Книга: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Назад: Действия, которые можно выполнять на работе (или о чем можно попросить начальника)
Дальше: Вопросы, оставшиеся без ответа

Составление плана

Самым важным шагом при составлении учебного плана является выделение времени для регулярных занятий. Если вы впихнете в первую неделю все, что только можно, то, скорее всего, ко второй неделе у вас не останется ни сил, ни мотивации, а к третьей неделе, возможно, вы и вовсе утратите интерес к обучению. Планирование регулярных учебных занятий с постановкой реальных сроков и требований обеспечит успех в обучении. План можно внести в свое расписание дня, если оно у вас есть.

Как лучше всего учиться? Существует несколько различных стилей обучения, но наиболее очевидными являются чтение, слушание, просмотр, письмо и действие. Какой из них кажется вам самым «правильным»? А может быть, таких несколько? Планируйте свою учебную базу с учетом того, что больше всего подходит именно вам.

Определите, что вы уже знаете, а что следует подучить, и тем самым задайте направление своей учебной деятельности.

В конце этой главы приведен шаблон, использование которого неограниченно. На его основе можно сформировать и составить собственный план.



НАМ ВСЕМ НУЖЕН ОРИЕНТИР

В какой-то момент своей жизни Боб решил, что хочет стать этичным хакером. Он понятия не имел, с чего начать, поэтому прочитал все книги и блоги, какие смог найти, посмотрел все видео, которые попались ему на глаза, – у него не было ориентира. Он потратил бесчисленное количество часов, но даже не дошел до уровня скрипт-кидди (в хакерской культуре так называют тех, кто пользуется скриптами или программами, разработанными другими, для атаки компьютерных систем и сетей, не понимая механизма их действия). В итоге Боб сдался. Став старше, он многое узнал об обучении, в частности – о важности составления плана перед началом работы. Такой план он использовал, чтобы стать менеджером проектов: он знал, какова его цель, определился с сертификатом, который ему нужно было получить, собрал список тем для изучения и на этой основе составил план подготовки. Он выполнил все пункты, сдал экзамен и теперь работает менеджером проектов. Если бы все было так же просто, когда он хотел стать тестировщиком на проникновение…

Действуйте

Теперь, когда вы многое узнали об обучении, пришло время действовать. Начните с выполнения упражнений, представленных ниже, затем заполните шаблон в конце главы. Составленный план покажите тому, кто будет проверять ваши результаты.

Вы никогда не пожалеете, что овладели новым навыком. Никогда не почувствуете, что потратили время впустую, если достигнете своей цели. Если вы взяли в руки данную книгу и дочитали до этого момента, то, очевидно, вы серьезно настроены на обучение. Составьте план и начните следовать ему прямо сейчас.

Упражнения

1. Приготовьтесь составить для себя план обучения на следующий год.

• Какие книги вы планируете прочитать?

• Планируете ли участвовать в конференциях? В каких?

• Планируете ли стать членом профессионального объединения или другого профессионального сообщества? Какого?

• Планируете ли слушать подкасты? Какие?

• Планируете ли посещать митапы? Какие?

• Планируете ли создавать собственный проект для обучения либо проводить соревнования типа «захват флага» или другие практические занятия? Какие именно?

• Планируете ли проходить формальное обучение?

2. Где вы найдете время на обучение? Предоставит ли его вам ваш начальник? Выделите ли вы на это свое личное время? Какой приоритет имеет обучение в вашей жизни?

3. Перечислите три новых навыка, которым вы хотели бы овладеть в этом году. Почему вы выбрали именно их?

4. Назовите три навыка, обучение которым помогло бы вам улучшить качество выполняемой вами работы.

5. Какой стиль обучения вам подходит больше всего? Чтение? Слушание? Действие? Просмотр? Какой-нибудь другой стиль? Расскажите о нем как можно подробнее.

6. Что мотивирует вас учиться? Вознаграждение? Признание? Дополнительный досуг? Сладкие десерты? Подумайте о вашей личной мотивации и как ее можно использовать, чтобы продолжать учиться круглый год.

7. Какой формат лучше всего подходит вам для усвоения информации? Занятия? Учебная стажировка? Наставничество? Соревнования? Назовите свои любимые форматы.

