Упражнения

1. Какие риски влечет за собой технический долг?

2. Стоит ли публиковать частную информацию в социальных сетях, если она доступна только друзьям?

3. Почему пользователи редко включают многофакторную аутентификацию? С помощью каких трех способов можно повысить частоту ее применения?

4. Каким менеджером паролей вы пользуетесь? (Ответ «никаким» не принимается.)

5. Какая политика безопасности в вашей компании затрудняет выполнение рабочих обязанностей? Обсуждали ли вы со службой безопасности ее обновление? Можно ли найти компромисс по этому вопросу?

6. Назовите вид деятельности, который, по вашему мнению, мог бы быть полезен в качестве «пожарных учений».

Глава 10

Непрерывное обучение

Непрерывное обучение – это концепция постоянного развития навыков и знаний в ответ на изменения на работе.

Осведомленность об изменениях и тенденциях в сфере безопасности повышает эффективность использования проектного времени, а также дает возможность добавить очень привлекательные пункты в свое резюме, произвести положительное впечатление на начальника и коллег и стабильно создавать более качественные и безопасные продукты. Обучение чему-то новому – интересное и перспективное занятие, которое делает профессиональную жизнь более увлекательной. Непрерывное обучение дает только положительные результаты.

Руководитель, составляющий программу обучения для своих сотрудников, знает, что регулярное обучение приводит к более эффективному удержанию сотрудников в компании и высокой степени их удовлетворенности. Они будут работать не только лучше, но и дольше!

Непрерывное обучение – это концепция постоянного расширения своих знаний для приобретения новых навыков и опыта. С точки зрения бизнеса непрерывное обучение предполагает стимулирование сотрудников к постоянному обучению путем предоставления им соответствующих инструментов.

Что изучать

Так как вы читаете книгу о безопасности приложений, рискну предположить, что вам хочется получить больше знаний по этой теме. При обучении очень важно сосредоточить усилия на чем-то одном, поскольку существует так много различных ресурсов, что использовать их все попросту невозможно.

Сперва необходимо решить, какая область безопасности приложений представляет для вас наибольший интерес. Моделирование угроз? Тестирование безопасности? Обучение разработчиков? Все это будет определять, на что именно стоит сделать упор в учебном плане.

Нападение = защита

Довольно часто IТ-отрасль фокусируется на наступательной безопасности. Можно найти бесчисленное количество курсов о том, как «взломать это» или как «сломать то». Очень странно, ведь в сфере защиты гораздо больше рабочих мест. Имейте это в виду при выборе предмета для изучения. Если вы не специализируетесь на тестировании безопасности, исследованиях в области безопасности или поиске ошибок, вам незачем зубрить все виды уязвимостей или способы создания эксплойтов. Если есть желание выучить эти вещи – отлично! Однако для выполнения большинства задач в области безопасности приложений вам не нужно будет запоминать, как использовать 100 различных видов уязвимостей.

Если вам интереснее наступательная техника, то можно сосредоточить свою работу и обучение именно на ней, а на изучение защитной техники тратить меньше сил, и наоборот. Нет ничего плохого в том, чтобы отдать предпочтение тому, что нравится больше. Но помните, что отличная программа по безопасности полностью охватывает оба этих аспекта.

Не забывайте о «гибких навыках»

В области безопасности приложений никак не обойтись без умения открыто общаться с людьми и видеть разные точки зрения. Безразличие к тому, что у разработчиков есть свои потребности, сроки и требования, которым они должны следовать, из союзника превращает вас в противника. То же верно и в обратную сторону: понимание специфики работы и задач службы безопасности улучшает взаимодействие с ней.

Кроме того, следует научиться читать и писать отчеты, так как придется интерпретировать результаты работы множества инструментов, обобщать сложную информацию, а затем доносить ее до других. Умение четко описывать и понимать результаты, полученные с помощью различных инструментов и из отчетов, является обязательным условием для успешной карьеры в сфере IТ-безопасности.

ЦЕННОСТЬ ГИБКИХ НАВЫКОВ

Протрудившись с разработчиками и другими IТ-специалистами более 25 лет, Боб повидал немало людей, которым необходимо было поработать над своими гибкими навыками. Его всегда раздражали те, кто считал, что отличные технические навыки отодвигают на задний план вежливость и профессиональное поведение на рабочем месте. Всякий раз, когда Бобу приходилось иметь дело с человеком, который просто не мог найти общий язык с другими, он отправлял его на тренинг по развитию гибких навыков и коммуникации. Обычно сотрудник поначалу негативно реагировал на такое решение, однако по возвращении с курсов начинал делать небольшие успехи. Тогда Боб понимал, что поступил правильно. Некоторые сотрудники даже признавались ему спустя годы, что эти курсы заметно улучшили их жизнь и межличностные отношения вне работы. Иногда руководство проектами тяжело давалось Бобу, однако именно это решение всегда оказывалось верным.

Проведите самоанализ: возможно, вам недостает каких-то социальных или «гибких» навыков? Если да, то необходимо включить их в свой учебный план. Их освоение улучшит и другие сферы вашей жизни – вы не пожалеете!

Для своего учебного плана составьте список всех предметов и тем, которые вы хотели бы изучить. Запишите полученные пункты.