". Я проработала там совсем недолго, но этот опыт оставил неизгладимое впечатление о масштабах бюрократического аппарата в государственном секторе.
• Переехала в Москву и устроилась в "Центр Безопасности Информации". Там я занималась примерно тем же, чем и в "АКУТЕ", — исследовала безопасность информационных систем и даже участвовала в научно-исследовательской работе по межсетевым экранам.
• Начала преподавать ИБ в частных образовательных учреждениях с 2018-го. Открыла для себя, что мне нравится рассказывать о профессии и постепенно погружать в захватывающий мир информационной безопасности.
• Перешла в компанию «НЛМК», которая является критической информационной инфраструктурой (КИИ) на должность эксперта по информационной безопасности-пентестера. Этот опыт показал мне внутрянку КИИ и процессы в подобных крупных организациях.
• Перешла на должность ведущего специалиста по управлению уязвимостями в Т1. Финтех — следующая по важности после КИИ сфера, которую приходилось защищать. Я немного отошла от пентестерских дел и чуть позже стала в Т1 руководителем отдела управления уязвимостями.
• Перешла в международный холдинг как CISO. Меня пригласили туда спустя 3 года работы в Т1. Это то самое предложение, от которого нельзя отказаться, — и я не отказалась
• Стала помогать коллегам и студентам как ментор. Выступаю в роли консультанта, разбираю конкретные боли и ситуации, направляю, помогаю понять, куда дальше двигаться, если подопечный решил, что он потерялся или достиг потолка.
За 11 лет я видела информационную безопасность с разных сторон: как исполнитель, управленец, преподаватель и ментор. Я работала с инфраструктурой, процессами, бизнесом и людьми. Именно этот опыт позволяет мне говорить об информационной безопасности не в теории, а по практическому опыту.
Буду честной: на старте обычно никто не понимает, кем хочет стать в увлекательном мире ИБ. Так было и со мной — ниже кратко рассказываю о своём пути.
• Закончила СПБГУАП по специальности «Комплексная защита объектов информатизации» в далёком 2014 году. Это было то время, когда вроде понимаешь, на кого выучился, но неясно, как теперь эти знания могут пригодиться на практике. Стоит отметить невероятную вовлечённость преподавателей в том, чтобы дать нам комплексные знания и научить мыслить.
• Начала работать специалистом по ИБ в компании «АКУТА». Это было на 4-м курсе и я считаю, что именно этот первый опыт работы стал решающим в карьере. Я настолько сильно увлеклась миром информационной безопасности, что уже не представляла себя уже в другом амплуа.
Компания специализировалась на исследовании безопасности информационных систем. Благодаря этой работе я впервые побывала на профильной конференции Positive Hack Days в Москве, где познакомилась с многими одноремесленниками — со многими до сих пор поддерживаем связь.
• Пошла старшим специалистом по ИБ в муниципальное учреждение — администрацию одного из районов Санкт-Петербурга. Меня позвали туда на собеседование, когда я уже год была в "АКУТЕ". Я проработала там совсем недолго, но этот опыт оставил неизгладимое впечатление о масштабах бюрократического аппарата в государственном секторе.
• Переехала в Москву и устроилась в "Центр Безопасности Информации". Там я занималась примерно тем же, чем и в "АКУТЕ", — исследовала безопасность информационных систем и даже участвовала в научно-исследовательской работе по межсетевым экранам.
• Начала преподавать ИБ в частных образовательных учреждениях с 2018-го. Открыла для себя, что мне нравится рассказывать о профессии и постепенно погружать в захватывающий мир информационной безопасности.
• Перешла в компанию «НЛМК», которая является критической информационной инфраструктурой (КИИ) на должность эксперта по информационной безопасности-пентестера. Этот опыт показал мне внутрянку КИИ и процессы в подобных крупных организациях.
• Перешла на должность ведущего специалиста по управлению уязвимостями в Т1. Финтех — следующая по важности после КИИ сфера, которую приходилось защищать. Я немного отошла от пентестерских дел и чуть позже стала в Т1 руководителем отдела управления уязвимостями.