8. Где вы будете учиться? Дома? На работе? В кафе рядом с домом по субботам? Используете ли вы рабочий или домашний компьютер? Какое оборудование вам необходимо? Где вы планируете выделить место для учебы? Необходимо понимать, когда и где вы будете заниматься.

9. Как вы получите доступ к ресурсам, необходимым для обучения? Бесплатны ли они (подкасты)? Сможете ли вы убедить начальника приобрести для вас платные ресурсы? При каких условиях вы сможете платить за них самостоятельно? Составьте бюджет в конце учебного плана.

Учебный план

Имя: ________

Предмет / темы изучения / посещаемое мероприятие: ________

Необходимые ресурсы: ________

Время/расписание обучения: ________

Формат(ы) обучения: ________

Необходимый бюджет и его источник: ________

План подотчетности: ________

Я, ________ (имя), обязуюсь изучить этот предмет/тему к ________ (дата достижения цели).

________ (подпись)

Глава 11

Заключение

Безопасность – дело каждого.

Таня Янка


Каждый человек несет ответственность за выполнение своей работы наиболее безопасным способом, в противном случае он подрывает доверие своего работодателя. Если в компании существует политика безопасности, следует ее соблюдать наравне с любой другой политикой. Нанимая сотрудника, работодатели ожидают от него добросовестного выполнения обязанностей, под которым, помимо всего прочего, подразумевается обеспечение безопасности.

Если вы работаете в службе безопасности, то лучше других знаете, что невозможно обеспечивать безопасность от имени всех сотрудников организации или самолично контролировать соблюдение всех необходимых мер. Например, невозможно быть рядом каждый раз, когда сотрудник принимает решение о том, пустить ли подозрительного человека в здание, или когда он придумывает очередной пароль. Невозможно постоянно наблюдать за работой программиста и следить за тем, чтобы его код отвечал рекомендациям безопасности. Как бы мы ни старались, невозможно проверить каждое предпринятое сотрудником действие, связанное с обеспечением безопасности. Необходимо предоставить людям соответствующую подготовку, а затем надеяться на то, что они имеют честные намерения и делают все возможное, чтобы выполнять свою работу самым безопасным и надежным способом. Мы рассчитываем на их поддержку в деле обеспечения безопасности нашей организации, работающих в ней людей, систем, данных и клиентов.

Некоторые полагают, что «если безопасность – дело каждого, значит, никого», но это далеко от истины. Специалист службы безопасности изготавливает служебные пропуска, внедряет инструмент SCA или пишет политику безопасности. Рядовой сотрудник выполняет предписанные ему действия по обеспечению безопасности: для входа в здание использует пропуск, исправляет код по результатам сканирования SCA, соблюдает политику безопасности. Служба безопасности осуществляет руководство, направляет и предоставляет необходимые инструменты. Благодаря этому сотрудники стараются соблюдать все меры безопасности при выполнении своей работы. Помимо всего прочего, службе безопасности также иногда приходится выполнять дополнительные обязанности (помогать завершить работу по обеспечению безопасности), реагировать на отзывы (корректировать политику или процессы) и делать все возможное, чтобы обеспечить поддержку всей компании в соблюдении ее политики и руководящих принципов. Это командная работа.

При написании программного обеспечения рамки действия этого правила становятся шире. Каждый разработчик обязан написать самый лучший код, на который он только способен; участвовать во всех мероприятиях по обеспечению безопасности; действовать в соответствии с результатами проверок, выполненных различными инструментами, и предупреждать службу безопасности об обнаруженных проблемах. Если в коде отсутствуют компоненты защиты, то, скорее всего, он является представляющим угрозу слабым местом.

Работа по обеспечению безопасности компании заключается в повседневных решениях и действиях всех сотрудников, а не только тех, кто работает в службе безопасности. Мы все вместе отвечаем за защиту нашей организации, а служба безопасности лишь предоставляет инструменты, ресурсы и руководство для этого.

Невозможно достичь цели, если к ней не будут стремиться все работники или хотя бы их большинство. Необходимо работать сообща. Осознание того, что безопасность – сфера ответственности и часть работы каждого человека, – это залог ее обеспечения.

Назад: Действия, которые можно выполнять на работе (или о чем можно попросить начальника)
Дальше: Вопросы, оставшиеся без ответа