• Перешла в международный холдинг как CISO. Меня пригласили туда спустя 3 года работы в Т1. Это то самое предложение, от которого нельзя отказаться, — и я не отказалась
• Стала помогать коллегам и студентам как ментор. Выступаю в роли консультанта, разбираю конкретные боли и ситуации, направляю, помогаю понять, куда дальше двигаться, если подопечный решил, что он потерялся или достиг потолка.
“
Старт карьеры в 2014 vs 2026: что изменилось
Когда я начинала, бизнес ещё не был заинтересован в специалистах ИБ, а на hh.ru были вакансии, которым не хватало сути и деталей. В них искали «специалиста по информационной безопасности», по факту в одном месте ждали человека, который напишет политики, в другом — администратора, который настроит ПО, а часто и просто искали дежурного по проверкам.
За последние годы мир ИБ сильно изменился. Бизнес крайне заинтересован в специалистах, появились внятные вакансии и роли: пентест, blue team, appsec, методология, архитектор и другие. Теперь ИБ — это большая область, и прийти в неё можно с разными бэкграундами. Ниже расскажу о трёх самых частых в моей практике.
Когда я начинала, бизнес ещё не был заинтересован в специалистах ИБ, а на hh.ru были вакансии, которым не хватало сути и деталей. В них искали «специалиста по информационной безопасности», по факту в одном месте ждали человека, который напишет политики, в другом — администратора, который настроит ПО, а часто и просто искали дежурного по проверкам.
За последние годы мир ИБ сильно изменился. Бизнес крайне заинтересован в специалистах, появились внятные вакансии и роли: пентест, blue team, appsec, методология, архитектор и другие. Теперь ИБ — это большая область, и прийти в неё можно с разными бэкграундами. Ниже расскажу о трёх самых частых в моей практике.
ПУТЬ 1. АДМИНИСТРИРОВАНИЕ
Один из путей захода в ИБ — это администрирование.
Какие плюсы. В большинстве случаев администраторы переходят в ИБ по стезе SOC или Pentest, имеют глубокое понимание функционирования операционных систем и знают уязвимые места, которые надо защищать или атаковать — зависит от выбранного пути. Этот опыт, безусловно, положительно скажется на карьере.
Ещё администраторы привыкли к огромной ответственности и частым ошибкам. Это полезно для работы в информационной безопасности, потому что там надо думать не только о том, как сделать, но и о том, что может пойти не так.
Какие минусы. Есть и обратная сторона медали: администрирование сильно затягивает, и тут главное — не пересидеть, особенно если хочется денег и развития. Например, мой коллега по одной из прошлых компаний потрясающе умён, опытен и 30 лет сидит на должности администратора. И вроде как ИБ ему интересно, но, по его словам, «в 55 лет менять сферу деятельности уже сложно».
Ещё один минус — перестройка мышления. В администрировании вы отвечаете за работоспособность системы, а в информационной безопасности — за риски, последствия и угрозы. Это уже другой масштаб мышления.
Какой опыт у моих коллег. Мой бывший начальник соскочил с администрирования в 30 лет. Он работал Linux-администратором, и в какой-то момент жизнь свернула его в ИБ в той же компании. Он настраивал сервера, операционные системы и, конечно же, дело дошло до безопасности. Карьерный рост был стремительным, и теперь он CISO в крупном вендоре.
Один из путей захода в ИБ — это администрирование.
Какие плюсы. В большинстве случаев администраторы переходят в ИБ по стезе SOC или Pentest, имеют глубокое понимание функционирования операционных систем и знают уязвимые места, которые надо защищать или атаковать — зависит от выбранного пути. Этот опыт, безусловно, положительно скажется на карьере.
Ещё администраторы привыкли к огромной ответственности и частым ошибкам. Это полезно для работы в информационной безопасности, потому что там надо думать не только о том, как сделать, но и о том, что может пойти не так.
Какие минусы. Есть и обратная сторона медали: администрирование сильно затягивает, и тут главное — не пересидеть, особенно если хочется денег и развития. Например, мой коллега по одной из прошлых компаний потрясающе умён, опытен и 30 лет сидит на должности администратора. И вроде как ИБ ему интересно, но, по его словам, «в 55 лет менять сферу деятельности уже сложно».
Ещё один минус — перестройка мышления. В администрировании вы отвечаете за работоспособность системы, а в информационной безопасности — за риски, последствия и угрозы. Это уже другой масштаб мышления.
Какой опыт у моих коллег. Мой бывший начальник соскочил с администрирования в 30 лет. Он работал Linux-администратором, и в какой-то момент жизнь свернула его в ИБ в той же компании. Он настраивал сервера, операционные системы и, конечно же, дело дошло до безопасности. Карьерный рост был стремительным, и теперь он CISO в крупном вендоре.
ПУТЬ 2. РАЗРАБОТКА
Другой путь захода в ИБ — через разработку. Да-да, разработка программного обеспечения оставляет неизгладимый след, когда сталкиваетесь с «безопасной» разработкой. Когда в какой-то момент вам говорят: «слушай, тут в коде уязвимость двойного освобождения памяти» и приходится судорожно гуглить, как этот баг смог стать уязвимостью. В такие моменты происходит затягивание, и вы начинаете смотреть на код глазами ресёрчера безопасности программного обеспечения.
Какие плюсы. Разработчику можно попробовать AppSec, как хобби. Это хороший способ проверить силы и понять, насколько вам интересно заниматься в смежной области. В моей практике разработчики часто уходили именно в это направление, которое завязано на поиске уязвимостей в приложениях. Сейчас много онлайн-лабораторий, которые позволяют испытать себя и научиться новому. Затянет — дерзайте.
Какие минусы. Этот путь далеко не для всех, ведь для AppSec, как и для информационной безопасности в целом, нужно учиться смотреть на разработку под другим углом. Как и в пути через администрирование вам придётся менять формат и масштаб мышления: теперь нельзя фиксироваться только на коде и его функциональности, и надо смотреть на него с точки зрения угроз.
Какой опыт у моих коллег. Я знаю успешных представителей AppSec, пришедших из разработки, потому что она им наскучила. У них достаточно легко получается внедриться в новую стезю и развиваться в ней, поскольку им, как и мне в своё время, надоедает смотреть в один и тот же код.
В то же время прожжённым программистам бывает сложно доказать, что безопасная разработка жизненно необходима. Они уже привыкли и знают, как приносить бизнесу деньги, но не понимают — и не хотят понимать — как это делать безопасно.
Другой путь захода в ИБ — через разработку. Да-да, разработка программного обеспечения оставляет неизгладимый след, когда сталкиваетесь с «безопасной» разработкой. Когда в какой-то момент вам говорят: «слушай, тут в коде уязвимость двойного освобождения памяти» и приходится судорожно гуглить, как этот баг смог стать уязвимостью. В такие моменты происходит затягивание, и вы начинаете смотреть на код глазами ресёрчера безопасности программного обеспечения.
Какие плюсы. Разработчику можно попробовать AppSec, как хобби. Это хороший способ проверить силы и понять, насколько вам интересно заниматься в смежной области. В моей практике разработчики часто уходили именно в это направление, которое завязано на поиске уязвимостей в приложениях. Сейчас много онлайн-лабораторий, которые позволяют испытать себя и научиться новому. Затянет — дерзайте.
Какие минусы. Этот путь далеко не для всех, ведь для AppSec, как и для информационной безопасности в целом, нужно учиться смотреть на разработку под другим углом. Как и в пути через администрирование вам придётся менять формат и масштаб мышления: теперь нельзя фиксироваться только на коде и его функциональности, и надо смотреть на него с точки зрения угроз.
Какой опыт у моих коллег. Я знаю успешных представителей AppSec, пришедших из разработки, потому что она им наскучила. У них достаточно легко получается внедриться в новую стезю и развиваться в ней, поскольку им, как и мне в своё время, надоедает смотреть в один и тот же код.
В то же время прожжённым программистам бывает сложно доказать, что безопасная разработка жизненно необходима. Они уже привыкли и знают, как приносить бизнесу деньги, но не понимают — и не хотят понимать — как это делать безопасно.
ПУТЬ 3. С НУЛЯ
Ну, и конечно, же один из самых интересных путей — это с нуля. Сюда можно отнести и тех, кто заканчивает специальность ИБ, и тех, кто решил в 25-30-45 лет поменять свою жизнь. Я этих людей объединяю, поскольку у них одинаковый вопрос: «с чего начать».
Какие плюсы. Эта категория людей чаще всего осознанно делает поворот в карьере, и за ним стоит истинный интерес, а не тренды. Такая мотивация позволяет достойно выдержать первоначальную рутину на старте и не ждать быстрых результатов. Начинающие задают очень много вопросов, искренне заинтересованы в выборе и готовы вкладывать время в развитие.
Если нет опыта — нет и «предрасположенности» к выбору направления. Как я уже писала выше, в AppSec чаще всего приходят из разработки, в SOC или Pentest — из администрирования. А старт карьеры с нуля даёт возможность попробовать себя во многих направлениях и со временем найти именно своё, а не то, куда «было логично перейти».
Ещё один неочевидный плюс: неофиты не испорчены прошлым в смежных областях. Очень часто можно встретить специалистов, которые говорят «мы так всегда делали», и пытаются натянуть ИБ на привычные подходы в других областях. Если этого нет, специфику сферу получится воспринять быстрее.
Какие минусы. Главный минус старта с нуля — время вливания в профессию. Без технического опыта в прошлом сложно последовательно освоить базу: сети, операционные системы, уязвимости. Это может занять годы, и к этому надо быть готовым.
Второй минус вытекает из первого: объём первоначальных знаний действительно выглядит пугающим. Начинающий в ИБ может хвататься за всё и сразу и в итоге становится специалистом «нигде» и «ни в чём».
Ну, и конечно, же один из самых интересных путей — это с нуля. Сюда можно отнести и тех, кто заканчивает специальность ИБ, и тех, кто решил в 25-30-45 лет поменять свою жизнь. Я этих людей объединяю, поскольку у них одинаковый вопрос: «с чего начать».
Какие плюсы. Эта категория людей чаще всего осознанно делает поворот в карьере, и за ним стоит истинный интерес, а не тренды. Такая мотивация позволяет достойно выдержать первоначальную рутину на старте и не ждать быстрых результатов. Начинающие задают очень много вопросов, искренне заинтересованы в выборе и готовы вкладывать время в развитие.
Если нет опыта — нет и «предрасположенности» к выбору направления. Как я уже писала выше, в AppSec чаще всего приходят из разработки, в SOC или Pentest — из администрирования. А старт карьеры с нуля даёт возможность попробовать себя во многих направлениях и со временем найти именно своё, а не то, куда «было логично перейти».
Ещё один неочевидный плюс: неофиты не испорчены прошлым в смежных областях. Очень часто можно встретить специалистов, которые говорят «мы так всегда делали», и пытаются натянуть ИБ на привычные подходы в других областях. Если этого нет, специфику сферу получится воспринять быстрее.
Какие минусы. Главный минус старта с нуля — время вливания в профессию. Без технического опыта в прошлом сложно последовательно освоить базу: сети, операционные системы, уязвимости. Это может занять годы, и к этому надо быть готовым.
Второй минус вытекает из первого: объём первоначальных знаний действительно выглядит пугающим. Начинающий в ИБ может хвататься за всё и сразу и в итоге становится специалистом «нигде» и «ни в чём».
“
Профильные курсы помогут разобраться
Они дадут новичку план и материалы, с которыми не будет соблазна хвататься за всё и сразу. Ещё курсы откроют доступ к профессиональному сообществу и стажировкам. На старте важно иметь рядом наставника: он сможет направлять, подсказывать, а в лучшем случае — поможет найти первую работу в новой сфере.
Получить консультацию по выбору курса
Они дадут новичку план и материалы, с которыми не будет соблазна хвататься за всё и сразу. Ещё курсы откроют доступ к профессиональному сообществу и стажировкам. На старте важно иметь рядом наставника: он сможет направлять, подсказывать, а в лучшем случае — поможет найти первую работу в новой сфере.
Получить консультацию по выбору курса
Третий минус — поиск первой работы. Работодатели заинтересованы в специалистах, у которых за плечами есть хоть какой-то коммерческий опыт. Здесь стоит быть готовыми работать, как я говорю, за еду. Но по факту, помимо еды, вы получаете бесценное — опыт. Кстати многие крупные компании опекают университеты, присматривают успешных и перспективных, и предлагают стажировки с возможностью дальнейшего трудоустройства в штат.
Какой опыт у меня. Мой путь начался с пентеста. В первой компании, куда я устраивалась, меня спросили: что ты хочешь, документы писать, исследовать уязвимости или выстраивать защиту? Я ответила: исследовать уязвимости. Эта стезя затянула меня на 9 лет, пока я не выпрыгнула по совету своего начальника из пентестерского поезда.
Естественно, никто с ходу исследовать уязвимости мне не дал, и это было абсолютно правильным путём для становления — не по диплому, а по навыкам и опыту. И именно этот путь я выбираю для своих сотрудников в амплуа стажёра или джуна.
Сначала однообразная работа: отчёты, процессы, согласования, заполнение таблиц. Это всё необходимо для понимания контекста задач, и, более того, это учит отвечать за результат. Затем мне действительно доверили первые проекты на пентест. Если сказать кратко и ёмко: если на позиции джуна или стажёра вы качественно закрываете рутину, проявляете себя как ответственный сотрудник, вам начинают доверять первые проекты.
Какой опыт у меня. Мой путь начался с пентеста. В первой компании, куда я устраивалась, меня спросили: что ты хочешь, документы писать, исследовать уязвимости или выстраивать защиту? Я ответила: исследовать уязвимости. Эта стезя затянула меня на 9 лет, пока я не выпрыгнула по совету своего начальника из пентестерского поезда.
Естественно, никто с ходу исследовать уязвимости мне не дал, и это было абсолютно правильным путём для становления — не по диплому, а по навыкам и опыту. И именно этот путь я выбираю для своих сотрудников в амплуа стажёра или джуна.
Сначала однообразная работа: отчёты, процессы, согласования, заполнение таблиц. Это всё необходимо для понимания контекста задач, и, более того, это учит отвечать за результат. Затем мне действительно доверили первые проекты на пентест. Если сказать кратко и ёмко: если на позиции джуна или стажёра вы качественно закрываете рутину, проявляете себя как ответственный сотрудник, вам начинают доверять первые проекты.
“
ВМЕСТО ВЫВОДОВ: ГЛАВНЫЕ ОСОБЕННОСТИ РАЗНЫХ ТОЧЕК ВХОДА
Путь 1. Администрирование. Такой бэкграунд даёт глубокое понимание операционных систем, инфраструктуры и слабых мест, с которыми затем логично работать в SOC, Pentest или смежных направлениях. Но важно вовремя перестроить мышление и не засидеться в этом слишком долго, иначе расти в карьере будет тяжело.
Путь 2. Разработка. Переход чаще всего происходит через AppSec. Опыт программирования помогает глубже понимать природу уязвимостей, но требует смены оптики: на код теперь нужно смотреть не только с точки зрения функциональности, но и с позиции потенциальных угроз. Путь хорошо подходит тем, кому стало тесно и скучно в чистой разработке.
Путь 3. С нуля. Он самый долгий, но и самый гибкий. Есть возможность осознанно попробовать разные направления и выбрать то, что действительно интересно, а не то, куда «логично» перейти на основе прошлого опыта. Главные сложности: большой объём знаний на входе и риск долго искать первую работу.
Путь 1. Администрирование. Такой бэкграунд даёт глубокое понимание операционных систем, инфраструктуры и слабых мест, с которыми затем логично работать в SOC, Pentest или смежных направлениях. Но важно вовремя перестроить мышление и не засидеться в этом слишком долго, иначе расти в карьере будет тяжело.
Путь 2. Разработка. Переход чаще всего происходит через AppSec. Опыт программирования помогает глубже понимать природу уязвимостей, но требует смены оптики: на код теперь нужно смотреть не только с точки зрения функциональности, но и с позиции потенциальных угроз. Путь хорошо подходит тем, кому стало тесно и скучно в чистой разработке.
Путь 3. С нуля. Он самый долгий, но и самый гибкий. Есть возможность осознанно попробовать разные направления и выбрать то, что действительно интересно, а не то, куда «логично» перейти на основе прошлого опыта. Главные сложности: большой объём знаний на входе и риск долго искать первую работу.
4 ОШИБКИ НА СТАРТЕ КАРЬЕРЫ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Я успела побывать в роли начинающего специалиста, руководителя и ментора, а также много общаюсь со студентами, стажёрами и просто людьми на самом старте своей карьеры в ИБ.
Заметила, что самые частые ошибки новичков в этой сфере возникают из-за неправильных ожиданий, спешки и попытки подойти к ИБ так же, как к другим техническим профессиям. Давайте разберём самые частые проблемы, которые мешают развивать карьеру, и возможные пути их решения
Я успела побывать в роли начинающего специалиста, руководителя и ментора, а также много общаюсь со студентами, стажёрами и просто людьми на самом старте своей карьеры в ИБ.
Заметила, что самые частые ошибки новичков в этой сфере возникают из-за неправильных ожиданий, спешки и попытки подойти к ИБ так же, как к другим техническим профессиям. Давайте разберём самые частые проблемы, которые мешают развивать карьеру, и возможные пути их решения
1. Попытка охватить всё и сразу
Это самая распространённая ошибка. Безусловно, ИБ сфера очень интересна и многогранна, но стремление изучить сразу всё приводит к поверхностным знаниям, а ощущение прогресса и вовсе замедляется.
Помимо того, такой подход приводит к неминуемому выгоранию, и начинается отторжение от ИБ. В разы эффективнее выбрать одно направление по душе, обрасти экспертными навыками, а затем расширять кругозор.
❌ «Я изучаю сразу пентест, SOC и ассемблер» — как-то услышала я от своего стажёра и обомлела.
✅ «Хочу в первую очередь развиваться, как пентестер: набрать базу, найти стажировку и постепенно углублять специализацию по поиску уязвимостей в сетях»
Это самая распространённая ошибка. Безусловно, ИБ сфера очень интересна и многогранна, но стремление изучить сразу всё приводит к поверхностным знаниям, а ощущение прогресса и вовсе замедляется.
Помимо того, такой подход приводит к неминуемому выгоранию, и начинается отторжение от ИБ. В разы эффективнее выбрать одно направление по душе, обрасти экспертными навыками, а затем расширять кругозор.
❌ «Я изучаю сразу пентест, SOC и ассемблер» — как-то услышала я от своего стажёра и обомлела.
✅ «Хочу в первую очередь развиваться, как пентестер: набрать базу, найти стажировку и постепенно углублять специализацию по поиску уязвимостей в сетях»
2. Страх задавать вопросы
Никто не ждёт, что вы сразу ринетесь в бой с уязвимостями и инцидентами. В ИБ невозможно знать всё, но способность учиться и задавать вопросы гораздо важнее, чем попытка выглядеть компетентным.
❌ «Боюсь показаться глупым перед коллегами или сокурсниками, поэтому стараюсь не задавать вопросы. Иначе могут уволить или посчитать, что мне не хватает компетенций».
✅ «Если появляются вопросы, заранее ищу и изучаю информацию, но не стесняюсь спрашивать руководителя или преподавателя. Это самый быстрый способ расширять кругозор и учиться на чужих ошибках».
Никто не ждёт, что вы сразу ринетесь в бой с уязвимостями и инцидентами. В ИБ невозможно знать всё, но способность учиться и задавать вопросы гораздо важнее, чем попытка выглядеть компетентным.
❌ «Боюсь показаться глупым перед коллегами или сокурсниками, поэтому стараюсь не задавать вопросы. Иначе могут уволить или посчитать, что мне не хватает компетенций».
✅ «Если появляются вопросы, заранее ищу и изучаю информацию, но не стесняюсь спрашивать руководителя или преподавателя. Это самый быстрый способ расширять кругозор и учиться на чужих ошибках».
3. Ожидание быстрых результатов
В стремлении проявить себя начинающие специалисты проходят непроверенные курсы и скупают сертификаты, а потом ждут, что дальше всё пойдёт само. ИБ — это длинная дистанция. Не сравнивайте себя с опытными специалистами, сравнивайте со вчерашним собой.
❌ «Оплачиваю популярные массовые онлайн-курсы, выделяю на это пару вечеров в неделю, не занимаюсь саморазвитием и жду чуда».
✅ «Оплачиваю курсы, а ещё ищу ментора, общаюсь с другими начинающими в профильных чатах, прохожу задачки на онлайн-площадках, мониторю стажировки и вакансии».
В стремлении проявить себя начинающие специалисты проходят непроверенные курсы и скупают сертификаты, а потом ждут, что дальше всё пойдёт само. ИБ — это длинная дистанция. Не сравнивайте себя с опытными специалистами, сравнивайте со вчерашним собой.
❌ «Оплачиваю популярные массовые онлайн-курсы, выделяю на это пару вечеров в неделю, не занимаюсь саморазвитием и жду чуда».
✅ «Оплачиваю курсы, а ещё ищу ментора, общаюсь с другими начинающими в профильных чатах, прохожу задачки на онлайн-площадках, мониторю стажировки и вакансии».
4. Недостаток фокуса на софт-скиллах
Эта ошибка чаще относится к тем, кто приходит из других направлений, то есть не к вчерашним студентам. Вероятно, у обучающихся проблема с общением гораздо менее выражена, потому что им ещё совсем недавно приходилось доказывать свою точку зрения преподавателям.
ИБ всегда стоит на стыке с бизнесом, это постоянный поиск компромиссов с разработчиками, администраторами и топ-менеджментом, и далеко не все из них смогут и захотят говорить с вами на одном языке.
Навык перевести техническую проблему во внятный и аргументированный язык — бесценное качество специалиста. Я это поняла, как раз работая в пентесте. Найти уязвимость — это только половина дела. Не менее важная часть — объяснить бизнесу, почему это опасно, какие риски несёт и как всё исправить.
❌ «Если нахожу уязвимость, описываю её в отчёте, а дальше пусть бизнес сам разбирается, почему это важно и что с этим делать».
✅ «Если нахожу уязвимость, первым делом иду обсуждать её со стейкхолдерами. Рассказываю всё простым языком, объясняю риски для бизнеса и предлагаю несколько решений: от самых дорогих и долгих до экономичных и костыльных».
Эта ошибка чаще относится к тем, кто приходит из других направлений, то есть не к вчерашним студентам. Вероятно, у обучающихся проблема с общением гораздо менее выражена, потому что им ещё совсем недавно приходилось доказывать свою точку зрения преподавателям.
ИБ всегда стоит на стыке с бизнесом, это постоянный поиск компромиссов с разработчиками, администраторами и топ-менеджментом, и далеко не все из них смогут и захотят говорить с вами на одном языке.
Навык перевести техническую проблему во внятный и аргументированный язык — бесценное качество специалиста. Я это поняла, как раз работая в пентесте. Найти уязвимость — это только половина дела. Не менее важная часть — объяснить бизнесу, почему это опасно, какие риски несёт и как всё исправить.
❌ «Если нахожу уязвимость, описываю её в отчёте, а дальше пусть бизнес сам разбирается, почему это важно и что с этим делать».
✅ «Если нахожу уязвимость, первым делом иду обсуждать её со стейкхолдерами. Рассказываю всё простым языком, объясняю риски для бизнеса и предлагаю несколько решений: от самых дорогих и долгих до экономичных и костыльных».
Двухдневный марафон профессий в ИБ
Поможем разобраться в специальностях в кибербезопасности и выбрать свою
Бесплатно
90 мин
18 и 19 февраля
в 19:00
в 19:00
Онлайн
Направления и специальности в ИБ
Требования на входе, зарплаты и перспективы
С чего начать путь в ИБ вам
Ответим на любые вопросы
Егор
Зайцев
Зайцев
Основатель red team- проектов
Спикер топ-конференций
Консультант крупных
компаний
Спикер топ-конференций
Консультант крупных
компаний
За два вечера разберём:
Эксперт встречи